La valutazione del sistema di controllo interno tramite le procedure di conformità

Prima di definire la composizione dei test di conformità del sistema di controllo interno, l’ISA Italia n.315 fornisce una spiegazione in merito a come tale sistema dovrebbe essere configurato nei suoi tratti principali e lo scopo cui assolvere: esso rappresenta un processo condotto dalla governance per fornire una ragionevole sicurezza sul perseguimento degli obiettivi aziendali all’insegna del rispetto degli obblighi di veridicità e trasparenza dell’informativa finanziaria, assicurando i livelli di efficacia ed efficienza della gestione e la conformità al quadro normativo di riferimento. Tale definizione si ispira a quella proposta dal già citato CoSo Report nel quale il sistema di controllo interno è definito come un “processo messo in atto dal consiglio di amministrazione, dal

management e da tutto il personale, volto a fornire una ragionevole garanzia sul raggiungimento dei seguenti obiettivi: a) efficacia nel conseguimento degli obiettivi strategici; b) attendibilità dei dati con conseguente affidabilità del reporting finanziario; c) conformità alle leggi ed alle norme vigenti”. Sono individuate cinque

81 componenti del sistema di controllo31 _{interno cui il revisore deve fare riferimento}

nell’ambito della sua attività. La prima è l’ambiente di controllo, che indica la sensibilità del personale alla tematica del controllo: in fase di pianificazione il revisore deve valutare se la direzione, con la supervisione dei responsabili delle attività di governance, abbia fatto in modo che l’impresa fosse pervasa da valori ispirati all’onestà e all’eticità e se i punti di forza dell’ambiente di controllo forniscono un contributo essenziale per compensare carenza di altre parti del sistema. La comprensione dello stile direzionale e dell’attitudine al rischio non è funzionale alla sola analisi dell’ambiente di controllo. Una certa propensione al rischio potrebbe essere sintomatica della presenza di politiche di bilancio non propriamente trasparenti al quadro d’informativa finanziaria. Nell’ambiente di controllo sono valutati anche altri aspetti relativi alla struttura organizzativa, per vedere se la stessa permette l’efficacia dei controlli: in particolare ciò investe la tipica separazione delle funzioni. Inoltre, è valutata anche la posizione di un’eventuale funzione di internal audit all’interno della società e quanta importanza è ad essa attribuita. Il processo di valutazione dei rischi aziendali rappresenta la seconda componente di un sistema di controllo interno. Data l’aleatorietà degli esiti delle operazioni e delle relazioni intrattenute con l’esterno ed in generale l’imprevedibilità degli eventi, è evidente l’estrema necessità, soprattutto per le società di più alto profilo pubblico, di dotarsi di un sistema di risk management (non a caso il Codice di autodisciplina nel definire il sistema di controllo interno, focalizza l’attenzione sul processo di identificazione, misurazione, gestione e monitoraggio dei rischi). Su questo punto il revisore deve comprendere se il processo adottato sia adeguatamente finalizzato ad indentificare i rischi connessi all’attività rilevanti per gli obiettivi di informativa finanziaria, stimare la significatività dei rischi, valutare la probabilità che si verifichino e decidere le azioni da intraprendere per fronteggiarli. È possibile che l’impresa non abbia previsto un processo specifico ed in tal caso il revisore deve discutere con la direzione per valutare se si tratta di una carenza o se la mancanza di una procedura documentata in tal senso sia comunque in linea rispetto al profilo di rischiosità dell’attività svolta. La terza componente annoverata è il sistema informativo, di cui il revisore analizza solo una parte ritenuta “rilevante”, ossia quella che presidia all’elaborazione dell’informativa finanziaria. Il revisore deve accertarsi della sussistenza di una serie di elementi: che le procedure sia nell’ambito IT sia manuale, siano rilevate, registrate, elaborate, corrette e trasferite nei libri contabili, che il sistema informativo recepisca le informazioni rilevanti, che i controlli non siano troppo standardizzati o al contrario inusuali e che permette un’adeguata comunicazione verso l’esterno, con le autorità di vigilanza all’interno con la direzione aziendale. Il revisore deve aver cura di guardare alle attività di controllo, che

82 rappresentano la quarta componente del sistema di controllo interno, cioè quelle rilevanti ai fini della valutazione del rischio di revisione. Per ultimo, il sistema di controllo interno dovrebbe prevedere un sistema di monitoraggio dei controlli attuati: il revisore deve acquisire una comprensione delle principali attività utilizzate dall’impresa per monitorare il controllo interno sulla redazione dell’informativa finanziaria e se l’impresa prevede una funzione di internal audit, il revisore deve verificare la natura delle responsabilità ad essa attribuita e come questa si inserisce nella struttura aziendale, nonché le attività da essa portate avanti. Il revisore deve anche acquisire una ragionevole sicurezza sull’attendibilità delle fonti informative utilizzate dal sistema di monitoraggio. L’ISA Italia n.330, al paragrafo 8 stabilisce che il revisore deve decidere ed effettuare i test di conformità summenzionati per acquisire elementi probativi sull’efficacia dei controlli se: a livello di singola asserzione, egli si aspetti che i controlli operino efficacemente ovvero se le procedure di validità non siano idonee, separatamente considerate, a fornire elementi probativi sufficienti ed appropriati. Le procedure di conformità sono di due tipologie, distinte sulla base dello scopo che esse si prefiggono: la comprensione del sistema di controllo interno ed i test sul funzionamento dello stesso. Tipiche procedure di comprensione del sistema di controllo interno sono: i manuali di procedure interne, le descrizioni qualitative, i questionari sul controllo interno ed i diagrammi di flusso. Esse mirano a comprendere come un sistema di controllo interno debba funzionare, s’intende quindi esaminare l’aspetto di efficacia dei controlli, ovvero della loro capacità di intercettare le problematiche. Relativamente all’accertamento del funzionamento del sistema, invece, il revisore deve agire sul campo e ricorrere ad interviste al personale, all’osservazione ed ispezione dei processi nonché alla loro riesecuzione. In tal modo, il revisore acquisisce informazioni in merito alla reale operatività del sistema di controllo interno implementato. Di fatti, i test sul funzionamento del sistema di controllo interno sono effettuati solo su quei controlli che il revisore siano “efficaci” per come sono stati configurati: i controlli che invece non sono stati ritenuti tali sono sostituiti dai test di validità del revisore ed ad essi è inoltre associato un livello di rischio di controllo molto basso. La dottrina ha individuato due diverse tipologie di problematiche relativamente ai sistemi di controllo interno: le carenze intrinseche al sistema di controllo, che riguardano l’impostazione seguita nella sua progettazione (per esempio la non previsione di determinate procedure) e le carenze che riguardano l’incapacità del sistema di controllo di individuare i punti di debolezza. Per poter integrare di conformità, il revisore ricorre anche a documenti di budget, della contabilità analitica e dei risultati dei modelli predittivi-simulativi di cui l’azienda dispone, l’analisi degli scostamenti. Il revisore controlla l’intero sistema di reporting inerente la programmazione ed il controllo dell’azienda sempre relativamente alle questioni di bilancio. Le procedure di conformità possono essere estese anche oltre i

83 confini del sistema di controllo interno se si ritiene che altri meccanismi e strumenti possano tornare utili al revisore. L’ISA Italia n.330, al paragrafo A.23, ammette che la procedura di conformità può non essere stand-alone, ma può essere affiancata ad una di dettaglio in modo da raggiungere un duplice obiettivo: valutare la conformità e la sussistenza delle asserzioni relativamente ad un saldo, transazione o informativa Si tratta dei cosiddetti “test con duplice obiettivo” che consentono una contrazione del tempo necessario per la verifica. Lo stesso principio fornisce un esempio relativamente all’esame delle fatture. Deve, tuttavia, ammettersi una certa affidabilità del sistema di controllo interno, dal momento che il test con duplice obiettivo potrebbe non mettere in luce aspetti che sono rinvenibili con un controllo focalizzato.

L’affidabilità riposta sul sistema di controllo interno è una variabile dipendente da alcune caratteristiche intrinseche al sistema di controllo: si guarda alla frequenza d’azione dei meccanismi di controllo (tanto più frequenti, quanto più accurati), il tempo ad essi dedicato ed il grado di deviazione ammesso. Si aggiungano anche aspetti più prettamente operativi, ovvero la frequenza con cui vengono messe in atto le operazioni ordinarie e straordinarie, l’importanza attribuita ai modelli 231. Un certo rilievo è assunto anche dai controlli sul sistema informativo aziendale con elaborazione dei dati contabili in forma elettronica. In particolare, per quanto riguarda la contabilità, la gestione della stessa attraverso le tecnologie informatiche non si discosta molto dalla logica manuale: le conseguenze principali si rilevano essenzialmente nell’efficienza ed accuratezza del processo contabile. La tecnologia, tuttavia, consente di gestire la contabilità su differenti livelli di complessità32 _{dipendenti dal grado di integrazione dell’informazione}

complessiva. Il revisore deve tener conto di questo aspetto nel mettere in atto le procedure tanto di conformità, quanto di validità. I documenti e le tempistiche sono completamente diverse da quelle che si riscontrano manualmente. Per esempio, supponiamo che l’azienda abbia dei software integrati che gestiscano contemporaneamente la contabilità di magazzino e la contabilità generale: il magazziniere carica la fattura nel software, il quale, registrandola direttamente in contabilità generale, fa sì che il contabile esegua esclusivamente un accertamento e non una seconda registrazione. Il revisore deve essere consapevole di questa modalità di gestione delle informazioni relativamente al ciclo magazzino nell’esempio esposto. In generale, Il revisore deve verificare la configurazione dei software, nonché il loro livello di automazione, le modifiche autorizzate. Un’ulteriore azione di controllo riguarda l’ispezione dei registri IT e dei database informatici. Nel momento in cui il revisore comprende che il controllo relativamente alle cinque componenti sia carente, si

32 _{MARCHI L., MANCINI D., Gestione informatica dei dati aziendali, pag. 55, FrancoAngeli, Terza edizione,}

84 innescano una serie di conseguenze: in primo luogo, può scaturire una modifica della strategia di revisione, dal momento che il rischio di controllo può essere valutato più alto. Il revisore potrebbe decidere di affidarsi maggiormente ai test di conformità, piuttosto che ai controlli della direzioni, ed estenderli eventualmente integrandoli con test di validità per mantenere il rischio ad un livello accettabile. Il revisore deve anche valutare l’impatto che queste carenze riscontrate hanno sulle complessità delle procedure di revisione e rivedere i livello di rischio stabiliti nonché il livello di significatività. Nel caso più estremo, il revisore ha la facoltà di rinunziare all’incarico con le conseguenze che seguono.

Il controllo aziendale si plasma sulla struttura organizzativa adottata dall’azienda ed il revisore non può che risultarne condizionato dal tipo di impostazione. Il sistema di controllo può prevedere controlli di più “alto livello”, per i quali il revisore si limita a testarne gli effetti sui livelli più bassi che coinvolgono i cicli di bilancio stessi. La verifica dell’adeguatezza e del funzionamento dei controlli afferenti a questi ultimi si riconduce a livello di processo. Il revisore dovrà ottenere una significativa ed aggiornata mappatura dei processi sui quali identificare i diversi rischi e quindi programmare (ed effettuare) test specifici che ne collaudano il design e l’efficacia. Testare il design di un controllo significa verificare che effettivamente il controllo identificato, per come è stato strutturato, è in grado di mitigare o eliminare effettivamente i rischi di revisione individuati a livello di obiettivo di revisione. Se il revisore conclude che i controlli sono impostati in maniera tale da garantire l’individuazione e la correzione di eventuali errori, allora potrà procedere con la selezione dei controlli da testare e con i successivi test di efficacia. Dall’esito finale dei test di efficacia dipenderà la valutazione del rischio di revisione. Generalmente, i controlli a livello di processo, rilevanti ai fini della revisione, sono di quattro tipologie:

- Separazione delle funzioni; - Controlli fisici o di salvaguardia; - Autorizzazioni;

- Esame delle prestazioni.

Una volta individuati i controlli di cui testare l’efficacia, il revisore deve effettuare dei test campionari finalizzati a verificare che effettivamente il controllo funzioni regolarmente lungo tutto l’arco dell’esercizio e senza eccezioni. A tal proposito, è necessario effettuare test campionari di conformità finalizzati a verificare che effettivamente il controllo funzioni regolarmente lungo tutto l’arco dell’esercizio e senza eccezioni. Esistono dei criteri da rispettare nella scelta del campione da esaminare: esso deve essere selezionato in modo da fornire un giusto insieme di elementi che coprano l’esercizio amministrativo

85 e le diverse fattispecie che possano verificarsi nel corso dello stesso. La selezione non deve essere minimamente influenzata dal personale o dalla probabilità che per l’elemento selezionato il controllo sia efficace o meno. Ciò significa effettuare un campionamento quanto più oggettivo ed indipendente. Se dai test di conformità non emergono rilievi significativi, il revisore può affermare di aver ridotto il rischio di revisione per l’alta affidabilità del sistema di controllo interno. Nel caso contrario, il revisore potrebbe procedere ad estendere il suo campione per vedere se si tratta di casi eccezionali o meno. In presenza di una mancanza grave, è compito del revisore accertarsi dell’esistenza di controlli compensativi che permettono comunque di delimitare il rischio di revisione e quindi che permettano il raggiungimento dell’obiettivo finale di revisione. Nel caso in cui il revisore rilevi la presenza di significativi controlli con componenti automatiche risulta opportuno controllare l’accesso ai programmi e alle informazioni; gli applicativi di gestione delle modifiche; le modalità di acquisizione e sviluppo dei programmi. A tal scopo, il revisore può essere assistito da un esperto in campo informatico.

Ancora relativamente al sistema di controllo interno, l’ISA Italia n. 265 attribuisce al revisore una specifica responsabilità di appropriata comunicazione verso i responsabili della governance e della direzione relativamente alle carenze del sistema di controllo interno, ovviamente quelle che, secondo il suo giudizio professionale, sono sufficientemente importanti da meritare di essere portate alla loro attenzione. Come abbiamo sopra accennato, la carenza può riguardare una sbagliata modalità di configurazione del controllo oppure un'assenza dello stesso. Qualora il revisore abbia riscontrato una o più carenze del controllo interno, ha l’obbligo di stabilire se esse, singolarmente prese o in combinazione tra loro, superino la soglia della significatività. Al paragrafo 5 del medesimo principio, sono delineate alcuni aspetti che il revisore deve tenere a riferimento qualora una carenza (o una combinazione di carenze) sia significativa: la probabilità che le carenze portino in futuro ad errori significativi nel bilancio; la possibilità della relativa attività o passività di essere oggetto di perdita o frode; la soggettività e la complessità della determinazione di importi stimati, quali le stime contabili del fair value; gli importi di bilancio esposti a tali carenze; il volume di movimento che si è registrato per il saldo; l’importanza dei controlli ai fini del processo di predisposizione dell’informativa finanziaria; la causa e la frequenza delle eccezioni individuate a seguito delle carenze; l’interazione della carenza con altre carenze nel controllo interno. Il principio stabilisce che il revisore deve comunicare tempestivamente per iscritto, ai responsabili delle attività di governance, le carenze significative che ha riscontrato nel corso dello svolgimento della revisione contabile. Inoltre il principio stabilisce che il revisore deve comunicare alla direzione, qualora lo reputi opportuno, per

86 iscritto, le carenze significative del sistema di controllo interno che ha già comunicato o intende comunicare ai responsabili delle attività di governance e le altre carenze che benché non significative, meritano l’attenzione della direzione. Il flusso di informazioni documentali inviate ai responsabili delle attività di governance ed alla direzione comprende: una descrizione delle carenze ed una spiegazione dei loro effetti, sufficienti informazioni per permettere ai responsabili delle attività di governance e alla direzione di comprendere il contesto della comunicazione, chiarendo l’obiettivo principale del revisore. Il revisore, inoltre, dovrebbe ottenere un’attestazioni scritta in cui la direzioni confermi la propria responsabilità relativamente all’implementazione e al funzionamento del sistema di controllo interno.