Per questo è importante che il revisore abbia una competenza in tema di ambienti elaborazione elettronica dei sistemi informativi sufficiente a permettergli di pianificare l'approccio di revisione adeguato, nonché di dirigere, monitorare e verificare il lavoro svolto. In alcuni casi, il revisore potrebbe avere bisogno per comprendere l'ambiente informatico e la modalità di elaborazione dei dati, di specifiche competenze in ambito informatico.
Per comprendere in modo adeguato l'ambiente IT, il revisore dovrà valutare la rilevanza e la complessità delle elaborazioni effettuate dai computer nelle principali applicazioni contabili. Ci riferiamo ad esempio ai complicati calcoli svolti dal computer, che generano operazioni significative che non possono essere indipendentemente convalidate a causa della mancanza della relativa traccia contabile.
Spesso il "computer" può essere utilizzato per la creazione di bilanci, bilanci di verifica, mastri generali e altre carte di lavoro. In questi casi, anche se è il computer stesso a "… provvedere alla stesura del bilancio", il revisore non dovrà partire dal presupposto che gli importi in bilancio siano automaticamente affidabili. Il lavoro di revisione sarà comunque necessario, e dovrà essere documentato.
Il sistema informativo aziendale
Indipendentemente dal grado di complessità dell'ambiente informatico, l'approccio alla revisione rimane invariato (i test in programma rimangono invariati anche se ci si avvale dell'utilizzo del computer). I dati contabili sono in genere elaborati attraverso programmi di contabilità standard che permettono di trasferire i dati manualmente su altri formati, in modo da produrre il bilancio finale.
Le tipologie dei sistemi informativi possono essere:
Sistemi in tempo reale.
Lo scopo del lavoro di rilevazione del sistema IT aziendale è quello di fornire una review ad alto livello del sistema informativo dell'Azienda, evidenziando i cambiamenti avvenuti e in corso di attuazione. Le informazioni generalmente riguarderanno le seguenti aree:
Per rilevare le informazioni di cui sopra saranno utilizzate le informazioni già note dalle attività precedentemente eseguite presso l'Azienda e comunque completate con interviste.
Alcune attività da intraprendere nello stabilire l'approccio di revisione includono:
(a) distinguere tra funzioni automatiche e manuali nella registrazione dei sistemi contabili e di controllo interno.
(b) stabilire se il programma utilizzato è conosciuto e affidabile. In questo caso, infatti, il rischio di errore sarebbe basso
(c) valutare se l'ambiente in cui vengono tenuti i computer e conservati i dati siano tali da garantire l'accuratezza dell'input dei dati e la sicurezza delle informazioni elaborate (utilizzo di password/back up -copia dei file -)
(d) in particolar modo, quando il revisore ha a che fare con programmi conosciuti e utilizzati a livello mondiale, che non hanno mai dato problemi di errori (nel caso vi fossero stati, i media ne avrebbero sicuramente dato notizia), sarà bene valutare la possibilità di ridurre i test applicati con l'unico scopo di rilevare inesattezze di calcoli aritmetici e registrazioni.
Si può chiudere la "chiacchierata" con la richiesta di eventuali diagrammi di flusso "flow chart" già esistenti in azienda e che ci evita a noi di perdere tempo per prepararli ed avere un quadro più chiaro dell'impianto informatico dell'azienda e la richiesta se ci sono progetti in corso di attuazione e quindi sostituzione/sviluppi di quelli esistenti che possono comportare cambiamenti a breve termine significativi su tutto l'impianto informativo aziendale.
Quanto maggiore saranno i volumi delle transazioni
tanto più bisognerà delegare
controlli possibili al sistema computerizzato
Riguardo poi la sicurezza fisica, bisognerà verificare che l'edificio aziendale sia dotato di adeguati sistemi di antintrusione, con la sala macchine protetta con sistema antincendio a gas estinguente.
Dott. Antonio Cavaliere