26 Gen Come ti controllo l'azienda – anteprima
Le procedure di controllo possono essere uno strumento di potere notevole per il management interno all’azienda soprattutto in tempo di automatizzazione e globalizzazione.<br>In un precedente intervento abbiamo identificato il concetto di Sistema di Controllo Interno aziendale. L’auditor, al fine di ottenere una comprensione dei sistemi contabili, di controllo e delle procedure interne, necessario per pianificare le attività di controllo (audit) e sviluppare un’efficace strategia di lavoro, deve dapprima identificare i cicli (processi) aziendali significativi, collegarli alle attività/operazioni sottostanti e quindi “mapparli” (evidenza). Questo fornirà una prima base di dati per pervenire ad un’iniziale valutazione dei rischi inerenti a ogni ciclo e quindi del rischio di controllo interno. La comprensione di questi concetti di rischio (inerente e di controllo), sarà parte integrante, insieme al rischio impresa e al rischio legato al lavoro del controllore “auditor”, per determinare l’ampiezza qualitativa e quantitativa del lavoro da svolgere – revisione (audit).
La comprensione del Sistema di Controllo Interno
Per la comprensione del Sistema di Controllo Interno e quindi del rischio inerente e di controllo, esistono tre diverse strategie, comunque non alternative, ma anzi fra di loro combinabili: a) intervista del management; b) documentazione con presa visione e/o copia di manuali interni; c) test di revisione. Solitamente per la valutazione del Sistema di Controllo Interno si parte con l’intervista del management nella fase iniziale di audit dell’azienda (approccio Top-Down). L’intervista del management sarà rivolta ad ottenere una comprensione preliminare del Sistema Interno di Controllo, e quindi dell’ambiente interno all’azienda e del rischio di controllo. Successivamente all’intervista del management, si procederà con la documentazione con presa visione e/o copia di manuali interni, un momento importante per analizzare il livello di formalizzazione del Sistema di Controllo Interno e quindi per aiutare l’auditor nella documentazione del suo esame e per avere un primo riscontro “cartaceo” di quanto ottenuto verbalmente dal management. Da questi primi due interventi – sub a) e b) – si dovrebbe avere una prima base di elementi per comprendere i cicli interni aziendali con le operazioni sottostanti e quindi dei rischi inerenti agli stessi. Tuttavia per un giudizio più accorto sui rischi inerenti ai cicli, ovvero ai flussi di attività che sottendono il funzionamento dell’azienda, sarà opportuno procedere ad alcune verifiche campionarie fondate sul ripercorrere le attività di controllo previste e seguite dal management. Tali ultimi test di revisione saranno la prova del nove e quindi l’evidenza a supporto di quanto il management aziendale ha detto (interviste) in precedenza e/o scritto (manuali). Naturalmente sarà il singolo auditor con la sua esperienza, maturata sull’azienda o su altre aziende, a decidere la combinazione, il grado di approfondimento e la tempistica delle diverse strategie più sopra esposte per valutare il Sistema di Controllo Interno e quindi i rischi ad esso correlati.
I cicli (processi) aziendali
La combinazione delle strategie di cui sopra, sarà poi sviluppata per singoli cicli aziendali. Il sistema azienda in funzionamento, infatti, può essere suddiviso in cicli di operazioni ovvero essere radiografato (mappato) descrivendo e/o costruendo il complesso delle attività/processi per tipologia di: · attività elementari; · flusso di documenti; · reports di monitoraggio; · registrazioni per il bilancio, che sintetizzano il sistema azienda e il suo funzionamento. Alla fine di questa “mappatura”, l’auditor dovrà avere un quadro chiaro circa i contenuti dei vari cicli, i rischi inerenti ad essi e quindi della qualità e della quantità di test di auditing da eseguire per una loro valutazione in termini di affidabilità o meno. Per l’azienda industriale, ad esempio, il sistema delle attività/processi, può essere sintetizzato nei seguenti cicli principali: · ciclo vendite; · ciclo acquisti; · ciclo personale; · ciclo magazzino; · ciclo tesoreria; · etc. Per tutte le aziende, almeno industriali, sicuramente il ciclo acquisti e il ciclo vendite, costituiscono gli architrave del sistema delle attività/processi in grado di influenzare in maniera significativa la redazione del bilancio. A tali cicli possono essere aggiunti anche quelli relativi ai cespiti, alla contabilità generale, alla produzione e agli investimenti. I controlli interni devono essere eseguiti su ogni ciclo aziendale e devono comunque essere sempre opportunamente documentati.
Conclusioni
Con la “mappatura” del sistema azienda (in un prossimo intervento vedremo come) attraverso i cicli che lo costituiscono e soprattutto con l’individuazione dei rischi inerenti agli stessi e del più generale rischio di controllo interno, l’auditor avrà già una base di elementi – “evidenza” – per poter determinare in via preliminare l’estensione del lavoro di audit (personale, programmi di lavoro, ecc.). Questo significa che in un’azienda dove la valutazione dei rischi di controllo e di inerenza sono bassi, l’auditor si affiderà di più sui controlli interni, quindi li testerà con maggiore raccolta di evidenze e farà minori test di sostanza (verifiche sui saldi di bilancio); nelle aziende dove invece la valutazione dei rischi inerenti e di controllo porteranno a stimare un rischio alto, l’auditor non si affiderà al sistema di controllo interno, non lo testerà ed effettuerà esclusivamente test di sostanza. E’ evidente, quindi, come la valutazione preliminare dei cicli aziendali principali, dei rischi inerenti ad ogni ciclo e del rischio di controllo interno più in generale, con la raccolta di affidabili e sufficienti evidenze, costituisce la fase pilastro portante determinante per l’efficacia e l’efficienza di tutto il lavoro di controllo (audit) nel suo complesso.