Scenario: Mediterranea Logistics S.r.l. Mediterranea Logistics S.r.l., operatore logistico con sede a Napoli, ricavi per €28M, ha implementato un sistema integrato di continuous auditing sui ricavi e continuous monitoring sui costi. Il sistema CA analizza automaticamente tutte le fatture di trasporto contro contratti e listini approvati.

Cosa sono il continuous auditing e il continuous monitoring

Continuous Auditing: La Definizione per i Revisori


Il continuous auditing è una metodologia che consente di eseguire procedure di revisione in modo automatizzato e continuativo sui dati del cliente. Secondo l'Institute of Internal Auditors, il CA "fornisce valutazioni scritte su controlli e rischi poco dopo l'occorrenza di eventi rilevanti". Per i revisori esterni, questo significa accesso a evidenze probatorie generate automaticamente durante l'anno invece che solo durante il fieldwork.
Il CA si basa su quattro componenti: estrazione automatizzata dei dati, analisi attraverso algoritmi predefiniti, reporting delle eccezioni e workflow di escalation verso il revisore che garantisce la tempestiva valutazione professionale degli alert critici. Quando Ferrero Industrial S.p.A. implementa un sistema CA sui ricavi, il sistema estrae quotidianamente i dati delle vendite, applica test di ragionevolezza sui prezzi e volumi, e genera alert quando una transazione supera parametri prestabiliti.

Continuous Monitoring: I Controlli Interni Automatizzati


Il continuous monitoring rappresenta una componente dell'ambiente di controllo interno. L'ISA 315.A77 definisce i controlli automatizzati come "controlli eseguiti automaticamente dai sistemi IT". Il CM rientra in questa categoria: monitora transazioni e processi per identificare eccezioni, ma lo fa per conto del management, non del revisore.
Un sistema CM sui pagamenti analizza ogni bonifico prima dell'autorizzazione, verifica che l'IBAN corrisponda al fornitore registrato, controlla che l'importo non superi i limiti approvati, e blocca automaticamente transazioni sospette. Genera dashboard per il management ma non produce evidenze probatorie utilizzabili direttamente dal revisore secondo l'ISA 500.

Cosa è cambiato con la digitalizzazione

Prima: Controlli Manuali e Revisione Tradizionale


Fino a cinque anni fa, la maggior parte dei controlli interni erano manuali o semiautomatizzati. Il revisore testava questi controlli attraverso inquiry, osservazione e re-performance. L'ISA 330.8 richiedeva di testare l'efficacia operativa durante il periodo, ma i controlli manuali erano intrinsecamente limitati in frequenza e copertura.

Dopo: Sistemi Automatizzati e Revisione Continua


La digitalizzazione ha reso possibile il monitoraggio automatizzato del 100% delle transazioni. I sistemi ERP moderni incorporano controlli automatizzati configurabili. Le piattaforme di business intelligence generano analisi comparative in tempo reale. I tool di continuous monitoring inviano alert immediati quando parametri prestabiliti vengono superati.

Cosa Dovete Fare Adesso


Questa evoluzione cambia il vostro approccio di revisione in quattro modi. Primo, dovete comprendere e valutare l'architettura tecnologica dei controlli automatizzati del cliente. Secondo, dovete determinare se potete fare affidamento su questi controlli per ridurre il vostro testing sostantivo. Terzo, dovete documentare la vostra valutazione secondo i requisiti dell'ISA 315 per i controlli IT-dependent. Quarto, dovete valutare i general IT controls (ISA 315.26(b)) che governano lo sviluppo, il cambiamento e l'accesso ai sistemi CA/CM: senza ITGC efficaci, i controlli applicativi automatizzati non possono essere considerati affidabili, indipendentemente dal loro design.

Esempio pratico: valutazione di un sistema CA/CM

Scenario: Mediterranea Logistics S.r.l.
Mediterranea Logistics S.r.l., operatore logistico con sede a Napoli, ricavi per €28M, ha implementato un sistema integrato di continuous auditing sui ricavi e continuous monitoring sui costi. Il sistema CA analizza automaticamente tutte le fatture di trasporto contro contratti e listini approvati. Il sistema CM monitora i costi carburante contro benchmark di mercato e genera alert quando lo scostamento supera il 5%.
Step 1: Comprensione del sistema (ISA 315.12)
Nota di documentazione: Documentare l'architettura del sistema, i controlli configurati, la frequenza di esecuzione, e i report generati nella sezione "Understanding of IT Environment" della carta di lavoro ISA 315.
Step 2: Identificazione dei controlli chiave
Il CA sui ricavi include: verifica automatica di prezzi contro contratti, controllo di completezza attraverso matching con documenti di trasporto, e test di accuratezza sui calcoli IVA. Il CM sui costi confronta automaticamente prezzi carburante con indici Reuters e genera exception report settimanali.
Nota di documentazione: Elencare ogni controllo automatizzato identificato nella matrice dei controlli, classificandoli come controlli IT-dependent secondo l'ISA 315.A77.
Step 3: Testing dell'efficacia operativa
Per il CA sui ricavi, si seleziona un campione di 40 fatture dal periodo gennaio-settembre, si riesegue il controllo automatizzato, e si verifica che le eccezioni siano state rilevate correttamente. Per il CM sui costi, si analizzano gli alert generati nei 9 mesi e si verifica che il follow-up del management sia adeguato.
Nota di documentazione: Documentare i risultati del testing nella carta di lavoro ISA 330, specificando se i controlli possono essere considerati affidabili per ridurre il testing sostantivo.
Step 4: Modifiche alle procedure sostantive
Basandovi sull'affidabilità dimostrata, riducete il campione per il testing dei ricavi del 30% e concentrate il testing sostantivo sui costi su categorie non coperte dal CM (manutenzioni, consulenze, personale).
Nota di documentazione: Aggiornare il piano di revisione specificando la riduzione del testing sostantivo e la relativa giustificazione basata sui controlli automatizzati testati.
Conclusione: Il sistema integrato consente una riduzione significativa del testing manuale mantenendo un livello di assurance appropriato. La documentazione dimostra come i controlli automatizzati supportino la strategia di revisione senza comprometterne l'efficacia.

Checklist pratica per la valutazione CA/CM

  • Mappate l'architettura tecnologica completa - Identificate tutti i sistemi coinvolti, le interfacce, e i controlli automatizzati configurati secondo l'ISA 315.12
  • Testate i controlli automatizzati chiave - Selezionate un campione rappresentativo e ri-eseguite i controlli per verificarne l'efficacia operativa (ISA 330.8)
  • Valutate la governance IT - Verificate che i controlli sui cambiamenti, gli accessi, e la configurazione siano adeguati secondo l'ISA 315.A91-A94
  • Documentate l'impatto sulla strategia - Specificate come l'affidabilità sui controlli automatizzati modifica natura, tempistica ed estensione delle vostre procedure sostantive
  • Monitorate l'evoluzione durante l'anno - Stabilite procedure per identificare cambiamenti significativi nei sistemi CA/CM che potrebbero impattare la vostra valutazione
  • La distinzione più importante: CA genera evidenze per il revisore, CM genera informazioni per il management. Non sono intercambiabili ma possono essere complementari nella vostra strategia complessiva di revisione.

Errori comuni nell'approccio CA/CM

Confondere CA con audit data analytics tradizionali - Il CA opera in modo continuativo durante l'anno, non solo durante il fieldwork finale
Assumere che CM sia affidabile senza testing - I controlli automatizzati richiedono testing secondo l'ISA 330 come qualsiasi altro controllo interno su cui intendete fare affidamento
Sottovalutare la complessità IT - Sistemi CA/CM richiedono comprensione dell'architettura dati, delle interfacce, e dei controlli applicativi secondo l'ISA 315.A77-A94
Non valutare l'indipendenza quando il CA/CM è fornito da un service provider - L'ISA 402.9-10 richiede che il revisore valuti la relazione tra servizio e bilancio e ottenga evidenza sui controlli del service organization. Per Mediterranea Logistics S.r.l. con sistema CA in outsourcing su piattaforma cloud, il revisore deve ottenere la relazione SOC 1 Type II del fornitore, verificare le date di copertura e identificare i Complementary User Entity Controls che Mediterranea deve aver implementato per garantire l'efficacia dei controlli automatizzati.

Risorse correlate

Glossario: Procedure analitiche nella revisione - Definizioni tecniche e differenze tra procedure analitiche tradizionali e continuous auditing
Guida ISA 315 alla valutazione dei rischi - Metodologia per documentare la valutazione dei controlli IT-dependent e automatizzati
Procedure di revisione per la contabilità cloud - Come adattare l'approccio di revisione agli ambienti IT moderni

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.