Aziende e organizzazioni sono costantemente impegnate nel tentativo di migliorare i propri sistemi di controllo interno e le attività di valutazione della conformità, nel rispetto delle direttive del settore.
A questo proposito, il Public Company Accounting Oversight Board (PCAOB) stabilisce i requisiti e le direttive per un controllo interno efficace sull’informativa finanziaria (Internal Controls Over Financial Reporting – ICOFR). In “AS 2201” (An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements) [1] la strategia di benchmarking viene individuata come un’opportunità per le aziende di ottimizzare le attività di valutazione della conformità, risparmiando denaro e tempo e potenziando l’efficienza e l’efficacia del controllo.
La strategia di benchmarking applicata ai controlli interni automatizzati SAP permette ad un’organizzazione di ridurre i costi e gli sforzi derivanti dalle attività di audit interno ed esterno.
Controlli interni: cosa sono e come sono strutturati
I controlli interni sono lo strumento attraverso il quale verificare la continua conformità di entità, dati, informazioni, sistemi, procedure e processi alle politiche aziendali e alle leggi di settore, al fine di raggiungere gli obiettivi che ogni azienda si prefigge.
Un sistema di controllo interno si struttura in 3 differenti livelli:
– controlli a livello di entità o entity-level controls (ELCs): si trovano alla base del sistema di controllo interno e ne definiscono struttura, organizzazione, ruoli e principi, con un inevitabile impatto diretto sulle altre forme di controllo interno.
– controlli generali dell’IT o IT general controls (ITGCs): sono volti a testare il funzionamento e l’integrità delle applicazioni, dei dispositivi, dei sistemi e dei programmi, supportati dalle tecnologie dell’informazione, utilizzati per i processi aziendali.
– controlli dei processi aziendali o business process control: sono quelli finalizzati a monitorare e verificare processi e procedure aziendali per ridurre i rischi e le possibilità di errori significativi.
In questo sistema è importante privilegiare i controlli automatizzati preventivi, più efficaci ed efficienti di quelli manuali preventivi e di monitoraggio. I controlli automatizzati preventivi sono impostati e progettati per seguire precise logiche e procedure predeterminate, in modo tale da ridurre la possibilità di rischi ed errori significativi, impedendo il verificarsi di determinati eventi non desiderati o intervenendo prima che il problema si possa manifestare.
All’interno di SAP, questi controlli vengono definiti tramite SAP Customizing Implementation Guide (IMG), lo strumento in grado di adattare il sistema e le funzioni SAP alle esigenze e alle necessità di ogni specifica organizzazione.
Benchmarking per i controlli automatizzati: funzionamento e frequenza
Il benchmarking può essere definito come una modalità o metodologia per valutare prestazioni, performance, procedure o processi aziendali etc. etc. confrontandoli e comparandoli con i riferimenti del settore o con gli standard precedenti di una stessa organizzazione (baseline).
Il processo di benchmarking dovrebbe strutturarsi in un ciclo di 3 anni, il primo dei quali è il più importante e decisivo, quello dove si concentrano le attività di test back-end e test front-end. Le prime, in particolare, sono fondamentali per valutare e a definire la configurazione di riferimento del sistema; mentre le seconde servono per verificare che quanto stabilito funzioni correttamente e come previsto. L’unica attività richiesta durante il secondo e il terzo anno è quella di monitoraggio per eventuali variazioni alla configurazione. Se non ce ne sono state le attività di test front-end non sono necessarie, con indubbi vantaggi e riduzioni di costi e tempo per le organizzazioni.
Se, poi, i controlli generali dell’IT confermano l’integrità e l’efficienza di dispositivi e tecnologie, un’azienda può ancora affidarsi agli stessi controlli automatizzati per l’anno successivo, senza la necessità di ripetere i test dell’anno precedente [2].
In ogni caso, sebbene il PCAOB AS 2201 non individui un periodo di tempo preciso, un arco temporale di 3 anni è quello che, generalmente, è considerato appropriato per ridefinire gli standard di riferimento ed eseguire nuovamente il benchmarking, a meno che non ci siano state precedenti variazioni nella configurazione delle applicazioni.
Va, infine, precisato che ci sono ambiti ad alto rischio non idonei al benchmarking dei controlli automatizzati. Ne sono un esempio quelli relativi alle entrate o ai profitti di un’organizzazione.
Benchmarking: vantaggi e conclusioni
Il principale vantaggio di una strategia di benchmarking è ridurre la quantità di test necessari da attuare nel proprio sistema di controlli interni. Di conseguenza, questo enorme beneficio si traduce nella possibilità di risparmiare tempo e denaro per gli audit interni ed esterni senza, tuttavia, compromettere l’efficienza delle attività di valutazione della conformità.
Da questo punto di vista, soluzioni come SAP S/4HANA sono un’opportunità unica per monitorare e valutare l’accuratezza del sistema e confrontare i dati generati dal sistema, incrementando l’efficienza delle attività di benchmarking.
[1] https://pcaobus.org/oversight/standards/auditing-standards/details/AS2201
[2] AS 2201 articolo B29: https://pcaobus.org/oversight/standards/auditing-standards/details/AS2201