Da Euroconferencenews.
Nel perimetro della revisione legale dei conti, la trasformazione tecnologica non si riduce a un mero aggiornamento degli applicativi, bensì ridefinisce le condizioni di produzione, conservazione e accessibilità dell’informazione economico-finanziaria. Il dato contabile, in quanto base fattuale del giudizio di audit, diviene sempre più il risultato di architetture interconnesse, workflow automatizzati e modelli algoritmici. Ne discende che l’evidenza probativa non nasce più soltanto da documenti cartacei “statici”, ma da flussi che devono essere compresi nella loro genesi, presidiati nella loro integrità e valutati secondo canoni di affidabilità.
In questo nuovo contesto il revisore è chiamato a un ripensamento del proprio modus operandi, in quanto non è sufficiente verificare l’esito contabile, occorre comprendere il “sistema” che rende possibile quell’esito, pena l’erosione della capacità di identificare e valutare i rischi di errore significativo.
Comprensione dell’ambiente IT e tecniche automatizzate
L’adeguamento metodologico è ispirato dall’evoluzione dei principi di revisione. In particolare, l’ISA Italia 315 (Revised) valorizza una comprensione approfondita dell’ambiente informatico dell’entità, dei processi informativi e dei controlli pertinenti ai fini dell’identificazione e valutazione dei rischi di errori significativi. Tale impianto, lungi dall’essere un adempimento meramente formale, impone un approccio “system-based”: occorre comprendere come i dati transitano, chi li governa, quali controlli ne presidiano completezza e accuratezza, quali dipendenze sussistono rispetto a fornitori o piattaforme esterne. Nella medesima cornice metodologica si innestano le c.d. Automated Tools and Techniques (ATT), vale a dire procedure di revisione eseguite con tool automatizzati e integrate nel disegno complessivo dell’incarico. Non è un obbligo indiscriminato, poiché l’adozione di tali tecnologie dipende dalle risorse effettivamente disponibili e deve, in ogni caso, rispettare il principio di proporzionalità.
Laddove si faccia impiego di ATT, si intensifica l’obbligo di governance della procedura. Occorre dar conto, nelle carte di lavoro, dell’efficacia dello strumento, della riconciliazione dei dataset estratti, della logica delle trasformazioni operate e della ragionevolezza dei parametri di analisi adottati. Per converso, l’automazione non comporta alcuna attenuazione della responsabilità professionale, essa accresce l’onere di controllo, poiché il baricentro si trasferisce dall’esecuzione materiale alla corretta ingegnerizzazione, validazione e vigilanza della procedura.
Le tecnologie che incidono maggiormente sull’audit possono essere ricondotte a 4 categorie.
- la connettività cloud, che consente archiviazione ed elaborazione su infrastrutture remote, con automazione dei workflow e riduzione dei costi. Il vantaggio operativo ottenuto impone di presidiare profili critici quali la continuità del servizio, la governance degli accessi, la dipendenza da fornitori terzi e la resilienza rispetto a eventi di cyber security;
- la robotic process automation (RPA) – vale a dire la tecnologia software che utilizza “robot” digitali (bot) per automatizzare attività aziendali ripetitive – consente di processare ingenti informazioni. La RPA permette di standardizzare i flussi informativi nelle aree di amministrazione, finanza e controllo, riducendo l’errore umano. Tuttavia, un’impostazione o una regola errata può propagare errori sistemici su larga scala, con conseguenze rilevanti;
- l’impiego avanzato di Big Data e strumenti di data analytics consente di elaborare grandi quantità di informazioni eterogenee, identificare correlazioni significative e agevolare la pianificazione predittiva. Ciò muta la natura delle fonti, ai dati strutturati si affiancano informazioni non strutturate (contratti, e-mail, comunicazioni, verbali), che richiedono tecniche di estrazione e lettura diverse;
- l’intelligenza artificiale, con machine learning e natural language processing, permette analisi testuali, classificazione, rilevamento di anomalie e applicazioni generative nei processi contabili e nell’informativa finanziaria. Tale ultimo punto apre una frontiera delicata: se la tecnologia è usata per “produrre” informazione, il revisore deve valutarne l’attendibilità con un livello di attenzione commisurato all’impatto. Non è casuale che tali dinamiche abbiano favorito la nascita e la crescita di nuovi operatori, quali le FinTech, in cui i servizi bancari risultano “scomposti” (unbundling) e poi riaggregati in chiave digitale, e le InsurTech, che utilizzano modelli predittivi per personalizzare le coperture e raffinare la gestione del rischio.
Per il revisore, tutto ciò implica confrontarsi con catene del valore data-driven, ove la vulnerabilità può annidarsi nell’interfaccia tra piattaforme, fornitori terzi e presìdi di controllo interno. La valutazione del rischio deve, pertanto, includere l’affidabilità dei flussi informativi, la segregazione dei ruoli, i log di accesso e le evidenze di monitoraggio.