“COMPUTER ASSISTED AUDIT TOOLS/TECHNIQUES” – CAATs

In un mondo che attraversa una fase di crescente digitalizzazione in tutti i settori ed in tutte le realtà aziendali, una delle maggiori sfide per gli Auditor odierni è di utilizzare adeguatamente gli strumenti tecnologici per accedere, analizzare e controllare i dati degli “Auditee” nell’esecuzione delle proprie verifiche.

L’acronimo “CAATs” deriva da “Computer Assisted Audit Tools” o “Computer Assisted Audit Techniques” e si riferisce ad una serie di strumenti informatici (Software) e tecniche di verifica a supporto delle attività di Audit. Tali strumenti sono utilizzati per importare dati da un sistema sorgente (ad esempio da un sistema contabile), normalizzarli attraverso elaborazioni preliminari/preparatorie, analizzarli in base alle specifiche di verifica che l’Auditor intende eseguire e presentarli/estrarli dai Tool nel formato desiderato (excel, TXT, CSV, ecc.).

Il vantaggio principale è che molti dei passaggi sopra menzionati risultano “automatizzati” attraverso appositi Script e/o algoritmi di analisi e Test pre-impostati all’interno dei Tool, consentendo così un aumento dell’efficacia, dell’accuratezza e dell’ampiezza delle analisi nonché una drastica riduzione dei tempi necessari a svolgere le verifiche. Inoltre, durante un “Data Audit”, l’Auditor è in grado di esaminare il processo di origine, di creazione e di trasmissione dei dati al fine di fornire un giudizio circa le proprietà e la qualità dei dati stessi. Attraverso questo processo, l’Auditor valuta anche l’impatto dei dati di scarsa qualità sulle Performance aziendali e sui relativi processi aziendali coinvolti (sia in input che in output), ad esempio attraverso l’individuazione di report di sistema a supporto delle attività di processo che contengono dati non completi, non accurati o non coerenti.

Tra i principali fattori di successo per un’adeguata esecuzione di verifiche tramite CAATs vi è la conoscenza dell’ambiente informatico dell’Auditee, delle informazioni e delle basi dati conservate nei sistemi nonché dei processi di Business che insistono sulla produzione ed elaborazione dei dati che saranno oggetto di analisi.

Ad esempio, se si intende utilizzare i CAATs per eseguire verifiche su premi e sinistri di una società assicurativa, sarà determinante comprendere e analizzare il ciclo premi ed il ciclo sinistri al fine di conoscere la genesi ed i relativi flussi dei dati oggetto di analisi, nonché “disegnare” efficaci e coerenti Test per verificare i dati attraverso i CAATs. Inoltre, il piano di audit ed i Test eseguiti dovranno essere aggiornati in base ai cambiamenti intercorsi nei processi, nell’ambiente IT e nelle basi dati oggetto di verifica.

A rendere i CAATs una delle più efficaci frecce all’arco di un Auditor vi è l’ampiezza delle elaborazioni e delle analisi che tali strumenti consentono di compiere, tra le quali:

A beneficio del lettore, riportiamo alcune informazioni pratiche per condurre efficaci procedure di Audit attraverso CAATs, consci del fatto che nell’attuale scenario di cambiamento globale caratterizzato da Smart-Working massivo, boom di investimenti in digitalizzazione, crescente automazione dei processi  di Business e dei processi di Audit, estremo dinamismo dei fatti aziendali e dei relativi rendiconti finanziari, sia gli IT Auditor che i revisori tradizionali non potranno esimersi dal fruire in misura crescente di tali strumenti per tenersi al passo:

  • Principali motivi per l’utilizzo di CAATs

    • Necessità di accedere e uniformare le informazioni da sistemi con ambienti hardware e software diversi, con diversa struttura dei dati, con diversi formati e funzioni di elaborazione
    • Necessità di migliorare l’efficienza, l’efficacia, la pianificazione e la qualità delle attività di Audit, anche in conformità con gli standard di Audit adottati
    • Garantire che i risultati e le conclusioni dell’audit siano supportati da un’analisi appropriata, tracciata e ripercorribile delle evidenze a supporto (specialmente a supporto di Audit forensi e/o di Audit soggetti a ispezione da parte di Autorità di vigilanza e controllo)
    • L’assenza di documenti di input e/o la mancanza di evidenze cartacee
    • La presenza di un numero molto elevato di record/transazioni oggetto di analisi, che renderebbe non percorribili metodologie standard e/o manuali di Audit
  • Elementi da attenzionare prima di eseguire le procedure CAATs

    • Definire accuratamente il perimetro dei dati oggetto di analisi (sistema/i sorgente, tabelle, campi, record, eventuali meta-dati, ecc.), con la finalità di raccogliere esclusivamente dati rilevanti e di adeguato livello qualitativo per raggiungere gli obiettivi prefissati
    • Definire il formato con cui si desidera estrarre i dati, al fine di facilitarne al massimo l’Upload e la normalizzazione all’interno del Tool utilizzato
    • Assicurarsi di formattare correttamente i singoli campi del tracciato dopo il caricamento sul Tool utilizzato (ad esempio, i campi contenenti importi in valuta dovrebbero essere formattati come “numerico” e con due cifre dopo la virgola, i campi contenenti le date dovrebbero essere formattati come “data” europea o U.S., ecc.) nonché di verificarne l’estensione in termini di “digit” (ad esempio, in caso di caricamento di file TXT non delimitati, sarà necessario selezionare manualmente l’estensione dei singoli campi al fine di delimitarli adeguatamente e ricomprendere tutti i record presenti all’interno del campo, inclusi i più lunghi)
    • Eseguire attività di pulizia dei dati post-caricamento (ad esempio, righe duplicate, righe vuote, campi con valori/lettere anomali, ecc.)
    • Eseguire Check preliminari sui dati al fine di assicurarsi che la popolazione estratta sia completa e accurata (ad esempio, attraverso quadrature con altra fonte di dati sul numero totale delle transazioni e/o sull’importo totale delle stesse)
  • Fasi salienti per l’esecuzione di procedure CAATs

    • Definizione del perimetro (Scope) e degli obiettivi di Audit
    • Identificazione di sistemi, tabelle, dati e campi In-Scope
    • Identificazione del personale della società oggetto di Audit e/o di fornitori esterni che gestiscono i dati ed i processi nel perimetro di analisi
    • Comprensione di processi di Business, processi IT e sistemi/applicazioni che originano, elaborano e trasmettono i dati
    • Definizione dell’estensione, della natura e della metodologia dei Test da eseguire attraverso CAATs
    • Impostazione di script e algoritmi di Test all’interno del Tool utilizzato come da specifiche definite ai punti precedenti
    • Estrazione dei dati dai sistemi sorgente, normalizzazione, caricamento sul Tool utilizzato, pulizia e formattazione dei dati
    • Esecuzione dei Check preliminari (ad es. completezza e accuratezza dei dati caricati)
    • Esecuzione dei Test impostati a sistema e rilevazione delle relative risultanze
    • Verifica dei risultati di Output attraverso ri-esecuzione dei test e/o quadrature con altre fonti di dati (cross-check)
    • Presentazione dei risultati e relativo follow-up con i referenti coinvolti

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor