Ma perché a volte i revisore pongono domande che non ti aspetti? Meglio un audit interno o esterno? 

Parliamo di IT Audit. Come puoi arrivare preparato a questa verifica?

Perché serve avere i revisori contabili? 

l revisore contabile è la figura professionale che si occupa di controllare il bilancio e le registrazioni contabili di un'impresa, di un ente o di un'organizzazione, verificando la loro conformità alla normativa vigente, sia nazionale che internazionale. Fonte

Ma per quale motivo chi verifica i conti deve controllare anche aspetti IT?

È molto semplice in questo caso. Oggi le transazioni finanziare sono registrate su dispositivi informatici e vengono gestite attraverso software (appunto SAP ERP ad esempio). Per questo motivo al fine di garantire una conformità contabile è necessario effettuare dei controlli anche sui sistemi informatici che archiviano e processano questi dati.

Immagina di dover certificare un bilancio sapendo che nel sistema di produzione chiunque sia abilitato a cancellare o modificare dati. 

Questo potrebbe rappresentare un problema importante per certificare che tutto sia conforme. 

Ma quali sono le domande classiche che puoi ricevere?

Esistono parecchi controlli che possono essere svolti dai revisori. Questo dipende anche dai sistemi oggetto del controllo. In generale questi controlli rientrano in una categoria chiamata ITGC acronimo di - Information Technology General Controls (ITGC) -

Questi rappresentano i controlli messi in campo dalla società per verificare che tutto sia conforme (o meglio limitare l'insorgere di rischi). Diverse sono le macro-aree:

• Gestione degli accessi
• Gestione dei cambiamenti
• Gestione dei dati

Ma quindi cosa ti possono chiedere in riferimento a SAP?

1. Se il mandante produttivo è chiuso alle modifiche e quali sono le procedure per la gestione di questo aspetto
2. Chi sono gli amministratori del sistema
3. Giustificare chi ha creato una change request e perché
4. Quale è stato il flusso di creazione e approvazione di una change request, fornendo evidenze
5. ....

Per le richieste sopra una gestione di questi aspetti (soprattutto nel quotidiano) in maniera strutturata può sicuramente aiutare e far risparmiare tempo.

1. Hai un sistema di ticketing? Può sicuramente aiutare
2. Hai definito delle procedure su come sono gestite le abilitazioni in SAP?
3. Viene gestita la Segregation Of Duties?
4. ...

Un audit in generale può essere più o meno esteso o approfondito in base a diversi fattori. Non sempre quindi, ogni anno, si controlla il sistema alla stessa maniera. Ma in generale alcuni controlli sono periodici e costanti.

In alcuni contesti è inoltre necessario definire quelli che vengono chiamati IPE - Information Produced by the Entity. Le IPE vengono fornite dal soggetto "sotto audit" ai revisori per fornire le evidenze che hanno generato i controlli. Ad esempio quando vado ad estrarre chi sono le utenze abilitate a profili amministrativi (es. SAP_ALL) non devo solamente limitarmi a fornire la lista ma devo fornire quali sono stati i criteri che l'hanno generata, ad esempio (data ed ora di estrazione, criteri di selezione etcc).

Ti serve un aiuto in SAP per prepararti al meglio oppure per limitare le perdite di tempo? Parliamone!