La valutazione degli Information Technology Controls nell’ambito dei sistemi di controllo interno: i risultati di una ricerca empirica

Anteprima

Information Technology and Internal Controls over Financial Reporting: the audit cycle

The Information Technology Controls (ITC) have a great influence on the reliability of financial reporting. They are part of Internal Controls over Financial Reporting (ICFR) but the area of Information Technology is often not well integrated and coordinated with the traditional Internal Controls, in absence of a compulsory Framework. A survey was conducted on a sample of companies listed on the Italian Stock Exchange. The results of this research offer an improvement of the Internal Control over Financial Reporting framework that consider the Information Technology peculiarities and specifies some conditions for their utility in relation to the main phases the audit cycle (scoping, planning, risk assessment, documentation, evaluation, reporting).

Bibliografia

Agoglia C. P., Beaudoin C., Tsakumis G. T. (2009), The Effect of Documentation Structure and Task-Specific Experience on Auditors’ Ability to Identify Control Weaknesses, Behavioral Research In Accounting, 21, 1, pp. 1–17
AICPA – American Institute of Certified Public Accountants (1983), SAS 47, Audit Risk and Materiality in Conducing an Audit, USA
AIEA – Associazione Italiana EDP Auditors (2010), a cura di, Cobit e controllo interno nella Legge 262\2005, documento di ricerca.
Allegrini M., D’Onza G. (2003), Internal auditing and risk assessment in large Italian Companies:an empirical survey, International Journal of Auditing, 7, 3, pp 191-208.
Allegrini M., D’Onza G. (2011), Corporate governante, risk management e responsabilità sociale fra presente e futuro dell’attività di internal auditing, Management Control, 1, pp 151-178, Milano, FrancoAngeli. Doi: 10.3280/MACO2011-003005.
ANDAF – Comitato tecnico Andaf per la Corporate Governance, a cura di (2007), Il Dirigente Preposto alla redazione dei documenti contabili societari. Analisi, interpretazioni e proposto, Position Paper.
Anderson C. (2009), Applying IT controls, CA Magazine, August, pp. 43-45.
Ashbaugh-Skaife H., Collins D. W., Kinney W. R., Jr., & LaFond R. (2009), The effect of internal control deficiencies on firm risk and cost of equity capital, Journal of Accounting Research, 47, 1, pp. 1–43.
Ashton R. H. (1974), An Experimental Study of Internal Control Judgments, Journal of Accounting Research, Spring, pp 143-157.
Ashton R., Arens A. A., Loebbecke J. K. (1991), Auditing: An Integrated Approach, 5th edition, New York, Prentice Hall.
Associazione Bancaria Italiana (2008), Circolare serie legale n.5, L’attività attestativa del “Dirigente Preposto” e degli organi amministrativi delegati alla luce dell’art. 154-bis TUF (D.LGS N. 58/1998).
Bedard J. C., Graham L. (2011), Detection and Severity Classifications of Sarbanes-Oxley Section 404 Internal Control Deficiencies, The Accounting Review, 86, 3, pp. 825–855.
Bencini F., Filippini L. (2009), Controlli contabili e legami con l’attività di programmazione aziendale : la legge 262/2005, Contabilità finanza e controllo, 32, 7, pp. 608-613
Bencini F., Filippini L. Canofani P. (2008), Controlli interni ed esterni: il loro coordinamento, Contabilità finanza e controllo, 31, 5, pp. 444-448.
Bencini F., Mangiarotti M. (2008),La legge 262/2005: analisi del sistema organizzativo aziendale, Contabilità finanza e controllo, 31, 6, pp. 536-541.
Beretta S. (2004), Valutazione dei rischi e controllo interno, Milano, Egea.
Beretta S., Bozzolan S., Pecchiari N. (2006), La valutazione del Sistema di Controllo Interno nella relazione sulle Corporate Governance, Rivista dei Dottori Commercialisti, 57, 5, pp. 931-970.
Bertoli P. (1985), SEADOC. Un nuovo approccio ai sistemi di valutazione e di documentazione dei controlli, Rivista Italiana di Ragioneria e di Economia Aziendale, 4-5, pp. 247-258.
Bierstaker J. L., Hunton J. E., Thibodeau J. C. (2009), Do Client-Prepared Internal Control Documentation and Business Process Flowcharts Help or Hinder an Auditor’s Ability to Identify Missing Controls?, Auditing: A Journal Of Practice & Theory, 28, 1, pp. 79–94
Bierstaker, J. L. (1996), Performance in internal control evaluation: The importance of documentation format and task specific knowledge. Working paper. University of Massachusetts Boston
Biggs S. F., Messier W. F., Hansen J. V. (1987), A descriptive analysis of computer audit specialists’ decision-making behavior in advanced computer environments, Auditing: A Journal of Practice & Theory, 6, Spring, pp. 1–21.
Bonner S. E. (1990), Experience effects in auditing: The role of task-specific knowledge. The Accounting Review 65, January, pp. 72–92.
Borsa Italiana (2006), Codice di Autodisciplina, Comitato per la Corporate Governance delle Società Quotate, Milano.
Bruni G. (1996), La revisione aziendale, Quarta edizione, Torino, UTET Libreria.
Campedelli B., a cura di, (2007), La salvaguardia del valore aziendale. Rischio, controllo e performance, Torino, Giappichelli.
Camussone P. (1998), Il sistema informativo aziendale, Milano, ESTALIBRI.
Ceppatelli M. G. (1992), I sistemi informativi aziendali, Padova, CEDAM.
Cereola S. J., Cereola R. J. (2011), Breach of Data at TJX: An Instructional Case Used to Study COSO and COBIT, with a Focus on Computer Controls, Data Security, and Privacy Legislation, Issues In Accounting Education, 26, 3, pp. 521–545.
Chan, K. C., Farrell, B. R., Lee, P. (2008), Earnings management of firms reporting material internal control weaknesses under section 404 of the Sarbanese-Oxley Act, Auditing: Journal of Theory and Practice, 27, 2, pp. 161–179.
Cheney G. (2006), New scoping principles for IT controls proposed by IIA, Accounting Today, 19, p. 30
CNDC e CNR – Consiglio Nazionale dei Dottori Commercialisti e dei Ragionieri (2007), Principio n. 401 La revisione contabile in un ambiente di elaborazione elettronica dei sistemi informativi; Public Company Accounting Oversight Board, in Principi di Revisione 2007, Milano, Giuffrè.
CNDC e CNR – Consiglio Nazionale dei Dottori Commercialisti e dei Ragionieri (2002), Documento n. 530 – Campionamento di revisione ed altre procedure di verifica e selezione delle voci da esaminare, in Principi di Revisione, Milano, Giuffrè.
CNDC e CNR – Consiglio Nazionale dei Dottori Commercialisti e dei Ragionieri (1995), Documento n. 3.2 – Il controllo interno nell’EDP, in Principi di Revisione, Milano, Giuffrè.
Coda V. (1973), Progettazione delle strutture organizzative. Modelli di analisi, Milano.
Comoli M. (2002), I sistemi di controllo interno nella corporate governance, Milano, Egea.
Confindustria (2007), Linee guida per lo svolgimento delle attività del Dirigente Preposto alla redazione dei documenti contabili societari ai sensi dell’art. 154-bis Tuf, Roma.
Corbella S. (2000), Il sistema di controllo interno: una rivisitazione nella prospettiva dell’attività di auditing, Rivista italiana di ragioneria e di economia aziendale, 100, 5/6, pp. 315-331.
Corbella S. (2008), L’attendibilità del bilancio di esercizio. Posizioni consolidate e nuove prospettive interpretative, Milano, FrancoAngeli.
Corbella S. Pecchiari N. (1999), a cura di, Internal Auditing, Milano, EGEA.
COSO – Committee of Sponsoring Organizations of the Treadway Commission (1992), Internal Control. Integrate Framework, New York, AICPA.
COSO – Committee of Sponsoring Organizations of the Treadway Commission (2004), Enterprise Risk Management (ERM) – Integrate Framework, New York.
COSO – Committee of Sponsoring Organizations of the Treadway Commission (2006), Guidance for Smaller Public Companies Reporting on Internal Controls over Financial Reporting, New York.
Curtis M. B., Borthick A. F. (1999), Evaluation of Internal Control from a Control Objective Narrative, Journal of Information Systems, 13, 1, Spring, pp. 63-81.
D’Alessio R. (2005), I controlli specifici nei sistemi EDP, Contabilità finanza e controllo, 28, 11, pp. 930-934.
D’Alessio R., Marinelli F. (2005), Controlli generali sul sistema informativo aziendale, Contabilità finanza e controllo, 28, 10, pp. 828-836
D’Onza G. (2008), Il sistema di controllo interno nella prospettiva del risk management, Milano, Giuffrè.
Dameri R.P. e Privitera S. (2009), IT governance. Concetti teorici e implementazione, Milano, FrancoAngeli.
De Cicco R. (1983), Il sistema di controllo interno: sua rilevanza nel processo di revisione, in Viganò A., De Cicco R., La revisione del bilancio d’esercizio. L’approccio economico-aziendale del bilancio destinato a pubblicazione, Milano, Giuffrè.
De Santis I. (2006), Le novità sul dirigente preposto alla redazione di documenti contabili societari, in Diritto e pratica delle società, n° 13.
Dell’Isola A., Amatucci R. (2008), Affidabilità del sistema di controllo interno sul ‘financial reporting’, Contabilità finanza e controllo, 31, 8/9, pp. 725-733.
Dell’Isola A., Amatucci R. (2009), Sistema di controllo interno sul financial reporting: le fasi di un progetto, Contabilità finanza e controllo, pp. 150- 159.
Doyle J., Ge W., McVay S. (2007), Determinants of weaknesses in internal control over financial reporting, Journal of Accounting & Economics, 44, pp. 193-223.
El-Gazzar S. M., Chung K-H, Jacob R. A. (2011), Reporting of Internal Control Weaknesses and Debt Rating Changes, International Advances in Economic Research, 17, pp. 421-435.
Fortunato S. (2007), Modelli di controllo interno rispetto al rischio di ‘Fraudolent Financial Reporting’ ed il ruolo del dirigente preposto ex art. 154-bis del T.U.F., Rivista dei dottori commercialisti, 58, 3, pp. 547-562.
Garelli R. (2009), Controlli interni e requisiti del Sarbanes-Oxley Act, Impresa Progetto, Rivista on line del Ditea, 2, pp. 1-26
Ge W., McVay S. (2005), The Disclosure of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act, Accounting Horizons, 19, 3, pp. 137–158.
Gelinas, U. J., Jr., R. B. Dull. (2008), Accounting Information Systems, 7th edition, Mason, OH, Thomson South-Western.
Hamilton, R. E., W. F. Wright. (1982) Internal Control Judgments and Effects of Experience: Replications and Extensions, Journal of Accounting Research, Autumn, pp. 756-765.
Hill M. C., Barnes W. A. (2011), End-User Computing Applications. Implications for Intemal Auditors and Managers, The CPA Journal, July, pp. 67-71.
Hinna L., Messier W. (2007), Auditing. Fondamenti di revisione contabile, Milano, MgrawHill.
IIA – The Institute of Internal Auditors (2007), The GAIT Methodology, USA.
IIA – The Institute of Internal Auditors (2008), GAIT for Business and IT Risk, USA.
IIA – The Institute of Internal Auditors (2008), GAIT for IT General Control Deficiency Assessments, USA.
ISO/IEC – International Organization for Standardization, International Electrotechnical Committee (2005), ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems ISMS (trad. It.: UNI CEI ISO/IEC 27001:2006).
ITGI – IT Governance Institute (2006), IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition, USA (trad. it.: Information Systems Audit and Control Association – ISACA, a cura di, Obiettivi di controllo IT per la Sarbanes-Oxley. Il ruolo dell’IT nella progettazione ed implementazione dei controlli interni rispetto al financial reporting, Roma, 2008).
ITGI – IT Governance Institute (2007), Control Objectives for Information and related Technology 4.1 (COBIT 4.1), (trad. it. Associazione Italiana Information Systems Auditros- AIEA, a cura di, ISACA – Capitolo di Milano, 2009).
Koonce L., Anderson U., Merchant G. (1995), Justification of decisions in auditing, Journal of Accounting Research, 33, 2, pp. 369–384.
Krishnan,G. V, Visvanathan, G. (2007), Reporting internal control deficiencies in the Post-Sarbanese-Oxley era: The role of auditors and corporate governance, International Journal of Auditing, 11, 2, pp. 73–90.
Livatino, Pecchiari, Pogliani (2005), Auditing. Il manuale di revisione per il controllo contabile., Milano, EGEA.
Malguzzi A. (2007), Il sistema dei controlli e il flusso delle informazioni nelle società quotate. Conclusioni. Il ruolo cruciale dell’Internal Audit, Rivista dei dottori commercialisti, 58, 1, pp.111-119.
Manfrin F. (2004), La revisione del bilancio d’esercizio e l’uso erroneo degli strumenti statistici, Università degli Studi di Brescia.
Marchi L. (1993), I sistemi informativi aziendali, seconda edizione, Milano, Giuffrè.
Marchi L. (2004), Revisione Aziendale e sistemi di controllo interno, Milano, Giuffrè.
Marchi L. (2005), Principi di revisione contabile. Un approccio per cicli operativi, Milano, Giuffrè.
Marks N. (2008), 10 steps to Section 404 efficiency, Internal Auditor, pp. 39-43
Munro M. C., Huff S. L., Moore G. (1987-88), Expansion and Control of End-User Computing, Journal of Management Information Systems, 4, 3, pp. 5-27.
Nichols, D. R. (1987), A Model of Auditor’s Preliminary Evaluations of Internal Control from Audit Data, The Accounting Review, 62, 1, pp. 183-190.
Norman C. S., Payne M. D., Vendrzyk V. P. (2009), Assessing Information Technology General Control Ris: An Instructional Case, Issue in Accounting Education, 24, 1, pp. 63-76.
OGC – Office of Government Commerce, CCTA – Central Computer and Telecommunications Agency (2005), Information Technology Infrastructure Library v3 (ITIL v3), UK
Ogneva, M., Raghunandan, K., & Subramanyam, K. R. (2007). Internal control weakness and cost of equity: Evidence from SOX section 404 certification, The Accounting Review, 82, 5, pp. 1255–1297.
PCAOB – Public Company Accounting Oversight Board (2007), Auditing Standard n.5, Un audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, USA.
PCAOB – Public Company Accounting Oversight Board (2009), Auditing Standard n.5, Un audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements. Guidance for auditors of smaller public companies, USA.
Pecchiari N. (1997), Il modello del rischio di revisione: aspetti metodologici ed implicazioni operative ai fini della verifica del bilancio d’esercizio, Il controllo legale dei conti, n. 1, Milano, Giuffrè.
Pecchiari N. (1999), Il processo di auditing: il modello di riferimento, in Corbella S. Pecchiari N., a cura di, Internal Auditing, Milano, EGEA.
Pini M. (1985), La revisione di impresa. Controllo interno e sistemi informativi automatizzati, Milano, Giuffrè.
Ridley G., Young J., Carroll P. (2004), COBIT and its utilization: a framework from the literature, System Sciences, Proceedings of the 37th Annual Hawaii International Conference, 8 pp.
Rivard S. (1987), Successful Implementation of End-User Computing, Interfaces, 17, 3, May-June, pp. 25-33.
Roppo A.,Censi O., La disciplina del Dirigente Preposto alla redazione dei documenti contabili societari. Funzioni, poteri, rapporti con gli organi societari e di controllo, responsabilità e ammissibilità nelle società per azioni non quotate.
Russo A. (2004), Rilevanza e materiality nell’informazione contabile, Rivista dei Dottori commercialisti, 6.
SEC – Securities And Exchange Commission (2007), Release Nos. 33-8810; 34-55929; FR-77; File No. S7-24-06, Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934.
Servato F. (2008), L’impatto della legge n. 262/2005 sulla corporate governance e sul sistema di controllo interno ai fini della corretta informativa contabile e finanziaria delle società quotate, Il controllo nelle società e negli enti, 12, 4/5, pp. 381-401.
Shelton S. W. (1999), The effect of experience on the use of irrelevant evidence in auditor judgment, The Accounting Review 74, 2, pp. 217–224.
Tartaglia Polcini P. (1996), Il concetto di materiality nella revisione contabile, Cedam, Padova.
Tettamanzi P. (2000), Controllo Interno, Revisione Interna e Corporate Governance in Italia e nel Regno Unito: un’indagine empirica, LIUC Papers n.80, serie Economia Aziendale 8, novembre.
Viganò A. (1983), Lineamenti del processo di revisione secondo l’approccio economico-aziendale, in Viganò A., De Cicco R., La revisione del bilancio d’esercizio. L’approccio economico-aziendale del bilancio destinato a pubblicazione, Milano, Giuffrè.
Viganò A. (1989), Revisione e certificazione di bilancio, Milano, FrancoAngeli.
Wallman, S. M. H. (1997), The future of accounting and financial reporting, part IV “Access” accounting, Accounting Horizons, 11, pp. 103-116.