Perché è ora di ritirare l'IPE: un approccio più intelligente al SOX

Le informazioni prodotte dall'Ente, comunemente noto come IPE, rappresentano da anni la pietra angolare dei test di conformità SOX. Sebbene il concetto alla base dell’IPE rimanga valido, il modo in cui la maggior parte delle organizzazioni lo gestisce è diventato una significativa fonte di inefficienza. Potrebbe essere il momento di ripensare completamente l’approccio.

Cos'è l'IPE?

L'IPE si riferisce a qualsiasi report, estratto di dati o output generato dai sistemi aziendali utilizzato come prova nei test di controllo interno. Quando un revisore fa affidamento su una relazione sull'invecchiamento per verificare il controllo della contabilità clienti, tale relazione sull'invecchiamento è IPE. Quando la direzione utilizza un elenco di voci di giornale generato dal sistema per testare la separazione dei compiti, tale elenco è IPE.

Il principio è semplice: se si utilizzano dati generati dall’azienda per testare un controllo, è necessario verificare che i dati stessi siano accurati e completi. Altrimenti, l’intera conclusione del test poggia su basi non convalidate.

Il problema con le attuali pratiche IPE

In teoria, la convalida dell’IPE è una salvaguardia ragionevole. In pratica, è diventato uno degli aspetti più gravosi e meno preziosi della conformità SOX.

La maggior parte delle organizzazioni convalida l'IPE eseguendo controlli di completezza e accuratezza su ogni report utilizzato nei test di controllo. Ciò spesso significa rieseguire i report, collegare i totali ai sistemi di origine e documentare la convalida in fogli di lavoro separati. Per le organizzazioni con centinaia di controlli, ciascuno basato su più report, il volume del lavoro di convalida IPE è enorme.

Lo sforzo è aggravato dal fatto che molti di questi report vengono generati dagli stessi sistemi, utilizzando gli stessi dati, su base ricorrente. Tuttavia, i team spesso convalidano ciascuna istanza in modo indipendente, anche quando l'origine dati sottostante non è cambiata.

Perché l'approccio tradizionale non è all'altezza

Sforzo ridondante. I team spesso convalidano lo stesso output del sistema più volte attraverso controlli diversi. Un bilancio di verifica generato dall'ERP potrebbe essere convalidato separatamente per il test dei ricavi, il test delle spese e la revisione del bilancio, nonostante si tratti dello stesso report dello stesso sistema.

Carico di documentazione. Ogni convalida IPE richiede la propria documentazione, creando una traccia cartacea che aggiunge volume senza valore proporzionale. Gli auditor dedicano più tempo a documentare la validazione che a eseguirla.

Falso senso di sicurezza. Il controllo che il totale del report corrisponda al totale del sistema conferma che il report è stato generato correttamente. Non riguarda l’accuratezza dei dati sottostanti nel sistema. La convalida verifica il report, non i dati.

Drenaggio di risorse. La convalida IPE consuma ore di audit che potrebbero essere indirizzate verso aree a rischio più elevato. Quando le squadre sono sotto pressione durante l’alta stagione, questa cattiva allocazione degli sforzi ha conseguenze reali.

Un'alternativa più intelligente

Piuttosto che convalidare singole istanze di report, le organizzazioni dovrebbero considerare un approccio a livello di sistema. Ciò significa creare fiducia nei sistemi che producono i report, piuttosto che testare ciascun risultato separatamente.

I controlli generali IT (ITGC) riguardano già l'integrità dei dati generati dal sistema. Quando gli ITGC su una particolare applicazione sono efficaci, esiste una ragionevole garanzia che i report generati da tale applicazione siano affidabili. Rafforzare il collegamento tra i test ITGC e la dipendenza dall’IPE può ridurre significativamente il lavoro duplicato.

Le riconciliazioni automatizzate possono sostituire i controlli IPE manuali. Quando i flussi di dati vengono riconciliati automaticamente tra i sistemi, la necessità di una convalida IPE puntuale diminuisce. La riconciliazione stessa fornisce una garanzia continua.

Origini dati standardizzate riducono il numero di elementi IPE univoci che richiedono la convalida. Se tutti i controlli all'interno di un processo si basano sulla stessa estrazione di dati, convalidare l'estrazione una volta anziché separatamente per ciascun controllo.

Cosa significa per i team di audit

Ritirare l’approccio IPE tradizionale non significa abbandonare la validazione dei dati. Significa essere strategici su dove e come applicare lo sforzo di convalida. Concentrarsi sui sistemi e sui flussi di dati che comportano il rischio maggiore. Sfruttare gli ITGC e i controlli automatizzati per fornire garanzie sugli output del sistema.

I moderni strumenti di audit possono supportare questa transizione mantenendo collegamenti diretti tra i dati di origine e i fogli di lavoro, riducendo la necessità di convalida manuale. Piattaforme come Blast Audit, che estraggono e confrontano i dati all'interno di Excel, creano connessioni tracciabili tra prove e conclusioni che riducono la dipendenza dalla documentazione IPE autonoma.

L'obiettivo è reindirizzare gli sforzi dalla documentazione di basso valore verso analisi di valore superiore, rendendo in definitiva il processo di conformità SOX più efficiente ed efficace.