Contesto: Elettronica Moderna S.r.l., distributore di componenti elettronici con sede a Bologna, ricavi per EUR 18M, 45 dipendenti. Dal gennaio 2024 usa contabilità interamente cloud (SAP Business ByDesign) integrata con e-commerce B2B e sistemi di pagamento online.

Indice dei contenuti

I controlli che cambiano con il cloud

Controlli di accesso fisico vs digitale


L'ISA 315.A86 richiede di comprendere come l'entità protegge l'accesso ai propri registri contabili. In un sistema tradizionale, si verifica chi può accedere fisicamente agli uffici, alle cassaforti, agli archivi. Con la contabilità cloud, il controllo diventa interamente digitale: autenticazione a due fattori, gestione delle password, log di accesso, permessi utente granulari.
Il rischio di controllo non diminuisce. Si trasferisce. Se prima un dipendente doveva essere fisicamente presente per alterare i registri, ora può farlo da qualsiasi dispositivo con le credenziali giuste. L'ISA 330.A4 prevede che le procedure di validità si adeguino al livello di rischio identificato. In ambiente cloud, questo significa testare i controlli IT con maggiore profondità.

Backup e continuità operativa


L'ISA 570.A16 considera l'interruzione dei sistemi informativi come un indicatore di possibili problemi di continuità aziendale. Con sistemi tradizionali, si verificava l'esistenza di backup fisici, procedure di disaster recovery, sistemi di alimentazione di emergenza. In cloud, la responsabilità si sposta: il provider gestisce l'infrastruttura, ma l'azienda deve garantire che i dati siano sempre accessibili e che esistano procedure per il caso di interruzione del servizio.
Questo cambia cosa si documenta nella sezione continuità aziendale. Non si fotografano più server fisici o UPS. Si ottengono i Service Level Agreement (SLA) del provider cloud, si verificano le procedure di export dei dati, si testa la capacità di migration verso provider alternativi.

Identificazione dei rischi secondo l'ISA 315

Rischi di accuratezza nelle interfacce automatiche


L'ISA 315.23 richiede di identificare i rischi significativi a livello di asserzione. In contabilità cloud, il rischio più frequente riguarda l'accuratezza delle interfacce automatiche. Molte aziende integrano il sistema cloud con banche online, e-commerce, sistemi CRM. Ogni interfaccia può introdurre errori di riconciliazione automatica.
I controlli tradizionali verificavano le riconciliazioni manuali. Ora si deve comprendere la logica delle interfacce: come vengono abbinati i movimenti, cosa succede in caso di discrepanza, se esistono controlli automatici per transazioni anomale. L'ISA 315.A95 suggerisce di considerare l'impatto delle tecnologie informatiche sui controlli interni. In cloud, questo impatto è totale.

Segregazione dei compiti in ambiente digitale


Il principio di segregazione dei compiti dell'ISA 315.A107 si applica diversamente in cloud. Nei sistemi tradizionali, una persona preparava la fattura, un'altra la approvava, una terza registrava il pagamento. In cloud, lo stesso utente può teoricamente eseguire tutte e tre le operazioni dallo stesso schermo.
La segregazione diventa configurazione software. Si deve verificare che i permessi utente siano impostati correttamente, che esistano workflow di approvazione automatici, che ogni operazione lasci una traccia digitale identificabile. L'evidenza probativa non sono più fogli firmati ma log di sistema con timestamp e user ID.

Controlli sui cambiamenti ai master data


L'ISA 315.A123 include i controlli sui cambiamenti ai dati anagrafici come area di particolare attenzione. In cloud, modificare un fornitore, un cliente, un conto del piano dei conti può essere fatto con pochi click. Il rischio che modifiche non autorizzate alterino l'accuratezza delle registrazioni è amplificato.
Si devono testare i controlli di change management: chi può modificare i master data, se esistono approvazioni multi-livello, se le modifiche vengono logged con dettagli sufficienti per una audit trail completa. Molti sistemi cloud permettono di impostare controlli granulari, ma l'implementazione spetta all'azienda.

Procedure di validità in ambiente cloud

Circolarizzazione in formato digitale


L'ISA 505.7 permette di inviare richieste di conferma in formato elettronico, purché si verifichi l'affidabilità del processo. In contabilità cloud, spesso le conferme partono direttamente dal sistema verso fornitori e clienti che hanno account sulla stessa piattaforma.
Questo crea efficienza ma richiede controlli aggiuntivi. Si deve verificare che la richiesta sia effettivamente partita dal sistema (non intercettata), che la risposta provenga effettivamente dalla controparte (non da un account compromesso), che il processo di matching sia accurato. L'ISA 505.A7 suggerisce di considerare questi fattori quando si valuta l'affidabilità delle conferme elettroniche.

Estrazione e analisi dei dati


L'ISA 500.A14 riconosce che l'informazione contabile spesso esiste solo in formato elettronico. In cloud, questo è sempre vero. Le procedure di analisi comparativa dell'ISA 520 diventano più sofisticate perché si può accedere a dati granulari in tempo reale.
Si possono estrarre tutte le transazioni di un certo tipo, filtrarle per parametri specifici, eseguire analisi statistiche avanzate. Ma questo richiede competenze diverse. Il revisore deve saper utilizzare strumenti di data analytics o coinvolgere un specialist secondo l'ISA 620.14. L'evidenza probativa diventa più ricca ma anche più tecnica da valutare.

Controlli sui report automatici


Molti sistemi cloud generano report automatici: riconciliazioni bancarie, aging crediti, controlli di quadratura. L'ISA 330.A23 permette di fare affidamento sui controlli automatici se adequately designed e operating effectively.
Testare un controllo automatico significa verificare la logica di programmazione, non osservare una persona che esegue una procedura. Si devono controllare i parametri di configurazione, testare scenari edge case, verificare che le eccezioni vengano gestite correttamente. È un cambio di mindset: da osservazione comportamentale a auditing della configurazione software.

Esempio pratico: revisione di Elettronica Moderna S.r.l.

Contesto: Elettronica Moderna S.r.l., distributore di componenti elettronici con sede a Bologna, ricavi per EUR 18M, 45 dipendenti. Dal gennaio 2024 usa contabilità interamente cloud (SAP Business ByDesign) integrata con e-commerce B2B e sistemi di pagamento online.
Passo 1: Comprensione del sistema IT secondo ISA 315.12
Si documentano le integrazioni: e-commerce genera automaticamente fatture, i pagamenti online si riconciliano con i movimenti bancari, il magazzino si aggiorna in tempo reale dalle vendite. Ogni integrazione è un punto di controllo da testare.
Nota di documentazione: creare un flowchart che mostri ogni interfaccia automatica e i controlli associati. Includere screenshot della configurazione dei permessi utente.
Passo 2: Identificazione dei rischi ISA 315.25
Rischio significativo identificato: accuratezza delle riconciliazioni automatiche banca-contabilità. Il sistema abbina automaticamente i movimenti bancari alle fatture in base all'importo e alla data, ma non esiste controllo manuale su transazioni sopra EUR 5.000.
Nota di documentazione: documentare la logica di matching automatico e impostare procedure di test per transazioni anomale.
Passo 3: Design delle procedure di validità ISA 330.5
Per testare le riconciliazioni automatiche: estrazione di tutte le riconciliazioni del mese di settembre 2024, identificazione di quelle con discrepanze superiori a EUR 500, verifica che ogni discrepanza sia stata flagged dal sistema e risolta manualmente.
Nota di documentazione: utilizzare le funzioni di export del sistema per creare una lista completa. Testare un campione stratificato: 5 riconciliazioni perfette, 5 con discrepanze minori, 3 con discrepanze significative.
Passo 4: Test sui controlli di accesso digitale
Verifica che solo il CFO e l'amministratore di sistema possano modificare i master data fornitori. Test: tentativo di modifica di un fornitore con account utente standard (fallisce), verifica del log che registra chi ha modificato il fornitore principale ad agosto (CFO, timestamp preciso).
Nota di documentazione: screenshot dei permessi utente e del log delle modifiche. Includere la policy aziendale sui cambiamenti ai master data.
Passo 5: Analisi dei dati con tools ISA 520.5
Estrazione di tutte le fatture di vendita Q1-Q3 2024, analisi della distribuzione per identificare anomalie. Identificate 12 fatture con prezzi unitari anomali (componenti venduti sotto il costo di acquisto). Verifica: si tratta di vendite a clienti strategici con accordi di volume pre-negoziati, approvate dal management.
Nota di documentazione: includere query utilizzata per l'estrazione e i parametri dell'analisi. Documentare la spiegazione management per ogni anomalia identificata.
Conclusione: Il sistema cloud ha controlli adequately designed per prevenire errori significativi, ma richiede competenze IT specialist per una valutazione completa. La trail audit è più dettagliata rispetto ai sistemi tradizionali, ma l'interpretazione richiede comprensione della configurazione software.

Checklist operativa per audit cloud

  • Ottenere la documentazione del sistema IT secondo ISA 315.13: architettura cloud, integrazioni, procedure di backup, SLA con provider, policy di sicurezza dei dati.
  • Mappare tutti i controlli automatici secondo ISA 315.A95: riconciliazioni automatiche, controlli di completezza, workflow di approvazione, segregazione digitale dei compiti.
  • Testare l'efficacia dei controlli di accesso: verification a due fattori, gestione password, timeout sessioni, log degli accessi, permessi granulari per tipo di transazione.
  • Verificare la continuità dei dati secondo ISA 570.A16: procedure di backup, test di disaster recovery, capacità di export, piani di migration, SLA del provider per uptime.
  • Eseguire procedure di data analytics secondo ISA 520.5: estrazione completa di popolazioni, analisi statistiche per identificare outlier, test di accuratezza su interfacce automatiche.
  • Coinvolgere IT specialist quando necessario secondo ISA 620.9: per valutazione controlli complessi, penetration testing, assessment della security infrastructure, review della configurazione software.

Errori comuni nei controlli cloud

  • Assumere che i controlli cloud siano automaticamente più affidabili: i controlli automatici richiedono design e monitoring adeguati quanto quelli manuali. L'ISA 330.A23 richiede test specifici per verificarne l'efficacia operativa.
  • Non testare i controlli sul change management: modifiche alla configurazione software possono compromettere l'efficacia dei controlli senza lasciare evidenze visibili. Ogni modifica ai parametri di sistema dovrebbe essere documentata e approvata.
  • Sottovalutare la complessità delle integrazioni: ogni interfaccia tra sistemi può introdurre errori di conversione, timing, completezza. L'ISA 315.A129 richiede di comprendere tutti i sistemi significativi che alimentano il financial reporting.
  • Non ottenere e valutare il report SOC 1 Type II del provider cloud: l'ISA 402.12 richiede che il revisore consideri se la relazione di un service auditor sul service organization fornisce evidenza sufficiente sull'efficacia dei controlli rilevanti. Per Elettronica Moderna S.r.l. con ricavi EUR 18M su SAP Business ByDesign, il revisore deve ottenere il report SOC 1 Type II di SAP relativo al periodo coperto dal bilancio e valutare se i Complementary User Entity Controls (CUEC) elencati sono stati implementati dal cliente. L'omissione di questo passaggio è uno dei rilievi ricorrenti nelle ispezioni Consob sugli studi mid-tier italiani nel 2024.

Risorse correlate

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.