Indice

Quando i CUECs richiedono test full-period

L'ISA 330.10 stabilisce che quando si fa affidamento sull'efficacia operativa dei controlli, il revisore deve ottenere evidenze che i controlli abbiano operato efficacemente durante il periodo di tempo su cui si intende fare affidamento. Per i CUECs, questo principio si applica diversamente rispetto ai controlli manuali tradizionali.
Un controllo informatizzato completamente automatizzato (come un controllo di tre vie nel sistema AP che confronta ordine, ricevimento e fattura senza intervento umano) teoricamente opera in modo uniforme una volta configurato correttamente. Tuttavia, l'ISA 330.A42 chiarisce che anche per i controlli automatizzati, il revisore deve considerare quando e come spesso il controllo è stato applicato.
La distinzione chiave riguarda la stabilità dell'ambiente di controllo generale informatico (ITGC) che supporta il controllo specifico. Se l'ITGC è stabile e non sono stati apportati cambiamenti significativi al sistema durante l'anno, un test point-in-time può essere sufficiente. Se invece l'ambiente informatico è cambiato, serve un approccio diverso.
I fattori che richiedono test full-period includono:

  • Aggiornamenti significativi al software ERP durante l'anno
  • Cambiamenti nelle configurazioni di accesso o nei profili utente
  • Modifiche alle regole di business codificate nel sistema
  • Migrazione di dati tra sistemi o consolidamento di sistemi multipli

La distinzione tra controlli automatizzati e semi-automatizzati

L'ISA 330 non distingue esplicitamente tra controlli completamente automatizzati e semi-automatizzati, ma questa distinzione è operativamente rilevante per determinare l'approccio di test appropriato.
Controlli completamente automatizzati: Il sistema esegue il controllo senza intervento umano. Esempio: un controllo che rifiuta automaticamente gli ordini di acquisto sopra una soglia predefinita senza approvazione del manager. Una volta configurato, opera uniformemente ogni volta che si verifica la condizione trigger.
Controlli semi-automatizzati: Richiedono input o intervento umano per funzionare correttamente. Esempio: il sistema genera un report di eccezioni per fatture duplicate, ma richiede che un dipendente riveda il report e prenda provvedimenti. L'efficacia dipende tanto dal controllo automatizzato quanto dall'elemento umano.
Per i controlli completamente automatizzati con ITGC stabili, l'ISA 330.A42 supporta l'uso di evidenze di test ottenute in periodi precedenti, purché siano supportate da test degli ITGC rilevanti. Per i controlli semi-automatizzati, è necessario testare sia la componente automatizzata sia l'intervento umano per l'intero periodo.

Strategia di test per l'intero periodo

Il framework di test per l'intero periodo si articola in quattro componenti principali:
1. Valutazione iniziale dell'ambiente ITGC
Prima di progettare i test sui CUECs specifici, si valuta la stabilità dell'ambiente di controllo generale informatico. Questo include l'accesso al sistema, la gestione delle modifiche, le operazioni informatiche e la sicurezza dei dati. Se l'ITGC presenta carenze significative, i test sui CUECs devono essere più estensivi.
2. Identificazione dei punti di cambiamento significativi
Si documenta quando si sono verificati aggiornamenti del sistema, migrazioni di dati, o modifiche alle configurazioni durante l'anno. Ogni cambiamento significativo crea un "punto di rottura" che richiede test aggiuntivi per verificare che il controllo abbia continuato a operare efficacemente dopo il cambiamento.
3. Test stratificati per periodo
Invece di testare il controllo una sola volta, si progetta un approccio stratificato:
Ogni test deve confermare che il controllo opera come progettato in quel momento specifico.
4. Documentazione dei gap di copertura
Quando il test non può coprire l'intero periodo (per esempio, perché un sistema è stato implementato a metà anno), si documenta esplicitamente il gap e si progettano procedure alternative per coprire il periodo non testato.

  • Test iniziale all'inizio del periodo (gennaio-marzo)
  • Test intermedio se si sono verificati cambiamenti significativi (aprile-settembre)
  • Test finale nel periodo di chiusura (ottobre-dicembre)
  • Test di roll-forward sulle transazioni post-interim fino alla data di bilancio, secondo l'ISA 330.12, per confermare che le procedure eseguite prima del year-end restino valide; per Tessuti Industriali Milano questo significa selezionare almeno 5 ordini bloccati tra la data del test di ottobre e il 31 dicembre

Esempio pratico: Sistema ERP con aggiornamenti trimestrali

> Scenario di prova

Tessuti Industriali Milano S.r.l., produttore di tessuti tecnici con ricavi per EUR 28M, usa SAP Business One per gestire il ciclo ordine-to-cash. Il sistema include un controllo automatizzato che blocca la spedizione se il credito del cliente supera il limite approvato. Il sistema viene aggiornato ogni trimestre con nuove configurazioni di credito.

> Approccio di test per l'intero periodo:

> 1. Gennaio: Test iniziale del controllo di blocco credito. Selezione di 15 ordini che dovrebbero attivare il blocco, verifica che il sistema abbia impedito la spedizione.
> Documentazione: screenshot delle schermate di blocco, report di sistema che mostra gli ordini bloccati, conferma che nessun ordine bloccato è stato spedito.

> 2. Aprile: Dopo l'aggiornamento Q1, ripetizione del test su 10 transazioni. Verifica che i nuovi limiti di credito siano stati configurati correttamente e che il controllo funzioni con i parametri aggiornati.
> Documentazione: evidenza dell'aggiornamento del sistema, test dei nuovi parametri di controllo, conferma della continuità operativa.

> 3. Luglio: Test post-aggiornamento Q2. Focus sui clienti i cui limiti sono cambiati nel trimestre. Test di 12 transazioni che toccano i nuovi parametri.
> Documentazione: registro delle modifiche ai limiti di credito, test su clienti specifici interessati dalle modifiche.

> 4. Ottobre: Test finale pre-chiusura. Selezione di 20 transazioni dal periodo più recente per confermare l'efficacia operativa fino alla data di bilancio.
> Documentazione: test delle transazioni più recenti, conferma che non ci sono stati problemi operativi negli ultimi mesi.

> Conclusione: Il controllo di blocco credito ha operato efficacemente per tutto l'anno. I test stratificati hanno coperto ogni configurazione trimestrale del sistema. La documentazione dimostra continuità operativa nonostante gli aggiornamenti periodici. Un reviewer può tracciare l'efficacia del controllo dal 1° gennaio al 31 dicembre attraverso le evidenze raccolte.

Checklist operativa per i test CUECs

  • Identificare la natura del controllo: Completamente automatizzato o semi-automatizzato? La risposta determina l'intensità dei test richiesti.
  • Valutare la stabilità ITGC: Ci sono stati cambiamenti significativi nel sistema durante l'anno che potrebbero aver compromesso il controllo?
  • Mappare i punti di cambiamento: Documentare tutte le date in cui il sistema è stato modificato, aggiornato o riconfigurato durante il periodo.
  • Progettare test stratificati: Un test per ogni periodo stabile del sistema. Se il sistema non è cambiato, un test point-in-time può essere sufficiente.
  • Documentare i gap di copertura: Se il controllo non può essere testato per l'intero periodo, spiegare perché e quali procedure alternative sono state eseguite.
  • L'elemento più importante: Se fai affidamento su un controllo informatizzato per ridurre i test substantive, devi avere evidenze che quel controllo abbia funzionato per tutto il periodo su cui stai facendo affidamento. Non basta testarlo una volta a dicembre.

Errori comuni nella tempistica dei test

Test solo a fine anno per controlli che sono cambiati durante l'anno: Molti team testano i CUECs solo negli ultimi mesi del periodo contabile, anche quando sanno che il sistema è stato aggiornato significativamente durante l'anno.
Fare affidamento sui test dell'anno precedente senza verificare la continuità: L'ISA 330.A44 permette di usare evidenze dell'anno precedente solo se supportate da evidenze attuali che il controllo non è cambiato.

Risorse correlate

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.