L'ISAE 3402.25 richiede l'identificazione dei rischi significativi prima della progettazione dei controlli. Questo significa che ogni controllo nella matrice deve collegare a un rischio specifico. Non si puo costruire una matrice partendo dai controlli esistenti del cliente e sperare che coprano i rischi rilevanti.

Cosa imparerai

  • Come identificare e documentare i rischi significativi che la matrice deve coprire
  • Come classificare i controlli come chiave/non chiave utilizzando i criteri dell'ISAE 3402.39
  • Come strutturare la matrice per superare le revisioni ispettive e i controlli qualita
  • Come documentare la logica di mappatura rischio-controllo in modo che resista all'esame del partner

Cosa imparerai

  • Come identificare e documentare i rischi significativi che la matrice deve coprire
  • Come classificare i controlli come chiave/non chiave utilizzando i criteri dell'ISAE 3402.39
  • Come strutturare la matrice per superare le revisioni ispettive e i controlli qualita
  • Come documentare la logica di mappatura rischio-controllo in modo che resista all'esame del partner

I rischi alla base della matrice dei controlli

L'ISAE 3402.25 richiede l'identificazione dei rischi significativi prima della progettazione dei controlli. Questo significa che ogni controllo nella matrice deve collegare a un rischio specifico. Non si puo costruire una matrice partendo dai controlli esistenti del cliente e sperare che coprano i rischi rilevanti.
I rischi significativi nell'ISAE 3402 rientrano in tre categorie: completezza delle transazioni, accuratezza dell'elaborazione e autorizzazione delle modifiche ai dati principali. Per un service provider di elaborazione buste paga, un rischio significativo di completezza potrebbe essere "le ore lavorate dai dipendenti dell'ente utilizzatore non vengono registrate nel sistema o vengono elaborate in modo incompleto". Ogni controllo nella matrice deve mitigare questo o un altro rischio identificato specificamente.

Mappatura rischio-controllo secondo l'ISAE 3402


L'ISAE 3402.39 stabilisce che un controllo e chiave se la sua inefficacia potrebbe ragionevolmente risultare in un errore significativo nelle informazioni sul sistema oggetto della relazione. Questo non significa che ogni controllo importante e chiave. Significa che ogni controllo la cui mancanza porterebbe a errori significativi e chiave.
Il test pratico: se questo controllo venisse meno, quale errore specifico ne risulterebbe, e sarebbe significativo per l'ente utilizzatore? Se la risposta e vaga ("potrebbe causare problemi") o teorica ("potrebbe influire sulla qualita"), il controllo probabilmente non e chiave. Se la risposta e specifica ("gli stipendi verrebbero calcolati utilizzando aliquote fiscali errate"), il controllo potrebbe essere chiave.

Esempio pratico: Servizi di elaborazione contabile per PMI

Cliente: Sistemi Contabili Lombardi S.r.l., service provider specializzato nell'elaborazione della contabilita generale per studi commercialisti con clientela PMI. Elabora circa 850 aziende clienti con fatturato aggregato di EUR 420M annui.
Servizio oggetto della relazione: Elaborazione delle registrazioni contabili mensili dalle fatture di vendita e acquisto al bilancio di verifica.

Passo 1: Identificazione dei rischi significativi


Si identificano tre rischi significativi:
Nota di documentazione: documentare ogni rischio con riferimento specifico all'asserzione interessata (completezza, accuratezza, autorizzazione) nel memorandum di pianificazione.

Passo 2: Progettazione della matrice controlli-rischi


| Controllo | Rischio mitigato | Classificazione | Logica classificazione |
|-----------|------------------|-----------------|----------------------|
| Riconciliazione mensile delle fatture ricevute vs. registrate | Completezza | Chiave | L'inefficacia risulterebbe in fatture non registrate, errore significativo per l'ente utilizzatore |
| Controllo matematico automatizzato su tutti gli importi inseriti | Accuratezza | Chiave | L'inefficacia risulterebbe in errori di calcolo sistematici |
| Approvazione scritta per tutte le modifiche ai piani dei conti | Autorizzazione | Non chiave | Esistono controlli compensativi (revisione mensile del bilancio di verifica da parte dell'ente utilizzatore) |
Nota di documentazione: per ogni controllo chiave, documentare il controllo compensativo (se esiste) e perche non e sufficiente a mitigare il rischio da solo.

Passo 3: Test dei controlli chiave


Per ogni controllo classificato come chiave, l'ISAE 3402.40 richiede test di efficacia operativa. Nel caso della riconciliazione mensile:
Nota di documentazione: documentare la base per la selezione del campione e collegare i risultati dei test alla conclusione sull'efficacia del controllo.
  • Rischio di completezza: Le fatture fornite dagli enti utilizzatori non vengono registrate o vengono registrate in modo incompleto
  • Rischio di accuratezza: Gli importi delle fatture vengono registrati con errori di calcolo o classificazione contabile
  • Rischio di autorizzazione: Le modifiche ai piani dei conti vengono apportate senza autorizzazione degli enti utilizzatori
  • Natura del test: Ispezionare un campione di riconciliazioni mensili per verificare che gli scostamenti siano stati identificati e risolti
  • Tempistica: Testare tutti i 12 mesi del periodo coperto dalla relazione
  • Ampiezza: Selezionare 25 enti utilizzatori, testare la riconciliazione di marzo, giugno, settembre e dicembre

Lista di controllo pratica per la matrice ISAE 3402

  • Identificare prima i rischi, poi i controlli. Non partire mai dai controlli esistenti del cliente. Identificare i rischi significativi secondo l'ISAE 3402.25, poi verificare quali controlli li mitigano effettivamente.
  • Applicare il test dell'inefficacia per ogni controllo chiave. Se il controllo venisse meno, quale errore specifico risulterebbe? Se la risposta e vaga, riclassificare come non chiave o identificare un controllo piu diretto.
  • Documentare l'esistenza di controlli compensativi. Per ogni controllo non chiave, spiegare perche altri controlli (dell'ente utilizzatore o del service provider) sono sufficienti a mitigare il rischio.
  • Verificare la copertura completa dei rischi. Ogni rischio significativo identificato deve essere mitigato da almeno un controllo nella matrice. Nessun controllo nella matrice dovrebbe essere orfano (senza collegamento a un rischio specifico).
  • Testare tutti i controlli chiave per l'intero periodo. L'ISAE 3402.40 non consente gap nella tempistica dei test per i controlli chiave. Se un controllo e chiave, deve essere testato per tutto il periodo coperto dalla relazione.
  • La classificazione piu importante: Un controllo mal classificato (chiave quando dovrebbe essere non chiave, o viceversa) genera piu osservazioni ispettive di un controllo genuinamente inefficace ben documentato.

Errori comuni nella costruzione della matrice

  • Classificazione basata sull'importanza percepita: Molti team classificano un controllo come chiave perche "sembra importante" piuttosto che applicare il test dell'ISAE 3402.39. L'importanza non equivale alla chiave-ita.
  • Matrice costruita sui controlli esistenti: Partire dai controlli che il cliente gia ha e cercare di adattarli ai rischi produce una copertura incompleta. I controlli devono essere progettati per mitigare rischi specifici.
  • Documentazione della logica di classificazione inadeguata: La maggior parte delle osservazioni ispettive deriva da una logica di classificazione non documentata o non difendibile, non da controlli genuinamente inefficaci.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.