L'ISA 402.16 richiede al revisore dell'entità utente di determinare se il report dell'organizzazione di servizi fornisce evidenze sufficienti e appropriate per supportare l'opinione del revisore sull'informativa finanziaria dell'entità utente.
Indice dei contenuti
Requisiti dell'ISA 402 per la revisione dei report
L'ISA 402.16 richiede al revisore dell'entità utente di determinare se il report dell'organizzazione di servizi fornisce evidenze sufficienti e appropriate per supportare l'opinione del revisore sull'informativa finanziaria dell'entità utente.
Elementi obbligatori di valutazione
Il revisore deve valutare tre aspetti del report secondo l'ISA 402.17:
Copertura temporale. Il periodo coperto dal report deve includere un periodo significativo durante l'esercizio sottoposto a revisione. L'ISA 402.A25 chiarisce che una lacuna breve all'inizio o alla fine del periodo non impedisce necessariamente l'affidamento, ma richiede procedure aggiuntive per il periodo non coperto.
Pertinenza dei controlli. I controlli descritti nel report devono affrontare i rischi che il revisore ha identificato come rilevanti per le asserzioni nelle componenti delle voci di bilancio interessate. Un report generico sui controlli IT non affronta necessariamente i rischi sui cut-off dei ricavi se l'organizzazione di servizi elabora solo backup dei dati.
Adeguatezza dei test del revisore dei servizi. Per un report Type II, l'ISA 402.A27 richiede di valutare se la natura, tempistica ed estensione dei test effettuati dal revisore dei servizi sono appropriati per l'asserzione che il revisore dell'entità utente deve testare.
Quando il report non è sufficiente
L'ISA 402.18 specifica che se il report dell'organizzazione di servizi non fornisce evidenze sufficienti e appropriate, il revisore deve ottenere tale informazione dall'organizzazione di servizi o eseguire procedure alternative presso l'entità utente.
Le procedure alternative includono: ispezione dei registri e documenti presso l'entità utente, osservazione dell'applicazione di specifici controlli presso l'entità utente, o esecuzione di test sostanziali aggiuntivi.
Valutazione dell'affidabilità del report SOC
La valutazione dell'affidabilità si concentra su tre fattori secondo l'ISA 402.A26.
Competenza del revisore dei servizi
Verificate che il revisore che ha emesso il report sia qualificato per condurre un incarico ISAE 3402. In Europa, questo significa generalmente un revisore contabile abilitato presso un registro professionale nazionale. I report emessi da consulenti non abilitati alla revisione contabile non soddisfano i requisiti dell'ISA 402.
Il report deve indicare chiaramente che l'incarico è stato condotto secondo l'ISAE 3402 o un principio equivalente riconosciuto (SOC 1 negli Stati Uniti).
Indipendenza del revisore dei servizi
L'ISA 402.A26 richiede di considerare se esistono circostanze che potrebbero compromettere l'indipendenza del revisore dei servizi. I segnali di allarme includono: fee ricorrenti rappresentano una percentuale significativa dei ricavi totali del revisore, il revisore fornisce anche servizi di consulenza all'organizzazione di servizi, o esistono relazioni commerciali tra il revisore e l'organizzazione di servizi.
Se sussistono dubbi sull'indipendenza, documentate le circostanze specifiche e considerate se ottenere evidenze aggiuntive attraverso procedure alternative.
Qualità del report
Un report di qualità secondo l'ISAE 3402.44 include: una descrizione dettagliata dei controlli testati, i criteri utilizzati per progettare e implementare i controlli, i test effettuati dal revisore dei servizi con dettagli su natura, tempistica ed estensione, e i risultati dei test incluse tutte le eccezioni identificate.
Report troppo generici ("tutti i controlli hanno funzionato efficacemente") senza dettagli sui test effettuati non forniscono evidenze utilizzabili per ridurre le procedure di validità.
Come determinare la rilevanza dei controlli
La rilevanza si valuta collegando i controlli descritti nel report ai rischi specifici identificati durante la valutazione del rischio secondo l'ISA 315.
Controlli rilevanti per l'accuratezza dei ricavi
Se l'organizzazione di servizi elabora transazioni di vendita, i controlli rilevanti includono: validazione automatica dei prezzi applicati rispetto ai listini approvati, controlli di autorizzazione per sconti superiori alle soglie predefinite, riconciliazioni automatiche tra ordini, spedizioni e fatturazione, e controlli di cut-off per garantire che le vendite siano registrate nel periodo corretto.
Un controllo che verifica solo l'integrità dei backup non affronta il rischio di accuratezza dei ricavi, anche se opera efficacemente.
Controlli rilevanti per la completezza delle registrazioni
Per la completezza, i controlli rilevanti includono: numerazione sequenziale obbligatoria dei documenti di spedizione con controlli sulle lacune, riconciliazioni periodiche tra sistema di warehouse management e sistema contabile, e controlli per garantire che tutte le transazioni autorizzate vengano elaborate.
Controlli generali vs. controlli applicativi
L'ISA 402.A18 distingue tra controlli generali IT (accesso logico, change management, backup) e controlli applicativi specifici. Per ridurre i test sostanziali, servono tipicamente entrambi: i controlli generali supportano l'affidabilità dei controlli applicativi, ma solo i controlli applicativi affrontano direttamente i rischi sulle asserzioni di bilancio.
Esempio pratico: Data center per sistema ERP
Manifatture Tessili Lombarde S.p.A. (ricavi: EUR 89M) utilizza i servizi di hosting di Datacenter Europa S.r.l. per il sistema ERP che elabora l'intero ciclo order-to-cash. Il report SOC 1 Type II copre il periodo dal 1 gennaio al 31 dicembre 2023. L'esercizio della società è 2024.
Passo 1: valutazione della copertura temporale
Il report copre tutto il 2023, ma l'esercizio under audit è il 2024. Lacuna temporale: 12 mesi completi.
Nota di documentazione: "Report SOC 1 copre 2023. Esercizio under audit: 2024. Lacuna temporale troppo ampia per fare affidamento sui controlli (ISA 402.A25). Richiesto report aggiornato o procedure alternative."
Passo 2: richiesta report aggiornato
Il cliente ottiene il report 2024, che copre dal 1 gennaio al 30 settembre 2024. Lacuna residua: 3 mesi (ottobre-dicembre 2024).
Nota di documentazione: "Report 2024 copre gennaio-settembre. Lacuna Q4 2024 coperta attraverso inquiry al management e testing di controlli compensativi presso il cliente per ottobre-dicembre."
Passo 3: valutazione dei controlli rilevanti
Il report descrive 15 controlli. Di questi, 3 sono rilevanti per l'accuratezza e completezza dei ricavi:
Nota di documentazione: "Controlli SOC-04, SOC-07, SOC-11 affrontano rischi identificati su accuratezza/completezza ricavi. Altri controlli nel report relativi a backup/sicurezza non rilevanti per asserzioni revenue."
Passo 4: valutazione dell'efficacia operativa
Tutti e tre i controlli rilevanti hanno operato efficacemente senza eccezioni. Il revisore dei servizi ha testato ciascun controllo su un campione di 25 transazioni mensili (totale: 225 transazioni per controllo).
Nota di documentazione: "Controlli rilevanti operativi senza eccezioni. Sample size adeguato per population giornaliera di ~400 transazioni. Riduzione planned substantive procedures da 60 a 25 item su revenue accuracy."
Conclusione
La combinazione del report SOC per gennaio-settembre e delle procedure alternative per il Q4 fornisce evidenze sufficienti per ridurre i test sostanziali sui ricavi da 60 a 25 item testati.
- Controllo SOC-04: Validazione automatica prezzi vs. master price list
- Controllo SOC-07: Riconciliazione giornaliera order/shipment/invoice
- Controllo SOC-11: Numerazione sequenziale fatture con controlli su lacune
Checklist per la documentazione
- Ottenere e leggere il report completo: Verificare che sia un report Type II secondo ISAE 3402 o SOC 1 e che includa l'opinion del revisore senza rilievi significativi per i controlli rilevanti.
- Valutare la copertura temporale: Documentare se il periodo del report copre una porzione significativa dell'esercizio under audit. Per lacune superiori a 3 mesi, pianificare procedure alternative (ISA 402.A25).
- Identificare i controlli rilevanti: Collegare specifici controlli descritti nel report ai rischi identificati nella risk assessment. Non tutti i controlli nel report sono rilevanti per tutte le asserzioni.
- Verificare l'efficacia dei controlli rilevanti: Per ogni controllo rilevante, confermare che abbia operato efficacemente durante il periodo testato senza eccezioni che compromettano l'affidabilità.
- Documentare l'impatto sulla strategia di audit: Specificare come l'affidamento sui controlli dell'organizzazione di servizi modifica la natura, tempistica ed estensione delle procedure di validità pianificate.
- Il punto essenziale: Un report SOC/ISAE 3402 riduce i vostri test solo se copre il periodo rilevante, i controlli descritti affrontano i vostri rischi specifici, e avete documentato il collegamento tra controlli efficaci e riduzione delle procedure sostanziali.
Errori comuni nell'utilizzo dei report
- Affidamento automatico: Assumere che qualsiasi report SOC 1 "clean" permetta di ridurre i test, senza valutare la rilevanza dei controlli specifici per le asserzioni testate.
- Ignorare le lacune temporali: Utilizzare un report dell'anno precedente senza considerare procedure alternative per i periodi non coperti, violando l'ISA 402.A25.
Contenuti correlati
- Glossario ISA 402 - Organizzazione di servizi: Definizione di organizzazione di servizi e controlli complementari dell'entità utente
- Calcolatore di materialità: Per determinare la soglia sotto cui le eccezioni nei controlli dell'organizzazione di servizi sono da considerare non significative
- Guida ISA 315: Identificazione dei rischi: Come identificare i rischi che i controlli dell'organizzazione di servizi devono affrontare per essere rilevanti