Cosa imparerete

Come strutturare e documentare un incarico ISAE 3000 dalla fase di accettazione alla relazione finale
Quali sono i criteri per determinare la fattibilità di un incarico di assurance secondo l'ISAE 3000.17
Come distinguere tra assurance ragionevole e limitata nei diversi contesti applicativi
Come gestire le situazioni in cui i criteri di valutazione risultano inadeguati o non disponibili pubblicamente

Indice dei contenuti

Ambito di applicazione dell'ISAE 3000

L'ISAE 3000 (Revised) si applica a tutti gli incarichi di assurance che non sono disciplinati da altri ISAE specifici. Il principio definisce l'assurance come l'incremento del livello di fiducia che gli utilizzatori previsti possono riporre nelle informazioni oggetto dell'incarico.

Quando si applica l'ISAE 3000


L'ISAE 3000.12 richiede che sussistano cinque elementi essenziali per la fattibilità dell'incarico:
Quando manca anche uno solo di questi elementi, l'incarico non può essere svolto secondo l'ISAE 3000. Il professionista deve valutare la fattibilità prima dell'accettazione e documentare questa valutazione nella lettera di incarico.

Oggetti appropriati secondo l'ISAE 3000.24


Un oggetto è appropriato quando presenta le seguenti caratteristiche:
L'ISAE 3000.A45 fornisce esempi di oggetti appropriati: sistemi di controllo interno, conformità normativa, sostenibilità delle prestazioni operative, efficacia dei sistemi informativi, performance non finanziarie.

  • Un rapporto a tre parti (professionista, parte responsabile, utilizzatori previsti)
  • Un oggetto appropriato
  • Criteri idonei
  • Evidenze sufficienti e appropriate
  • Una relazione scritta in forma appropriata per un incarico di assurance ragionevole o limitata
  • È identificabile e può essere valutato o misurato in modo sufficientemente uniforme usando i criteri
  • Le informazioni sull'oggetto possono essere soggette a procedure che consentano di raccogliere evidenze sufficienti e appropriate
  • Non è così soggettivo o incerto da non consentire una valutazione ragionevolmente coerente usando i criteri

Tipi di incarico e livelli di assurance

L'ISAE 3000 distingue tra incarichi di assurance ragionevole e incarichi di assurance limitata. La scelta del livello dipende dalle esigenze degli utilizzatori e dalle circostanze dell'incarico.

Assurance ragionevole (ISAE 3000.7(a))


Negli incarichi di assurance ragionevole, il professionista riduce il rischio dell'incarico a un livello accettabilmente basso per esprimere una conclusione positiva. La conclusione viene formulata in modo da incrementare il livello di fiducia degli utilizzatori previsti sull'esito della valutazione dell'oggetto rispetto ai criteri.
La relazione esprime la conclusione indicando se, sotto tutti gli aspetti significativi, l'oggetto è conforme ai criteri applicabili oppure se le informazioni sull'oggetto sono attendibili.

Assurance limitata (ISAE 3000.7(b))


Negli incarichi di assurance limitata, il professionista riduce il rischio dell'incarico a un livello accettabile in circostanze di incarico, ma dove tale rischio è maggiore del rischio di un incarico di assurance ragionevole. La conclusione viene formulata in modo da incrementare il livello di fiducia degli utilizzatori previsti sull'oggetto.
La relazione esprime la conclusione indicando se è venuto alla sua attenzione qualcosa che gli faccia ritenere che l'oggetto non sia, sotto tutti gli aspetti significativi, conforme ai criteri applicabili.

Criteri per la scelta del livello di assurance


L'ISAE 3000.A9 identifica i fattori che influenzano la scelta:

  • Circostanze dell'incarico, comprese le caratteristiche dell'oggetto
  • Esigenze degli utilizzatori previsti
  • Considerazioni sui costi e benefici
  • Natura e caratteristiche dell'oggetto
  • Disponibilità di evidenze

Fasi dell'incarico: dalla pianificazione alla relazione

Fase 1: Accettazione e continuazione (ISAE 3000.17-25)


Prima di accettare l'incarico, il professionista deve determinare se sono soddisfatti tutti i presupposti per l'incarico di assurance. Questa valutazione include:
La verifica dell'appropriatezza dell'oggetto secondo i criteri dell'ISAE 3000.24. L'oggetto deve essere identificabile, misurabile e non eccessivamente soggettivo.
La valutazione dell'idoneità dei criteri. L'ISAE 3000.36 richiede che i criteri siano rilevanti, completi, attendibili, neutri e comprensibili. Se i criteri sono sviluppati specificamente per l'incarico, il professionista deve valutarne l'appropriatezza e comunicarla nella relazione.
La conferma della disponibilità di evidenze sufficienti e appropriate. Il professionista deve poter svolgere procedure che producano evidenze per supportare la conclusione.

Fase 2: Pianificazione (ISAE 3000.39-44)


L'ISAE 3000.39 richiede di pianificare l'incarico per svolgerlo in modo efficace. La pianificazione include:
La pianificazione deve essere documentata in modo sufficiente per consentire a un professionista esperto, che non abbia avuto precedente collegamento con l'incarico, di comprendere la natura, la tempistica e l'ampiezza delle procedure pianificate.

Fase 3: Raccolta delle evidenze (ISAE 3000.45-60)


Il professionista deve raccogliere evidenze sufficienti e appropriate. L'ISAE 3000.45 definisce le evidenze come sufficienti quando sono adeguate in quantità e appropriate quando sono rilevanti e attendibili.
Le procedure per la raccolta delle evidenze includono:
L'ISAE 3000.48 richiede che il professionista ottenga una comprensione dell'oggetto e di altre circostanze dell'incarico sufficiente per identificare e valutare i rischi che le informazioni sull'oggetto possano essere significativamente errate, e per progettare e svolgere ulteriori procedure.

Fase 4: Formazione della conclusione e reporting (ISAE 3000.61-98)


Il professionista deve formare una conclusione sull'oggetto basandosi sulle evidenze ottenute. La conclusione deve essere chiaramente espressa e deve incrementare il livello di fiducia degli utilizzatori previsti.
La relazione deve contenere gli elementi richiesti dall'ISAE 3000.67:

  • Sviluppo di una strategia generale per l'ambito, la tempistica e la direzione dell'incarico
  • Sviluppo di un piano dettagliato per la natura, la tempistica e l'ampiezza delle procedure
  • Identificazione delle caratteristiche dell'incarico che definiscono il suo ambito
  • Determinazione degli obiettivi di reportistica e della natura delle comunicazioni richieste
  • Ispezione di documenti e registrazioni
  • Osservazione di processi o procedure
  • Richiesta di informazioni e conferme
  • Ricalcolo, riesecuzione e riconciliazione
  • Procedure di analisi comparativa
  • Un titolo che indichi chiaramente che si tratta di una relazione di assurance indipendente
  • Un destinatario
  • L'identificazione dell'oggetto e delle informazioni sull'oggetto
  • L'identificazione dei criteri
  • Una dichiarazione per limitare l'uso della relazione quando appropriato
  • Una descrizione delle responsabilità della parte responsabile
  • Una descrizione delle responsabilità del professionista
  • Una dichiarazione che l'incarico è stato svolto secondo l'ISAE 3000
  • La conclusione del professionista
  • La firma del professionista e la data della relazione

Esempio pratico: incarico di assurance su sistema di controllo interno

Contesto dell'incarico


Cliente: Bergamo Logistics S.r.l., società di trasporti e logistica con sede a Bergamo, fatturato annuo di EUR 85 milioni, 320 dipendenti.
Oggetto dell'incarico: Efficacia del sistema di controllo interno sui processi di fatturazione e incasso per l'esercizio 2024.
Criteri: Framework COSO 2013 adattato alle specificità del settore trasporti.
Livello di assurance: Assurance ragionevole.

Sviluppo dell'incarico passo per passo


Passo 1: Valutazione dei presupposti per l'incarico
Il professionista verifica che l'oggetto (sistema di controllo interno sui processi di fatturazione e incasso) sia appropriato secondo l'ISAE 3000.24. L'oggetto è identificabile, può essere valutato usando i criteri COSO, e le evidenze sono disponibili attraverso l'ispezione della documentazione, test sui controlli e interviste.
Documentazione: Memorandum di accettazione che documenta la valutazione di tutti e cinque i presupposti dell'ISAE 3000.12
Passo 2: Definizione della strategia di incarico
Si identifica l'ambito dell'incarico limitandolo ai processi di fatturazione e incasso. Si definiscono le cinque componenti COSO da valutare: ambiente di controllo, valutazione del rischio, attività di controllo, informazioni e comunicazione, attività di monitoraggio.
Documentazione: Piano strategico che identifica i processi in scope, i controlli chiave da testare per ogni componente COSO, le tempistiche e le risorse necessarie
Passo 3: Comprensione dell'oggetto e valutazione dei rischi
Si mappano i processi di fatturazione e incasso identificando 45 controlli chiave distribuiti sulle cinque componenti COSO. Si valuta il rischio che questi controlli possano presentare deficienze significative.
Documentazione: Flowchart dei processi, matrice dei controlli con indicazione del rischio associato, valutazione preliminare dell'efficacia per ogni componente
Passo 4: Svolgimento delle procedure di assurance
Per ogni controllo chiave si svolgono test di funzionamento su un campione di operazioni. Per i controlli automatizzati si testa la logica del sistema e si verifica l'assenza di modifiche non autorizzate. Per i controlli manuali si testa l'evidenza documentale su un campione rappresentativo.
Documentazione: Carte di lavoro dettagliate per ogni controllo testato, con evidenza delle procedure svolte, dimensione del campione, criteri di selezione, risultati ottenuti
Passo 5: Valutazione delle evidenze e formazione della conclusione
Si analizzano tutti i risultati dei test per determinare se il sistema di controllo interno è efficace secondo i criteri COSO. Si identificano tre deficienze minori (segregazione dei compiti in un processo secondario, tempistica di riconciliazione mensile, completezza di una procedura di backup) ma nessuna deficienze significativa.
Documentazione: Memorandum di conclusione che sintetizza tutti i risultati, analizza l'impatto aggregato delle deficienze identificate, supporta la conclusione finale
Risultato: Il sistema di controllo interno sui processi di fatturazione e incasso di Bergamo Logistics S.r.l. è efficace, sotto tutti gli aspetti significativi, secondo i criteri stabiliti basati sul framework COSO 2013. Le tre deficienze minori identificate non compromettono l'efficacia complessiva del sistema ma sono state comunicate alla direzione per miglioramento.

Checklist operativa per incarichi ISAE 3000

  • Verificare i presupposti per l'incarico secondo l'ISAE 3000.12: confermare l'esistenza di un rapporto a tre parti, un oggetto appropriato, criteri idonei, possibilità di raccogliere evidenze sufficienti, e possibilità di preparare una relazione appropriata.
  • Documentare la strategia generale dell'incarico: identificare l'ambito, la tempistica, gli obiettivi di reportistica e le risorse necessarie prima di iniziare le procedure dettagliate.
  • Ottenere una comprensione sufficiente dell'oggetto (ISAE 3000.48): mappare i processi, identificare i controlli chiave, valutare i rischi prima di progettare le procedure specifiche.
  • Progettare procedure responsive ai rischi identificati: ogni procedura deve essere collegabile a un rischio specifico e deve produrre evidenze rilevanti per la conclusione.
  • Mantenere lo scetticismo professionale (ISAE 3000.34): questionare le evidenze contraddittorie, verificare indipendentemente le affermazioni significative, investigare le circostanze inusuali.
  • Documentare in modo completo le procedure svolte e i risultati ottenuti: ogni conclusione nella relazione deve essere supportabile attraverso la documentazione del fascicolo di lavoro secondo l'ISAE 3000.79.

Errori frequenti nella documentazione

  • Collegamento insufficiente tra procedure e rischi: I fascicoli spesso contengono procedure generiche non chiaramente collegate ai rischi specifici dell'oggetto valutato.
  • Conclusioni non supportate da evidenze sufficienti: Le relazioni esprimono conclusioni definitive basandosi su test limitati o procedure superficiali senza considerare la necessità di evidenze proporzionate al livello di assurance.
  • Criteri inadeguatamente definiti o comunicati: I criteri vengono assunti come noti senza una comunicazione esplicita agli utilizzatori, oppure vengono usati criteri troppo generici per l'oggetto specifico.

Risorse correlate

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.