Sommario

1. La cornice ISAE 3402 e dove si rompe 2. Identificazione e mapping dei CUEC 3. Esempio operativo: payroll provider e i 12 CUEC che contano 4. Test di efficacia operativa quando il CUEC non c'e 5. Documentazione, reporting e il bollettino CONSOB 6. Checklist operativa

La cornice ISAE 3402 e dove si rompe

ISAE 3402.A30 stabilisce la distinzione che dovrebbe governare tutto il resto. I controlli diretti operano indipendentemente dall'entità utente. I CUEC presuppongono azioni specifiche del cliente (configurare limiti di approvazione, riconciliare saldi, comunicare cessazioni entro 48 ore) perche il controllo del service provider funzioni. ISAE 3402.A52 considera "inadeguato" qualsiasi report che non descriva specificamente i CUEC.

Sulla carta, la cornice tiene. Il service auditor identifica i CUEC, li descrive nel report SOC tipo II, lo user auditor li recepisce e li testa presso il proprio cliente. ISA Italia 402.15 chiude il cerchio: lo user auditor deve ottenere comprensione dei controlli rilevanti per l'audit, anche quando vivono fuori dal perimetro del cliente.

In pratica, il problema che vediamo piu spesso e a monte. Il report SOC arriva con un elenco di 30 o 40 CUEC scritti in linguaggio generico ("the user entity should ensure segregation of duties in its access provisioning"). La direzione del cliente legge l'elenco, lo gira al revisore. Il revisore lo allega al fascicolo. Nessuno fa il lavoro di mapping ai control objective specifici, perche quel lavoro richiede ore aggiuntive che il forfait non copre.

Pero la cornice non e sbagliata, e dove fallisce

Va riconosciuto: ISAE 3402 fa il suo mestiere. La distinzione CUEC vs CSOC (Complementary Sub-service Organization Controls) e tecnicamente pulita, .B14-B19 spiega bene la dipendenza tra controlli del provider e azioni dell'utente, .25-.27 disciplina il testing del service auditor. Si accetta parzialmente la cornice.

Si diverge sul punto in cui vive il giudizio professionale. Lo standard presume che il mapping CUEC-rischi sia un esercizio meccanico di lettura del report. Nei fascicoli che vediamo, e dove tutto si gioca. Un CUEC scritto come "the user entity reviews exception reports" puo coprire un control objective sull'esistenza dei ricavi o uno sulla valutazione dei crediti. Sono test diversi, evidenze diverse, sample size diversi. La carta SOC non lo dice. Deve dirlo il revisore.

Identificazione e mapping dei CUEC

Si parte dal control objective, non dall'elenco CUEC. Il revisore razionale legge prima la sezione "Description of the System" del report SOC, identifica i control objective rilevanti per le proprie financial statement assertion, e solo dopo va a cercare quali CUEC ricadono sotto quei control objective.

il filtro di pertinenza

Non tutti i CUEC del report sono pertinenti al cliente. ISAE 3402.A29 lo dice in modo implicito quando richiede al service auditor di identificare "the specific controls" che dipendono dall'entità utente. Il revisore filtra: di 30 CUEC nel report, quanti riguardano transazioni materiali del cliente? Quanti riguardano sistemi che il cliente effettivamente usa nella configurazione standard?

ISAE 3402 prevede X. Nei fascicoli, il filtro spesso non viene fatto. Si copia l'elenco intero, si tickano tutti, e quando arriva l'ispezione CONSOB la domanda e: perche ha testato i CUEC su moduli che il cliente non usa? Risposta nessuna.

il mapping ai control objective e ai rischi

Ogni CUEC pertinente si lega a uno o piu control objective del report SOC, che a loro volta si legano alle financial statement assertion. ISA Italia 315 obbliga la valutazione dei rischi a livello di asserzione. Il mapping e:

- CUEC -> Control Objective del provider - Control Objective -> Risk of Material Misstatement (RoMM) sul bilancio del cliente - RoMM -> Procedura del revisore (test of controls + sostantiva, o solo sostantiva)

Se il CUEC riguarda la riconciliazione mensile dei saldi ferie con il provider payroll, il control objective riguarda l'accuratezza del calcolo retribuzioni, il RoMM riguarda l'asserzione di accuratezza sui costi del personale. Il test del revisore tocca il CUEC presso il cliente, non il controllo presso il provider.

il giudizio sulla specificità

ISAE 3402.A52 considera inadeguate le descrizioni generiche. La direzione che riceve un CUEC scritto come "the user entity implements appropriate controls" si trova davanti a un buco. Il revisore deve capire se quel buco e:

- una carenza redazionale del service auditor (chiede al cliente di estrarre dal SOC le specifiche operative) - una carenza progettuale del controllo (il provider non ha mai definito cosa serve davvero) - una carenza implementativa del cliente (il controllo e definito ma non eseguito)

Sono tre conclusioni diverse, con tre risposte d'audit diverse. Il sindaco che firma in calce vuole sapere quale delle tre.

Esempio operativo: payroll provider e i 12 CUEC che contano

Scenario. Gestione Stipendi Europa S.r.l., service provider con sede a Milano, elabora retribuzioni per 450 aziende clienti. Il report SOC tipo II elenca 30 CUEC. Il cliente e una S.p.A. industriale con 180 dipendenti, tre stabilimenti, due persone in amministrazione.

Il revisore filtra: dei 30 CUEC, 12 sono pertinenti (gli altri riguardano moduli di reporting non attivati o configurazioni non utilizzate). Mappa i 12 CUEC a 4 financial statement assertion: esistenza, completezza, accuratezza, valutazione dei costi del personale e dei debiti verso dipendenti.

I primi tre CUEC vanno bene

CUEC 1: la direzione rivede e approva mensilmente nuovi inseriti e modifiche anagrafiche prima della trasmissione al provider. Test del revisore: campione di 25 modifiche, evidenza di approvazione documentata, hit rate 24/25. Eccezione minore documentata.

CUEC 2: l'azienda comunica al provider entro 48 ore le cessazioni con modulo CESS-01. Test: 15 cessazioni nell'esercizio, 14 comunicate nei tempi, una in ritardo di 5 giorni. Il revisore documenta nelle carte di lavoro la deviazione e l'assenza di impatto sostanziale (la cessazione tardiva non ha generato pagamenti errati).

CUEC 3: riconciliazione mensile saldi ferie con i registri interni. Test su 3 mesi, riconciliazioni firmate dal responsabile HR. Tutto in ordine.

La complicazione

CUEC 4: il provider richiede separation of duties tra chi inserisce le fatture di personale (anticipi, rimborsi) e chi le approva nel sistema cloud. Il cliente ha due persone in amministrazione. Una sola inserisce e approva, perche l'altra fa ciclo passivo generale. Il CUEC non e implementato.

Cosa dice ISAE 3402? Non dice nulla al revisore-utente. Lo standard regola il service auditor. La risposta del revisore vive in ISA Italia 330 (risposte ai rischi valutati) e ISA Italia 705 (modifica dell'opinione). La direzione propone una riunione, sostiene che il rischio e mitigato dal fatto che gli importi sono modesti e che il sindaco visiona mensilmente i tabulati. Si discute. La decisione si prende qui, non sul report SOC.

Tre posizioni difendibili

Posizione A. Il revisore qualifica l'opinione per limitazione dello scope ai sensi di ISA Italia 705. Il CUEC e critico per l'asserzione di accuratezza, non e implementato, non esiste evidenza alternativa sufficiente. Si modifica il giudizio.

Posizione B. Il revisore eseguirebbe procedure sostantive estese ai sensi di ISA Italia 330: test di dettaglio sul 100% degli anticipi e rimborsi del periodo, ricalcolo dei contributi, verifica della completezza tramite cut-off test esteso. La carenza di SoD si compensa con sostantiva, l'opinione resta non modificata.

Posizione C. Il revisore valuta che il rischio aggregato (CUEC mancante + dimensione ridotta del team amministrativo + assenza di altri controlli compensativi) configura una situazione che richiede valutazione ai sensi dell'art. 2409-quater C.C. Discussione con il collegio sindacale, eventualmente cessazione anticipata.

Tutte e tre le posizioni hanno fondamento. Posizione B e quella che vediamo piu spesso nei fascicoli, ed e quella che CONSOB contesta piu spesso quando ispeziona, perche le carte sono leggere: il revisore scrive "estese procedure sostantive" senza specificare quali, su che popolazione, con quale logica di sample size. Le carte si scrivono dopo, e si vede.

Test di efficacia operativa quando il CUEC non c'e

Quando il CUEC esiste sulla carta ma non opera, il revisore non puo limitarsi a tickare. Deve documentare nel fascicolo tre cose distinte:

- la natura della carenza (design, implementazione, operating effectiveness) - la valutazione del rischio residuo a livello di asserzione - la procedura alternativa, con criterio di sufficienza dell'evidenza

Sulla carta. Si applica ISA Italia 330.6 e .7: risposte appropriate al rischio valutato. In pratica, la direzione spinge per "compensare con sostantiva" perche e meno costoso dell'alternativa di richiedere al cliente di assumere una terza persona o di riscrivere il processo. Il revisore accetta. Le carte non documentano il razionale.

Cosa succede davvero in ispezione

CONSOB nei provvedimenti recenti contesta "carenze afferenti l'attività di revisione" su due tipologie ricorrenti sui CUEC: assenza di mapping documentato e assenza di razionale per le procedure alternative. Il bollettino CONSOB e pubblico. La sanzione media supera il forfait dell'incarico contestato, in alcuni casi di multipli. Ti tolgono il timbro temporaneamente nei casi gravi. La domanda non e accademica.

Il punto economico che spiega la pratica. I CUEC ben testati richiedono ore aggiuntive che il forfait di un mandato standard non copre, soprattutto sui mandati con compensi irrisori. CONSOB sanziona in modo probabilistico, il forfait e certo, il calcolo razionale lo fa il revisore in 30 secondi. Si skipa. Finche non si ispezionati. Poi si paga.

Documentazione, reporting e il bollettino CONSOB

Le carte di lavoro su un mandato con service organization devono contenere, come minimo:

- copia del report SOC tipo II del periodo di riferimento, con copertura temporale congruente - elenco filtrato dei CUEC pertinenti con razionale di esclusione per quelli non rilevanti - mapping CUEC -> control objective -> RoMM -> asserzione, in forma tabellare - test di efficacia operativa del CUEC presso il cliente, con sample size, eccezioni, conclusioni - documentazione della discussione con la direzione sui CUEC non implementati - razionale delle procedure sostantive alternative quando applicabili - comunicazione al collegio sindacale ai sensi di ISA Italia 260

Il fascicolo si costruisce durante. Non a marzo dell'anno successivo, quando l'ispezione bussa.

La direzione e i CUEC

Un punto che si tende a trascurare. La direzione ha un obbligo proprio sui CUEC, indipendente da quello del revisore. Se il provider richiede SoD nel sistema e la direzione non la implementa, si configura una carenza del sistema di controllo interno ai sensi del D.Lgs. 39/2010 e, per le società quotate, della disciplina CONSOB sull'adeguatezza degli assetti organizzativi. Il revisore non solo testa, comunica al collegio sindacale, e nei casi gravi al MEF tramite il CNDCEC.

Errori comuni

Descrizione vaga del CUEC accettata senza pushback al cliente. Se il SOC scrive "appropriate controls", il revisore deve chiedere al cliente di estrarre le specifiche operative dal provider, non riempire il vuoto da solo.

Mapping inesistente. Si allega il SOC al fascicolo e si presume che parli da solo. Non parla. Il mapping ai rischi del cliente e lavoro del revisore.

Testing fuori scope. Si testa l'efficacia operativa dei controlli del provider presso il provider. Quello e il lavoro del service auditor, non del revisore-utente. Lo user auditor testa i CUEC presso il cliente.

Fascicolo costruito a posteriori. La piaga delle carte scritte dopo. ISA Italia 230 chiede contemporaneità. CONSOB sa leggere i metadata.

Checklist operativa

1. Verificare che il report SOC tipo II copra il periodo di bilancio (gap analysis se la copertura e parziale) 2. Filtrare i CUEC pertinenti dall'elenco completo, con razionale documentato per le esclusioni 3. Mappare ogni CUEC pertinente al control objective del provider, al RoMM e all'asserzione 4. Testare l'efficacia operativa dei CUEC presso il cliente con sample size proporzionato 5. Documentare le discussioni con la direzione sui CUEC non implementati o parzialmente implementati 6. Definire e razionalizzare le procedure sostantive alternative ai sensi di ISA Italia 330 7. Valutare l'impatto sull'opinione ai sensi di ISA Italia 705 quando le procedure alternative non sono sufficienti 8. Comunicare al collegio sindacale ai sensi di ISA Italia 260 le carenze rilevate

Contenuti correlati

- Glossario ISAE 3402: Service auditor responsibilities: le responsabilità del service auditor negli incarichi SOC - ISAE 3402 Documentation Workbook: template per documentare CUEC e test di efficacia - ISA 402: Using the Work of a Service Auditor: come gli user auditor valutano i report ISAE 3402

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.