Sommario

I controlli complementari nell'architettura ISAE 3402

L'ISAE 3402.30 stabilisce che il service auditor deve ottenere una comprensione del sistema di controlli della service organization. Quando alcuni controlli richiedono azioni specifiche da parte dell'entità utente per operare efficacemente, questi diventano controlli complementari dell'entità utente.
L'ISAE 3402.A28 chiarisce la distinzione: i controlli del service provider che operano indipendentemente dall'entità utente sono controlli diretti. I controlli che assumono specifiche azioni dell'entità utente sono controlli che richiedono CUECs.
La service organization non può testare l'efficacia dei CUECs presso l'entità utente. Il service auditor può solo valutare se la service organization ha identificato appropriatamente questi controlli e li ha descritti in modo sufficientemente specifico nel rapporto SOC 1.

Perché i CUECs sono fondamentali per l'efficacia del controllo


Un sistema di gestione delle fatture può includere controlli automatici per l'approvazione delle fatture sopra determinate soglie. Se però il sistema si basa sul fatto che l'entità utente configuri correttamente i limiti di approvazione e mantenga aggiornati gli utenti autorizzati, questi sono controlli complementari.
Senza un'adeguata implementazione dei CUECs, i controlli del service provider possono apparire efficaci durante i test ma fallire nella pratica operativa presso l'entità utente.

Identificazione e classificazione dei CUECs

L'identificazione dei CUECs segue un processo sistematico che inizia con la comprensione del flusso di controlli end-to-end.

Step 1: Mappatura dei processi condivisi


Il service auditor documenta ogni processo in cui il controllo richiede input o azioni da parte dell'entità utente. L'ISAE 3402.A29 richiede che questa mappatura identifichi specificamente:

Step 2: Valutazione della natura del controllo


Non tutte le interazioni tra service provider ed entità utente generano CUECs. L'ISAE 3402.A30 distingue tra:
Controlli diretti: Il service provider implementa il controllo indipendentemente dall'entità utente. Esempio: un sistema ERP che calcola automaticamente l'ammortamento basandosi su parametri prestabiliti.
Controlli complementari: Il controllo del service provider assume che l'entità utente implementi controlli specifici. Esempio: lo stesso sistema ERP che calcola l'ammortamento assumendo che l'entità utente riveda e approvi mensilmente i nuovi asset inseriti nel sistema.

Step 3: Specificità delle descrizioni


L'ISAE 3402.A52 considera inadeguate le descrizioni generiche dei CUECs. Frasi come "l'entità utente deve implementare controlli appropriati" non soddisfano il requisito. La descrizione deve specificare:

  • I dati che l'entità utente deve fornire
  • La frequenza e i tempi di tali input
  • I controlli di supervisione che l'entità utente deve mantenere
  • Le configurazioni di sistema che l'entità utente deve gestire
  • L'azione esatta che l'entità utente deve compiere
  • La frequenza del controllo
  • Chi presso l'entità utente deve eseguire il controllo
  • Cosa costituisce un'esecuzione efficace del controllo

Esempio pratico: service provider di gestione stipendi

Scenario: Gestione Stipendi Europa S.r.l., service provider con sede a Milano, elabora le retribuzioni per 450 aziende clienti in Italia. Il sistema calcola automaticamente stipendi, trattenute fiscali e contributi previdenziali basandosi sui dati forniti dalle entità utenti.

Controlli del service provider e CUECs correlati


Controllo del service provider #1: Il sistema verifica automaticamente che tutti i dipendenti abbiano un codice fiscale valido prima dell'elaborazione degli stipendi.
CUEC correlato: L'entità utente deve rivedere e approvare mensilmente tutti i nuovi inserimenti e le modifiche ai dati anagrafici dei dipendenti prima della trasmissione al service provider. Questa revisione deve includere la verifica dell'accuratezza del codice fiscale tramite controllo con database Agenzia delle Entrate.
Nota di documentazione: documentare nel memorandum ISAE 3402 la frequenza mensile di questa revisione e identificare la persona responsabile presso l'entità utente.
Controllo del service provider #2: Il sistema blocca automaticamente l'elaborazione di stipendi per dipendenti con rapporti di lavoro cessati.
CUEC correlato: L'entità utente deve comunicare al service provider entro 48 ore dalla cessazione del rapporto di lavoro, utilizzando il modulo standard 'CESS-01' con data di cessazione e causale. L'entità utente deve mantenere un registro delle comunicazioni inviate per verificare la completezza.
Nota di documentazione: testare un campione di cessazioni dell'ultimo trimestre per verificare il rispetto dei tempi di comunicazione di 48 ore.
Controllo del service provider #3: Il sistema calcola le ferie e i permessi residui basandosi sui saldi iniziali e sui movimenti comunicati dall'entità utente.
CUEC correlato: L'entità utente deve riconciliare mensilmente i saldi delle ferie mostrati nel report del service provider con i propri registri interni. Le discrepanze devono essere investigate e risolte entro 10 giorni lavorativi dalla ricezione del report mensile.
Nota di documentazione: verificare l'esistenza di procedure scritte per la riconciliazione mensile e testare l'efficacia su un campione di 3 mesi.

Implicazioni per lo user auditor


Lo user auditor che rivede il rapporto ISAE 3402 di Gestione Stipendi Europa deve valutare se il proprio cliente (l'entità utente) ha implementato efficacemente questi CUECs. L'ISA 402.15 richiede che lo user auditor ottenga un'adeguata comprensione dei controlli presso l'entità utente che sono rilevanti per l'audit.
Se l'entità utente non ha implementato i CUECs descritti, lo user auditor deve considerare questo gap come una debolezza significativa del controllo interno e progettare procedure di audit aggiuntive per rispondere ai rischi identificati.

Test di efficacia operativa sui controlli complementari

Il testing dei CUECs presenta sfide uniche perché coinvolge due organizzazioni separate con sistemi e processi potenzialmente diversi.

Approccio del service auditor


Il service auditor non può testare direttamente i controlli presso l'entità utente. L'ISAE 3402.A31 specifica che il service auditor deve:
Valutare la progettazione dei controlli complementari: La descrizione del CUEC è sufficientemente specifica perché l'entità utente possa implementarla? Include frequenza, responsabilità e criteri di performance?
Testare che i controlli del service provider operino come descritto: Se il controllo del service provider assume che l'entità utente fornisca dati accurati, il service auditor testa che il sistema elabori correttamente dati accurati (ma non può verificare se l'entità utente fornisca effettivamente dati accurati).
Documentare le limitazioni: Il rapporto ISAE 3402 deve dichiarare esplicitamente che l'efficacia operativa dei controlli del service provider assume che l'entità utente implementi i CUECs descritti.

Considerazioni per il campionamento


Quando un controllo del service provider dipende da un CUEC, il service auditor deve progettare i test tenendo conto di questa dipendenza.
Per il controllo sulle cessazioni dell'esempio precedente, il service auditor potrebbe testare 25 cessazioni elaborate dal sistema durante l'anno. Il test verifica che il sistema blocchi correttamente l'elaborazione una volta ricevuta la comunicazione di cessazione. Non verifica se l'entità utente comunichi tutte le cessazioni nei tempi previsti.
Questa limitazione deve essere chiaramente documentata nei working papers e descritta nel rapporto ISAE 3402.

Documentazione e reporting dei CUECs

L'ISAE 3402.A52 stabilisce standard specifici per la descrizione dei controlli complementari nel rapporto SOC 1.

Elementi obbligatori della descrizione


Azione specifica richiesta: Non "l'entità utente deve rivedere i dati" ma "l'entità utente deve rivedere settimanalmente il report delle eccezioni, investigare tutti gli elementi flaggati, e documentare la risoluzione entro 5 giorni lavorativi."
Tempistica precisa: Frequenza (giornaliera, settimanale, mensile) e deadlines specifiche.
Responsabilità designate: Chi presso l'entità utente deve eseguire il controllo. Non necessariamente un nome, ma una funzione o ruolo specifico.
Criteri di efficacia: Come l'entità utente può determinare se il controllo è stato eseguito efficacemente.

Formato standard per la descrizione


```
CUEC [numero]: [Titolo del controllo]
Descrizione: [Azione specifica richiesta all'entità utente]
Frequenza: [Quando deve essere eseguito]
Responsabile: [Chi presso l'entità utente]
Documentazione: [Cosa deve essere documentato]
Efficacia: [Come misurare l'efficacia]
```

Collegamento ai controlli del service provider


Ogni CUEC deve essere chiaramente collegato al controllo specifico del service provider che ne dipende. Il rapporto deve spiegare cosa accade se l'entità utente non implementa il CUEC: quali rischi emergono e come questo impatta l'affidabilità del controllo del service provider.

Errori comuni nella gestione dei CUECs

Descrizioni troppo vaghe: "L'entità utente deve implementare controlli appropriati sui dati master" non fornisce guidance sufficiente per l'implementazione.
Mancata identificazione di controlli complementari: Alcuni service auditor classificano erroneamente controlli complementari come controlli diretti, sottovalutando le responsabilità dell'entità utente.
Testing inappropriato: Tentare di testare l'efficacia dei CUECs presso l'entità utente va oltre lo scope dell'incarico ISAE 3402.

Checklist operativa per i controlli complementari

  • Mappare tutti i processi end-to-end che coinvolgono input dall'entità utente
  • Identificare i controlli che assumono azioni specifiche da parte dell'entità utente
  • Redigere descrizioni dettagliate di ogni CUEC con azione, frequenza, responsabilità e criteri
  • Collegare ogni CUEC al controllo specifico del service provider che ne dipende
  • Testare che i controlli del service provider operino efficacemente quando i CUECs sono implementati correttamente
  • Documentare chiaramente le limitazioni dello scope di testing nel rapporto ISAE 3402

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.