Quando i controlli IT diventano rilevanti per l'ISAE 3402

L'ISAE 3402.A65 stabilisce che i controlli IT sono rilevanti quando supportano l'efficace funzionamento dei controlli dell'organizzazione di servizio. Non tutti i controlli IT richiedono verifica. La rilevanza dipende da cosa accadrebbe se il controllo IT venisse meno e se esistono controlli compensativi.
Per determinare la rilevanza, si parte dai controlli operativi che influenzano le asserzioni di bilancio delle user entity. Se un controllo operativo si basa su dati elaborati o prodotti da un sistema IT, i controlli che garantiscono l'accuratezza e la completezza di quei dati diventano rilevanti. L'ISAE 3402.A66 richiede che si consideri l'effetto dei controlli IT generali (ITGC) sui controlli applicativi.
I controlli IT generali più frequentemente rilevanti includono: controlli sugli accessi (chi può modificare i dati o i programmi), controlli sui cambiamenti dei programmi (come vengono autorizzate e testate le modifiche), controlli sui backup e ripristino (protezione dell'integrità dei dati), controlli sulle operazioni informatiche (monitoraggio del sistema e gestione degli errori).

La gerarchia ITGC-controlli applicativi


I controlli IT generali forniscono la base per l'efficace funzionamento dei controlli applicativi. L'ISAE 3402.A66 stabilisce che se gli ITGC sono inadeguati, potrebbe essere impossibile fare affidamento sui controlli applicativi, indipendentemente da quanto siano ben progettati.
Un controllo applicativo che convalida la completezza delle transazioni elaborate è efficace solo se l'accesso al programma di convalida è adeguatamente controllato e le modifiche al programma sono autorizzate. Se chiunque può modificare i parametri di convalida senza approvazione, il controllo applicativo perde efficacia.

Cosa cambia tra verifiche ITGC e verifiche di controlli applicativi

Verification degli ITGC


La verifica degli ITGC si concentra sull'esistenza e sull'efficace funzionamento delle politiche e procedure che regolano l'ambiente IT. Le procedure tipiche includono:

Verification dei controlli applicativi


I controlli applicativi sono integrati nel software applicativo e operano automaticamente durante l'elaborazione delle transazioni. La loro verifica richiede:

  • Ispezione della documentazione delle politiche di accesso e confronto con le impostazioni effettive del sistema
  • Verifica di un campione di richieste di modifica per confermare che seguono il processo di approvazione documentato
  • Esame dei log di backup per verificare che i backup vengano eseguiti secondo la procedura prestabilita
  • Test dei controlli di monitoraggio per confermare che le eccezioni vengano identificate e risolte tempestivamente
  • Test di transazioni campione attraverso il sistema per verificare che i controlli funzionino come previsto
  • Confronto dei dati di input con i dati di output per confermare accuratezza ed completezza
  • Test di transazioni con errori intenzionali per verificare che vengano identificati e respinti
  • Esame dei report di eccezione per confermare che le eccezioni vengano investigate

Esempio pratico: Tessile Lombardo S.p.A.

Tessile Lombardo S.p.A. gestisce i pagamenti ai fornitori per le sue user entity attraverso un sistema ERP centralizzato. L'organizzazione elabora circa 12.000 pagamenti mensili per un valore totale di EUR 8,5 milioni. Il service auditor deve valutare se i controlli IT che supportano l'elaborazione dei pagamenti sono efficaci.
Passo 1: Identificare i controlli operativi rilevanti
Il controllo chiave è l'approvazione automatica dei pagamenti sotto EUR 5.000 basata su corrispondenza a tre vie (ordine d'acquisto, ricevimento merci, fattura). Per importi superiori, è richiesta l'approvazione manuale del responsabile acquisti.
Nota di documentazione: Elencare tutti i controlli operativi nell'organizzazione di servizio che influenzano le asserzioni di bilancio delle user entity.
Passo 2: Identificare i controlli IT di supporto
Nota di documentazione: Mappare ogni controllo IT ai controlli operativi che supporta e alle asserzioni di bilancio delle user entity interessate.
Passo 3: Pianificare e eseguire le procedure di verifica
Per gli ITGC sugli accessi: Test di 25 utenti campione per verificare che abbiano solo i privilegi necessari per le loro funzioni. Due eccezioni riscontrate (utenti con accesso in lettura a moduli non necessari per il loro ruolo) e risolte durante il periodo.
Nota di documentazione: Documentare l'ampiezza del campione, i criteri di selezione, i risultati e le azioni correttive.
Per il controllo applicativo sulla corrispondenza a tre vie: Test di 40 transazioni campione, incluse 5 transazioni con discrepanze intenzionali per verificare che vengano respinte. Nessuna eccezione riscontrata.
Nota di documentazione: Includere gli screen shot del sistema che mostrano il funzionamento del controllo e l'output per le transazioni di test.
La documentazione del service auditor dimostra che i controlli IT sono efficaci nel supportare l'elaborazione accurata e completa dei pagamenti per le user entity di Tessile Lombardo.

  • ITGC: Controlli di accesso al modulo pagamenti (solo gli utenti autorizzati possono elaborare i pagamenti)
  • ITGC: Controlli sui cambiamenti del programma per il modulo di approvazione automatica
  • Controllo applicativo: Verifica automatica della corrispondenza a tre vie nel sistema
  • Controllo applicativo: Controllo sui limiti per i pagamenti che richiedono approvazione manuale

Lista di controllo per la verifica dei controlli IT nell'ISAE 3402

  • Identificare tutti i controlli operativi nell'organizzazione di servizio che influenzano le asserzioni di bilancio delle user entity (ISAE 3402.19)
  • Mappare i controlli IT che supportano ciascun controllo operativo, distinguendo tra ITGC e controlli applicativi (ISAE 3402.A65)
  • Valutare prima l'efficace funzionamento degli ITGC, poi dei controlli applicativi che dipendono da essi (ISAE 3402.A66)
  • Documentare le procedure di verifica, i risultati e le conclusioni per ogni controllo IT testato (ISAE 3402.43)
  • Includere nel rapporto Type 2 una descrizione dei controlli IT e dei risultati delle verifiche (ISAE 3402.55)
  • Per qualsiasi eccezione riscontrata, valutare l'impatto sui controlli dell'organizzazione di servizio e comunicarlo alle user entity (ISAE 3402.A84)

Errori comuni nella verifica dei controlli IT

  • Test insufficiente degli ITGC: Concentrarsi sui controlli applicativi senza prima verificare l'efficacia dei controlli generali che li supportano. L'ISAE 3402.A66 richiede questa sequenza.
  • Documentazione inadeguata del campionamento: Non documentare i criteri di selezione del campione o la logica per determinare l'ampiezza del campione. I revisori delle user entity verificano sempre questa documentazione.
  • Mancanza di test delle eccezioni: Non testare cosa succede quando i controlli dovrebbero prevenire o identificare errori. Questo è particolarmente importante per i controlli applicativi.

Contenuto correlato

---

  • Glossario ISAE 3402 - Definizione completa dell'International Standard on Assurance Engagements 3402 e dei suoi requisiti chiave
  • ISAE 3402 Workbook - Template completo per documentare l'incarico di assurance sui controlli delle organizzazioni di servizio, incluse le carte di lavoro per la verifica dei controlli IT
  • Service Organization Controls vs ISAE 3402 - Confronto tra gli standard SOC americani e l'ISAE 3402 internazionale per i rapporti sui controlli delle organizzazioni di servizio

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.