Quando i controlli IT diventano rilevanti per l'ISAE 3402
Il fallimento piu frequente nei fascicoli ISAE 3402 italiani si presenta in due varieta: ITGC tickati con campioni troppo piccoli, e controlli applicativi testati senza una mappatura agli ITGC che li sostengono. Il D.Lgs. 39/2010 non disciplina direttamente l'ISAE 3402, ma la qualita ispettiva del MEF segue le stesse logiche probatorie.
Sul piano formale, l'ISAE 3402 chiede al service auditor di valutare l'efficacia operativa dei controlli IT che supportano i controlli dell'organizzazione di servizio quando rilevano per le asserzioni di bilancio delle user entity, attraverso procedure di compliance design effectiveness e operating effectiveness durante il periodo coperto dal rapporto Type 2. Sul fascicolo, succede che la mappatura tra controlli operativi e ITGC sottostanti sia il punto in cui le carte sono leggere.
L'ISAE 3402.A65 stabilisce che i controlli IT sono rilevanti quando supportano l'efficace funzionamento dei controlli dell'organizzazione di servizio. Non tutti i controlli IT richiedono verifica. La rilevanza dipende da cosa accadrebbe se il controllo IT venisse meno e se esistano controlli compensativi che reggano in sua assenza.
Per determinare la rilevanza, si parte dai controlli operativi che influenzano le asserzioni di bilancio delle user entity. Se un controllo operativo si basa su dati elaborati o prodotti da un sistema IT, i controlli che garantiscono l'accuratezza e la completezza di quei dati diventano rilevanti. L'ISAE 3402.A66 richiede che si consideri l'effetto dei controlli IT generali (ITGC) sui controlli applicativi.
Tra gli ITGC piu frequentemente rilevanti rientrano: controlli sugli accessi (chi puo modificare i dati o i programmi), controlli sui cambiamenti dei programmi (come vengano autorizzate e testate le modifiche), controlli sui backup e ripristino (protezione dell'integrita dei dati), controlli sulle operazioni informatiche (monitoraggio del sistema e gestione degli errori).
La gerarchia ITGC-controlli applicativi
Il controllo applicativo non e mai autosufficiente. Dipende sempre dagli ITGC che lo sostengono. L'ISAE 3402.A66 stabilisce che, se gli ITGC siano inadeguati, potrebbe risultare impossibile fare affidamento sui controlli applicativi, indipendentemente da quanto siano ben progettati.
Si pensi a un controllo applicativo che convalida la completezza delle transazioni elaborate: e efficace solo se l'accesso al programma di convalida sia adeguatamente controllato e le modifiche al programma siano autorizzate. Se chiunque potesse modificare i parametri di convalida senza approvazione, il controllo applicativo perderebbe efficacia.
La separazione tra IT auditor e financial auditor nei team italiani produce esattamente questo punto cieco. Il financial auditor presume che l'IT auditor abbia coperto gli ITGC; l'IT auditor presume che il financial auditor abbia mappato i controlli applicativi al rischio finanziario. Nel mezzo, succede che nessuno piloti la connessione. E quel mezzo e dove l'ISAE 3402.A66 vive.
Cosa cambia tra verifiche ITGC e verifiche di controlli applicativi
Verifica degli ITGC
Sul fascicolo, la verifica degli ITGC si concentra sull'esistenza e sull'efficace funzionamento delle politiche e procedure che regolino l'ambiente IT. Le procedure tipiche includono:
- Ispezione della documentazione delle politiche di accesso e confronto con le impostazioni effettive del sistema - Verifica di un campione di richieste di modifica per confermare che seguano il processo di approvazione documentato - Esame dei log di backup per verificare che i backup vengano eseguiti secondo la procedura prestabilita - Test dei controlli di monitoraggio per confermare che le eccezioni vengano identificate e risolte tempestivamente
Verifica dei controlli applicativi
I controlli applicativi sono integrati nel software applicativo e operano automaticamente durante l'elaborazione delle transazioni. La loro verifica richiede:
- Test di transazioni campione attraverso il sistema per verificare che i controlli funzionino come previsto - Confronto dei dati di input con i dati di output per confermare accuratezza e completezza - Test di transazioni con errori intenzionali per verificare che vengano identificati e respinti - Esame dei report di eccezione per confermare che le eccezioni vengano investigate
Nella nostra esperienza, i controlli applicativi testati senza ITGC tenuti sono il rilievo piu frequente che si vede nei fascicoli ISAE 3402. La sequenza probatoria conta: prima gli ITGC, poi cio che essi sostengono.
Esempio pratico: Tessile Lombardo S.p.A.
Tessile Lombardo S.p.A. gestisce i pagamenti ai fornitori per le sue user entity attraverso un sistema ERP centralizzato. L'organizzazione elabora circa 12.000 pagamenti mensili per un valore totale di EUR 8,5 milioni. Il service auditor deve valutare se i controlli IT che sostengano l'elaborazione dei pagamenti siano efficaci.
Passo 1: Identificare i controlli operativi rilevanti Il controllo chiave e l'approvazione automatica dei pagamenti sotto EUR 5.000 basata su corrispondenza a tre vie (ordine d'acquisto, ricevimento merci, fattura). Per importi superiori, e richiesta l'approvazione manuale del responsabile acquisti.
Nota di documentazione: Elencare tutti i controlli operativi nell'organizzazione di servizio che influenzino le asserzioni di bilancio delle user entity.
Passo 2: Identificare i controlli IT di supporto - ITGC: Controlli di accesso al modulo pagamenti (solo gli utenti autorizzati possono elaborare i pagamenti) - ITGC: Controlli sui cambiamenti del programma per il modulo di approvazione automatica - Controllo applicativo: Verifica automatica della corrispondenza a tre vie nel sistema - Controllo applicativo: Controllo sui limiti per i pagamenti che richiedono approvazione manuale
Nota di documentazione: Mappare ogni controllo IT ai controlli operativi che sostiene e alle asserzioni di bilancio delle user entity interessate.
Passo 3: Pianificare ed eseguire le procedure di verifica Per gli ITGC sugli accessi: si tickano 25 utenti campione per verificare che abbiano solo i privilegi necessari per le loro funzioni. Due eccezioni riscontrate (utenti con accesso in lettura a moduli non necessari per il loro ruolo) e risolte durante il periodo.
Complicazione: durante il test dei 25 utenti, si scopre che il deputy responsabile acquisti abbia mantenuto privilegi di approvazione manuale dopo essere passato a un altro reparto in giugno 2024. Questo comporta una violazione tecnica del controllo di accesso dal mese di giugno fino alla data del test. Il controllo compensativo e il limite quantitativo automatico (EUR 5.000), ma il deputy aveva i diritti per autorizzare manualmente importi superiori. Decisione: documentare la deviazione, verificare se il deputy abbia effettivamente eseguito approvazioni nel periodo in violazione, valutare l'impatto sull'efficacia operativa secondo l'ISAE 3402.A88. Nella nostra esperienza, queste deviazioni di housekeeping sono la causa piu frequente di riserve sul giudizio.
Nota di documentazione: Documentare l'ampiezza del campione, i criteri di selezione, i risultati e le azioni correttive.
Per il controllo applicativo sulla corrispondenza a tre vie: si tickano 40 transazioni campione, incluse 5 transazioni con discrepanze intenzionali per verificare che vengano respinte. Nessuna eccezione riscontrata.
Nota di documentazione: Includere gli screen shot del sistema che mostrano il funzionamento del controllo e l'output per le transazioni di test.
Un controllo del MEF che evidenziasse ITGC inadeguati a sostegno di controlli applicativi formalmente ben progettati sarebbe il rilievo che produca piu commenti di review. Non si tratta di un'eventualita teorica.
Lista di controllo per la verifica dei controlli IT nell'ISAE 3402
1. Identificare tutti i controlli operativi nell'organizzazione di servizio che influenzano le asserzioni di bilancio delle user entity (ISAE 3402.19) 2. Mappare i controlli IT che supportano ciascun controllo operativo, distinguendo tra ITGC e controlli applicativi (ISAE 3402.A65) 3. Valutare prima l'efficace funzionamento degli ITGC, poi dei controlli applicativi che dipendano da essi (ISAE 3402.A66) 4. Documentare le procedure di verifica, i risultati e le conclusioni per ogni controllo IT testato (ISAE 3402.43) 5. Includere nel rapporto Type 2 una descrizione dei controlli IT e dei risultati delle verifiche (ISAE 3402.55) 6. Per qualsiasi eccezione riscontrata, valutare l'impatto sui controlli dell'organizzazione di servizio e comunicarlo alle user entity (ISAE 3402.A84)
Errori comuni nella verifica dei controlli IT
Sulla profondita del test ITGC, i colleghi non concordano. Per alcuni, un campione di 25 utenti basta per popolazioni fino a 200; per altri, sotto 40 il rischio campionario e troppo alto su una popolazione cosi sensibile. Il MEF non ha pubblicato linee guida specifiche, e il giudizio resta del service auditor.
- Test insufficiente degli ITGC: ci si concentra sui controlli applicativi senza prima verificare l'efficacia dei controlli generali che li sostengano. L'ISAE 3402.A66 richiede questa sequenza, e quando le carte sono leggere su questo punto, il rilievo arriva. - Documentazione inadeguata del campionamento: non si documentano i criteri di selezione del campione o la logica per determinare l'ampiezza del campione. I revisori delle user entity verificano sempre questa sezione del fascicolo. - Mancanza di test delle eccezioni: non si testa cosa succeda quando i controlli dovrebbero prevenire o identificare errori. Sui controlli applicativi, e il punto in cui la direzione presume che il sistema funzioni e nessuno verifica l'opposto.
Contenuto correlato
- Glossario ISAE 3402 - Definizione completa dell'International Standard on Assurance Engagements 3402 e dei suoi requisiti chiave - ISAE 3402 Workbook - Template completo per documentare l'incarico di assurance sui controlli delle organizzazioni di servizio, incluse le carte di lavoro per la verifica dei controlli IT - Service Organization Controls vs ISAE 3402 - Confronto tra gli standard SOC americani e l'ISAE 3402 internazionale per i rapporti sui controlli delle organizzazioni di servizio
---