Scenario: Bremer Zahlungsdienstleistungen GmbH, service provider di pagamenti con sede ad Amburgo, processa EUR 2,8 miliardi in transazioni annue per 340 clienti bancari. Il controllo chiave è la riconciliazione giornaliera automatica tra saldi contabili e estratti conto bancari, con soglia di tolleranza di EUR 500.

Il Framework Tedesco per l'ISAE 3402

Base Normativa: ISAE 3402 + IDW AuS 951


L'ISAE 3402 (International Standard on Assurance Engagements) si applica in Germania come standard primario per le attestazioni sui controlli interni dei service provider. Tuttavia, l'Institut der Wirtschaftsprüfer (IDW) ha emesso l'IDW AuS 951 "Grundsätze für die Durchführung von Prüfungen der Beschreibung von internen Kontrollsystemen bei Dienstleistungsunternehmen" come standard nazionale che integra l'ISAE 3402.
L'IDW AuS 951 non sostituisce l'ISAE 3402. Lo amplia con requisiti specifici per:

Autorità di Supervisione: WPK


La Wirtschaftsprüferkammer (WPK) è l'ente regolatore della professione di revisione in Germania. Per gli incarichi ISAE 3402, la WPK:
Solo i Wirtschaftsprüfer (WP) certificati possono firmare report ISAE 3402 in Germania. I team possono includere personale non WP, ma il partner responsabile deve essere un WP in regola con la camera.

  • La qualificazione del personale del team di incarico
  • I controlli di qualità aggiuntivi sui fascicoli
  • La documentazione delle procedure di verifica sui controlli automatici
  • Il formato e il contenuto del report finale
  • Autorizza i revisori qualificati a condurre incarichi SOC
  • Conduce ispezioni di qualità sui fascicoli ISAE 3402
  • Emette sanzioni per non conformità ai requisiti IDW
  • Mantiene l'elenco pubblico dei revisori autorizzati per incarichi di attestazione

Requisiti IDW AuS 951 per il Team di Incarico

Qualificazione del Personale


L'IDW AuS 951.23-26 stabilisce criteri di qualificazione più rigorosi rispetto all'ISAE 3402.11. Il team deve includere:
Partner responsabile: Wirtschaftsprüfer con almeno 3 anni di esperienza in incarichi di attestazione e formazione specifica sui controlli IT. La WPK verifica questi requisiti durante le ispezioni.
Manager dell'incarico: Minimo 5 incarichi ISAE 3402 completati negli ultimi 3 anni, di cui almeno 2 in settori simili a quello del cliente. L'IDW AuS 951.24 richiede documentazione di questa esperienza nel fascicolo.
Specialista IT: Obbligatorio per incarichi che coinvolgono controlli automatici. Deve avere qualificazione CISA, CISSP, o equivalente riconosciuto dalla WPK. Il solo personale IT interno non soddisfa questo requisito.

Controllo Qualità dell'Incarico


L'IDW AuS 951.31-34 richiede un controllo qualità dell'incarico (EQC) per tutti i report SOC Type II, indipendentemente dalle dimensioni del service provider. Questo va oltre l'ISAE 3402.30, che lascia la decisione al giudizio professionale.
Il reviewer EQC deve:

  • Essere un WP diverso dal partner responsabile
  • Non aver partecipato al team di incarico
  • Aver completato formazione specifica IDW sui controlli interni negli ultimi 2 anni
  • Documentare la revisione prima della firma del report

Procedimenti di Verifica secondo l'IDW

Test sui Controlli Automatici


L'IDW AuS 951.42-47 prescrive procedure specifiche per i controlli automatici che vanno oltre l'ISAE 3402.44-46:
Documentazione del flusso logico: Per ogni controllo automatico testato, il team deve documentare il flusso logico completo, inclusi i parametri di configurazione e le eccezioni programmate. Non basta testare che il controllo funzioni; bisogna verificare come funziona.
Test di completezza: L'IDW richiede test di completezza per verificare che tutti gli elementi soggetti al controllo automatico siano stati effettivamente processati. L'ISAE 3402 base non specifica questo requisito.
Controlli compensativi: Quando un controllo automatico presenta deviazioni, l'IDW AuS 951.45 richiede test aggiuntivi sui controlli compensativi, anche se la direzione del service provider non li identifica come tali.

Campionamento per i Test sui Controlli


L'IDW AuS 951.38-41 stabilisce dimensioni minime del campione più conservative dell'ISAE 3402.A42-A44:
Questi minimi si applicano indipendentemente dalla valutazione del rischio. L'ISAE 3402 consente dimensioni inferiori quando il rischio è basso; l'IDW no.

  • Controlli giornalieri: Minimo 25 elementi per controllo per periodo di 12 mesi
  • Controlli settimanali: Minimo 15 elementi per controllo
  • Controlli mensili: Tutti gli elementi nel periodo coperto dal report
  • Controlli trimestrali: Tutti gli elementi, più verifica della coerenza con i controlli mensili correlati

Esempio Pratico: Controllo Riconciliazione Bancaria

Scenario: Bremer Zahlungsdienstleistungen GmbH, service provider di pagamenti con sede ad Amburgo, processa EUR 2,8 miliardi in transazioni annue per 340 clienti bancari. Il controllo chiave è la riconciliazione giornaliera automatica tra saldi contabili e estratti conto bancari, con soglia di tolleranza di EUR 500.
Approccio ISAE 3402 standard:
Il team selezionerebbe un campione basato sulla valutazione del rischio, tipicamente 15-20 riconciliazioni su base giornaliera per un periodo di 12 mesi. Si verificherebbe che le riconciliazioni siano state eseguite e che le differenze superiori a EUR 500 siano state investigate.
Approccio IDW AuS 951:
Nota di documentazione: documentare nel working paper la conformità ai requisiti IDW AuS 951.38 per dimensione campione e .42-.44 per controlli automatici. Includere evidenza della qualificazione dello specialista IT che ha condotto i test.
Risultato: Il fascicolo tedesco contiene il 40% in più di evidenze rispetto a un equivalente fascicolo ISAE 3402 base, ma soddisfa i criteri WPK per l'accettabilità e riduce il rischio di rilievi durante le ispezioni di qualità.

  • Dimensione campione: Minimo 25 riconciliazioni giornaliere (IDW AuS 951.38)
  • Documentazione flusso logico: Documentare i parametri di configurazione della soglia EUR 500, i criteri di matching automatico, e il processo di escalation per le eccezioni
  • Test di completezza: Verificare che tutte le 365 riconciliazioni giornaliere siano state processate dal sistema, non solo quelle campionate
  • Controlli compensativi: Testare i controlli manuali di revisione settimanale delle eccezioni, anche se funzionano correttamente

Struttura del Report SOC Conforme IDW

Sezioni Obbligatorie per Conformità Tedesca


Un report SOC Type II in Germania deve includere tutte le sezioni ISAE 3402 standard più elementi specifici IDW:

Formato della Firma


La firma del report deve seguire il formato WPK:
```
[Nome Studio]
Wirtschaftsprüfungsgesellschaft
[Nome Partner]
Wirtschaftsprüfer
[Città, Data]
```
Il solo nome del partner non è sufficiente. Deve apparire la ragione sociale completa dello studio e la qualifica WP del firmatario.

  • Dichiarazione di conformità: Riferimento esplicito sia all'ISAE 3402 sia all'IDW AuS 951
  • Qualificazione del team: Nomi e qualificazioni dei WP coinvolti, incluso il reviewer EQC
  • Limitazioni specifiche: Dichiarazioni sui controlli non testati per motivi di riservatezza commerciale
  • Controlli compensativi: Sezione dedicata ai controlli compensativi identificati ma non testati
  • Raccomandazioni: Sezione opzionale ma raccomandata per miglioramenti ai controlli

Checklist Pratica per Incarichi ISAE 3402 in Germania

  • Verifica qualificazione team: Partner WP certificato, manager con 5+ incarichi ISAE 3402 recenti, specialista IT qualificato CISA/CISSP per controlli automatici
  • Nomina reviewer EQC: WP indipendente dal team con formazione IDW aggiornata
  • Applica dimensioni campione IDW: Minimo 25 per controlli giornalieri, 15 per settimanali, tutti per mensili
  • Documenta controlli automatici: Flusso logico completo, parametri configurazione, test completezza
  • Includi sezioni report aggiuntive: Qualificazione team, limitazioni specifiche, controlli compensativi
  • Verifica formato firma: Studio completo + qualifica WP del partner firmatario

Errori Comuni negli Incarichi Tedeschi

  • Dimensioni campione insufficienti: Applicare criteri ISAE 3402.A42 senza considerare i minimi IDW AuS 951.38-41 produce fascicoli che non superano la revisione WPK
  • Mancata nomina EQC: L'IDW AuS 951.31 rende obbligatorio l'EQC per tutti i Type II; saltarlo è una violazione diretta dello standard nazionale
  • Documentazione controlli automatici incompleta: Testare solo il "cosa" senza documentare il "come" non soddisfa i requisiti IDW .42-.47

Contenuti Correlati

  • Glossario ISAE 3402 - Definizioni complete dei termini chiave per gli incarichi di attestazione sui controlli
  • Calcolatore dimensioni campione - Strumento per calcolare le dimensioni del campione per test sui controlli secondo criteri conservativi
  • Costruire una matrice di controlli ISAE 3402 - Lista di verifica per controlli automatici e ambiente IT generale

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.