Cosa imparerete
> - Come applicare i paragrafi ISAE 3402.A77-A82 per dimensionare e selezionare campioni nei test di efficacia operativa > - Come documentare il campionamento ISAE 3402 con riferimenti normativi che reggano sotto un controllo CONSOB > - Come valutare le deviazioni nei controlli secondo i criteri specifici dell'ISAE 3402.A80-A81 > - Quando il campionamento ISAE 3402 diverge dai test di dettaglio dell'ISA 530, e perché la confusione tra i due è il rilievo ricorrente
La tesi: i paragrafi sbagliati nascondono un problema metodologico
Citare ISA 530 su un test ISAE 3402 non è un errore di forma. È il sintomo di un'incomprensione metodologica più profonda. L'ISA 530 governa il campionamento di una popolazione di transazioni o saldi per stimare un errore monetario. L'ISAE 3402 governa il campionamento di istanze operative di un controllo sulla sua efficacia. Si valutano cose diverse, con logiche diverse, e i paragrafi giusti riflettono queste differenze.
Cosa significa nella pratica: se il fascicolo cita ISA 530 sul campionamento di un controllo settimanale, c'è una probabilità non trascurabile che il campione sia stato dimensionato sulla popolazione delle transazioni elaborate (decine di migliaia) invece che sulle istanze del controllo (52 settimane). Il numero che ne esce sembra rassicurante. La conclusione è già viziata.
I requisiti specifici dell'ISAE 3402 sul campionamento
L'ISAE 3402.A77 fissa l'obbligo del service auditor di progettare procedure idonee a ottenere evidenze sufficienti e appropriate sull'efficacia operativa dei controlli. Sembra una formula generale. Non lo è, perché introduce una distinzione che l'ISA 530 non conosce: controlli automatizzati versus controlli manuali, ai fini del campionamento.
In pratica, sui controlli automatizzati l'ISAE 3402.A78 consente di limitare il test una volta verificata l'efficacia degli ITGC che governano l'applicativo. Non si tickano centinaia di istanze per dimostrare che un calcolo automatico funziona ogni volta. Se il controllo generale IT regge, basta un test puntuale. Sui controlli manuali, l'ISAE 3402.A79 segue una logica più vicina all'ISA 530, ma con un'aggiunta: la frequenza del controllo deve entrare nella progettazione del campione. Un controllo mensile non si campiona come uno giornaliero, e non solo perché la popolazione è diversa.
Il fatto è che il rischio di deviazione atteso è funzione della frequenza. Un controllo che si ripete dodici volte all'anno ha un margine di tolleranza statistico ben diverso da uno che si ripete 250 volte. I template di campionamento ISA 530 ignorano questa dimensione perché non gli serve. Sull'ISAE 3402, ignorarla è il modo in cui si arriva a campioni sottodimensionati.
Cosa significa "sufficiente e appropriato" qui
L'ISAE 3402.A80 specifica i due termini con riferimento ai test sui controlli. Sufficiente attiene alla quantità: la dimensione del campione deve essere adeguata alla frequenza del controllo e al livello di assurance richiesto dal tipo di rapporto (Tipo 1 o Tipo 2). Appropriato attiene alla qualità: l'evidenza deve riguardare l'efficacia operativa del controllo specifico, non un suo surrogato.
Sul fascicolo che vediamo, il problema è quasi sempre il secondo. Si testano output del controllo invece dell'esecuzione del controllo stesso, e si conclude positivamente perché gli output sembrano corretti. È un problema perché output corretti possono coesistere con un controllo non eseguito (il sistema gira lo stesso, l'errore non si è materializzato in quel campione). L'ISAE 3402 chiede l'evidenza dell'esecuzione, non della correttezza dell'esito.
Lo standard è più restrittivo dell'ISA 530 per una ragione strutturale. I risultati del service auditor vengono usati a valle dagli user auditor per ridurre le procedure sostanziali sui propri incarichi. Un campione sbagliato qui si propaga lungo la catena. Una settantina di user auditor che si affidano allo stesso rapporto SOC 1 amplificano qualunque difetto della selezione.
Esempio pratico: Servizi di Elaborazione Contabile Lombarda S.r.l.
Scenario: Servizi di Elaborazione Contabile Lombarda S.r.l. gestisce la contabilità clienti per 150 PMI. Il controllo chiave testato: "Il responsabile amministrativo rivede e approva settimanalmente tutte le riconciliazioni bancarie elaborate dal sistema prima dell'invio ai clienti."
Step 1: Identificare il tipo di controllo Nota di documentazione: Controllo manuale con frequenza settimanale. ITGC non rilevanti per questo specifico controllo.
Step 2: Determinare la popolazione Periodo coperto: 12 mesi Frequenza: settimanale Popolazione totale: 52 riconciliazioni approvate Nota di documentazione: Verificato che tutte le 52 settimane del periodo abbiano generato riconciliazioni. Nessuna settimana esclusa.
Step 3: Calcolare la dimensione del campione secondo ISAE 3402.A79 Rischio di deviazione atteso: 1% (controllo precedentemente testato) Rischio di sopravvalutazione dell'efficacia: 5% Dimensione campione risultante: 18 elementi Nota di documentazione: ISAE 3402.A79 — dimensione campione basata su controllo manuale settimanale e rischio basso.
Step 4: Selezione del campione Metodo: selezione casuale sistematica Intervallo: ogni 3° elemento (52/18 = 2,89, arrotondato a 3) Starting point casuale: settimana 2 Nota di documentazione: Campione selezionato coprendo uniformemente l'intero periodo per catturare variazioni stagionali.
Step 5: Esecuzione test e valutazione risultati Deviazioni trovate: 1 riconciliazione non firmata dal responsabile amministrativo Tasso di deviazione del campione: 5,6% (1/18) Nota di documentazione: ISAE 3402.A81 — deviazione valutata come eccezione procedurale, supportata da note manoscritte che dimostrano la revisione effettiva.
La complicazione che non sta nel template
Sul fascicolo lineare, qui ci si fermerebbe. Il controllo è efficace, una sola deviazione, conclusione positiva, partner firma. Ma sul fascicolo reale di Servizi Lombarda è successo qualcos'altro. La settimana 31 era una riconciliazione firmata, datata e completa, però la firma era di un collaboratore del responsabile amministrativo, non sua. La direzione l'ha presentata come delega informale durante le ferie estive. La domanda diventa: vale come esecuzione del controllo o come deviazione?
Qui non c'è formula. L'ISAE 3402.A81 non risolve la questione, e nemmeno l'ISA 530. Si valuta se la delega informale rispecchi il design del controllo come definito nella system description. Se la system description dice "il responsabile amministrativo rivede e approva", una firma di terzi è una deviazione del design, non solo un'eccezione procedurale. Se la system description dice "personale autorizzato del reparto amministrativo rivede e approva", la stessa firma è conforme.
Il fascicolo deve raccontare questa valutazione. Non si tratta di scegliere la conclusione più comoda. Si documenta cosa dice la system description, cosa è stato osservato, e perché si conclude in un modo o nell'altro. Una conclusione di efficacia che non affronti questo punto, sul Tipo 2 vero, non regge sotto un esame del MEF o di un secondo socio in revisione qualità.
Il controargomento
Esiste una scuola di pensiero, sostenuta da partner esperti, secondo cui il campionamento ISAE 3402 dovrebbe rispecchiare il campionamento della revisione di bilancio. L'argomento è pratico: i revisori conoscono ISA 530, i template aziendali sono costruiti su quel principio, e le metodologie globali delle reti tendono a uniformare. Chiamiamolo Partner A. Per Partner A, distinguere tra ISA 530 e ISAE 3402.A77-A82 nelle carte è eccesso di formalismo che non sposta la sostanza dell'evidenza.
Il Partner B replica che la sostanza si sposta eccome. Il campionamento della revisione di bilancio è per popolazione (transazioni, saldi, importi monetari). Il campionamento ISAE 3402 è per controllo (istanze operative del controllo stesso). Confondere le due cose porta a popolazioni sbagliate, dimensioni campione sbagliate e una valutazione delle deviazioni che applica criteri quantitativi dove l'ISAE 3402.A81 chiede una valutazione qualitativa.
Il verdetto: Partner B ha ragione, e i rilievi recenti dei controlli di qualità lo confermano. Sul fascicolo che cita ISA 530 su un test ISAE 3402, il reviewer trova quasi sempre anche il problema sostanziale (popolazione mal definita, frequenza ignorata, deviazioni mal classificate). I riferimenti normativi sbagliati sono un sintomo, non la causa. Però sono il sintomo che il reviewer guarda per primo.
Lista di controllo pratica per il campionamento ISAE 3402
1. Verificare il tipo di controllo prima di progettare il campione — I controlli automatizzati seguono l'ISAE 3402.A78, quelli manuali l'A79. La confusione qui invalida tutto il test.
2. Documentare la frequenza del controllo e il suo impatto sulla popolazione — Un controllo giornaliero per 12 mesi genera circa 250 elementi operativi, uno mensile ne genera 12. Il campionamento cambia di conseguenza.
3. Calcolare il rischio di sopravvalutazione specifico per ISAE 3402 — Non è il rischio di controllo dell'ISA 315. È il rischio che il test concluda erroneamente che il controllo sia efficace.
4. Citare i paragrafi ISAE 3402.A77-A82 nella documentazione — Non ISA 530. I riferimenti sbagliati sono il primo segnale che il team non distingue assurance sui controlli da revisione di bilancio.
5. Valutare le deviazioni secondo i criteri dell'ISAE 3402.A80-A81 — Una deviazione qui ha implicazioni diverse da un errore in ISA 530. Si valuta considerando l'impatto sugli user auditor a valle.
6. Affrontare le deleghe informali nella system description — Se chi ha eseguito il controllo non corrisponde a chi la system description indica come esecutore, è un problema di design, non un'eccezione procedurale.
Errori comuni nei test ISAE 3402
- Confondere popolazione con sample: L'ISAE 3402 vuole la popolazione definita sulla frequenza operativa del controllo, non sul volume delle transazioni elaborate. Sul fascicolo che vediamo, è il primo errore: 50.000 transazioni elaborate diventano la "popolazione" di un controllo mensile che ha 12 istanze.
- Applicare le soglie di materialità dell'ISA 320: L'ISAE 3402 non ha materialità quantitativa. Le deviazioni si valutano sull'impatto qualitativo nell'efficacia del controllo, secondo l'ISAE 3402.A81. Importare la tolerable misstatement dell'ISA 320 nei test ISAE 3402 è un classico, ed è sbagliato.
Contenuti correlati
- Glossario ISAE 3402 — Definizioni complete dei termini chiave per gli incarichi di assurance sui controlli dei service organization - ISAE 3402 Compliance Workbook — Template Excel con calcolo automatico delle dimensioni campione secondo i paragrafi A77-A82 - Come documentare i controlli generali IT secondo ISAE 3402 — La guida pratica per distinguere quando i controlli automatizzati richiedono campionamento estensivo o limitato