ISAE 3402 testing: perché i vostri riferimenti ai paragrafi del campionamento sono probabilmente sbagliati

Cosa imparerete

Come applicare correttamente i paragrafi ISAE 3402.A77-A82 per dimensionare e selezionare campioni nei test sui controlli
Come documentare il campionamento ISAE 3402 con riferimenti normativi corretti che superano la revisione del partner
Come valutare le deviazioni nei campioni di controlli secondo i criteri specifici dell'ISAE 3402.A80-A81
Come distinguere quando usare il campionamento ISAE 3402 versus i test di dettaglio dell'ISA 530

I requisiti specifici dell'ISAE 3402 per il campionamento

L'ISAE 3402.A77 stabilisce che il service auditor deve progettare e implementare procedure di audit per ottenere evidenze sufficienti e appropriate sull'efficacia operativa dei controlli. Questo paragrafo introduce un concetto che non esiste nell'ISA 530: la distinzione tra controlli automatizzati e controlli manuali ai fini del campionamento.
Per i controlli automatizzati, l'ISAE 3402.A78 stabilisce che una volta verificata l'efficacia del controllo generale IT che governa il controllo applicativo, il test può essere limitato. Non serve testare ogni istanza del controllo automatizzato se i controlli generali sono efficaci. Questa è una differenza sostanziale rispetto all'ISA 530, che non fa questa distinzione.
L'ISAE 3402.A79 disciplina i controlli manuali. Qui il campionamento segue principi simili all'ISA 530, ma con una specificazione importante: la frequenza del controllo deve essere considerata nella progettazione del campione. Un controllo mensuale richiede un approccio diverso da un controllo giornaliero, non solo in termini di popolazione ma anche di rischio di deviazione atteso.

Cosa significa "sufficiente e appropriato" nell'ISAE 3402

Esempio pratico: Servizi di Elaborazione Contabile Lombarda S.r.l.

Scenario: Servizi di Elaborazione Contabile Lombarda S.r.l. gestisce la contabilità clienti per 150 PMI. Il controllo chiave testato è: "Il responsabile amministrativo rivede e approva settimanalmente tutte le riconciliazioni bancarie elaborate dal sistema prima dell'invio ai clienti."
Step 1. Identificare il tipo di controllo
Nota di documentazione: Controllo manuale con frequenza settimanale. Controlli generali IT non rilevanti per questo specifico controllo.
Step 2. Determinare la popolazione
Periodo coperto: 12 mesi
Frequenza: settimanale
Popolazione totale: 52 riconciliazioni approvate
Nota di documentazione: Verificato che tutte le 52 settimane del periodo abbiano generato riconciliazioni. Nessuna settimana esclusa.
Step 3. Calcolare la dimensione del campione secondo ISAE 3402.A79
Rischio di deviazione atteso: 1% (controllo precedentemente testato)
Rischio di sopravvalutazione dell'efficacia: 5%
Dimensione campione risultante: 18 elementi
Nota di documentazione: ISAE 3402.A79 - dimensione campione basata su controllo manuale con frequenza settimanale e rischio basso.
Step 4. Selezione del campione
Metodo: selezione casuale sistematica
Intervallo: ogni 3° elemento (52/18 = 2,89, arrotondato a 3)
Starting point casuale: settimana 2
Nota di documentazione: Campione selezionato coprendo uniformemente l'intero periodo di 12 mesi per catturare variazioni stagionali.
Step 5. Esecuzione test e valutazione risultati
Deviazioni trovate: 1 riconciliazione non firmata dal responsabile amministrativo
Tasso di deviazione del campione: 5,6% (1/18)
Nota di documentazione: ISAE 3402.A81 - deviazione valutata come eccezione procedurale, non errore sostanziale. Controllo sostanzialmente efficace.
Conclusione: Il controllo è operativamente efficace nel periodo testato. La singola deviazione rappresenta un'eccezione procedurale che non compromette l'efficacia complessiva del controllo, supportata da evidenza che la riconciliazione è stata comunque rivista (note manoscritte presenti).

Lista di controllo pratica per il campionamento ISAE 3402

• Verificare il tipo di controllo prima di progettare il campione - I controlli automatizzati seguono l'ISAE 3402.A78, quelli manuali l'A79. La confusione qui invalida tutto il test.
• Documentare la frequenza del controllo e il suo impatto sulla popolazione - Un controllo giornaliero per 12 mesi genera 365 elementi, uno mensile ne genera 12. Il campionamento cambia di conseguenza.
• Calcolare il rischio di sopravvalutazione specifico per ISAE 3402 - Questo non è il rischio di controllo dell'ISA 315. È il rischio che il vostro test concluda erroneamente che il controllo sia efficace.
• Citare i paragrafi ISAE 3402.A77-A82 nella documentazione - Non ISA 530. I riferimenti normativi sbagliati sono il primo segnale che il team non conosce la differenza.
• Valutare le deviazioni secondo i criteri dell'ISAE 3402.A80-A81 - Una deviazione in ISAE 3402 ha implicazioni diverse da un errore in ISA 530. Va valutata considerando l'impatto sui user auditor.
• La cosa più importante: Se il controllo è automatizzato e i controlli generali IT sono efficaci, verificate se il campionamento estensivo è necessario o se bastano test limitati secondo l'ISAE 3402.A78.

Errori comuni nei test ISAE 3402

• Confondere population con sample: L'ISAE 3402 richiede che la popolazione sia definita in base alla frequenza operativa del controllo, non al volume delle transazioni elaborate. Se testate un controllo mensile, la popolazione sono le 12 istanze mensili, non le 50.000 transazioni elaborate.
• Applicare erroneamente le soglie di materialità dell'ISA 320: L'ISAE 3402 non ha un concetto di materialità quantitativa. Le deviazioni si valutano in base all'impatto qualitativo sull'efficacia del controllo, secondo l'ISAE 3402.A81.

Contenuti correlati

• Glossario ISAE 3402 - Definizioni complete dei termini chiave per gli incarichi di assurance sui controlli dei service organization
• ISAE 3402 Compliance Workbook - Template Excel con calcolo automatico delle dimensioni campione secondo i paragrafi A77-A82
• Come documentare i controlli generali IT secondo ISAE 3402 - La guida pratica per distinguere quando i controlli automatizzati richiedono campionamento estensivo o limitato