L'ISAE 3402.A73 stabilisce che un controllo si classifica come Key quando "la sua inefficacia, da sola o in combinazione con carenze in altri controlli, comporterebbe ragionevolmente una probabilità più che remota di uno scostamento materiale nelle asserzioni". Questa definizione contiene tre elementi distinti che i team spesso fondono erroneamente.

Indice dei contenuti

Il framework di classificazione dell'ISAE 3402

L'ISAE 3402.A73 stabilisce che un controllo si classifica come Key quando "la sua inefficacia, da sola o in combinazione con carenze in altri controlli, comporterebbe ragionevolmente una probabilità più che remota di uno scostamento materiale nelle asserzioni". Questa definizione contiene tre elementi distinti che i team spesso fondono erroneamente.
Il primo elemento riguarda la materialità. Lo scostamento deve essere materiale dal punto di vista degli user auditor, non del service provider. Un errore di EUR 50.000 può essere immateriale per un service provider con ricavi di EUR 100M, ma materiale per un user entity con EUR 2M di fatturato che affida l'intera contabilità clienti al service provider.
Il secondo elemento è la probabilità. "Più che remota" significa una possibilità ragionevole, non teorica. L'ISAE 3402.A74 chiarisce che si considera l'effetto potenziale assumendo che il controllo sia completamente inefficace, non che presenti debolezze marginali.
Il terzo elemento è l'effetto combinato. Un controllo può essere Non-Key se altri controlli nella stessa area operano efficacemente. L'ISAE 3402.A75 richiede di valutare la situazione assumendo che tutti i controlli nella catena funzionino come progettati, eccetto quello sotto valutazione.

I tre test per identificare un controllo Key

Test 1: Impatto diretto sulle asserzioni


Il controllo deve avere una relazione diretta con una o più asserzioni rilevanti per gli user auditor. L'ISAE 3402.A76 elenca le asserzioni standard: completezza, accuratezza, validità, autorizzazione e classificazione/presentation.
Un controllo di accesso logico che limita l'accesso al sistema payroll solo al personale autorizzato ha impatto diretto sull'asserzione di autorizzazione. Se inefficace, transazioni non autorizzate potrebbero essere processate senza rilevazione.
Un controllo che verifica la correttezza matematica dei calcoli salariali ha impatto diretto sull'asserzione di accuratezza. La sua inefficacia può generare errori di calcolo che si riflettono direttamente nei dati forniti agli user auditor.

Test 2: Assenza di controlli compensativi efficaci


Il controllo opera in un'area dove non esistono altri controlli che prevengano o rilevano tempestivamente la stessa tipologia di errore. L'ISAE 3402.A77 richiede di considerare l'intera catena di controlli, non i controlli isolatamente.
Se il sistema payroll ha un controllo automatico che previene l'inserimento di dipendenti duplicati e un controllo manuale che rivede mensilmente l'anagrafica per identificare duplicazioni, il secondo controllo può essere classificato come Non-Key perché il primo controllo automatico dovrebbe prevenire l'errore alla fonte.

Test 3: Materialità aggregata


Gli errori potenziali che il controllo previene o rileva, aggregati su base annuale, supererebbero le soglie di materialità degli user auditor. Questo calcolo richiede una stima ragionevole basata sui volumi di transazioni e sui tassi di errore osservati in situazioni similari.
Per un service provider che processa 50.000 transazioni salariali mensili con un valore medio di EUR 3.500, un controllo che previene errori di calcolo con tasso stimato dell'1% previene potenzialmente EUR 2,1M di errori annuali. Anche con una materialità conservativa di EUR 500.000, questo controllo supererebbe la soglia.

Come valutare controlli compensativi

L'ISAE 3402.A78 fornisce guidance specifica per valutare quando i controlli compensativi cambiano la classificazione. Il controllo compensativo deve operare a un livello di precisione sufficiente per identificare scostamenti materiali e deve essere testato con la stessa rigorosità del controllo primario.
Controlli preventivi vs. di rilevazione: Un controllo preventivo automatico generalmente ha maggior peso di un controllo di rilevazione manuale. Il controllo automatico opera su ogni transazione; quello manuale può operare su base campionaria o periodica.
Tempestività di rilevazione: L'ISAE 3402.A79 richiede che i controlli di rilevazione identifichino errori in tempo utile per la correzione prima della generazione dei report agli user auditor. Un controllo che rileva errori trimestral mente può essere meno efficace se i report vengono generati mensilmente.
Livello di dettaglio: Il controllo compensativo deve operare allo stesso livello di dettaglio del controllo primario. Un controllo che rivede i totali aggregati mensili non compensa efficacemente un controllo che valida singole transazioni, perché errori che si compensano nell'aggregato potrebbero non essere rilevati.

Esempio pratico: Service provider di gestione fondi

Contesto: Gestioni Patrimoniali Europee S.r.l. fornisce servizi di amministrazione fondi a 15 società di gestione. Processa 12.000 transazioni mensili per un valore aggregato di EUR 450M. I principali servizi includono: calcolo NAV, gestione sottoscrizioni e rimborsi, reportistica agli investitori.
Controllo sotto valutazione: Riconciliazione giornaliera tra posizioni del fund administrator e i dati del custodian. Il controllo verifica che tutte le posizioni in titoli registrate nel sistema del fund administrator corrispondano alle posizioni effettive presso il custodian.
Passo 1: Identificare le asserzioni rilevanti
Nota di documentazione: Documentare nel WP 3.1 le asserzioni specifiche testate dal controllo, con riferimento all'ISAE 3402.A76
Passo 2: Valutare l'impatto potenziale dell'inefficacia
Posizioni non riconciliate potrebbero indicare: posizioni fittizie registrate nel sistema (overstatement), posizioni reali non registrate (understatement), errori di valutazione su posizioni esistenti. Con un portafoglio aggregato di EUR 450M e una materialità media degli user auditor stimata in EUR 2M, anche uno scostamento dello 0,5% supererebbe la soglia.
Nota di documentazione: Calcolo della materialità aggregata nel WP 3.2, con riferimento ai threshold degli user auditor comunicati
Passo 3: Identificare controlli compensativi
Il sistema dispone di un controllo automatico che blocca il calcolo NAV se la riconciliazione presenta scarti superiori a EUR 100.000. Questo controllo opera quotidianamente e ha la stessa copertura del controllo primario.
Nota di documentazione: Evidenza dell'efficacia del controllo compensativo nel WP 3.3, inclusi screenshot di sistema e test del blocco automatico
Passo 4: Classificazione finale
Il controllo di riconciliazione resta classificato come Key nonostante il controllo compensativo. Il controllo automatico blocca il processo ma non corregge automaticamente gli scarti. La riconciliazione manuale resta necessaria per identificare e risolvere le cause degli scarti prima del rilascio del NAV.
Nota di documentazione: Motivazione della classificazione Key nel WP 3.4, con riferimento ai paragrafi ISAE 3402.A73-A79
Conclusione: Il controllo è classificato Key perché la sua inefficacia comporterebbe il rilascio di NAV potenzialmente errati, con impatto materiale sulle asserzioni di completezza e accuratezza degli user auditor. Il controllo compensativo mitiga ma non elimina il rischio.

  • Completezza: tutte le posizioni effettive sono registrate nel sistema
  • Accuratezza: i valori delle posizioni sono corretti
  • Validità: le posizioni registrate esistono realmente
  • Cut-off: le posizioni sono registrate nel periodo corretto, conformemente all'ISAE 3402.A76 — una posizione trasferita dal custodian il 31 dicembre ma registrata nel sistema il 2 gennaio genererebbe un errore di cut-off nel NAV di fine anno che ricade direttamente sul reporting agli user auditor

Checklist per la classificazione

  • Identificare le asserzioni: Ogni controllo candidato Key deve collegare direttamente a una o più asserzioni dell'ISAE 3402.A76. Documentare la relazione specifica nel working paper.
  • Calcolare l'impatto materiale: Stimare gli errori potenziali su base annuale, considerando volumi di transazioni e tassi di errore osservati. Confrontare con le soglie di materialità degli user auditor.
  • Mappare i controlli compensativi: Per ogni controllo candidato Key, identificare altri controlli nella stessa area. Valutare se operano allo stesso livello di precisione e tempestività.
  • Testare assumendo inefficacia completa: Valutare cosa accadrebbe se il controllo fosse completamente inefficace (non funzionasse affatto), non solo se presentasse debolezze marginali.
  • Documentare la logica: La classificazione deve essere supportata da una motivazione chiara che faccia riferimento ai paragrafi specifici dell'ISAE 3402. Un reviewer deve poter seguire il ragionamento senza spiegazioni aggiuntive.
  • La regola del 50%: Se più del 50% dei controlli identificati è classificato Key, rivalutare l'analisi. Un tasso così elevato generalmente indica che la valutazione dei controlli compensativi è insufficiente o che l'identificazione iniziale include controlli non rilevanti.

Errori comuni e come evitarli

Classificazione basata sulla frequenza: Controlli eseguiti quotidianamente non sono automaticamente Key. La frequenza non determina l'importanza. Alcuni controlli mensili hanno maggior impatto di controlli quotidiani su aspetti marginali.
Confondere controlli di gestione con controlli sulle asserzioni: Controlli che monitorano l'efficienza operativa (tempi di elaborazione, volumi processati) sono generalmente Non-Key perché non impattano direttamente sulle asserzioni finanziarie degli user auditor.
Non considerare l'aggregazione nel tempo: Un controllo che previene errori di EUR 10.000 mensili ha un impatto annuale di EUR 120.000. L'analisi di materialità deve considerare l'effetto cumulativo, non il singolo evento.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.