Punti chiave

  • Tutti e cinque gli elementi devono essere presenti secondo l' (a): relazione tripartita, oggetto, criteri, elementi probativi e conclusione scritta.
  • L' e lo standard quadro. Standard specifici , 3410, 3420) si applicano quando l'oggetto rientra nel loro ambito; in caso contrario si applica direttamente l'
  • Sia la ragionevole sicurezza sia la sicurezza limitata costituiscono incarichi di assurance. Le procedure concordate non lo sono.

Come funziona

L'ISAE 3000.12(a) definisce un incarico di assurance attraverso cinque elementi. Tutti e cinque devono essere presenti: (1) una relazione tripartita tra il professionista, il soggetto responsabile e gli utilizzatori previsti; (2) un oggetto appropriato; (3) criteri idonei rispetto ai quali l'oggetto viene valutato; (4) elementi probativi sufficienti e appropriati; (5) una relazione scritta di assurance contenente la conclusione del professionista. Se manca anche un solo elemento, l'incarico non costituisce un incarico di assurance.

L'ISAE 3000 è lo standard quadro. Standard specifici si collocano al di sotto per oggetti particolari: l'ISAE 3402 per i controlli delle organizzazioni di servizi (report SOC), l'ISAE 3410 per le dichiarazioni sui gas serra e l'ISAE 3420 per le informazioni finanziarie pro forma. Quando non esiste un ISAE specifico per l'oggetto in questione (come accade attualmente per molti temi di sostenibilita ed ESG), si applica direttamente l'ISAE 3000.

Un incarico di assurance puo fornire ragionevole sicurezza (conclusione in forma positiva) oppure sicurezza limitata (conclusione in forma negativa). Il livello di assurance determina la natura e l'estensione delle procedure, ma non incide sulla qualificazione dell'incarico come incarico di assurance. Entrambi i livelli richiedono tutti e cinque gli elementi.

Esempio pratico: Logistica Adriatica S.p.A.

Cliente: Societa di logistica con sede a Padova, 850 dipendenti, fornitore di servizi logistici per conto terzi verso clienti del settore moda. Logistica Adriatica ha ricevuto la richiesta da parte di un cliente principale (un marchio di moda che opera nella grande distribuzione) di ottenere un report ISAE 3402 di Tipo 2 sui controlli del proprio sistema di gestione dei magazzini.

Fase 1: Verifica delle precondizioni (ISAE 3000.24). Il professionista valuta se l'oggetto e appropriato, se i criteri sono idonei e se sara possibile accedere a elementi probativi sufficienti. In questo caso, l'oggetto consiste nella descrizione del sistema di gestione dei magazzini e nei relativi controlli interni. I criteri sono quelli indicati nell'ISAE 3402 per i report di Tipo 2. Il professionista conferma di poter accedere ai log del sistema, alla documentazione dei controlli e di poter effettuare test sull'efficacia operativa per un periodo di nove mesi (da aprile a dicembre 2024). Nota di documentazione: registrare la valutazione delle precondizioni nel memo di accettazione dell'incarico, con riferimento all'ISAE 3000.24.

Fase 2: Distinzione tra Tipo 1 e Tipo 2. Il report di Tipo 1 copre la progettazione e l'implementazione dei controlli a una data specifica. Il report di Tipo 2 copre la progettazione e l'efficacia operativa dei controlli nel corso di un periodo. Il cliente ha richiesto un Tipo 2, il che richiede test dell'efficacia operativa su un periodo di almeno sei mesi. Il professionista pianifica test campionari sui controlli chiave (autorizzazioni di spedizione, riconciliazioni di inventario, controlli di accesso al sistema) per il periodo aprile-dicembre 2024. Nota di documentazione: registrare la distinzione Tipo 1 vs Tipo 2 secondo l'ISAE 3402.16 e il periodo coperto dal report.

Fase 3: Formulazione della conclusione. Dopo aver completato le procedure, il professionista riscontra che due dei quindici controlli testati presentano eccezioni (autorizzazioni di spedizione mancanti per il 4% delle transazioni campionate). Il professionista valuta se le eccezioni sono sufficientemente significative da modificare la conclusione. In questo caso, la percentuale di eccezioni resta al di sotto della soglia di tolleranza del 5% stabilita nel piano di lavoro. La conclusione del report di Tipo 2 e senza riserve. Nota di documentazione: registrare le eccezioni riscontrate, la valutazione della loro significativita e la conclusione raggiunta, con riferimento all'ISAE 3402 e all'ISAE 3000.33.

Conclusione: L'incarico soddisfa tutti e cinque gli elementi dell'ISAE 3000.12(a) e il report di Tipo 2 e difendibile perche le precondizioni, la distinzione di tipologia, le procedure eseguite e le eccezioni sono documentate con riferimenti specifici allo standard.

Cosa i revisori sbagliano

  • Accettazione dell'incarico senza verifica di tutti e cinque gli elementi. L'ISAE 3000.24 richiede la valutazione delle precondizioni prima dell'accettazione. Se l'oggetto non dispone di criteri idonei, il professionista non puo emettere una relazione di assurance. Questo errore e difficile da correggere a lavoro iniziato.
  • Classificazione errata tra Tipo 1 e Tipo 2 nei report ISAE 3402. L'ISAE 3402.16 distingue chiaramente i due tipi. Testare solo la progettazione dei controlli e presentare il report come Tipo 2 induce in errore i revisori utilizzatori che si affidano al report per ridurre le proprie procedure di validita.
  • Confusione tra incarico di assurance e procedure concordate. Un incarico di procedure concordate ai sensi dell'ISRS 4400 non contiene una conclusione. Il professionista riporta solo i risultati. Questo elemento mancante colloca l'incarico al di fuori del framework di assurance.

Termini correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.