Revisione Aziendale Corso avanzato Incarichi professionali e giudizi per revisioni speciali: ISAE 3402 Università La Sapienza-Roma Corso di laurea magistrale: Economia Aziendale- Consulenza Professionale Anno accademico: 2016-2017 Docente: Corrado Testori
Indice Obiettivi e finalità Metodologia ISA 402 - Considerazioni sulla revisione contabile di un’impresa che esternalizza attività avvalendosi di fornitori di servizi
Obiettivi e finalità L’ISAE (International Standard for Assurance Engagements) 3402 è un principio emanato dallo IAASB (International Auditing and Assurance Standards Board) e riconosciuto a livello internazionale. L’attestazione ISAE 3402 è la valutazione del sistema dei controlli di organizzazioni che erogano servizi, prevalentemente in ambito IT e amministrativo, ed è rilasciata da Auditors Indipendenti, i quali hanno la responsabilità di valutarne la descrizione, il disegno e l’efficacia, rispetto a best practices di controllo. Tale attestazione è ad uso delle Società che utilizzano i servizi oggetto di verifica e dei loro rispettivi auditors, essendo tali servizi a supporto della produzione dell’informativa contabile e di bilancio.
Obiettivi e finalità I report redatti secondo lo standard ISAE 3402 sono funzionali alle società (User Organization), soggette ad attività di revisione contabile (da parte dei cd. User Auditor), che nello svolgimento del proprio business beneficiano dei servizi offerti da una terza società (Service Organization), generalmente attraverso una relazione di Outsourcing. L’ISAE 3402 identifica uno standard che permetta ad un Independent Auditor di emettere un’Opinion sulla descrizione del Sistema Organizzativo di una Service Organization, focalizzando in particolare l’attenzione sul Sistema dei Controlli Interni.
Metodologia La metodologia per ottenere la certificazione ISAE 3402 prevede le seguenti fasi operative: Pre-assessment: raccolta della documentazione a supporto delle analisi es. flow chart dei processi, manuali operativi, interviste con i referenti interni al fine di identificare i rischi e i controlli, identificazione e formalizzazione delle principali issues operative e relative ai controlli. Analisi e assessment di controlli ed obiettivi di controllo (disegno dei controlli): condivisione degli obiettivi di controllo, identificazione dei controlli, verifica dell’adeguatezza dei controlli al raggiungimento degli obiettivi di controllo, definizione del report ISAE 3402, condivisione dei risultati del report ISAE 3402, definizione di un Action Plan Analisi e valutazione di controlli ed obiettivi di controllo (efficacia operativa dei controlli): verifica e conferma degli obiettivi di controllo, verifica e conferma delle attività di controllo, test di efficacia, verifica dell’adeguatezza dei controlli al raggiungimento degli obiettivi di controllo.
ISA 402 - Considerazioni sulla revisione contabile di un’impresa che esternalizza attività avvalendosi di fornitori di servizi Perché è importante la certificazione ISAE 3402? Il principio di revisione ISA 402 tratta della responsabilità del revisore di ottenere sufficiente e appropriata evidenza quando il cliente utilizza una o più Service Organization (fornitore di servizi). Nello specifico chiarisce come il revisore applica i requirements degli ISA 315 e 330 in entità che danno in “outsourcing” a terze organizzazioni una parte delle loro attività di business (per es. payroll o ufficio fiscale). Al revisore è richiesto di comprendere la natura e la significatività dei servizi forniti dall’organizzazione di servizi e i loro effetti sul controllo interno della società sottoposta a revisione in modo sufficiente da potere valutare i rischi di errori significativi.
ISA 402 - Considerazioni sulla revisione contabile di un’impresa che esternalizza attività avvalendosi di fornitori di servizi In fase di valutazione del rischio, quando il revisore, dovendo comprendere il controllo interno, non riesce a ottenere sufficiente comprensione direttamente dal cliente che utilizza il servizio, dovrà: Ottenere il report ISAE 3402 se disponibile Contattare la service organization per ottenere specifiche informazioni Svolgere direttamente presso la service organization le procedure che gli permettano di ottenere le informazioni necessarie per comprendere il controllo interno dell’organizzazione Utilizzare il lavoro di un altro revisore che gli fornisca le informazioni necessarie.
ISA 402 - Considerazioni sulla revisione contabile di un’impresa che esternalizza attività avvalendosi di fornitori di servizi Quando la valutazione del rischio include l’aspettativa di efficacia operativa dei controlli della service organization il revisore avrà bisogno di ottenere evidenza della loro efficacia operativa attraverso le seguenti procedure: Ottenere il report ISAE 3042 sui risultati dei test sui controlli della Service Organization Svolgere test dei controlli presso la service organization Utilizzare il lavoro di un altro revisore per lo svolgimento dei test dei controlli presso la service organization
ISA 402 - Considerazioni sulla revisione contabile di un’impresa che esternalizza attività avvalendosi di fornitori di servizi Il principio infine richiede che siano fatte interviste presso il cliente qualora la service organization gli abbia riportato o il cliente sia al corrente di frodi, non allineamento a leggi o regolamenti, o errori non corretti che impattano sul bilancio. Quando i controlli del cliente sono adeguati a mitigare il rischio di errore significativo il requirement del 402 non si applica più.