Indice

Cosa richiede l'ISA 402 nella valutazione del rapporto

L'ISA 402.15 stabilisce che il revisore utilizzatore deve valutare se l'auditor del fornitore di servizi ha competenza ed è indipendente dal fornitore di servizi. Ma questa è solo la prima verifica. L'ISA 402.12 richiede una valutazione più approfondita della descrizione dei controlli fornita dalla direzione del fornitore di servizi.
Il revisore deve verificare che la descrizione includa i controlli rilevanti per l'audit del bilancio dell'entità utilizzatrice. Non tutti i controlli descritti nel rapporto sono significativi per ogni client. Il punto è identificare quali controlli sono direttamente collegati alle asserzioni di bilancio che state testando.
L'ISA 402.A20 chiarisce che la valutazione deve considerare se la natura, tempistica ed estensione dei test eseguiti dall'auditor del fornitore di servizi sono appropriati per le circostanze. Un rapporto Type II con test su 25 campioni per un controllo che processa 50.000 transazioni mensili potrebbe non fornire evidenza audit sufficiente. Il calcolo dell'intervallo di fiducia conta.

Distinzione tra Type I e Type II


I rapporti ISAE 3402 Type I esprimono un'opinione sulla descrizione dei controlli e sulla loro progettazione a una data specifica. I rapporti Type II aggiungono test dell'efficacia operativa dei controlli durante un periodo. Per i revisori utilizzatori, solo i rapporti Type II forniscono evidenza sulla funzionalità dei controlli durante l'esercizio oggetto di audit.
L'ISA 402.A18 nota che un rapporto Type I può essere appropriato solo quando l'entità utilizzatrice ha controlli complementari efficaci che forniscono evidenza audit sufficiente. Se il vostro cliente si affida interamente ai controlli del fornitore di servizi senza verifiche aggiuntive, serve un rapporto Type II.

La sequenza di valutazione in tre passaggi

Passaggio 1: Valutazione dell'auditor del fornitore di servizi


L'ISA 402.15 richiede di valutare la competenza professionale e l'indipendenza dell'auditor del fornitore di servizi. Per le società di revisione internazionali conosciute, questa valutazione è diretta. Per auditor meno noti, verificate l'appartenenza a organismi professionali riconosciuti e la registrazione presso autorità di vigilanza competenti.
L'indipendenza si valuta rispetto al fornitore di servizi, non al vostro cliente. Un auditor che fornisce servizi di consulenza al fornitore di servizi potrebbe non essere indipendente per emettere un rapporto ISAE 3402, anche se tecnicamente qualificato.

Passaggio 2: Analisi della descrizione dei controlli


Il management del fornitore di servizi prepara la descrizione dei controlli, non l'auditor. Il vostro compito è verificare se la descrizione include tutti i controlli rilevanti per le vostre asserzioni di bilancio. L'ISA 402.A21 sottolinea che alcuni controlli possono essere omessi dalla descrizione anche se operativamente significativi.
Confrontate la descrizione con la vostra comprensione dei servizi ricevuti dal cliente. Se il fornitore gestisce la contabilità fornitori ma la descrizione copre solo l'elaborazione fatture, manca un pezzo. I controlli sui pagamenti, sulle riconciliazioni e sulle autorizzazioni dovrebbero essere inclusi.

Passaggio 3: Valutazione dei test eseguiti


L'ISAE 3402.A69 richiede che l'auditor del fornitore di servizi documenti la natura, tempistica ed estensione dei test per ogni controllo. Questa documentazione appare nella sezione IV del rapporto Type II. La vostra valutazione si concentra su tre elementi:
Appropriatezza del campionamento: Un controllo applicato a 100.000 transazioni mensili testato su 25 elementi fornisce un intervallo di fiducia del 95% con una deviazione attesa dello 0%. Se la deviazione effettiva è zero, l'evidenza è appropriata. Se si riscontrano deviazioni, l'intervallo si allarga e potrebbe essere insufficiente.
Periodo di test: I test devono coprire un periodo rappresentativo dell'esercizio oggetto di audit. Un rapporto che testa controlli da gennaio ad agosto per un audit con chiusura dicembre lascia quattro mesi non coperti. L'ISA 402.16 richiede procedure aggiuntive per colmare il gap.
Rilevanza dei controlli testati: Non tutti i controlli descritti sono testati nei rapporti Type II. L'auditor del fornitore di servizi seleziona i controlli da testare in base alla loro rilevanza per gli utilizzatori in generale. Verificate che i controlli testati includano quelli rilevanti per le vostre asserzioni specifiche.

Esempio pratico: valutazione rapporto elaborazione paghe

Scenario: Industrie Tessili Bergamo S.r.l. utilizza HRMaster S.p.A. per l'elaborazione delle buste paga. Il costo del lavoro rappresenta il 62% del totale costi operativi (€8,4M su €13,5M di ricavi). HRMaster ha fornito un rapporto ISAE 3402 Type II per il periodo dal 1° gennaio al 30 settembre 2024.

Passaggio 1: Valutazione dell'auditor


L'auditor è Grant Thornton S.p.A., società di revisione registrata presso la CONSOB. Competenza e indipendenza verificate. L'opinione è senza rilievi.
Nota di documentazione: Auditor del fornitore di servizi qualificato e indipendente secondo ISA 402.15. File: verifica qualificazione auditor SOC.

Passaggio 2: Analisi della descrizione


La descrizione di HRMaster include:
Manca: controllo sui cambiamenti retributivi in corso d'anno. Industrie Tessili ha applicato un aumento del 3,2% a luglio. La descrizione non menziona come HRMaster gestisce le modifiche agli stipendi base.
Nota di documentazione: Richiesta integrazione al fornitore sui controlli per variazioni retributive. Controllo rilevante per accuratezza costo del lavoro H2 2024.

Passaggio 3: Valutazione dei test


Controllo 1.1 (Autorizzazioni): Testato su 30 nuove assunzioni su popolazione di 45 nel periodo. Nessuna eccezione. Coverage 67%, appropriata per popolazioni piccole.
Controllo 2.1 (Calcolo paghe): Testato su 25 buste paga per mese su popolazione media di 340 dipendenti. Tasso di campionamento 7,4%. Una eccezione riscontrata a marzo (ore straordinarie non autorizzate processate). Deviazione: 4%.
Controllo 2.2 (Riconciliazioni): Testato su tutti i 9 mesi. Nessuna eccezione.
L'eccezione nel Controllo 2.1 richiede valutazione aggiuntiva. La deviazione del 4% su un controllo che copre l'accuratezza del calcolo suggerisce che il controllo non è completamente efficace. Servono procedure aggiuntive.
Nota di documentazione: Controllo 2.1 presenta deviazione 4%. Pianificazione test aggiuntivi su accuratezza calcoli marzo-dicembre per validare che l'eccezione sia isolata.

Conclusione della valutazione


Il rapporto fornisce evidenza parziale. È necessario:
L'approccio di audit per il costo del lavoro richiede una combinazione di affidamento sui controlli (per le aree coperte efficacemente) e test di dettaglio (per le aree con lacune o deviazioni).

  • Controllo 1.1: Autorizzazione nuove assunzioni prima dell'inserimento nel sistema paghe
  • Controllo 1.2: Verifica accuratezza dati anagrafici dipendenti tramite confronto con documentazione HR
  • Controllo 2.1: Calcolo automatico buste paga con controlli di ragionevolezza su ore lavorate
  • Controllo 2.2: Riconciliazione mensile tra totale paghe calcolate e importi trasferiti alla banca
  • Ottenere chiarimenti sui controlli per le variazioni retributive
  • Estendere i test per il periodo ottobre-dicembre non coperto
  • Eseguire test aggiuntivi sull'accuratezza dei calcoli data l'eccezione riscontrata

Checklist operativa per il revisore utilizzatore

1. Verifica preliminare del rapporto

2. Analisi della descrizione dei controlli

3. Valutazione dei test dell'auditor del fornitore

4. Determinazione dell'impatto sulla strategia di audit

5. Documentazione nel fascicolo

6. Elemento più importante


Verificate che ogni controllo su cui fate affidamento sia stato testato efficacemente senza deviazioni significative. Un'opinione pulita sul rapporto complessivo non garantisce che ogni controllo individuale sia affidabile per le vostre finalità specifiche.

  • [ ] Rapporto Type II presente (non solo Type I)
  • [ ] Periodo coperto appropriato per l'esercizio oggetto di audit
  • [ ] Auditor del fornitore qualificato e indipendente (ISA 402.15)
  • [ ] Opinione senza rilievi significativi
  • [ ] Descrizione include tutti i servizi ricevuti dal cliente
  • [ ] Controlli descritti sono collegabili alle asserzioni di bilancio rilevanti
  • [ ] Nessun gap evidente tra servizi forniti e controlli descritti
  • [ ] Controlli complementari dell'entità utilizzatrice identificati e documentati
  • [ ] Natura dei test appropriata per ogni controllo
  • [ ] Dimensione del campione ragionevole rispetto alla popolazione
  • [ ] Eccezioni riscontrate valutate per impatto potenziale
  • [ ] Periodo di test copre sostanzialmente l'esercizio oggetto di audit
  • [ ] Controlli efficaci identificati per ridurre test di dettaglio
  • [ ] Gap nella copertura identificati per procedure aggiuntive
  • [ ] Controlli con deviazioni esclusi dall'affidamento
  • [ ] Connessione tra controlli del fornitore e valutazione del rischio documentata
  • [ ] Valutazione dell'auditor del fornitore documentata
  • [ ] Analisi della rilevanza dei controlli per le asserzioni specifiche
  • [ ] Decisioni di affidamento supportate da evidenza appropriata
  • [ ] Procedure aggiuntive pianificate per gap identificati

Errori comuni nella valutazione dei rapporti

  • Affidamento automatico sull'opinione: Assumere che un'opinione senza rilievi significhi che tutti i controlli sono efficaci per le vostre finalità specifiche. Ogni controllo va valutato individualmente.
  • Gap temporali ignorati: Non identificare i periodi non coperti dal rapporto Type II e non pianificare procedure aggiuntive per colmare i gap secondo ISA 402.16.
  • Controlli complementari trascurati: Non identificare e testare i controlli dell'entità utilizzatrice che completano quelli del fornitore di servizi secondo ISA 402.A14.

Risorse correlate

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.