Quando si applica l'ISA Italia 402
Cominciamo dalla falla pratica. Un revisore esamina i bilanci di una SPA che ha esternalizzato la contabilita generale a un centro servizi del gruppo. Nel fascicolo di revisione non c'e nessuna analisi del centro servizi, perche "tanto e una societa del gruppo." L'ISA Italia 402.5 definisce l'organizzazione di servizi come un'entita terza che fornisce servizi parte del sistema informativo rilevante per l'informativa finanziaria. La parola "terza" non si riferisce al gruppo, si riferisce al perimetro di consolidamento del cliente revisionato. Una controllata che amministra la contabilita per la capogruppo, dal punto di vista del revisore della capogruppo, resta un'organizzazione di servizi ai sensi dell'ISA Italia 402.
Cosa succede davvero: la direzione tende a confondere "stesso gruppo" con "stesso perimetro di controllo interno." Il revisore deve mantenere la distinzione, perche il D.Lgs. 39/2010 e la CONSOB la mantengono.
Servizi che rientrano nell'ambito
Quattro categorie ricorrono nei fascicoli italiani:
Elaborazione dati contabili. Centri di servizi amministrativi che gestiscono ciclo attivo, ciclo passivo, paghe. L'organizzazione di servizi registra ed elabora le transazioni per conto del cliente.
Custodia di asset. Banche depositarie, societa di custodia titoli, amministratori di fondi comuni. Nel mondo SGR italiano, la depositaria opera ai sensi dell'art. 48 del TUF e l'amministratore del fondo opera secondo accordi contrattuali.
Amministrazione di prestiti. Servicer che gestiscono incassi, allocazioni capitale/interessi, classificazione del credito. I dati di performance del portafoglio dipendono interamente dai controlli del servicer.
Elaborazione pagamenti. Processori carte, gateway, sistemi POS quando rappresentano una quota significativa dei ricavi.
Servizi che non rientrano nell'ambito
L'ISA Italia 402 non si applica a servizi che non incidono direttamente sulle voci di bilancio. Esempi tipici: servizi IT di infrastruttura (hosting, cybersecurity) qualora non elaborino transazioni contabili; consulenza professionale (legale, fiscale, HR); servizi operativi (logistica, marketing) senza impatto contabile diretto. Il giudizio si applica alla connessione tra il servizio e l'asserzione di bilancio, non al volume del contratto.
Le relazioni ISAE 3402: Tipo 1 contro Tipo 2
L'ISAE 3402 e lo standard internazionale che disciplina le relazioni del revisore dell'organizzazione di servizi. In Italia si applica nella sua versione integrale, e le Big 4 italiane le emettono regolarmente per centri servizi italiani ed europei.
Relazioni Tipo 1
Una relazione Tipo 1 descrive la progettazione dei controlli a una data specifica e l'opinione del revisore dei servizi sulla loro adeguatezza progettuale. Contiene la descrizione dei servizi, la descrizione del sistema, gli obiettivi di controllo della direzione, i controlli rilevanti e l'opinione sulla sola progettazione.
Cosa manca al revisore dell'entita utilizzatrice: nessuna informazione sull'efficacia operativa nel periodo. Nessun test eseguito sui controlli durante il periodo. Solo un punto nel tempo, non il funzionamento durante l'esercizio sotto revisione. La Tipo 1 da sola non basta per ridurre il rischio di controllo: l'ISA Italia 402.16 lo dice esplicitamente.
Relazioni Tipo 2
La Tipo 2 include tutto cio che contiene una Tipo 1, piu i test di efficacia operativa per un periodo specificato (minimo sei mesi per nuove relazioni). Aggiunge i test eseguiti dal revisore dei servizi, i risultati con le eccezioni identificate, l'opinione sull'efficacia operativa e il periodo di test coperto.
Cosa succede davvero: il fatto che esista una Tipo 2 non implica che si possa ridurre automaticamente il lavoro sostanziale. Le eccezioni rilevate dal revisore dei servizi vanno valutate per impatto sull'asserzione, non solo per percentuale di errore. Una relazione che riporta "0 eccezioni" su un controllo definito troppo strettamente non aiuta.
Strategia di revisione con organizzazioni di servizi
Approccio basato sui controlli
Quando esiste una Tipo 2 che copre il periodo di revisione e che testa controlli rilevanti per le asserzioni significative, il revisore puo adottare un approccio basato sui controlli ai sensi dell'ISA Italia 402.12. Servono pero quattro condizioni concrete: copertura del periodo (o della maggior parte di esso); controlli progettati per prevenire o rilevare errori significativi nelle asserzioni rilevanti; test che dimostrino efficacia operativa; nessuna eccezione significativa.
Le procedure aggiuntive sul revisore dell'entita utilizzatrice non finiscono qui. Si valuta la competenza e l'indipendenza del revisore dei servizi (per le Big 4 italiane si verifica almeno l'iscrizione al Registro dei Revisori Legali). Si comprendono i controlli complementari richiesti presso l'utilizzatrice (CUECs, complementary user entity controls). Si testa l'implementazione di tali CUECs presso il cliente.
Qui nasce uno degli errori piu comuni: il fascicolo riporta che esiste una Tipo 2 ma non documenta nulla sui CUECs. Senza i CUECs, l'opinione del revisore dei servizi non e applicabile.
Approccio sostanziale
Qualora non esista una relazione adeguata, oppure qualora i controlli non siano sufficienti a ridurre il rischio di controllo, il revisore applica procedure sostanziali ai sensi dell'ISA Italia 402.13. Nella pratica italiana le procedure tipiche includono: conferme dirette con l'organizzazione di servizi sui saldi rilevanti; riesecuzione di riconciliazioni preparate dall'utilizzatrice con dati indipendenti; test analitici sui dati forniti dall'organizzazione di servizi; ispezione documentale a campione delle transazioni significative.
Il dibattito tra il partner A e il partner B
Sui CUECs si gioca un disaccordo professionale legittimo che ogni manager italiano ha visto in sala riunioni. Il partner A direbbe: la Tipo 2 con opinione pulita basta, i CUECs si verificano tramite walkthrough e si chiude. La sua ragione: il revisore dei servizi ha gia testato i controlli chiave, replicare il lavoro e antieconomico, il D.Lgs. 39/2010 non chiede ridondanza. Il partner B direbbe: senza testare l'efficacia operativa dei CUECs presso il cliente, la Tipo 2 non si puo usare per ridurre il sostanziale. La sua ragione: l'ISA Italia 402.16(b) richiede esplicitamente che i CUECs siano testati come qualunque altro controllo dell'entita, e la CONSOB ha sanzionato fascicoli dove questa verifica era assente. Entrambe le posizioni sono difendibili. La differenza emerge nei controlli MEF: il partner B passa, il partner A spiega.
Esempio pratico: revisione di una SGR italiana
Mediteraneo Asset Management S.p.A. gestisce fondi comuni per EUR 450 milioni. L'amministrazione del fondo (calcolo NAV, pricing titoli, contabilita del fondo) e affidata a Servizi Fiduciari Alpini S.r.l. La depositaria e una banca italiana indipendente.
Passo 1: identificare i servizi rilevanti per l'ISA Italia 402. Nota di documentazione: nel memorandum di pianificazione si elencano tutti i servizi terziarizzati e si valuta la rilevanza per l'informativa finanziaria.
I servizi di Servizi Fiduciari Alpini comprendono il calcolo giornaliero del NAV per tutti i comparti del fondo, il pricing di tutti i titoli in portafoglio tramite feed dati Bloomberg, la registrazione delle transazioni di sottoscrizione/rimborso, la preparazione della contabilita separata di ciascun comparto. Tutti rilevanti per l'ISA Italia 402, perche incidono direttamente sulle cifre di bilancio del fondo.
Passo 2: ottenere e valutare la relazione dell'organizzazione di servizi. Nota di documentazione: nel fascicolo di revisione, sezione ISA Italia 402, si archivia la relazione ISAE 3402 e si documenta la valutazione di adeguatezza, completezza e periodo di copertura.
Servizi Fiduciari Alpini fornisce una relazione ISAE 3402 Tipo 2 per il periodo 1 luglio 2024 - 30 giugno 2025. Il primo problema: l'esercizio della SGR chiude al 31 dicembre. Il periodo coperto dalla Tipo 2 lascia scoperti sei mesi (luglio-dicembre 2025). La relazione copre 15 obiettivi di controllo: autorizzazione delle transazioni, accuratezza del calcolo NAV, completezza e accuratezza del pricing, riconciliazioni giornaliere tra sistemi.
Cosa succede davvero quando la copertura e parziale: si applica un approccio combinato. Per il periodo coperto si puo fare affidamento sui controlli; per i sei mesi residui si valuta se richiedere una bridge letter dalla direzione di Servizi Fiduciari Alpini (lettera che attesta che i controlli non sono cambiati nel periodo non coperto), oppure si estende il sostanziale.
Passo 3: valutare l'efficacia dei controlli testati e le eccezioni. Nota di documentazione: si prepara una matrice che colleghi ogni obiettivo di controllo alle asserzioni di bilancio rilevanti.
I test del revisore dei servizi hanno identificato 3 eccezioni su 450 campioni testati: 2 errori di pricing corretti entro la stessa giornata operativa, 1 ritardo nella riconciliazione risolto il giorno successivo. Il tasso di eccezioni dello 0,67% e valutato come non significativo, dato il valore degli asset e i controlli correttivi identificati.
C'e anche una carve-out nella relazione: l'attivita di pricing per i titoli illiquidi (circa il 3% del NAV) e a sua volta subappaltata a un valutatore terzo. La carve-out significa che il revisore dei servizi non ha testato quei controlli. Per quel 3%, si applica l'ISA Italia 402.21: si valuta se ottenere una relazione separata sul subservicer o si estende il sostanziale sui titoli illiquidi.
Passo 4: progettare procedure di validita residue. Nota di documentazione: nel programma di revisione, si documenta come i controlli dell'organizzazione di servizi influenzino la natura, il timing e l'estensione delle procedure di validita.
Nonostante i controlli efficaci, sono necessarie procedure aggiuntive: conferma diretta dei saldi NAV al 31/12/2025 con Servizi Fiduciari Alpini; test analitico sui calcoli NAV per un campione di giorni lavorativi del periodo non coperto dalla Tipo 2; verifica indipendente dei prezzi per un campione di titoli (con focus particolare sui titoli illiquidi soggetti a carve-out) tramite fonti alternative; riconciliazione tra il totale asset sotto gestione e la somma dei NAV dei singoli comparti.
L'approccio combinato consente di ottenere evidenze sufficienti e appropriate con maggiore efficienza rispetto a un approccio puramente sostanziale. Resta una condizione: il fascicolo deve essere chiuso prima della firma, non dopo.
Il sistema duale italiano e l'ISA Italia 402
Una specificita italiana che l'ISA 402 originale non considera: nelle SPA con sistema tradizionale opera anche il collegio sindacale, che ai sensi dell'art. 2403 C.C. esercita il controllo sull'amministrazione. Il revisore legale e il collegio sindacale operano su perimetri diversi ma condividono l'interesse per i controlli sull'organizzazione di servizi. La nostra esperienza in incarichi su SGR mostra che il flusso informativo tra revisore legale e collegio sindacale sulle relazioni ISAE 3402 e spesso debole. Riteniamo che il collegio sindacale debba ricevere copia della relazione ISAE 3402 e della valutazione del revisore, perche l'art. 2409-septies C.C. richiede uno scambio di informazioni rilevanti, e la valutazione dei controlli sull'amministrazione esternalizzata rientra in questo perimetro. Senza questo scambio, il collegio non puo svolgere la propria funzione di vigilanza sull'amministrazione.
L'insight di secondo ordine, che nessun manuale scrive: l'assurance sulle organizzazioni di servizi e spesso debole nella pratica perche il revisore dell'utilizzatrice non ha leva contrattuale sul revisore dei servizi, e il revisore dei servizi e pagato dall'organizzazione di servizi che non ha incentivo a esporre debolezze.
Checklist pratica ISA Italia 402
1. Identificare tutte le organizzazioni di servizi rilevanti ai sensi dell'ISA Italia 402.7 e documentare i servizi forniti che incidono sull'informativa finanziaria.
2. Ottenere relazioni ISAE 3402 aggiornate (preferibilmente Tipo 2) che coprano il periodo di revisione o la sua maggior parte. Se la copertura e parziale, richiedere una bridge letter o estendere il sostanziale.
3. Valutare l'adeguatezza della relazione: competenza e indipendenza del revisore dei servizi, obiettivi di controllo rilevanti, completezza della descrizione dei servizi, presenza di carve-out o subservicer.
4. Identificare i controlli complementari richiesti (CUECs) presso l'utilizzatrice e testarne l'implementazione e l'efficacia operativa. Senza questo, la relazione non riduce il rischio di controllo.
5. Progettare procedure di validita che tengano conto dei controlli efficaci identificati e colmino le lacune di copertura (carve-out, periodo non coperto, asserzioni non testate).
6. Documentare la strategia di revisione collegando specifici controlli dell'organizzazione di servizi alle asserzioni di bilancio e alle procedure pianificate ai sensi dell'ISA Italia 402.14-17. Documentare prima della firma, non dopo.
Errori comuni nell'applicazione dell'ISA Italia 402
Applicazione automatica. Si assume che ogni servizio terziarizzato richieda la valutazione ISA Italia 402, senza considerare la rilevanza per l'informativa finanziaria.
Eccessiva dipendenza dalle relazioni. Si basa la strategia esclusivamente su una relazione ISAE 3402 senza testare i CUECs presso l'utilizzatrice, e senza valutare le carve-out.
Documentazione che arriva dopo. La relazione ISAE 3402 arriva a gennaio o febbraio, le carte di lavoro vengono completate ex post per riflettere la valutazione. Questa pratica (scrivere le carte dopo) e la prima cosa che la CONSOB cerca quando ispeziona il fascicolo, e il D.Lgs. 39/2010 sanziona la mancata tracciabilita temporale del lavoro svolto.
Contenuti correlati
- Calcolatore di significativita ISA Italia 320: per determinare le soglie di significativita quando si valutano le eccezioni nelle relazioni ISAE 3402.
- Guida alla valutazione del rischio ISA Italia 315: per integrare i controlli delle organizzazioni di servizi nella valutazione complessiva del rischio.
- Checklist controlli interni ISA Italia 265: per identificare e comunicare le carenze nei CUECs presso l'utilizzatrice.