Quando si Applica l'ISA 402

L'ISA 402.5 definisce un'organizzazione di servizi come un'entità terza che fornisce servizi a un'organizzazione utilizzatrice che sono parte del sistema informativo rilevante per l'informativa finanziaria. La chiave è "rilevante per l'informativa finanziaria": non tutti i servizi terziarizzati rientrano nell'ambito dell'ISA 402.

Servizi che Rientrano nell'Ambito ISA 402


I servizi più comuni che richiedono valutazione secondo l'ISA 402 includono:
Elaborazione dati contabili: Centri di elaborazione che gestiscono transazioni contabili, cicli attivo/passivo, elaborazione paghe. L'organizzazione di servizi registra, elabora o riferisce le transazioni per conto del cliente.
Custodia di asset: Banche depositarie, società di custodia titoli, gestori di fondi comuni. L'organizzazione di servizi mantiene la custodia fisica o digitale di asset dell'entità utilizzatrice.
Amministrazione di prestiti: Società di servicing che gestiscono incassi, allocazioni capitale/interessi, classificazione del credito. I dati di performance del portafoglio prestiti dipendono dai controlli del servicer.
Elaborazione pagamenti: Processori di carte di credito, gateway di pagamento, sistemi POS quando rappresentano una parte significativa dei ricavi dell'entità.

Servizi che Non Rientrano nell'Ambito


L'ISA 402 non si applica a servizi che non influenzano direttamente le cifre di bilancio:

  • Servizi IT di infrastruttura (hosting, sicurezza informatica) a meno che non elaborino transazioni contabili
  • Consulenza professionale (legale, fiscale, HR)
  • Servizi operativi (logistica, marketing) senza impatto contabile diretto

Tipi di Relazioni di Revisione delle Organizzazioni di Servizi

Relazioni Tipo 1 (SOC 1 Tipo 1)


Una relazione Tipo 1 descrive la progettazione dei controlli dell'organizzazione di servizi a una data specifica e l'opinione del revisore dei servizi sulla loro adeguatezza di progettazione.
Cosa contiene:
Limitazioni per il revisore dell'entità utilizzatrice:

Relazioni Tipo 2 (SOC 1 Tipo 2)


Una relazione Tipo 2 include tutto il contenuto di una Tipo 1 più test dell'efficacia operativa dei controlli durante un periodo specificato.
Contenuto aggiuntivo rispetto alla Tipo 1:
Maggiore valore per il revisore dell'entità utilizzatrice:
  • Descrizione dei servizi forniti
  • Descrizione del sistema dell'organizzazione di servizi
  • Obiettivi di controllo specificati dalla direzione
  • Controlli rilevanti per ciascun obiettivo
  • Opinione sulla progettazione dei controlli
  • Nessuna informazione sull'efficacia operativa dei controlli
  • Nessun test sui controlli durante il periodo
  • Solo un punto nel tempo, non il funzionamento durante tutto il periodo di revisione
  • Test dei controlli eseguiti dal revisore dei servizi
  • Risultati dei test, incluse eccezioni identificate
  • Opinione sull'efficacia operativa dei controlli
  • Periodo di test (minimo 6 mesi per nuove relazioni)
  • Evidenze sui controlli su cui basare la strategia di revisione
  • Possibilità di ridurre i test di validità in aree coperte da controlli efficaci
  • Comprensione delle eccezioni e del loro impatto potenziale

Strategia di Revisione con Organizzazioni di Servizi

Approccio Basato sui Controlli


Quando è disponibile una relazione Tipo 2 con controlli efficaci rilevanti per asserzioni significative, il revisore può adottare un approccio basato sui controlli secondo l'ISA 402.12.
Requisiti per l'approccio basato sui controlli:
Procedure aggiuntive richieste:

Approccio Substantivo


Quando non è disponibile una relazione adeguata o quando i controlli non sono sufficienti per ridurre il rischio di controllo, il revisore applica procedure sostanziali secondo l'ISA 402.13.
Procedure sostanziali tipiche:
  • Relazione Tipo 2 che copre il periodo di revisione (o la maggior parte di esso)
  • Controlli progettati per prevenire/individuare errori significativi nelle asserzioni rilevanti
  • Test del revisore dei servizi che dimostrano efficacia operativa
  • Nessuna eccezione significativa identificata nei test
  • Valutazione della competenza e indipendenza del revisore dei servizi
  • Comprensione dei controlli complementari dell'entità utilizzatrice richiesti per l'efficacia
  • Test dell'implementazione dei controlli complementari
  • Conferme dirette con l'organizzazione di servizi
  • Riesecuzione di riconciliazioni preparate dall'entità utilizzatrice
  • Test analitici su dati forniti dall'organizzazione di servizi
  • Ispezione della documentazione di supporto per un campione di transazioni

Esempio Pratico: Revisione di un Fondo di Investimento

Scenario: Mediteraneo Asset Management S.p.A. gestisce fondi comuni per €450 milioni. L'amministrazione del fondo (calcolo NAV, pricing titoli, contabilità del fondo) è terziarizzata a Servizi Fiduciari Alpini S.r.l.
Passo 1: Identificare i servizi rilevanti per l'ISA 402
Nota di documentazione: nella sezione ISA 402 del memorandum di pianificazione, elencare tutti i servizi terziarizzati e valutare la rilevanza per l'informativa finanziaria.
I servizi di Servizi Fiduciari Alpini includono:
Tutti questi servizi sono rilevanti per l'ISA 402 perché influenzano direttamente le cifre di bilancio del fondo.
Passo 2: Ottenere e valutare la relazione dell'organizzazione di servizi
Nota di documentazione: nel fascicolo ISA 402, archiviare la relazione SOC 1 e documentare la valutazione di adeguatezza, completezza e periodo di copertura.
Servizi Fiduciari Alpini ha fornito una relazione SOC 1 Tipo 2 per il periodo 1° gennaio - 31 dicembre 2024. La relazione copre 15 obiettivi di controllo relativi a:
Passo 3: Valutare l'efficacia dei controlli testati
Nota di documentazione: preparare una matrice che colleghi ciascun obiettivo di controllo alle asserzioni di bilancio rilevanti e documentare la valutazione dell'efficacia.
I test del revisore dei servizi hanno identificato 3 eccezioni su 450 campioni testati:
Il tasso di eccezioni del 0,67% è valutato come non significativo dato il valore totale degli asset e i controlli correttivi identificati.
Passo 4: Progettare procedure di validità residue
Nota di documentazione: nel programma di revisione, documentare come i controlli dell'organizzazione di servizi influenzano la natura, timing ed estensione delle procedure di validità.
Nonostante i controlli efficaci, sono necessarie procedure aggiuntive:
Conclusione: L'approccio combinato (fiducia nei controlli + procedure sostanziali mirate) consente di ottenere evidenze sufficienti e appropriate con un'efficienza maggiore rispetto a un approccio puramente sostanziale.

  • Calcolo giornaliero del NAV per tutti i comparti del fondo
  • Pricing di tutti i titoli in portafoglio utilizzando feed dati Bloomberg
  • Registrazione di tutte le transazioni di sottoscrizione/rimborso
  • Preparazione della contabilità separata di ciascun comparto
  • Autorizzazione delle transazioni
  • Accuratezza del calcolo NAV
  • Completezza e accuratezza del pricing
  • Riconciliazioni giornaliere tra sistemi
  • 2 errori di pricing corretti entro la stessa giornata operativa
  • 1 ritardo nella riconciliazione risolto il giorno successivo
  • Conferma diretta dei saldi NAV al 31/12/2024 con Servizi Fiduciari Alpini
  • Test analitico sui calcoli NAV per un campione di giorni lavorativi
  • Verifica indipendente dei prezzi per un campione di titoli utilizzando fonti alternative
  • Riconciliazione tra il totale asset sotto gestione e la somma dei NAV dei singoli comparti

Checklist Pratica ISA 402

  • Identificare tutte le organizzazioni di servizi rilevanti secondo l'ISA 402.7 e documentare i servizi forniti che influenzano l'informativa finanziaria.
  • Ottenere relazioni di revisione aggiornate (preferibilmente Tipo 2) che coprano il periodo di revisione o la sua maggior parte.
  • Valutare l'adeguatezza della relazione: competenza del revisore dei servizi, obiettivi di controllo rilevanti, completezza della descrizione dei servizi.
  • Identificare controlli complementari richiesti presso l'entità utilizzatrice e testarne l'implementazione ed efficacia operativa.
  • Progettare procedure di validità che tengano conto dei controlli efficaci identificati e colmino eventuali gap di copertura.
  • Documentare la strategia di revisione collegando specifici controlli dell'organizzazione di servizi alle asserzioni di bilancio e alle procedure di revisione pianificate secondo l'ISA 402.14-17.

Errori Comuni nell'Applicazione dell'ISA 402

  • Applicazione automatica: Assumere che tutti i servizi terziarizzati richiedano valutazione ISA 402 senza considerare la rilevanza per l'informativa finanziaria.
  • Eccessiva dipendenza dalle relazioni: Basare la strategia di revisione esclusivamente su relazioni SOC 1 senza valutare controlli complementari presso l'entità utilizzatrice o progettare procedure sostanziali appropriate.
  • Documentazione insufficiente: Non collegare specifici controlli dell'organizzazione di servizi alle asserzioni di bilancio rilevanti o alle modifiche nell'approccio di revisione.

Contenuti Correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.