Indice

1. Cosa è e cosa non è la bridge letter 2. Quadro normativo: ISAE 3402, AICPA AT-C 320, prassi italiana 3. Confessione di carriera: la bridge letter scritta troppo forte 4. Struttura e modello del fascicolo 5. Esempio pratico con complicazione 6. La zona di disaccordo: cosa dire sul post-period 7. Errori ricorrenti e checklist

Cosa è e cosa non è la bridge letter

L'errore di scope più comune è confondere la bridge letter con la subsequent-events letter prevista dall'ISA 560. Sono cose diverse. La subsequent-events letter copre fatti accaduti tra la data del bilancio e la data della relazione di revisione del cliente. La bridge letter copre l'intervallo tra la data del rapporto SOC 1 Type II del service organization e la data di chiusura del bilancio dell'user entity. Capita che le due date coincidano, ma il quadro normativo è altro.

Il secondo errore è lessicale e ha conseguenze sostanziali. Si vede ancora circolare la formulazione "i controlli hanno operato efficacemente nel periodo gap". Quella è positive assurance, e il service auditor non l'ha eseguita. Per il periodo gap non si è ricampionato, non si è ritestato, non si è tickato il controllo IT general controls campione. Si è chiesto al management se sia a conoscenza di modifiche significative ai controlli, di failure operative, di violazioni dei CUEC (Complementary User Entity Controls). Ciò che si scrive è quindi un "we are not aware of": negative assurance, allineata al concetto AICPA di "no matter has come to our attention".

La bridge letter non è un'estensione del rapporto. È una dichiarazione di scope ridotto, fondata su inquiry al management e su procedure analitiche limitate, espressa in negative assurance. Quando l'user auditor pretende altro, gli si manda lo standard, non una lettera più rassicurante.

Quadro normativo: ISAE 3402, AICPA AT-C 320, prassi italiana

ISAE 3402 non disciplina espressamente la bridge letter come tipologia separata. La copertura del gap discende, per analogia, dai paragrafi sull'inquiry al management (.30) e dagli A91-A95 sui subsequent events. La guida operativa più dettagliata viene dall'AICPA: AT-C 320 e la SOC 1 Guide trattano espressamente la "type 2 SOC 1 bridge letter". Nella nostra prassi italiana, dove gli incarichi di service auditor su outsourcer bancari, payroll, cloud sono frequentemente ibridi (ISAE 3402 + SOC 1), il riferimento operativo che si tiene a portata nel fascicolo è la combinazione dei due.

A livello di vigilanza domestica, CONSOB (Commissione Nazionale per le Società e la Borsa) e MEF (Ministero dell'Economia e delle Finanze) non emettono guide specifiche sulla bridge letter. La materia resta di standard professionale, con riferimento a ISA Italia per gli aspetti che si riflettono sull'engagement dell'user auditor. La Banca d'Italia, nelle ispezioni su outsourcing critico delle banche, chiede di leggere il rapporto Type II e la copertura del gap; la bridge letter è il documento che si esibisce.

Cosa significa nella pratica: quando si redige una bridge letter per un EIP (Ente di Interesse Pubblico) o per un suo service provider rilevante, si scrive avendo in mente sia ISAE 3402 sia AT-C 320. Lo si dichiara nel paragrafo introduttivo. Si mantiene il linguaggio in negative assurance. Si esplicita che le procedure eseguite sono inquiry e analytical, non test of controls.

Confessione di carriera: la bridge letter scritta troppo forte

I primi anni in cui il senior si trovava a redigere bridge letter, le carte erano leggere. Si copiava il modello dell'anno precedente, si cambiavano le date, si firmava. La frase "i controlli individuati nel rapporto hanno continuato ad operare efficacemente" entrava nella lettera per inerzia, perché c'era nell'esempio. Il partner controfirmava. L'user auditor era contento.

In una review di qualità un revisore esterno aprì il fascicolo e chiese: quali procedure avete eseguito per asserire l'efficacia operativa nel periodo gap? Risposta onesta: nessuna oltre l'inquiry. Conseguenza: la lettera diceva di più di quanto le procedure consentissero. Affermava in positive assurance ciò che si poteva al massimo dichiarare in negative assurance. La review chiuse con una raccomandazione, non con un finding formale, ma il messaggio fu chiaro.

Da quell'esperienza, per ogni bridge letter che esca dallo studio, vale una regola interna: il verbo principale è "non siamo a conoscenza di", o equivalente. Mai "abbiamo accertato". Mai "i controlli hanno operato efficacemente". La differenza pare lessicale. È sostanziale: cambia il livello di assurance dichiarato e il rischio professionale assunto.

Il principio estratto dall'errore: la bridge letter è uno strumento di trasparenza sulle procedure eseguite, non di rassicurazione del cliente. Qualora il management chieda formulazioni più forti, si rinvia al rapporto Type II che già copre il periodo testato. Per il gap, lo standard consente solo quel tipo di linguaggio.

Struttura e modello del fascicolo

Intestazione

A: [Management del service organization] Per conoscenza: [User auditor che facciano affidamento sul rapporto] Oggetto: Comunicazione relativa al periodo successivo al rapporto SOC 1 Type II ai sensi di ISAE 3402 e AT-C 320

Periodo del rapporto Type II: [data inizio – data fine] Periodo coperto dalla bridge letter: [data fine rapporto + 1 giorno – data dichiarazione user]

Paragrafo 1: scope e standard

Si dichiara che la presente comunicazione è emessa in connessione con il rapporto SOC 1 Type II datato [data], relativo ai controlli del service organization rilevanti per il financial reporting degli user. Si chiarisce che la presente non costituisce un rapporto di assurance separato e non estende l'opinione del rapporto Type II al periodo successivo.

Paragrafo 2: procedure eseguite

Si elencano le procedure: inquiry al management su modifiche significative ai controlli inclusi nella description, su failure operative note, su violazioni dei CUEC; lettura della trial balance e di indicatori operativi del periodo gap (volumi processati, tempi di elaborazione, alert di sicurezza). Si esplicita che non sono stati eseguiti test of controls sui controlli del periodo successivo.

Paragrafo 3: risultati in negative assurance

Sulla base delle procedure eseguite, non siamo a conoscenza di: - modifiche significative ai controlli descritti nella Section III del rapporto Type II - failure dei controlli che, qualora si fossero verificati durante il periodo del rapporto, avrebbero modificato l'opinione espressa - circostanze che indichino che i controlli, così come descritti, non siano in essere alla data della presente

Paragrafo 4: limitazioni e CUEC

Si richiama l'attenzione sui CUEC: il funzionamento dei controlli del service organization presuppone che gli utenti implementino i controlli complementari descritti nel rapporto. La presente bridge letter non si esprime sull'efficacia dei CUEC presso l'user entity.

Allegati operativi al fascicolo (interno, non spediti)

- memo di inquiry al management con domande, risposte, evidenze a supporto - estratto degli indicatori operativi letti nel periodo gap, con confronto al baseline del periodo testato - evidenza che il responsabile dell'engagement ha tickato la lettera prima della firma del partner

Esempio pratico con complicazione

Servizi Informatici Alpini S.p.A., outsourcer di elaborazione contabile per 45 banche e finanziarie di piccola dimensione, è in scope ISAE 3402/SOC 1 ibrido. Periodo del rapporto: 1 ottobre 2025 – 30 settembre 2026. Bridge letter richiesta al 31 dicembre 2026 per gli user con esercizio solare.

Decorrenza: dicembre 2026.

Durante l'inquiry su novembre, il responsabile sicurezza riferisce che il 12 novembre è stato dismesso il vecchio sistema di privileged access management e attivato un nuovo PAM con MFA hardware. Il controllo descritto nel rapporto Type II era riferito al sistema legacy. Il senior che redige la bridge letter alza il telefono e chiama il manager.

Si tratta di una modifica significativa al controllo descritto. Non è una failure: il nuovo controllo è più stringente. Tuttavia il rapporto Type II non l'ha testato perché è successivo. La bridge letter non può tacere e non può asserire efficacia operativa del nuovo PAM. La soluzione, dopo discussione con il partner, è duplice. Primo: nel paragrafo 3 si segnala esplicitamente la modifica, qualificandola come change to controls e rinviando a una description aggiornata che il management si impegna a produrre per il prossimo Type II. Secondo: si chiarisce che, per il periodo dal 12 novembre alla data della lettera, i controlli descritti nel rapporto Type II non riflettono i controlli in essere, e che gli user auditor che intendano fare affidamento sui controlli IT access per l'esercizio chiuso al 31 dicembre dovranno valutare procedure proprie.

Una seconda complicazione, scenario diverso, stesso cliente. Un CUEC fallisce nel periodo gap presso uno degli user. La banca utente non ha rivisto trimestralmente le riconciliazioni come richiesto dalla Section IV. Il management dell'user, in panico, chiede al service auditor una bridge letter che dica che i controlli del service organization "compensano" la lacuna del CUEC. Risposta: no. La bridge letter del service auditor non si esprime su CUEC che operano presso l'user. Quel rischio si assume nel financial statement audit dell'user, non si scarica su una lettera del service auditor.

La zona di disaccordo: cosa dire sul post-period

Esiste una legitimate disagreement nella prassi sul perimetro di ciò che la bridge letter può affermare. Una scuola, più conservativa, limita il paragrafo 3 al "we are not aware of any matters" e nulla più: nessuna affermazione affermativa sui controlli, neppure di continuità del design. Una scuola più estensiva, prevalente in alcuni network anglosassoni, ammette frasi del tipo "i controlli, come descritti, risultano in essere alla data della presente sulla base delle inquiry effettuate". La differenza tecnica si gioca su quanto peso si dia alla letteratura AT-C 320 rispetto alla lettera di ISAE 3402.

La nostra posizione: si scrive ciò che le procedure giustificano e nulla di più. Inquiry al management e lettura di indicatori operativi giustificano il "we are not aware of". Per affermare la continuità del design occorre almeno una walk-through aggiornata documentata, e quella raramente è inclusa nello scope del gap engagement, anche perché i compensi pattuiti per la bridge letter sono di norma irrisori rispetto al Type II e non coprono ulteriori test.

Perché allora circolano bridge letter più affermative del consentito? Il meccanismo è di incentivo. L'user auditor, sotto pressione di scadenze, vuole "comfort" oltre quanto lo standard preveda. Il service auditor, in concorrenza con altri studi sullo stesso outsourcer, non vuole irrigidire la relazione. Il management del service organization vuole conservare i clienti utenti. Il risultato è una lettera che cita procedure che l'engagement non ha eseguito. Quando arriva l'ispezione di qualità, il fascicolo non regge. Il problema non si risolve scrivendo lettere più morbide a richiesta. Si risolve dicendo all'user auditor cosa lo standard consente, e mandandogli il riferimento.

Errori ricorrenti e checklist

Errori che si vedono in review

Bridge letter datata prima della data di chiusura del periodo coperto: il senior firma il 28 dicembre una lettera che copre fino al 31. Errore di base, eppure si trova.

Bridge letter che parla di efficacia operativa: si è già detto. Verbo da espungere: "operato efficacemente". Verbo da preferire: "non siamo a conoscenza di".

Bridge letter senza menzione dei CUEC: il rapporto Type II li elenca, la bridge letter li ignora, l'user auditor non se ne ricorda, l'esecuzione difetta presso l'utente. Si richiama esplicitamente la responsabilità dei CUEC nel paragrafo 4.

Bridge letter rilasciata a soggetti non autorizzati: la lettera è privata, non un'opinione pubblica. Si controlla la lista distribuzione prima di firmare.

Checklist sintetica per il fascicolo

Prima della redazione, verificare: - la data della bridge letter sia successiva o coincidente con la fine del periodo coperto - l'inquiry al management sia documentata con date, interlocutori, risposte - siano stati letti almeno due indicatori operativi del periodo gap, con confronto al periodo testato - il management abbia confermato per iscritto l'assenza di modifiche significative o, qualora vi siano state, le abbia descritte - la lista distribuzione sia approvata dal partner

Prima della firma, controllare: - il linguaggio sia in negative assurance per ogni asserzione sul periodo gap - nessuna frase suggerisca un'estensione dell'opinione Type II - siano richiamati i CUEC e la loro responsabilità presso l'user - il riferimento normativo sia ISAE 3402 e, se applicabile, AT-C 320

Dopo la consegna, archiviare nel fascicolo: - copia firmata della lettera - memo di inquiry e indicatori letti - comunicazioni con l'user auditor che giustifichino la richiesta della lettera - evidenza della tickatura per QC interno

Risorse correlate

- Workbook ISAE 3402 completo – modelli per bridge letter, description testing, CUEC mapping - Service auditor communication, glossario – terminologia tra service auditor, user auditor, management - Modifiche ai controlli durante il periodo ISAE 3402 – come trattare i change to controls che si riflettono sulla bridge letter

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.