Contenuti

Quando serve una bridge letter

L'ISAE 3402.35 richiede che il service auditor ottenga evidenze sufficienti sui controlli per l'intero periodo coperto dal rapporto. Quando il service auditor cambia durante il periodo, si crea un gap che deve essere colmato.
La bridge letter è obbligatoria in questi scenari:
Non è richiesta quando il nuovo service auditor inizia all'inizio di un nuovo periodo di reporting e può testare i controlli per l'intero periodo senza dipendere dal lavoro del predecessore.

  • Cambio di service auditor: Il nuovo revisore subentra dopo l'inizio del periodo di reporting e deve emettere un rapporto Type II che copra l'intero periodo
  • Integrazione di sistemi: Il service organization implementa nuovi controlli o modifica quelli esistenti durante il periodo
  • Gap temporale: Esiste un periodo non coperto tra l'ultimo test del predecessore e il primo test del successore

Requisiti ISAE 3402 per la comunicazione tra auditor

L'ISAE 3402.A94 stabilisce che il service auditor deve valutare se le evidenze ottenute dal predecessore sono sufficienti e appropriate per supportare l'opinione sui controlli.

Elementi richiesti nella comunicazione


La comunicazione deve includere (ISAE 3402.A95):
Descrizione delle procedure eseguite: Il predecessore documenta le procedure di test specifiche eseguite sui controlli rilevanti, inclusa la natura, tempistica ed estensione dei test.
Risultati ottenuti: Documentazione di eventuali eccezioni identificate, inclusa la natura dell'eccezione, la causa principale identificata e le azioni correttive implementate dal service organization.
Conclusioni sui controlli: Valutazione dell'efficacia operativa dei controlli per il periodo testato, con riferimento ai criteri di controllo applicabili.
La mancanza di risposta del predecessore non esime il nuovo service auditor dall'obbligo di ottenere evidenze sufficienti. In quel caso, deve eseguire procedure alternative estese per coprire il periodo.

Struttura e contenuto della bridge letter

Una bridge letter efficace segue questa struttura standardizzata:

Intestazione e riferimenti


```
A: [Nome del nuovo service auditor]
Da: [Nome del service auditor predecessore]
Re: Comunicazione ponte per [Nome del service organization] - Periodo [date]
```

Corpo della lettera


Paragrafo 1 - Scopo: Dichiara l'obiettivo della comunicazione ai sensi dell'ISAE 3402.35 e identifica il periodo coperto.
Paragrafo 2 - Lavoro svolto: Descrive la natura e l'estensione delle procedure eseguite sui controlli rilevanti, con riferimento alle date specifiche dei test.
Paragrafo 3 - Risultati: Riporta i risultati dei test, incluse eventuali eccezioni e la loro risoluzione.
Paragrafo 4 - Limitazioni: Dichiara che il lavoro era finalizzato al rapporto SOC 1 originale e che questa comunicazione non costituisce un'opinione separata.

Allegati richiesti

  • Matrice dei controlli testati: Elenco dei controlli con frequenza di test e risultati
  • Documentazione delle eccezioni: Dettagli su eventuali controlli non efficaci e azioni correttive
  • Calendario delle procedure: Timeline delle attività di test eseguite

Esempio pratico

Scenario: Servizi Informatici Alpini S.p.A., service organization che gestisce elaborazioni contabili per 45 clienti, cambia service auditor a luglio 2024. Il periodo di reporting è gennaio-dicembre 2024.

Dettagli del mandato

Procedura di transizione


Step 1. BDO richiede bridge letter a Studio Rossi entro il 15 luglio 2024
Nota di documentazione: lettera di richiesta protocollata con ricevuta di consegna, termine di risposta 30 giorni
Step 2. Studio Rossi prepara la comunicazione documentando 156 test eseguiti sui 23 controlli nel periodo gennaio-giugno
Nota di documentazione: matrice di test con date, campioni selezionati, risultati per ogni controllo
Step 3. BDO valuta l'adequatezza della comunicazione e identifica 3 controlli che richiedono test integrativi per sovrapposizione temporale
Nota di documentazione: memo di valutazione con giustificazione per test aggiuntivi sui controlli IT access management
Step 4. BDO esegue test supplementari sui controlli identificati per il periodo luglio-settembre, creando sovrapposizione con il lavoro precedente
Nota di documentazione: procedura di test supplementare documentata nella sezione 4.2 delle carte di lavoro
Conclusione: BDO emette rapporto SOC 1 Type II per l'intero periodo 2024 basandosi sulla bridge letter per gennaio-giugno e sui propri test per luglio-dicembre, con sovrapposizione per validare continuità.

  • Service organization: Servizi Informatici Alpini S.p.A. (Milano)
  • Precedente service auditor: Studio Rossi & Associati
  • Nuovo service auditor: BDO Italia S.p.A.
  • Periodo gap: 1 gennaio - 30 giugno 2024
  • Controlli rilevanti: 23 controlli su elaborazione dati, backup, accesso utenti

Checklist per la redazione

Prima di richiedere la bridge letter

Nella valutazione della bridge letter ricevuta

  • Identificare il gap temporale: Documentare il periodo esatto non coperto dal nuovo service auditor
  • Elencare i controlli rilevanti: Preparare lista completa dei controlli che devono essere coperti dalla comunicazione
  • Verificare obblighi contrattuali: Controllare se accordi esistenti prevedono cooperazione tra service auditor
  • Fissare tempistiche: Richiedere la comunicazione con almeno 45 giorni prima della scadenza del rapporto
  • Preparare procedure alternative: Pianificare test estesi nel caso di non-risposta del predecessore
  • Verificare completezza: Confermare che tutti i controlli rilevanti siano coperti per l'intero periodo
  • Valutare adeguatezza dei test: Assicurarsi che nature, timing e extent delle procedure siano appropriati per i controlli testati
  • Analizzare le eccezioni: Comprendere l'impatto di eventuali controlli non efficaci sulla valutazione complessiva
  • Documentare la valutazione: Preparare memo sulla sufficienza delle evidenze ottenute
  • Pianificare procedure supplementari: Identificare eventuali test aggiuntivi necessari per colmare gap residui
  • Mantenere comunicazione: La bridge letter è la base per emettere un rapporto continuo senza duplicare tutto il lavoro precedente

Errori comuni

  • Accettare comunicazioni incomplete: Il PCAOB ha rilevato che il 34% dei rapporti SOC 1 con bridge letter presentava gap di documentazione sui controlli IT, spesso perché il nuovo auditor non aveva verificato la completezza della comunicazione ricevuta
  • Non testare la sovrapposizione: Molti team non eseguono test di sovrapposizione temporale per validare la continuità dei controlli tra i due periodi, creando un potenziale gap nelle evidenze

Risorse correlate

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.