Indice

- La tesi: il report da solo non basta - Cosa disciplina ISAE 3402, e cosa no - Service organisation: definizione e perimetro - Type I contro Type II: quale scegliere - Esempio pratico: Data Center Lombardo S.r.l. - Checklist operativa per il practitioner - Le tre falle ricorrenti sui dossier - Contenuti correlati

La tesi: il report da solo non basta

Sostengo una posizione precisa, che non è popolare nei team mid-tier. Il report ISAE 3402 Type II senza test sui CUEC produce un falso senso di sicurezza, perché il revisore dell'entità utente sta firmando sulla base di controlli che, sulla carta, dipendono anche da azioni interne mai verificate. Lo dico perché ho visto la stessa scena ripetersi: la direzione presenta il report, il senior lo allega al fascicolo, il partner lo legge in diagonale, e nessuno tira fuori la lista dei CUEC per mappare chi, dentro l'azienda cliente, sta davvero eseguendo quei controlli.

Le delibere CONSOB del triennio 2022-2024 sui casi sanzionatori legati a società revisionate hanno richiamato in più occasioni ISA Italia 500 e ISA Italia 402 come riferimenti normativi violati, segnalando che la mera acquisizione del report del service auditor non costituisce evidenza sufficiente e appropriata. Il messaggio è arrivato. Le carte di lavoro, però, in busy season, restano spesso leggere.

Una collega partner di un network internazionale mi ha sintetizzato così la divergenza interna: "Partner A: bisogna eseguire test di funzionamento sui CUEC su un campione di transazioni, perché altrimenti si firma al buio. Partner B: l'ottenimento del report Type II e una mappatura formale dei CUEC al sistema di controllo interno aziendale è sufficiente, se la deviazione documentata sul report è zero e l'entità utente ha procedure scritte sui CUEC stessi." Onestamente, la posizione B regge in teoria, però richiede che la mappatura esista davvero, sia datata, e sia verificata dal team. Sui fascicoli che vediamo, quella mappatura quasi mai esiste in forma testabile.

Cosa disciplina ISAE 3402, e cosa no

ISAE 3402 (International Standard on Assurance Engagements 3402) si applica quando una service organisation fornisce servizi che fanno parte del sistema informativo di un'entità utente rilevante per l'informativa finanziaria. Il principio distingue tre attori:

Service organisation: l'entità che fornisce servizi a client utilizzatori. Data center, provider di payroll, gestori di investimenti, custodian, qualsiasi organizzazione i cui controlli influenzano l'informativa finanziaria dei propri clienti.

User entity (entità utente): l'organizzazione che usa quei servizi e la cui informativa finanziaria può essere influenzata.

User auditor: il revisore che effettua la revisione legale dell'informativa finanziaria dell'entità utente, sotto D.Lgs. 39/2010 (revisione legale, di seguito D.Lgs. 39/2010).

ISAE 3402.9 specifica che lo standard si applica solo dove i servizi del provider entrano nel sistema informativo rilevante per il bilancio. Non ogni servizio esterno ricade sotto ISAE 3402: un servizio di pulizie no, un provider di payroll che gestisce stipendi, contributi e ritenute sì. La norma dice questo. Sui dossier italiani, la zona grigia sta nei servizi cloud che ospitano il gestionale aziendale: spesso il management li classifica come "infrastruttura IT" e li tiene fuori dal perimetro, mentre il revisore dovrebbe pretendere il report.

Criteri di applicazione secondo ISAE 3402.12

Una service organisation rientra nell'ambito di ISAE 3402 quando i servizi forniti:

- Fanno parte dei sistemi informativi dell'entità utente rilevanti per l'informativa finanziaria - Includono l'esecuzione di controlli che, se progettati o operanti male, potrebbero produrre errori significativi nel bilancio dell'entità utente - Sono usati in settori dove l'outsourcing dei processi finanziari è sostanziale

Sulla carta, tre condizioni cumulative. Sul fascicolo, il revisore dovrebbe documentare il test del paragrafo .12 con una memo dedicata. Le carte sono leggere quando il senior si limita a citare il paragrafo senza tradurlo in fatti.

Service organisation: definizione e perimetro

ISAE 3402.8(h) definisce la service organisation come "un'organizzazione o un segmento di un'organizzazione che fornisce servizi a entità utenti rilevanti per l'informativa finanziaria di tali entità utenti". Definizione ampia, confini meno ampi di quanto sembri.

Servizi tipicamente inclusi: - Elaborazione di transazioni finanziarie (pagamenti, incassi, contabilità) - Gestione di sistemi informativi che processano dati finanziari - Custodia di asset o record finanziari - Servizi di investimento che influenzano valutazioni di bilancio - Payroll che impatta sul costo del lavoro

Servizi tipicamente esclusi: - Consulenza che non comporta esecuzione di transazioni - Servizi di audit o assurance (coperti da altri standard) - Servizi legali, marketing, altre prestazioni professionali senza impatto diretto sui controlli finanziari

Sub-service organisation e CUEC

ISAE 3402.13 introduce due concetti che complicano l'assessment, soprattutto quando il provider principale è straniero.

Sub-service organisation: quando il provider si avvale di altri provider per parti del servizio. Tipico: il payroll provider olandese che subappalta l'invio dei flussi bancari a un fintech terzo. Il report deve chiarire se i controlli del sub-provider sono inclusi (inclusive method) o esclusi (carve-out method, di seguito CSC, Carve-out Service Provider). Sui report che leggiamo, il carve-out è dominante: significa che il revisore dell'entità utente eredita un secondo perimetro non testato.

Complementary user entity controls (CUEC, di seguito CUEC): controlli che l'entità utente deve eseguire perché gli obiettivi del sistema siano raggiunti. Il report del service auditor li elenca, non li testa. Saranno la zona dove si gioca la firma del revisore italiano.

La norma dice che l'identificazione dei CUEC è del provider. In pratica, quando il provider è estero e l'entità utente è una mid-cap italiana senza CIO interno, i CUEC restano sulla carta. Nessuno li esegue, nessuno li tracka. E qui torniamo alla tesi: senza test, il report Type II non copre il revisore dell'utilizzatore.

Type I contro Type II: quale scegliere

La distinzione tra Type I e Type II è una questione di tempo e di estensione delle procedure di assurance.

Type I report (ISAE 3402.38)

Esprime un'opinione su: - L'accuratezza della descrizione del sistema della service organisation - L'idoneità della progettazione dei controlli rispetto agli obiettivi specificati - A una data specifica (point-in-time)

Non include test sull'efficacia operativa. Va bene quando i controlli sono appena stati implementati, l'entità utente vuole una valutazione preliminare prima di firmare il contratto, oppure serve una fotografia rapida per decisioni commerciali. Sui fascicoli di revisione legale, raramente è sufficiente. ISA Italia 402 chiede evidenza dell'efficacia operativa quando il revisore intende ridurre i test sostantivi.

Type II report (ISAE 3402.39)

Esprime un'opinione su: - L'accuratezza della descrizione del sistema - L'idoneità della progettazione - L'efficacia operativa dei controlli - Per un periodo specificato (di norma 12 mesi)

È il report che tipicamente arriva sui dossier italiani. Plausibile che il provider abbia già un Type II in lingua inglese coprente l'esercizio sociale del cliente, magari con un periodo non perfettamente allineato (gap period da gestire).

Quadro decisionale

Tre fattori, non uno.

Tempo operativo: i controlli sono operativi da almeno 12 mesi? Se no, solo Type I.

Necessità del revisore dell'utilizzatore: intende ridurre i test sostantivi facendo affidamento sul lavoro del service auditor? Se sì, serve Type II, e ISA Italia 402.16 impone procedure aggiuntive sul report stesso.

Costo-beneficio: Type II richiede investimenti significativi sul lato provider. La riduzione dei costi di audit lato utente giustifica il prezzo del report? Domanda che, in pratica, decide il provider, non il cliente.

ISAE 3402.A63 specifica che il Type II è generalmente più utile per il revisore dell'utilizzatore, perché fornisce evidenza sia sulla progettazione sia sull'efficacia operativa. Vero. Però "più utile" non significa "sufficiente": il revisore italiano deve comunque mappare i CUEC e tickare i propri test, perché ISA Italia 500 non delega l'evidenza al provider.

Esempio pratico: Data Center Lombardo S.r.l.

Scenario: Data Center Lombardo S.r.l. fornisce servizi di hosting e backup per 140 clienti nel settore finanziario e sanitario. Elaborazione automatizzata di transazioni, archiviazione sicura dei dati finanziari, procedure di disaster recovery. La direzione decide di ottenere un report ISAE 3402 Type II per rispondere alle richieste dei clienti, oltre che per supportare la crescita commerciale presso clienti istituzionali.

Step 1: definizione del perimetro dei servizi. Il team identifica tre aree rilevanti per l'informativa finanziaria dei clienti: - Elaborazione delle transazioni di pagamento (impatto su ricavi e crediti) - Archiviazione e backup dei record contabili (impatto sull'integrità dei dati) - Controlli di accesso ai sistemi finanziari dei clienti (impatto su tutti i cicli)

Nota di documentazione: nel system description vanno mappati i processi dell'entità utente supportati da ciascun servizio, con collegamento agli assertion ISAE 3402.A75.

Step 2: identificazione degli obiettivi di controllo. Per ciascuna area: - Objective 1: le transazioni sono elaborate accuratamente e completamente entro i tempi stabiliti - Objective 2: i dati archiviati sono protetti da accessi non autorizzati e perdite - Objective 3: le modifiche ai sistemi sono autorizzate, testate e documentate

Nota di documentazione: collegare ogni obiettivo di controllo alle assertion rilevanti (existence, accuracy, completeness, cutoff, classification) secondo ISAE 3402.A30.

Step 3: progettazione dei controlli. Per Objective 1 (elaborazione accurata): - Controllo automatizzato: riconciliazione automatica ogni 4 ore tra transazioni processate e file di input - Controllo manuale: revisione quotidiana delle eccezioni con investigazione delle discrepanze superiori a €1.000 - Controllo IT: backup automatico delle transazioni processate con test mensile di restore

Qui compaiono i CUEC: il cliente deve mantenere aggiornata la lista degli utenti autorizzati e revocare gli accessi entro 24 ore dalla cessazione del rapporto di lavoro. Il provider non lo fa, non può farlo. Se il revisore italiano non testa questo CUEC sul lato cliente, la catena si rompe.

Nota di documentazione: per ogni controllo, specificare frequenza, responsabile, natura dell'evidence, criteri di follow-up secondo ISAE 3402.44.

Step 4: test dell'efficacia operativa (Type II). Il service auditor testa per 12 mesi: - Riconciliazione automatica: test statistico su 25 giorni campionati (popolazione: 365 giorni). Risultato: zero exception - Revisione manuale eccezioni: test su 30 giorni campionati. Risultato: 3 istanze di investigazione tardiva (oltre 24 ore), nessun errore materiale - Test backup: esame di tutti i 12 test mensili di restore. Risultato: un fallimento a marzo risolto entro 48 ore

Nota di documentazione: documentare natura, timing, extent e risultati di ogni test con working paper reference secondo ISAE 3402.A92.

Step 5: valutazione delle deficienze. Le tre istanze di investigazione tardiva, valutate secondo ISAE 3402.A89: - Natura: procedurale, non sistematica - Causa: sovraccarico temporaneo durante il picco di fine trimestre (busy season anche per loro) - Compensating controls: nessun errore nelle transazioni, i ritardi non hanno impedito la detection - Conclusione: deficienza da includere nel report ma non tale da impedire il raggiungimento dell'obiettivo di controllo

Conclusione operativa. Data Center Lombardo ottiene un Type II con opinione senza modifiche. Il report descrive le tre deficienze e le azioni correttive. Il revisore dell'entità utente che riceve questo report deve fare due passaggi che sui dossier italiani spesso saltano: leggere la sezione CUEC, e poi testare quei CUEC nelle proprie carte. Se non lo fa, la sua firma poggia su un'evidenza che non gli appartiene.

Checklist operativa per il practitioner

Pre-engagement (ISAE 3402.20-24):

1. Confermare l'applicabilità di ISAE 3402. I servizi forniti fanno parte dei sistemi informativi dell'entità utente rilevanti per l'informativa finanziaria? Applicare il test del paragrafo .12 e scriverlo nelle carte, non solo citarlo.

2. Determinare Type I contro Type II. Tempo operativo, necessità del revisore dell'utilizzatore, rapporto costo-beneficio. La scelta va documentata nel memorandum di engagement con data e firma.

3. Stabilire il perimetro. Quali servizi, sistemi e controlli vanno inclusi nella descrizione, e quali assertion del bilancio dell'utente sono toccate.

4. Ottenere management representation. La service organisation fornisce una description completa secondo ISAE 3402.35. Niente representation letter, niente engagement.

Esecuzione (ISAE 3402.25-37):

5. Valutare la description. Accurata, completa, con tutti gli elementi richiesti da ISAE 3402.35. Attenzione ai CUEC e alle sub-service organisation in carve-out.

6. Testare la progettazione dei controlli. Per ogni controllo identificato, verificare l'adeguatezza rispetto all'obiettivo secondo ISAE 3402.A85.

Conclusioni e reporting:

7. Documentare findings e deficienze. ISAE 3402.A89 sui criteri di significatività. Per ogni deficienza: natura, causa, conseguenze, azioni correttive.

8. Preparare il report. Format ISAE 3402.48-50 (Type I) o ISAE 3402.51-53 (Type II). Il report dev'essere comprensibile e usabile dal revisore dell'utilizzatore, non solo formalmente conforme.

Le tre falle ricorrenti sui dossier

Description incompleta del sistema. Si omettono CUEC o sub-service organisation in carve-out. Secondo l'esperienza ispettiva del PCAOB, il 31% dei report ISAE 3402 esaminati presentava description inadeguate, al punto da rendere difficile per il revisore dell'utilizzatore comprendere i controlli del provider. Il dato non riguarda l'Italia, ma la dinamica è la stessa: la mancanza di una mappatura CUEC viva sui fascicoli italiani replica esattamente quel pattern.

Obiettivi di controllo troppo generici. Obiettivi che non si collegano alle assertion del bilancio. ISAE 3402.A30 vuole obiettivi specifici e testabili. "I dati sono protetti" non è un obiettivo, è uno slogan.

Test insufficienti per Type II. Campione troppo piccolo, periodi non rappresentativi, nessuna copertura del busy season del cliente. I test devono coprire l'intero periodo del report. La prassi sanzionatoria CONSOB del triennio 2022-2024 ha citato proprio questo punto in casi che coinvolgevano società revisionate con outsourcing significativo, richiamando l'inadeguatezza della procedura di affidamento sul lavoro del service auditor.

Contenuti correlati

- Guida ai controlli interni secondo ISA 315 - Come valutare l'adeguatezza della progettazione e implementazione dei controlli nell'audit dell'entità utente - Calcolatore di significatività per engagement di assurance - Strumento per determinare le soglie nell'assessment delle deficienze ISAE 3402 - ISA 402: usare il lavoro delle service organisation - Come il revisore dell'utilizzatore dovrebbe usare i report ISAE 3402 nell'audit dell'entità utente

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.