Indice

Cosa disciplina l'ISAE 3402

L'ISAE 3402 si applica quando una service organisation fornisce servizi che fanno parte del sistema informativo di un'entità utente rilevante per l'informativa finanziaria. Il principio distingue tre attori principali:
Service organisation: l'entità che fornisce servizi a client utilizzatori. Può essere un data center, un provider di servizi di payroll, un gestore di investimenti o qualsiasi organizzazione i cui controlli influenzano l'informativa finanziaria dei propri clienti.
User entity (entità utente): l'organizzazione che utilizza i servizi della service organisation e la cui informativa finanziaria può essere influenzata da tali servizi.
User auditor: il revisore che effettua la revisione dell'informativa finanziaria dell'entità utente.
Il paragrafo ISAE 3402.9 specifica che lo standard si applica solo quando i servizi della service organisation fanno parte del sistema informativo dell'entità utente rilevante per l'informativa finanziaria. Non ogni servizio esterno ricade sotto l'ISAE 3402. Un servizio di pulizie, ad esempio, generalmente non influisce sui controlli dell'informativa finanziaria del cliente.

Criteri di applicazione secondo l'ISAE 3402.12


Una service organisation rientra nell'ambito dell'ISAE 3402 quando i servizi forniti:
Il framework dell'ISAE 3402 prevede che la service organisation definisca chiaramente la descrizione del sistema e dei controlli, identifichi gli obiettivi di controllo e documenti i controlli progettati per raggiungere tali obiettivi.

  • Fanno parte dei sistemi informativi dell'entità utente rilevanti per l'informativa finanziaria
  • Includono l'esecuzione di controlli che, se non adeguatamente progettati o operanti, potrebbero comportare errori significativi nell'informativa finanziaria dell'entità utente
  • Sono utilizzati da entità utenti in settori dove l'outsourcing è significativo per i processi finanziari

Service Organisation: definizione e ambito

L'ISAE 3402.8(h) definisce una service organisation come "un'organizzazione o un segmento di un'organizzazione che fornisce servizi a entità utenti che sono rilevanti per l'informativa finanziaria di tali entità utenti". La definizione è ampia ma ha confini precisi.
Servizi tipicamente inclusi:
Servizi tipicamente esclusi:

Sub-service organisation e complementary user entity controls


Il paragrafo ISAE 3402.13 introduce due concetti che complicano l'assessment:
Sub-service organisation: quando la service organisation si avvale di altre organizzazioni per fornire alcuni aspetti dei servizi. Il report ISAE 3402 deve chiarire se i controlli della sub-service organisation sono inclusi nella valutazione o se costituiscono complementary user entity controls.
Complementary user entity controls (CUEC): controlli che l'entità utente deve implementare per raggiungere gli obiettivi di controllo insieme ai controlli della service organisation. Questi non sono testati nell'ambito dell'ISAE 3402 ma devono essere chiaramente identificati nel report.
La corretta identificazione dei CUEC è fondamentale. Se controlli necessari per prevenire errori significativi sono lasciati all'entità utente senza essere chiaramente documentati come CUEC, il report risulta incompleto e potenzialmente fuorviante per gli user auditor.

  • Elaborazione di transazioni finanziarie (pagamenti, incassi, contabilità)
  • Gestione di sistemi informativi che processano dati finanziari
  • Custodia di asset o record finanziari
  • Servizi di investimento che influiscono sulle valutazioni di bilancio
  • Servizi di payroll che impattano sul costo del lavoro
  • Servizi di consulenza che non coinvolgono l'esecuzione di transazioni
  • Servizi di audit o assurance (coperti da altri standard)
  • Servizi legali, marketing o altri servizi professionali senza impatto diretto sui controlli finanziari

Type I vs Type II: quale scegliere

La distinzione tra Type I e Type II è determinata dal timing e dall'estensione delle procedure di assurance.

Type I Report (ISAE 3402.38)


Un Type I report esprime un'opinione su:
Il Type I non include test sull'efficacia operativa dei controlli. È appropriato quando:

Type II Report (ISAE 3402.39)


Un Type II report esprime un'opinione su:
Il Type II include test dettagliati sull'efficacia operativa ed è appropriato quando:

Framework decisionale


La scelta tra Type I e Type II dipende da tre fattori:
Timing operativo: I controlli sono operativi da almeno 12 mesi? Se no, solo Type I è possibile.
Necessità degli user auditor: Gli user auditor intendono ridurre i test sostantivi basandosi sui controlli della service organisation? Se sì, serve un Type II.
Costo-beneficio: Il Type II richiede investimenti significativi in test operativi. La riduzione dei costi di audit per le entità utenti giustifica l'investimento?
Il paragrafo ISAE 3402.A63 specifica che un Type II report è generalmente più utile per gli user auditor perché fornisce evidence sia sulla progettazione sia sull'efficacia operativa. Tuttavia, un Type I può essere sufficiente se gli user auditor intendono effettuare i propri test sui controlli.

  • L'accuratezza della descrizione del sistema della service organisation
  • L'idoneità della progettazione dei controlli per raggiungere gli obiettivi di controllo specificati
  • A una data specifica (point-in-time)
  • La service organisation ha appena implementato i controlli e non ha una storia operativa sufficiente
  • L'entità utente vuole valutare i controlli prima di iniziare a utilizzare i servizi
  • È richiesta una valutazione rapida della progettazione dei controlli per decisioni commerciali
  • L'accuratezza della descrizione del sistema della service organisation
  • L'idoneità della progettazione dei controlli per raggiungere gli obiettivi di controllo specificati
  • L'efficacia operativa dei controlli
  • Per un periodo specificato (generalmente 12 mesi)
  • I controlli sono operativi da almeno 12 mesi
  • Gli user auditor necessitano di evidence sull'efficacia operativa per ridurre i test sostantivi
  • È richiesta una valutazione completa per conformità normative o contrattuali

Esempio pratico: Data Center Lombardo S.r.l.

Scenario: Data Center Lombardo S.r.l. fornisce servizi di hosting e backup per 140 clienti nel settore finanziario e sanitario. I servizi includono elaborazione automatizzata delle transazioni, archiviazione sicura dei dati finanziari e procedure di disaster recovery. Il management ha deciso di ottenere un report ISAE 3402 Type II per rispondere alle richieste dei clienti e supportare la crescita commerciale.
Step 1: Definizione del perimetro dei servizi
Il team identifica tre aree di servizio rilevanti per l'informativa finanziaria dei clienti:
Nota di documentazione: documentare nel system description quali processi dell'entità utente sono supportati da ciascun servizio, con mappatura agli assertion ISAE 3402.A75
Step 2: Identificazione degli obiettivi di controllo
Per ciascuna area di servizio, vengono definiti obiettivi di controllo specifici:
Nota di documentazione: collegare ogni obiettivo di controllo alle assertion rilevanti (existence, accuracy, completeness, cutoff, classification) secondo ISAE 3402.A30
Step 3: Progettazione dei controlli
Per l'Objective 1 (elaborazione accurata), vengono implementati:
Nota di documentazione: per ogni controllo, specificare frequenza, responsabile, natura dell'evidence e criteri di follow-up secondo ISAE 3402.44
Step 4: Test dell'efficacia operativa (Type II)
Il service auditor testa l'efficacia operativa per 12 mesi:
Nota di documentazione: documentare natura, timing, extent e risultati di ogni test con working paper reference secondo ISAE 3402.A92
Step 5: Valutazione delle deficienze
Le tre istanze di investigazione tardiva sono valutate secondo ISAE 3402.A89:
Conclusione: Data Center Lombardo ottiene un report Type II con un'opinione senza modifiche. Il report include la descrizione delle tre deficienze identificate e le azioni correttive implementate. Gli user auditor possono fare affidamento sui controlli testati per ridurre i propri test sostantivi sulle aree coperte.

  • Elaborazione delle transazioni di pagamento (impatto su ricavi e crediti)
  • Archiviazione e backup dei record contabili (impatto sull'integrità dei dati)
  • Controlli di accesso ai sistemi finanziari dei clienti (impatto su tutti i cicli)
  • Objective 1: Le transazioni sono elaborate accuratamente e completamente entro i tempi stabiliti
  • Objective 2: I dati archiviati sono protetti da accessi non autorizzati e perdite
  • Objective 3: Le modifiche ai sistemi sono autorizzate, testate e documentate
  • Controllo automatizzato: riconciliazione automatica ogni 4 ore tra transazioni processate e file di input
  • Controllo manuale: revisione quotidiana delle eccezioni con investigazione delle discrepanze superiori a €1.000
  • Controllo IT: backup automatico delle transazioni processate con test mensile di restore
  • Riconciliazione automatica: test statistico su 25 giorni campionati (popolazione: 365 giorni). Risultato: zero exception
  • Revisione manuale eccezioni: test su 30 giorni campionati. Risultato: 3 istanze di investigazione tardiva (oltre 24 ore), nessun errore materiale
  • Test backup: esame di tutti i 12 test mensili di restore. Risultato: un fallimento a marzo risolto entro 48 ore
  • Natura: procedurale, non sistematica
  • Causa: sovraccarico temporaneo durante il picco di fine trimestre
  • Compensating controls: nessun errore nelle transazioni, i ritardi non hanno impedito la detection
  • Conclusione: deficienza da includere nel report ma non tale da impedire il raggiungimento dell'obiettivo di controllo

Checklist operativa per practitioner

Pre-engagement (ISAE 3402.20-24):
Fase di esecuzione (ISAE 3402.25-37):
Conclusioni e reporting:

  • Confermare l'applicabilità dell'ISAE 3402: I servizi forniti fanno parte dei sistemi informativi dell'entità utente rilevanti per l'informativa finanziaria? Applicare il test del paragrafo ISAE 3402.12.
  • Determinare Type I vs Type II: Valutare timing, necessità degli user auditor e rapporto costo-beneficio. Documentare la scelta nel memorandum di engagement.
  • Stabilire il perimetro: Identificare quali servizi, sistemi e controlli includere nella descrizione. Mappare i servizi agli assertion dell'informativa finanziaria dell'entità utente.
  • Ottenere management representation: La service organisation deve fornire una description completa e accurata secondo ISAE 3402.35. Richiedere la management representation letter.
  • Valutare la description: Verificare che sia accurata, completa e includa tutti gli elementi richiesti dall'ISAE 3402.35. Particolare attenzione ai CUEC e alle sub-service organisation.
  • Testare la progettazione dei controlli: Per ogni controllo identificato, verificare che sia progettato adeguatamente per raggiungere l'obiettivo specificato secondo ISAE 3402.A85.
  • Documentare findings e deficienze: Applicare i criteri di significatività dell'ISAE 3402.A89. Includere natura, causa, conseguenze e azioni correttive per ogni deficienza.
  • Preparare il report: Seguire il format dell'ISAE 3402.48-50 (Type I) o ISAE 3402.51-53 (Type II). Il report deve essere compreso e utilizzabile dagli user auditor.

Errori comuni negli engagement ISAE 3402

Description incompleta del sistema: Omettere CUEC o sub-service organisation. Secondo l'esperienza internazionale del PCAOB, il 31% dei report ISAE 3402 esaminati presentava description inadeguate che rendevano difficile per gli user auditor comprendere i controlli della service organisation.
Obiettivi di controllo troppo generici: Scrivere obiettivi che non si collegano chiaramente alle assertion dell'informativa finanziaria. Gli obiettivi devono essere specifici e testabili secondo ISAE 3402.A30.
Test insufficienti per Type II: Campionare troppo poche istanze o periodi non rappresentativi. I test devono coprire l'intero periodo del report e essere sufficienti per supportare l'opinione sull'efficacia operativa.

Contenuti correlati

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.