Definition
Nei fascicoli che esaminiamo, la sezione "fornitori di servizi" è quella dove le carte sono più leggere. Si trova quasi sempre una relazione SOC archiviata nel fascicolo, una nota di una riga che dice "ottenuta relazione ISAE 3402 Type II", e nessuna valutazione formale di idoneità ai sensi del paragrafo 22. Questo è il rilievo che il MEF e la CONSOB segnalano con maggiore frequenza nei controlli qualitativi sugli incarichi che coinvolgono outsourcing. Il problema non è la mancanza dello standard. Il problema è che il revisore non distingue tra avere la relazione e usarla come evidenza di revisione.
Come funziona
Si parta dal lato pratico. Quando un cliente esternalizza un processo rilevante (paghe presso un payroll provider, magazzino presso un logistico, factoring crediti, hosting di un ERP cloud), il revisore non può ispezionare direttamente i controlli del fornitore. L'ISA Italia 402.7 inquadra il problema, l'ISAE 3402.15 fornisce il meccanismo: una relazione preparata dal fornitore e attestata dal suo revisore, che descrive i controlli rilevanti per gli utenti e (nel caso Type II) testa l'efficacia operativa nel periodo.
Cosa succede nei fascicoli che vediamo: il junior richiede la relazione al cliente, il cliente la inoltra dal fornitore, la relazione viene archiviata nel fascicolo, e si tickano due caselle nel template ICFR. Manca quasi sempre la valutazione richiesta dall'ISA Italia 402.18 e dall'ISAE 3402.22, ovvero se la relazione copra effettivamente i rischi identificati in pianificazione, se il periodo coperto dalla Type II si allinei con il periodo di revisione, e se le control objectives elencate dal fornitore corrispondano ai processi che l'utente effettivamente usa.
Secondo l'ISA Italia 402.16, il revisore dell'utente non si limita a leggere la relazione. Si verifica la competenza e l'indipendenza del revisore del fornitore (firma in calce alla relazione, iscrizione al Registro o equivalente estero). Si controlla la data di emissione e il periodo di copertura. Si confrontano i controlli descritti con i flussi reali del cliente. Solo a questo punto la relazione diventa evidenza di revisione ai sensi dell'ISA Italia 500.
Il revisore legale e il collegio sindacale si dividono qui in modo non sempre pulito. Il collegio, ai sensi dell'art. 2403 C.C., vigila sull'adeguatezza dell'assetto organizzativo, e l'esternalizzazione di un processo critico rientra in questo perimetro. Il revisore legale, ai sensi del D.Lgs. 39/2010, si concentra sul rischio di errori significativi in bilancio. Sui fascicoli ben fatti i due ruoli si parlano. Sui fascicoli normali ognuno presume che l'altro abbia guardato.
Esempio pratico: Carrozzi Logistica S.r.l.
Cliente: distribuzione, FY2024, ricavi EUR 28M, sede a Modena. Esternalizza la gestione dell'inventario presso un provider di stoccaggio automatizzato e la gestione dei crediti commerciali presso un factor.
Passo 1: Identificare i processi esternalizzati in pianificazione
Durante la fase ISA Italia 315, si identificano due processi rilevanti gestiti da terzi: l'inventario presso Logistica Emilia S.p.A. e i crediti presso Factor Nord S.p.A. Nel memorandum di pianificazione, sezione valutazione dei rischi, si scrive: "Processo esternalizzato: gestione inventario presso Logistica Emilia. Rischio specifico: completezza e accuratezza dei conti di magazzino. Evidenza pianificata: relazione ISAE 3402 Type II sul ciclo inventario per il periodo 1/1/2024 - 31/12/2024."
Passo 2: Ottenere la relazione
Si richiede al cliente di acquisire la Type II dal fornitore. La relazione descrive i controlli sull'inventario presso il magazzino e attesta che fossero operativi nel periodo gennaio-dicembre 2024. Il fascicolo archivia la relazione nella sezione "service organizations".
Passo 3: Valutare l'idoneità (ISAE 3402.22, ISA Italia 402.18)
In termini concreti, si risponde a quattro domande in carta di lavoro: - I rischi controllati dal fornitore corrispondono ai rischi che si sono identificati per quel ciclo? Sì: completezza e accuratezza delle registrazioni di magazzino. - Il periodo coperto dalla Type II copre il periodo di revisione? Sì: 1/1 - 31/12/2024. - Le control objectives elencate sono pertinenti alle asserzioni di bilancio rilevanti (esistenza, completezza, accuratezza, valutazione)? Pertinenti per le prime tre, non per la valutazione (che richiede procedure separate sui costi e sull'obsolescenza). - Il revisore del fornitore (firma a piede della relazione) è qualificato? Si verifica iscrizione al Registro e indipendenza dichiarata.
Si documenta nel foglio di valutazione fornitori: "Type II ottenuta da Logistica Emilia. Periodo: 1/1 - 31/12/2024. Rischi coperti: completezza e accuratezza inventario. Asserzioni coperte: esistenza, completezza, accuratezza. Asserzione non coperta: valutazione (procedure separate eseguite). Idoneità: sufficiente per i rischi identificati."
Passo 4: Procedure complementari presso l'utente
La Type II non sostituisce le procedure presso l'utente. L'ISA Italia 402.19 richiede che il revisore consideri se i controlli complementari dell'utente, quelli che il fornitore presume siano in essere lato cliente, siano effettivamente progettati e operativi presso Carrozzi. Si testano: la riconciliazione mensile tra il sistema interno di Carrozzi e i dati di Logistica Emilia, l'autorizzazione delle rettifiche d'inventario, l'inventario fisico annuale presso il magazzino del fornitore.
Conclusione
Sul ciclo inventario il revisore ha evidenza sufficiente: Type II coerente con il periodo, rischi identificati coperti, controlli complementari dell'utente testati separatamente. Sul ciclo crediti la situazione è diversa. Da Factor Nord si è ottenuta una Type I (descrizione al 1/1/2024) e non una Type II. Ai sensi dell'ISAE 3402.19 una Type I non attesta l'efficacia operativa nel periodo. Le carte sarebbero leggere se ci si fermasse qui. Si raccoglie evidenza diretta presso Carrozzi: riconciliazioni mensili dei saldi factor, conferme dirette ai debitori ceduti, ricostruzione analitica dei flussi di incasso.
Cosa succede davvero nei fascicoli
Il pattern ricorrente sui controlli MEF non è la mancanza della relazione ISAE 3402. È la disconnessione tra la relazione e il rischio identificato in pianificazione. I tre gap che emergono con maggiore frequenza:
- Confusione tra Type I e Type II. Il fascicolo cita la relazione come Type II ma la copertina del documento dice Type I, oppure il viceversa. L'ISAE 3402.18-19 distingue nettamente i due output: Type I attesta solo descrizione e idoneità del design a una data, Type II include il test di efficacia operativa nel periodo. Nei fascicoli che vediamo, il revisore raramente verifica quale tipo abbia in mano prima di concludere sul rischio di controllo.
- Mancato collegamento rischio-relazione. La relazione è in fascicolo, il rischio è in pianificazione, ma non c'è la carta di lavoro che li lega. Se il rischio identificato è "completezza dei ricavi processati dal fornitore", la control objective deve coprire la completezza, non solo l'accuratezza aritmetica. Si vede questo pattern ricorrere nei rilievi CONSOB sulle EIP che esternalizzano la fatturazione elettronica.
- Carve-out non gestiti. Quando il fornitore principale subappalta a un sub-service organization (un payroll provider che usa un cloud HR, un factor che usa un servicer separato per il recupero), la relazione può essere preparata con metodo carve-out (esclude il sub-service) o inclusive (lo include). Il fascicolo deve identificare quale metodo è stato usato e, in caso di carve-out, ottenere assurance separata sul sub-service. Quasi nessun fascicolo mid-tier lo fa.
Type I e Type II
| Dimensione | Type I | Type II |
|---|---|---|
| Cosa attesta | Descrizione dei controlli e idoneità del design a una data | Descrizione, idoneità del design e efficacia operativa nel periodo |
| Periodo coperto | Punto nel tempo (es. 1/1/2024) | Periodo (es. 1/1 - 31/12/2024) |
| Test di efficacia operativa | No | Sì, dal revisore del fornitore |
| Quando si usa | Rischio di controllo basso, mitigazione primaria lato utente | Rischio significativo, affidamento sui controlli del fornitore |
| Evidenza fornita | Limitata, supporta valutazione del design | Sostanziale, supporta efficacia operativa |
Quando la distinzione conta nell'incarico
Si torni a Carrozzi. Sul ciclo crediti gestito da Factor Nord il rischio identificato in pianificazione è significativo: il 22% dell'attivo è rappresentato da crediti ceduti. La pianificazione richiede evidenza che i controlli del fornitore mitighino il rischio durante l'intero periodo. Una Type I che attesta i controlli al 1° gennaio 2024 non dice nulla su quello che è successo tra febbraio e dicembre. Il revisore ha due strade: ottenere una Type II per il periodo, oppure raccogliere evidenza sostantiva e di controllo direttamente presso Carrozzi (riconciliazioni, conferme, ricostruzione dei flussi). Se il fascicolo si limita alla Type I e non aggiunge procedure, il rischio non è mitigato. Le carte sarebbero leggere e il rilievo arriverebbe.
Qui nasce un disaccordo che si ripete in ogni revisione di qualità interna. Partner A: una Type I del fornitore principale, accompagnata da procedure sostantive robuste presso l'utente, è equivalente in termini di assurance complessiva a una Type II senza ulteriori procedure. Il rischio finale è coperto, l'origine dell'evidenza è meno rilevante. Partner B: la Type I non testa l'efficacia operativa per definizione, e nessuna procedura presso l'utente compensa l'assenza di test sui controlli del fornitore stesso, perché l'utente non ha visibilità sui processi interni del fornitore. Le procedure presso l'utente testano solo l'output, non il controllo. La nostra posizione operativa: dipende dalla natura del rischio. Per rischi di completezza la posizione di B è più solida (l'utente non vede ciò che non gli arriva). Per rischi di accuratezza la posizione di A regge se le procedure sostantive sono effettivamente penetranti. Il motivo è che la completezza richiede affidamento sui controlli del fornitore mentre l'accuratezza può essere verificata su una base campionaria sul lato utente.
Cosa fraintendono i revisori
- Affidamento totale. Alcuni revisori trattano la Type II come se sollevasse dall'obbligo di procedure presso l'utente. L'ISA Italia 402.16 e 402.18-19 sono chiare: la relazione integra l'evidenza, non la sostituisce. Il motivo è che i controlli complementari dell'utente (CUEC nel linguaggio della relazione) sono sempre presupposti dal fornitore, e l'utente deve dimostrare di averli implementati.
- Assenza di valutazione formale. La maggior parte dei fascicoli mid-tier non ha una carta di lavoro dedicata alla valutazione di idoneità. C'è la relazione, c'è una nota di archiviazione, e basta. L'ISAE 3402.22 richiede una valutazione esplicita. Questo gap è, secondo i rilievi pubblicati nel Bollettino CONSOB sui controlli MEF 2023-2024, il più frequente in questo ambito sui revisori non Big 4.
- Periodo non verificato. Si presume che la Type II copra il periodo di revisione. Si scrive la nota dopo aver ricevuto la relazione, senza confrontare la data di fine periodo della relazione con la data di chiusura dell'esercizio del cliente. Se la Type II copre 1/10/2023 - 30/9/2024 e l'esercizio del cliente è gennaio-dicembre 2024, mancano tre mesi non coperti. La gap procedure (procedure aggiuntive per il periodo non coperto) è un altro pezzo che quasi nessuno documenta.
C'è poi una contraddizione strutturale che rende questo gap quasi inevitabile sui mandati a compensi irrisori. Una valutazione di idoneità ISAE 3402 fatta bene richiede tre o quattro ore di senior per fornitore, più la riconciliazione delle control objectives con i rischi del fascicolo. Su un mandato in cui il revisore legale incassa EUR 4.500 totali, quelle quattro ore sono il margine. La pressione del time budget genera la scorciatoia che genera il rilievo. Il MEF lo sa, e infatti nei controlli qualitativi 2024 la categoria "outsourcing e service organizations" è quella dove le sanzioni si concentrano sui revisori non EIP. Lo standard non si applica diversamente. Si applica solo a chi ha le ore per applicarlo.
Una conseguenza di secondo ordine che pochi colgono: la qualità della relazione ISAE 3402 prodotta dal fornitore degrada nel tempo se i suoi clienti revisori non la contestano. Se nessun utente fa domande sulle control objectives o sui CUEC, il revisore del fornitore tende a riprodurre la relazione dell'anno precedente con minime variazioni. Significa che l'ecosistema delle SOC italiane per i fornitori non quotati è meno robusto di quanto la copertina suggerisca. Chi legge davvero la relazione contribuisce alla sua qualità futura. Chi la archivia e basta contribuisce all'erosione.
Termini correlati
- ISAE 3000: Standard generale per incarichi di assurance su informazioni diverse dal bilancio. L'ISAE 3402 è una specializzazione dell'ISAE 3000 per le relazioni sui controlli delle service organizations. - Rischio di controllo: Probabilità che i controlli interni dell'entità (o del fornitore) non prevengano o non rilevino errori significativi. La relazione ISAE 3402 fornisce evidenza per la valutazione di questo rischio in presenza di outsourcing. - ISA Italia 315: Identificazione e valutazione dei rischi. È il principio in cui si identificano i processi esternalizzati e si pianifica l'evidenza necessaria, incluse le relazioni ISAE 3402. - Service organization: Entità che fornisce servizi rilevanti per il bilancio del cliente: payroll, factoring, magazzino, hosting ERP. - Type II Report: Relazione ISAE 3402 che attesta descrizione, idoneità del design ed efficacia operativa dei controlli nel periodo.
Strumenti Ciferi
Il Calcolatore di Valutazione Service Organization ISAE 3402 genera la carta di lavoro di valutazione di idoneità prevista dall'ISA Italia 402.18 e dall'ISAE 3402.22, con mappatura automatica tra control objectives della relazione e rischi identificati nel fascicolo.
---