Come funziona

Quando un'entità esternalizza un processo critico (elaborazione paghe presso un provider, gestione dell'inventario presso un magazzino automatizzato, elaborazione dei crediti presso un fornitore terzo), il revisore non può ispezionare direttamente i controlli presso il fornitore. L'ISAE 3402 paragrafo 15 consente al revisore di fare affidamento su una relazione di controllo interno preparata dal fornitore di servizi (e solitamente verificata da un revisore indipendente del fornitore stesso). Questa relazione descrive i rischi di controllo interno presso il fornitore e come il fornitore li mitiga attraverso controlli specifici.
Il revisore del controllato legge la relazione ISAE 3402, valuta se è rilevante per i rischi identificati nella propria pianificazione, e decide se può utilizzarla come evidenza. L'ISAE 3402 paragrafo 22 richiede che il revisore consideri l'idoneità della relazione al fine dell'incarico specifico: una relazione che copre il ciclo dei ricavi non è evidence sufficiante per il ciclo degli acquisti presso lo stesso fornitore.

Esempio pratico: Carrozzi Logistica S.r.l.

Cliente: società di distribuzione italiana, FY2024, ricavi EUR 28M, con sede a Modena. Esternalizza la gestione dell'inventario presso un provider di stoccaggio automatizzato e gestisce i crediti verso clienti attraverso un fornitore esterno di factoring.
Passo 1: Identificare i processi esternalizzati durante la pianificazione
Durante l'ISA 315 (revisione e identificazione dei rischi), il revisore identifica che due processi critici sono gestiti da terzi: l'inventario presso Logistica Emilia S.p.A. (fornitore di stoccaggio) e i crediti presso Factor Nord S.p.A. (fornitore di factoring).
Nota di documentazione: Nel memorandum di pianificazione, sezione Valutazione dei rischi, è indicato: "Processo esternalizzato: gestione inventario presso Logistica Emilia S.p.A. Rischio specifico: completezza e accuratezza dei conti di inventario. Evidenza pianificata: Relazione ISAE 3402 Type II relativa al ciclo inventario."
Passo 2: Ottenere la relazione ISAE 3402 dal fornitore
Il revisore richiede al controllato (Carrozzi Logistica) di acquisire dal fornitore di servizi la relazione ISAE 3402 Type II relativa al ciclo dell'inventario. La relazione descrive i controlli presso il fornitore di stoccaggio e certifica che tali controlli erano operativi e efficaci durante il periodo sotto esame (gen-dic 2024).
Nota di documentazione: La relazione ISAE 3402 Type II è acquisita nella sezione "Fornitori di servizi" del fascicolo di revisione. Il revisore verifica che la data di fine periodo della relazione del fornitore copra almeno fino a dicembre 2024.
Passo 3: Valutare l'idoneità della relazione per l'incarico
Il revisore esamina la relazione Type II e risponde a tre domande (ISAE 3402.22):
Nota di documentazione: Nel foglio di lavoro di valutazione dei fornitori di servizi, è documentato: "Relazione ISAE 3402 Type II ottenuta da Logistica Emilia. Periodo coperto: 1 gen - 31 dic 2024. Rischi controllati: completezza e accuratezza dell'inventario in deposito. Asserzioni coperte: validità, completezza, accuratezza. Idoneità: Sì, relazione idonea."
Passo 4: Integrazione con la rimanente evidenza di revisione
La relazione ISAE 3402 Type II fornisce evidenza che i controlli presso il fornitore mitighino i rischi di controllo interno per quel ciclo. Tuttavia, il revisore deve ancora raccogliere evidenza diretta anche presso il controllato. Per il ciclo dell'inventario presso il controllato, il revisore esegue:
Nota di documentazione: Il foglio di lavoro relativo al testing dell'inventario include una colonna dedicata: "Controllo presso fornitore (coperto da ISAE 3402 Type II)?" e una colonna "Controllo presso il controllato (verificato da revisore)?".
Conclusione:
La relazione ISAE 3402 Type II fornisce evidenza che i controlli presso il fornitore fossero operativi per il ciclo dell'inventario durante il periodo FY2024. Il revisore di Carrozzi Logistica usa questa evidenza per ridurre il rischio di controllo interno per il ciclo coperto dalla relazione. Per il ciclo dei crediti presso Factor Nord, tuttavia, il revisore ha ottenuto una relazione Type I (non Type II) che copre solo la descrizione dei controlli, senza attestazione della loro efficacia operativa nel periodo. Questa relazione Type I ha minor valore come evidenza ai sensi dell'ISAE 3402.19 e il revisore deve raccogliere evidenza aggiuntiva presso il controllato per mitigare il rischio di controllo interno per quel ciclo.

  • I rischi controllati dal fornitore sono gli stessi rischi che il revisore ha identificato per questo ciclo di transazioni? Sì: la relazione copre completezza e accuratezza delle registrazioni di inventario.
  • Il periodo coperto dalla relazione Type II allinea il periodo di revisione del controllato? Sì: sia la relazione che il fascicolo coprono gennaio-dicembre 2024.
  • Le asserzioni di bilancio sui crediti derivanti da questo processo esterno sono significative? Sì: l'inventario rappresenta il 18% del totale dell'attivo.
  • Riconciliazione dei registri tenuti presso Carrozzi con i conti presso il fornitore di stoccaggio
  • Verifica dei movimenti di inventario tra i due sistemi (carico e scarico)
  • Ispezione fisica di un campione presso il deposito (anche se gestito dal fornitore)

Cosa catturano i revisori

La maggior parte dei fascicoli che includono fornitori di servizi e relazioni ISAE 3402 presentano questi gap comuni:

  • Confusione tra Type I e Type II: Molti fascicoli includono una relazione ISAE 3402 Type I (descrizione dei controlli) ma la documentano come se fosse una Type II (attestazione dell'efficacia operativa). L'ISAE 3402 paragrafi 18-19 richiedono che il revisore valuti quale tipo è stato ottenuto e se è adeguato per i rischi identificati. Una Type I fornisce minor evidenza.
  • Mancanza di collegamento tra il rischio identificato e la relazione ottenuta: Molti fascicoli ottengono la relazione ISAE 3402 dal fornitore ma non documentano come questa relazione risponde ai rischi specifici identificati durante la pianificazione (ISA 315). Se il rischio è "completezza delle transazioni elaborate dal fornitore," ma la relazione Type II copre solo "accuratezza aritmetica," il collegamento non è adeguato.
  • Assenza di una valutazione dei rischi residui presso il controllato: Anche quando la relazione ISAE 3402 Type II attesta l'efficacia dei controlli presso il fornitore, il revisore rimane responsabile di raccogliere evidenza diretta anche presso il controllato (ISA 500). Molti fascicoli usano la relazione ISAE 3402 come sostituto della evidenza di revisione presso il controllato, anziché come integrazione. Questo riduce ingiustificatamente l'evidenza ottenuta.

Type I vs Type II

| Dimensione | Type I | Type II |
|---|---|---|
| Cosa attesta | Descrizione dei controlli interni e la loro idoneità al progetto | Descrizione dei controlli, idoneità al progetto, AND efficacia operativa nel periodo |
| Periode coperto | Punto in tempo (solitamente all'inizio dell'anno) | Intero periodo sotto esame (es. gennaio-dicembre 2024) |
| Efficacia operativa testata | No. Il revisore del fornitore non esegue test sull'efficacia | Sì. Il revisore del fornitore testa i controlli durante il periodo |
| Quando usarla | Quando il rischio è basso e la mitigazione primaria viene dai controlli del controllato | Quando il rischio è significativo e il revisore fa affidamento sui controlli del fornitore per mitigare il rischio di controllo interno |
| Evidenza che fornisce | Minore. Supporta valutazione iniziale del design dei controlli | Maggiore. Supporta affermazione che i controlli erano operativi nel periodo |

Quando questa distinzione è importante nell'incarico

Supponiamo che il revisore di Carrozzi Logistica identifichi durante l'ISA 315 un rischio significativo sui crediti verso clienti gestiti da Factor Nord. La pianificazione richiede evidenza che i controlli presso il fornitore mitighino il rischio. Se Factor Nord fornisce solo una relazione Type I (efficacia al 1° gennaio 2024), il revisore non ha evidenza che i controlli siano rimasti efficaci durante tutto il 2024. Il revisore deve allora:
Se il revisore utilizza solo la Type I e non raccoglie evidenza aggiuntiva presso il controllato, il rischio di controllo interno non è adeguatamente mitigato per quel ciclo di transazioni.

  • Raccogliere evidenza aggiuntiva presso il controllato (riconciliazioni, analitiche sui crediti) per testare i controlli presso Carrozzi stessa, oppure
  • Richiedere una relazione Type II per il periodo intero (gennaio-dicembre 2024)

Cosa i revisori fraintendono più spesso

  • Interpretazione errata della responsabilità: Alcuni revisori ritengono che una relazione ISAE 3402 Type II li sollevi completamente dalla responsabilità di verificare i controlli presso il controllato. L'ISAE 3402 paragrafo 15 consente al revisore di fare affidamento sulla relazione, ma il revisore rimane responsabile della valutazione dei rischi e della raccolta di evidenza coerente con ISA 500. La relazione ISAE 3402 è integrazione, non sostituzione.
  • Assenza di un processo di valutazione formale: La maggior parte dei fascicoli non include un foglio di lavoro di valutazione della idoneità della relazione ISAE 3402 per i rischi specifici del controllato. L'ISAE 3402 paragrafo 22 lo richiede esplicitamente. Questo gap è il rilievo ispettivo più frequente in questo ambito presso i revisori mid-tier.
  • Datazione e periodo coperto non verificato: Alcuni revisori assumono che una relazione ISAE 3402 Type II ottenuta copra il periodo corretto senza verificare esplicitamente le date di inizio e fine periodo della relazione stessa. Se la relazione copre gennaio-settembre 2024 ma il controllato ha transazioni presso il fornitore fino a dicembre, la relazione non è completa per il periodo di revisione.

Termini correlati

  • ISAE 3000: Standard generale per verifiche su informazioni non bilancio. ISAE 3402 è uno specifico standard di verifiche su relazioni di controllo interno, derivato da ISAE 3000.
  • Rischio di controllo interno: Valutazione della probabilità che i controlli interni presso un'entità (o presso un fornitore di servizi) non prevengano o non rilevino errori. La relazione ISAE 3402 fornisce evidenza sulla mitigazione di questo rischio.
  • ISA 315 – Identificazione e valutazione dei rischi: Standard che disciplina come il revisore identifica i rischi durante la pianificazione. È nel contesto di ISA 315 che il revisore identifica quali processi sono esternalizzati e richiede relazioni ISAE 3402.
  • Fornitore di servizi: Entità che fornisce servizi critici per le transazioni del controllato, come elaborazione paghe, gestione inventario, factoring crediti.
  • Type II Report: Relazione ISAE 3402 che attesta sia la descrizione che l'efficacia operativa dei controlli nel periodo.

Strumenti Ciferi

Utilizzate il Calcolatore di Valutazione Fornitori di Servizi ISAE 3402 per documentare una valutazione formale di idoneità della relazione di controllo interno presso il fornitore, con mappatura automatica verso i rischi identificati nel vostro incarico.
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.