Come funziona

Un service organization gestisce processi che alimentano direttamente il sistema informativo contabile della tua cliente. Quando Tecnolab Italia S.p.A. (azienda manifatturiera, sede a Brescia) affida l'elaborazione delle buste paga a un service organization, quel fornitore controlla l'accuratezza dei dati retributivi che entrano in bilancio. I tuoi test sulla completezza delle spese per il personale dipendono dalla qualità dei controlli del service organization.
L'ISA 402.10 richiede che il revisore identifichi quando un service organization ha un ruolo significativo nei processi della cliente. Se è significativo, l'ISA 402.13-14 stabilisce che devi:
Una sezione critica spesso trascurata: l'ISA 402 richiede anche di valutare se i controlli del service organization hanno funzionato in modo efficace durante il periodo coperto dal tuo incarico. Un report ISAE 3402 Type II fornisce questa evidenza direttamente. Un report Type I fornisce solo il disegno dei controlli, non il loro funzionamento effettivo.

  • Ottenere un report di revisione ISAE 3402 (Type I o Type II) dal service organization o dal suo revisore
  • Valutare se quel report fornisce sufficienti evidenze sui controlli del fornitore
  • Identificare se vi sono controlli complementari ("user controls") che la cliente deve implementare per mitigare i rischi introdotti dal service organization

Worked example: Tecnolab Italia S.p.A.

Cliente: Azienda manifatturiera con sede a Brescia, fatturato EUR 58M, 340 dipendenti. FY2024 bilancio in IFRS.
Step 1: Identificare il service organization
Durante la fase di pianificazione, il CFO comunica che la busta paga e la gestione delle ferie sono elaborate da Payroll Solutions Italia S.r.l., una ditta esterna che fornisce lo stesso servizio a oltre 1.200 clienti PMI italiane.
Nota di documentazione: Memo di pianificazione. "Service organization identificato: Payroll Solutions Italia S.r.l., sede Milano. Servizi forniti: elaborazione buste paga, gestione presenze, calcolo TFR, interfaccia con DTI (Decreto Trasparenza Interoperativo). Ambito: 340 dipendenti, circa EUR 12M di spese per il personale annue (21% dei costi operativi totali). Classificazione: significativo per l'audit ai sensi dell'ISA 402.10."
Step 2: Determinare se il service organization è significativo
La spesa per il personale rappresenta il 21% dei costi operativi totali della cliente. I controlli sui dati retributivi incidono direttamente su due delle tre asserzioni significative nel ciclo spese (completezza e accuratezza). Inoltre, la cliente non dispone di funzioni interne di verifica della busta paga; affida completamente al service organization il calcolo e la trasmissione.
Nota di documentazione: Risk assessment memo. "Service organization è significativo per l'audit. I controlli di Payroll Solutions Italia S.r.l. sono criteri per la valutazione del rischio di errore sostanziale nel ciclo spese e nelle passività per il personale. Richiesta: ottenere report ISAE 3402 (Type II preferito, per evidenza di funzionamento effettivo) dal service organization o dal suo revisore."
Step 3: Ottenere il report ISAE 3402
Contatti il service organization. Payroll Solutions Italia S.r.l. fornisce un report ISAE 3402 Type II per l'anno fiscale 2024, redatto da BDO Italia (il suo revisore esterno) e che copre il periodo 1 gennaio – 31 dicembre 2024. Il report descrive 7 controlli chiave su accuratezza, completezza, autorizzazione e riconciliazione dei dati retributivi.
Nota di documentazione: Allegato al fascicolo di revisione. "Rapporto di revisione ISAE 3402:2018 Type II – Payroll Solutions Italia S.r.l. – Periodo di revisione: 1 gennaio – 31 dicembre 2024 – Revisore: BDO Italia – Data del rapporto: 15 febbraio 2025. Controlli esaminati: 7. Risultati: nessuna deviazione riscontrata. Periodi di test: gennaio, aprile, agosto, novembre 2024 (rappresentativi)."
Step 4: Valutare l'adeguatezza del report ISAE 3402
Il report Type II copre il funzionamento effettivo dei controlli durante un periodo rappresentativo. La tua valutazione verificherà che:
In questo caso, il report Type II di BDO Italia evidenzia che i 7 controlli hanno funzionato in modo efficace senza deviazioni nel periodo testato. Puoi ridurre il livello di testaggio su questo area al "testaggio di follow-up" invece del testaggio di dettaglio esteso.
Nota di documentazione: Audit testing memo. "Sulla base del report ISAE 3402:2018 Type II di Payroll Solutions Italia S.r.l. (revisionato da BDO Italia, periodo 1 gennaio – 31 dicembre 2024), i controlli del service organization sono stati valutati come idonei a supportare la nostra opinione. Sono stati implementati i 7 controlli chiave identificati nel report senza deviazioni. Conseguenza: il testaggio su accuratezza e completezza della busta paga e limitato a un campione di riconciliazione post-elaborazione e una verifica di riconciliazione trimestrale con il DTI. Testaggio esteso non è giustificato."
Step 5: Identificare i controlli complementari della cliente
L'ISA 402.A9 richiede di valutare se la cliente ha implementato "user controls" che completano i controlli del service organization. Nel caso di Tecnolab Italia, i controlli complementari includono:
Questi controlli sono stati testati nel vostro testaggio, incluso in questo fascicolo nella sezione "Ciclo spese per il personale – Controlli della cliente". Tutti e tre i controlli complementari hanno funzionato in modo efficace durante il periodo.
Nota di documentazione: Sezione "Controlli dell'utente (User Controls) – ISA 402.A9". "Tecnolab Italia S.p.A. ha implementato tre controlli complementari per completare i controlli di Payroll Solutions Italia S.r.l. Tutti e tre sono stati testati e hanno funzionato efficacemente. Conseguenza: l'evidenza combinata (controlli del service organization + controlli complementari della cliente) supporta la conclusione che il rischio nel ciclo spese per il personale è stato mitigato a un livello accettabile."
Conclusione
Tecnolab Italia utilizza un service organization significativo (Payroll Solutions Italia S.r.l.) per l'elaborazione della busta paga. Avete ottenuto un report ISAE 3402:2018 Type II dal revisore del service organization (BDO Italia), verificato che i controlli descritti affrontano i rischi significativi, valutato i controlli complementari della cliente, e documentato la conclusione nel fascicolo. Questa evidenza è difendibile davanti a un revisore esterno (AFM, FRC in context internazionale) e dimostra compliance con ISA 402.13-14.

  • I controlli descritti nel report affrontano i rischi significativi che avevi identificato (accuratezza dei tassi, completezza dei dipendenti, autorizzazione delle variazioni di stipendio)
  • Il periodo testato è sufficientemente rappresentativo del tuo periodo di bilancio
  • Non sono state riscontrate deviazioni significative
  • Riconciliazione mensile tra il report retributivo di Payroll Solutions Italia e il registro contabile interno
  • Revisione e approvazione delle variazioni di stipendio prima dell'elaborazione
  • Verifica trimestrale del carico fiscale dichiarato nel DTI

Cosa i revisori e i praticanti affrontano male

  • Omissione della valutazione della significatività. La maggior parte dei fascicoli non contiene una esplicita valutazione documentata di quando un service organization è "significativo" ai sensi dell'ISA 402.10. Il risultato: i service organization vengono ignorati fino al testing finale, quando scopri che nessun report ISAE 3402 è stato ottenuto e il periodo di test è rimasto ristretto. L'ISA 402.10 richiede questa valutazione durante il risk assessment; documentarla è una questione di tracciamento, non di scoperta tardiva. Nel 2024, l'AFM ha segnalato in un campione di 20 fascicoli che il 65% non aveva documentato esplicitamente se il service organization era significativo, creando una potenziale lacuna nel risk assessment.
  • Type I vs Type II confusion. Il report ISAE 3402 Type I descrive il disegno dei controlli; il report Type II fornisce evidenza del loro funzionamento effettivo nel tempo. Molti team accettano un report Type I a fine anno (o peggio, un report "sotto richiesta" dal service organization senza una data di fine periodo definita) e lo trattano come adeguato per il testing. L'ISA 402.14 non proibisce formalmente un report Type I, ma se il tuo testing riguarda il funzionamento effettivo dei controlli durante il periodo di bilancio, un report Type I lascia un gap. La pratica documentata è ottenere un report Type II per i service organization significativi, in modo che le tue conclusioni sui controlli siano supportate da evidenza di funzionamento, non solo di disegno.
  • User controls non testati. L'ISA 402.A9 menziona i "user controls": i controlli che l'entità cliente esegue per completare o mitigare i rischi introdotti dal service organization. Molti fascicoli identificano il service organization e ottengono un report ISAE 3402, ma poi trascurano di valutare e testare se la cliente ha effettivamente implementato controlli complementari adeguati e se stanno funzionando. Esempio: un service organization elabora le transazioni ma non riconcilia l'interfaccia tra i suoi sistemi e il registro contabile della cliente. La cliente deve fare questa riconciliazione come user control. Se non è documentata e testata nel fascicolo, il tuo audit è esposto a errori di interfaccia non rilevati.

Quando il service organization è significativo (vs. quando non lo è)

Un service organization è significativo ai sensi dell'ISA 402.10 quando:
Esempio di significatività: Tecnolab Italia affida l'elaborazione della busta paga a un fornitore esterno. La spesa per il personale è il 21% dei costi operativi e rappresenta un'asserzione significativa. Il service organization controlla l'accuratezza e la completezza dei dati retributivi. È significativo.
Esempio di non-significatività: La stessa Tecnolab Italia utilizza un service organization per la manutenzione del sito web aziendale (non legato ai sistemi di contabilità). Il servizio non incide su alcuna asserzione contabile. Non è significativo per l'ISA 402.
La valutazione è una questione di giudizio professionale, ma la regola di base è questa: se il service organization tocca i dati contabili o i controlli che supportano le asserzioni, è significativo. Se no, non lo è.

  • I servizi forniti incidono direttamente su una o più asserzioni significative (completezza, accuratezza, autorizzazione delle transazioni contabili).
  • I rischi associati ai servizi, ai controlli del service organization o ai dati sono significativi per il bilancio.

Termini correlati

---

  • Report ISAE 3402 Type I: Descrive il disegno dei controlli di un service organization al momento della revisione. Non fornisce evidenza di funzionamento effettivo nel tempo.
  • Report ISAE 3402 Type II: Fornisce evidenza della performance effettiva dei controlli del service organization durante un periodo rappresentativo. È il report preferito per l'audit.
  • User Controls (Controlli dell'Utente): Controlli implementati dall'entità cliente per completare i controlli del service organization. L'ISA 402.A9 richiede la loro valutazione.
  • Audit risk (Rischio di revisione): Il rischio che il revisore esprima un'opinione non appropriata su un bilancio materialmente errato. L'identificazione dei service organization significativi è parte della valutazione del rischio di revisione.
  • Risk assessment (Valutazione del rischio): Il processo di identificazione e valutazione dei rischi di errore sostanziale. L'ISA 402 richiede che questa valutazione include la significatività del service organization.
  • Internal controls (Controlli interni): I sistemi di controllo che una entità implementa per mitigare i rischi di errore o irregolarità. Per un service organization, il revisore valuta il design e il funzionamento dei loro controlli interni.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.