Organizzazione di subservice

Come funziona

L'ISA 402.3 e l'ISA 402.A1–A2 distinguono tra subservice organization e organizzazione di servizi. Quando una banca esternalizza l'elaborazione dei pagamenti a un service provider di un terzo fornitore, quel provider è una subservice organization. Il revisore della banca valuta i controlli del provider come parte della sua revisione dell'organizzazione di servizi; il revisore dei clienti della banca (gli utenti finali del servizio di pagamento) non valuterà direttamente i controlli del provider, ma riceverà le informazioni attraverso la relazione di assicurazione del revisore della banca.
L'ISA 402 non richiede al revisore dell'utente finale di ottenere una relazione di assicurazione (Tipo I o Tipo II) dalla subservice organization. Richiede invece al revisore dell'organizzazione di servizi di valutare i controlli della subservice organization e di comunicare l'esito al revisore dell'utente finale. Questo avviene tramite la relazione di assicurazione dell'organizzazione di servizi, che contiene paragrafi dedicati ai controlli della subservice organization.
La valutazione dei controlli della subservice organization da parte del revisore dell'organizzazione di servizi deve coprire l'intero periodo incluso nella relazione di assicurazione dell'organizzazione di servizi. Se il servizio della subservice organization copre solo una parte dell'anno, il revisore della subservice organization deve estendere il periodo di osservazione per allinearlo al periodo di rendicontazione della relazione.

Esempio pratico: Servizi Finanziari Alpini S.p.A.

Cliente: Banca che elabora bonifici per 47 clienti aziendali. Stato patrimoniale: EUR 285M. Reporter IFRS. Esercizio FY 2024.
La banca utilizza TechProcess Solutions (provider esterno, ubicato a Monaco) per l'elaborazione dei pagamenti. TechProcess è quindi una subservice organization dalla prospettiva della banca.
Passo 1: Il revisore della banca pianifica la sua valutazione dei controlli di TechProcess. L'ISA 402.13–14 richiede di identificare i controlli presso TechProcess che sono rilevanti per i rischi di errore materiale nei bilanci della banca stessa.
Nota di documentazione: Nel memorandum di pianificazione, registrare "TechProcess Solutions è una subservice organization. Controlli sul corretto instradamento dei pagamenti e sulla riconciliazione dei conti sono rilevanti per l'asserzione di completezza e autorizzazione. Verranno inclusi nella relazione di assicurazione della banca ai sensi dell'ISA 402.30(b)."
Passo 2: Il revisore della banca ottiene comunicazioni dal revisore di TechProcess relativamente ai controlli chiave: segregazione dei compiti tra elaborazione e riconciliazione, controllo delle eccezioni di pagamento, match tra ordini immessi e importi elaborati.
Nota di documentazione: Email dal revisore di TechProcess che descrive il design e il funzionamento dei controlli di riconciliazione nel periodo di revisione. Allegato: diagramma di flusso dei controlli.
Passo 3: Il revisore della banca integra queste informazioni nella propria valutazione del rischio di errore materiale (ISA 315.27) e nella pianificazione delle procedure di validità.
Nota di documentazione: Matrice di mappatura dei rischi della banca (asserzioni sui conti correnti del cliente). Nella colonna "Controlli sui rischi," annotare: "Controlli di TechProcess Solutions: riconciliazione giornaliera (testato tramite comunicazione del revisore di TechProcess, rapporto Tipo II allegato alla cartella di lavoro)."
Passo 4: Il revisore della banca decide se richiedere una relazione di assicurazione Tipo I (descrizione e design dei controlli) o Tipo II (descrizione, design e test di funzionamento) di TechProcess. L'ISA 402.A2 afferma che una relazione Tipo II fornisce maggiore evidenza di efficacia nel funzionamento. Per un processo critico come l'elaborazione dei pagamenti, una relazione Tipo II è appropriata.
Nota di documentazione: Nel file di controllo dell'ente, dichiarare il risultato della valutazione: "Rapporto Tipo II di TechProcess Solutions per il periodo 1° gennaio – 31 dicembre 2024 ottenuto e allegato. I controlli sono stati testati e funzionavano efficacemente durante il periodo. Nessun punto debole identificato dalla revisione della subservice organization che richiederebbe un controllo compensativo da parte della banca."
Passo 5: Il revisore della banca include nella propria relazione di assicurazione (se emessa secondo ISAE 3402) una descrizione dei controlli di TechProcess Solutions e della valutazione della loro efficacia (paragrafi 30–31 dell'ISAE 3402).
Nota di documentazione: Bozza della relazione di assicurazione della banca, sezione "Controlli della subservice organization": "Servizi Finanziari Alpini utilizza TechProcess Solutions per l'elaborazione dei pagamenti. L'elaborazione è soggetta a riconciliazione giornaliera e a controllo delle eccezioni. Abbiamo ottenuto una relazione di assicurazione Tipo II per il periodo di revisione. I controlli descritti in tale relazione erano progettati appropriatamente e funzionavano efficacemente."
Conclusione: Il revisore della banca ha documentato la sua valutazione dei controlli della subservice organization, integrandoli nella propria comprensione dei rischi e nella pianificazione delle procedure. Questa valutazione sarà trasmessa ai revisori dei clienti della banca (gli utenti finali) attraverso la relazione di assicurazione della banca. I revisori dei clienti non visiteranno TechProcess Solutions direttamente, ma avranno evidenza della loro efficacia tramite questa catena di comunicazioni e la relazione Tipo II allegata.

Cosa i revisori e i professionisti interpretano male

Tiered sourcing: Tier 1: Rilievi ispettivi locali
L'AFM ha osservato in diversi fascicoli che il revisore dell'utente finale ha tentato di ottenere direttamente una relazione di assicurazione dalla subservice organization, ignorando il fatto che il revisore dell'organizzazione di servizi è l'intermediario designato. Questo produce rifiuti di comunicazione dal provider (che non ha rapporto diretto con l'utente finale) e inefficienze di processo. L'ISA 402.A2 è esplicito: il revisore dell'utente finale valuta i controlli della subservice organization tramite la relazione e la comunicazione del revisore dell'organizzazione di servizi.
Tier 2: Errore pratico: Omissione dalla valutazione dei rischi
Molti fascicoli non includono i controlli della subservice organization nella matrice di valutazione dei rischi (ISA 315.27). Il controllo presso il provider è un controllo dell'organizzazione di servizi, quindi è parte della comprensione del revisore dei rischi rilevanti. Se un pagamento deve essere riconciliato presso una subservice organization prima di essere inserito nei conti del cliente, quel controllo di riconciliazione è un controllo dell'organizzazione di servizi e deve essere identificato e testato.

Termini correlati

---

• Organizzazione di servizi: l'entità che offre i servizi all'utente finale e che utilizza il lavoro della subservice organization. L'ISA 402.3 le distingue esplicitamente.
• ISAE 3402: Relazione di assicurazione sui controlli: la relazione che il revisore dell'organizzazione di servizi emette per comunicare i controlli (inclusi quelli della subservice organization) ai revisori degli utenti finali.
• Relazione Tipo II: il formato di relazione che include il test di funzionamento dei controlli della subservice organization, a differenza della relazione Tipo I che descrive solo il design.
• Rischio di errore materiale: il rischio che il revisore dell'utente finale valuta quando identifica i controlli della subservice organization come rilevanti per le asserzioni di bilancio.
• Segregazione dei compiti: un controllo comune presso le subservice organization che forniscono servizi contabili o di elaborazione dei pagamenti.
• Comunicazione del revisore: il meccanismo tramite il quale il revisore dell'organizzazione di servizi trasmette le informazioni sui controlli della subservice organization al revisore dell'utente finale.