Come funziona

ISAE 3402 distingue chiaramente tra Type I e Type II sulla base del mandato del revisore della service organisation. Nel Type I, il revisore esprime un'opinione sulla progettazione e l'implementazione dei controlli a una data specifica. ISAE 3402.13 definisce la data di valutazione come il momento in cui il revisore conclude la sua prova sulla progettazione e l'implementazione. Non è necessario dimostrare che i controlli hanno operato efficacemente per un periodo di tempo. Un controllo può essere stato implementato il 1º novembre e valutato il 30 novembre; il rapporto Type I è comunque emesso.
La prova raccolta dal revisore della service organisation si concentra sulla documentazione della progettazione, sui colloqui con il personale chiave, e sull'osservazione dell'implementazione. Se un'organizzazione aggiunge un nuovo controllo il 15 dicembre e lo fa valutare il 20 dicembre per un rapporto Type I con data di valutazione 20 dicembre, la prova è valida e sufficiente secondo ISAE 3402.
I revisori degli utilizzatori finali (gli audit client che affidano operazioni alla service organisation) ricevono il rapporto Type I e lo usano per valutare il rischio di errori materiali nelle asserzioni di bilancio relative ai servizi esternalizzati. Secondo ISAE 3402.A16, se l'utilizzatore finale non ha testato l'efficacia operativa dei controlli durante il periodo di controllo del rapporto, potrebbe aver bisogno di eseguire lavori aggiuntivi. Per gli incarichi continuativi, questo lavoro aggiuntivo è significativo.

Worked example: Processamento stipendi esternalizzato

Client: Logistica Marchetti S.p.A., società di trasporti italiana, dipendenti 280, revenue EUR 62M, IFRS reporter.
Scenario: Logistica Marchetti affida l'intero ciclo di elaborazione delle buste paga (calcolo, versamenti tributari, rendicontazione INPS) a Servizi Amministrativi Nord S.r.l., una service organisation con data di valutazione Type I al 30 settembre 2024.
Step 1: Ottenere il rapporto Type I della service organisation
Il revisore di Logistica Marchetti riceve il rapporto ISAE 3402 Type I di Servizi Amministrativi Nord, con data di valutazione 30 settembre 2024. Il rapporto descrive i seguenti controlli su cui la service organisation fa affidamento:
Documentazione della carta di lavoro: Allegare il rapporto Type I completo alla cartella ISAE 3402 del fascicolo di revisione. Annotare la data di valutazione e l'ambito dei servizi.
Step 2: Valutare se il rapporto Type I è sufficiente per l'incarico dell'utilizzatore finale
Logistica Marchetti ha un ciclo di busta paga mensile. Il rapporto Type I è stato emesso il 30 settembre 2024. La fine dell'esercizio di Logistica Marchetti è il 31 dicembre 2024. Tra il 30 settembre e il 31 dicembre, sono state elaborate quattro buste paga (ottobre, novembre, dicembre e tredicesima mensilità).
ISAE 3402.A16 spiega che la prova dell'efficacia operativa è particolarmente rilevante quando sono trascorsi un periodo significativo tra la data di valutazione del rapporto Type I e la fine del periodo di rendicontazione dell'utilizzatore finale. Un periodo di tre mesi è considerato significativo nella pratica di revisione.
Il revisore di Logistica Marchetti non può fare affidamento esclusivamente sul rapporto Type I. Ha due opzioni:
Documentazione della carta di lavoro: Registrare il giudizio sulla sufficienza del rapporto Type I. Se non è sufficiente, documentare il piano per testare l'efficacia operativa dei controlli per il periodo successivo al 30 settembre 2024. Fare riferimento a ISAE 3402.A16.
Step 3: Se il rapporto Type I è sufficiente (scenario alternativo. incarico di ricerca)
Se Logistica Marchetti avesse condotto un'audit research ad agosto 2024 e avesse dato a Servizi Amministrativi Nord il compito di implementare i controlli entro il 15 agosto, con una data di valutazione Type I al 31 agosto 2024, e l'anno di bilancio fosse terminato il 30 settembre 2024 (un mese dopo), il revisore avrebbe potuto concludere che un periodo di un mese non è significativo e che il rapporto Type I era sufficiente per valutare l'efficacia operativa attesa.
Documentazione della carta di lavoro: Annotare la base del giudizio di sufficienza (breve periodo, controlli semplici, nessun materiale aggiuntivo tra la data di valutazione e la fine del periodo di rendicontazione).
Conclusione: Un rapporto Type I fornisce prova della progettazione e dell'implementazione dei controlli ma non della loro operatività continuativa. Per gli incarichi con un periodo significativo tra la data di valutazione Type I e la fine dell'anno di bilancio, sono necessari lavori aggiuntivi. La distinzione tra Type I e Type II dipende dal rischio di errori nei saldi di bilancio e dal periodo trascorso.

  • Approvazione formale dei dati di input per il calcolo delle retribuzioni (controllo manuale)
  • Riconciliazione mensile degli stipendi pagati con il rendiconto bancario (controllo manuale)
  • Verifica automatica del caricamento dei dati verso il sistema tributario (controllo IT)
  • Ottenere un rapporto Type II della service organisation (che copre l'operatività dei controlli durante un periodo, ad es. 1º luglio: 31 dicembre 2024)
  • Eseguire lavori aggiuntivi e indipendenti per testare l'efficacia operativa dei controlli durante il periodo scoperto (ottobre, novembre, dicembre 2024)

Cosa rilevano i revisori

Tier 1: Rilievo di ispezione specifico
La FRC (Financial Reporting Council, nel contesto del Regno Unito) ha segnalato in rapporti ispettivi che revisori degli utilizzatori finali hanno fatto affidamento esclusivamente su rapporti ISAE 3402 Type I quando il periodo tra la data di valutazione e la fine dell'esercizio era di sei mesi o più, senza testare l'efficacia operativa dei controlli nel periodo successivo. ISAE 3402.A16 richiede di valutare se la prova della progettazione e dell'implementazione sia sufficiente, considerato il periodo trascorso. La FRC ha osservato che questa valutazione è spesso documentata in modo scarso o assente.
Tier 2: Errore standard-correlato
La mancanza di una dichiarazione chiara nel fascicolo di revisione sulla sufficienza del rapporto Type I per la valutazione del rischio è comune. ISAE 3402.A17 prevede che il revisore dell'utilizzatore finale valuti se la prova fornita dal rapporto Type I è pertinente e affidabile per la sua valutazione dei rischi. Molti fascicoli documentano il ricevimento del rapporto Type I e un riepilogo dei controlli, ma non esplicitano la conclusione sulla sufficienza della prova per l'esercizio in chiusura.
Tier 3: Gap di pratica documentato
Anche negli studi consolidati, la distinzione tra il momento in cui un rapporto Type I è sufficiente e il momento in cui sono necessari lavori aggiuntivi rimane poco strutturata. Le linee guida interne spesso non specificano una soglia di giorni tra la data di valutazione Type I e la fine dell'esercizio; la decisione rimane soggettiva e non sempre supportata da una base di rischio esplicita nel fascicolo.

Type I vs Type II

| Dimensione | Type I | Type II |
|---|---|---|
| Oggetto della valutazione | Progettazione e implementazione dei controlli a una data specifica | Efficacia operativa dei controlli durante un periodo |
| Periodo di prova | Una data di valutazione (ad es. 30 settembre 2024) | Un intervallo di tempo (ad es. 1º luglio — 31 dicembre 2024) |
| Richiesta degli utilizzatori finali | Raro; comunemente usato per incarichi di ricerca o valutazioni iniziali | Norma per incarichi continuativi e revisioni di bilancio |
| Prova raccolta dal revisore della service organisation | Documentazione, colloqui, osservazione dell'implementazione | Osservazione dell'operatività nel tempo, esame dei registri dei controlli, riesame dei risultati |
| Decisione dell'utilizzatore finale | Valutare se il rapporto è sufficiente e se sono necessari lavori aggiuntivi | Utilizzare come prova primaria dell'efficacia operativa dei controlli |

Quando la distinzione è importante nell'incarico

Un revisore di Fondazione Cultura e Innovazione (organizzazione italiana senza scopo di lucro, entrate annue EUR 8,5M) esamina i rischi legati alla gestione dei fondi ricevuti dai donatori. La fondazione affida a Gestioni Finanziarie Centrale S.p.A. il controllo dei conti correnti dedicati ai finanziamenti e la riconciliazione con il registro patrimoniale della fondazione.
Gestioni Finanziarie ha emesso un rapporto Type I il 31 maggio 2024, con una data di valutazione del 31 maggio. L'esercizio della fondazione termina il 31 dicembre 2024. Tra maggio e dicembre sono intercorsi sette mesi di operatività dei controlli.
Se il revisore della fondazione facesse affidamento esclusivamente sul rapporto Type I, concluderebbe di aver ottenuto prova della progettazione dei controlli a maggio, ma non della loro efficacia operativa durante gli ultimi sette mesi (giugno. dicembre). Le modifiche ai cicli di riconciliazione, il turnover del personale della service organisation, o i cambiamenti nei volumi di transazioni potevano avere intaccato l'efficacia operativa dei controlli. ISAE 3402.A16 richiede al revisore della fondazione di determinare se prova aggiuntiva è necessaria.
Se il revisore della fondazione chiede un rapporto Type II che copra il periodo 1º giugno: 31 dicembre 2024, ottiene la prova dell'efficacia operativa per tutto il periodo di rendicontazione della fondazione. Questa è la pratica difendibile e conforme a ISAE 3402.

Termini correlati

ISA 500 Prova di revisione: La prova raccolta dal revisore della service organisation per un rapporto Type I deve essere valida e sufficiente secondo i criteri ISA 500. L'utilizzo di questa prova da parte del revisore dell'utilizzatore finale rientra nella valutazione della prova di revisione secondo ISA 500.
Controllo della service organisation: I controlli descritti e valutati in un rapporto Type I o Type II sono i controlli della service organisation. La loro progettazione e operatività sono centrali nella valutazione del rischio d'errore dell'utilizzatore finale.
ISA 402 Considerazioni di revisione relative a un'entità che si avvale di un'organizzazione di servizi: Il quadro generale che disciplina l'uso dei rapporti ISAE 3402 (sia Type I sia Type II) da parte del revisore dell'utilizzatore finale nelle sue procedure di valutazione del rischio.
ISAE 3402 Rapporto sulla progettazione, l'implementazione e l'efficacia operativa dei controlli di un'organizzazione di servizi: Lo standard internazionale che disciplina l'intero processo di emissione di rapporti Type I e Type II.
Type II Report: La variante di ISAE 3402 che copre l'efficacia operativa dei controlli durante un periodo specificato, non solo la loro progettazione a una data.
Compliance assurance: Un ambito correlato di incarichi di assurance in cui il revisore valuta il rispetto di una norma o di un requisito, distinto dall'efficacia operativa dei controlli.
Controlli IT della service organisation: Un sottoinsieme dei controlli descritti nei rapporti Type I e Type II, spesso richiesti quando la service organisation gestisce sistemi informativi critici.

Strumento correlato

Il Modello di valutazione dei controlli ISAE 3402 è disponibile per pianificare la raccolta di prova in rapporti Type I e Type II. Lo strumento guida il revisore della service organisation nella documentazione della progettazione e dell'implementazione dei controlli secondo ISAE 3402.12.
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.