Definition
Il revisore dell'utilizzatore finale riceve il rapporto ISAE 3402 dal cliente, lo allega al fascicolo, riduce i test di compliance e va avanti. Spesso il rapporto è un Type I, e nessuno nel fascicolo lo segnala. Sei mesi dopo, l'ispezione chiede di mostrare la prova del funzionamento dei controlli durante l'esercizio, e il rapporto Type I non la fornisce. Questo è il rilievo che si vede ricorrere nei controlli MEF e nelle ispezioni equivalenti europee.
Come funziona
L'ISAE 3402 distingue Type I e Type II in base al mandato del service auditor. Nel Type I il revisore esprime un'opinione sulla progettazione e l'implementazione dei controlli a una data specifica. L'ISAE 3402.13 definisce la data di valutazione come il momento in cui il revisore conclude la verifica sulla progettazione e l'implementazione. Non è necessario dimostrare che i controlli abbiano operato efficacemente per un periodo. Un controllo può essere stato implementato il 1° novembre e valutato il 30 novembre; il rapporto Type I si emette comunque.
La prova raccolta dal service auditor si concentra sulla documentazione della progettazione, sui colloqui con il personale chiave, sull'osservazione dell'implementazione. Se l'organizzazione aggiunge un nuovo controllo il 15 dicembre e lo fa valutare il 20 dicembre per un Type I con data di valutazione 20 dicembre, la prova è valida e sufficiente secondo lo standard.
Cosa succede davvero. I revisori degli utilizzatori finali ricevono il rapporto Type I e lo usano per valutare il rischio di errori materiali nelle asserzioni di bilancio relative ai servizi esternalizzati. Lo standard è chiaro: secondo ISAE 3402.A16, se l'utilizzatore finale non ha verificato l'efficacia operativa dei controlli durante il periodo coperto dal rapporto, deve eseguire lavoro aggiuntivo. Per gli incarichi continuativi questo lavoro non è marginale: spesso significa rifare buona parte del testing che il rapporto avrebbe dovuto coprire. Il revisore prudente verifica subito il tipo di rapporto al ricevimento, non in fase di review.
Esempio pratico: elaborazione stipendi esternalizzata
Cliente: Logistica Marchetti S.p.A., società di trasporti italiana, 280 dipendenti, ricavi EUR 62M, reporter IFRS.
Scenario. Logistica Marchetti affida l'intero ciclo delle buste paga (calcolo, versamenti tributari, rendicontazione INPS) a Servizi Amministrativi Nord S.r.l., service organisation con data di valutazione Type I al 30 settembre 2024.
Passo 1. Ottenere il rapporto Type I della service organisation.
Il revisore di Logistica Marchetti riceve il rapporto ISAE 3402 Type I di Servizi Amministrativi Nord, con data di valutazione 30 settembre 2024. Il rapporto descrive i seguenti controlli: - Approvazione formale dei dati di input per il calcolo delle retribuzioni (controllo manuale) - Riconciliazione mensile degli stipendi pagati con il rendiconto bancario (controllo manuale) - Verifica automatica del caricamento dei dati verso il sistema tributario (controllo IT)
Documentazione della carta di lavoro: si alleghi il rapporto Type I completo alla cartella ISAE 3402 del fascicolo. Annotare data di valutazione e ambito dei servizi.
Passo 2. Valutare se il rapporto Type I è sufficiente per l'incarico dell'utilizzatore finale.
Logistica Marchetti ha un ciclo di busta paga mensile. Il rapporto Type I è del 30 settembre 2024. La fine dell'esercizio è il 31 dicembre 2024. Tra il 30 settembre e il 31 dicembre sono state elaborate quattro buste paga (ottobre, novembre, dicembre e tredicesima).
L'ISAE 3402.A16 spiega che la prova dell'efficacia operativa è particolarmente rilevante quando è trascorso un periodo significativo tra la data di valutazione del Type I e la fine del periodo di rendicontazione dell'utilizzatore finale. Tre mesi sono considerati periodo significativo nella pratica.
Il revisore di Logistica Marchetti non può fare affidamento esclusivo sul rapporto Type I. Ha due opzioni: 1. Ottenere un Type II che copra l'operatività dei controlli durante un periodo (ad esempio 1° luglio - 31 dicembre 2024) 2. Eseguire lavoro aggiuntivo e indipendente per verificare l'efficacia operativa nel periodo scoperto (ottobre, novembre, dicembre 2024)
Documentazione della carta di lavoro: si registri il giudizio sulla sufficienza del rapporto Type I. Se non è sufficiente, documentare il piano per testare l'efficacia operativa successiva al 30 settembre 2024. Riferimento ISAE 3402.A16.
Complicazione del caso. Il 5 dicembre 2024 Servizi Amministrativi Nord comunica un cambio nel software di calcolo retribuzioni. Il controllo automatico di caricamento verso il sistema tributario, valutato a settembre, ora opera su una nuova interfaccia. La direzione di Logistica Marchetti sostiene che il rapporto Type I copre il controllo "in linea di principio." Il revisore non concorda. La progettazione del controllo è cambiata dopo la data di valutazione; il Type I, anche se di pochi mesi prima, non attesta più la stessa configurazione. Si chiede a Servizi Amministrativi Nord un'attestazione integrativa o si verifica direttamente la nuova interfaccia. Il caso mostra perché un Type I "fresco" può smettere di valere prima della scadenza naturale: cambia l'oggetto, non il calendario.
Passo 3. Scenario alternativo, in cui il Type I è sufficiente.
Se Logistica Marchetti avesse condotto un'audit research ad agosto 2024 affidando a Servizi Amministrativi Nord l'implementazione dei controlli entro il 15 agosto, con data di valutazione Type I al 31 agosto 2024, e l'esercizio fosse terminato il 30 settembre 2024 (un mese dopo), il revisore avrebbe potuto concludere che un mese non è periodo significativo e che il Type I bastava per la valutazione dell'efficacia operativa attesa.
Documentazione della carta di lavoro: annotare la base del giudizio di sufficienza (periodo breve, controlli semplici, nessuna modifica materiale tra la data di valutazione e la fine del periodo).
Conclusione. Un rapporto Type I fornisce prova della progettazione e dell'implementazione dei controlli ma non della loro operatività continuativa. Per gli incarichi con periodo significativo tra la data di valutazione Type I e la fine dell'esercizio, serve lavoro aggiuntivo. La distinzione tra Type I e Type II dipende dal rischio di errori nei saldi di bilancio e dal periodo trascorso.
Cosa rilevano i revisori
Livello 1, rilievo ispettivo specifico.
La CONSOB e gli organismi equivalenti europei hanno segnalato in più occasioni rapporti ispettivi in cui i revisori degli utilizzatori finali hanno fatto affidamento esclusivo su rapporti ISAE 3402 Type I quando il periodo tra la data di valutazione e la fine dell'esercizio era di sei mesi o più, senza testare l'efficacia operativa nel periodo successivo. L'ISAE 3402.A16 richiede di valutare se la prova della progettazione e dell'implementazione sia sufficiente, considerato il periodo trascorso. Questa valutazione, quando c'è, è documentata in modo scarso. Quando manca, il rilievo è automatico.
Livello 2, errore standard-correlato.
Manca spesso una dichiarazione chiara nel fascicolo sulla sufficienza del rapporto Type I per la valutazione del rischio. L'ISAE 3402.A17 prevede che il revisore dell'utilizzatore finale valuti se la prova del Type I è pertinente e affidabile per la valutazione dei rischi. Molti fascicoli documentano il ricevimento del rapporto e un riepilogo dei controlli, ma non esplicitano la conclusione sulla sufficienza per l'esercizio in chiusura.
Livello 3, gap di pratica documentato.
Anche negli studi consolidati la distinzione tra Type I sufficiente e Type I che richiede lavoro aggiuntivo resta poco strutturata. Le linee guida interne raramente specificano una soglia di giorni tra la data di valutazione e la fine dell'esercizio; la decisione resta soggettiva e non sempre supportata da una base di rischio esplicita nel fascicolo. Si vede il rilievo ricorrere quando la decisione viene presa "a memoria" e non documentata al momento dell'analisi.
Type I vs Type II
| Dimensione | Type I | Type II |
|---|---|---|
| Oggetto della valutazione | Progettazione e implementazione dei controlli a una data specifica | Efficacia operativa dei controlli durante un periodo |
| Periodo di prova | Una data di valutazione (ad es. 30 settembre 2024) | Un intervallo di tempo (ad es. 1° luglio - 31 dicembre 2024) |
| Richiesta degli utilizzatori finali | Raro; comunemente usato per incarichi di ricerca o valutazioni iniziali | Norma per incarichi continuativi e revisioni di bilancio |
| Prova raccolta dal service auditor | Documentazione, colloqui, osservazione dell'implementazione | Osservazione dell'operatività nel tempo, esame dei registri dei controlli, riesame dei risultati |
| Decisione dell'utilizzatore finale | Valutare se il rapporto sia sufficiente e se serva lavoro aggiuntivo | Utilizzare come prova primaria dell'efficacia operativa dei controlli |
Quando la distinzione è importante nell'incarico
Un revisore di Fondazione Cultura e Innovazione (organizzazione italiana senza scopo di lucro, entrate annue EUR 8,5M) esamina i rischi legati alla gestione dei fondi ricevuti dai donatori. La fondazione affida a Gestioni Finanziarie Centrale S.p.A. il controllo dei conti correnti dedicati ai finanziamenti e la riconciliazione con il registro patrimoniale.
Gestioni Finanziarie ha emesso un rapporto Type I il 31 maggio 2024, con data di valutazione 31 maggio. L'esercizio della fondazione termina il 31 dicembre 2024. Tra maggio e dicembre intercorrono sette mesi di operatività dei controlli.
Se il revisore della fondazione facesse affidamento esclusivo sul Type I, concluderebbe di aver ottenuto prova della progettazione dei controlli a maggio, ma non della loro efficacia operativa negli ultimi sette mesi. Modifiche ai cicli di riconciliazione, turnover del personale della service organisation, cambiamenti nei volumi di transazioni: tutto questo poteva incidere sull'efficacia operativa. L'ISAE 3402.A16 chiede di determinare se sia necessaria prova aggiuntiva.
Se il revisore chiede un Type II che copra il periodo 1° giugno - 31 dicembre 2024, ottiene la prova dell'efficacia operativa per tutto il periodo di rendicontazione. Questa è la pratica difendibile e conforme.
Dove vive il giudizio. Il punto di disaccordo tra revisori è la soglia oltre la quale un Type I diventa insufficiente. Partner A applica la soglia dei tre mesi, ricavata dalla prassi ispettiva. Partner B la modula sul rischio: tre mesi su un servizio di routine senza modifiche è accettabile, un solo mese su un servizio in fase di reingegnerizzazione no. Entrambe le posizioni reggono se documentate. La pressione strutturale che porta al rilievo è il forfait: chiedere un Type II al cliente costa di più, e la richiesta arriva spesso quando è troppo tardi per ottenerlo entro la chiusura.
Termini correlati
ISA Italia 500, evidenza di revisione: la prova raccolta dal service auditor per un Type I deve essere valida e sufficiente secondo i criteri ISA 500. L'utilizzo di questa prova da parte del revisore dell'utilizzatore finale rientra nella valutazione complessiva dell'evidenza.
Controllo della service organisation: i controlli descritti e valutati in un rapporto Type I o Type II sono i controlli della service organisation. La loro progettazione e operatività sono centrali nella valutazione del rischio d'errore dell'utilizzatore finale.
ISA Italia 402: il quadro generale che disciplina l'uso dei rapporti ISAE 3402 (sia Type I sia Type II) da parte del revisore dell'utilizzatore finale nella valutazione dei rischi.
ISAE 3402: lo standard internazionale che disciplina l'intero processo di emissione di rapporti Type I e Type II.
Type II Report: la variante che copre l'efficacia operativa dei controlli durante un periodo specificato, non solo la progettazione a una data.
Compliance assurance: ambito correlato di incarichi di assurance, distinto dalla verifica dell'efficacia operativa dei controlli.
Controlli IT della service organisation: sottoinsieme dei controlli descritti nei rapporti Type I e Type II, spesso richiesti quando la service organisation gestisce sistemi informativi critici.
Strumento correlato
Il Modello di valutazione dei controlli ISAE 3402 è disponibile per pianificare la raccolta di prova in rapporti Type I e Type II. Lo strumento guida il service auditor nella documentazione di progettazione e implementazione dei controlli secondo ISAE 3402.12.
---