Definition

Le organizzazioni che forniscono servizi di elaborazione dati, elaborazione pagamenti, servizi di hosting o gestione di investimenti sono spesso sottoposte a revisione ISAE 3402 dai loro clienti.

Punti chiave

---

  • Una relazione Type I prova che i controlli esistono come disegnati, ma non dice se funzionano effettivamente nel tempo.
  • Una relazione Type II fornisce prove che i controlli hanno operato efficacemente durante un periodo specifico (minimo sei mesi, preferibilmente dodici).
  • Il revisore dell'utente dei servizi non può completare la propria revisione su talune asserzioni senza una relazione Type II; una relazione Type I è insufficiente.
  • Il costo e il tempo della relazione Type II sono significativamente superiori, ma il valore probatorio è incomparabile.

Il distinguo nella pratica

Le organizzazioni che forniscono servizi di elaborazione dati, elaborazione pagamenti, servizi di hosting o gestione di investimenti sono spesso sottoposte a revisione ISAE 3402 dai loro clienti. Una relazione ISAE 3402 dimostra ai clienti (e ai loro revisori) che i controlli interni della service organization sono appropriati e funzionano.
La differenza fondamentale riguarda il periodo e la dimostrazione dell'efficacia. Una relazione Type I esamina il disegno dei controlli in una data specifica. Il revisore valuta se il controllo esiste, se è coerente con la descrizione della direzione, e se è appropriato per mitigare un rischio identificato. Questo è sufficiente per alcuni usi: se un cliente deve semplicemente verificare che una salvaguardia esista, una relazione Type I risponde alla domanda.
Una relazione Type II, invece, copre un arco temporale minimo di sei mesi e valuta se il controllo ha operato efficacemente durante quel periodo. Il revisore osserva il funzionamento reale, esamina evidenze documentali della sua operazione ricorrente, e testa un campione di transazioni per verificare che il controllo abbia raggiunto i suoi obiettivi ogni volta che è stato necessario attuarlo. ISAE 3402 paragrafo 35 richiede un minimo di sei mesi, anche se dodici mesi è più comune e più difendibile.
La conseguenza pratica: se il revisore di un cliente bancario utilizza una relazione Type I per concludere che i rischi presso una service organization sono accettabili, e poi durante la revisione successiva emerge che il controllo non ha mai operato effettivamente, il revisore del cliente è esposto a un rilievo di insufficienza di evidenze. Se invece il cliente ha una relazione Type II che copre il periodo, il revisore del cliente può citare quella relazione come prova dell'efficacia operativa e la conclusione regge.
---

Tabella comparativa

| Aspetto | Type I | Type II |
|--------|--------|---------|
| Periodo coperto | Data specifica (istantanea) | Minimo sei mesi (solitamente dodici) |
| Cosa il revisore valuta | Esistenza e disegno del controllo | Disegno, operazione effettiva, efficacia nel tempo |
| Evidenze esaminate | Documentazione del controllo, policy, procedura scritta | Documentazione più campionatura di transazioni, test operativi, osservazione |
| Paragrafo ISAE 3402 | Paragrafo 39 (controlli on-demand) | Paragrafo 35 (controlli ricorrenti) |
| Periodo di validità | Molto limitato (3–6 mesi per contesti stabili) | Il rapporto copre il periodo; rimane valido per i mesi successivi se il controllo non è cambiato |
| Costo (ordine di grandezza) | EUR 15.000–30.000 | EUR 40.000–80.000 |
| Tempo di preparazione | 2–3 mesi | 6–12 mesi (deve completare il periodo di prova) |
---

Quando il distinguo importa in un incarico

Consideriamo una banca italiana, Banca Lombardia S.p.A., che fornisce servizi di elaborazione pagamenti a piccoli istituti finanziari. Nel 2025, Banca Lombardia commissionerà una relazione ISAE 3402 ai suoi clienti come parte dell'accordo di servizio. I clienti della banca (e i loro revisori) dovranno valutare il rischio che i pagamenti siano elaborati erroneamente a causa di controlli inadeguati presso Banca Lombardia.
Se Banca Lombardia commissiona una relazione Type I nel gennaio 2025 basata su una valutazione ai 31 dicembre 2024, il rapporto attesta che, a quella data, Banca Lombardia aveva impostato un controllo di riconciliazione automatico tra i pagamenti ricevuti e i pagamenti liquidati. Documenta che la procedura esiste, come è disegnata, e che è idonea a mitigare il rischio di pagamenti ineseguiti. Tuttavia, il rapporto non dice se quel controllo ha funzionato ogni giorno da gennaio a dicembre 2024, quanto spesso si è guastato, o se i guasti sono stati gestiti correttamente.
Se Banca Lombardia commissiona una relazione Type II che copre i dodici mesi da gennaio a dicembre 2024, il revisore ISAE 3402 esamina:
Nota di documentazione: il revisore del cliente documenterà nel fascicolo di revisione il riferimento alla sezione della relazione Type II di Banca Lombardia che attesta l'efficacia del controllo di riconciliazione, e userà quella relazione come evidenza primaria che il rischio di errori nei pagamenti è mitigato.
Conseguenza: il revisore del cliente di Banca Lombardia che riceve una relazione Type II può concludere che il controllo di riconciliazione pagamenti è efficace e non ha bisogno di condurre test alternativi sostanziali sul campione di pagamenti. Se riceve solo una relazione Type I, il revisore del cliente deve condurre test indipendenti per verificare che il controllo ha operato effettivamente durante l'anno, il che richiede sforzo aggiuntivo e campionatura sostanziale.
---

  • La configurazione del controllo (stesso contenuto della Type I)
  • I registri operativi del controllo per tutti i 365 giorni
  • Un campione di 40 riconciliazioni mensili (ad esempio) per verificare che il controllo sia stato completato come disegnato
  • Evidenze di qualsiasi guasto e della sua gestione
  • Parametri di prestazione che dimostrano che il controllo ha ridotto il numero di pagamenti ineseguiti

Cosa i revisori e i clienti fraintendono

---

  • Tier 1: Dato ispettivo: L'AFM (Autorità per i Mercati Finanziari, Paesi Bassi) ha osservato in relazioni di revisione di clienti di grandi istituti di credito che la relazione ISAE 3402 ricevuta era Type I, ma il revisore la utilizzava come se fosse Type II sull'efficacia dei controlli della service organization. La conclusione non era difendibile. Una relazione Type I documenta il disegno ma non l'operazione; non può essere usata per ridurre il lavoro di revisione del cliente nel modo in cui una Type II consente.
  • Tier 2: Errore pratico: i team di revisione confondono frequentemente una relazione Type I per un servizio continuativo (come l'elaborazione pagamenti ricorrente) con una relazione Type II. Un servizio "sempre in funzione" non ha una relazione Type I valida se non è documentato che il controllo opera continuamente. ISAE 3402 paragrafo 35 richiede il periodo di operazione; omettere il test temporale rende la relazione Type I inadeguata. Il team deve commissionare una relazione Type II, non cercare di ridurre il campionamento sulla base di una Type I.
  • Tier 3: Divario di documentazione: Molti rapporti etichettati come "Type I" mancano effettivamente della data specifica di riferimento. La relazione dichiara il disegno ma non afferma chiaramente: "a partire dal 31 dicembre 2024." Senza questa data di riferimento precisa, il revisore del cliente non sa per quanto tempo il rapporto sia valido, e deve condurre comunque lavori di validazione indipendente.
  • Tier 4: Mancata applicazione di ISA 402 paragrafo 18 sui bridge letters. ISA 402.18 richiede al revisore dell'utilizzatore finale di valutare se il periodo coperto dal rapporto Type II è adeguato rispetto al periodo di reporting del cliente, e di ottenere una bridge letter per il periodo scoperto. Scenario concreto: una società italiana di asset management riceve dal service provider IT un rapporto Type II che copre il periodo 1 ottobre 2023 - 30 settembre 2024 ma il bilancio del cliente chiude il 31 dicembre 2024; il revisore accetta il rapporto senza richiedere una bridge letter per i tre mesi ottobre-dicembre 2024. Un'ispezione Consob rileva che il gap temporale di tre mesi deve essere colmato con una dichiarazione scritta del management della service organisation (bridge letter) che attesta l'assenza di cambiamenti ai controlli, oppure con procedure sostanziali eseguite direttamente dal revisore sul periodo scoperto. Il fascicolo deve essere integrato prima di firmare la relazione di revisione.

Relazione Type I vs Type II: confronto diretto

Quando commissioni una Type I:
Quando commissioni una Type II:
---

  • Il tuo cliente è una nuova service organization e vuole stabilire che i controlli che sta per implementare sono disegnati correttamente prima di avviare l'operazione.
  • Il servizio è on-demand (non ricorrente): la service organization elabora solo ordini occasionali e non c'è un flusso continuativo di operazioni da testare nel tempo.
  • Il costo è ristretto e il cliente accetta il rischio minore di prova che una relazione Type I fornisce.
  • La service organization fornisce un servizio critico e continuativo (elaborazione pagamenti, gestione cassa, hosting di dati). I tuoi revisori devono concludere che il controllo ha operato efficacemente per tutto l'anno.
  • La tua base di clienti richiede una relazione Type II come parte dell'accordo di servizio. Senza di essa, i tuoi clienti non possono ridurre il lavoro di revisione su quel rischio.
  • Il servizio è stato in funzione per un periodo sufficiente (dodici mesi) e puoi commissionare la relazione retroattivamente per coprire il periodo già trascorso.

Termini correlati

---

  • ISAE 3402: Il principio internazionale che disciplina la relazione sulla descrizione e l'efficacia dei controlli presso una service organization.
  • Service organization: Un'entità che fornisce servizi a clienti la cui relazione è strutturale per l'operazione del cliente (banca che elabora pagamenti per istituti finanziari minori, società di hosting che gestisce infrastrutture IT).
  • User auditor: Il revisore della banca o dell'istituto cliente che riceve il servizio e che utilizza la relazione ISAE 3402 della service organization sui rischi inerenti al servizio stesso.
  • Disegno del controllo: L'elemento valutato in una relazione Type I: il controllo esiste ed è progettato per mitigare un rischio identificato.
  • Efficacia operativa: L'elemento valutato in una relazione Type II: il controllo ha operato effettivamente durante il periodo coperto, raggiungendo i suoi obiettivi.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.