Definition
Molti team di revisione accettano una relazione Type I ricevuta dal cliente della service organization come se fosse una Type II, e riducono il lavoro sostanziale sulla base di una documentazione che non copre il periodo. È il difetto che la CONSOB ha segnalato più di una volta nei propri controlli di qualità su enti di interesse pubblico (EIP) del comparto bancario. La distinzione tra le due relazioni non è accademica: determina cosa il fascicolo di revisione può usare come evidenza e cosa deve ricostruire con test indipendenti. Una Type I documenta il disegno dei controlli in un momento dato. Una Type II ne documenta il funzionamento nel tempo. ISAE 3402 paragrafi 31, 35 e 39 disciplinano entrambe.
Punti chiave
- Una relazione Type I prova che i controlli esistono come disegnati, ma non dice se abbiano funzionato nel tempo. - Una relazione Type II fornisce prove che i controlli hanno operato efficacemente durante un periodo definito (minimo sei mesi, di norma dodici). - Il revisore dell'utente dei servizi non può completare la propria revisione su talune asserzioni senza una relazione Type II; la Type I è insufficiente. - Il costo e il tempo di una Type II sono di un ordine di grandezza superiore, ma il valore probatorio è incomparabile. ---
Il distinguo nella pratica
Le organizzazioni che forniscono servizi di elaborazione dati, elaborazione pagamenti, hosting o gestione di investimenti sono spesso sottoposte a revisione ISAE 3402 dai loro clienti. Una relazione ISAE 3402 dimostra al cliente (e al suo revisore) che i controlli interni della service organization sono appropriati e operano. La differenza sostanziale riguarda il periodo e la dimostrazione dell'efficacia. Una Type I esamina il disegno dei controlli in una data specifica. Il revisore valuta se il controllo esista, se sia coerente con la descrizione della direzione e se sia idoneo a mitigare un rischio identificato. Qualora il cliente debba solo verificare che una salvaguardia esista, la Type I risponde alla domanda. Una Type II copre invece un arco temporale minimo di sei mesi e valuta se il controllo abbia operato efficacemente durante quel periodo. Il revisore osserva il funzionamento reale, esamina evidenze documentali della sua operazione ricorrente e testa un campione di transazioni per verificare che il controllo abbia raggiunto i suoi obiettivi ogni volta che sia stato necessario attuarlo. ISAE 3402 paragrafo 35 richiede un minimo di sei mesi, benché dodici mesi restino più comuni e più difendibili. La conseguenza pratica. Se il revisore di un cliente bancario utilizza una Type I come base che i rischi della service organization siano accettabili, e poi emerge che il controllo non ha mai operato, si espone a un rilievo di insufficienza di evidenze. Se invece dispone di una Type II che copre il periodo, può citare la relazione nelle proprie carte di lavoro come prova dell'efficacia operativa e la conclusione regge. Due professionisti, due letture. Il Partner A sostiene che la Type I rimanga utilizzabile anche su servizi continuativi quando il cliente abbia una storia pluriennale di controlli stabili, perché il fascicolo può integrare la Type I con test propri sul periodo rilevante e risparmiare fee al cliente. Il Partner B risponde che proprio quel ragionamento crea l'esposizione: nei casi in cui si debba comunque tickare ogni transazione campionata per ricostruire l'efficacia operativa, tanto vale pretendere una Type II dalla service organization e usare le ore risparmiate su altre asserzioni. Entrambi hanno esperienza; la linea divisoria passa dal volume e dalla criticità del flusso. Perché il pattern ricorre. L'incentivo strutturale è duplice. La service organization preferisce la Type I perché costa meno (EUR 15.000–30.000 contro EUR 40.000–80.000) e richiede meno coordinamento interno. Il revisore dell'utente preferisce non irrigidire la richiesta perché i compensi irrisori pattuiti con il cliente bancario non lascerebbero margine per contestare la qualità del report ricevuto. Quando in sala firma ci si accorge che le carte sono leggere sull'operating effectiveness, ormai l'approccio sostanziale è già stato dimensionato su un'ipotesi che il fascicolo di revisione non può confermare. ---
Tabella comparativa
| Aspetto | Type I | Type II |
|---|---|---|
| Periodo coperto | Data specifica (istantanea) | Minimo sei mesi (solitamente dodici) |
| Cosa il revisore valuta | Esistenza e disegno del controllo | Disegno, operazione effettiva, efficacia nel tempo |
| Evidenze esaminate | Documentazione del controllo, policy, procedura scritta | Documentazione più campionatura di transazioni, test operativi, osservazione |
| Paragrafo ISAE 3402 | Paragrafo 39 (controlli on-demand) | Paragrafo 35 (controlli ricorrenti) |
| Periodo di validità | Molto limitato (3–6 mesi per contesti stabili) | Il rapporto copre il periodo; rimane valido per i mesi successivi se il controllo non è cambiato |
| Costo (ordine di grandezza) | EUR 15.000–30.000 | EUR 40.000–80.000 |
| Tempo di preparazione | 2–3 mesi | 6–12 mesi (deve completare il periodo di prova) |
---
Quando il distinguo importa in un incarico
Consideriamo una banca italiana, Banca Lombardia S.p.A., che fornisce servizi di elaborazione pagamenti a piccoli istituti finanziari. Nel 2025, Banca Lombardia commissionerà una relazione ISAE 3402 ai suoi clienti come parte dell'accordo di servizio. I clienti della banca (e i loro revisori) dovranno valutare il rischio che i pagamenti siano elaborati erroneamente a causa di controlli inadeguati presso Banca Lombardia. Se Banca Lombardia commissiona una relazione Type I nel gennaio 2025 basata su una valutazione ai 31 dicembre 2024, il rapporto attesta che, a quella data, la banca aveva impostato un controllo di riconciliazione automatico tra i pagamenti ricevuti e i pagamenti liquidati. Documenta che la procedura esista, come sia disegnata e che sia idonea a mitigare il rischio di pagamenti ineseguiti. Ciò che il rapporto non dice è se quel controllo abbia funzionato ogni giorno da gennaio a dicembre 2024 e se gli eventuali guasti siano stati gestiti nel rispetto delle policy interne. Se Banca Lombardia commissiona una relazione Type II che copre i dodici mesi da gennaio a dicembre 2024, il revisore ISAE 3402 esamina: - La configurazione del controllo (stesso contenuto della Type I) - I registri operativi del controllo per tutti i 365 giorni - Un campione di 40 riconciliazioni mensili (ad esempio) per verificare che il controllo sia stato completato come disegnato - Evidenze di qualsiasi guasto e della sua gestione - Parametri di prestazione che dimostrano che il controllo ha ridotto il numero di pagamenti ineseguiti Nota di documentazione: il revisore del cliente documenterà nel fascicolo di revisione il riferimento alla sezione della relazione Type II di Banca Lombardia che attesta l'efficacia del controllo di riconciliazione, e userà quella relazione come evidenza primaria che il rischio di errori nei pagamenti è mitigato. Conseguenza: il revisore del cliente di Banca Lombardia che riceve una relazione Type II può concludere che il controllo di riconciliazione pagamenti è efficace e non ha bisogno di condurre test alternativi sostanziali sul campione di pagamenti. Se riceve solo una relazione Type I, il revisore del cliente deve condurre test indipendenti per verificare che il controllo ha operato effettivamente durante l'anno, il che richiede sforzo aggiuntivo e campionatura sostanziale. ---
Cosa i revisori e i clienti fraintendono
- Tier 1: dato ispettivo. I controlli CONSOB sulla qualità della revisione di clienti di grandi istituti di credito hanno rilevato casi in cui la relazione ISAE 3402 ricevuta era una Type I, ma il revisore la utilizzava nel fascicolo come se fosse una Type II sull'efficacia dei controlli della service organization. La conclusione non era difendibile ai sensi dell'ISA Italia 402 né del D.Lgs. 39/2010 sulla qualità della revisione legale. Una Type I documenta il disegno ma non l'operazione; non può essere usata per ridurre il lavoro di revisione nel modo in cui una Type II consente. - Tier 2: errore pratico. I team di revisione confondono frequentemente una Type I per un servizio continuativo (elaborazione pagamenti ricorrente, gestione cassa) con una Type II. Un servizio "sempre in funzione" non ha una Type I valida se non si documenta che il controllo operi in continuo. ISAE 3402 paragrafo 35 richiede il periodo di operazione; omettere il test temporale rende la Type I inadeguata. Nei casi in cui il team affronti un servizio ricorrente, si commissioni una Type II, senza cercare di ridurre il campionamento sulla base di una Type I. - Tier 3: divario di documentazione. Molti rapporti etichettati come "Type I" mancano effettivamente della data specifica di riferimento. La relazione dichiara il disegno ma non afferma chiaramente "a partire dal 31 dicembre 2024". Senza quella data di riferimento precisa, il revisore dell'utente non sa per quanto tempo il rapporto resti valido, e deve condurre comunque lavoro di validazione indipendente sulle proprie carte di lavoro. ---
Relazione Type I vs Type II: confronto diretto
Quando commissionare una Type I. - La service organization è nuova e la direzione vuole stabilire che i controlli, prima di avviare l'operazione, siano disegnati correttamente. - Il servizio è on-demand: la service organization elabora solo ordini occasionali e non esiste un flusso continuativo di operazioni da testare nel tempo. Quando commissionare una Type II. - La service organization fornisce un servizio critico e continuativo (elaborazione pagamenti, gestione cassa, hosting di dati). Il revisore dell'utente deve poter concludere che il controllo abbia operato efficacemente per tutto il periodo. - La base clienti dell'organizzazione include banche ed EIP, per i quali una Type II è prerequisito dell'accordo di servizio. Senza, i revisori dell'utente non possono ridurre il lavoro sostanziale su quel rischio. - Il servizio è in funzione da almeno dodici mesi e la relazione può essere commissionata retroattivamente per coprire il periodo già trascorso. - Qualora la direzione voglia argomentare che una Type I integrata con test propri basti, si consideri che il reviewer interno o l'ispettore CONSOB leggerà prima la Type II mancante, poi le carte del revisore dell'utente. ---
Termini correlati
- ISAE 3402: Il principio internazionale che disciplina la relazione sulla descrizione e l'efficacia dei controlli presso una service organization. - Service organization: Un'entità che fornisce servizi a clienti la cui relazione è strutturale per l'operazione del cliente (banca che elabora pagamenti per istituti finanziari minori, società di hosting che gestisce infrastrutture IT). - User auditor: Il revisore della banca o dell'istituto cliente che riceve il servizio e che utilizza la relazione ISAE 3402 della service organization sui rischi inerenti al servizio stesso. - Controllo of design: L'elemento valutato in una relazione Type I: il controllo esiste ed è progettato per mitigare un rischio identificato. - Operating effectiveness: L'elemento valutato in una relazione Type II: il controllo ha operato effettivamente durante il periodo coperto, raggiungendo i suoi obiettivi. ---