Come funziona
L'ISAE 3402 consente due formati di relazione su controlli interni: Type I e Type II. La distinzione non è terminologica; è una questione di ambito di test.
Un Type I Report attesta la progettazione e l'implementazione dei controlli a una data specifica. Il revisore esamina se i controlli sono stati messi in atto dalla direzione; non esamina se hanno funzionato effettivamente nel tempo. È la relazione più rapida da completare e per questo è quella che viene proposta più frequentemente dai service auditor quando il cliente ha scadenze strette.
Un Type II Report attesta sia la progettazione sia l'operatività efficace dei controlli durante un periodo specificato (il "periodo di osservazione"). Il revisore seleziona un campione di transazioni lungo il periodo, documenta come ciascun controllo si è comportato su quei campioni e conclude se i controlli hanno funzionato come previsto. L'ISAE 3402.51 richiede un periodo di osservazione di almeno sei mesi; dodici mesi è la pratica comune negli ambienti regolati.
La differenza pratica è significativa. Un Type I Report potrebbe attestare che un controllo è "in atto"; un Type II Report attesta che il controllo ha ridotto effettivamente i rischi associati durante il periodo. Se il vostro cliente di revisione esterna usa una relazione ISAE 3402 per ridurre il lavoro di audit, la relazione deve essere Type II, altrimenti i test dei controlli sono insufficienti e il revisore non può ridurre il lavoro di compliance.
L'ISAE 3402.A35 specifica che il tipo di relazione scelto dipende dall'uso previsto: se l'utilizzatore ha bisogno di evidenza del funzionamento nel tempo, è Type II. Se ha bisogno solo della conferma che i controlli sono stati progettati, Type I è adeguato. In pratica, la maggior parte delle banche, dei provider di servizi cloud e dei gestori di fondi richiedono Type II perché hanno bisogno di evidenza di riduzione continua dei rischi, non solo di progettazione puntuale.
Esempio pratico: Fintec Gestioni S.p.A.
Cliente: società di gestione di portafogli italiani, FY2024, IFRS reporter, circa EUR 380M di assets under management.
Fintec aveva sottoscritto un contratto di servizio cloud per la gestione dei dati di mercato con un provider estero. Il revisore esterno di Fintec aveva pianificato di ridurre il lavoro sui controlli operativi relativi all'integrità dei dati di mercato, a condizione di ottenere una relazione ISAE 3402 dal provider.
Il provider fornì una relazione Type I (una pagina, datata 30 giugno 2023). La relazione attestava che i controlli di validazione dei dati erano stati "messi in atto" al 30 giugno 2023. Nessun test nel tempo. Il revisore di Fintec non poteva usarla per ridurre il lavoro di compliance; non forniva evidenza che i controlli avessero funzionato continuativamente durante i dodici mesi. Il revisore dovette controllare manualmente i dati di mercato su un campione completo.
Nota di documentazione: il revisore avrebbe dovuto richiedere una relazione Type II coprente almeno il periodo da luglio 2022 a giugno 2023, con test documentati su un campione di transazioni per ogni controllo.
Fintec quindi negoziò una nuova relazione Type II per il periodo di dodici mesi terminato il 31 dicembre 2024. Il provider identificò 8 controlli operativi chiave sulla validazione dei dati. Per ciascun controllo, il service auditor testò un campione di 30 giornate di operazioni (360 punti dati su 365 giorni disponibili). Documentò come il controllo aveva funzionato in ogni giornata di campione, incluse date di funzionamento anomalo e se il controllo avesse fallito o corretto se stesso.
Nota di documentazione: il report Type II includeva una tabella di funzionamento per controllo, mese per mese, mostrando il numero di transazioni testate e il numero di fallimenti e correzioni, con conclusioni di efficacia operativa (il controllo ha funzionato come previsto in X dei Y campioni, fallimenti risolti in [giorni], nessun difetto non risolto alla data della relazione).
Conclusione: il revisore di Fintec ha potuto usare la relazione Type II per ridurre il lavoro sui controlli dei dati di mercato, documentando che il provider aveva mantenuto il controllo effettivo lungo il periodo. Se la relazione fosse rimasta Type I, il revisore avrebbe dovuto testare l'integrità dei dati manualmente per tutti i dodici mesi.
Cosa il revisore e il service auditor sbagliano
Tier 1: Rilievo ispettivo nominato
La FRC ha riscontrato in diverse ispezioni su provider di servizi cloud che le relazioni ISAE 3402 erano etichettate come "Type II" nel titolo, ma il corpo della relazione attestava solo la conformità del disegno al 31 dicembre, senza test nel periodo. L'etichetta "Type II" era formale; il contenuto era Type I. Questa discrepanza era stata riscontrata come una "carenza significativa" poiché i revisori esterni affidandosi alla relazione avevano ridotto i test di compliance sulla base di una falsa attestazione di operatività nel tempo.
Tier 2: Errore pratico e riferimento al principio
Il service auditor spesso propone Type I per impreparazione nel pianificare i test nel tempo o per pressioni commerciali (il cliente non vuole pagare per un periodo di osservazione di dodici mesi). Il revisore che riceve la relazione non verifica il periodo di osservazione; controlla solo il logo del provider e lo dà per buono. L'ISAE 3402.49 richiede esplicitamente che il service auditor esprima un'opinione sulla progettazione e l'operatività; se il report attesta solo la progettazione, l'opinione è incompleta. Una Type II richiede un periodo di osservazione di almeno sei mesi; se il report dice "Type II" ma il periodo è di tre mesi, è difettoso.
Tier 3: Gap di documentazione pratico
La maggior parte dei revisori non documentano, nella loro valutazione della riduzione del rischio di controllo, quale tipo di relazione ISAE 3402 è stata ricevuta o quale sia il periodo di osservazione. La carta di lavoro potrebbe dire "relazione ISAE 3402 ottenuta, controlli valutati come efficaci" senza mai indicare se l'efficacia è stata attestata per un giorno (Type I) o per dodici mesi (Type II). Questa omissione significa che un'ispezione non può distinguere tra una riduzione di rischio adeguatamente supportata e una riduzione poggiante su una relazione Type I non idonea.
Type II Report vs Type I Report
| Dimensione | Type I Report | Type II Report |
|---|---|---|
| Oggetto dell'opinione | Disegno dei controlli e loro implementazione a una data specifica | Disegno, implementazione e operatività efficace lungo un periodo |
| Periodo di osservazione | Nessuno; unica data di test | Minimo sei mesi; di solito dodici mesi |
| Test richiesti | Inquiries, osservazione, ispezione documentale del disegno | Test di funzionamento su un campione di transazioni nel periodo |
| Sforzo di audit | Minimo; relazione completabile in 2-4 settimane | Significativo; la relazione richiede un monitoraggio continuativo |
| Uso appropriato | Attestazione che i controlli esistono e sono stati messi in atto; insufficiente per ridurre i test di compliance nel tempo | Attestazione di riduzione effettiva del rischio nel tempo; supporta una riduzione sostanziale dei test di compliance del revisore esterno |
| Lunghezza della relazione | 5-8 pagine | 15-30 pagine (inclusa documentazione di funzionamento per controllo) |
| ISAE 3402 riferimento | Paragrafo 47-48 | Paragrafi 49-62 |
Quando la distinzione conta nell'incarico
Un revisore di una banca italiana ha pianificato di verificare le transazioni di pagamento internazionale utilizzando una relazione ISAE 3402 del suo partner di compensazione estero. Il partner fornì una Type I al 31 dicembre 2023. Il revisore la accettò e ridusse il campione di test dei pagamenti per il periodo da gennaio a dicembre 2024 sulla base della "relazione dei controlli ottenuta".
Durante l'ispezione, il revisore della CONSOB domandò: "Potete mostrarmi la documentazione che il vostro partner di compensazione ha effettivamente testato questo controllo nel corso del 2024?" Il revisore produsse il Type I, datato 31 dicembre 2023. Il controllore della CONSOB rispose: "Questa relazione attesta il disegno al 31 dicembre 2023. Non attesta il funzionamento durante il 2024. Avete basato la vostra riduzione di test su una relazione che copre un anno diverso da quello in cui avete condotto la revisione."
Il revisore dovette ricominciare il lavoro sui pagamenti per tutto il 2024. Se il partner avesse fornito una Type II coprente il periodo da gennaio a dicembre 2024, il revisore avrebbe avuto una base difendibile per la riduzione.
Esempio pratico: Logistica Adriatica S.r.l. con Type II completo
Cliente: fornitore di servizi logistici italiani, FY2024, bilancio consolidato IFRS, filiali in Croazia e Romania.
Logistica Adriatica aveva esternalizzato il magazzinaggio e la gestione delle scorte a un provider di terzi che gestiva tre centri logistici. Il revisore esterno aveva pianificato di testare l'accuratezza delle riconosciute di merce in transito basandosi su una relazione ISAE 3402 del provider.
Il provider fornì una Type II coprente il periodo da 1 gennaio 2024 a 31 dicembre 2024 (dodici mesi). La relazione includeva otto controlli operativi identificati congiuntamente:
Controllo 1: Ricezione di merce rispetto al documento di trasporto. Test: il service auditor selezionò un campione casuale di 40 ricevute ogni mese (480 annuali su circa 6.000). Verificò che il numero di colli ricevuti corrispondesse al DDT. Conclusione: il controllo funzionò correttamente in 478 delle 480 prove; i due fallimenti (colli errati identificati) furono corretti lo stesso giorno.
Nota di documentazione: questa prova andrebbe nel working paper "WP 3402: Controlli del Provider" con una colonna per la data del test, il numero di riferimento della ricevuta, il risultato della verifica (OK/Fallimento), la data di correzione se applicabile.
Controllo 2: Verifica dell'accuratezza dei dati di inventario nel sistema informatico. Test: il service auditor selezionò dieci date di inventario distribuito nei dodici mesi (una ogni quattro settimane approssimativamente). Per ciascuna data, contò fisicamente un campione di SKU e confrontò i conteggi fisici con i saldi di sistema. Conclusione: i saldi erano accurati in tutte le dieci prove; nessun scostamento rilevante.
Nota di documentazione: per ogni data, includere il conteggio fisico, il saldo di sistema, il numero di SKU campionati, il risultato di riconciliazione, la firma del verificatore e del responsabile del magazzino.
Conclusione: il revisore di Logistica Adriatica ha potuto usare la relazione Type II per attestare che i controlli operativi del provider funzionavano effettivamente lungo il periodo dell'esercizio, riducendo il lavoro di verifica diretto su scorte e ricevute. Ha documentato nella carta di lavoro di continuità il riferimento alla relazione Type II (fornitore, periodo coperto, otto controlli testati, conclusione di efficacia operativa). Una Type I non avrebbe supportato questa riduzione.
Strumenti ciferi correlati
Se state gestendo una relazione ISAE 3402 internamente (come provider di servizi), il nostro Kit di valutazione dei controlli ISAE 3402 offre una lista di controllo strutturata per identificare quale tipo di relazione è appropriato al vostro caso d'uso, modelli di documentazione di operatività per Type II, e una guida alla redazione della conclusione finale della relazione.
Termini correlati
Type I Report: attestazione che i controlli interni sono stati disegnati e implementati, senza test di funzionamento nel tempo.
ISAE 3402: principio di attestazione internazionale che disciplina le relazioni su controlli di service provider.
Controlli nei servizi di terzi: come il revisore esterno valuta i rischi quando un cliente ha esternalizzato funzioni significative.
Riduzione del lavoro di compliance: come il revisore documenta la base per testare meno transazioni quando dispone di evidenza dell'efficacia dei controlli.
Campionamento nelle relazioni ISAE 3402: come il service auditor determina la dimensione e la frequenza del campione per attestare l'operatività nel tempo.
Periodo di osservazione ISAE 3402: come definire l'ambito temporale di una relazione Type II.
---