Definition
Il provider consegna una relazione ISAE 3402 con la dicitura "Type II" sulla copertina e il revisore esterno la accetta. Il fascicolo registra "controlli valutati come efficaci" e il lavoro di compliance si riduce sui dati di mercato, sui pagamenti, sulle scorte. Sei mesi più tardi un controllore CONSOB chiede di vedere la documentazione del funzionamento mese per mese, e nel rapporto compaiono solo test al 31 dicembre. Type II in copertina, Type I nel contenuto. Il rilievo è che la riduzione di test non aveva una base.
Come funziona
L'ISAE 3402 ammette due formati di relazione sui controlli interni: Type I e Type II. La distinzione non è terminologica; è una questione di ambito di test.
Un Type I attesta progettazione e implementazione dei controlli a una data specifica. Il revisore verifica se i controlli siano stati messi in atto dalla direzione; non verifica se abbiano funzionato nel tempo. È la relazione più rapida da completare, e per questo è quella che i service auditor propongono più spesso quando il cliente ha scadenze strette.
Un Type II attesta sia progettazione sia operatività efficace dei controlli durante un periodo specificato (il "periodo di osservazione"). Il service auditor seleziona un campione di transazioni lungo il periodo, documenta come ciascun controllo si sia comportato e conclude se i controlli abbiano funzionato come previsto. L'ISAE 3402.51 chiede un periodo di osservazione di almeno sei mesi; dodici mesi è la pratica comune in ambienti regolati.
Cosa succede davvero. La differenza è significativa. Un Type I attesta che un controllo è "in atto"; un Type II attesta che il controllo abbia ridotto effettivamente i rischi durante il periodo. Se il cliente di revisione esterna usa una relazione ISAE 3402 per ridurre il lavoro di audit, la relazione deve essere Type II, altrimenti i test dei controlli sono insufficienti e la riduzione non regge. L'ISAE 3402.A35 specifica che il tipo di relazione dipende dall'uso previsto: se l'utilizzatore ha bisogno di evidenza del funzionamento nel tempo, Type II; se ha bisogno solo della conferma di progettazione, Type I. In pratica banche, provider cloud e gestori di fondi richiedono Type II, perché serve evidenza di riduzione continuativa del rischio, non solo di progettazione puntuale.
Esempio pratico: Fintec Gestioni S.p.A.
Cliente: società italiana di gestione di portafogli, FY2024, reporter IFRS, circa EUR 380M di assets under management.
Fintec aveva sottoscritto un contratto di servizio cloud per la gestione dei dati di mercato con un provider estero. Il revisore esterno aveva pianificato di ridurre il lavoro sui controlli operativi relativi all'integrità dei dati di mercato a condizione di ottenere una relazione ISAE 3402 dal provider.
Il provider fornì una relazione Type I di una pagina, datata 30 giugno 2023. La relazione attestava che i controlli di validazione dei dati erano stati "messi in atto" al 30 giugno 2023. Nessun test nel tempo. Le carte erano leggere. Il revisore di Fintec non poteva usarla per ridurre il lavoro di compliance, perché non forniva evidenza di funzionamento continuativo nei dodici mesi. Si dovettero verificare manualmente i dati di mercato su un campione completo.
Nota di documentazione: il revisore avrebbe dovuto richiedere una relazione Type II coprente almeno il periodo da luglio 2022 a giugno 2023, con test documentati su un campione di transazioni per ogni controllo.
Fintec negoziò una nuova relazione Type II per il periodo di dodici mesi terminato il 31 dicembre 2024. Il provider identificò 8 controlli operativi chiave sulla validazione dei dati. Per ciascun controllo il service auditor testò un campione di 30 giornate di operazioni (360 punti dati su 365 giorni disponibili). Documentò come il controllo avesse funzionato in ogni giornata di campione, incluse date di funzionamento anomalo e se il controllo avesse fallito o si fosse corretto autonomamente.
Nota di documentazione: il rapporto Type II includeva una tabella di funzionamento per controllo, mese per mese, con il numero di transazioni testate, fallimenti e correzioni, conclusioni di efficacia operativa (il controllo ha funzionato come previsto in X dei Y campioni, fallimenti risolti in [giorni], nessun difetto non risolto alla data della relazione).
Complicazione del caso. A settembre 2024 il provider migrò due dei controlli IT su un nuovo data center. Il service auditor aveva già completato i test di funzionamento sui controlli pre-migrazione, ma il periodo di osservazione si estendeva oltre la migrazione. La direzione di Fintec sostenne che i controlli erano "equivalenti" e che bastava un'attestazione integrativa. Il revisore esterno non concordò: per la finestra post-migrazione serviva campionamento autonomo, perché un controllo equivalente in progettazione non garantisce equivalenza in operatività. Si chiese al service auditor un'estensione del Type II che testasse 60 giornate post-migrazione. Il rapporto integrativo arrivò a febbraio 2025 e confermò che i controlli avevano operato correttamente. Il caso mostra perché un Type II non si "valida" alla data della relazione: il revisore esterno deve verificare che il periodo coperto sia continuo e che eventi materiali nel periodo siano stati testati.
Conclusione. Il revisore di Fintec ha potuto usare la relazione Type II per ridurre il lavoro sui controlli dei dati di mercato, documentando che il provider aveva mantenuto il controllo effettivo lungo il periodo. Se la relazione fosse rimasta Type I, si sarebbe dovuto testare l'integrità dei dati manualmente per dodici mesi.
Cosa il revisore e il service auditor sbagliano
Livello 1, rilievo ispettivo nominato.
La CONSOB ha riscontrato in più ispezioni su provider di servizi cloud relazioni ISAE 3402 etichettate come "Type II" nel titolo, ma il cui corpo attestava solo la conformità del disegno al 31 dicembre, senza test nel periodo. L'etichetta era formale; il contenuto era Type I. Questa discrepanza è stata classificata come "carenza significativa," perché i revisori esterni che si erano affidati alla relazione avevano ridotto i test di compliance sulla base di una falsa attestazione di operatività nel tempo. Il rilievo finisce nel Bollettino CONSOB con regolarità.
Livello 2, errore pratico standard-correlato.
Il service auditor propone Type I per impreparazione nel pianificare i test nel tempo, oppure perché il cliente non vuole pagare un periodo di osservazione di dodici mesi. Il revisore che riceve la relazione non verifica il periodo di osservazione; controlla il logo del provider e considera il punto chiuso. L'ISAE 3402.49 chiede esplicitamente che il service auditor esprima un'opinione su progettazione e operatività; se il rapporto attesta solo la progettazione, l'opinione è incompleta. Una Type II richiede un periodo di osservazione di almeno sei mesi; se il rapporto dichiara "Type II" ma il periodo è di tre mesi, è difettoso.
Livello 3, gap di documentazione pratico.
La maggior parte dei revisori non documenta nella valutazione della riduzione del rischio di controllo quale tipo di relazione ISAE 3402 sia stata ricevuta o quale sia il periodo di osservazione. La carta di lavoro recita "relazione ISAE 3402 ottenuta, controlli valutati come efficaci," senza indicare se l'efficacia sia stata attestata per un giorno (Type I) o per dodici mesi (Type II). L'omissione rende impossibile a un'ispezione distinguere tra una riduzione di rischio adeguatamente supportata e una riduzione poggiata su un Type I non idoneo.
Type II Report vs Type I Report
| Dimensione | Type I Report | Type II Report |
|---|---|---|
| Oggetto dell'opinione | Disegno dei controlli e loro implementazione a una data specifica | Disegno, implementazione e operatività efficace lungo un periodo |
| Periodo di osservazione | Nessuno; unica data di test | Minimo sei mesi; di solito dodici mesi |
| Test richiesti | Inquiries, osservazione, ispezione documentale del disegno | Test di funzionamento su un campione di transazioni nel periodo |
| Sforzo di audit | Minimo; relazione completabile in 2-4 settimane | Significativo; la relazione richiede monitoraggio continuativo |
| Uso appropriato | Attestazione che i controlli esistono e sono stati messi in atto; insufficiente per ridurre i test di compliance nel tempo | Attestazione di riduzione effettiva del rischio nel tempo; supporta una riduzione sostanziale dei test di compliance del revisore esterno |
| Lunghezza della relazione | 5-8 pagine | 15-30 pagine (inclusa documentazione di funzionamento per controllo) |
| ISAE 3402 riferimento | Paragrafi 47-48 | Paragrafi 49-62 |
Quando la distinzione conta nell'incarico
Un revisore di una banca italiana ha pianificato di verificare le transazioni di pagamento internazionale utilizzando una relazione ISAE 3402 del partner di compensazione estero. Il partner fornì un Type I al 31 dicembre 2023. Il revisore lo accettò e ridusse il campione dei test sui pagamenti per il periodo gennaio - dicembre 2024 sulla base della "relazione dei controlli ottenuta."
Durante l'ispezione, il controllore CONSOB chiese: "Potete mostrarmi la documentazione che il vostro partner di compensazione abbia effettivamente testato questo controllo nel corso del 2024?" Il revisore produsse il Type I, datato 31 dicembre 2023. Il controllore rispose: "Questa relazione attesta il disegno al 31 dicembre 2023. Non attesta il funzionamento durante il 2024. Avete basato la riduzione di test su una relazione che copre un anno diverso da quello in cui avete condotto la revisione."
Il revisore dovette ricominciare il lavoro sui pagamenti per tutto il 2024. Se il partner avesse fornito un Type II coprente il periodo gennaio - dicembre 2024, ci sarebbe stata una base difendibile per la riduzione.
Dove vive il giudizio. Il punto di disaccordo legittimo tra revisori riguarda la sovrapposizione tra periodo di osservazione del Type II e periodo di rendicontazione dell'utilizzatore finale. Partner A pretende sovrapposizione integrale: se il bilancio chiude il 31 dicembre, il Type II deve coprire da gennaio a dicembre dello stesso anno. Partner B accetta una sovrapposizione parziale di almeno otto mesi se il restante periodo è coperto da procedure sostantive del revisore esterno. Entrambe le posizioni reggono se documentate. La pressione strutturale è il calendario di chiusura del provider, che spesso non coincide con quello dell'utilizzatore finale: i provider cloud chiudono al 30 giugno, le banche italiane al 31 dicembre. Si finisce per accettare relazioni con sovrapposizione di sei mesi, e questa è la zona in cui nascono i rilievi.
Esempio pratico: Logistica Adriatica S.r.l. con Type II completo
Cliente: fornitore di servizi logistici italiani, FY2024, bilancio consolidato IFRS, filiali in Croazia e Romania.
Logistica Adriatica aveva esternalizzato magazzinaggio e gestione delle scorte a un provider terzo che gestiva tre centri logistici. Il revisore esterno aveva pianificato di verificare l'accuratezza delle ricevute di merce in transito basandosi su una relazione ISAE 3402 del provider.
Il provider fornì un Type II coprente il periodo dal 1° gennaio 2024 al 31 dicembre 2024 (dodici mesi). La relazione includeva otto controlli operativi identificati congiuntamente.
Controllo 1, ricezione di merce rispetto al documento di trasporto. Test: il service auditor selezionò un campione casuale di 40 ricevute al mese (480 annue su circa 6.000). Verificò che il numero di colli ricevuti corrispondesse al DDT. Conclusione: il controllo funzionò correttamente in 478 delle 480 prove; i due fallimenti (colli errati identificati) furono corretti in giornata.
Nota di documentazione: questa prova andrebbe nel working paper "WP 3402, controlli del provider" con colonne per data del test, numero di riferimento della ricevuta, risultato della verifica (OK / fallimento), data di correzione se applicabile.
Controllo 2, verifica dell'accuratezza dei dati di inventario nel sistema informatico. Test: il service auditor selezionò dieci date di inventario distribuite nei dodici mesi (una ogni quattro settimane circa). Per ciascuna data contò fisicamente un campione di SKU e confrontò i conteggi fisici con i saldi di sistema. Conclusione: i saldi erano accurati in tutte le dieci prove; nessuno scostamento rilevante.
Nota di documentazione: per ogni data, includere conteggio fisico, saldo di sistema, numero di SKU campionati, risultato di riconciliazione, firma del verificatore e del responsabile di magazzino.
Conclusione. Il revisore di Logistica Adriatica ha potuto usare la relazione Type II per attestare che i controlli operativi del provider funzionavano effettivamente lungo il periodo dell'esercizio, riducendo il lavoro di verifica diretto su scorte e ricevute. Ha documentato nella carta di lavoro di continuità il riferimento alla relazione Type II (fornitore, periodo coperto, otto controlli testati, conclusione di efficacia operativa). Un Type I non avrebbe sostenuto questa riduzione.
Strumenti ciferi correlati
Per chi gestisce una relazione ISAE 3402 internamente come provider di servizi, il Kit di valutazione dei controlli ISAE 3402 offre una lista di controllo strutturata per identificare quale tipo di relazione sia appropriato al caso d'uso, modelli di documentazione di operatività per Type II e una guida alla redazione della conclusione finale della relazione.
Termini correlati
Type I Report: attestazione che i controlli interni siano stati progettati e implementati, senza test di funzionamento nel tempo.
ISAE 3402: principio di assurance internazionale che disciplina le relazioni sui controlli di service provider.
Controlli nei servizi di terzi: come il revisore esterno valuta i rischi quando un cliente ha esternalizzato funzioni significative.
Riduzione del lavoro di compliance: come il revisore documenta la base per testare meno transazioni quando dispone di evidenza dell'efficacia dei controlli.
Campionamento nelle relazioni ISAE 3402: come il service auditor determina dimensione e frequenza del campione per attestare l'operatività nel tempo.
Periodo di osservazione ISAE 3402: come definire l'ambito temporale di una relazione Type II.
---