Indice

1. Il problema strutturale: rapporti letti male, fascicoli leggeri 2. Cosa chiede ISA Italia 402.13-19 quando il prestatore manda il PDF 3. Type 1, Type 2, ISAE 3402 e SOC 1: differenze che pesano sul fascicolo 4. Esempio: paghe HRMaster, gap di periodo, CUEC qualificato, sub-service carved out 5. Disaccordo legittimo tra partner sulla copertura del gap 6. Checklist operativa per il revisore utilizzatore 7. Errori comuni e cosa succede davvero in ispezione 8. Risorse correlate

Il problema strutturale: rapporti letti male, fascicoli leggeri

Sui mandati EIP che gestiamo, l'esternalizzazione delle paghe e della tesoreria è la regola. Il prestatore è quasi sempre una società italiana o un gruppo internazionale con auditor diverso dal nostro. Il rapporto arriva ad aprile, l'EIP chiude a dicembre, e il Type II copre gennaio-settembre. Le carte sono leggere perché si tende a scrivere le carte dopo, quando il fascicolo va consegnato e il tempo manca.

Per carità, il problema non è la pigrizia del singolo team. È strutturale. Compensi irrisori sui mandati medi rendono uneconomico leggere sessanta pagine di SOC 1 controllo per controllo, eppure è esattamente quel passaggio che CONSOB e MEF si aspettano di vedere documentato. La sproporzione tra ciò che è economicamente sostenibile e ciò che ISA Italia 402 chiede è la radice di buona parte dei findings ispettivi sull'outsourcing.

C'è un secondo livello che fa più male. La sezione "complementary user entity controls" del SOC 1 è dove il prestatore scarica la responsabilità su di voi: "il cliente deve verificare le anagrafiche", "il cliente deve riconciliare il file paghe ricevuto col proprio HR". Quella sezione è quasi sempre a p.50 e oltre, e quasi mai viene legata ai walkthrough dei controlli interni del cliente. Risultato: l'auditor utilizzatore firma su un processo dove la metà del controllo è del prestatore, l'altra metà è del cliente, e nessuno ha verificato che la seconda metà esista davvero.

Cosa chiede ISA Italia 402.13-19 quando il prestatore manda il PDF

ISA Italia 402.13 chiede di comprendere come l'entità utilizzatrice usa i servizi del prestatore, inclusi natura e rilevanza dei servizi, effetto sul controllo interno, capacità del cliente di stabilire controlli efficaci sulle attività esternalizzate. Non è una formula. È un'analisi che si scrive prima di chiedere il rapporto al prestatore, non dopo.

ISA Italia 402.15 e .16 entrano nel merito del rapporto. Si valuta la competenza e l'indipendenza dell'auditor del prestatore. Si valuta l'adeguatezza della descrizione dei controlli e, per il Type 2, l'efficacia operativa nel periodo. Cosa succede davvero qui: i team leggono l'opinione, vedono "senza rilievi", chiudono. Manca il passaggio che ISA Italia 402.A20 esplicita, ovvero la valutazione di natura, tempistica ed estensione dei test eseguiti dal service auditor rispetto ai controlli rilevanti per le asserzioni della vostra audit, non per gli utilizzatori in generale.

ISA Italia 402.18 introduce i CUECs. Se la descrizione del prestatore identifica controlli complementari attesi dall'utilizzatore, il revisore utilizzatore deve comprenderli, valutarli, e testarli quando rilevanti. Cosa succede davvero: nessuno li lega ai walkthrough, e in ispezione l'osservazione tipica è "l'affidamento sui controlli del prestatore non è supportato perché i CUECs non sono stati identificati né testati".

ISA Italia 402.19 chiede la documentazione nel fascicolo. Si chiede al revisore di documentare l'effetto del prestatore sulla valutazione del rischio e sulla risposta. Concretamente: una memo che colleghi i controlli del SOC 1 alle asserzioni di bilancio specifiche del cliente, non un PDF allegato e basta.

Il sub-service organization carved out

Quando il prestatore di paghe usa a sua volta un cloud provider per ospitare il sistema, quel cloud è un sub-service organization. Il SOC 1 può applicare il metodo "carve-out" e tagliare fuori il cloud provider dalla descrizione, oppure il metodo "inclusive" e includerlo. Se è carve-out, e quasi sempre lo è, si rimane scoperti sui general IT controls del cloud, a meno che non si ottenga un SOC 1 separato del cloud provider o si testino direttamente i controlli IT del cliente che mitigano il rischio.

Type 1, Type 2, ISAE 3402 e SOC 1: differenze che pesano sul fascicolo

Il Type 1 fornisce un'opinione sulla descrizione e sul disegno dei controlli a una data. Punto. Niente test di efficacia operativa nel periodo. Per un'audit di bilancio, il Type 1 da solo non basta quasi mai, perché ISA Italia 402.16 chiede evidenza sull'efficacia operativa quando ci si affida ai controlli del prestatore. ISA Italia 402.A18 ammette che un Type 1 possa bastare se l'utilizzatore ha CUECs efficaci che chiudono il loop, ma questa è una situazione rara nei mandati che vediamo.

Il Type 2 aggiunge il test dell'efficacia operativa nel periodo coperto. Il rapporto ISAE 3402 è lo standard internazionale (IAASB), il SOC 1 è la versione AICPA usata sui prestatori statunitensi o gruppi internazionali. La sostanza, per un'audit italiana, è la stessa: descrizione, disegno, efficacia operativa, opinione del service auditor.

Il punto su cui i team si bruciano è il periodo. Un Type 2 che copre 1 gennaio - 30 settembre per un'audit con chiusura 31 dicembre lascia tre mesi scoperti. ISA Italia 402.16 chiede procedure aggiuntive su quei tre mesi. Cosa succede davvero: si cita una "bridging letter" del prestatore che dichiara nessun cambiamento sostanziale dei controlli, e si chiude. La bridging letter non è evidenza di audit ai sensi di ISA Italia 500. È una dichiarazione della direzione del prestatore. Va corroborata.

Esempio: paghe HRMaster, gap di periodo, CUEC qualificato, sub-service carved out

Industrie Tessili Bergamo S.p.A. è un cliente EIP con costi del personale per €8,4M su €13,5M di ricavi. Esternalizza le paghe a HRMaster S.r.l., che a sua volta ospita il sistema su un cloud provider statunitense. HRMaster manda un SOC 1 Type 2 ISAE 3402 per il periodo 1 gennaio - 30 settembre 2025. L'audit chiude al 31 dicembre 2025.

Tre complicazioni si presentano insieme.

Prima: il periodo. Mancano ottobre, novembre, dicembre. Tre mesi che includono la tredicesima, i bonus di fine anno, e l'aumento contrattuale del CCNL applicato a dicembre. Il rischio non è uniforme nei dodici mesi: si concentra proprio nei tre mesi non coperti.

Seconda: l'opinione del service auditor è qualificata su un controllo specifico, il Controllo 3.4 "verifica accuratezza file di output prima della trasmissione alla banca", per il quale il service auditor segnala una deviazione del 6% nei test (3 eccezioni su 50 campioni). Il Controllo 3.4 è esattamente quello che impatta l'asserzione di accuratezza dei costi del personale. Il rapporto identifica anche un CUEC: "il cliente deve riconciliare il riepilogo paghe ricevuto da HRMaster con i propri dati HR prima dell'autorizzazione del pagamento". Sui fascicoli del cliente questa riconciliazione non è documentata: la responsabile HR la fa "a vista" e non firma niente.

Terza: il cloud provider è carved out. Il SOC 1 di HRMaster esclude esplicitamente i general IT controls del cloud. HRMaster ha un SOC 2 del cloud provider, ma il SOC 2 non è equivalente al SOC 1: copre security, availability, confidentiality, non l'accuratezza del processing rilevante per il bilancio.

Cosa scriviamo nel fascicolo. Memo di valutazione che riconosce il Type 2 ricevuto, identifica il gap di tre mesi, segnala l'opinione qualificata sul Controllo 3.4, identifica il CUEC non operativo presso il cliente, segnala il sub-service carved out. La risposta di audit combina tre cose: test di dettaglio sostantivi sui costi del personale ottobre-dicembre (gap di periodo), test sostantivo a campione sull'accuratezza del file paghe trasmesso alla banca per i mesi di test del service auditor (deviazione qualificata), implementazione e test del CUEC di riconciliazione tramite walkthrough con la responsabile HR e re-performance su tre mesi. Sul cloud carved out, si testa direttamente l'access management del cliente sull'interfaccia HRMaster, con focus su segregation of duties.

Un controllo del MEF che evidenzi che il rapporto del prestatore è stato accettato senza CUECs documentate, con un Controllo 3.4 qualificato ignorato e un sub-service carved out non considerato, su un EIP con costi del personale al 62% dei ricavi, è il tipo di finding che porta a una riapertura della relazione e a un richiamo formale alla società di revisione.

Disaccordo legittimo tra partner sulla copertura del gap

Sul gap ottobre-dicembre il dibattito tra partner è reale. Il partner A sostiene che, se il Type 2 copre nove mesi su dodici con opinione senza rilievi sui controlli rilevanti (esclusi quelli qualificati), una bridging letter dal prestatore più una analytical review sui costi del personale del Q4 sia sufficiente. Il ragionamento: i controlli sono progettati e documentati, sono stati testati per nove mesi, il rischio di cambiamento sostanziale dei controlli in tre mesi è basso, e ISA Italia 402.16 non impone un test di efficacia operativa per il periodo non coperto se altre procedure mitigano il rischio.

Il partner B insiste sul test sostantivo di dettaglio per il periodo gap, indipendentemente dalla bridging letter. Il ragionamento: la bridging letter è una dichiarazione, non evidenza; i tre mesi gap contengono eventi specifici (tredicesima, aumento CCNL, bonus) che non sono presenti nel periodo testato; un'analytical review su un costo del personale stagionalizzato non è sufficientemente precisa per l'asserzione di accuratezza; e il rischio reputazionale di un'ispezione post-firma è asimmetrico rispetto al costo dei test sostantivi.

Entrambe le posizioni sono difendibili. Sui mandati EIP che gestiamo, la prudenza del partner B prevale, perché la perdita attesa da un'ispezione negativa supera ampiamente il costo dei test aggiuntivi. Su mandati non-EIP con materialità diversa, il giudizio del partner A può essere ragionevole, purché la bridging letter sia integrata da almeno una procedura sostantiva mirata sugli eventi specifici del Q4.

Checklist operativa per il revisore utilizzatore

1. Pre-receipt: cosa fare prima che arrivi il rapporto

- [ ] Mappa dei servizi esternalizzati e collegamento alle asserzioni di bilancio (ISA Italia 402.13) - [ ] Identificazione del tipo di rapporto atteso (Type 1 / Type 2 / ISAE 3402 / SOC 1) - [ ] Verifica del periodo di copertura atteso rispetto all'esercizio - [ ] Identificazione preliminare di possibili sub-service organizations

2. Verifica del rapporto ricevuto

- [ ] Tipo di rapporto coerente con l'affidamento pianificato - [ ] Periodo coperto e identificazione del gap rispetto all'esercizio - [ ] Opinione del service auditor letta integralmente, inclusi rilievi e qualificazioni - [ ] Competenza e indipendenza del service auditor verificate (ISA Italia 402.15)

3. Analisi della descrizione dei controlli

- [ ] Descrizione confrontata con la mappa dei processi del cliente - [ ] Controlli rilevanti per le asserzioni del cliente identificati - [ ] Sub-service organizations: metodo carve-out o inclusive identificato - [ ] Per il carve-out, copertura aggiuntiva pianificata

4. CUECs (controlli complementari dell'entità utilizzatrice)

- [ ] Sezione CUECs del rapporto letta integralmente - [ ] Ogni CUEC mappato a un controllo del cliente - [ ] CUECs testati come parte dei walkthrough e dei test di efficacia operativa del cliente - [ ] CUECs non operativi: trattamento documentato (test sostantivo aggiuntivo o riduzione affidamento)

5. Test del service auditor: valutazione di natura, tempistica, estensione

- [ ] Sezione IV letta per ogni controllo rilevante per il cliente - [ ] Numerosità campionaria valutata rispetto alla popolazione del cliente - [ ] Eccezioni e qualificazioni del service auditor: impatto sui controlli rilevanti - [ ] Controlli non testati nel rapporto: trattamento documentato

6. Gap di periodo

- [ ] Periodo non coperto identificato e quantificato - [ ] Eventi specifici nel gap (tredicesima, bonus, contratti) identificati - [ ] Bridging letter ottenuta e considerata, non come unico elemento - [ ] Procedure aggiuntive (sostantive o controlli aggiornati) pianificate per il gap

7. Documentazione nel fascicolo (ISA Italia 402.19)

- [ ] Memo di valutazione del rapporto del prestatore - [ ] Collegamento controlli SOC 1 - asserzioni di bilancio del cliente - [ ] Conclusione esplicita su affidamento, parziale affidamento, non-affidamento - [ ] Procedure aggiuntive eseguite e referenziate

Errori comuni e cosa succede davvero in ispezione

Affidamento automatico sull'opinione. Si vede "senza rilievi" e si chiude. Cosa succede in ispezione: il MEF chiede dove sono testati i singoli controlli rilevanti per le asserzioni dell'EIP, non l'opinione complessiva. Se la risposta è "il rapporto è senza rilievi", il finding è scritto.

Gap di periodo trattato con bridging letter. Si allega la lettera e si tira via. La lettera è una dichiarazione del prestatore, non evidenza di audit. Si valuta come management representation, secondaria rispetto alle procedure sostantive.

CUECs ignorati. La sezione complementary user entity controls è a p.50 e oltre, e nessuno la collega ai walkthrough del cliente. In ispezione il MEF la cerca per prima quando vede outsourcing rilevante.

Sub-service organization carved out non considerato. Si accetta il SOC 1 del prestatore senza chiedersi se c'è un cloud, un data center, un altro layer escluso dalla descrizione. Sui mandati EIP con sistemi cloud, è un finding ricorrente.

Opinione qualificata letta come opinione pulita. La qualificazione del service auditor su un controllo specifico, se quel controllo è rilevante per l'asserzione del cliente, esclude l'affidamento su quel controllo. Va separato e gestito esplicitamente, non assorbito nell'opinione generale.

Il revisore legale e il collegio sindacale hanno ruoli distinti sui controlli IT esternalizzati. Il D.Lgs. 39/2010 art. 14 attribuisce al revisore legale la responsabilità sulla revisione del bilancio e quindi sui controlli rilevanti per l'informativa finanziaria. Il collegio sindacale, ai sensi dell'art. 2403 C.C., vigila sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile. Sui rapporti del prestatore di servizi, la valutazione del revisore legale è puntuale e ai fini dell'audit, quella del collegio sindacale è di sistema. Sovrapporle nei fascicoli è errore comune.

Risorse correlate

- Glossario ISA 402 - Auditor utilizzatore - Calcolatore materialità ISA 320 - Guida ISA 315 - Comprensione dell'entità

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.