Il framework tedesco: ISAE 3402 più IDW PS 951

Il problema prima della norma

Il caso pratico ricorrente: una S.p.A. italiana esternalizza il calcolo cedolino e i contributi a un service provider tedesco, EIP per via dei volumi consolidati. Il fornitore consegna un Type II "IDW PS 951" datato 31 dicembre. Sui dossier che vediamo, il revisore italiano allega il report al fascicolo, scrive "evidenza ottenuta da terza parte indipendente" e va avanti. Quando arriva la verifica MEF o un'ispezione CONSOB su un EIP, la prima domanda è: ha valutato la copertura temporale, i CUEC, i controlli compensativi sui controlli automatici? E qui le carte si fanno leggere.

L'ISAE 3402 (International Standard on Assurance Engagements 3402) si applica in Germania come standard primario per le attestazioni sui controlli interni dei service provider. L'Institut der Wirtschaftsprüfer (IDW) ha però emesso IDW PS 951, "Grundsätze für die Durchführung von Prüfungen der Beschreibung von internen Kontrollsystemen bei Dienstleistungsunternehmen", che integra ISAE 3402 con requisiti specifici tedeschi.

IDW PS 951 non sostituisce ISAE 3402. Lo amplia. Le aree dove l'ampliamento incide sono quattro: qualificazione del team di incarico, controlli di qualità sul fascicolo (EQC), procedure di verifica sui controlli automatici, formato del report finale.

Cosa succede davvero

Sulla carta, IDW PS 951 vale per i revisori tedeschi. Sul fascicolo italiano, il revisore che riceve il report dovrebbe leggere la dichiarazione di conformità per capire se la firma è solo ISAE 3402 oppure ISAE 3402 + IDW PS 951. La differenza non è cosmetica. Se il report cita anche IDW PS 951, il campionamento minimo è più alto e l'EQC è obbligatorio: due elementi che ISA Italia 402.17 considera quando si valuta la sufficienza del lavoro del service auditor.

Autorità di supervisione: WPK

La WPK (Wirtschaftsprüferkammer) è l'ente regolatore della professione di revisione in Germania. Per gli incarichi ISAE 3402, la WPK autorizza i revisori qualificati a condurre incarichi SOC, conduce ispezioni di qualità sui fascicoli, emette sanzioni per non conformità ai requisiti IDW, e mantiene l'elenco pubblico dei revisori autorizzati per incarichi di attestazione. Solo i Wirtschaftsprüfer (WP) certificati possono firmare report ISAE 3402 in Germania. I team possono includere personale non WP, però il partner responsabile deve essere un WP in regola con la camera.

Per il revisore italiano questo conta perché, ai sensi di ISA Italia 402.13, occorre valutare la competenza professionale e l'indipendenza del service auditor. La firma WPK non è un certificato di qualità del lavoro, ma un'iscrizione professionale verificabile. Cosa molto diversa.

Requisiti IDW PS 951 sul team di incarico

Qualificazione del personale

IDW PS 951.23-26 stabilisce criteri di qualificazione più rigorosi rispetto a ISAE 3402.11. Il team deve includere queste figure:

Il partner responsabile è un Wirtschaftsprüfer con almeno 3 anni di esperienza in incarichi di attestazione e formazione specifica sui controlli IT. La WPK verifica questi requisiti durante le ispezioni, e se non sono documentati arrivano sanzioni e iscrizione a margine nel registro. Il manager dell'incarico deve avere minimo 5 incarichi ISAE 3402 completati negli ultimi 3 anni, di cui almeno 2 in settori simili a quello del cliente. IDW PS 951.24 richiede documentazione di questa esperienza nel fascicolo. Lo specialista IT è obbligatorio per incarichi che coinvolgono controlli automatici e deve avere qualificazione CISA, CISSP, o equivalente riconosciuto dalla WPK. Il solo personale IT interno non soddisfa il requisito.

Cosa succede davvero: quando riceviamo un report tedesco e leggiamo la sezione "Mitwirkende Wirtschaftsprüfer", troviamo i nomi e le iscrizioni. Sui nostri incarichi cross-border, abbiamo iniziato a chiedere al service auditor il dettaglio della qualifica IT, perché in più di un caso il certificato CISA risultava scaduto e questo, per IDW PS 951.26, è un vizio che inficia il lavoro sui controlli automatici.

Controllo qualità dell'incarico

IDW PS 951.31-34 richiede un controllo qualità dell'incarico (EQC) per tutti i report Type II, indipendentemente dalle dimensioni del service provider. Posizione che va oltre ISAE 3402.30, dove la decisione è lasciata al giudizio professionale.

Il reviewer EQC deve essere un WP diverso dal partner responsabile, non aver partecipato al team di incarico, aver completato formazione specifica IDW sui controlli interni negli ultimi 2 anni, documentare la revisione prima della firma del report.

Sulla carta, EQC obbligatorio. Sul fascicolo che vediamo passare, qualche studio tedesco minore documenta l'EQC con poche righe e una firma sulla checklist. Anche nei casi in cui il reviewer EQC nutra la convinzione di aver svolto un lavoro sufficiente, la WPK ha sanzionato studi proprio sull'inadeguatezza della documentazione EQC: significa che, per il revisore italiano che si appoggia al report, non basta vedere la dichiarazione "EQC condotto"; bisognerebbe leggere se il report indica chi ha condotto l'EQC e se compare la sua qualifica.

Procedure di verifica secondo IDW

Test sui controlli automatici

IDW PS 951.42-47 prescrive procedure specifiche per i controlli automatici che vanno oltre ISAE 3402.44-46.

Sulla documentazione del flusso logico: per ogni controllo automatico testato, il team deve documentare il flusso logico completo, inclusi i parametri di configurazione e le eccezioni programmate. Non basta testare che il controllo funzioni; bisogna verificare come funziona. Sui test di completezza: IDW richiede test di completezza per verificare che tutti gli elementi soggetti al controllo automatico siano stati effettivamente processati. ISAE 3402 base non specifica questo requisito. Sui controlli compensativi: quando un controllo automatico presenta deviazioni, IDW PS 951.45 richiede test aggiuntivi sui controlli compensativi, anche se la direzione del service provider non li identifica come tali.

ISAE 3402 richiede test sui controlli rilevanti. Sui dossier che vediamo, il Type II tedesco contiene il "wie funktioniert es" che ISA Italia 402.18 chiede al revisore italiano di valutare prima di affidarsi al lavoro del service auditor. Per carità, la documentazione tedesca è densa e a volte ridondante, però il livello di dettaglio sui controlli automatici è quello che permette al revisore italiano di non rifare il lavoro da zero.

Campionamento per i test sui controlli

IDW PS 951.38-41 stabilisce dimensioni minime del campione più conservative di ISAE 3402.A42-A44. I numeri:

- Controlli giornalieri: minimo 25 elementi per controllo per periodo di 12 mesi - Controlli settimanali: minimo 15 elementi per controllo - Controlli mensili: tutti gli elementi nel periodo coperto dal report - Controlli trimestrali: tutti gli elementi, più verifica della coerenza con i controlli mensili correlati

Questi minimi si applicano a prescindere dalla valutazione del rischio. ISAE 3402 consente dimensioni inferiori quando il rischio è basso; IDW no.

La nostra opinione: chi scrive le carte dopo aver ricevuto un report Type II solo ISAE 3402 (senza bollo IDW) dovrebbe interrogarsi sulla dimensione del campione applicata al controllo riconciliazione, perché un campione di 12 elementi su un controllo giornaliero per 12 mesi non passerebbe mai un'ispezione WPK. E se non passerebbe in Germania, perché dovrebbe bastare al revisore italiano che si affida a quel lavoro? Perché ISA Italia 402.18 lo obbliga a una valutazione critica, non a una accettazione passiva.

Disaccordo legittimo: quanto integrare il Type II tedesco

Su questo punto, due posizioni circolano fra i partner che gestiscono incarichi cross-border.

Partner A sostiene che il Type II tedesco con bollo IDW PS 951 vada integrato con procedure proprie del revisore italiano, almeno sul controllo accesso ai dati e sulla segregazione dei ruoli, perché il perimetro del service provider non sempre coincide con i flussi rilevanti per il bilancio italiano. Partner B replica che il Type II è sufficiente quando i CUEC sono testati dal revisore italiano e funzionanti, e che procedure aggiuntive sui controlli del service provider sono ridondanti e non recuperabili in compensi.

Chi ha ragione? Plausibile entrambi, secondo il caso. Sui nostri incarichi, la linea che teniamo è la posizione A quando il service provider gestisce il payroll completo di un EIP italiano, posizione B quando il servicer cura solo IT generico (hosting, backup) e i CUEC italiani coprono l'accesso ai dati. ISA Italia 402.16-17 lascia margine, però la valutazione va documentata nel fascicolo italiano, perché in una verifica MEF su quality control arriva la domanda: perché vi siete affidati senza procedure aggiuntive? E lì le carte vanno scritte prima, non dopo.

Esempio: controllo riconciliazione bancaria

Scenario: Bremer Zahlungsdienstleistungen GmbH, service provider di pagamenti con sede ad Amburgo, processa EUR 2,8 miliardi in transazioni annue per 340 clienti bancari. Il controllo chiave è la riconciliazione giornaliera automatica fra saldi contabili ed estratti conto bancari, con soglia di tolleranza di EUR 500.

Approccio ISAE 3402 standard: il team selezionerebbe un campione basato sulla valutazione del rischio, tipicamente 15-20 riconciliazioni su base giornaliera per un periodo di 12 mesi. Si verificherebbe che le riconciliazioni siano state eseguite e che le differenze superiori a EUR 500 siano state investigate.

Approccio IDW PS 951: 1. Dimensione campione: minimo 25 riconciliazioni giornaliere (IDW PS 951.38) 2. Documentazione flusso logico: documentare i parametri di configurazione della soglia EUR 500, i criteri di matching automatico, e il processo di escalation per le eccezioni 3. Test di completezza: verificare che tutte le 365 riconciliazioni giornaliere siano state processate dal sistema, non solo quelle campionate 4. Controlli compensativi: testare i controlli manuali di revisione settimanale delle eccezioni, anche se funzionano correttamente

Nota di documentazione: documentare nel working paper la conformità ai requisiti IDW PS 951.38 per dimensione campione e .42-.44 per controlli automatici. Includere evidenza della qualificazione dello specialista IT che ha condotto i test.

Sul fascicolo, il working paper tedesco contiene circa il 40% in più di evidenze rispetto a un equivalente fascicolo ISAE 3402 base, soddisfa i criteri WPK per l'accettabilità, riduce il rischio di rilievi durante le ispezioni di qualità.

E per il revisore italiano? Il punto sottile, che lo standard non dice e che si capisce solo dopo aver letto qualche dozzina di Type II tedeschi: il bollo IDW PS 951 sul report serve allo studio tedesco per la propria difesa di fronte alla WPK, non per il bilancio italiano. Significa che il valore di assurance per chi sta a Milano dipende dalla coincidenza fra il perimetro testato dal service auditor (i controlli che proteggono il servicer) e i rischi del bilancio italiano (i controlli che proteggono le asserzioni di completezza, accuratezza, esistenza sul ciclo retribuzioni). Coincidenza che non sempre è totale.

Struttura del report Type II conforme IDW

Sezioni obbligatorie per conformità tedesca

Un report Type II in Germania deve includere tutte le sezioni ISAE 3402 standard più elementi specifici IDW: dichiarazione di conformità con riferimento esplicito sia a ISAE 3402 sia a IDW PS 951; qualificazione del team con nomi e qualificazioni dei WP coinvolti, incluso il reviewer EQC; limitazioni specifiche con dichiarazioni sui controlli non testati per motivi di riservatezza commerciale; sezione dedicata ai controlli compensativi identificati ma non testati. La sezione raccomandazioni è opzionale.

Formato della firma

La firma del report deve seguire il formato WPK: ``` [Nome Studio] Wirtschaftsprüfungsgesellschaft

[Nome Partner] Wirtschaftsprüfer

[Città, Data] ```

Il solo nome del partner non basta. Deve apparire la ragione sociale completa dello studio e la qualifica WP del firmatario. Per il revisore italiano: se sul report ricevuto manca la dicitura "Wirtschaftsprüfungsgesellschaft" sotto la ragione sociale, qualcosa non quadra. Si chieda al cliente conferma sulla versione del report (potrebbe essere una bozza o un estratto non firmato).

Checklist pratica per ricevere un Type II tedesco

1. Verifica della dichiarazione di conformità: cita solo ISAE 3402 oppure ISAE 3402 + IDW PS 951? 2. Verifica del team: nomi WP, qualifica IT, EQC nominato e identificato 3. Lettura dei minimi campionari: corrispondono a IDW PS 951.38-41 oppure a ISAE 3402.A42? 4. Esame dei CUEC: il report identifica i complementary user entity controls e cosa il cliente italiano deve fare? 5. Coerenza temporale: il periodo coperto dal Type II abbraccia il periodo di bilancio sotto revisione (ISA Italia 402.16)? 6. Formato firma: ragione sociale completa, "Wirtschaftsprüfungsgesellschaft", qualifica WP, città, data

Errori comuni quando il Type II tedesco arriva in Italia

Dimensioni campione insufficienti non rilevate dal revisore italiano: si accetta il Type II senza leggere se IDW PS 951 è citato, e si scopre tardi che il campionamento era ISAE 3402 base con numeri che ISA Italia 402.18 considererebbe insufficienti per il rischio del bilancio. Mancata verifica della copertura temporale: il Type II copre il periodo gennaio-settembre, il bilancio chiude al 31 dicembre, il revisore italiano non documenta le procedure per il gap (bridge letter o procedure proprie). Documentazione CUEC incompleta: il report identifica i controlli che il cliente italiano deve eseguire (riconciliazioni interne, autorizzazioni al pagamento), e il revisore italiano non testa l'effettivo funzionamento sul lato cliente.

Si tratta dei rilievi che, in una verifica MEF su un EIP, fanno la differenza fra una raccomandazione e una sanzione disciplinare ai sensi del D.Lgs. 39/2010, art. 24-bis. E il collegio sindacale, che ai sensi dell'art. 2403 C.C. vigila sull'adeguatezza dell'assetto organizzativo, dovrebbe essere informato della valutazione che il revisore legale ha fatto sul service provider tedesco.

Contenuti correlati

- Glossario ISAE 3402 - Definizioni dei termini chiave per gli incarichi di attestazione sui controlli - Calcolatore dimensioni campione - Strumento per calcolare le dimensioni del campione per test sui controlli secondo criteri conservativi - Checklist controlli IT - Lista di verifica per controlli automatici e ambiente IT generale

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.