Definition

Quando il fascicolo del cliente non documenta i controlli del provider che elabora i suoi pagamenti, in ispezione si vede subito. ISA Italia 402.13-14 obbliga il revisore dell'organizzazione di servizi a valutare i controlli della subservice organization e a comunicarne l'esito ai revisori degli utenti finali tramite la relazione di assicurazione. La trappola pratica: chi è il revisore di chi. Il revisore della banca utente non può citofonare al provider della banca per chiedere i controlli; deve passare per il revisore dell'organizzazione di servizi.

Come funziona la catena

ISA Italia 402.3 e 402.A1-A2 distinguono tra subservice organization e organizzazione di servizi. Quando una banca esternalizza l'elaborazione dei pagamenti a un service provider terzo, quel provider è una subservice organization. Il revisore della banca valuta i controlli del provider come parte della propria revisione dell'organizzazione di servizi. Il revisore dei clienti della banca (gli utenti finali del servizio di pagamento) non valuterà direttamente i controlli del provider. Riceverà le informazioni attraverso la relazione di assicurazione del revisore della banca.

ISA Italia 402 non richiede al revisore dell'utente finale di ottenere una relazione di assicurazione (Tipo I o Tipo II) dalla subservice organization. Richiede invece al revisore dell'organizzazione di servizi di valutare i controlli della subservice e di comunicare l'esito al revisore dell'utente finale tramite la propria relazione, che contiene paragrafi dedicati ai controlli della subservice organization (ISAE 3402, paragrafi 30-31).

La valutazione dei controlli della subservice da parte del revisore dell'organizzazione di servizi deve coprire l'intero periodo incluso nella relazione di assicurazione. Se il servizio della subservice copre solo una parte dell'anno, il revisore della subservice deve estendere il periodo di osservazione per allinearlo al periodo di rendicontazione. In pratica: bisogna chiedere prima dell'inizio dei test, non dopo. Quando si chiede a giugno una relazione che copra il periodo gennaio-dicembre, il revisore della subservice non può fabbricare l'evidenza retroattivamente.

Esempio pratico: Servizi Finanziari Alpini S.p.A.

Cliente: Banca che elabora bonifici per 47 clienti aziendali. Stato patrimoniale: EUR 285M. Reporter IFRS. Esercizio FY 2024.

La banca utilizza TechProcess Solutions (provider esterno, ubicato a Monaco) per l'elaborazione dei pagamenti. TechProcess è quindi una subservice organization dalla prospettiva della banca. La nostra revisione è quella della banca (organizzazione di servizi). Dobbiamo valutare i controlli di TechProcess.

Passo 1: pianificare la valutazione dei controlli di TechProcess. ISA Italia 402.13-14 richiede di identificare i controlli presso TechProcess che sono rilevanti per i rischi di errore materiale nei bilanci della banca stessa. Documentazione nel memorandum di pianificazione: "TechProcess Solutions è una subservice organization. Controlli sul corretto instradamento dei pagamenti e sulla riconciliazione dei conti rilevanti per le asserzioni di completezza e autorizzazione. Verranno inclusi nella relazione di assicurazione della banca ai sensi dell'ISA Italia 402.30(b)."

Passo 2: ottenere comunicazioni dal revisore di TechProcess. Si raccolgono le comunicazioni sui controlli chiave: segregazione dei compiti tra elaborazione e riconciliazione, controllo delle eccezioni di pagamento, match tra ordini immessi e importi elaborati. Documentazione: email dal revisore di TechProcess che descrive il design e il funzionamento dei controlli di riconciliazione nel periodo di revisione. Allegato: diagramma di flusso dei controlli.

Passo 3: integrare le informazioni nella valutazione del rischio. ISA Italia 315.27 richiede che la comprensione dei controlli rilevanti includa quelli della subservice organization, perché un errore di instradamento di pagamento è un errore della banca, non del provider. Documentazione: matrice di mappatura dei rischi della banca (asserzioni sui conti correnti del cliente). Nella colonna "Controlli sui rischi", si annota: "Controlli di TechProcess Solutions: riconciliazione giornaliera (testato tramite comunicazione del revisore di TechProcess, rapporto Tipo II allegato alle carte di lavoro)."

Passo 4: decidere il tipo di relazione richiesta. ISA Italia 402.A2 afferma che una relazione Tipo II fornisce maggiore evidenza dell'efficacia operativa dei controlli, perché include il test di funzionamento. Per un processo critico come l'elaborazione dei pagamenti, la relazione Tipo II è la scelta. Una Tipo I (descrizione e design dei controlli, senza test di funzionamento) lascia un buco probatorio che si traduce in procedure compensative aggiuntive sulla banca. Documentazione nel fascicolo: "Rapporto Tipo II di TechProcess Solutions per il periodo 1° gennaio-31 dicembre 2024 ottenuto e allegato. I controlli sono stati testati e funzionavano efficacemente durante il periodo. Nessun punto debole identificato dalla revisione della subservice organization che richiederebbe un controllo compensativo da parte della banca."

Passo 5: includere nella relazione di assicurazione della banca (ISAE 3402) la descrizione dei controlli di TechProcess Solutions. Bozza della relazione, sezione "Controlli della subservice organization": "Servizi Finanziari Alpini utilizza TechProcess Solutions per l'elaborazione dei pagamenti. L'elaborazione è soggetta a riconciliazione giornaliera e a controllo delle eccezioni. È stata ottenuta una relazione di assicurazione Tipo II per il periodo di revisione. I controlli descritti in tale relazione erano progettati appropriatamente e funzionavano efficacemente."

Conclusione: la valutazione dei controlli della subservice è documentata nel fascicolo della banca, integrata nella comprensione dei rischi e nella pianificazione delle procedure. Sarà trasmessa ai revisori dei clienti della banca tramite la relazione ISAE 3402. I revisori dei clienti non visiteranno TechProcess Solutions direttamente. Avranno evidenza dell'efficacia tramite la catena: relazione del revisore di TechProcess → relazione del revisore della banca → fascicolo del revisore del cliente.

Cosa segnalano la CONSOB e gli ispettori

Tier 1: Rilievi ispettivi. La CONSOB ha osservato in diversi fascicoli che il revisore dell'utente finale ha tentato di ottenere direttamente una relazione di assicurazione dalla subservice organization, ignorando il fatto che il revisore dell'organizzazione di servizi è l'intermediario designato. Questo produce rifiuti di comunicazione dal provider (che non ha rapporto diretto con l'utente finale) e inefficienze di processo. ISA Italia 402.A2 è esplicito: il revisore dell'utente finale valuta i controlli della subservice tramite la relazione e la comunicazione del revisore dell'organizzazione di servizi. Confessione: capita anche a noi quando si entra in un nuovo settore. La banca consiglia "chiedete pure direttamente al provider," il provider risponde che non ha mandato per comunicare con il revisore del cliente, e si perdono due settimane prima di tornare al revisore della banca.

Tier 2: Errore pratico (omissione dalla valutazione dei rischi). Molti fascicoli non includono i controlli della subservice nella matrice di valutazione dei rischi (ISA Italia 315.27). Il controllo presso il provider è un controllo dell'organizzazione di servizi, quindi è parte della comprensione del revisore dei rischi rilevanti. Se un pagamento deve essere riconciliato presso una subservice prima di essere inserito nei conti del cliente, quel controllo di riconciliazione è un controllo dell'organizzazione di servizi e deve essere identificato e testato. Quando manca dalla matrice, le procedure di validità della banca finiscono per coprire il vuoto, ma non sempre lo fanno bene.

Tier 3: Lacuna documentale ricorrente. La relazione Tipo II copre un periodo (es. 1° gennaio-30 settembre) e l'esercizio del cliente arriva al 31 dicembre. ISA Italia 402.16 richiede di valutare se i controlli abbiano continuato a operare per il periodo non coperto. Nei fascicoli che vediamo, questa valutazione manca o è generica ("nessun cambiamento significativo"). Bisogna documentare l'inchiesta presso la direzione del provider, le query sui sistemi di monitoraggio del provider per i mesi residui, e la conclusione esplicita.

Termini correlati

- Organizzazione di servizi: l'entità che offre i servizi all'utente finale e che utilizza il lavoro della subservice organization. ISA Italia 402.3 le distingue esplicitamente. - ISAE 3402: Relazione di assicurazione sui controlli: la relazione che il revisore dell'organizzazione di servizi emette per comunicare i controlli (inclusi quelli della subservice) ai revisori degli utenti finali. - Relazione Tipo II: il formato di relazione che include il test di funzionamento dei controlli, a differenza della Tipo I che descrive solo il design. - Rischio di errore materiale: il rischio che il revisore dell'utente finale valuta quando identifica i controlli della subservice come rilevanti per le asserzioni di bilancio. - Segregazione dei compiti: un controllo comune presso le subservice che forniscono servizi contabili o di elaborazione dei pagamenti. - Comunicazione del revisore: il meccanismo tramite il quale il revisore dell'organizzazione di servizi trasmette le informazioni sui controlli della subservice al revisore dell'utente finale.

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.