Indice

- Il mito della soglia dei tre mesi - Cosa richiede effettivamente l'ISAE 3402 - Il framework di valutazione corretto - Dove inizia il giudizio: due partner, due posizioni - L'incentivo perverso che ha fatto vincere i 3 mesi - Esempio pratico: Servizi Cloud Milano S.r.l. - Checklist operativa - Errori comuni - Contenuti correlati

Il mito della soglia dei tre mesi

Cosa fa il senior. Apre il template, vede "bridge letter dopo 3 mesi", calcola la differenza tra data del rapporto SOC e data prevista di lettura, decide. Cosa chiede il principio. Una valutazione documentata della rilevanza degli eventi successivi e dei cambiamenti nei controlli. Cosa rimane in mezzo. Una decade di prassi che ha sostituito la valutazione con il calendario.

La convenzione dei tre mesi nasce da una lettura affrettata del paragrafo A61. Il testo si riferisce al periodo durante il quale l'utilizzatore può fare affidamento sul rapporto SOC 1 (Service Organization Controls Report — System and Organization Controls). Il principio non fissa soglie. La soglia è entrata nei template come esempio di valutazione, e l'esempio si è trasformato in regola attraverso il copia-incolla nei fascicoli successivi.

La prassi si è cristallizzata perché offre certezza procedurale. Il senior non deve valutare la natura dei controlli, l'entità dei cambiamenti, l'impatto sui rischi dell'utilizzatore. Si tickano le caselle e si firma. Il costo. Bridge letter inutili che gonfiano i fascicoli. Bridge letter mancanti dove il periodo è inferiore ai 90 giorni ma il cambiamento del personale chiave è rilevante. La soglia sbaglia in entrambe le direzioni, perché non guarda i controlli.

Si dirà che è prudenza. Non lo è. La prudenza è applicare il principio. La soglia è una scorciatoia che ha il sapore della prudenza perché produce sempre più carta di quanta ne servirebbe.

Cosa richiede effettivamente l'ISAE 3402

Il paragrafo 49 stabilisce che il service auditor consideri se gli eventi successivi alla fine del periodo oggetto di esame richiedano disclosure nel rapporto. Il paragrafo non fissa soglie temporali. Richiede una valutazione di rilevanza, perché la rilevanza è il criterio che il principio adotta in ogni paragrafo applicativo.

I paragrafi A59-A61 forniscono guidance applicativa. L'A59 prescrive che il service auditor consideri l'effetto di eventi noti fino alla data del rapporto che potrebbero influenzare la valutazione dell'utilizzatore sui controlli descritti. L'A60 chiarisce che la considerazione include cambiamenti nei controlli che potrebbero influire sulla rilevanza per l'audit dell'utilizzatore. L'A61 contiene il passaggio decisivo: "Quando il periodo tra la fine del periodo coperto dal rapporto e la data del rapporto è più lungo di quello che l'utilizzatore potrebbe ragionevolmente considerare appropriato, il service auditor può fornire una bridge letter."

"Più lungo di quello ragionevolmente appropriato." Si noti la formulazione. Non è una soglia. È un giudizio che dipende dai controlli specifici e dall'utilizzo da parte dell'user organization. Un controllo di backup giornaliero ha cicli diversi da una riconciliazione trimestrale. Un utilizzatore che chiude mensilmente ha esigenze temporali diverse da uno che chiude annualmente. Il principio chiede che il service auditor consideri queste specificità, non che applichi una formula universale.

Cosa significa nella pratica: la formula vince negli studi, perché è più rapida da scrivere e più facile da difendere quando il manager chiede "perché 90 giorni e non 60?". La risposta "perché lo dice il template" è inattaccabile dentro lo studio. Lo è meno davanti al MEF. Lo è meno se l'utilizzatore subisce una perdita e contesta la qualità dell'assurance.

Il framework di valutazione corretto

La valutazione poggia su quattro fattori, derivati dai paragrafi A59-A61.

Natura dei controlli del service organization. I controlli automatizzati con cambiamenti infrequenti richiedono bridge letter meno frequenti dei controlli manuali soggetti a turnover del personale o a modifiche procedurali. Un'approvazione automatica di pagamenti sotto i EUR 5.000 ha rischio di cambiamento diverso da una riconciliazione manuale condotta da un team con rotazione semestrale. Si guardano i controlli, non i giorni.

Tempistica di chiusura dell'utilizzatore. L'utilizzatore che chiude trimestralmente ha bisogno di informazioni aggiornate ogni tre mesi. L'utilizzatore che chiude annualmente può tollerare gap più lunghi, purché i controlli rilevanti non siano cambiati. La bridge letter copre il periodo tra la data del rapporto SOC e la chiusura dell'utilizzatore più vicina, non un periodo standard.

Significatività dei cambiamenti avvenuti. Cambiamenti nel personale chiave, aggiornamenti di sistema, modifiche procedurali richiedono disclosure anche se avvengono entro i tre mesi. Periodi stabili senza cambiamenti rilevanti possono non richiedere bridge letter anche oltre i tre mesi. Il service auditor documenta la valutazione dei cambiamenti, non il conteggio dei giorni. È il punto in cui prassi e principio divergono di più.

Livello di assurance richiesto dall'utilizzatore. Alcuni utilizzatori richiedono bridge letter mensili per contratto, indipendentemente dal principio. Altri accettano gap più lunghi se documentati. Il service auditor bilancia i requisiti contrattuali con quelli del principio, dando priorità al più restrittivo.

La documentazione di questa valutazione va scritta nel memorandum di pianificazione. Non in una checklist automatica. Ogni fattore deve essere considerato specificamente per l'incarico, con riferimento ai controlli testati e agli utilizzatori noti. Quando manca, le carte erano leggere e si vede.

Dove inizia il giudizio: due partner, due posizioni

Si prenda lo stesso fascicolo. Service organization stabile, controlli automatici, periodo del rapporto chiuso il 31 dicembre, data del rapporto il 15 febbraio. Gap di 46 giorni. Nessun cambiamento di personale, nessun aggiornamento di sistema. Due partner di esperienza simile, due decisioni opposte.

Partner A. Bridge letter automatica, "perché è il template e l'utilizzatore più grande la chiede". Nessun rischio di rilievo dal MEF, perché il fascicolo segue la convenzione di mercato. Costo. Due ore di lavoro in più, ma la copertura procedurale è totale. La bridge letter dice "nessun cambiamento rilevante", l'utilizzatore la archivia, tutti firmano. La logica del Partner A è la logica della prassi prudenziale: si dà al cliente quello che si aspetta, anche quando non è strettamente richiesto, perché il costo dell'attrito contrattuale supera il costo della bridge letter ridondante.

Partner B. Nessuna bridge letter, ma una nota motivata nel memorandum: "Periodo di 46 giorni, controlli automatici stabili, nessun cambiamento di personale identificato dalla data del rapporto, nessun aggiornamento di sistema. Bridge letter non necessaria ai sensi dell'A61. Disponibili a fornirla su richiesta dell'utilizzatore." Costo. Cinque ore di analisi e documentazione, ma il principio è applicato come scritto. La logica del Partner B è la logica del professionista che difende il proprio giudizio: quando il MEF chiede, c'è il ragionamento per iscritto.

La mia opinione. Il Partner B ha ragione quando i controlli sono effettivamente stabili e l'analisi è fatta seriamente. Perché. La bridge letter automatica non è neutrale: certifica per iscritto qualcosa che il service auditor non ha valutato, e questo è peggio del non averla. Però il Partner B ha torto se l'analisi è solo un alibi. Si capisce dalla qualità del memorandum, non dalla scelta in sé.

La CONSOB (Commissione Nazionale per le Società e la Borsa) non interviene direttamente sull'ISAE 3402, perché la sua competenza riguarda la revisione legale ex D.Lgs. 39/2010. Il MEF, invece, può controllare i fascicoli SOC nei controlli qualitativi. In quel caso, il Partner B ha la documentazione del giudizio. Il Partner A ha solo il template.

L'incentivo perverso che ha fatto vincere i 3 mesi

Perché la convenzione resiste? Non è ignoranza. È storia ed economia, e vale la pena guardare entrambe.

Storia. L'ISAE 3402 è figlio dell'eredità SAS 70 (Statement on Auditing Standards 70), il principio statunitense ritirato nel 2011. Sotto SAS 70, la prassi consolidata negli Stati Uniti era la bridge letter trimestrale, perché il calendario di chiusura dei revisori finanziari degli utilizzatori (gli user auditor) seguiva la cadenza trimestrale SEC. Tre mesi era il gap massimo che permetteva al revisore dell'utilizzatore di "agganciare" il rapporto SOC al proprio ciclo di chiusura. Quando l'IAASB ha emesso ISAE 3402 nel 2009-2011 abbandonando le soglie temporali, la prassi americana si è trasferita nei template senza che il fondamento storico fosse stato riesaminato. La soglia è il fossile di un altro principio.

Economia. La valutazione caso per caso secondo gli A59-A61 richiede tempo del manager per ogni incarico. Una checklist con "se più di 90 giorni, bridge letter" richiede zero tempo: si applica meccanicamente al senior. Sui compensi tipici per fascicoli SOC nelle PMI italiane, spesso forfettizzati a 5.000-8.000 euro per service organization piccola, il margine si fa sul tempo non speso a valutare. Il template costa zero. La valutazione costa due manager-ore.

Si aggiunga un terzo livello: la paura di perdere l'incarico. Il service auditor che rifiuta una bridge letter "perché non serve secondo il principio" si trova davanti un user auditor che la pretende perché ce l'aveva l'anno scorso, perché il revisore senior dell'utilizzatore non vuole spiegare al partner perché manca, perché tutti gli altri service auditor di mercato la rilasciano. Il service auditor che dice "no" perde il cliente. Il service auditor che dice "sì sempre" lo conserva, e gonfia il fascicolo. La struttura del mercato premia chi tickka, non chi valuta.

La soluzione non è virtuosa. È economica. Si alzi il compenso SOC dove la valutazione è realmente fatta. Si accetti che gli incarichi a forfait basso producano fascicoli a tre mesi automatici. Si smetta di fingere che si tratti di principio quando si tratta di prezzo.

Esempio pratico: Servizi Cloud Milano S.r.l.

Contesto aziendale. Servizi Cloud Milano S.r.l. fornisce hosting e data management per 150 clienti PMI nel nord Italia. Ricavi 2024: EUR 18M. Il rapporto SOC 1 Type II copre il periodo dal 1° gennaio 2024 al 31 dicembre 2024. Data del rapporto: 15 febbraio 2025.

Controlli rilevanti testati.

- Controllo automatico di backup giornaliero (nessun intervento manuale, sistema implementato nel 2019). - Processo di approvazione manuale per nuovi accessi utente, condotto dall'IT Security Manager. - Riconciliazione mensile degli accessi attivi rispetto ai dipendenti attivi, condotta dal Controller.

Valutazione della necessità di bridge letter.

Passo 1: identificare i cambiamenti dal 1° gennaio 2025 al 15 febbraio 2025. - 28 gennaio 2025: l'IT Security Manager ha lasciato l'azienda, sostituito da un nuovo responsabile. - 10 febbraio 2025: aggiornamento del software di backup dalla versione 8.2 alla 8.4. - Nessun cambiamento nel processo di riconciliazione degli accessi.

Documentazione: memorandum di completamento, sezione "Eventi successivi", note del management sui cambiamenti organizzativi e di sistema.

Passo 2: valutare la rilevanza per gli utilizzatori. Il backup automatico è rimasto invariato nella sostanza (stesso algoritmo, stessa frequenza), ma la versione software è cambiata. L'approvazione accessi ha subito un cambio del personale chiave.

Documentazione: analisi dell'impatto sui controlli, intervista con il nuovo IT Security Manager per verificare la continuità procedurale.

Passo 3: considerare le esigenze temporali. Il 40% degli utilizzatori chiude trimestralmente (scadenza 31 marzo 2025), il 60% annualmente. Il gap tra il 31 dicembre 2024 e il 15 febbraio 2025 è di 46 giorni: inferiore ai famosi tre mesi, ma la cosa non è determinante.

Documentazione: elenco degli utilizzatori per tempistica di chiusura, ottenuto dal team vendite del service organization.

Passo 4: complicazione al mese 4. Aprile 2025. Il rapporto SOC è stato rilasciato a febbraio. Un user auditor di un utilizzatore EIP (Ente di Interesse Pubblico) chiede una bridge letter estesa che copra fino al 31 marzo 2025, oltre il gap normale, perché il proprio audit della capogruppo si è prolungato. Il senior del service auditor, che ha già emesso il rapporto e archiviato il fascicolo, chiama il manager: "Glielo rilasciamo? È un cliente importante, e tre mesi sono passati."

Il manager sta per dire sì. Si fermi. La bridge letter estesa al 31 marzo non copre 46 giorni: ne copre 90. Significa che il service auditor deve valutare gli eventi del periodo gennaio-marzo 2025, non solo gennaio-febbraio. Servono nuove evidenze sul personale, sui sistemi, sui controlli. Servono nuove rappresentazioni del management. Servono carte vere, non una bridge letter scritta dopo per accomodare il cliente. La tentazione del service auditor è scrivere le carte dopo, copiando la bridge letter di febbraio e cambiando le date. Si rifiuta. La risposta corretta: "Possiamo emettere una bridge letter fino al 31 marzo se completiamo le procedure A59-A61 per il periodo aggiuntivo. Servono 15 ore di lavoro e una nuova lettera di rappresentanza dal management. Costo: EUR X. Tempi: 10 giorni." L'user auditor sceglie. Se accetta, si lavora. Se rifiuta, non si emette. Quello che non si fa, mai, è scrivere una bridge letter retroattiva senza le evidenze che la sostengano.

Passo 5: decisione documentata per il fascicolo originario di febbraio. Bridge letter necessaria per il controllo di approvazione accessi (cambiamento di personale rilevante). Bridge letter non necessaria per il backup (aggiornamento software senza cambio di logica operativa) e per la riconciliazione accessi (nessun cambiamento). Per la richiesta di estensione del mese 4: procedura di assurance aggiuntiva o rifiuto motivato per iscritto.

Documentazione finale: decisione motivata nel memorandum, con riferimento ai paragrafi A59-A61. Bridge letter preparata solo per il controllo rilevante, non come documento generico.

Risultato. Una bridge letter mirata invece di un documento standardizzato. Meno carta, informazione più precisa per l'utilizzatore, conformità al principio. Meno facile da difendere se la prassi di mercato è diversa, ma sostanzialmente più solida.

Checklist operativa

1. Identificare tutti i cambiamenti dal periodo coperto alla data del rapporto. Cambiamenti di personale nei ruoli di controllo chiave, aggiornamenti di sistema, modifiche procedurali, nuovi controlli implementati, controlli discontinuati. 2. Valutare l'impatto di ogni cambiamento sui controlli testati. Il controllo opera ancora come progettato? La persona che lo esegue ha le stesse competenze e autorizzazioni? I sistemi coinvolti hanno la stessa logica operativa? 3. Mappare gli utilizzatori per tempistica di chiusura. Trimestrale, semestrale, annuale. La bridge letter copre il gap fino alla chiusura più vicina per ogni utilizzatore significativo. 4. Documentare la decisione sulla necessità della bridge letter per ogni controllo. Non una decisione generale basata sul tempo trascorso, ma una valutazione controllo per controllo secondo gli A59-A61. 5. Se necessaria, preparare bridge letter solo per i controlli con cambiamenti rilevanti. Non un documento generico che copre tutto, ma informazioni specifiche sui controlli effettivamente modificati. 6. Sfidare la convenzione dei tre mesi nel prossimo fascicolo. Documentare perché il periodo di valutazione è appropriato per questo specifico service organization e questi specifici utilizzatori. Allegare la valutazione al memorandum di pianificazione.

Errori comuni

Contenuti correlati

- Guida alla pianificazione ISAE 3402: Come strutturare un incarico SOC dal primo incontro. - Calcolatore di significatività ISAE 3402: Tool per determinare le soglie di rilevanza specifiche per il service organization. - ISAE 3402 vs SOC 2: quando scegliere quale framework: Differenze pratiche tra i due principi più comuni per i service auditor.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.