Indice

Framework normativo ISAE 3402

L'ISAE 3402.A67 stabilisce che quando un service provider utilizza altri service provider (subservice provider), il service organization deve decidere se includerli o escluderli dall'ambito del rapporto. Questa decisione ha implicazioni dirette sui controlli da valutare e testare.
Il paragrafo A68 definisce il carve-out method: "I controlli del subservice provider sono esclusi dalla descrizione del sistema e dal design e operating effectiveness testing del service provider." Il service provider documenta solo l'esistenza del subservice provider e i controlli di interfaccia.
L'ISAE 3402.A69 definisce l'inclusive method: "I controlli del subservice provider rilevanti per gli obiettivi di controllo sono inclusi nella descrizione del sistema e nell'ambito del testing." Il service provider assume la responsabilità di valutare e testare anche i controlli del subservice provider.
La scelta tra i due metodi dipende da tre fattori secondo l'ISAE 3402.33: la natura dei servizi forniti dal subservice provider, la significatività dei controlli per gli obiettivi di controllo complessivi, e la capacità del service provider di ottenere evidenze sui controlli del subservice provider.

Carve-out method: quando e come applicarlo

Il carve-out method si applica quando il service provider non ha controllo diretto sui processi del subservice provider o quando i controlli del subservice provider non sono critici per il raggiungimento degli obiettivi di controllo.

Requisiti del carve-out method


Secondo l'ISAE 3402.A68, il service provider deve:
I controlli di interfaccia tipici includono la riconciliazione periodica dei dati trasmessi, la validazione dell'integrità dei file ricevuti, il monitoraggio delle performance del subservice provider, e la revisione dei rapporti SOC del subservice provider.

Implicazioni per le user organization


Quando viene utilizzato il carve-out method, le user organization devono implementare controlli complementari relativi ai servizi forniti dal subservice provider. L'ISAE 3402.A68 richiede che il rapporto SOC includa una sezione specifica sui controlli complementari che le user organization dovrebbero considerare.
Il service auditor deve valutare se i controlli di interfaccia del service provider siano sufficienti a mitigare i rischi identificati. Se i controlli di interfaccia sono inadeguati, questo può risultare in eccezioni nel rapporto SOC.

  • Identificare tutti i subservice provider utilizzati e i servizi che forniscono
  • Descrivere l'interfaccia tra il proprio sistema e quello del subservice provider
  • Documentare i controlli di interfaccia implementati per gestire i rischi derivanti dall'utilizzo del subservice provider
  • Includere nella descrizione del sistema una sezione dedicata ai subservice provider

Inclusive method: requisiti e implementazione

L'inclusive method si applica quando il service provider ha controllo significativo sui processi del subservice provider o quando i controlli del subservice provider sono essenziali per il raggiungimento degli obiettivi di controllo.

Requisiti dell'inclusive method


L'ISAE 3402.A69 richiede che il service provider:
Le evidenze sui controlli del subservice provider possono essere ottenute attraverso tre modalità: testing diretto presso il subservice provider, revisione del rapporto SOC del subservice provider, o utilizzo di altri service auditor per condurre il testing.

Gestione delle evidenze


Quando si utilizza il rapporto SOC di un subservice provider come evidenza, l'ISAE 3402.35 richiede di valutare la competenza e l'indipendenza del service auditor, la copertura temporale del rapporto rispetto al periodo coperto dal proprio rapporto, e l'adeguatezza dei controlli testati rispetto agli obiettivi di controllo.
Se il periodo coperto dal rapporto SOC del subservice provider non coincide completamente con quello del service provider, devono essere implementate procedure aggiuntive per coprire il gap period.

  • Includa i controlli rilevanti del subservice provider nella descrizione del sistema
  • Ottenga evidenze sull'operating effectiveness dei controlli del subservice provider
  • Assuma la responsabilità per l'adequacy del design e l'operating effectiveness di tutti i controlli inclusi
  • Documenti le procedure utilizzate per valutare i controlli del subservice provider

Esempio pratico: centro pagamenti

Scenario: Pagamenti Digitali Italia S.r.l.
Pagamenti Digitali Italia S.r.l. fornisce servizi di processamento pagamenti per 85 aziende e-commerce italiane. I ricavi annuali sono €12M. Il sistema principale è sviluppato internamente, ma utilizza due subservice provider:

Passo 1: Analisi della significatività


Per CryptoSecure: i controlli di crittografia sono fondamentali per l'obiettivo "Le transazioni sono processate accuratamente e autorizzate." Senza questi controlli, non è possibile raggiungere l'obiettivo. Decisione: inclusive method.
Documentazione: includo CryptoSecure nella matrice dei rischi come componente critico del sistema di controllo interno.
Per DataBackup Europe: i controlli di backup supportano l'obiettivo "I dati sono protetti da perdite" ma Pagamenti Digitali ha controlli compensativi (replica real-time su datacenter secondario). Decisione: carve-out method.
Documentazione: documento DataBackup come subservice provider con controlli di interfaccia (verifica giornaliera dei log di backup).

Passo 2: Implementazione inclusive method per CryptoSecure


Ottengo il rapporto SOC 2 Type II di CryptoSecure per il periodo 1 gennaio - 31 dicembre 2024. Il rapporto copre completamente il mio periodo di testing. Identifico 8 controlli rilevanti per l'obiettivo di crittografia.
Documentazione: includo questi 8 controlli nella mia descrizione del sistema come "Controlli implementati presso CryptoSecure S.p.A. per la crittografia delle transazioni."
Testo 3 controlli aggiuntivi di interfaccia: validazione dell'hash dei file crittografati ricevuti, riconciliazione giornaliera delle transazioni elaborate, monitoraggio del tempo di risposta del servizio.
Documentazione: ogni controllo testato include riferimento al workpaper CT-15 per l'evidenza di testing.

Passo 3: Implementazione carve-out method per DataBackup Europe


Documento DataBackup nella sezione "Subservice Provider" senza includere i loro controlli nel testing. Testo i controlli di interfaccia di Pagamenti Digitali: verifica del completamento dei backup tramite dashboard, test mensile del restore, e revisione dei report di availability.
Documentazione: la sezione "Controlli Complementari per le User Organization" specifica che le user organization dovrebbero implementare propri controlli di backup se considerano inadeguati quelli di DataBackup Europe.
Risultato: Il rapporto SOC copre 45 controlli totali: 32 controlli interni di Pagamenti Digitali, 8 controlli di CryptoSecure (inclusive method), 5 controlli di interfaccia per entrambi i subservice provider. Zero eccezioni identificate.

  • CryptoSecure S.p.A.: fornisce servizi di crittografia e tokenizzazione delle carte di credito (servizio critico)
  • DataBackup Europe B.V.: fornisce servizi di backup giornaliero dei database (servizio di supporto)

Checklist operativa

  • Identificare tutti i subservice provider utilizzati durante il periodo - Completare l'inventario prima di iniziare il fieldwork per evitare scope gaps (ISAE 3402.33)
  • Valutare la criticità di ciascun subservice provider per gli obiettivi di controllo - Utilizzare una matrice rischio/controllo per documentare la significatività
  • Determinare il metodo per ciascun subservice provider - Carve-out per servizi non critici, inclusive per servizi critici o dove si ha controllo diretto
  • Per l'inclusive method: ottenere evidenze sui controlli del subservice provider - Rapporti SOC, testing diretto, o utilizzo di altri auditor secondo ISAE 3402.35
  • Per il carve-out method: testare i controlli di interfaccia del service provider - Riconciliazioni, validazioni, monitoraggio delle performance
  • Documentare la metodologia scelta e la sua giustificazione - Il workpaper deve spiegare perché ciascun metodo è appropriato per ciascun subservice provider (ISAE 3402.18)

Errori comuni

  • Mixing methods without justification - Utilizzare carve-out per alcuni aspetti di un subservice provider e inclusive per altri senza una chiara motivazione documentata
  • Inadequate complementary controls description - Nel carve-out method, non specificare chiaramente quali controlli le user organization dovrebbero implementare per mitigare i rischi residui
  • Period coverage gaps - Utilizzare rapporti SOC di subservice provider che non coprono completamente il periodo del proprio engagement senza procedure aggiuntive per il gap period

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.