Indice

- Cosa accade davvero quando il cliente chiede il report sbagliato - Framework normativi e ambiti di applicazione - Differenze operative tra i due standard - Come decidere quale report serve - Esempio pratico: Servizi Cloud Europei S.r.l. - Checklist per la valutazione dell'incarico - Errori comuni nella selezione - Contenuti correlati

Cosa accade davvero quando il cliente chiede il report sbagliato

In teoria il provider commissiona il report appropriato al servizio fornito. In pratica il marketing del provider arriva prima della metodologia del revisore. Negli ultimi tre anni abbiamo visto sei o sette casi in cui il cliente ci consegna un SOC 2 Type II spesso 90 pagine, e il fascicolo lo accetta come prova senza testare i controlli compensativi presso l'utilizzatore. Le carte erano leggere. Il SOC 2 copriva la security dei data center. Non copriva l'accuratezza del calcolo degli interessi sul portafoglio prestiti che il provider elaborava per conto del cliente. Quel calcolo era esattamente cio che il bilancio rifletteva.

Questo e l'incentivo perverso che genera la confusione. I provider di servizi cloud preferiscono il SOC 2 perche e accettato a livello globale e si vende meglio nelle gare commerciali, soprattutto verso clienti statunitensi e multinazionali. Gli studi di revisione, dal canto loro, accettano il report ricevuto perche rifare il lavoro presso il provider costerebbe budget che i compensi del cliente non coprono. Il risultato? Si tickano i controlli del SOC 2 nel fascicolo come se fossero stati testati ai sensi dell'ISA Italia 402, quando in realta il SOC 2 non e stato progettato per quello scopo.

L'ISA Italia 402.18 chiede al revisore dell'utilizzatore di valutare l'adeguatezza del report del service auditor. Non basta che il report esista. Il revisore deve verificare che il periodo coperto, gli obiettivi di controllo selezionati e le eccezioni documentate siano coerenti con cio su cui si vuole fare affidamento. Quando si applica questo test a un SOC 2 Type II commissionato per ragioni commerciali, spesso si scopre che mancano pezzi.

Framework normativi e ambiti di applicazione

ISAE 3402: lo standard internazionale per l'Europa

L'ISAE 3402 e il principio internazionale per i report sui controlli presso le organizzazioni di servizi. Sviluppato dall'IAASB e adottato in Europa, si integra con i framework di controllo interno come COSO e COBIT. Il punto di partenza e diverso rispetto al SOC 2: l'ISAE 3402.12 stabilisce che l'organizzazione di servizi debba avere controlli rilevanti per la revisione del bilancio dell'entita utilizzatrice. La parola chiave e rilevanti. Non tutti i controlli del provider, solo quelli che entrano nel sistema informativo del bilancio dell'utilizzatore.

Cosa significa in pratica: se il provider gestisce hosting di un sistema gestionale che produce le scritture contabili, quei controlli rientrano. Se gestisce anche un servizio di videoconferenza per gli stessi clienti, quei controlli no. La selezione la fa l'organizzazione di servizi insieme al revisore di servizio, ed e un esercizio di giudizio, non di copertura totale.

SOC 2: il framework statunitense per security e disponibilita

Il SOC 2 e un framework sviluppato dall'AICPA secondo SSAE 18, specificamente per il mercato statunitense. Si basa sui Trust Service Criteria (TSC), che includono cinque categorie: Security, Availability, Processing Integrity, Confidentiality, Privacy. Il SOC 2 non si limita ai controlli rilevanti per l'informativa finanziaria. Copre i controlli operativi che impattano sulla sicurezza, sulla disponibilita e sull'integrita dei sistemi nel loro complesso.

Questa differenza di ambito rende il SOC 2 piu ampio ma piu oneroso, e rende anche meno diretto l'utilizzo del report da parte di un revisore di bilancio. Il framework TSC e progettato per le organizzazioni tecnologiche e i provider cloud, con criteri dettagliati per la gestione degli accessi, il monitoraggio dei sistemi e la protezione dei dati. Funziona benissimo per il suo scopo. Per l'ISA 402, qualcosa va sempre tradotto.

Differenze operative tra i due standard

Progettazione dell'incarico e obiettivi di controllo

Nell'ISAE 3402 gli obiettivi di controllo sono definiti dall'organizzazione di servizi in collaborazione con il professionista incaricato. L'ISAE 3402.35 richiede che gli obiettivi siano "ragionevolmente esposti" e rilevanti per l'informativa finanziaria delle entita utilizzatrici. Nel SOC 2 i criteri sono predefiniti dai TSC. L'organizzazione non puo modificare i criteri base, ma puo aggiungere criteri supplementari se il modello di business lo richiede.

Questa differenza impatta sulla pianificazione in modo concreto. Un incarico ISAE 3402 richiede piu tempo per definire gli obiettivi appropriati con il provider, mentre un SOC 2 puo utilizzare template standardizzati. Il vantaggio del template, pero, e anche il limite del template: si finisce con un report che dice molto sulla security e poco sull'accuratezza delle elaborazioni rilevanti per il bilancio.

Requisiti di testing e documentazione

L'ISAE 3402.57 prevede due tipi di report: Type I (design e implementazione dei controlli a una data specifica) e Type II (efficacia operativa dei controlli per un periodo specificato). Il Type II richiede test sui controlli per l'intero periodo coperto, ed e l'unica forma utilizzabile per fare affidamento ai sensi dell'ISA Italia 402.16.

Il SOC 2 ha strutture simili (Type 1 / Type 2) ma con requisiti di testing piu dettagliati. I TSC specificano frequenze minime di testing per ciascun tipo di controllo, mentre l'ISAE 3402 lascia piu discrezionalita professionale. Per controlli automatizzati, il SOC 2 richiede testing delle general computer controls sottostanti; l'ISAE 3402 consente un approccio piu risk-based nella determinazione dell'estensione delle prove.

C'e un punto su cui Partner esperti non concordano. Il Partner A sostiene che un SOC 2 Type 2 robusto, con i criteri Processing Integrity attivati e un periodo coincidente con il bilancio, basti a soddisfare l'ISA 402 senza ulteriori procedure presso il provider. Il Partner B risponde che il SOC 2, per quanto rigoroso, non e mappato sulle asserzioni di bilancio: anche con Processing Integrity, il revisore dell'utilizzatore deve ricostruire il legame fra i controlli testati e le asserzioni di completezza, accuratezza ed esistenza. Entrambi hanno ragione su un pezzo. Nella pratica, riteniamo che la posizione del Partner B sia piu difendibile davanti a un controllo CONSOB, perche la mappatura ai TSC esplicita non equivale alla mappatura alle asserzioni di bilancio richiesta dall'ISA Italia 315. Se il revisore non documenta quel ponte, il fascicolo non regge.

Come decidere quale report serve

Analisi della base clienti dell'organizzazione di servizi

Il fattore decisivo primario non e la geografia, e una distinzione piu sottile: chi deve fare affidamento sul report e per quale scopo. Se il provider serve principalmente clienti europei i cui revisori applicheranno l'ISA Italia 402 per fare affidamento sui controlli rilevanti per il bilancio, l'ISAE 3402 e progettato esattamente per questo. I revisori europei riconoscono automaticamente i report ISAE 3402 e li integrano nel fascicolo senza procedure aggiuntive di principio.

Se l'organizzazione ha clienti statunitensi quotati (soggetti a SOX) o clienti internazionali che riportano secondo US GAAP, il SOC 2 diventa necessario per ragioni di mercato. I revisori statunitensi conoscono i TSC. La domanda che rimane aperta: anche un revisore italiano puo usare un SOC 2 Type 2, ma deve documentare nel fascicolo perche il report soddisfa i requisiti dell'ISA Italia 402. Non e impossibile. E piu lavoro.

Requisiti normativi specifici del settore

Alcuni settori hanno preferenze definite. I provider di servizi finanziari in Europa spesso commissionano ISAE 3402 perche le banche utilizzatrici lo richiedono per compliance con la normativa prudenziale locale. Il GDPR non specifica un tipo di report, ma le autorita di protezione dati europee riconoscono piu facilmente l'ISAE 3402 (con obiettivi di controllo allineati al D.Lgs. 196/2003 e al Regolamento UE 2016/679). Per servizi cloud che gestiscono dati sanitari statunitensi sotto HIPAA, il SOC 2 con focus su Privacy e Confidentiality e spesso richiesto dai clienti finali.

Considerazioni sui costi e tempistiche

L'ISAE 3402 tende ad avere costi inferiori per organizzazioni piu piccole, perche gli obiettivi di controllo possono essere limitati a quelli strettamente necessari per l'informativa finanziaria. Il SOC 2 richiede copertura di tutti i TSC applicabili, rendendo l'incarico piu esteso. Per un provider con fatturato sotto i 20M EUR e ambito limitato all'informativa finanziaria, abbiamo visto differenze di costo dell'ordine del 30-40% a favore dell'ISAE 3402.

Tuttavia il SOC 2 ha template e guidance piu standardizzati, riducendo i tempi di pianificazione. L'ISAE 3402 richiede piu giudizio professionale nella definizione degli obiettivi, allungando potenzialmente la fase iniziale.

Esempio pratico: Servizi Cloud Europei S.r.l.

> Scenario: Servizi Cloud Europei S.r.l., con sede a Milano, fornisce hosting e data management per 45 clienti, principalmente PMI italiane e tedesche. Due clienti sono filiali europee di societa quotate statunitensi. Il fatturato e di EUR 12M. L'amministratore delegato chiede quale report sui controlli implementare. > > Passo 1: Analisi della base clienti > > 43 clienti (96%) sono entita europee non quotate o quotate su mercati europei. I loro revisori seguono ISA Italia e riconoscono ISAE 3402. Due clienti (4%) sono filiali di societa statunitensi quotate, i cui auditor preferirebbero SOC 2. > > Documentazione: Elencare tutti i clienti per geografia e regime normativo nel working paper di planning. > > Passo 2: Valutazione dei servizi forniti > > I servizi includono hosting di applicazioni ERP, backup di database contabili e elaborazione batch di transazioni finanziarie. Tutti impattano direttamente sull'informativa finanziaria dei clienti, rendendo appropriato l'ambito ISAE 3402. > > Documentazione: Mappare ogni servizio ai processi di bilancio del cliente tipico. > > Passo 3: Definizione degli obiettivi di controllo ISAE 3402 > > Obiettivo 1: Le transazioni elaborate sono accurate e complete. Obiettivo 2: L'accesso ai sistemi e limitato al personale autorizzato. Obiettivo 3: I backup sono eseguiti secondo la frequenza concordata e testati per il ripristino. > > Documentazione: Collegare ogni obiettivo alle asserzioni di bilancio (completezza, accuratezza, esistenza). > > Passo 4: Complicazione emersa in fase di pianificazione > > A meta gennaio, mentre si finalizzano gli obiettivi di controllo, uno dei due clienti statunitensi viene acquisito da un fondo che riporta secondo US GAAP e impone al provider un SOC 2 Type 2 entro nove mesi. Il dato cambia. Ora il SOC 2 non e piu un'ipotesi marginale: e un requisito contrattuale di un cliente che pesa il 6% del fatturato e ha un effetto a cascata sugli altri due clienti USA. La domanda non e piu "ISAE 3402 o SOC 2," ma "facciamo i due in parallelo o accettiamo che il SOC 2 sostituisca l'ISAE 3402 anche per i clienti europei?" > > Documentazione: Valutazione costi-benefici aggiornata. Costo SOC 2 parallelo: EUR 35.000. Costo doppio framework: EUR 78.000. Costo SOC 2 unico con mapping aggiuntivo verso le asserzioni di bilancio per i clienti europei: EUR 52.000. > > Conclusione: ISAE 3402 Type II per i clienti europei + SOC 2 Type 2 in parallelo per i clienti statunitensi (EUR 78.000), con periodo coincidente per consentire la riutilizzabilita del lavoro di pianificazione. La via del SOC 2 unico verrebbe valutata l'anno successivo, dopo aver visto come i revisori dei clienti europei reagiscono al doppio framework.

Checklist per la valutazione dell'incarico

1. Mappare la base clienti per geografia: EU/UK vs US vs Altri mercati. Percentuale di fatturato per ciascuna area. Clienti quotati vs non quotati. Per ciascuno, identificare quale principio di revisione applica il revisore dell'utilizzatore.

2. Identificare requisiti normativi specifici: GDPR per dati UE, HIPAA per sanita US, PCI DSS per pagamenti. Verificare se i regolatori locali (CONSOB, MEF, autorita settoriali) hanno preferenze espresse o aspettative documentate.

3. Valutare l'ambito dei servizi: Solo informativa finanziaria (ISAE 3402 appropriato) vs security/privacy/availability (considerare SOC 2). Servizi cloud vs altri tipi di outsourcing.

4. Stimare i costi relativi: ISAE 3402 con obiettivi limitati vs SOC 2 con TSC completi. Includere i costi interni dell'organizzazione di servizi per la preparazione, che spesso superano il compenso del service auditor.

5. Considerare la strategia a lungo termine: Piani di espansione geografica. Acquisizioni pianificate che potrebbero cambiare la base clienti. Evoluzione del modello di servizi.

6. Il fattore decisivo: Se oltre il 75% del fatturato viene da clienti non-US, partire con ISAE 3402. E sempre possibile aggiungere SOC 2 successivamente se la base clienti cambia.

Errori comuni nella selezione

- Scegliere SOC 2 solo per "brand recognition": Il SOC 2 e piu conosciuto nel marketing, ma l'ISAE 3402 ha la stessa credibilita in Europa e costa meno per organizzazioni con clienti prevalentemente europei. La scelta tra i due non e una decisione di posizionamento commerciale, e una decisione di metodologia di revisione.

- Assumere che un report copra automaticamente l'altro: I revisori non possono fare affidamento su un SOC 2 per soddisfare i requisiti ISA Italia 402 senza procedure aggiuntive significative, e viceversa. Quando lo fanno senza documentare il ponte, le carte sono leggere e il fascicolo non regge a un controllo MEF.

- Sottovalutare i costi del SOC 2: I TSC richiedono testing estensivo delle general computer controls e controlli di security che potrebbero non essere necessari per ISAE 3402 con obiettivi focalizzati sull'informativa finanziaria.

Contenuti correlati

- Calcolatore di significativita ISA 320 - Determinare la soglia di rilevanza per la progettazione dei controlli da testare negli incarichi ISAE 3402 - Guida completa all'ISAE 3402 - Framework, requisiti e implementazione pratica del principio internazionale per i report sui controlli - Metodologia di risk assessment per service auditor - Come identificare e valutare i rischi negli incarichi presso organizzazioni di servizi

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.