Service Organization: Payroll Solutions Europa S.r.l., con sede a Milano, che fornisce servizi di elaborazione stipendi per 127 user entity, di cui 89 europee e 38 statunitensi (incluse 12 public company soggette a SOX compliance).

Indice dei contenuti

Framework normativi e applicabilità giurisdizionale

ISAE 3402: lo standard internazionale


Lo ISAE 3402 è emesso dall'International Auditing and Assurance Standards Board (IAASB) e adottato in Europa senza modifiche significative. Il paragrafo ISAE 3402.1 stabilisce che lo standard si applica agli engagement di assurance sui controlli presso service organization che sono rilevanti per l'informativa finanziaria delle user entity.
L'ISAE 3402 richiede che il service auditor identifichi i controlli che sono rilevanti per le asserzioni di bilancio delle user entity (ISAE 3402.9). Questo significa che non tutti i controlli della service organization devono essere testati, ma solo quelli che hanno un impatto diretto sulla preparazione dell'informativa finanziaria dei clienti.

SOC 1: l'adattamento americano


Il SOC 1 (Service Organization Control 1) è basato sul Statement on Standards for Attestation Engagements No. 18 (SSAE 18) dell'American Institute of CPAs. È sostanzialmente allineato con l'ISAE 3402, ma include requisiti aggiuntivi specifici per il contesto normativo statunitense.
La differenza più significativa riguarda i requisiti di disclosure sulla compliance con le normative statunitensi, in particolare il Sarbanes-Oxley Act per le public company. Il SOC 1 deve includere una sezione specifica su come i controlli testati si relazionano ai requisiti di internal control over financial reporting delle user entity quotate.

Mutua accettazione e limitazioni


I user auditor europei possono generalmente utilizzare un SOC 1 report se rispetta tutti i principi dell'ISAE 3402, ma devono verificare che il testing sia stato condotto secondo standard equivalenti. Il problema sorge quando il SOC 1 report include soltanto i controlli richiesti dalla normativa statunitense, tralasciando aree che potrebbero essere rilevanti per la compliance europea.
Al contrario, un ISAE 3402 report ben strutturato è quasi sempre accettabile per i user auditor statunitensi, purché il management della service organization includa le rappresentazioni richieste dal contesto normativo americano.

Differenze nella struttura del report

Sezioni obbligatorie ISAE 3402


L'ISAE 3402.49 richiede che il report del service auditor contenga:

Elementi aggiuntivi del SOC 1


Il SOC 1 aggiunge requisiti specifici per il contesto americano:

Implicazioni per la pianificazione


Per engagement che devono soddisfare entrambi i framework, pianificate fin dall'inizio una struttura del report che includa tutte le sezioni richieste. Il costo aggiuntivo è minimo se la pianificazione è corretta; diventa significativo se scoprite a testing completato che manca una sezione obbligatoria.

  • Una descrizione dei servizi forniti dalla service organization
  • La responsabilità del management della service organization per la progettazione e implementazione dei controlli
  • La responsabilità del service auditor
  • Una descrizione dei test effettuati
  • L'opinione del service auditor
  • Una sezione dedicata ai controlli rilevanti per il Sarbanes-Oxley compliance
  • Disclosure specifiche sui controlli informatici e sulla loro governance
  • Maggior dettaglio sui controlli a livello di entity (entity-level controls)
  • Una matrice di collegamento tra i controlli testati e le cinque componenti del COSO Internal Control Framework

Scoping e testing dei controlli

Approccio risk-based vs compliance-based


L'ISAE 3402 segue un approccio risk-based: identificate prima i rischi significativi per l'informativa finanziaria delle user entity, poi testate i controlli che mitigano questi rischi. Il paragrafo ISAE 3402.25 richiede che il service auditor ottenga una comprensione del system di controllo interno della service organization, ma soltanto per le aree rilevanti per l'obiettivo dell'engagement.
Il SOC 1 incorpora elementi compliance-based derivati dalla normativa statunitense. Alcuni controlli devono essere testati non perché rappresentano un rischio significativo, ma perché sono richiesti dalle normative federali per le public company che utilizzano i servizi.

Testing su periodo vs point-in-time


Entrambi gli standard prevedono engagement Type I (effectiveness della progettazione a una data specifica) e Type II (effectiveness operativa su un periodo). Tuttavia, il SOC 1 tende a richiedere periodi di testing più lunghi (almeno 6 mesi per la maggior parte dei controlli) mentre l'ISAE 3402 consente maggiore flessibilità basata sul professional judgment.

Documentazione dei test


La documentazione richiesta è simile, ma il SOC 1 enfatizza maggiormente la tracciabilità verso i requisiti specifici del COSO framework e del PCAOB AS 2201. Documentate ogni test con riferimento esplicito al control objective che state verificando e alla componente COSO che il controllo supporta.

Esempio pratico: Servizi di payroll per clienti multi-giurisdizione

Service Organization: Payroll Solutions Europa S.r.l., con sede a Milano, che fornisce servizi di elaborazione stipendi per 127 user entity, di cui 89 europee e 38 statunitensi (incluse 12 public company soggette a SOX compliance).
Scenario: Il management ha richiesto sia un ISAE 3402 Type II che un SOC 1 Type II report per lo stesso periodo (1 gennaio 2024 – 31 dicembre 2024). I ricavi 2024 sono EUR 24M con 450 dipendenti.
Step 1: Identificazione dello scope dei controlli
Per l'ISAE 3402, identifichiamo i controlli rilevanti per le asserzioni di bilancio: accuratezza dei dati salariali, completezza delle registrazioni, autorizzazione delle modifiche ai master file dei dipendenti. Per il SOC 1, aggiungiamo i controlli entity-level richiesti dal COSO framework: tone at the top, risk assessment process, monitoring activities.
Nota di documentazione: Preparare una matrice che mappa ogni controllo identificato sia agli obiettivi ISAE 3402 che alle componenti COSO per il SOC 1.
Step 2: Progettazione del testing approach
Pianifichiamo un testing period di 12 mesi per soddisfare entrambi i requisiti. Per i controlli automatizzati (es. validazione dei dati in input), testiamo la configurazione del sistema a gennaio e le change management procedures durante l'anno. Per i controlli manuali (es. review manageriali), selezioniamo un campione mensile.
Nota di documentazione: Il testing plan deve specificare per ogni controllo se il test è richiesto dall'ISAE 3402, dal SOC 1, o da entrambi.
Step 3: Esecuzione e documentazione
Testiamo 34 controlli in totale: 22 richiesti da entrambi i framework, 8 aggiuntivi per il SOC 1, 4 aggiuntivi per l'ISAE 3402 (specifici per la compliance GDPR che impatta l'informativa finanziaria europea). Tutti i test sono documentati con evidenze sufficienti per supportare entrambi i report.
Nota di documentazione: Ogni carta di lavoro deve indicare chiaramente se l'evidenza supporta il SOC 1, l'ISAE 3402, o entrambi.
Step 4: Report preparation
Prepariamo due report separati con sezioni comuni e sezioni specifiche. Il report ISAE 3402 enfatizza l'impatto sui bilanci delle user entity europee. Il report SOC 1 include la matrice COSO e le disclosure SOX-specific per le public company americane.
Nota di documentazione: Entrambi i report devono essere firmati dallo stesso partner e riferirsi allo stesso sistema di controlli testato nello stesso periodo.
Risultato: Due report distinti ma consistenti, emessi lo stesso giorno, che soddisfano i requisiti di tutti i user auditor indipendentemente dalla loro giurisdizione. Il costo aggiuntivo è stato del 15% rispetto a un singolo engagement ISAE 3402, principalmente per la documentazione aggiuntiva e la preparazione del secondo report.

Checklist operativa per engagement multi-standard

  • Determinare i requisiti di reporting durante l'acceptance: Identificate se le user entity includono public company statunitensi o entità soggette a normative specifiche che richiedono SOC 1 compliance.
  • Mappare i controlli contro entrambi i framework: Create una matrice che mostra quali controlli sono richiesti dall'ISAE 3402, dal SOC 1, o da entrambi. Questo evita di scoprire gap nel testing a lavoro avanzato.
  • Pianificare il testing period appropriato: Un periodo di 12 mesi soddisfa i requisiti più stringenti di entrambi i framework. Periodi più brevi richiedono justify additional per il SOC 1.
  • Documentare con doppia compliance in mente: Ogni carta di lavoro deve supportare i requisiti di evidenza di entrambi gli standard. È più efficiente documentare completamente una volta che ri-documentare in seguito.
  • Coordinare le management representations: Il management della service organization deve fornire rappresentazioni che soddisfino sia l'ISAE 3402.45 che i requisiti SSAE 18. Preparate una lettera di rappresentanza unificata.
  • La cosa più importante: Se dovete scegliere un solo standard, l'ISAE 3402 ben eseguito è accettato nella maggior parte delle giurisdizioni, mentre un SOC 1 può creare problemi di accettazione in Europa. Quando in dubbio, partite dall'ISAE 3402 e aggiungete i requisiti SOC 1 se necessari.

Errori comuni

Assumere che SOC 1 e ISAE 3402 siano intercambiabili: Un SOC 1 report che non copre tutti i controlli rilevanti per l'ISAE 3402 può non essere utilizzabile dai user auditor europei.
Sottovalutare i requisiti di documentazione aggiuntivi: Il SOC 1 richiede documentazione più dettagliata sui controlli entity-level e sulla loro mappatura al COSO framework.
Non verificare l'accettabilità cross-border durante la pianificazione: Alcuni user auditor hanno policy specifiche che limitano l'accettazione di report emessi secondo standard "stranieri," anche se equivalenti.
Trascurare l'impatto delle deviazioni sui controlli sub-service organization (ISAE 3402.A18): Per Payroll Solutions Europa S.r.l., il sistema di payroll è ospitato presso un data center sub-service in Irlanda, e il team conclude erroneamente che il carve-out method elimini la necessità di valutare i controlli del sub-service. L'ISAE 3402.A18 richiede invece di documentare nel report quali Complementary Subservice Organization Controls (CSOCs) il sub-service deve mantenere perché i controlli testati siano efficaci, e l'omissione di questa sezione invalida il report per molti user auditor europei.

Contenuti correlati

  • Guida ISAE 3402 - Definizione completa dello standard internazionale per l'attestazione sui controlli presso service organization
  • Calcolatore di campionamento per controlli - Strumento per determinare la frequenza e l'ampiezza del testing dei controlli manuali in engagement ISAE 3402
  • Guida ai controlli sui service organisation (ISAE 3402) - Confronto tra i due tipi di engagement ISAE 3402 e criteri per la scelta del tipo appropriato

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.