Indice dei contenuti
1. Confronto fra i due framework 2. Metodologia di mapping dei controlli 3. Esempio applicato: organizzazione di servizi tecnologici 4. Gap di testing e procedure incrementali 5. Documentazione richiesta 6. Errori di mapping piu frequenti 7. Contenuti correlati
Confronto fra i due framework
Dove si rompe il riuso del SOC 2
Il fallimento pratico arriva sempre nello stesso punto. Lo studio prende il SOC 2 Type II del service provider, mappa i Trust Service Criteria sugli obiettivi di controllo ISAE 3402 in una giornata, e si convince che la copertura sia sufficiente. La delibera CONSOB sui controlli qualita (2023) ha gia sanzionato questo approccio quando ha riscontrato che, nei fascicoli di organizzazioni di servizi sanitarie, "le carte non documentano la valutazione del design dei controlli rilevanti per il bilancio dell'entita utilizzatrice". Tradotto dal linguaggio CONSOB al linguaggio del revisore: il SOC 2 dimostra che il controllo opera. Non dimostra che il controllo, anche se opera perfettamente, prevenga uno specifico misstatement nei rapporti finanziari del cliente del cliente.
L'ISAE 3402 valuta i controlli di un'organizzazione di servizi rilevanti per il controllo interno delle entita utilizzatrici sul reporting finanziario. L'ISA Italia 402.8 definisce i controlli rilevanti come quelli che forniscono ragionevole sicurezza che le asserzioni nelle transazioni delle entita utilizzatrici siano prevenute, identificate e corrette. Il SOC 2, sviluppato dall'AICPA secondo lo SSAE 18, valuta i controlli rispetto ai Trust Service Criteria: sicurezza, disponibilita, integrita dell'elaborazione, riservatezza, privacy. Non e una distinzione retorica. E il motivo per cui un controllo SOC 2 sulla disponibilita del sistema (uptime al 99,5%) si mappa raramente su un controllo ISAE 3402 di rilevanza finanziaria.
Dove invece il framework di reporting converge
Il report ISAE 3402.49 esprime un'opinione sia sull'adeguatezza del design dei controlli sia sulla loro efficacia operativa nel periodo. Include la descrizione del sistema, i controlli testati, i risultati e le eccezioni. Il SOC 2 Type II copre tipicamente dodici mesi di operazioni e include la descrizione del sistema, i criteri applicati, i test eseguiti e i risultati. La struttura formale e simile. Sono i criteri di valutazione a divergere. E i criteri sono cio che il revisore dell'entita utilizzatrice valutera quando decide se fare reliance sul lavoro.
Metodologia di mapping dei controlli
filtrare per rilevanza al financial reporting
Prima di mappare qualunque controllo, lo studio deve decidere se il controllo abbia rilevanza per le asserzioni di bilancio dell'entita utilizzatrice. Si applica l'ISA Italia 402.A8: rilevanti sono i controlli su completezza, accuratezza e validita dell'elaborazione delle transazioni, sui dati master, e sulla sicurezza logica per impedire modifiche non autorizzate ai dati finanziari. Un controllo di accesso ai sistemi di billing entra. Un controllo di availability che garantisce uptime al 99,5% di solito non entra, salvo casi specifici dove l'indisponibilita producesse direttamente errori di completezza nelle transazioni dell'entita utilizzatrice.
Su questo punto Partner A e Partner B non sono d'accordo. Partner A esclude tutti i controlli di availability dal mapping perche la guidance AICPA del 2023 conferma che la disponibilita del sistema e di norma irrilevante per l'accuratezza delle transazioni finanziarie. Partner B inserisce alcuni controlli di availability per i settori dove la finestra di indisponibilita si traduce in transazioni perse — per esempio, processori di pagamento o piattaforme di trading. La differenza non e ideologica. Dipende da cosa fa il service provider e da come sono fatte le asserzioni di bilancio dell'entita utilizzatrice. Entrambi gli approcci reggono al reviewer, purche la motivazione sia documentata. Quello che non regge e mappare tutti i controlli SOC 2 senza fare il filtro: e il pattern che la CONSOB ha sanzionato.
mappare i Trust Service Criteria sugli obiettivi ISAE 3402
Si costruisce una matrice. Ogni riga collega un controllo SOC 2 al Trust Service Criterion applicato, all'obiettivo di controllo ISAE 3402 corrispondente, e alla rilevanza finanziaria. I controlli di sicurezza SOC 2 si mappano in genere sui controlli di accesso logico ISAE 3402. I controlli di integrita dell'elaborazione si mappano su completezza e accuratezza delle transazioni. La parte difficile non e la mappatura nominale. E la colonna "rationale", dove il revisore deve spiegare perche un controllo testato secondo i Trust Service Criteria sia anche idoneo a soddisfare l'obiettivo ISAE 3402.
Nota di documentazione: nella colonna "rationale" della matrice, citare il Trust Service Criterion SOC 2 e l'obiettivo ISAE 3402 corrispondente. Aggiungere il riferimento all'ISA Italia 402.A8 che giustifica la rilevanza finanziaria.
la valutazione del design e il punto dove il SOC 2 non basta
L'ISAE 3402.A73 chiede di valutare se i controlli, individualmente e in combinazione, siano suitably designed per raggiungere gli obiettivi specificati. Il SOC 2 assume che i controlli aderenti ai Trust Service Criteria siano adeguatamente progettati. E qui il riuso si ferma. Per ogni controllo mappato, il fascicolo ISAE 3402 deve documentare il rationale del design: come il controllo previene o intercetta uno specifico misstatement, se opera con la precisione sufficiente, se il personale che lo esegue ha la competenza e l'autorita per farlo. Sono tre domande che il SOC 2 non pone esplicitamente. Quasi sempre il fascicolo SOC 2 contiene gli elementi per rispondere; quasi mai li ha gia formalizzati come richiesto dall'ISAE 3402.
Esempio applicato: organizzazione di servizi tecnologici
DataSecure Italia S.r.l. fornisce servizi di gestione dati sanitari a 45 ospedali pubblici fra Lombardia e Veneto. Ricavi 2024 pari a EUR 18M. La societa ha completato un SOC 2 Type II per il periodo 1 gennaio 2024 — 31 dicembre 2024 (le date sono nel report originale, separatore ammesso). Il committente del nuovo incarico e una ASL veneta che chiede l'ISAE 3402 in gara. Lo studio incaricato (boutique romana, tre soci, otto professionisti) ha quattordici giorni prima della scadenza del bando.
Estratto della matrice di mapping
| Controllo SOC 2 | Trust Service Criteria | Obiettivo ISAE 3402 | Rilevanza per il financial reporting |
|---|---|---|---|
| CC6.1 — Logical access controls restrict access to data | Security | Prevent unauthorized access to financial data processing systems | Alta — impedisce modifiche non autorizzate alle transazioni di billing |
| CC7.2 — System monitoring for security events | Security | Detect unauthorized changes to critical business data | Media — rileva modifiche ai dati di fatturazione |
| A1.2 — System availability monitoring and alerting | Availability | Ensure continuous processing of critical transactions | Bassa — l'uptime non incide direttamente sull'accuratezza delle transazioni |
Nota di documentazione: la colonna "rilevanza" deve contenere una valutazione specifica di come il controllo si lega alle asserzioni delle transazioni ai sensi dell'ISA Italia 402.A8. I controlli con rilevanza "bassa" possono essere esclusi dal mapping ISAE 3402, purche l'esclusione sia motivata e documentata.
Decisione sull'estensione del testing
Il controllo CC6.1 era stato testato sul SOC 2 con un campione di 25 utenti attivi durante l'anno. Il revisore ISAE 3402 deve estendere il test agli utenti di sistema (service account, processi automatizzati, integrazioni API). Il SOC 2 si concentra sugli utenti umani. L'ISAE 3402 chiede una copertura piu ampia perche le asserzioni di bilancio dipendono anche dai non-human actor che possono modificare le transazioni.
Il controllo CC7.2 era stato testato con review mensili dei log di sicurezza. L'ISAE 3402 chiede in piu evidenza che gli alert di sicurezza vengano effettivamente seguiti, che le eccezioni siano investigate, e che la response sia documentata. Il SOC 2 testa il monitoring; l'ISAE 3402 testa il monitoring piu il follow-up. La differenza, in ore, non e enorme. La differenza, nelle conseguenze del rilievo, e enorme.
Nota di documentazione: per ogni controllo, documentare l'extent del testing SOC 2 esistente, l'extent aggiuntivo richiesto per l'ISAE 3402, e la motivazione della differenza. Includere riferimenti specifici ai workpaper SOC 2 utilizzati e archiviati nel fascicolo.
Cosa e successo davvero su questo incarico
L'incarico DataSecure non si e chiuso pulito. A meta progetto, il responsabile della sicurezza del cliente ha comunicato che tre service account erano stati creati a febbraio 2024 senza passare dal processo di provisioning standard documentato in CC6.1. Il SOC 2 non aveva intercettato l'eccezione perche il campione di 25 utenti non aveva incluso quei tre account. L'ISAE 3402, con la copertura estesa ai service account, l'ha intercettata. La domanda diventa: come trattare l'eccezione? Si tratta di un design failure (il processo di provisioning ha consentito l'aggiramento) o di un operating failure (il processo era adeguato ma non e stato seguito in tre casi)?
Il giudizio non era ovvio. Il revisore ha qualificato l'eccezione come operating, sulla base che il processo documentato esisteva ed era stato approvato dal management, ma ha aggiunto una raccomandazione formale ai sensi dell'ISAE 3402.A29 per il rafforzamento del provisioning. Il partner del fascicolo ha condiviso. Il reviewer interno, in fase di pre-issuance, ha contestato: secondo lui, tre eccezioni in dieci mesi erano un segnale di design inadeguato, non di esecuzione carente. La discussione si e chiusa documentando entrambe le posizioni nel memorandum decisionale, con la conclusione finale che l'eccezione fosse operating ma con un design improvement raccomandato. Decisioni di questo tipo sono il vero contenuto del fascicolo ISAE 3402 — non la matrice di mapping che riempie le prime venti pagine.
Il mapping completato ha identificato 23 controlli SOC 2 rilevanti per l'ISAE 3402, di cui 8 hanno richiesto testing aggiuntivo per colmare gap di scope. Il testing incrementale ha richiesto circa 15 ore in piu rispetto al riuso integrale del SOC 2. Ore in piu che il partner non aveva preventivato a budget. Sui compensi irrisori che lo studio aveva accettato per entrare nel settore sanitario, quelle 15 ore sono uscite dal margine.
Gap di testing e procedure incrementali
Valutazione del design — i tre punti che il SOC 2 non risolve
Per ogni controllo mappato, il fascicolo deve dire:
- come il controllo previene o intercetta misstatement nelle asserzioni delle transazioni dell'entita utilizzatrice - se la precisione del controllo e sufficiente per raggiungere l'obiettivo specificato (un controllo mensile potrebbe essere precisione sufficiente per il SOC 2 ma insufficiente per intercettare errori finanziari quotidiani) - se chi esegue il controllo ha competenza e autorita coerenti con la natura del controllo
Testing dell'efficacia operativa — gli incrementi sistematici
I test SOC 2 raramente coprono tutti gli aspetti richiesti dall'ISAE 3402. I gap che ricorrono nei fascicoli che si esaminano:
Frequency testing. Il SOC 2 verifica se il controllo opera alla frequenza dichiarata. L'ISAE 3402 verifica se la frequenza sia adeguata a raggiungere l'obiettivo di controllo. Un controllo di riconciliazione mensile potrebbe essere conforme al criterio dichiarato (e quindi superare il SOC 2) ma insufficiente per prevenire errori finanziari significativi su transazioni che maturano quotidianamente.
Population coverage. I test SOC 2 spesso usano campioni statistici standard. L'ISAE 3402 richiede che il campione copra tutte le tipologie di transazioni rilevanti per le asserzioni finanziarie, con una stratificazione che puo essere diversa da quella del SOC 2 — per esempio, separando transazioni high-value e high-risk in strati distinti.
Exception follow-up. Il SOC 2 documenta le eccezioni. L'ISAE 3402 chiede che il revisore valuti l'impatto delle eccezioni sulle asserzioni finanziarie delle entita utilizzatrici. Un'eccezione che secondo i Trust Service Criteria e tollerabile potrebbe non esserlo secondo l'ISA Italia 402, se modifica la conclusione sull'efficacia del controllo rispetto a un'asserzione specifica.
Documentazione richiesta
La matrice di mapping non e la documentazione
L'ISA Italia 230.8 richiede che la documentazione di audit sia sufficiente perche un revisore esperto, non coinvolto nell'incarico, comprenda la natura, il timing e l'extent delle procedure eseguite. Una matrice di mapping da sola non lo soddisfa. Serve di piu.
Per i controlli mappati da SOC 2 a ISAE 3402, il fascicolo documenta:
1. Cross-reference matrix — ogni controllo SOC 2 testato, il controllo ISAE 3402 corrispondente, il rationale del mapping 2. Gap analysis — differenze specifiche fra test SOC 2 eseguiti e test ISAE 3402 richiesti, voce per voce 3. Procedure incrementali — descrizione delle procedure aggiuntive, conclusione, eccezioni 4. Reliance assessment — extent di reliance sui test SOC 2 rispetto ai test incrementali, con riferimento all'ISA Italia 402.13-15 per i criteri di reliance
Organizzazione del fascicolo
Il fascicolo va organizzato per consentire un tracking lineare dal controllo SOC 2 originale al test ISAE 3402 completato. Una struttura che ha funzionato sui fascicoli che si conoscono:
Sezione A — matrice di mapping completa con controlli SOC 2, Trust Service Criteria, obiettivi ISAE 3402, valutazione di rilevanza finanziaria. Sezione B — gap analysis per controllo, con scope differences e testing increments. Sezione C — workpaper dei test incrementali, con cross-reference puntuali ai workpaper SOC 2 sottostanti.
Errori di mapping piu frequenti
Riuso eccessivo dei test SOC 2 di availability. I controlli che garantiscono uptime di sistema raramente si mappano su controlli ISAE 3402 rilevanti per il financial reporting. La guidance AICPA del 2023 conferma che la disponibilita del sistema e in linea generale irrilevante per l'accuratezza delle transazioni finanziarie. Lo studio che li mappa lo stesso, "per non lasciare buchi", finisce per gonfiare la matrice e indebolire la credibilita delle valutazioni di rilevanza fatte sui controlli importanti.
Documentazione del design effectiveness insufficiente. Il SOC 2 assume che i controlli conformi ai Trust Service Criteria siano adeguatamente progettati. L'ISAE 3402 richiede documentazione esplicita del perche ogni controllo sia suitably designed per l'obiettivo specificato. Il rationale non puo essere "aderente al SOC 2".
Mancato collegamento alle asserzioni finanziarie. Mappare tutti i controlli SOC 2 sull'ISAE 3402 senza fare il filtro di rilevanza. La guidance IFAC del 2024 specifica che solo i controlli che incidono sulle asserzioni di bilancio dell'entita utilizzatrice sono rilevanti per l'ISAE 3402. La mappatura totale produce un fascicolo grosso e debole, non grosso e robusto.
L'incentivo che produce il mapping sbagliato
Vale la pena nominare la pressione strutturale che produce questi errori, perche e prevedibile. Lo studio che accetta un ISAE 3402 a un compenso costruito sul presupposto del riuso totale del SOC 2 — e succede sui mandati piccoli e medi, dove il margine e gia sottile — non ha incentivo a fare il filtro di rilevanza nel modo richiesto. Il filtro fatto bene riduce l'illusione di copertura e aumenta le ore di testing incrementale. Il filtro fatto male permette di chiudere il fascicolo in tempo. Il revisore dell'entita utilizzatrice, anni dopo, non potra usare il report come voleva. Pero la fattura era stata pagata.
Il secondo ordine: questo e lo stesso meccanismo per cui il MEF, nei controlli qualita programmati per il 2025-2026, sta concentrando l'attenzione proprio sui fascicoli di service organization. Non perche siano piu sbagliati di altri. Perche il gap fra cio che il fascicolo dice e cio che il revisore terzo puo effettivamente usarci sopra e piu evidente che altrove.
Contenuti correlati
- ISAE 3402 Control Matrix Template — template Excel per mappare e testare i controlli delle organizzazioni di servizi secondo l'ISAE 3402 - Service Organization Control Assessment — definizione di cosa costituisce controllo rilevante per l'entita utilizzatrice ai sensi dell'ISA Italia 402 - ISA Italia 402 Reliance Framework — come valutare e documentare la reliance sui controlli delle organizzazioni di servizi durante un audit finanziario