DataSecure Italia S.r.l. fornisce servizi di gestione dati sanitari per 45 ospedali pubblici in Lombardia e Veneto. L'azienda ha completato una certificazione SOC 2 Type II per il periodo dall'1 gennaio 2024 al 31 dicembre 2024, con ricavi di EUR 18M.

Indice dei contenuti

Framework comparison: SOC 2 vs ISAE 3402

Scope and objective differences


L'ISAE 3402 valuta i controlli di un'organizzazione di servizi che sono rilevanti per il controllo interno delle entità utilizzatrici sui rapporti finanziari. L'ISA Italia 402.8 definisce i controlli rilevanti come quelli che forniscono ragionevole sicurezza che le affermazioni nelle transazioni delle entità utilizzatrici siano prevenute, identificate e corrette.
Il SOC 2, sviluppato dall'AICPA, valuta i controlli rispetto ai Trust Service Criteria: sicurezza, disponibilità, integrità della elaborazione, riservatezza e privacy. Il framework americano si concentra sulla protezione dei dati e sulla disponibilità del servizio, non necessariamente sui controlli rilevanti per i rapporti finanziari.

Reporting framework differences


L'ISAE 3402.49 richiede che il report dell'auditor esprima un'opinione sia sull'adeguatezza del design dei controlli sia sulla loro efficacia operativa. Il report deve includere una descrizione del sistema dell'organizzazione di servizi, i controlli testati, i risultati dei test e le eccezioni identificate.
Il SOC 2 Type II produce un report sull'efficacia operativa dei controlli nel tempo, tipicamente per un periodo di 12 mesi. Il report include la descrizione del sistema, i criteri applicati, i test eseguiti e i risultati. La struttura è simile all'ISAE 3402, ma i criteri di valutazione differiscono.

Control mapping methodology

Step 1: Identify financial reporting relevance


Prima di mappare qualsiasi controllo SOC 2, determina se il controllo è rilevante per i rapporti finanziari secondo l'ISA Italia 402. Un controllo di sicurezza che impedisce accessi non autorizzati ai sistemi di billing è rilevante. Un controllo sulla disponibilità del sistema che garantisce uptime del 99.5% potrebbe non esserlo.
L'ISA Italia 402.A8 fornisce esempi di controlli rilevanti: controlli sui completeness, accuratezza e validità dell'elaborazione delle transazioni, controlli sui dati master, controlli sulla sicurezza logica per prevenire modifiche non autorizzate ai dati finanziari.

Step 2: Map SOC 2 criteria to ISAE 3402 control objectives


Crea una matrice che mappa ogni controllo SOC 2 agli obiettivi di controllo ISAE 3402. I controlli di sicurezza SOC 2 si mappano generalmente sui controlli di accesso logico ISAE 3402. I controlli di integrità della elaborazione si mappano sui controlli di completezza e accuratezza delle transazioni.
Nota di documentazione: documenta la logica di mapping per ogni controllo nella colonna "Rationale" della matrice. Includi il riferimento al Trust Service Criteria SOC 2 e l'obiettivo di controllo ISAE 3402 corrispondente.

Step 3: Assess design effectiveness gaps


L'ISAE 3402.A73 richiede che l'auditor valuti se i controlli, individualmente e in combinazione, sono suitably designed per raggiungere gli obiettivi specificati. Il SOC 2 assume che i controlli siano adeguatamente progettati se soddisfano i Trust Service Criteria.
Rivedi ogni controllo mappato per determinare se la valutazione SOC 2 del design è sufficiente per l'ISAE 3402. Spesso è necessario documentare ulteriormente il rationale del design, specialmente per controlli automatizzati e controlli dipendenti dalle tecnologie informatiche.

Worked example: Technology service organization

DataSecure Italia S.r.l. fornisce servizi di gestione dati sanitari per 45 ospedali pubblici in Lombardia e Veneto. L'azienda ha completato una certificazione SOC 2 Type II per il periodo dall'1 gennaio 2024 al 31 dicembre 2024, con ricavi di EUR 18M. Ora necessita di un report ISAE 3402 per conformarsi ai requisiti dei clienti europei.

Control mapping matrix - Extract


| SOC 2 Control | Trust Service Criteria | ISAE 3402 Control Objective | Financial Reporting Relevance |
|---------------|------------------------|------------------------------|-------------------------------|
| CC6.1 - Logical access controls restrict access to data | Security | Prevent unauthorized access to financial data processing systems | Alto - impedisce modifiche non autorizzate alle transazioni di billing |
| CC7.2 - System monitoring for security events | Security | Detect unauthorized changes to critical business data | Medio - rileva modifiche ai dati di fatturazione |
| A1.2 - System availability monitoring and alerting | Availability | Ensure continuous processing of critical transactions | Basso - l'uptime non influenza direttamente l'accuratezza delle transazioni |
Nota di documentazione: la colonna "Financial Reporting Relevance" deve contenere una valutazione specifica di come il controllo si relaziona alle affermazioni delle transazioni secondo l'ISA Italia 402.A8. I controlli con rilevanza "Bassa" possono essere esclusi dal mapping ISAE 3402.

Testing approach decision


Il controllo CC6.1 del SOC 2 è stato testato su un campione di 25 utenti attivi durante l'anno. Per l'ISAE 3402, espandi il testing per includere anche gli utenti di sistema e i processi automatizzati. Il SOC 2 si concentra sugli utenti umani; l'ISAE 3402 richiede una copertura più ampia.
Il controllo CC7.2 è stato testato tramite review mensili dei log di sicurezza. Per l'ISAE 3402, verifica anche che gli alert di sicurezza vengano follow-up appropriatamente e che le eccezioni vengano investigate. Il SOC 2 testa il monitoring; l'ISAE 3402 richiede evidenza della response.
Nota di documentazione: per ogni controllo, documenta l'extent del testing SOC 2 esistente, l'extent aggiuntivo richiesto per l'ISAE 3402, e il rationale per la differenza. Include riferimenti specifici ai workpapers SOC 2 utilizzati.
La mappatura ha identificato 23 controlli SOC 2 rilevanti per l'ISAE 3402, con 8 controlli che richiedono testing aggiuntivo per colmare i gap di scope. Il testing incrementale richiede circa 15 ore aggiuntive rispetto al riutilizzo completo del lavoro SOC 2.

Testing gaps and additional procedures

Design effectiveness assessment


L'ISAE 3402 richiede una valutazione esplicita dell'efficacia del design che va oltre la conformità ai Trust Service Criteria. Per ogni controllo mappato, documenta:

Operating effectiveness testing increments


I test SOC 2 potrebbero non coprire tutti gli aspetti richiesti dall'ISAE 3402. Gap comuni:
Frequency testing: Il SOC 2 testa se un controllo opera alla frequenza dichiarata. L'ISAE 3402 testa se la frequenza è sufficiente per raggiungere l'obiettivo di controllo. Un controllo mensile potrebbe essere adeguato per il SOC 2 ma insufficiente per prevenire errori significativi nei rapporti finanziari.
Population coverage: I test SOC 2 spesso utilizzano campioni statistici standard. L'ISAE 3402 richiede che il campione copra tutte le transazioni rilevanti per le affermazioni finanziarie, che potrebbe richiedere un campione più ampio o stratificato diversamente.
Exception follow-up: Il SOC 2 documenta le eccezioni identificate durante i test. L'ISAE 3402 richiede una valutazione dell'impatto delle eccezioni sulle affermazioni finanziarie delle entità utilizzatrici.

  • Come il controllo previene o rileva misstatement nelle affermazioni delle transazioni
  • Se il controllo opera con la precisione sufficiente per raggiungere l'obiettivo specificato
  • Se il controllo è implementato da personale con competenza e autorità appropriate
  • Se la combinazione di controlli (preventivi e di rilevamento) copre il rischio in modo bilanciato secondo l'ISAE 3402.A75: per DataSecure Italia S.r.l., il controllo CC6.1 da solo previene gli accessi non autorizzati ai dati di billing, ma senza il controllo di detection CC7.2 sui log di sicurezza, eventuali compromissioni che superano il preventivo non vengono identificate prima della chiusura del periodo, lasciando un gap significativo sull'asserzione di accuratezza delle transazioni

Documentation requirements

Mapping documentation


L'ISA Italia 230.8 richiede che la documentazione di audit sia sufficiente per permettere a un auditor esperto, che non ha precedente coinvolgimento nell'incarico, di comprendere la natura, timing ed extent delle procedure eseguite.
Per i controlli mappati da SOC 2 a ISAE 3402, documenta:

Working paper organization


Organizza i workpapers per consentire clear tracking dal controllo SOC 2 originale attraverso il mapping fino al test ISAE 3402 completato:
Sezione A: Matrice di mapping completa con controlli SOC 2, Trust Service Criteria, obiettivi ISAE 3402 e assessment di rilevanza finanziaria
Sezione B: Analisi dei gap per controllo, includendo scope differences e testing increments richiesti
Sezione C: Workpapers dei test incrementali, con clear cross-reference ai workpapers SOC 2 sottostanti

  • Cross-reference matrix: Mappa ogni controllo SOC 2 testato al controllo ISAE 3402 corrispondente, includendo il rationale per il mapping
  • Gap analysis: Identifica differenze specifiche tra i test SOC 2 eseguiti e i test ISAE 3402 richiesti
  • Incremental procedures: Documenta le procedure aggiuntive eseguite per colmare i gap identificati
  • Reliance assessment: Valuta l'extent di reliance sui test SOC 2 vs. i test incrementali

Practical checklist

  • Rivedi i Trust Service Criteria per ogni controllo SOC 2: determina se il controllo è rilevante per le affermazioni finanziarie secondo l'ISA Italia 402.A8
  • Crea la matrice di mapping: documenta il controllo SOC 2, il criterio applicato, l'obiettivo ISAE 3402 corrispondente e il rationale per il mapping
  • Identifica i gap di design: confronta la valutazione SOC 2 del design con i requisiti ISAE 3402.A73 per l'efficacia del design
  • Analizza i gap di testing: determina se l'extent, frequency e population coverage dei test SOC 2 sono sufficienti per l'ISAE 3402
  • Esegui le procedure incrementali: completa il testing aggiuntivo richiesto per colmare i gap identificati
  • Il fattore più critico: assicurati che ogni controllo mappato abbia una clear connection alle affermazioni finanziarie delle entità utilizzatrici, non solo ai Trust Service Criteria del SOC 2

Common mistakes

Affidamento eccessivo sui test di disponibilità del SOC 2: I controlli che garantiscono uptime del sistema raramente si mappano sui controlli ISAE 3402 rilevanti per i rapporti finanziari. L'AICPA guidance del 2023 conferma che la disponibilità del sistema è generalmente irrilevante per l'accuratezza delle transazioni finanziarie.
Documentazione insufficiente sull'efficacia del design: Il SOC 2 assume che i controlli conformi ai Trust Service Criteria siano adeguatamente progettati. L'ISAE 3402 richiede documentazione esplicita di perché ogni controllo è progettato adeguatamente per l'obiettivo specificato.
Collegamento ai rapporti finanziari mancante: Mappare tutti i controlli SOC 2 sull'ISAE 3402 senza valutare la rilevanza finanziaria. L'international audit guidance IFAC del 2024 enfatizza che solo i controlli che influenzano le affermazioni finanziarie sono rilevanti per l'ISAE 3402.
Trascurare il period coverage gap tra i due report (ISAE 3402.20 e ISA 402.16): Per DataSecure Italia S.r.l., il SOC 2 Type II copre l'anno solare 2024 (1 gennaio - 31 dicembre) mentre molti user auditor europei chiudono il bilancio al 30 giugno. Il team riutilizza i test SOC 2 senza considerare il gap di 6 mesi non coperto, e l'ISAE 3402.20 richiede invece di ottenere bridge letter o di eseguire procedure aggiuntive per il periodo non coperto, altrimenti il report ISAE 3402 emesso non supporta affidabilmente l'asserzione del user auditor sul periodo del proprio bilancio.

Related content

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.