Definition

Quando un'entità affida la contabilità, gli archivi fiscali o i sistemi informativi critici a un provider cloud, il revisore non può esaminare fisicamente i server, gli ambienti di produzione o i log di accesso nello stesso modo in cui potrebbe fare per un data center interno. ISA 315.20(a) richiede di valutare se i sistemi informativi consentono all'entità di registrare, elaborare, sintetizzare e rendicontare i dati in modo accurato e tempestivo.

Come funziona

Quando un'entità affida la contabilità, gli archivi fiscali o i sistemi informativi critici a un provider cloud, il revisore non può esaminare fisicamente i server, gli ambienti di produzione o i log di accesso nello stesso modo in cui potrebbe fare per un data center interno. ISA 315.20(a) richiede di valutare se i sistemi informativi consentono all'entità di registrare, elaborare, sintetizzare e rendicontare i dati in modo accurato e tempestivo.
Nel caso del cloud, questa valutazione dipende largamente da:
1. La capacità di ottenere evidenza sui controlli del provider. Se il provider non rilascia una relazione ISAE 3402 (Type II) o equivalente, il revisore non dispone di documenti indipendenti che attestino l'efficacia dei controlli sui dati. ISA 330.7 consente di fare affidamento sui controlli altrui, ma solo se si ottiene evidenza sufficiente della loro efficacia. Una dichiarazione verbale del provider non è sufficiente.
2. L'accesso del revisore ai dati per il campionamento e la procedura analitica. Se i dati risiedono in un ambiente cloud con credenziali ristrette, il revisore potrebbe non riuscire a effettuare esclusioni di un server di prova o accedere a log dettagliati. Questo limita le procedure di revisione disponibili e aumenta il rischio di non individuare errori.
3. La resilienza dell'infrastruttura cloud. I provider cloud gestiscono backup, ridondanza geografica e disaster recovery, ma il revisore deve verificare che questi controlli funzionino e che l'entità abbia piani documentati per il ripristino in caso di interruzione del servizio.

Esempio pratico: Soluzioni Logistiche Meridionali S.r.l.

Cliente: Società di logistica italiana, fatturato circa EUR 28M, archivi contabili completamente su Salesforce Financial Services Cloud (SFC), data residenza in tre regioni europee (Francia, Germania, Italia).
Situazione: Il dirigente responsabile comunica che Salesforce gestisce tutti i backup e la ridondanza, quindi non occorre preoccuparsi della continuità dei dati. Il revisore non ha mai richiesto una relazione ISAE 3402 perché assume che "il cloud sia sicuro per definizione."
Passo 1: Identificare il rischio specifico.
ISA 315.29 richiede di identificare rischi di errore dovunque i sistemi non siano controllati internamente. Nel caso di Soluzioni Logistiche, la contabilità esiste esclusivamente in Salesforce: non c'è copia locale, nessun backup interno, nessun accesso fisico ai server. Se Salesforce subisce una violazione della sicurezza o un'interruzione non prevista, l'entità non può nemmeno accedere ai suoi propri dati. Questo è un rischio significativo.
Nota di documentazione: "Identificato rischio significativo: dipendenza totale da provider SaaS; assenza di evidenza indipendente sui controlli del provider; nessun piano documentato di ripristino da disastro."
Passo 2: Richiedere la relazione ISAE 3402 del provider.
Il revisore richiede a Salesforce una relazione ISAE 3402 Type II per il periodo di revisione. Salesforce fornisce una relazione che copre i controlli su: segregazione dei dati per cliente, crittografia in transito e a riposo, autenticazione multi-fattore, log di accesso, disaster recovery con RTO di 4 ore e RPO di 15 minuti.
Nota di documentazione: "ISAE 3402 Type II relativo a Salesforce Financial Services Cloud, periodo 1 gennaio – 31 dicembre 2024, ricevuto da Salesforce il [data]. Revisore indipendente: Deloitte. Nessun rilievo significativo."
Passo 3: Verificare l'accesso del revisore ai dati.
Il revisore verifica di poter accedere ai registri contabili in Salesforce utilizzando credenziali di sola lettura fornite dal cliente. Esegue una procedura di estrazione dati: estrae l'elenco di tutte le transazioni di vendita del 2024, verifica che il totale corrisponda al registro maestro e seleziona un campione casuale di 50 transazioni per il testing dettagliato. Questo conferma che i dati sono accessibili e che le procedure analitiche sono realizzabili.
Nota di documentazione: "Accesso confermato a Salesforce con credenziali _readonly_. Data extract del 2024-12-31 contiene 8.347 transazioni di vendita per un totale di EUR 26,4M. Campione MUS di 50 voci estratto e testato; nessun errore riscontrato."
Passo 4: Valutare il piano di continuità aziendale dell'entità.
Il revisore chiede al responsabile informatico di Soluzioni Logistiche qual è il piano in caso di interruzione del servizio Salesforce superiore a 24 ore. Il cliente produce un documento che dichiara: "In caso di interruzione, contatteremo Salesforce e aspetteremo il ripristino." Questo non è un piano di continuità; è una descrizione di cosa non fare.
Il revisore documenta che il cliente manca di un piano alternativo formale. Sebbene Salesforce garantisca un RTO di 4 ore secondo ISAE 3402, il cliente stesso non ha flussi di lavoro alternativi né accessi di emergenza ai dati. Se Salesforce dovesse essere down per più di qualche ora, il cliente non potrebbe fatturare, raccogliere ordini o pagare fornitori.
Nota di documentazione: "Piano di continuità aziendale: inesistente. Cliente dichiara di contare esclusivamente sulla ridondanza di Salesforce. Rischio: interruzione operativa di oltre 4 ore durante il periodo di revisione comporterebbe l'impossibilità di preparare bilanci tempestivamente. Discusso con il responsabile informatico il 12 febbraio 2025."
Conclusione:
Soluzioni Logistiche ha un controllo chiave (ISAE 3402 del provider), ma manca di controlli compensativi interni (piani alternativi, backup locali, accesso di emergenza ai dati). Il revisore documenta questo nella valutazione del rischio (ISA 315 memorandum di pianificazione) e considera se sia opportuno mantenere un'estensione del campione di procedure analitiche per aumentare la sicurezza data la limitata visibilità sui dati. La relazione ISAE 3402 Type II del provider riduce il rischio intrinseco, ma non lo elimina.

Cosa catturano i revisori e gli ispettori

Tier 1: Rilievo ispettivo nominato:
Nel 2023, l'AFM ha riscontrato in 15 file di revisione che utilizzavano SaaS l'assenza di una relazione ISAE 3402 Type II da parte del provider. In 8 di questi file, il revisore non aveva nemmeno richiesto la relazione al cliente. ISA 330.7 consente di fare affidamento sui controlli di terzi, ma solo previo ottenimento di evidenza sulla loro efficacia. L'AFM ha osservato che una dichiarazione informale del provider ("i nostri sistemi sono sicuri") non soddisfa questo requisito.
Tier 2: Errore pratico standard-referenced:
Molti revisori trascurano di documentare nella matrice dei rischi (ISA 315 Appendix 2) che il fornitore cloud è un'entità terza rilevante per il controllo interno sui dati. Di conseguenza, non valutano formalmente se sia necessario ottenere evidenza sui controlli del provider. ISA 315.20(a) richiede esplicitamente di valutare come i sistemi informativi consentono all'entità di registrare e rendicontare in modo accurato: un'entità che affida completamente la contabilità a un provider SaaS non può soddisfare questo requisito senza evidenza indipendente sui controlli del provider stesso.
Tier 3: Divario di pratica documentato:
Gli studi di revisione più piccoli talvolta presuppongono che i provider cloud "siano già stati controllati da altri revisori," quindi non richiedono una relazione ISAE 3402 specifica al periodo di revisione dell'entità. Tuttavia, una relazione ISAE 3402 è specifica del provider e del periodo: una relazione di Salesforce per il 2023 non coprirà i controlli per il 2024. La pratica corretta è richiedere una relazione ISAE 3402 Type II che copra almeno il 90% del periodo di revisione dell'entità, o condurre procedure alternative (es. interviste ai rappresentanti del provider, test dei log di accesso) per colmare il divario temporale.

Cloud computing vs. data center interno

| Dimensione | Cloud (SaaS/IaaS) | Data center interno |
|---|---|---|
| Chi gestisce l'infrastruttura? | Fornitore esterno (Salesforce, AWS, Azure) | Entità stessa o fornitore interno |
| Accesso fisico del revisore ai server | No; limitato a interfaccia web e API | Sì; il revisore può visitare e ispezionare |
| Evidenza sui controlli | Relazione ISAE 3402 Type II del provider | Valutazione diretta dei controlli interni dell'entità (ISA 315) |
| Rischio di interruzione del servizio | Gestito dal provider con SLA; RTO tipico 4-24 ore | Responsabilità intera dell'entità; RTO dipende da piani interni |
| Backup e disaster recovery | Inclusi nel servizio cloud; raramente visibili all'entità | Gestiti dall'entità stessa; verificabili dal revisore |
| Costo della valutazione di controllo | Basso se il provider pubblica ISAE 3402; alto se no | Moderato; richiede visita in loco |
La distinzione pratica: se il provider non pubblica una relazione ISAE 3402, il revisore non dispone di un percorso standard per ottenere evidenza sui controlli. Se l'entità dispone di un data center interno, il revisore può condurre un'ispezione diretta (ISA 500.6(c)). Nel cloud, l'ispezione non è possibile; il revisore dipende dalla comunicazione del provider e dalla relazione ISAE 3402.

Strumenti correlati

Ciferi offre il Valutatore di rischi IT (ISA 315) che include una sezione dedicata alla valutazione dei controlli dei fornitori cloud. Lo strumento guida il revisore attraverso le domande chiave:
Lo strumento produce un memorandum di pianificazione (ISA 315.32) pronto per il fascicolo.

  • Il fornitore ha pubblicato una relazione ISAE 3402 Type II?
  • Se sì, copre il periodo di revisione e i controlli critici per l'entità?
  • Se no, quali procedure alternative il revisore può condurre?
  • Quali rischi residui rimangono anche con la relazione ISAE 3402?

Termini correlati

ISA 315: Il principio che richiede al revisore di comprendere i sistemi informativi e identificare rischi di errore materiale.
ISAE 3402 Type II: La relazione di revisione standard che attesta l'efficacia dei controlli di un fornitore di servizi. Nel contesto del cloud computing, è lo strumento principale per ottenere evidenza sui controlli del provider.
Controllo interno sui sistemi informativi: L'insieme dei controlli che garantiscono che i dati siano elaborati accuratamente e siano protetti da accessi non autorizzati. Nel cloud, questi controlli sono gestiti dal provider.
Valutazione del rischio di continuità aziendale: La procedura che il revisore deve svolgere per valutare se l'interruzione prolungata del servizio cloud costituirebbe un evento o una condizione che solleva dubbi sulla continuità aziendale (ISA 570).
Dipendenza da provider terzi: Il concetto secondo cui il revisore deve ottenere evidenza sulla efficacia dei controlli di enti terzi da cui l'entità dipende per il completamento della preparazione del bilancio.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.