Definition
Quando un cliente esternalizza il payroll, la fatturazione o la custodia titoli a un service organization, il fascicolo non può chiudersi senza una valutazione strutturata dei controlli del fornitore. Il SOC 1 (di provenienza statunitense) e il suo gemello internazionale ISAE 3402 sono i documenti che la CONSOB e il CNDCEC si aspettano di vedere agli atti, insieme alla nostra valutazione di adeguatezza. Negli studi che usano service organization su payroll o fatturazione, il SOC 1 diventa il perno del fascicolo.
Come funziona
Il SOC 1 viene emesso da un revisore indipendente del service organization, non dal revisore dell'utente (il vostro cliente). Il revisore del fornitore esamina i controlli implementati su sistemi, processi e procedure che incidano sulla precisione e l'integrità dei dati finanziari del cliente. Ai sensi dello SSAE 18, il revisore del fornitore forma un'opinione sul fatto che i controlli descritti siano stati progettati e funzionino efficacemente nel periodo di riferimento.
L'SSAE 18 AT-C 320.01 richiede che il rapporto SOC 1 includa una descrizione dettagliata dell'ambito dei servizi coperti, dei controlli rilevanti e dei risultati dei test eseguiti. Come revisori dell'entità utente, potete usare il rapporto per ottenere evidenza sui controlli del fornitore, senza poter delegare la responsabilità complessiva. Va comunque valutato se i controlli identificati nel SOC 1 mitighino adeguatamente i rischi di errore nelle vostre aree di revisione critiche.
Il Type II è particolarmente prezioso perché copre un arco temporale (minimo sei mesi) e fornisce evidenza del funzionamento effettivo dei controlli, non solo della loro progettazione. Il Type I, rilasciato a una data specifica, dimostra che i controlli esistessero in quel momento, senza tuttavia garantire che abbiano funzionato correttamente nei mesi precedenti il vostro audit. Un fascicolo che si limita a fotocopiare il SOC 1 del service organization non basta più: il CNDCEC lo segnala in revisione qualità.
Esempio pratico: Fiduciaria Alpina S.p.A.
Contesto: Fiduciaria Alpina S.p.A. è una società di amministrazione fiduciaria italiana con ricavi per €28M, con sede a Trento. Si avvale di un fornitore di servizi cloud per l'elaborazione delle transazioni di deposito titoli e il riconciliamento dei conti clienti. Il vostro incarico di revisione copre il bilancio al 31 dicembre 2024.
Passo 1: Identificare il rischio di errore nei servizi esternalizzati
In sede di valutazione dei rischi ai sensi dell'ISA 315, identificate che il ciclo della gestione titoli (500 clienti, €420M di titoli gestiti) passi interamente attraverso il sistema del fornitore. La riconciliazione manuale avviene solo mensilmente. Un errore nel fornitore potrebbe restare non rilevato per 30 giorni.
Nota di documentazione: si documenta nel memorandum di pianificazione che "l'integrità dei dati di deposito titoli dipende interamente dai controlli implementati dal fornitore cloud. Impossibile testare il ciclo completo senza un SOC 1 Type II."
Passo 2: Richiedere il SOC 1 Type II al fornitore
Si chiede al cliente (Fiduciaria Alpina) di ottenere dal fornitore un SOC 1 Type II con data di fine periodo non anteriore al 30 novembre 2024. Si specifica che l'ambito copra "transazioni di deposito titoli, riconciliazione, accesso utente e disaster recovery."
Nota di documentazione: allegare la comunicazione scritta al fornitore nel file. Registrare la data di ricezione del SOC 1.
Passo 3: Valutare l'adeguatezza del SOC 1 ricevuto
Il SOC 1 Type II di Fiduciaria Alpina, datato 31 dicembre 2024, include una descrizione dei controlli su: validazione dei dati in ingresso, separazione dei compiti fra operatori e supervisori, logging delle modifiche, backup giornaliero. Il revisore del fornitore ha testato questi controlli per tutto il periodo da luglio a dicembre 2024 e ha concluso che funzionino efficacemente.
Il rapporto NON copre però il controllo del "blocco accesso utente dopo tre fallimenti di autenticazione": un controllo che avete identificato come critico per prevenire l'accesso non autorizzato. Va inoltre considerato che il periodo di test del SOC 1 termini il 31 dicembre, lasciando un gap di controllo se l'esame esterno di Fiduciaria continui oltre quella data.
Nota di documentazione: si registra nel foglio di lavoro sui controlli del fornitore quale controllo sia coperto dal SOC 1 e quale no. Si annota che il controllo di autenticazione NON sia incluso nel SOC 1. Si pianifica di testare direttamente quel controllo tramite tracciamento di access log dal 1° gennaio 2025 fino alla data di completamento del vostro audit (31 gennaio 2025).
Passo 4: Combinare il SOC 1 con test diretto sui controlli non coperti
Si ottengono dal cliente i log di accesso del sistema per gennaio 2025 e si verifica manualmente che i lockout automatici si siano verificati dopo tre tentativi falliti per almeno 10 utenti casuali. Si documentano i risultati nel proprio foglio di lavoro.
Nota di documentazione: "SOC 1 Type II rilasciato dal revisore del fornitore fornisce evidenza sufficiente su validazione dati in ingresso, separazione dei compiti e logging. Test diretto su access lock-off completato per gennaio 2025 con risultati soddisfacenti. Conclusione: i controlli nel ciclo di deposito titoli funzionano efficacemente."
Conclusione: Il SOC 1 Type II riduce in misura sostanziale il vostro lavoro di revisione sui controlli del fornitore, senza eliminarlo. I controlli non coperti dal SOC 1 richiedono comunque test diretto. In assenza del SOC 1, sarebbe stato necessario condurre uno studio completo dell'ambiente di elaborazione del fornitore (un lavoro molto più dispendioso). Con esso, si concentrano i test sulle lacune e si valida la continuità fra il periodo coperto dal SOC 1 (luglio-dicembre) e la vostra data di audit.
Cosa i revisori e i professionisti sbagliano
- Errore comune: confondere Type I e Type II. Molti revisori accettano un Type I emesso a giugno per un audit condotto a dicembre, credendo che il controllo sia stato testato nel tempo. Il Type I è una "fotografia" di un momento. Per un audit a dicembre serve un Type II che copra almeno fino a novembre. Il revisore del fornitore è obbligato dallo SSAE 18 AT-C 320.35 a testare i controlli per un periodo minimo di sei mesi per un Type II.
- Errore comune: delegare in toto la responsabilità. Ai sensi dell'ISA 402 (ove applicabile), il vostro cliente si avvale di un service organization che fornisce servizi che incidano sulle transazioni significative. L'ISA 402.13 richiede che valutiate se i controlli del fornitore siano appropriati. Il SOC 1 è evidenza, non una delega della vostra responsabilità. Qualora il SOC 1 concluda che un controllo NON funzioni efficacemente, dovete comunque determinare come affrontare il rischio (attraverso test di controllo diretto o procedure sostanziali ampliate). Non è ammesso rifiutare l'incarico solo perché il SOC 1 non sia idoneo.
- Errore comune: non documentare le lacune di copertura. Il SOC 1 Type II copre l'ambito definito dal fornitore e dal suo revisore. Qualora l'ambito escluda un'area critica per il vostro audit (ad esempio, il disaster recovery), il rapporto non risulta utilizzabile per quell'area. Molti revisori lo ricevono, lo leggono superficialmente e lo archiviano senza notare che copra 8 dei 10 rischi importanti. Quando i reviewer del CNDCEC esaminano il vostro file, chiedono: "Come avete affrontato il rischio di perdita di dati?" e voi non avete una risposta documentata. Nessuno ama questa procedura, ma saltarla è il modo in cui un fascicolo si fa segnalare.
Confronto: SOC 1 Type I vs Type II
| Aspetto | Type I | Type II |
|---|---|---|
| Cosa attesta | I controlli sono stati progettati e implementati a una data specifica | I controlli hanno funzionato efficacemente per un periodo minimo di sei mesi |
| Quando usarlo | Valutazione iniziale di un nuovo fornitore, o quando la storia operativa è breve | Audit annuali, revisioni continuative, quando occorre evidenza del funzionamento nel tempo |
| Limitazioni | Nessuna evidenza che il controllo funzioni, solo che esista | Le anomalie trovate durante il periodo potrebbero non essere state rilevate dal revisore del fornitore (il SOC 1 testa un campione, non ogni transazione) |
| Durata della validità | Indicativamente 6-12 mesi dalla data di rilascio | Indicativamente 12 mesi, ma la pratica accettata è che il periodo di test copra fino a tre mesi prima della vostra data di audit |
Quando la distinzione conta in un incarico di revisione
Si immagini di stare revisionando una holding finanziaria con 50 clienti in servizi di custodia. Si ricevono due SOC 1 dal vostro fornitore di servizi: uno Type I datato 15 marzo, uno Type II che copre il periodo da settembre 2023 a marzo 2024. Il vostro audit è per il 31 dicembre 2024.
Se si usa solo il Type I (l'unico datato dopo l'anno finanziario), si ha evidenza che i controlli esistessero il 15 marzo 2024. Ma non si ha evidenza che abbiano funzionato da marzo a dicembre. Ai sensi dello SSAE 18, il revisore del fornitore potrebbe aver certificato i controlli il 15 marzo, mentre il fornitore avrebbe potuto modificare il sistema il 16 marzo senza che voi ne foste informati.
Se si usa il Type II (settembre 2023-marzo 2024), si ottiene evidenza di funzionamento effettivo per sei mesi, ma il vostro audit al 31 dicembre crea un gap di nove mesi dopo la fine del periodo Type II. Va comunque affrontato il rischio per quel gap, attraverso test di controllo successivo per le transazioni da aprile a dicembre, oppure attraverso procedure sostanziali ampliate su un campione di transazioni in quel periodo.
La distinzione conta perché determina se il vostro piano di audit possa includere un approccio basato sul controllo (SOC 1 Type II valido + test del gap) o se occorra un approccio più sostanziale (campionamento di transazioni significative indipendentemente dai controlli del fornitore). Nei fascicoli che vediamo, è proprio sulla copertura temporale che si gioca la differenza fra un fascicolo difendibile e uno fragile.
Termini correlati
- ISAE 3402 Report: certificazione di controllo interno per service organization nei Paesi che non usino SSAE 18 (standard internazionale equivalente al SOC 1, emesso secondo gli International Standards on Assurance Engagements anziché SSAE).
- Servizi di terzi: quando un'entità esternalizzi funzioni critiche e il revisore debba valutare i controlli del fornitore ai sensi dell'ISA 402.
- Valutazione dei rischi significativi: identificazione dei cicli e delle transazioni dove i rischi di errore siano elevati. Primo passo per determinare se occorra una certificazione SOC 1 dal fornitore.
- Controllo interno: il sistema complessivo di controlli di cui il SOC 1 attesta una parte specifica per il fornitore.
- Audit plan: approccio basato sul controllo vs approccio sostanziale: scelta che dipende dal fatto che il SOC 1 sia disponibile e copra adeguatamente i rischi identificati.
- Responsabilità del revisore sui servizi esternalizzati: quadro normativo che richiede la valutazione del SOC 1 ma non ammette delega della responsabilità finale.
Strumenti correlati
Si rinvia al Kit di valutazione del controllo del fornitore (ISA 402) per modelli di pianificazione, fogli di lavoro per l'interpretazione del SOC 1 e checklist di test diretto per le aree non coperte dal rapporto.
---