Come funziona

Un SOC 1 è emesso da un revisore indipendente del fornitore di servizi, non dal revisore dell'utente (il vostro cliente). Il revisore del fornitore esamina i controlli implementati su sistemi, processi e procedure che influiscono sulla precisione e l'integrità dei dati finanziari del cliente. Secondo SSAE 18, il revisore del fornitore forma un'opinione su se i controlli descritti sono stati progettati e funzionano efficacemente durante il periodo di riferimento.
SSAE 18 AT-C 320.01 richiede che il rapporto SOC 1 includa una descrizione dettagliata dell'ambito dei servizi coperti, dei controlli rilevanti e dei risultati dei test eseguiti. Come revisore dell'entità utente, potete utilizzare questo rapporto per ottenere evidenza sui controlli del fornitore, ma non potete delegare completamente la responsabilità. Dovete ancora valutare se i controlli identificati nel SOC 1 mitigano adeguatamente i rischi di errore nelle vostre aree di revisione critiche.
Un SOC 1 Type II è particolarmente prezioso perché copre un arco temporale (minimo sei mesi) e fornisce evidenza del funzionamento effettivo dei controlli, non solo della loro progettazione. Un SOC 1 Type I, rilasciato su una data specifica, dimostra che i controlli esistevano in quel momento, ma non garantisce che abbiano funzionato correttamente nei mesi precedenti il vostro audit.

Esempio pratico: Fiduciaria Alpina S.p.A.

Contesto: Fiduciaria Alpina S.p.A. è una società di amministrazione fiduciaria italiana con ricavi per €28M, con sede a Trento. Utilizza un fornitore di servizi cloud per l'elaborazione delle transazioni di deposito titoli e il riconciliamento dei conti clienti. Il vostro incarico di revisione copre il bilancio al 31 dicembre 2024.
Passo 1: Identificare il rischio di errore nei servizi esternalizzati
Durante la valutazione dei rischi secondo ISA 315, identificate che il ciclo della gestione titoli (500 clienti, €420M di titoli gestiti) passa completamente attraverso il sistema del fornitore. Il riconciliamento manuale avviene solo mensilmente. Un errore nel fornitore potrebbe rimanere non rilevato per 30 giorni.
Nota di documentazione: Documentare nel memorandum di pianificazione che "l'integrità dei dati di deposito titoli dipende interamente dai controlli implementati dal fornitore cloud. Impossibile testare il ciclo completo senza un SOC 1 Type II."
Passo 2: Richiedere il SOC 1 Type II al fornitore
Richiedete al vostro cliente (Fiduciaria Alpina) di ottenere dal fornitore un SOC 1 Type II con data di fine periodo non anteriore al 30 novembre 2024. Specificate che l'ambito deve coprire "transazioni di deposito titoli, riconciliamento, accesso utente e disaster recovery."
Nota di documentazione: Allegare la comunicazione scritta al fornitore nel file. Registrare la data di ricezione del SOC 1.
Passo 3: Valutare l'adequatezza del SOC 1 ricevuto
Il SOC 1 Type II di Fiduciaria Alpina, datato 31 dicembre 2024, include una descrizione dei controlli su: validazione dei dati in ingresso, separazione dei compiti tra operatori e supervisori, logging delle modifiche, backup giornaliero. Il revisore del fornitore ha testato questi controlli per tutto il periodo da luglio a dicembre 2024 e ha concluso che funzionano efficacemente.
Tuttavia, il rapporto NON copre il controllo del "blocco accesso utente dopo tre fallimenti di autenticazione": un controllo che avete identificato come critico per prevenire l'accesso non autorizzato. Inoltre, il period di test del SOC 1 termina il 31 dicembre, lasciando un gap di controllo se l'esame esteriore di Fiduciaria continua oltre quella data.
Nota di documentazione: Registrare nel foglio di lavoro sui controlli del fornitore quale controllo è coperto dal SOC 1 e quale no. Notare che il controllo di autenticazione NON è incluso nel SOC 1. Pianificare di testare direttamente quel controllo tramite tracciamento di access log dal 1° gennaio 2025 fino alla data di completamento del vostro audit (31 gennaio 2025).
Passo 4: Combinare il SOC 1 con test diretto sui controlli non coperti
Ottenete dal cliente i log di accesso del sistema per gennaio 2025 e verificate manualmente che i lockout automatici si siano verificati dopo tre tentativi falliti per almeno 10 utenti casuali. Documentate i risultati nel vostro foglio di lavoro.
Nota di documentazione: "SOC 1 Type II rilasciato dal revisore del fornitore fornisce evidenza sufficiente su validazione dati in ingresso, separazione dei compiti e logging. Test diretto su access lock-off completato per gennaio 2025 con risultati soddisfacenti. Conclusione: i controlli nel ciclo di deposito titoli funzionano efficacemente."
Conclusione: Il SOC 1 Type II riduce significativamente il vostro lavoro di revisione sui controlli del fornitore, ma non lo elimina. I controlli non coperti dal SOC 1 richiedono ancora test diretto. Senza il SOC 1, avreste dovuto condurre uno studio completo dell'ambiente di elaborazione del fornitore. un lavoro molto più dispendioso. Con esso, concentrate i test sulle lacune e validate la continuità tra il periodo coperto dal SOC 1 (luglio-dicembre) e la vostra data di audit.

Cosa i revisori e i professionisti sbagliano

  • Errore comune: confondere Type I e Type II. Molti revisori accettano un SOC 1 Type I emesso a giugno per un audit condotto a dicembre, credendo che il controllo sia stato testato nel tempo. Un Type I è una "fotografia" di un momento. Se l'audit è a dicembre, avete bisogno di un Type II che copra almeno fino a novembre. Il revisore del fornitore è obbligato da SSAE 18 AT-C 320.35 a testare i controlli per un periodo minimo di sei mesi per un Type II.
  • Errore comune: delegare completamente la responsabilità. Secondo ISA 402 (ove applicabile), il vostro cliente utilizza i servizi di un fornitore che fornisce servizi che influiscono sulle transazioni significative. ISA 402.13 richiede che valutiate se i controlli del fornitore sono appropriati. Un SOC 1 è evidenza, non una delegazione della vostra responsabilità. Se il SOC 1 conclude che un controllo NON funziona efficacemente, dovete ancora determinare come affrontare il rischio. o attraverso test di controllo diretto o attraverso procedure sostanziali ampliate. Non potete semplicemente rifiutare l'incarico perché il SOC 1 non è idoneo.
  • Errore comune: non documentare le lacune di copertura. Un SOC 1 Type II copre l'ambito definito dal fornitore e dal revisore del fornitore. Se l'ambito esclude un'area critica per il vostro audit (ad esempio, il disaster recovery), il rapporto è inservibile per quella area. Molti revisori lo ricevono, lo leggono superficialmente e lo archiviano senza notare che controllano l'8 dei 10 rischi importanti. Quando i reviewer esaminano il vostro file, chiedono: "Come avete affrontato il rischio di perdita di dati?" e voi non avete una risposta documentata.

Confronto: SOC 1 Type I vs Type II

| Aspetto | Type I | Type II |
|---|---|---|
| Cosa attesta | I controlli sono stati progettati e implementati in una data specifica | I controlli hanno funzionato efficacemente per un periodo minimo di sei mesi |
| Quando usarlo | Valutazione iniziale di un nuovo fornitore, o quando la storia operativa è breve | Audit annuali, revisioni continuative, quando occorre evidenza del funzionamento nel tempo |
| Limitazioni | Nessuna evidenza che il controllo funzioni, solo che esiste | Le anomalie trovate durante il periodo potrebbero non essere state rilevate dal revisore del fornitore (il SOC 1 testa un campione, non ogni transazione) |
| Durata della validità | Indicativamente 6-12 mesi dalla data di rilascio | Indicativamente 12 mesi, ma la pratica accettata è che il periodo di test copra fino a tre mesi prima della vostra data di audit |

Quando la distinzione conta in un incarico di revisione

Immaginate di stare revisionando una holding finanziaria con 50 clienti in servizi di custodia. Ricezione due SOC 1 dal vostro fornitore di servizi: uno Type I datato 15 marzo, uno Type II che copre il periodo da settembre 2023 a marzo 2024. Il vostro audit è per il 31 dicembre 2024.
Se usate solo il Type I (l'unico datato dopo l'anno finanziario), avete evidenza che i controlli esistevano il 15 marzo 2024. Ma non avete evidenza che abbiano funzionato da marzo a dicembre. Secondo SSAE 18, il revisore del fornitore potrebbe aver certificato i controlli il 15 marzo, ma il fornitore avrebbe potuto modificare il sistema il 16 marzo senza che voi lo sappiate.
Se usate il Type II (settembre 2023–marzo 2024), ottenete evidenza di funzionamento effettivo per sei mesi, ma il vostro audit al 31 dicembre crea un gap di nove mesi dopo la fine del periodo Type II. Dovete ancora affrontare il rischio per quel gap. attraverso test di controllo successivo per le transazioni da aprile a dicembre, o attraverso procedure sostanziali ampliate su un campione di transazioni in quel periodo.
La distinzione importa perché determina se il vostro audit piano può includere un approccio basato sul controllo (SOC 1 Type II valido + test del gap) o se dovete fare un approccio più sostanziale (campionamento di transazioni significative indipendentemente dai controlli del fornitore).

Termini correlati

Strumenti correlati

Fate riferimento al Kit di valutazione del controllo del fornitore (ISA 402) per modelli di pianificazione, fogli di lavoro per l'interpretazione del SOC 1 e checklist di test diretto per le aree non coperte dal rapporto.
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.