Definition
La maggior parte dei clienti chiede al fornitore di servizi "il rapporto SOC" senza specificare quale, e il fornitore consegna quello che ha già: di solito un SOC 2, perché vende sicurezza. Il revisore lo riceve, lo tickara nella checklist dei controlli IT e lo allega al fascicolo. Solo che se i rischi contabili identificati nella valutazione ISA Italia 315 riguardano la riconciliazione bancaria o l'autorizzazione delle fatture, il SOC 2 non li copre. Servirebbe un SOC 1.
Punti chiave
> - SOC 1 è lo strumento del revisore quando il cliente delega processi contabili rilevanti per il bilancio (riconciliazione, payroll, ciclo passivo). > - SOC 2 risponde alla domanda dei clienti business sulla sicurezza dei dati. Non risponde alla domanda del revisore sull'affidabilità dei controlli contabili. > - SOC 3 è il riepilogo pubblico del SOC 2, utile per il marketing del fornitore. Non è evidenza utilizzabile in un fascicolo di revisione.
---
Cosa cambia tra i tre rapporti, e perché conta nel fascicolo
Un'organizzazione di servizi (una piattaforma cloud che elabora la contabilità fornitori, un service center di payroll, un processore di pagamenti) si fa esaminare i controlli interni da un revisore esterno specializzato (il "service auditor"). Il rapporto che ne esce serve a qualcuno: la differenza tra i tre formati è proprio questo "qualcuno".
Il SOC 1 parla al revisore del cliente. Quando il fascicolo di revisione affronta un'entità che ha esternalizzato la riconciliazione bancaria o il ciclo passivo, l'ISA Italia 315 obbliga a comprendere i controlli del fornitore. Un SOC 1 Tipo II (quello che copre un periodo di funzionamento, non solo la fotografia del design) consente di farlo senza dover viaggiare presso il fornitore. Il rapporto è riservato e si ottiene tramite accordo a tre vie tra revisore, cliente e fornitore.
Il SOC 2 parla al CISO o al responsabile compliance del cliente del fornitore. Valuta sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy. Non è disegnato per asserzioni di bilancio. Quando si discute con un partner se "il SOC 2 vada bene anche per il SOC 1", la risposta corretta è quasi sempre no: i criteri AICPA "trust services" non corrispondono ai controlli che ISA Italia 315 richiede di valutare per asserzioni come completezza dei ricavi o esistenza dei debiti.
Il SOC 3 è una versione di marketing del SOC 2. Stesso attestato, descrizioni operative tagliate. Utile sul sito web del fornitore, inutile nel fascicolo: non basta a soddisfare l'ISA Italia 315 perché non descrive i controlli specifici che il revisore sta valutando.
---
Tabella comparativa
| Dimensione | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|
| Pubblico principale | Revisore del cliente, management | Clienti business, compliance | Pubblico generico |
| Aree valutate | Controlli rilevanti per il bilancio | Sicurezza, disponibilità, riservatezza, integrità, privacy | Riepilogo SOC 2 |
| Livello di dettaglio | Alto: ogni controllo descritto e testato | Alto: criteri AICPA documentati | Basso: solo attestato pubblico |
| Disponibilità | Riservato, accordo a tre vie | Riservato, su richiesta | Pubblicabile |
| Tipo I vs Tipo II | Entrambi disponibili | Entrambi disponibili | Solo Tipo II |
| Utilizzabile come evidenza ISA Italia 315 | Sì (Tipo II preferito) | Solo per asserzioni IT specifiche | No |
---
Dove inizia il giudizio
L'errore più comune negli studi italiani non è scegliere il rapporto sbagliato. È trattare un SOC 2 ricevuto come se rispondesse a domande contabili che il SOC 2 non si pone. La domanda che dovrebbe iniziare ogni valutazione del rapporto del fornitore è: quali rischi specifici di asserzione, identificati nel memorandum di pianificazione, questo rapporto copre? Se la mappatura controllo-rischio non c'è, il rapporto è solo un PDF allegato, non evidenza.
L'ISA Italia 315 richiede di comprendere i controlli rilevanti per il rischio identificato di errore significativo. Il rapporto SOC va letto con la matrice dei rischi del cliente accanto, non da solo.
---
Esempio pratico: SOC 1 con periodo non coperto
Caso A: Studio di commercialisti, cliente con piattaforma cloud per la contabilità
Cliente: Tessuti Rossi S.r.l., azienda tessile in Toscana, ricavi EUR 8,5M, esercizio chiuso al 31 dicembre 2024. Esternalizza contabilità fornitori, riconciliazione bancaria e preparazione dati per il bilancio a CloudContabili S.p.A.
Passo 1: la valutazione del rischio ISA Italia 315 individua due aree critiche presso il fornitore. La riconciliazione bancaria, perché tocca cassa e banca con asserzione di esistenza. La contabilità fornitori, per volume e completezza dei debiti.
Nota di documentazione: paragrafo del memorandum di pianificazione su servizi esternalizzati, con indicazione dei rischi e della tipologia di evidenza richiesta (SOC 1 Tipo II).
Passo 2: il cliente richiede il rapporto SOC 1 Tipo II di CloudContabili. Il rapporto arriva a inizio maggio e copre il periodo gennaio-aprile 2024. Otto mesi dell'esercizio Tessuti Rossi (maggio-dicembre) non sono coperti. Questa è la complicazione che si vede regolarmente nei fascicoli e che la pianificazione iniziale spesso non aveva considerato.
Nota di documentazione: copia del SOC 1 Tipo II nel fascicolo, indicazione esplicita del gap di copertura tra il periodo del rapporto e l'esercizio del cliente.
Passo 3: il revisore non può semplicemente accettare il rapporto e tickare la voce. Tre opzioni reali, e gli studi le applicano in modo diverso. Prima opzione: chiedere a CloudContabili una "bridging letter" che attesti che i controlli sono rimasti invariati nei mesi non coperti. Seconda opzione: eseguire procedure dirette presso il fornitore per il periodo scoperto (test di dettaglio sulle riconciliazioni di maggio-dicembre, con accesso ai log di sistema). Terza opzione: incrementare i test sostantivi sui saldi presso il cliente, riducendo il reliance sui controlli del fornitore.
Nota di documentazione: working paper di valutazione del SOC 1 con il razionale della procedura scelta. La bridging letter, se ottenuta, va archiviata firmata dal management di CloudContabili.
Passo 4: il revisore sceglie la combinazione bridging letter (per maggio-settembre) + test diretti per ottobre-dicembre, perché il quarto trimestre concentra il volume più alto. Il piano di audit viene aggiornato e firmato dal partner.
Conclusione: il SOC 1 Tipo II è lo strumento giusto, ma il rapporto da solo non basta. Un SOC 2 al posto del SOC 1 non avrebbe risolto: avrebbe descritto controlli sulla crittografia dei dati, non sulla riconciliazione bancaria. L'errore tipico è scambiare la massa documentale del SOC 2 per maggiore copertura.
Caso B: Software-house che deve dimostrare ai clienti la sicurezza dei dati
Cliente: DataSecure Italia S.r.l., software di gestione progetti su cloud, 800 clienti business, ricavi EUR 5,2M.
DataSecure ospita dati di progetto sensibili. I suoi clienti chiedono prove formali sulla sicurezza. Il SOC 1 non è applicabile, perché DataSecure non elabora transazioni contabili per conto dei clienti.
Passo 1: DataSecure incarica un revisore esterno specializzato per un SOC 2 Tipo II. Lo scope copre sicurezza, disponibilità e riservatezza. Privacy e integrità di elaborazione vengono escluse perché non sono criteri rilevanti per il modello di servizio.
Nota di documentazione: contratto di servizio con il service auditor, scope del SOC 2 firmato.
Passo 2: il rapporto SOC 2 Tipo II copre il periodo gennaio-dicembre 2024 (12 mesi). Conferma efficacia operativa di crittografia, autenticazione multi-fattore, disaster recovery con RTO 2 ore, monitoraggio degli accessi.
Passo 3: DataSecure decide di pubblicare anche un SOC 3 sul proprio sito. Il SOC 3 contiene l'attestato pubblico ma omette le descrizioni dettagliate dei controlli. Serve come prova di marketing, non sostituisce il SOC 2 quando un cliente importante ne chiede copia.
Conclusione: per DataSecure il SOC 2 è la scelta corretta, e il SOC 3 è un'aggiunta di posizionamento commerciale, non di compliance.
---
Cosa revisori e clienti fraintendono
Rilievo ricorrente: il SOC 2 trattato come se fosse un SOC 1. Un cliente che esternalizza il payroll riceve dal service center un SOC 2 e lo gira al revisore. Il revisore lo allega al fascicolo come evidenza dei controlli sul ciclo retributivo. Questo non regge: il SOC 2 valuta sicurezza dei dati, non separazione delle funzioni o autorizzazione delle voci di stipendio. Per il payroll serve un SOC 1. ISA Italia 315 chiede di valutare i controlli rilevanti per le asserzioni di bilancio (esistenza, completezza, accuratezza dei costi del personale), e il SOC 2 non li copre.
Errore tecnico: gap di copertura ignorato. Un SOC 1 Tipo II copre un periodo, di solito 6-12 mesi. Quando il periodo del rapporto non coincide con l'esercizio del cliente, la differenza va gestita esplicitamente (bridging letter, procedure aggiuntive, test diretti). Nei fascicoli che vediamo, il gap viene spesso documentato come una nota nel memo e poi ignorato in fase di esecuzione. Il rapporto resta nel file come se coprisse l'intero esercizio.
Lacuna documentale: assenza di mappatura controlli-rischi. Il rapporto SOC viene allegato ma non c'è un working paper che colleghi ogni controllo descritto alla matrice dei rischi del cliente. Senza questa mappatura, il revisore non può dimostrare che il rapporto fornisce evidenza per i rischi identificati. È il rilievo che torna più spesso quando le carte sono leggere su un cliente con servizi esternalizzati.
---
Dove gli studi non sono d'accordo
Quando il fornitore ha solo un SOC 2 e il cliente non vuole forzarlo a procurarsi un SOC 1, gli studi italiani si dividono. Alcuni partner accettano il SOC 2 più procedure dirette aggiuntive sui controlli contabili specifici (test di dettaglio presso il fornitore, walkthrough dei processi rilevanti). Altri partner sostengono che la combinazione SOC 2 + procedure aggiuntive non sia equivalente a un SOC 1: il service auditor che ha emesso il SOC 2 non ha testato i controlli contabili, e il revisore non può "completare" il rapporto eseguendo procedure parziali. Per costoro, l'unica strada è il SOC 1 o il rifiuto del reliance sui controlli del fornitore (con conseguenze sul piano di audit). Entrambe le posizioni hanno ragionamenti difendibili. La prima privilegia la pragmaticità commerciale (non si possono perdere clienti per assenza del rapporto giusto). La seconda privilegia la purezza metodologica (l'evidenza deve corrispondere allo standard, non essere ricostruita a posteriori).
---
Pressione strutturale che genera la confusione
Il SOC 2 è il rapporto che i fornitori cloud producono per primi, perché lo richiedono direttamente i clienti business. Il SOC 1 viene prodotto solo se un revisore lo richiede formalmente. I fornitori non hanno incentivo a investire nel SOC 1 finché qualcuno non lo esige. I clienti, dal canto loro, vedono che il fornitore ha "un SOC" e presumono che basti. La tensione cade sul revisore, che deve spiegare al cliente perché il rapporto in suo possesso non è quello giusto, e chiedere di metter pressione sul fornitore. È una conversazione che nessuno ama, e che spesso si risolve accettando un compromesso sub-ottimale.
---
Relazione con altri rapporti di assurance
L'ISAE 3402 è l'equivalente internazionale del SOC 1, emesso secondo gli International Standards on Assurance Engagements. In Europa è spesso preferito al SOC 1 per fornitori di servizi che operano fuori dagli Stati Uniti. Il fascicolo italiano accetta entrambi, purché il periodo coperto sia adeguato e i controlli mappino i rischi identificati.
---
Calcolatore correlato
Non è disponibile un calcolatore specifico per la selezione tra i tre rapporti SOC. La scelta dipende dal ruolo del fornitore (servizi contabili vs servizi digitali) e dai rischi di asserzione identificati nel fascicolo del cliente.
---
Termini correlati
- ISAE 3402: standard internazionale di assurance per controlli presso organizzazioni di servizi; alternativa europea al SOC 1. - Trust Services Criteria: framework AICPA che definisce i criteri valutati nei rapporti SOC 2 e SOC 3. - Controllo interno: processi che un'organizzazione adotta per raggiungere i propri obiettivi; i SOC ne attestano specifici aspetti. - Servizi esternalizzati: quando il cliente delega processi contabili o operativi a terzi; il revisore deve valutarne i controlli ai sensi dell'ISA Italia 315. - Bridging letter: lettera del fornitore che attesta la continuità dei controlli oltre il periodo del rapporto SOC.
---