Report SOC 1, SOC 2, e SOC 3

SOC (SERVICE ORGANIZATION CONTROLS)

Il Report SOC 1 è un rapporto che si focalizza sui controlli che vengono effettuati durante l’erogazione di un servizio da parte di una Service Organization quando i dati scaturenti dal servizio medesimo sono rilevanti ai fini del Financial Reporting dell’Organizzazione utente.

I Report SOC 2 e 3 forniscono requisiti di controllo molto più rigorosi rispetto a quelli previsti dai Report SOC 1 con un insieme di controlli più efficaci e requisiti specificamene progettati intorno ai dati delle organizzazioni utenti.

I Report SOC 2 e 3 forniscono un benchmark standard con il quale due Service Organizations soggette a verifiche possono essere confrontate sulla base degli stessi criteri.

Il Report SSAE 16, dal 1 maggio 2017 SSAE 18, corrisponde al Report Soc 1 in quanto contiene due elementi riguardanti il Management: la Management Assertion Letter e, se applicabile, l’Assertion Letter della Subservice Organization.

La Management Assertion Letter consiste nelle affermazioni del Management circa il sistema di organizzazione dei servizi con riferimento alla descrizione dei controlli inseriti in un Report SAS 70.

L’Assertion Letter dell’Organizzazione di servizi (Subservice Organization) contiene una affermazione illustrativa del Management della Service Organization che, oltre a comprendere l’intera descrizione della propria organizzazione, comprende anche la parte della descrizione riguardante i servizi del subfornitore, gli obiettivi di controllo ed i relativi controlli. Infatti, i servizi forniti da quest’ultimo costituiscono una parte del sistema del fornitore di servizi ed il Management è responsabile della sua porzione di descrizione del sistema.

Il Soc 2 Report include molti elementi del Soc 1 Report e indirizza ai controlli identificati dal TRUST SERVICES PRINCIPLES AND CRITERIA che includono:

  • Sicurezza
  • Disponibilità
  • Integrità dei processi
  • Riservatezza
  • Privacy

La Sezione AT 101 (che definisce i controlli del Soc 2 e Soc 3 Report) svolgerà un ruolo fondamentale nella segnalazione dei controlli presso le organizzazioni di servizi a causa del numero ampio e in costante crescita di entità nei settori “cloud computing” e tecnologia attuali. Le organizzazioni che forniscono Software as a Service (SaaS), servizi gestiti, cloud computing e host di altri servizi relativi alla tecnologia molto probabilmente riceveranno richieste di pubblicazione di report SOC sotto lo standard della Sezione AT 101.

Anche nel SSAE 16, dal 1 maggio 2017 SSAE 18, viene testata la compliance dei controlli eseguiti dalla Service Organization in termini di sicurezza, disponibilità, integrità dei processi, riservatezza e privacy legati all’erogazione del servizio anche se non in modo strettamente dettagliato come negli altri due tipi di SOC.

La richiesta sempre più crescente di servizi di Cloud Computing che permettono alle aziende di ridurre notevolmente i costi di una struttura IT mediante l’acquisto di servizi in outsourcing utilizzati in cloud quali SAAS (Software AS A Service), IAAS (Infrastructure As A Service) e PAAS (Platform As A Service), ha determinato la necessità di sottoporre le aziende che offrono tali servizi a controlli rigorosi riguardanti la propria struttura IT. Al fine di garantire che gli outsourcer di tali servizi effettuino in modo adeguato ed efficace i controlli necessari vengono richiesti loro report SOC 2 e SOC 3. Tali report, da fornire ai propri clienti, vengono redatti a seguito di controlli eseguiti da Auditor Indipendenti in conformità ai principi dettati dalla Sezione 101 AT secondo le linee guida emanate da AICPA.

A differenza del SOC 1, i controlli effettuati tramite i SOC 2 e SOC 3 non sono ritenuti rilevanti ai fini del Financial Reporting delle User Organizations in quanto entrambi i Report sono esami di attestazione che richiedono che i controlli della Service Organization soddisfino i principi del servizio fiduciario quali sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.

La differenza sostanziale tra il SOC 2 e il SOC 3, poiché entrambi i rapporti devono soddisfare gli stessi requisiti dei servizi fiduciari, riguarda la pubblicazione in quanto, mentre il Report SOC 2 è ristretto, nell’uso, alle sole parti interessate intese come Service Organization, User Organizations e loro revisori, il SOC 3 è un report di uso generale nel senso che, essendo ridotto nella sua struttura e contenendo pochissimi dettagli sui controlli specifici operanti all’interno dell’organizzazione di servizi, può essere distribuito sulla pagina web dell’organizzazione medesima.