SOC 2 Report
Il report SOC 2 è una relazione redatta da un Auditor indipendente volta a riferire sui controlli presso una Service Organization e intesi a mitigare i rischi connessi ai principi dei servizi fiduciari (c.d. Trust services principles) quali la sicurezza, la disponibilità, l’integrità del trattamento, la riservatezza o privacy. I principi e i criteri dei servizi fiduciari, emanati dall’Assurance Services Executive Committee dell’AICPA (c.d. The Committee) sono regolati dalla Sezione AT-C 205 che definisce il perimetro del SOC 2 individuandolo negli aspetti specifici dell’infrastruttura, del software, delle risorse umane, delle procedure applicate e dei dati necessari all’organizzazione per fornire i propri servizi.
Il SOC 2 può essere applicato a fini regolatori o non normativi per coprire aree di business che non influiscono sull’informativa finanziaria (Financial Reporting) come avviene, invece, per il SOC 1.
Esempi di Service Organizations cui un report SOC 2 potrebbe essere rilevante includono il cloud computing, i call center per i clienti, i servizi di outsourcing IT aziendali.
Il SOC 2 è un rapporto AICPA con cui l’auditor indipendente, o revisore, viene chiamato a fornire un parere sui principi di sicurezza, disponibilità, integrità dei processi, riservatezza, privacy applicati da un’organizzazione di servizi. Il SOC 2 report può contenere uno o più principi sui servizi fiduciari, individualmente o in combinazione con una o più delle altre categorie di servizi fiduciari, tuttavia, in circostanze limitate, uno o più criteri potrebbero non essere applicabili all’impegno. Questo può accadere quando un criterio particolare risulta non essere rilevante per i servizi forniti da una determinata organizzazione di servizi.
In un report SOC 2, il revisore dei servizi esprime un’opinione circa la congruità della descrizione dell’organizzazione da parte della Service Organization e l’efficacia dei controlli progettati sulla base dell’applicazione dei principi suddetti. Per quanto riguarda quest’ultimo aspetto, occorre precisare che il funzionamento e l’efficacia dei controlli possono essere verificati ed attestati dal revisore solo attraverso la redazione di un report di tipo 2 in quanto, in questo caso, i controlli eseguiti coprono un periodo minimo di sei mesi e sono volti a verificarne non solo l’esistenza, bensì l’operatività e l’efficacia degli stessi ai fini del soddisfacimento dei principi fiduciari.
Come per il Soc 1 e il Soc 3, diversi sono i vantaggi per l’organizzazione di servizi che si dota di un Report SOC 2:
- Riduce le visite da parte dei revisori inviati dai clienti o dai potenziali clienti al fornitore di servizi (Service Organization)
- Differenzia l’azienda rispetto ai propri competitor nelle gare d’appalto
- Dimostrazione della conformità ai requisiti normativi e legali come ad esempio il Federal Information Security Management Act (FISMA)
- Richiesto, spesso, dai potenziali clienti durante il processo di due diligence.