Definition
Quasi nessun fascicolo che usa Salesforce, NetSuite o un gestionale SaaS in cloud contiene una relazione ISAE 3402 (International Standard on Assurance Engagements 3402) Type II del provider per il periodo di revisione. Il dato emerge dalle ispezioni CONSOB del 2023, e segna l'unica zona in cui la posizione della direzione (la cosiddetta "infrastruttura affidabile per definizione") e il requisito normativo (ISA Italia 330.7) non si sono mai incontrati. La domanda non e se il cloud sia sicuro. La domanda e se il fascicolo dimostri che il revisore lo abbia verificato. La CONSOB controlla il secondo, non il primo.
Come funziona
Nel 2023 la CONSOB ha riscontrato in 15 fascicoli di revisione che usavano SaaS l'assenza di una relazione ISAE 3402 Type II del provider. In 8 di questi 15, il revisore non aveva nemmeno richiesto la relazione al cliente. Le carte erano leggere. Questo e il punto di partenza, non il punto di arrivo: il problema non e che il cloud sia rischioso, ma che il fascicolo non mostri che qualcuno se ne sia occupato.
ISA Italia 315.20(a) richiede al revisore di valutare se i sistemi informativi consentano all'entita di registrare, elaborare e rendicontare i dati in modo accurato e tempestivo. Quando un'entita affida la contabilita, gli archivi fiscali o i sistemi gestionali a un provider cloud, il revisore non puo esaminare fisicamente i server, gli ambienti di produzione o i log accessi nello stesso modo in cui farebbe per un data center interno.
Cosa significa nella pratica: la valutazione si appoggia su tre punti che il revisore deve documentare nel fascicolo di revisione, perche senza questi punti la matrice dei rischi (ISA Italia 315 Appendix 2) non regge sotto un controllo di qualita.
1. Evidenza sui controlli del provider. Si chiede al provider la relazione ISAE 3402 Type II che copra il periodo di revisione. Se il provider non la rilascia, ISA Italia 330.7 non consente di fare affidamento sui controlli altrui senza altra evidenza: una dichiarazione verbale del provider non basta, una pagina marketing del provider non basta, una certificazione SOC 2 puo bastare in alcuni casi e non in altri. La direzione che afferma "il cloud e sicuro" non sta producendo evidenza di revisione; sta producendo un'assunzione.
2. Accesso del revisore ai dati per il campionamento. Se i dati risiedono in un ambiente cloud con credenziali ristrette, le procedure analitiche possono diventare impraticabili. Il revisore che non riesca ad estrarre il libro giornale o a tickare un campione di transazioni perde, di fatto, la possibilita di rispondere a un rischio significativo.
3. Resilienza dell'infrastruttura. I provider gestiscono backup, ridondanza geografica e disaster recovery, ma il revisore deve verificare che questi controlli abbiano funzionato durante il periodo di revisione e che l'entita disponga di un piano documentato di ripristino. Il piano del provider non e il piano dell'entita: sono due livelli distinti.
Esempio pratico: Soluzioni Logistiche Meridionali Srl
Cliente: Societa di logistica italiana, fatturato circa EUR 28M, archivi contabili interamente su Salesforce Financial Services Cloud (SFC), data residency in tre regioni europee (Francia, Germania, Italia). Esercizio 1 luglio 2024 – 30 giugno 2025.
Situazione iniziale. Il dirigente responsabile dell'amministrazione comunica che Salesforce gestisce backup, crittografia e ridondanza, e quindi "non occorre preoccuparsi della continuita dei dati". Il revisore non ha mai richiesto una relazione ISAE 3402, perche presume che il cloud sia stato gia controllato da altri. Le carte sono leggere su tutto il blocco IT general controls.
Passo 1: Identificare il rischio specifico. ISA Italia 315.29 chiede di identificare rischi di errore dovunque i sistemi non siano controllati internamente. Nel caso di Soluzioni Logistiche, la contabilita esiste solo in Salesforce: nessuna copia locale, nessun backup interno, nessun accesso fisico ai server. Se Salesforce subisse una violazione della sicurezza o un'interruzione non prevista, l'entita non potrebbe nemmeno accedere ai propri dati. Questo e un rischio significativo.
Nota nel fascicolo di revisione: "Identificato rischio significativo: dipendenza totale da provider SaaS; assenza di evidenza indipendente sui controlli del provider; nessun piano documentato di ripristino interno."
Passo 2: Richiedere la relazione ISAE 3402 del provider. Il revisore richiede a Salesforce la relazione ISAE 3402 Type II. Salesforce ne fornisce una che copre i controlli su segregazione dei dati per cliente, crittografia in transito e a riposo, autenticazione multi-fattore (MFA, Multi-Factor Authentication), log accessi e disaster recovery con RTO (Recovery Time Objective) di 4 ore e RPO (Recovery Point Objective) di 15 minuti.
Nota nel fascicolo: "ISAE 3402 Type II Salesforce Financial Services Cloud, periodo 1 gennaio – 31 dicembre 2024, ricevuto il [data]. Service auditor: Deloitte. Nessun rilievo significativo."
Passo 3: la complicazione. Qui il caso si complica, ed e il punto in cui il revisore meno esperto fa l'errore. La relazione ISAE 3402 copre l'anno solare 2024 (1 gennaio – 31 dicembre). L'esercizio del cliente e luglio-giugno. La copertura dunque e parziale: i primi sei mesi dell'esercizio (luglio-dicembre 2024) sono coperti dalla relazione, gli altri sei (gennaio-giugno 2025) no. ISA Italia 330.7 richiede evidenza che copra il periodo di revisione, non un periodo qualunque.
C'e una seconda complicazione. Nella relazione del provider compare un rilievo significativo del service auditor sulla segregazione dei dati tra tenant in un breve intervallo di settembre 2024, durante un'aggiornamento dell'infrastruttura. Il rilievo e stato chiuso, ma il revisore deve valutare se i dati di Soluzioni Logistiche siano stati esposti, e se il provider abbia notificato l'incidente al cliente.
A questo punto il giudizio professionale entra: si potrebbe accettare la relazione 2024 come evidenza per la prima meta dell'esercizio, integrandola con procedure alternative per la seconda meta (interviste al provider, test sui log accessi forniti dal cliente, conferma scritta che l'incidente di settembre non abbia toccato il tenant del cliente). Oppure si potrebbe attendere la relazione ISAE 3402 sull'anno solare 2025, ritardando la conclusione del lavoro. La scelta dipende dalla materialita, dal rischio residuo e dai tempi del fascicolo.
Nota nel fascicolo: "Copertura ISAE 3402 parziale rispetto all'esercizio 1 luglio 2024 – 30 giugno 2025. Procedura supplementare pianificata per gennaio-giugno 2025: conferma scritta del provider sull'assenza di incidenti rilevanti nel tenant del cliente, test sui log accessi estratti dal cliente. Rilievo settembre 2024 sulla segregazione: chiesta conferma scritta che il tenant del cliente non sia stato interessato; ricevuta il [data]."
In parallelo, il revisore verifica di poter accedere ai registri contabili in Salesforce con credenziali di sola lettura fornite dal cliente. Esegue un'estrazione: il libro vendite dell'esercizio contiene 8.347 transazioni per un totale di EUR 26,4M; il totale quadra con il registro maestro. Estrae poi un campione MUS (Monetary Unit Sampling) di 50 voci per il testing dettagliato. Senza credenziali utili, le procedure analitiche e il campionamento sarebbero impraticabili: l'accesso del revisore ai dati e una precondizione operativa, non un dettaglio.
Nota nel fascicolo: "Accesso confermato a Salesforce con credenziali _readonly_. Data extract al 30 giugno 2025: 8.347 transazioni di vendita, EUR 26,4M. Campione MUS di 50 voci estratto e tickato; nessun errore riscontrato."
Passo 4: Valutare il piano di continuita aziendale dell'entita. Il revisore chiede al responsabile informatico quale sia il piano in caso di interruzione del servizio Salesforce superiore a 24 ore. Il cliente produce un documento in cui dichiara: "In caso di interruzione, contatteremo Salesforce e attenderemo il ripristino." Non basta. Le carte sono leggere. Questo non e un piano di continuita aziendale; e una descrizione di cosa non fare.
Si documenta che il cliente non ha un piano alternativo formale. Sebbene Salesforce garantisca un RTO di 4 ore secondo la relazione ISAE 3402, l'entita non ha flussi di lavoro alternativi ne accessi di emergenza ai dati. Se Salesforce restasse fuori servizio per piu di qualche ora, il cliente non potrebbe fatturare, raccogliere ordini o pagare i fornitori.
Nota nel fascicolo: "Piano di continuita aziendale dell'entita: inesistente. La direzione dichiara di affidarsi alla ridondanza del provider. Rischio: interruzione operativa superiore a 4 ore durante il periodo di revisione comporterebbe l'impossibilita di chiudere il bilancio nei termini. Discusso con il responsabile IT il 12 febbraio 2026."
Conclusione. Soluzioni Logistiche dispone di un controllo chiave (ISAE 3402 del provider, parzialmente coprente), ma manca dei controlli compensativi interni (piani alternativi, backup locali, accesso di emergenza ai dati). Il revisore documenta il tutto nella valutazione del rischio (ISA Italia 315 memorandum di pianificazione), pianifica le procedure supplementari per la copertura mancante e considera se il rilievo del service auditor su settembre 2024 incida sul giudizio. La relazione ISAE 3402 riduce il rischio intrinseco. Non lo elimina.
Cosa catturano i revisori e gli ispettori
Il rilievo ispettivo nominato
Nel 2023 la CONSOB ha riscontrato in 15 file di revisione che usavano SaaS l'assenza di una relazione ISAE 3402 Type II del provider. In 8 di questi 15, il revisore non aveva nemmeno richiesto la relazione al cliente. ISA Italia 330.7 consente di fare affidamento sui controlli di terzi solo previo ottenimento di evidenza sulla loro efficacia. La CONSOB ha osservato che una dichiarazione informale del provider ("i nostri sistemi sono sicuri") non soddisfa il requisito.
Cosa significa nella pratica: i revisori non hanno chiesto perche, alla prova dei fatti, chiederlo richiede tempo. Quando il provider non risponde subito, la richiesta diventa un avanti-e-indietro che a compensi irrisori non e ammortizzabile. Il fascicolo si chiude con una nota generica ("provider richiesto, non pervenuto") e si va avanti. Non e negligenza nel senso comune. E pressione strutturale: chi paga 4.500 euro la revisione di una Srl non puo ricevere un fascicolo che ne richiede 60 ore di IT general controls testing. Non lo dicono i regolamenti; lo dice la matematica del compenso.
L'errore pratico standard-referenced
Molti revisori non documentano nella matrice dei rischi (ISA Italia 315 Appendix 2) che il fornitore cloud e un'entita terza che incide sul controllo interno sui dati. Senza quella riga in matrice, non si valuta formalmente se sia necessario ottenere evidenza sui controlli del provider. ISA Italia 315.20(a) richiede esplicitamente di valutare come i sistemi informativi consentano all'entita di registrare e rendicontare in modo accurato: un'entita che affida la contabilita a un provider SaaS non puo soddisfare questo requisito senza evidenza indipendente sui controlli del provider.
Il divario di pratica documentato: il dibattito
Qui non c'e una sola posizione corretta, e i partner ragionevoli divergono.
Il Partner A vuole la ISAE 3402 Type II per ogni cliente cloud, senza eccezioni. La sua ragione: ISA Italia 330.7 e specifico, e una procedura uniforme protegge dal rischio sanzionatorio. Il Bollettino CONSOB elenca casi in cui la mancanza della relazione e stata sufficiente per il rilievo. Il Partner A non vuole essere il prossimo nome sul Bollettino.
Il Partner B sostiene che per clienti a basso rischio (Srl piccole che usano una SaaS basica per la fatturazione, importi non significativi rispetto al bilancio), pretendere ISAE 3402 sia sproporzionato. Accetta SOC 2 Type II o procedure alternative (colloqui con il provider, test sui log accessi forniti dal cliente, verifica della clausola contrattuale di disaster recovery) come proxy ragionevole. La sua ragione: ISA Italia 330 richiede evidenza sufficiente, non un documento specifico, e procedure alternative ben documentate possono raggiungere la stessa soglia.
Tra i due, la nostra esperienza suggerisce che il Partner B abbia ragione sui clienti piccoli e a basso rischio (sotto soglia di materialita per l'IT, gestionali standard, transazioni semplici), ma che la sua posizione regga solo se le procedure alternative siano effettivamente documentate. Un fascicolo che dichiari "procedure alternative svolte" senza tracciare quali, quando e con quale esito, e un fascicolo che si presenta in ispezione gia perdente. La differenza tra Partner A e Partner B non e dottrinale, e operativa: Partner B richiede piu disciplina di documentazione, non meno.
C'e un divario temporale che molti studi trascurano: la relazione ISAE 3402 e specifica del provider e del periodo. La relazione di Salesforce per il 2023 non copre i controlli del 2024, e quella sull'anno solare non copre un esercizio che chiude a giugno. La pratica corretta e che la copertura sia almeno del 90% del periodo di revisione dell'entita; per la parte scoperta, si documentino procedure alternative.
Cloud computing vs data center interno
| Dimensione | Cloud (SaaS/IaaS) | Data center interno |
|---|---|---|
| Chi gestisce l'infrastruttura? | Provider esterno (Salesforce, AWS, Azure) | Entita stessa o fornitore interno |
| Accesso fisico del revisore ai server | No; limitato a interfaccia web e API | Si; il revisore puo visitare e ispezionare |
| Evidenza sui controlli | Relazione ISAE 3402 Type II del provider | Valutazione diretta dei controlli interni dell'entita (ISA Italia 315) |
| Rischio di interruzione del servizio | Gestito dal provider con SLA; RTO tipico 4-24 ore | Responsabilita interna; RTO dipende dai piani dell'entita |
| Backup e disaster recovery | Inclusi nel servizio cloud; raramente visibili all'entita | Gestiti dall'entita stessa; verificabili dal revisore |
| Costo della valutazione di controllo | Basso se il provider pubblica ISAE 3402; alto se no | Moderato; richiede visita in loco |
La distinzione pratica: se il provider non pubblica la relazione ISAE 3402, il revisore non dispone di un percorso standard per ottenere evidenza sui controlli. Per un data center interno, l'ispezione e ammessa (ISA Italia 500.6(c)). Nel cloud, l'ispezione non e possibile; il revisore dipende dalla comunicazione del provider e dalla relazione ISAE 3402.
Strumenti correlati
Ciferi offre il Valutatore di rischi IT (ISA 315), che include una sezione dedicata ai controlli dei provider cloud. Lo strumento guida il revisore attraverso le domande chiave:
- Il provider ha pubblicato una relazione ISAE 3402 Type II? - Se si, copre il periodo di revisione e i controlli rilevanti per l'entita? - Se no, quali procedure alternative sono praticabili? - Quali rischi residui rimangono anche con la relazione ISAE 3402 in mano?
Lo strumento produce un memorandum di pianificazione (ISA Italia 315.32) pronto per il fascicolo.
Termini correlati
ISA 315: il principio che richiede al revisore di comprendere i sistemi informativi e identificare rischi di errore materiale.
ISAE 3402 Type II: la relazione di assurance che attesta l'efficacia dei controlli di un fornitore di servizi. Nel contesto cloud e lo strumento principale per ottenere evidenza sui controlli del provider.
Controllo interno sui sistemi informativi: l'insieme dei controlli che garantiscono che i dati siano elaborati accuratamente e protetti da accessi non autorizzati. Nel cloud questi controlli sono in capo al provider.
Valutazione del rischio di continuita aziendale: la procedura che il revisore svolge per valutare se l'interruzione prolungata del servizio cloud sollevi dubbi sulla continuita aziendale (ISA Italia 570).
Dipendenza da provider terzi: il principio per cui il revisore deve ottenere evidenza sui controlli di terzi dai quali l'entita dipende per la preparazione del bilancio.
---