SAS 70 per servizi in outsourcing

Transcript

SAS 70 per servizi in outsourcing:
impegno, criticità, benefici.
L’esperienza CEDACRI
Stefano Arduini
CISA, CGEIT, ISO/IEC 27001 L.A.
Responsabile Area Internal Audit, Certificazioni
CEDACRI
Presentazione Gruppo Cedacri Q260 001
Agenda
Chi è Cedacri
Cosa è il SAS 70 per Cedacri e come lo ha implementato
I benefici raggiunti
Le criticità incontrate
08/05/2009
Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato
2
La mission di Cedacri
Essere
Esserel’outsourcer
l’outsourcerdidiriferimento
riferimentoeeililpartner
partnerdidi
fiducia
fiduciadegli
degliistituti
istitutibancari
bancarieelelesocietà
societàfinanziarie
finanziarie
per:
per:
¾¾ servizi
servizididioutsourcing
outsourcingdel
delsistema
sistemainformativo,
informativo,
assistenza
assistenzaeeconsulenza
consulenzaorganizzativa
organizzativa
¾¾ servizi
servizicomplementari
complementarididibusiness
businessprocess
process
outsourcing
outsourcing
Full
Full
Outsourcing
Outsourcing
Outsourcing
Outsourcing
Selettivo
Selettivo
Facility
Facility
Management
Management
Disaster Recovery e
Disaster Recovery e
Business Continuity
Business Continuity
Come?
Applicazioni software e
Applicazioni software e
collaborazioni strategiche
collaborazioni strategiche
Come
Comepartner
partnerinformatico
informaticodei
deipropri
propriclienti
clientinel:
nel:
¾¾ Condividere
e
attuare
le
scelte
strategiche
Condividere e attuare le scelte strategiche
¾¾ Rispondere
Risponderealle
alleesigenze
esigenzeoperative
operativeee
informative
informative
08/05/2009
GESTORE DI POSTA
GESTORE
DI POSTA
ELETTRONICA
ELETTRONICA
CERTIFICATA
CERTIFICATA
CERTIFICATORE
CERTIFICATORE
ACCREDITATO
ACCREDITATO
DI FIRMA
DIGITALE
DI FIRMA DIGITALE
3
Profilo d’impresa
S.p.A. leader in Italia nel mercato dell’outsourcing bancario sin dal 1976
Castellazzo
Gussago
Capitale sociale: € 12.609.000 interamente detenuto da 25 Banche
Collecchio
Quote: un socio non può detenere più del 20% delle quote
Bari
Banca d’Italia: detiene quote di capitale sociale (2%)
3° polo per numero di sportelli
gestiti
Gra
n° sportelli
1
2
3
4
5
6
7
Unicredit
Intesa Sanpaolo
Cedacri
Banco Popolare
Monte Paschi Siena
UBI Banca
Bnl
08/05/2009
3° polo per risorse utilizzatrici
dei sistemi
Gra
9.714
6.050
2.700
2.254
2.094
1.922
898
1
2
3
4
Gra
n° dipendenti
Unicredit
Intesa Sanpaolo
Cedacri
Monte Paschi Siena
5 Banco Popolare
6 UBI Banca
7. Bnl
4° polo per totale RD+I gestiti
RD+I
(in milioni)
159.949
97.058
30.000
25.651
21.813
21.226
15.602
1
2
3
4
5
6
7
Unicredit
Intesa Sanpaolo
Monte Paschi Siena
Cedacri
UBI Banca
Banco Popolare
Bnl
1.206.700
709.000
219.700
186.400
183.200
177.800
122.612
4
Gruppo Cedacri
Servizi di call center e web
farm, gestione POS e ATM,
gestione documentale
Gestione delle comunicazioni
rivolte alla clientela, stampa e
postalizzazione
Visure ipocatastali, visure
camerali,banche dati atti
negativi
Attività amministrative di
back Office bancario
Stampa e postalizzazione
(partecipata con Postel)
Fatturato 2008
256 milioni di Euro (di cui 184,2 di Cedacri S.p.A)
Dipendenti
960
Clienti
> 150, di cui 70 banche in full outsourcing
08/05/2009
5
Il contesto
Au
dit
Si
c
ur
ez
z
a
Minacce
Attacchi
Vulnerabilità
Compliance
08/05/2009
6
Cosa è il SAS 70 per Cedacri e come lo
ha implementato
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Perchè richiediamo il report SAS70 e cosa potrebbe succedere se non lo
facessimo?
Quali sono i contenuti di un report SAS 70?
Deve necessariamente essere auditata tutta la Società?
Come un service provider si deve preparare ad un audit SAS 70?
Esiste una lista degli obiettivi di controllo che il SAS 70 deve coprire?
Esiste uno standard su come descrivere i controlli?
Come si può "passare" or "fallire" un audit SAS 70?
Come viene distribuito il report SAS 70?
Ogni quanto deve essere ripetuto un audit SAS 70? Il SAS 70 ha una
scadenza?
Quanto costa un report SAS 70 e chi lo deve pagare?
* Domande tratte dal sito www.sas70.org
08/05/2009
7
Perché richiediamo il report SAS70 e cosa
potrebbe succedere se non lo facessimo?
Storicamente la maggior parte degli incarichi di redazione del report SAS 70
venivano richiesti dalle società erogatrici di servizi per far fronte in modo
strutturato alle continue richieste dei propri clienti per acquisire conoscenze
circa il proprio ambiente di controllo.
In mancanza di un rapporto di audit, infatti, i service provider avrebbero dovuto
rispondere alle singole richieste di audit da parte dei singoli clienti, con
inefficienze e grande dispendio di risorse, umane ed economiche; tali costi, nel
caso di società con clientela molto numerosa, potrebbero divenire proibitivi,
anche per l’inevitabile impatto sulla erogazione del servizio.
Inoltre il report SAS 70 integra il nostro sistema di controllo interno,
sostanzialmente disegnato sul Cobit, che prevede le certificazioni ISO
9001:2000 e ISO 27001:2005.
08/05/2009
8
L’evoluzione
Autunno 2004:
Richiesta da Cliente per SOx
SAS70 Type 2 per Cliente su
una specifica applicazione
(01/05/2005 – 31/10/2005)
SAS70 Type 2 per Cliente su
una specifica applicazione
(01/11/2005 – 31/09/2006)
SAS70 Type 1 per 14 Clienti su
10 applicazioni mainframe
(01/11/2006)
• A partire dall’anno 2005 CEDACRI ha richiesto, su
richiesta di un proprio Cliente, il report SAS 70 avente
come oggetto l’attestazione dello stato di efficienza dei
controlli generali IT in essere nel sistema informativo.
• Dal 2006 è stato avviato un progetto per estendere tale
attestazione ad altri Istituti e la Società di Revisione
incaricata ha predisposto un report SAS 70 di Type 1
che attesta l’effettivo funzionamento dei controlli in
essere ad una data puntuale.
15 applicazioni mainframe
(01/11/2006 – 31/10/2007)
• Tale attività è proseguita nel 2007 con la redazione di
un report SAS 70 di Type 2, che attesta l’effettivo
funzionamento dei controlli durante un determinato
periodo di riferimento.
20 applicazioni mainframe e 5
su distribuito
(01/11/2007 – 31/10/2008)
• L’ambito di applicazione delle attività è stato
costantemente ampliato, sia come applicativi che come
piattaforme.
08/05/2009
9
Il campo di applicazione
Revisione Esterna
Sarbanes Oxley
Corporate Governance,
Risk Management e
Revisione Interna
Leggi e regolamenti
Istruzioni, Provvedimenti,
Circolari e regolamenti:
Banca d’Italia e ISVAP
Attività di Back-Office e
Trust Accounting
08/05/2009
Principio di revisione n. 402 (Considerazioni sulla revisione
contabile di imprese che utilizzano fornitori di servizi)
Esplicitamente richiamato dal PCAOB n° 2 quando si
utilizzano Service Organisations per la gestione di importanti
sistemi informativi o processi aziendali.
Non sempre vi è necessità di una legge o regolamento
Leggi 262/2005; 231/2001; 196/2003.
Vari documenti fra cui il requisito di valutare i controlli
dell’outsourcer informatico e Normativa Banca d’Italia del
15/07/2004 sulla Continuità Operativa
Tendenza di accentramento delle attività di back-office
presso enti di servizio specializzate o terze parti che
gestiscono un ciclo specialistico
10
Attività del revisore utente
Il revisore dell’organizzazione utente che riceve il report, ha il compito di:
Valutare l’effetto dell’utilizzo del service sul sistema di controllo interno del
proprio cliente;
Determinare l’importanza del sistema di controllo interno ai fini della revisione
del proprio cliente, valutarne i rischi e verificare i controlli sulla quale si fa
affidamento;
Valutare l’utilizzo di un rapporto di terze parti, considerare l’evidenza dei controlli
svolti dal service e verifiche eseguite come descritto nella relazione.
Ricordando che il SAS70 fa riferimento al financial statement, è fondamentale che il
report venga condiviso con i Revisori di Bilancio, per l’impatto che può avere sulle
proprie procedure di audit.
08/05/2009
11
Quali sono i contenuti di un report SAS 70?
Sezione Uno: Relazione dei revisori indipendenti; esprimerà tre opinioni:
1. La descrizione dei controlli della Service Organisation presenta
adeguatamente gli aspetti rilevanti dei controlli;
2. Le attività di controllo sono state disegnate per raggiungere gli obiettivi di
controllo, in maniera "ragionevole ma non con assoluta certezza";
3. Tali attività di controllo erano effettivamente operative nel periodo.
Sezione Due: Descrizione dell’ambiente di controllo di Cedacri
Sezione Tre: Processi, obiettivi di controllo ed attività di controllo
Sezione 4: Considerazioni sul controllo esercitato dalle organizzazioni
utenti
La documentazione di un SAS70 va sempre valutata insieme al sistema di
controllo interno dell’organizzazione utente (nessun controllo inizia a
finisce presso l’outsourcer).
08/05/2009
12
Tipologia di report
Il report SAS70 può essere predisposto in due modalità:
Tipo 1 - Relativo ad attività di controllo, operative ad una certa data.
Esprime un’opinione sull’efficacia dei controlli in essere ad una specifica
data, con riferimento a determinati obiettivi di controllo definiti dal service.
Tipo 2 – In aggiunta al tipo 1 vengono eseguite adeguate attività di
verifica idonee ad esprime un’opinione sull’effettivo funzionamento dei
controlli, durante un determinato periodo di riferimento.
Ai fini delle verifiche del sistema di controllo interno in ambito Sarbanes Oxley
viene esplicitamente richiesto il report di Tipo 2.
Secondo quella che è una prassi consolidata presso le Società di Revisione, il
primo report ottenuto sull’intero ambiente Cedacri è stato di Tipo 1 e si è
passati al Tipo 2 solo dall’anno successivo.
08/05/2009
13
Tipologia di controlli interni
L’attestazione presente nel SAS70 può essere indirizzata a due tipologie di controlli:
Controlli generali dei sistemi informativi (Organizzazione, Sviluppo,
Manutenzione, Sicurezza ed Operatività). Generici o specifici per ambienti o
applicativi. Gli obiettivi di controllo possono essere definiti ad alto livello
utilizzando le linee guida del COSO report, ma la prassi "Sarbanes-Oxley" è di
utilizzare le più specifiche linee guida del Cobit;
Controlli applicativi (completezza, accuratezza, validità, aggiornamento,
divisione dei compiti e manutenzione) di particolari transazioni o cicli. I controlli
applicativi possono essere manuali, informatizzati (programmed controls) o misti.
Cedacri ha attualmente richiesto un report indirizzato agli IT General Control mappati
secondo il Cobit.
08/05/2009
14
Altre limitazioni
Anche se la Relazione viene utilizzata per scopi diversi, la finalità del SAS 70
continua a fare riferimento alla revisione esterna del bilancio.
Ci sono poi diverse altre limitazioni:
La documentazione e relative attività di test, svolte a supporto di un SAS70,
vanno sempre valutate insieme al sistema di controllo interno
dell’organizzazione utente (nessun controllo inizia a finisce esclusivamente
presso un service).
La Relazione si esprime in termini di "ragionevole ma non assoluta certezza"
(Reasonable but not Absolute Assurance)
Il report è limitato alle aree e periodi di riferimento: qualsiasi proiezione ad altri
periodi è soggetta ad errori.
08/05/2009
15
Deve necessariamente essere auditata tutta
la Società?
No, non necessariamente. In aziende strutturate su diverse Business Unit è
possibile indirizzare l’attività di audit su specifici processi e comunque il report
può essere configurato per identificare e coprire specifici data center, ambienti
operativi ed applicazioni che rientrano nell’oggetto dell’audit.
Peraltro, in considerazione che il report SAS 70 è predisposto per fornire ai
clienti ed ai loro auditor informazioni relative all’ambiente di controllo interno,
esistono alcuni elementi di alto livello che rientrano comunque nel perimetro
del report (ad esempio le politiche di gestione del personale sono trasversali in
tutte le organizzazioni).
La scelta di Cedacri è stata quella di far rientrare nel SAS 70 tutto il processo
di outsourcing, includendo inizialmente alcune applicazioni su mainframe ed
estendendo successivamente a tutte le applicazioni più critiche anche su
piattaforma distribuita.
È bene precisare che di tali applicativi NON viene verificata in nessun modo la
funzionalità (application control).
08/05/2009
16
Nell’ambito Mainframe rientrano le seguenti procedure:
• Anagrafe (AN);
• Conti banche (BK) ;
• Bonifici (BO) ;
• Contabilità generale e di raccordo (CG);
• Fidi e Garanzie (FG);
• Gestione incassi (GI);
• Mutui e finanziamenti (MN);
• Sofferenze (SF);
• Antiriciclaggio (AT);
• Condizioni e trasparenza (TR);
• Conti Correnti Batch (CC);
• Pre-puma – Creazione unità informative (BI);
• Esattoria Ruoli (ER);
• Estero (E1);
• Finanza WEB – Titoli (TW);
• Partite Incagliate (IN);
• Crediti IAS (CA);
• Banca Depositaria (BD);
• Gestioni patrimoniali (TN).
08/05/2009
17
Nell’ambito dell’ambiente Distribuito rientrano le seguenti applicazioni:
•
•
•
•
•
PWS (Professional Web Station) – piattaforma trasversale a tutte le
procedure applicative basate sull’ambiente distribuito;
Anagrafe – la parte di procedura basata sull’ambiente Distribuito;
HBnext;
LIBRA;
Marketing.
Tale elenco riporta le applicazione in scope nel primo anno, ed è stato
circoscritto ad alcune applicazioni rappresentative delle diverse tipologie di
servizi/piattaforme/linguaggi utilizzati da Cedacri.
Nel tempo il perimetro verrà esteso anche ad altri applicativi significativi.
08/05/2009
18
Come un service provider si deve preparare
ad un audit SAS 70?
Al service provider sono richieste diverse attività:
definire gli obiettivi di controllo;
identificare le relative attività di controllo;
preparare la documentazione relativa all’ambiente di controllo (sezione 2).
Ovviamente tali attività possono essere svolte con il supporto di società di
consulenza, con il vantaggio di poter ottenere un primo livello di audit dei
controlli stessi.
Nel nostro caso l’identificazione degli obiettivi di controllo è guidata dai Clienti
in quanto l’attività è fatta a loro beneficio ed il nostro ruolo è assolutamente
passivo (non deve risultare nessuna attività di limitazione dello scopo).
08/05/2009
19
Dichiarazioni che devono essere rilasciate da
parte del Service
La lettera di attestazione del
service dovrà riconoscere:
Le proprie responsabilità
nell’istaurare e mantenere un
adeguato sistema di controllo
interno;
L’adeguatezza dei controlli
descritti nella documentazione
e periodo di riferimento;
Che tutti gli eventi con impatto
significativo sui controlli sono
stati descritti al revisore.
08/05/2009
La documentazione fornita dal
service dovrà contenere descrizione:
dei servizi e delle attività in
scopo;
della struttura organizzativa;
delle applicazioni e piattaforme
tecnologiche di riferimento;
dell’ambiente di controllo
(sinteticamente);
degli obiettivi di controllo e di tutte
le attività di controllo che
permettono il raggiungimento
degli obiettivi (nel dettaglio).
20
Descrizione dell’ambiente di controllo
I servizi di Cedacri e le attività incluse
nell’ambito dell’intervento.
La struttura organizzativa e
l’ambiente di controllo:
Organizzazione e pianificazione:
Gestione delle risorse umane,
Attività interne di
pianificazione, monitoraggio e
audit,
Gestione delle strategie
aziendali e della
comunicazione tra l'azienda e
gli Istituti clienti;
Integrità comportamentale e
conformità a leggi e regolamenti:
Norme comportamentali e
valori etici,
Gestione conformità.
08/05/2009
Le piattaforme tecnologiche e le
applicazioni di riferimento:
Sistemi IT,
Connettività di rete,
Matrice delle applicazioni.
Panorama dei processi e controlli:
Gestione della sicurezza,
Sicurezza fisica e ambientale,
Sicurezza logica,
Gestione Operativa,
Ciclo di vita dello sviluppo dei
sistemi e gestione dei
cambiamenti,
Gestione dei problemi.
21
Esiste una lista degli obiettivi di controllo
che il SAS 70 deve coprire?
Dato che è responsabilità della Società descrivere i propri controlli e definire i
relativi obiettivi di controllo, non esiste una definizione standard; inoltre tali
obiettivi sono specifici per il singolo service provider e per i suoi clienti.
Tuttavia ci sono diverse fonti cui fare riferimento ed esistono standard che
possono essere utilizzati per lo svolgimento di un audit SAS 70.
Tra questi ricordiamo il "CobiT", i WebTrust Principles and Criteria ed i
SysTrust Principles and Criteria, disponibili sul sito web dell’AICPA.
In particolare ricordiamo che l’IT Governance Institute ha pubblicato una
reference guide intitolata "IT Control Objectives for Sarbanes-Oxley" che
permette di correlare diversi control objectives del CobIT al framework COSO.
i control objectives riportati nel documento possono essere utilizzati come
schema di base per impostare l’audit SAS 70.
Su richiesta dei Clienti sono stati anche aggiunti alcuni obiettivi di controllo (ad
es. Business Contiuity).
Il Revisore di Cedacri, su richiesta del primo Cliente, ha impostato la propria
analisi su CobiT; l’esperienza acquisita nel corso degli anni ha però la
rivisitazione del modello proprio per renderlo più semplice (e quindi meno
dispendioso) e più aderente alla realtà aziendale. L’attività di analisi è tuttora in
corso.
08/05/2009
22
PO – Acquisizione e Realizzazione
Cod.
Descrizione
PO1
Definire un Piano Strategico dell'IT
PO2
Definire l'Architettura Informatica
8
8
PO3
Determinare l'Indirizzo Tecnologico
8
PO4
Definire i Processi, l'Organizzazione e i Rapporti dell'IT
8
PO5
Gestire gli Investimenti nell'IT
8
PO6
Comunicare gli Obiettivi e gli Indirizzi della Gestione
8
PO7
Gestire le Risorse Umane dell'IT
8
PO8
Gestire la Qualità
8
PO9
Valutare e Gestire i Rischi dell'IT
8
PO10
Gestire i Progetti
9
08/05/2009
Copertura
23
AI – Acquisizione e Realizzazione
Cod.
Descrizione
AI1
Identificare Soluzioni Automatizzate
AI2
Acquistare e Mantenere gli Applicativi
8
9
AI3
Acquistare e Mantenere l'Infrastruttura Tecnologica
9
AI4
Abilitare al Funzionamento e all'Utilizzo
9
AI5
Acquistare le Risorse Informatiche
8
AI6
Gestire i Cambiamenti
9
AI7
Installare ed Accreditare Soluzioni e Cambiamenti
9
08/05/2009
Copertura
24
DS - Erogazione ed assistenza
Cod.
Descrizione
DS1
Definire e Gestire i Livelli di Servizio
DS2
Gestire i Servizi di Fornitori Esterni
DS3
Gestire Performance e Capacità
DS4
Assicurare la Continuità del Servizio
DS5
Assicurare la Sicurezza dei Sistemi
DS6
Identificare ed Allocare i Costi
DS7
Educare ed Istruire gli Utenti
DS8
Gestire il Service Desk e gli Incidenti
DS9
Gestire le Configurazioni
DS10
Gestire i Problemi
DS11
Gestire i Dati
DS12
Gestire l'Ambiente Fisico
DS13
Gestire le Operazioni
08/05/2009
Copertura
9
8
9
9
9
8
8
9
9
9
9
9
9
25
ME - Monitoraggio e valutazione
Cod.
Descrizione
ME1
Monitorare e valutare le performance IT
ME2
Monitorare e valutare il controllo interno
8
8
ME3
Assicurare la conformità alle normative
9
ME4
Fornire una Governance dell’IT
8
08/05/2009
Copertura
26
Obiettivi di
controllo di
CobiT coperti
Attività di
Controllo
Cedacri
PO: Pianificazione e organizzazione
15
6
AI: Acquisizione e realizzazione
33
22
DS: Erogazione ed assistenza
52
41
ME: Monitoraggio e valutazione
5
4
105
73
Dominio
Totale
08/05/2009
27
Esiste uno standard su come descrivere i
controlli?
Si e no…
I service provider possono descrivere controlli ed obiettivi come ritengono
essere più efficace, tuttavia tale descrizione deve risultare soprattutto adeguata
per soddisfare i requisiti degli auditor e per fare questo dovrebbero essere
coperti i 5 componenti chiave del controllo interno (come definito dal SAS No.
55, Consideration of Internal Control in a Financial Statement Audit):
1. Control Environment: indica l’attenzione della Società ed influenza la
consapevolezza dei controlli di tutto il personale; è il fondamento di tutte le
altre componenti del controllo interno definendone le politiche e la struttura;
2. Risk Assessment: è l’identificazione e l’analisi dei rischi che insistono sul
raggiungimento degli obiettivi, fornendo la base su cui determinare la
gestione dei rischi stessi;
3. Control Activities: sono le politiche e le procedure che aiutano ad
assicurare che le direttive del management siano seguite;
4. Information and Communication: sono l’identificazione, il trattamento e lo
scambio di informazioni in tempi e modi che consentano alle persone di
svolgere i propri compiti;
5. Monitoring: è il processo che assicura la qualità nel tempo della
performance del controllo interno.
08/05/2009
28
Come si può "passare" or "fallire" un audit
SAS 70?
A conclusione di un audit SAS 70, l’auditor predispone una opinion nella quale
si afferma:
1. Se i controlli sono descritti chiaramente;
2. Se i controlli sono disegnati efficacemente;
3. Se i controlli sono stati operativi nel corso di un intervallo temporale (Tipo 2).
Quando gli auditor possono dimostrare che tali affermazioni sono tutte
verificate viene emessa una "unqualified opinion." Quindi, sebbene un audit
SAS 70 non sia tecnicamente un audit "pass or fail", l’emissione di una
unqualified opinion equivale a "passare" l’audit.
Quando invece le procedure portano alla individuazione di eccezioni o carenze
nei controlli, l’auditor può concludere che un obiettivo di controllo non può
essere raggiunto a causa di carenze nel design o nella efficacia operativa: in
questo caso si parla di "qualified opinion".
La presenza di qualifiche non implica però che l’audit sia fallito: occorre una
accurata analisi dell’impatto che le eccezioni hanno in quanto eventuali
carenze su un obiettivo di controllo potrebbero non pregiudicare il
raggiungimento degli altri obiettivi. Infatti in presenza di eccezioni rilevanti
l’opinion non viene emessa.
08/05/2009
29
Come viene distribuito il report
SAS 70?
A conclusione di un incarico SAS 70, il Revisore invierà il report a chi ha
commissionato l’audit: normalmente sarà il Service Provider che provvederà ad
inviarlo ai propri Clienti che, a loro volta, lo potranno inoltrare ai propri auditor;
le indicazioni relative alla limitazione della distribuzione del report sono di
norma definite all’interno della proposta emessa dal Revisore.
Nel nostro caso l’incarico viene assegnato dal Consiglio di Amministrazione a
nome dei Clienti che partecipano al progetto e quindi ne è il destinatario
principale. Nell’offerta economica ai Clienti è richiesto di sottoscrivere
esplicitamente un “Non discolusure agreement” che vincola la distribuzione del
Report.
In questo senso il report ha una limitata valenza commerciale in quanto non
può essere utilizzato direttamente come strumento di marketing; peraltro è
possibile dare evidenza di aver ricevuto un report SAS 70.
08/05/2009
30
Ogni quanto deve essere ripetuto un audit
SAS 70? Il SAS 70 ha una scadenza?
Il report SAS 70 è riferito ad un preciso momenti (Tipo 1) oppure copre uno
specifico intervallo temporale (Tipo 2).
La maggior parte dei Service Provider prevede un audit condotto con cadenza
annuale in quanto Clienti e loro Auditor necessitano la certificazione che i
controlli siano stati operativi nel corso dell’intero anno fiscale. Non posiamo
quindi parlare di “rinnovo”, ma si tratta in tutto e per tutto di una attività: il
revisore deve condurre un audit completo tutti gli anni e riportare i relativi
risultati. La descrizione dei controlli potrebbe anche rimanere uguale, ma le
procedure ed i test condotti dai revisori devono essere rieseguiti ogni anno.
Peraltro occorre ricordare che le procedure di audit prevedono, nel caso di
controllo testato con successo nel corso dell’audit precedente e non variato nel
corso del periodo di osservazione, che il campione venga ridotto.
A questo riguardo risulta quindi estremamente importante la fase di
documentazione dell’ambiente di controllo (Sezione 2), perché deve dare
evidenza di tutti i cambiamenti intercorsi (pena il fallimento dei relativi test).
08/05/2009
31
Quanto costa un report SAS 70 e chi lo
deve pagare?
Il costo di un Audit SAS 70 dipende dal tempo impiegato dagli auditor per
valutare l’efficacia dei controlli e raccogliere le evidenze del loro
funzionamento.
Considerato che si tratta di una attività molto approfondita che non si limita alla
compilazione di una checklist, gli auditor sono chiamati a rivedere la
documentazione relativa a tutti controlli, intervistare personale sia direttivo che
operativo, raccogliere evidenze sull’esistenze ed il funzionamento di tali
controlli; inoltre tale attività deve essere descritta dettagliatamente nel report
(Sezione 3).
In un ambiente complesso come Cedacri, l’attività svolta nel 2008 ha richiesto
circa 300 giorni da parte del Revisore, cui vanno aggiunti circa 150 giorni di
risorse interne tra assistenza e tempo dedicato alle interviste.
Con riferimento alla suddivisione dei costi, la scelta di Cedacri è stata quella di
ribaltare sui Clienti che partecipano al progetto il costo della Società di
Revisione.
08/05/2009
32
Quali sono i benefici indotti?
• Da evidenza della attività di vigilanza sull’outsourcer, come richiesto da Banca
d’Italia (Istruzioni di Vigilanza per le Banche - TITOLO IV - Capitolo 11:
"L'attribuzione a soggetti terzi di attività connesse con il funzionamento dei
sistemi informativi non esonera le banche dalle responsabilità di controllo.");
• Fornisce una "assurance" indipendente del sistema di controllo interno
(rivolto al Financial Reporting) ad uso dei Revisori Esterni, anche per il
disegno dei test nell’ambito della certificazione di bilancio;
• Richiede una governance dei processi IT;
• Dimostra ai clienti e agli auditors del Service Provider la presenza ed
effettività dei controlli;
• Razionalizza le richieste di audit da parte dei clienti e dei loro revisori
contabili;
• Fornisce al Management un livello di "reasonable assurance" sull’integrità
dei controlli e dell’ambiente di controllo (anche in ambito 231/01);
• Rappresenta un "plus" commerciale.
08/05/2009
33
E quali le criticità?
• Il costo per l’implementazione ed mantenimento del Report, sia in termini di
risorse interne che per la Società di Revisione ;
• Può richiedere una revisione o ri-organizzazione del Business e dei processi
IT (nel nostro caso già affrontate per la certificazione ISO 9001);
• Il raggiungimento di determinati obiettivi di controllo potrebbe rendere
necessari investimenti in termini di risorse sia interne che esterne;
• Potrebbe condurre ad una comunicazione di inadeguatezza del sistema di
controllo interno del Service Provider ("Opinion qualified");
• Necessaria integrazione e compatibilità con l’intero Sistema di Controllo
Interno al fine di ottimizzare gli investimenti ed evitare le sovrapposizioni
(compliance a Privacy, 231/01, Legge sul Risparmio, CNIPA, ISO 27001);
• Rischi derivanti dalla errata interpretazione delle finalità del report: lo
standard SAS 70 è rivolto al financial reporting e non ad altro.
Service Audit Report
08/05/2009
34
Evoluzioni future – Lo Standard
Internazionale (ISA)
Lo standard SAS No. 70 è un insieme di linee guide e regole emesse e di
valenza negli US, che sono state successivamente adottate anche a livello
internazionale in assenza di regole con più ampia applicazione geografica.
E’ in corso di elaborazione, da parte del Board IFAC (International Federation
of Accountants), lo standard internazionale (ISA - International Standard on
Auditing) per la valutazione ed implementazione di Service Audit Report che
ad oggi ha visto l’emissione – di "exposure draft" per discussione – degli
standard:
ISA 302 - Audit Considerations Relating to an Entity Using a Third Party
Service Organization
ISA 3402 - Assurance Reports on Controls at a Third Party Service
Organization
Secondo recenti informazioni di provenienza diretta dal Board, la previsione
del rilascio dei nuovi standard ISA è per inizio del 2011.
08/05/2009
35
SAS 70 in Italia
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
ADP-GSI Italia S.p.A.
SIN-SYS
Dianos (Gruppo SCAI)
Telecom Italia
Feinar (provider Luxottica)
T-System
EDS
IBM
Citibank (filiale Italiana)
HR4YOU
Unione Fiduciaria
Cedacri
Payroll
ITGC e Card processes
Application Management
ITGC
Payroll
ITGC
ITGC
ITGC e Application Management
ITGC e processi business
ITGC
* Fonte: Indagine presso le Big Four
08/05/2009
36
Grazie per l’attenzione
Presentazione Gruppo Cedacri Q260 001

SAS 70 per servizi in outsourcing

Transcript

Documenti analoghi

Private Banking

ASSISTENTE FUNZIONALE Tutto ciò che siamo dipende dalle

Parma 5_4.indd - 24 Ore System

Roberto Manini è il nuovo Responsabile della Direzione

Messaggi e business hi-tech inizia l`era del credito digitale

Spazio Blu: attrezzatura subacquea a Torino e online

pag. 01 20 Ottobre 2016 - La Gazzetta dello Sport (ed

in questa area e` severamente vietato l`accesso ai minori di anni 18