SAS 70 per servizi in outsourcing
Transcript
SAS 70 per servizi in outsourcing
SAS 70 per servizi in outsourcing: impegno, criticità, benefici. L’esperienza CEDACRI Stefano Arduini CISA, CGEIT, ISO/IEC 27001 L.A. Responsabile Area Internal Audit, Certificazioni CEDACRI Presentazione Gruppo Cedacri Q260 001 Agenda Chi è Cedacri Cosa è il SAS 70 per Cedacri e come lo ha implementato I benefici raggiunti Le criticità incontrate 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 2 La mission di Cedacri Essere Esserel’outsourcer l’outsourcerdidiriferimento riferimentoeeililpartner partnerdidi fiducia fiduciadegli degliistituti istitutibancari bancarieelelesocietà societàfinanziarie finanziarie per: per: ¾¾ servizi servizididioutsourcing outsourcingdel delsistema sistemainformativo, informativo, assistenza assistenzaeeconsulenza consulenzaorganizzativa organizzativa ¾¾ servizi servizicomplementari complementarididibusiness businessprocess process outsourcing outsourcing Full Full Outsourcing Outsourcing Outsourcing Outsourcing Selettivo Selettivo Facility Facility Management Management Disaster Recovery e Disaster Recovery e Business Continuity Business Continuity Come? Applicazioni software e Applicazioni software e collaborazioni strategiche collaborazioni strategiche Come Comepartner partnerinformatico informaticodei deipropri propriclienti clientinel: nel: ¾¾ Condividere e attuare le scelte strategiche Condividere e attuare le scelte strategiche ¾¾ Rispondere Risponderealle alleesigenze esigenzeoperative operativeee informative informative 08/05/2009 GESTORE DI POSTA GESTORE DI POSTA ELETTRONICA ELETTRONICA CERTIFICATA CERTIFICATA CERTIFICATORE CERTIFICATORE ACCREDITATO ACCREDITATO DI FIRMA DIGITALE DI FIRMA DIGITALE Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 3 Profilo d’impresa S.p.A. leader in Italia nel mercato dell’outsourcing bancario sin dal 1976 Castellazzo Gussago Capitale sociale: € 12.609.000 interamente detenuto da 25 Banche Collecchio Quote: un socio non può detenere più del 20% delle quote Bari Banca d’Italia: detiene quote di capitale sociale (2%) 3° polo per numero di sportelli gestiti Gra n° sportelli 1 2 3 4 5 6 7 Unicredit Intesa Sanpaolo Cedacri Banco Popolare Monte Paschi Siena UBI Banca Bnl 08/05/2009 3° polo per risorse utilizzatrici dei sistemi Gra 9.714 6.050 2.700 2.254 2.094 1.922 898 1 2 3 4 Gra n° dipendenti Unicredit Intesa Sanpaolo Cedacri Monte Paschi Siena 5 Banco Popolare 6 UBI Banca 7. Bnl 4° polo per totale RD+I gestiti RD+I (in milioni) 159.949 97.058 30.000 25.651 21.813 21.226 15.602 1 2 3 4 5 6 7 Unicredit Intesa Sanpaolo Monte Paschi Siena Cedacri UBI Banca Banco Popolare Bnl Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 1.206.700 709.000 219.700 186.400 183.200 177.800 122.612 4 Gruppo Cedacri Servizi di call center e web farm, gestione POS e ATM, gestione documentale Gestione delle comunicazioni rivolte alla clientela, stampa e postalizzazione Visure ipocatastali, visure camerali,banche dati atti negativi Attività amministrative di back Office bancario Stampa e postalizzazione (partecipata con Postel) Fatturato 2008 256 milioni di Euro (di cui 184,2 di Cedacri S.p.A) Dipendenti 960 Clienti > 150, di cui 70 banche in full outsourcing 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 5 Il contesto Au dit Si c ur ez z a Minacce Attacchi Vulnerabilità Compliance 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 6 Cosa è il SAS 70 per Cedacri e come lo ha implementato 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Perchè richiediamo il report SAS70 e cosa potrebbe succedere se non lo facessimo? Quali sono i contenuti di un report SAS 70? Deve necessariamente essere auditata tutta la Società? Come un service provider si deve preparare ad un audit SAS 70? Esiste una lista degli obiettivi di controllo che il SAS 70 deve coprire? Esiste uno standard su come descrivere i controlli? Come si può "passare" or "fallire" un audit SAS 70? Come viene distribuito il report SAS 70? Ogni quanto deve essere ripetuto un audit SAS 70? Il SAS 70 ha una scadenza? Quanto costa un report SAS 70 e chi lo deve pagare? * Domande tratte dal sito www.sas70.org 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 7 Perché richiediamo il report SAS70 e cosa potrebbe succedere se non lo facessimo? Storicamente la maggior parte degli incarichi di redazione del report SAS 70 venivano richiesti dalle società erogatrici di servizi per far fronte in modo strutturato alle continue richieste dei propri clienti per acquisire conoscenze circa il proprio ambiente di controllo. In mancanza di un rapporto di audit, infatti, i service provider avrebbero dovuto rispondere alle singole richieste di audit da parte dei singoli clienti, con inefficienze e grande dispendio di risorse, umane ed economiche; tali costi, nel caso di società con clientela molto numerosa, potrebbero divenire proibitivi, anche per l’inevitabile impatto sulla erogazione del servizio. Inoltre il report SAS 70 integra il nostro sistema di controllo interno, sostanzialmente disegnato sul Cobit, che prevede le certificazioni ISO 9001:2000 e ISO 27001:2005. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 8 L’evoluzione Autunno 2004: Richiesta da Cliente per SOx SAS70 Type 2 per Cliente su una specifica applicazione (01/05/2005 – 31/10/2005) SAS70 Type 2 per Cliente su una specifica applicazione (01/11/2005 – 31/09/2006) SAS70 Type 1 per 14 Clienti su 10 applicazioni mainframe (01/11/2006) • A partire dall’anno 2005 CEDACRI ha richiesto, su richiesta di un proprio Cliente, il report SAS 70 avente come oggetto l’attestazione dello stato di efficienza dei controlli generali IT in essere nel sistema informativo. • Dal 2006 è stato avviato un progetto per estendere tale attestazione ad altri Istituti e la Società di Revisione incaricata ha predisposto un report SAS 70 di Type 1 che attesta l’effettivo funzionamento dei controlli in essere ad una data puntuale. SAS70 Type 2 per 21 Clienti su 15 applicazioni mainframe (01/11/2006 – 31/10/2007) • Tale attività è proseguita nel 2007 con la redazione di un report SAS 70 di Type 2, che attesta l’effettivo funzionamento dei controlli durante un determinato periodo di riferimento. SAS70 Type 2 per 22 Clienti su 20 applicazioni mainframe e 5 su distribuito (01/11/2007 – 31/10/2008) • L’ambito di applicazione delle attività è stato costantemente ampliato, sia come applicativi che come piattaforme. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 9 Il campo di applicazione Revisione Esterna Sarbanes Oxley Corporate Governance, Risk Management e Revisione Interna Leggi e regolamenti Istruzioni, Provvedimenti, Circolari e regolamenti: Banca d’Italia e ISVAP Attività di Back-Office e Trust Accounting 08/05/2009 Principio di revisione n. 402 (Considerazioni sulla revisione contabile di imprese che utilizzano fornitori di servizi) Esplicitamente richiamato dal PCAOB n° 2 quando si utilizzano Service Organisations per la gestione di importanti sistemi informativi o processi aziendali. Non sempre vi è necessità di una legge o regolamento Leggi 262/2005; 231/2001; 196/2003. Vari documenti fra cui il requisito di valutare i controlli dell’outsourcer informatico e Normativa Banca d’Italia del 15/07/2004 sulla Continuità Operativa Tendenza di accentramento delle attività di back-office presso enti di servizio specializzate o terze parti che gestiscono un ciclo specialistico Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 10 Attività del revisore utente Il revisore dell’organizzazione utente che riceve il report, ha il compito di: Valutare l’effetto dell’utilizzo del service sul sistema di controllo interno del proprio cliente; Determinare l’importanza del sistema di controllo interno ai fini della revisione del proprio cliente, valutarne i rischi e verificare i controlli sulla quale si fa affidamento; Valutare l’utilizzo di un rapporto di terze parti, considerare l’evidenza dei controlli svolti dal service e verifiche eseguite come descritto nella relazione. Ricordando che il SAS70 fa riferimento al financial statement, è fondamentale che il report venga condiviso con i Revisori di Bilancio, per l’impatto che può avere sulle proprie procedure di audit. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 11 Quali sono i contenuti di un report SAS 70? Sezione Uno: Relazione dei revisori indipendenti; esprimerà tre opinioni: 1. La descrizione dei controlli della Service Organisation presenta adeguatamente gli aspetti rilevanti dei controlli; 2. Le attività di controllo sono state disegnate per raggiungere gli obiettivi di controllo, in maniera "ragionevole ma non con assoluta certezza"; 3. Tali attività di controllo erano effettivamente operative nel periodo. Sezione Due: Descrizione dell’ambiente di controllo di Cedacri Sezione Tre: Processi, obiettivi di controllo ed attività di controllo Sezione 4: Considerazioni sul controllo esercitato dalle organizzazioni utenti La documentazione di un SAS70 va sempre valutata insieme al sistema di controllo interno dell’organizzazione utente (nessun controllo inizia a finisce presso l’outsourcer). 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 12 Tipologia di report Il report SAS70 può essere predisposto in due modalità: Tipo 1 - Relativo ad attività di controllo, operative ad una certa data. Esprime un’opinione sull’efficacia dei controlli in essere ad una specifica data, con riferimento a determinati obiettivi di controllo definiti dal service. Tipo 2 – In aggiunta al tipo 1 vengono eseguite adeguate attività di verifica idonee ad esprime un’opinione sull’effettivo funzionamento dei controlli, durante un determinato periodo di riferimento. Ai fini delle verifiche del sistema di controllo interno in ambito Sarbanes Oxley viene esplicitamente richiesto il report di Tipo 2. Secondo quella che è una prassi consolidata presso le Società di Revisione, il primo report ottenuto sull’intero ambiente Cedacri è stato di Tipo 1 e si è passati al Tipo 2 solo dall’anno successivo. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 13 Tipologia di controlli interni L’attestazione presente nel SAS70 può essere indirizzata a due tipologie di controlli: Controlli generali dei sistemi informativi (Organizzazione, Sviluppo, Manutenzione, Sicurezza ed Operatività). Generici o specifici per ambienti o applicativi. Gli obiettivi di controllo possono essere definiti ad alto livello utilizzando le linee guida del COSO report, ma la prassi "Sarbanes-Oxley" è di utilizzare le più specifiche linee guida del Cobit; Controlli applicativi (completezza, accuratezza, validità, aggiornamento, divisione dei compiti e manutenzione) di particolari transazioni o cicli. I controlli applicativi possono essere manuali, informatizzati (programmed controls) o misti. Cedacri ha attualmente richiesto un report indirizzato agli IT General Control mappati secondo il Cobit. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 14 Altre limitazioni Anche se la Relazione viene utilizzata per scopi diversi, la finalità del SAS 70 continua a fare riferimento alla revisione esterna del bilancio. Ci sono poi diverse altre limitazioni: La documentazione e relative attività di test, svolte a supporto di un SAS70, vanno sempre valutate insieme al sistema di controllo interno dell’organizzazione utente (nessun controllo inizia a finisce esclusivamente presso un service). La Relazione si esprime in termini di "ragionevole ma non assoluta certezza" (Reasonable but not Absolute Assurance) Il report è limitato alle aree e periodi di riferimento: qualsiasi proiezione ad altri periodi è soggetta ad errori. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 15 Deve necessariamente essere auditata tutta la Società? No, non necessariamente. In aziende strutturate su diverse Business Unit è possibile indirizzare l’attività di audit su specifici processi e comunque il report può essere configurato per identificare e coprire specifici data center, ambienti operativi ed applicazioni che rientrano nell’oggetto dell’audit. Peraltro, in considerazione che il report SAS 70 è predisposto per fornire ai clienti ed ai loro auditor informazioni relative all’ambiente di controllo interno, esistono alcuni elementi di alto livello che rientrano comunque nel perimetro del report (ad esempio le politiche di gestione del personale sono trasversali in tutte le organizzazioni). La scelta di Cedacri è stata quella di far rientrare nel SAS 70 tutto il processo di outsourcing, includendo inizialmente alcune applicazioni su mainframe ed estendendo successivamente a tutte le applicazioni più critiche anche su piattaforma distribuita. È bene precisare che di tali applicativi NON viene verificata in nessun modo la funzionalità (application control). 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 16 Nell’ambito Mainframe rientrano le seguenti procedure: • Anagrafe (AN); • Conti banche (BK) ; • Bonifici (BO) ; • Contabilità generale e di raccordo (CG); • Fidi e Garanzie (FG); • Gestione incassi (GI); • Mutui e finanziamenti (MN); • Sofferenze (SF); • Antiriciclaggio (AT); • Condizioni e trasparenza (TR); • Conti Correnti Batch (CC); • Pre-puma – Creazione unità informative (BI); • Esattoria Ruoli (ER); • Estero (E1); • Finanza WEB – Titoli (TW); • Partite Incagliate (IN); • Crediti IAS (CA); • Banca Depositaria (BD); • Gestioni patrimoniali (TN). 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 17 Nell’ambito dell’ambiente Distribuito rientrano le seguenti applicazioni: • • • • • PWS (Professional Web Station) – piattaforma trasversale a tutte le procedure applicative basate sull’ambiente distribuito; Anagrafe – la parte di procedura basata sull’ambiente Distribuito; HBnext; LIBRA; Marketing. Tale elenco riporta le applicazione in scope nel primo anno, ed è stato circoscritto ad alcune applicazioni rappresentative delle diverse tipologie di servizi/piattaforme/linguaggi utilizzati da Cedacri. Nel tempo il perimetro verrà esteso anche ad altri applicativi significativi. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 18 Come un service provider si deve preparare ad un audit SAS 70? Al service provider sono richieste diverse attività: definire gli obiettivi di controllo; identificare le relative attività di controllo; preparare la documentazione relativa all’ambiente di controllo (sezione 2). Ovviamente tali attività possono essere svolte con il supporto di società di consulenza, con il vantaggio di poter ottenere un primo livello di audit dei controlli stessi. Nel nostro caso l’identificazione degli obiettivi di controllo è guidata dai Clienti in quanto l’attività è fatta a loro beneficio ed il nostro ruolo è assolutamente passivo (non deve risultare nessuna attività di limitazione dello scopo). 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 19 Dichiarazioni che devono essere rilasciate da parte del Service La lettera di attestazione del service dovrà riconoscere: Le proprie responsabilità nell’istaurare e mantenere un adeguato sistema di controllo interno; L’adeguatezza dei controlli descritti nella documentazione e periodo di riferimento; Che tutti gli eventi con impatto significativo sui controlli sono stati descritti al revisore. 08/05/2009 La documentazione fornita dal service dovrà contenere descrizione: dei servizi e delle attività in scopo; della struttura organizzativa; delle applicazioni e piattaforme tecnologiche di riferimento; dell’ambiente di controllo (sinteticamente); degli obiettivi di controllo e di tutte le attività di controllo che permettono il raggiungimento degli obiettivi (nel dettaglio). Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 20 Descrizione dell’ambiente di controllo I servizi di Cedacri e le attività incluse nell’ambito dell’intervento. La struttura organizzativa e l’ambiente di controllo: Organizzazione e pianificazione: Gestione delle risorse umane, Attività interne di pianificazione, monitoraggio e audit, Gestione delle strategie aziendali e della comunicazione tra l'azienda e gli Istituti clienti; Integrità comportamentale e conformità a leggi e regolamenti: Norme comportamentali e valori etici, Gestione conformità. 08/05/2009 Le piattaforme tecnologiche e le applicazioni di riferimento: Sistemi IT, Connettività di rete, Matrice delle applicazioni. Panorama dei processi e controlli: Gestione della sicurezza, Sicurezza fisica e ambientale, Sicurezza logica, Gestione Operativa, Ciclo di vita dello sviluppo dei sistemi e gestione dei cambiamenti, Gestione dei problemi. Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 21 Esiste una lista degli obiettivi di controllo che il SAS 70 deve coprire? Dato che è responsabilità della Società descrivere i propri controlli e definire i relativi obiettivi di controllo, non esiste una definizione standard; inoltre tali obiettivi sono specifici per il singolo service provider e per i suoi clienti. Tuttavia ci sono diverse fonti cui fare riferimento ed esistono standard che possono essere utilizzati per lo svolgimento di un audit SAS 70. Tra questi ricordiamo il "CobiT", i WebTrust Principles and Criteria ed i SysTrust Principles and Criteria, disponibili sul sito web dell’AICPA. In particolare ricordiamo che l’IT Governance Institute ha pubblicato una reference guide intitolata "IT Control Objectives for Sarbanes-Oxley" che permette di correlare diversi control objectives del CobIT al framework COSO. i control objectives riportati nel documento possono essere utilizzati come schema di base per impostare l’audit SAS 70. Su richiesta dei Clienti sono stati anche aggiunti alcuni obiettivi di controllo (ad es. Business Contiuity). Il Revisore di Cedacri, su richiesta del primo Cliente, ha impostato la propria analisi su CobiT; l’esperienza acquisita nel corso degli anni ha però la rivisitazione del modello proprio per renderlo più semplice (e quindi meno dispendioso) e più aderente alla realtà aziendale. L’attività di analisi è tuttora in corso. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 22 PO – Acquisizione e Realizzazione Cod. Descrizione PO1 Definire un Piano Strategico dell'IT PO2 Definire l'Architettura Informatica 8 8 PO3 Determinare l'Indirizzo Tecnologico 8 PO4 Definire i Processi, l'Organizzazione e i Rapporti dell'IT 8 PO5 Gestire gli Investimenti nell'IT 8 PO6 Comunicare gli Obiettivi e gli Indirizzi della Gestione 8 PO7 Gestire le Risorse Umane dell'IT 8 PO8 Gestire la Qualità 8 PO9 Valutare e Gestire i Rischi dell'IT 8 PO10 Gestire i Progetti 9 08/05/2009 Copertura Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 23 AI – Acquisizione e Realizzazione Cod. Descrizione AI1 Identificare Soluzioni Automatizzate AI2 Acquistare e Mantenere gli Applicativi 8 9 AI3 Acquistare e Mantenere l'Infrastruttura Tecnologica 9 AI4 Abilitare al Funzionamento e all'Utilizzo 9 AI5 Acquistare le Risorse Informatiche 8 AI6 Gestire i Cambiamenti 9 AI7 Installare ed Accreditare Soluzioni e Cambiamenti 9 08/05/2009 Copertura Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 24 DS - Erogazione ed assistenza Cod. Descrizione DS1 Definire e Gestire i Livelli di Servizio DS2 Gestire i Servizi di Fornitori Esterni DS3 Gestire Performance e Capacità DS4 Assicurare la Continuità del Servizio DS5 Assicurare la Sicurezza dei Sistemi DS6 Identificare ed Allocare i Costi DS7 Educare ed Istruire gli Utenti DS8 Gestire il Service Desk e gli Incidenti DS9 Gestire le Configurazioni DS10 Gestire i Problemi DS11 Gestire i Dati DS12 Gestire l'Ambiente Fisico DS13 Gestire le Operazioni 08/05/2009 Copertura Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 9 8 9 9 9 8 8 9 9 9 9 9 9 25 ME - Monitoraggio e valutazione Cod. Descrizione ME1 Monitorare e valutare le performance IT ME2 Monitorare e valutare il controllo interno 8 8 ME3 Assicurare la conformità alle normative 9 ME4 Fornire una Governance dell’IT 8 08/05/2009 Copertura Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 26 Obiettivi di controllo di CobiT coperti Attività di Controllo Cedacri PO: Pianificazione e organizzazione 15 6 AI: Acquisizione e realizzazione 33 22 DS: Erogazione ed assistenza 52 41 ME: Monitoraggio e valutazione 5 4 105 73 Dominio Totale 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 27 Esiste uno standard su come descrivere i controlli? Si e no… I service provider possono descrivere controlli ed obiettivi come ritengono essere più efficace, tuttavia tale descrizione deve risultare soprattutto adeguata per soddisfare i requisiti degli auditor e per fare questo dovrebbero essere coperti i 5 componenti chiave del controllo interno (come definito dal SAS No. 55, Consideration of Internal Control in a Financial Statement Audit): 1. Control Environment: indica l’attenzione della Società ed influenza la consapevolezza dei controlli di tutto il personale; è il fondamento di tutte le altre componenti del controllo interno definendone le politiche e la struttura; 2. Risk Assessment: è l’identificazione e l’analisi dei rischi che insistono sul raggiungimento degli obiettivi, fornendo la base su cui determinare la gestione dei rischi stessi; 3. Control Activities: sono le politiche e le procedure che aiutano ad assicurare che le direttive del management siano seguite; 4. Information and Communication: sono l’identificazione, il trattamento e lo scambio di informazioni in tempi e modi che consentano alle persone di svolgere i propri compiti; 5. Monitoring: è il processo che assicura la qualità nel tempo della performance del controllo interno. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 28 Come si può "passare" or "fallire" un audit SAS 70? A conclusione di un audit SAS 70, l’auditor predispone una opinion nella quale si afferma: 1. Se i controlli sono descritti chiaramente; 2. Se i controlli sono disegnati efficacemente; 3. Se i controlli sono stati operativi nel corso di un intervallo temporale (Tipo 2). Quando gli auditor possono dimostrare che tali affermazioni sono tutte verificate viene emessa una "unqualified opinion." Quindi, sebbene un audit SAS 70 non sia tecnicamente un audit "pass or fail", l’emissione di una unqualified opinion equivale a "passare" l’audit. Quando invece le procedure portano alla individuazione di eccezioni o carenze nei controlli, l’auditor può concludere che un obiettivo di controllo non può essere raggiunto a causa di carenze nel design o nella efficacia operativa: in questo caso si parla di "qualified opinion". La presenza di qualifiche non implica però che l’audit sia fallito: occorre una accurata analisi dell’impatto che le eccezioni hanno in quanto eventuali carenze su un obiettivo di controllo potrebbero non pregiudicare il raggiungimento degli altri obiettivi. Infatti in presenza di eccezioni rilevanti l’opinion non viene emessa. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 29 Come viene distribuito il report SAS 70? A conclusione di un incarico SAS 70, il Revisore invierà il report a chi ha commissionato l’audit: normalmente sarà il Service Provider che provvederà ad inviarlo ai propri Clienti che, a loro volta, lo potranno inoltrare ai propri auditor; le indicazioni relative alla limitazione della distribuzione del report sono di norma definite all’interno della proposta emessa dal Revisore. Nel nostro caso l’incarico viene assegnato dal Consiglio di Amministrazione a nome dei Clienti che partecipano al progetto e quindi ne è il destinatario principale. Nell’offerta economica ai Clienti è richiesto di sottoscrivere esplicitamente un “Non discolusure agreement” che vincola la distribuzione del Report. In questo senso il report ha una limitata valenza commerciale in quanto non può essere utilizzato direttamente come strumento di marketing; peraltro è possibile dare evidenza di aver ricevuto un report SAS 70. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 30 Ogni quanto deve essere ripetuto un audit SAS 70? Il SAS 70 ha una scadenza? Il report SAS 70 è riferito ad un preciso momenti (Tipo 1) oppure copre uno specifico intervallo temporale (Tipo 2). La maggior parte dei Service Provider prevede un audit condotto con cadenza annuale in quanto Clienti e loro Auditor necessitano la certificazione che i controlli siano stati operativi nel corso dell’intero anno fiscale. Non posiamo quindi parlare di “rinnovo”, ma si tratta in tutto e per tutto di una attività: il revisore deve condurre un audit completo tutti gli anni e riportare i relativi risultati. La descrizione dei controlli potrebbe anche rimanere uguale, ma le procedure ed i test condotti dai revisori devono essere rieseguiti ogni anno. Peraltro occorre ricordare che le procedure di audit prevedono, nel caso di controllo testato con successo nel corso dell’audit precedente e non variato nel corso del periodo di osservazione, che il campione venga ridotto. A questo riguardo risulta quindi estremamente importante la fase di documentazione dell’ambiente di controllo (Sezione 2), perché deve dare evidenza di tutti i cambiamenti intercorsi (pena il fallimento dei relativi test). 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 31 Quanto costa un report SAS 70 e chi lo deve pagare? Il costo di un Audit SAS 70 dipende dal tempo impiegato dagli auditor per valutare l’efficacia dei controlli e raccogliere le evidenze del loro funzionamento. Considerato che si tratta di una attività molto approfondita che non si limita alla compilazione di una checklist, gli auditor sono chiamati a rivedere la documentazione relativa a tutti controlli, intervistare personale sia direttivo che operativo, raccogliere evidenze sull’esistenze ed il funzionamento di tali controlli; inoltre tale attività deve essere descritta dettagliatamente nel report (Sezione 3). In un ambiente complesso come Cedacri, l’attività svolta nel 2008 ha richiesto circa 300 giorni da parte del Revisore, cui vanno aggiunti circa 150 giorni di risorse interne tra assistenza e tempo dedicato alle interviste. Con riferimento alla suddivisione dei costi, la scelta di Cedacri è stata quella di ribaltare sui Clienti che partecipano al progetto il costo della Società di Revisione. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 32 Quali sono i benefici indotti? • Da evidenza della attività di vigilanza sull’outsourcer, come richiesto da Banca d’Italia (Istruzioni di Vigilanza per le Banche - TITOLO IV - Capitolo 11: "L'attribuzione a soggetti terzi di attività connesse con il funzionamento dei sistemi informativi non esonera le banche dalle responsabilità di controllo."); • Fornisce una "assurance" indipendente del sistema di controllo interno (rivolto al Financial Reporting) ad uso dei Revisori Esterni, anche per il disegno dei test nell’ambito della certificazione di bilancio; • Richiede una governance dei processi IT; • Dimostra ai clienti e agli auditors del Service Provider la presenza ed effettività dei controlli; • Razionalizza le richieste di audit da parte dei clienti e dei loro revisori contabili; • Fornisce al Management un livello di "reasonable assurance" sull’integrità dei controlli e dell’ambiente di controllo (anche in ambito 231/01); • Rappresenta un "plus" commerciale. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 33 E quali le criticità? • Il costo per l’implementazione ed mantenimento del Report, sia in termini di risorse interne che per la Società di Revisione ; • Può richiedere una revisione o ri-organizzazione del Business e dei processi IT (nel nostro caso già affrontate per la certificazione ISO 9001); • Il raggiungimento di determinati obiettivi di controllo potrebbe rendere necessari investimenti in termini di risorse sia interne che esterne; • Potrebbe condurre ad una comunicazione di inadeguatezza del sistema di controllo interno del Service Provider ("Opinion qualified"); • Necessaria integrazione e compatibilità con l’intero Sistema di Controllo Interno al fine di ottimizzare gli investimenti ed evitare le sovrapposizioni (compliance a Privacy, 231/01, Legge sul Risparmio, CNIPA, ISO 27001); • Rischi derivanti dalla errata interpretazione delle finalità del report: lo standard SAS 70 è rivolto al financial reporting e non ad altro. Service Audit Report 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 34 Evoluzioni future – Lo Standard Internazionale (ISA) Lo standard SAS No. 70 è un insieme di linee guide e regole emesse e di valenza negli US, che sono state successivamente adottate anche a livello internazionale in assenza di regole con più ampia applicazione geografica. E’ in corso di elaborazione, da parte del Board IFAC (International Federation of Accountants), lo standard internazionale (ISA - International Standard on Auditing) per la valutazione ed implementazione di Service Audit Report che ad oggi ha visto l’emissione – di "exposure draft" per discussione – degli standard: ISA 302 - Audit Considerations Relating to an Entity Using a Third Party Service Organization ISA 3402 - Assurance Reports on Controls at a Third Party Service Organization Secondo recenti informazioni di provenienza diretta dal Board, la previsione del rilascio dei nuovi standard ISA è per inizio del 2011. 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 35 SAS 70 in Italia 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. ADP-GSI Italia S.p.A. SIN-SYS Dianos (Gruppo SCAI) Telecom Italia Feinar (provider Luxottica) T-System EDS IBM Citibank (filiale Italiana) HR4YOU Unione Fiduciaria Cedacri Payroll ITGC e Card processes Application Management ITGC Payroll ITGC ITGC ITGC e Application Management ITGC e processi business ITGC e processi business ITGC e processi business ITGC * Fonte: Indagine presso le Big Four 08/05/2009 Copyright Cedacri S.p.A. 2009 - Vietato l'uso non autorizzato 36 Grazie per l’attenzione Presentazione Gruppo Cedacri Q260 001