Third Party Assurance Reporting

www.pwc.com
Third Party Assurance
Reporting
AIEA
settembre 2013
Riccardo Crescini
PwC
Agenda
1.
Panoramica sugli ambiti di Third Party Assurance (―TPA‖)
2. Principali standard
•
SSAE16 & ISAE 3402
•
ISAE 3000
3. Trust Services (SysTrust®, WebTrust®)
•
SOC 2
•
SOC 3
Third Party Assurance Reporting
PwC
settembre 2013
2
Panoramica sugli ambiti di Third
Party Assurance (“TPA”)
Third Party Assurance Reporting
PwC
settembre 2013
3
Panoramica sugli ambiti di Third Party Assurance
(“TPA”)
La sfida
Dati i continui sviluppi di
corporate governance,
conformità alle normative,
ed esigenze di informativa
da fornire, i provider di
servizi devono fornire a
stakeholder interni ed
esterni maggiore
trasparenza relativa al loro
controllo interno.
Third Party Assurance Reporting
PwC
La soluzione
I servizi di Third Party
Assurance ("TPA")
forniscono ai provider di
servizi un mezzo per
dimostrare (attraverso
l'uso di una terza parte
indipendente) l'efficacia
del proprio sistema di
controllo interno.
settembre 2013
4
Panoramica sugli ambiti di Third Party Assurance
(“TPA”)
Con ―TPA‖ si intende il rilascio di una relazione formale (Report) da parte di un
Auditor indipendente in merito al disegno e/o efficacia operativa dei controlli
presso un provider di servizi.
Il perimetro del campo di applicazione può includere:
• Business Process outsourcing
• Full Outsourcing IT
• Gestione Infrastrutturale (facility management)
• Privacy e Sicurezza
Una relazione TPA con un perimetro ben definito può soddisfare
requisiti/richieste di audit per più clienti.
Third Party Assurance Reporting
PwC
settembre 2013
5
Panoramica sugli ambiti di Third Party Assurance
(“TPA”)
Approccio
nuovo
Driver di third party assurance
Fiducia
• Richieste dagli auditor delle società clienti
• Efficienza delle risposte di audit
Minor
intrusività
• Obblighi Contrattuali
• Ulteriori possibilità di outsourcing e SaaS
Third
Party
Assurance
Trasparenza
Strumento di
Marketing
Audit dei
controlli
• Maggiore comfort sui servizi agli stakeholder
• Conformità a normative, regolamenti, leggi
• Fornire maggiore trasparenza sul controllo interno
Miglioramento
di controllo
Opinione
Indipendente
• Possibile una differenziazione competitiva per attirare clienti
• Dimostrare l'efficacia dei controlli interni
• Identificazione delle opportunità di miglioramento
Third Party Assurance Reporting
PwC
settembre 2013
6
Principali Standard
Third Party Assurance Reporting
PwC
settembre 2013
7
Principali Standard - SSAE16 & ISAE 3402
 ISAE 3402 e SSAE16 sono audit standard in cui sono definite le modalità e le
procedure secondo le quali deve essere condotto un audit presso le terze parti che
erogano servizi di outsourcing (―Service Organizations‖) per rilasciare un report che
include qualsiasi tipologia di processo (ICT, Payroll, etc.).
 Il risultato dell’audit dipende da:
 Obiettivi di controllo selezionati;
 Controlli implementati dalla service organization;
 Efficacia operativa dei controlli;
 Gli obiettivi di controllo vengono normalmente selezionati dalle best practice di settore
o dai framework di controllo interno (esempio ISO 27001, CobIT, ITIL, etc.).
 Il report finale riporta un’attestazione sulla consistenza con gli obiettivi di controllo
selezionati relativamente a:
Esistenza corretto disegno dei controlli (report di tipo 1).
Corretta efficacia operativa (report di tipo 2).
Third Party Assurance Reporting
PwC
settembre 2013
8
Principali Standard - SSAE16 & ISAE 3402
 SSAE16 (Statement on Standards for Attestation Engagements 16) - Reporting on
Controls at a Service Organization è lo standard americano che ha sostituito lo
standard SAS70.
 L’ISAE 3402 (International Standard on Assurance Engagements 3402) - Assurance
Reports on Controls at a Service Organization è uno standard internazionale
rilasciato dall’International Auditing and Assurance Standards Board (IAASB).
 I due presentano delle differenze minime.
 È possibile rilasciare un report per ogni standard con l’esecuzione del medesimo audit
(―dual report‖).
 Il report finale è composto da:
 La relazione dell’auditor indipendente.
 Asserzione del management della Service Organization.
 Descrizione del sistema della Service Organization.
 Le verifiche e l’esito delle verifiche svolte dall’auditor indipendente, inclusa la
descrizione dei test di efficacia operativa nel caso di report tipo 2.
 Gli utilizzatori finali sono i revisori dei clienti della Service Organization.
Third Party Assurance Reporting
PwC
settembre 2013
9
Principali Standard - ISAE 3000
 L’ ISAE 3000 (International Standard on Assurance Engagements 3000) –
―Assurance Engagements Other Than Audits or Reviews of Historical Financial
Information‖ è lo standard internazionale di Assurance.
 Emesso nel Giugno del 2000 (e successivamente rivisto, ultima versione del 2011), è
stato definito per fornire ad un ampio pubblico di auditor un principio base per tutti
gli incarichi differenti dalla revisione di bilancio.
 Gli audit ISAE 3000 includono: rapporti ambientali, sostenibilità sociale, controllo
interno, corporate governance, etc. In ambito TPA lo standard viene utilizzato qualora
sia necessario effettuare delle verifiche su ambiti differenti dal controllo interno, quali
assesment specifici sulla sicurezza, sui contratti di outsourcing, sui livelli di servizio,
etc.
 Sono presenti due differenti tipologie di report:
 Limited Assurance.
 Reasonable Assurance.
La differenza tra i due è costituita dal livello di rischio coperto dall’auditor durante
l’incarico, e di conseguenza sull’estensione delle verifiche effettuate.
Third Party Assurance Reporting
PwC
settembre 2013
10
Trust Services
Third Party Assurance Reporting
PwC
settembre 2013
11
Trust Services (SysTrust®, WebTrust®)
 Set di servizi professionali di audit e consulenza basati su un framework comune per
indirizzare rischi relativi al mondo IT.
 Basato sui seguenti principi: Sicurezza, Disponibilità, Integrità di elaborazione,
Riservatezza e Privacy. Il report può coprire uno o più principi Trust Service elencati.
 I criteri in scope devono essere testati in base alle aree oggetto di analisi.
 Differenze tra SysTrust (IT systems) e WebTrust (sistemi e-commerce).
 Scopo: Fornisce un rapporto che dà garanzia sulla conformità del cliente rispetto ai
principi e criteri di Trust Services.
 Utenti: clienti attuali e futuri, partner commerciali, creditori, banche.
 Sono presenti due forme di report per l’esame dei controlli presso l’outsourcer (Service
Organization Controls – SOC): SOC2, e SOC3.
Third Party Assurance Reporting
PwC
settembre 2013
12
Trust Services - SOC2
 Guida AICPA ―Reporting on Controls at a Service Organization Relevant to Security,
Availability, Processing Integrity, Confidentiality, or Privacy‖. I criteri sono
pubblicati sul sito dell’AICPA.
 Il report non è distribuibile universalmente (es. pubblicato sul sito internet), ma può
essere consegnato ad un pubblico ampio (management società e stakeholder terzi).
 Gli utilizzatori devono avere una buona conoscenza di:
 I servizi erogati dalla terza parte.
 Le modalità con cui l’organizzazione terza interagisce con i clienti e gli eventuali
subfornitori.
 Tematiche di controllo interno.
 I criteri (o obiettivi di controllo) inclusi nello scope.
 Il report è composto da:
 La relazione dell’auditor indipendente.
 Asserzione del management della società.
 Descrizione del sistema della terza parte.
 La descrizione dei test di efficacia operativa nel caso di report tipo 2 (non sono
definiti periodi temporali minimi e massimi).
Third Party Assurance Reporting
PwC
settembre 2013
13
Trust Services - SOC3
 Gli standard di riferimento sono:
 ―AT101 -Attestation Engagement‖ emanato dall’AICPA
 ―Trust Services Principles, Criteria, and Illustrations‖ in cui sono definiti
principi e criteri per Sicurezza, Disponibilità, Integrità di elaborazione,
Riservatezza e Privacy.
 ―Trust Service Principles and Criteria for Certification Authorities‖ in cui sono
definiti principi e criteri specifici per la Certification Authorities.
 Il report viene pubblicato sul sito internet, nel caso non emergano eccezioni (relazione
senza qualifiche) viene anche pubblicato un ―sigillo‖ di certificazione.
 Il report (e l’eventuale sigillo) deve essere rinnovato annualmente, prevede un periodo
minimo di 6 mesi per l’esecuzione del primo audit. L’audit può essere effettuato solo
da parte di professionisti accreditati.
 Il report è composto da:
 La relazione dell’auditor indipendente.
 Asserzione del management della società.
 Eventuale sigillo attestante il buon esito dell’audit.
Third Party Assurance Reporting
PwC
settembre 2013
14
Trust Services - Matrice dei possibili
incarichi/sigilli
Type of Engagement
IT Systems
e-commerce Systems
Security
SysTrust
WebTrust
Privacy
—
WebTrust
Processing Integrity
SysTrust
WebTrust
Availability
SysTrust
WebTrust
Confidentiality
SysTrust
WebTrust
Certification Authorities
—
WebTrust
Consumer Protection
—
WebTrust
System Reliability
SysTrust
—
Other Engagement Combinations
SysTrust
WebTrust
La categoria ―Customer Protection‖ include gli ambiti ―Privacy‖ e ―Processing Integrity‖.
La categoria ―System Reliability‖ include gli ambiti ―Security‖, ―Processing Integrity‖ e ―Availability‖.
Third Party Assurance Reporting
PwC
settembre 2013
15
Questions
Third Party Assurance Reporting
PwC
settembre 2013
16
Contatti
Riccardo Crescini - IT Risk Manager
CISA | ISO 27001
e-mail: [email protected]
Mobile: 346.13.68.655
Direct: +39 02 7785743
Fax: +39027785330
Third Party Assurance Reporting
PwC
settembre 2013
17