SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008

Transcript

1 SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing Ottobre 2008

2 Agenda SiNSYS SAS70 Introduzione Tipologie di report SAS70 Formato del report SAS70 Fasi di emissione del report Esempio pratico: il report SAS70 di SiNSYS Benefici e impatto organizzativo 2

3 SiNSYS SiNSYS, è la prima iniziativa paneuropea nel processing delle carte internazionali. Joint venture tra SIA-SSB (Italia) e Banksys/Atos Worldline (Belgio) Unica società a livello europeo a offrire servizi di processing sia lato Issuing (gestione titolari) che lato Acquiring (gestione esercenti) utilizzando per le proprie applicazione un unica piattaforma IT (Datacenter SIA-SSB) 3

4 Clienti e volumi Presente in 12 Nazioni Europee 10 tra le principali banche europee come clienti 24 milioni di carte 700,000 esercenti 1 miliardo di transazioni gestite Deutschland Russia United KingdomNetherland. Poland Belgium Germany Czech Rep. Slovakia. Austria Hungary. Ukraine Italy Greece 4

5 SAS 70 - Introduzione Lo Statement on Auditing Standards (SAS) 70 è uno standard internazionale di auditing, emesso da AICPA (American Institute of Certified Public Accountant revisori contabili) nel E utilizzato da auditor indipendenti (di terze parti) per valutare, ai fini contabili e finanziari, il sistema di controlli di organizzazioni di servizi che offrono attività di outsourcing. Si è diffuso molto negli ultimi anni soprattutto nel mondo americano/ anglosassone a seguito dell introduzione della SOX (Sarbanes Oxley act del 2002) la cui conformità è richiesta alle società quotate nella borsa americana (emanata dopo il caso Enron). 5

6 SAS 70 - Introduzione L emissione di un rapporto di Audit SAS 70 può essere eseguito solo da un ente accreditato. Il rapporto garantisce che l organizzazione esaminata è stata soggetta ad una verifica approfondita del sistema di controllo interno dell azienda stessa. E un report denominato Service Auditor s Report, redatto da terze parti indipendenti che, come previsto dallo stesso Standard, includono un capitolo auditor s opinion in cui è riassunta la valutazione del sistema di controllo interno effettuata dalla terza parte. Non è una certificazione, ma consente di disporre di un report sul sistema dei controlli interni. E l azienda stessa che ne definisce lo scopo e i relativi obiettivi di controllo. 6

7 SAS 70 Tipologie di report Esistono due tipologie di report SAS70 Tipo 1 include una descrizione del sistema dei controlli dell azienda e l opinione dell auditor indipendente riguardo: la copertura degli obiettivi di controllo dichiarati da parte del modello dei controlli aziendali L effettiva operatività dei controlli in una specifica data temporale Tipo 2 include anche il test dell efficacia dei controlli in un preciso arco temporale (da un minimo di 6 mesi ad un anno) per fornire una ragionevole, ma non assoluta assicurazione, che gli obiettivi di controllo siano stati raggiunti. 7

8 SAS 70 Formato del report Non esiste uno standard per i contenuti degli obiettivi di controllo da coprire con il report SAS70. Vari frameworks di riferimento possono però essere usati, quali ad esempio COSO e COBIT Comunque, il report è tipicamente organizzato nel seguente modo: Sezione 1 Independent Service Auditor s Report (opinione dell auditor sul sistema dei controlli dell azienda esaminata) Sezione 2 Descrizione dei controlli interni e degli obiettivi di controllo Sezione 3 Informazione fornite dall auditor indipendente (nel tipo 1 include la descrizione degli obiettivi di controllo, nel tipo 2 indicazioni sull esito dei test effettuati per la verifica dell efficacia dei controlli e dettagli sui loro esiti) Sezione 4 Non è obbligatoria e può contenere ulteriori informazioni fornite dall azienda esaminata quali altre certificazioni (es. PCI, ISO 9001, ISO 27001, etc.). 8

9 SAS 70 Fasi di emissioni del report (1/2) Le fasi di emissione possono differenti a seconda del Service Auditor utilizzato. Di seguito si riportano quelle seguite da SiNSYS: Fase 1 l azienda definisce l ambito dei controlli interni che possono essere di interesse per i propri Clienti Fase 2 l azienda identifica gli obiettivi di controlli e descrive le relative attività di controlli Fase 3 l azienda ingaggia il Service Auditor fornendo la descrizione degli obiettivi di controllo e delle relative attività di controllo Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Scoping of Internal Controls Description of Internal Controls Engagement of Service Auditor The Readiness Review Mitigation of Weakness Areas The Examination Service Auditor s Reporting 9

10 SAS 70 Fasi di emissioni del report (2/2) Fase 4 il Service auditor conduce una readiness review dei controlli per verificarne l esaustività e identificare eventuali rischi Fase 5 l azienda pone in essere tutte le azioni per mitigare i rischi identificati durante la readiness review Fase 6 Il Service Auditor verifica le evidenze dell effettiva operatività dei controlli Fase 7 Il Service Auditor evidenzia eventuali eccezioni nei controlli e redige l auditor s opinion Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Scoping of Internal Controls Description of Internal Controls Engagement of Service Auditor The Readiness Review Mitigation of Weakness Areas The Examination Service Auditor s Reporting 10

11 Il report SAS70 di SiNSYS Visto il numero di risorse coinvolte e l effort richiesto, SiNSYS ha optato per un approccio di tipo incrementale per il suo report SAS70: Primo anno redazione di un report SAS70 di tipo I per i servizi di Issuing Secondo anno redazione di un report SAS70 di tipo II per i servizi di Issuing e preparazione del report per i servizi di Acquiring Terzo anno redazione di un report SAS70 di tipo II sia per i servizi di Issuing che per quelli di Acquiring SiNSYS SAS70 Approch First year Second year Third year Issuing Type I report Issuing Type II report Issuing & Acquiring Type II report 11

12 Il report SAS70 di SiNSYS La sezione I contiene opinione dell auditor sul sistema dei controlli dell azienda esaminata La prima parte della sezione II contiene una descrizione generale dei sistemi di controlli. Per la redazione di questa sezione è stato utilizzato come framework di riferimento il COSO. Sono stati selezionati i seguenti componenti: Control Environment: descrizione delle diverse funzioni coinvolte nel controllo (es. Company Governance, Internal Auditing, Compliance, etc.) Risk assessment: descrizione del processo di identificazione e gestione dei rischi Information and Communication: descrizione delle metodologie di comunicazione utilizzate per informare i dipendenti dei propri compiti e responsabilità Monitoring: descrizione del sistema di monitoraggio del sistema di controllo 12

13 Il report SAS70 di SiNSYS La seconda parte della sezione II contiene la descrizione dei processi/servizi oggetto del report SAS70: 5 servizi specifici del mondo Issuing 7 processi di supporto 13

14 Il report SAS70 di SiNSYS Per ciascuno dei processi scelti sono stati inoltre definiti gli obiettivi controllo e le relative attività di controllo. 14

15 Il report SAS70 di SiNSYS Per i processi di supporto in ambito IT (Release & change management, Problem & incident management, Operations, etc.) è stato utilizzato il Cobit come framework di riferimento per la definizione degli obiettivi e delle attività di controllo. 15

16 Il report SAS70 di SiNSYS Oltre al report SAS70 (documento pubblico verso i clienti) viene redatta anche una matrice di controllo (documento interno), nella quale vengono dettagliate le attività di controllo specificando tool utilizzati, sistemi impattati, frequenza del controllo, responsabili, evidenze da raccogliere, etc. 16

17 Il report SAS70 di SiNSYS 17 Presentazione del Presentazione del report report SAS70 SiNSYS SAS70 SiNSYS

18 Benefici e impatto organizzativo Benefici Impatto Organizzativo Rispondere alle richieste dei Clienti soggetti alla compliance alla Sarbanes-Oxley act (SOX) Fornire un vantaggio competitivo in bandi di gare e offerte internazionali Dimostrare ai propri clienti e agli enti istituzionali l efficacia del proprio sistema di controllo Ridurre il numero degli audit richiesti dai propri clienti Migliorare il sistema di controllo interno e accresce la cultura dei controlli all interno dell azienda Elevato costo annuale sia in termini di risorse interne che di auditor esterni preposti alla stesura del report Elevato impatto in termini di risorse coinvolte (es. in SiNSYS per la sola parte Issuing sono state coinvolte circa 30 risorse e 200 giorni/uomo) Elevato numero di evidenze da archiviare, raccogliere e produrre (per il report tipo I sono state raccolte circa 300 evidenze, previste circa 800 per il report tipo II) 18

19 Grazie per l attenzione! 19