Third Party Assurance Reporting

Transcript

1 Third Party Assurance Reporting AIEA Riccardo Crescini

2 Agenda 1. Panoramica sugli ambiti di Third Party Assurance ( TPA ) 2. Principali standard SSAE16 & ISAE 3402 ISAE Trust Services (SysTrust, WebTrust ) SOC 2 SOC 3 2

3 Panoramica sugli ambiti di Third Party Assurance ( TPA ) 3

4 Panoramica sugli ambiti di Third Party Assurance ( TPA ) La sfida Dati i continui sviluppi di corporate governance, conformità alle normative, ed esigenze di informativa da fornire, i provider di servizi devono fornire a stakeholder interni ed esterni maggiore trasparenza relativa al loro controllo interno. La soluzione I servizi di Third Party Assurance ("TPA") forniscono ai provider di servizi un mezzo per dimostrare (attraverso l'uso di una terza parte indipendente) l'efficacia del proprio sistema di controllo interno. 4

5 Panoramica sugli ambiti di Third Party Assurance ( TPA ) Con TPA si intende il rilascio di una relazione formale (Report) da parte di un Auditor indipendente in merito al disegno e/o efficacia operativa dei controlli presso un provider di servizi. Il perimetro del campo di applicazione può includere: Business Process outsourcing Full Outsourcing IT Gestione Infrastrutturale (facility management) Privacy e Sicurezza Una relazione TPA con un perimetro ben definito può soddisfare requisiti/richieste di audit per più clienti. 5

6 Panoramica sugli ambiti di Third Party Assurance ( TPA ) Driver di third party assurance Richieste dagli auditor delle società clienti Efficienza delle risposte di audit Obblighi Contrattuali Ulteriori possibilità di outsourcing e SaaS Maggiore comfort sui servizi agli stakeholder Conformità a normative, regolamenti, leggi Fornire maggiore trasparenza sul controllo interno Minor intrusività Trasparenza Possibile una differenziazione competitiva per attirare clienti Dimostrare l'efficacia dei controlli interni Identificazione delle opportunità di miglioramento Approccio nuovo Miglioramento di controllo Third Party Assurance Fiducia Opinione Indipendente Strumento di Marketing Audit dei controlli 6

7 Principali Standard 7

8 Principali Standard - SSAE16 & ISAE 3402 ISAE 3402 e SSAE16 sono audit standard in cui sono definite le modalità e le procedure secondo le quali deve essere condotto un audit presso le terze parti che erogano servizi di outsourcing ( Service Organizations ) per rilasciare un report che include qualsiasi tipologia di processo (ICT, Payroll, etc.). Il risultato dell audit dipende da: Obiettivi di controllo selezionati; Controlli implementati dalla service organization; Efficacia operativa dei controlli; Gli obiettivi di controllo vengono normalmente selezionati dalle best practice di settore o dai framework di controllo interno (esempio ISO 27001, CobIT, ITIL, etc.). Il report finale riporta un attestazione sulla consistenza con gli obiettivi di controllo selezionati relativamente a: Esistenza corretto disegno dei controlli (report di tipo 1). Corretta efficacia operativa (report di tipo 2). 8

9 Principali Standard - SSAE16 & ISAE 3402 SSAE16 (Statement on Standards for Attestation Engagements 16) - Reporting on Controls at a Service Organization è lo standard americano che ha sostituito lo standard SAS70. L ISAE 3402 (International Standard on Assurance Engagements 3402) - Assurance Reports on Controls at a Service Organization è uno standard internazionale rilasciato dall International Auditing and Assurance Standards Board (IAASB). I due presentano delle differenze minime. È possibile rilasciare un report per ogni standard con l esecuzione del medesimo audit ( dual report ). Il report finale è composto da: La relazione dell auditor indipendente. Asserzione del management della Service Organization. Descrizione del sistema della Service Organization. Le verifiche e l esito delle verifiche svolte dall auditor indipendente, inclusa la descrizione dei test di efficacia operativa nel caso di report tipo 2. Gli utilizzatori finali sono i revisori dei clienti della Service Organization. 9

10 Principali Standard - ISAE 3000 L ISAE 3000 (International Standard on Assurance Engagements 3000) Assurance Engagements Other Than Audits or Reviews of Historical Financial Information è lo standard internazionale di Assurance. Emesso nel Giugno del 2000 (e successivamente rivisto, ultima versione del 2011), è stato definito per fornire ad un ampio pubblico di auditor un principio base per tutti gli incarichi differenti dalla revisione di bilancio. Gli audit ISAE 3000 includono: rapporti ambientali, sostenibilità sociale, controllo interno, corporate governance, etc. In ambito TPA lo standard viene utilizzato qualora sia necessario effettuare delle verifiche su ambiti differenti dal controllo interno, quali assesment specifici sulla sicurezza, sui contratti di outsourcing, sui livelli di servizio, etc. Sono presenti due differenti tipologie di report: Limited Assurance. Reasonable Assurance. La differenza tra i due è costituita dal livello di rischio coperto dall auditor durante l incarico, e di conseguenza sull estensione delle verifiche effettuate. 10

11 Trust Services 11

12 Trust Services (SysTrust, WebTrust ) Set di servizi professionali di audit e consulenza basati su un framework comune per indirizzare rischi relativi al mondo IT. Basato sui seguenti principi: Sicurezza, Disponibilità, Integrità di elaborazione, Riservatezza e Privacy. Il report può coprire uno o più principi Trust Service elencati. I criteri in scope devono essere testati in base alle aree oggetto di analisi. Differenze tra SysTrust (IT systems) e WebTrust (sistemi e-commerce). Scopo: Fornisce un rapporto che dà garanzia sulla conformità del cliente rispetto ai principi e criteri di Trust Services. Utenti: clienti attuali e futuri, partner commerciali, creditori, banche. Sono presenti due forme di report per l esame dei controlli presso l outsourcer (Service Organization Controls SOC): SOC2, e SOC3. 12

13 Trust Services - SOC2 Guida AICPA Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy. I criteri sono pubblicati sul sito dell AICPA. Il report non è distribuibile universalmente (es. pubblicato sul sito internet), ma può essere consegnato ad un pubblico ampio (management società e stakeholder terzi). Gli utilizzatori devono avere una buona conoscenza di: I servizi erogati dalla terza parte. Le modalità con cui l organizzazione terza interagisce con i clienti e gli eventuali subfornitori. Tematiche di controllo interno. I criteri (o obiettivi di controllo) inclusi nello scope. Il report è composto da: La relazione dell auditor indipendente. Asserzione del management della società. Descrizione del sistema della terza parte. La descrizione dei test di efficacia operativa nel caso di report tipo 2 (non sono definiti periodi temporali minimi e massimi). 13

14 Trust Services - SOC3 Gli standard di riferimento sono: AT101 -Attestation Engagement emanato dall AICPA Trust Services Principles, Criteria, and Illustrations in cui sono definiti principi e criteri per Sicurezza, Disponibilità, Integrità di elaborazione, Riservatezza e Privacy. Trust Service Principles and Criteria for Certification Authorities in cui sono definiti principi e criteri specifici per la Certification Authorities. Il report viene pubblicato sul sito internet, nel caso non emergano eccezioni (relazione senza qualifiche) viene anche pubblicato un sigillo di certificazione. Il report (e l eventuale sigillo) deve essere rinnovato annualmente, prevede un periodo minimo di 6 mesi per l esecuzione del primo audit. L audit può essere effettuato solo da parte di professionisti accreditati. Il report è composto da: La relazione dell auditor indipendente. Asserzione del management della società. Eventuale sigillo attestante il buon esito dell audit. 14

15 Trust Services - Matrice dei possibili incarichi/sigilli Type of Engagement IT Systems e-commerce Systems Security SysTrust WebTrust Privacy WebTrust Processing Integrity SysTrust WebTrust Availability SysTrust WebTrust Confidentiality SysTrust WebTrust Certification Authorities WebTrust Consumer Protection WebTrust System Reliability SysTrust Other Engagement Combinations SysTrust WebTrust La categoria Customer Protection include gli ambiti Privacy e Processing Integrity. La categoria System Reliability include gli ambiti Security, Processing Integrity e Availability. 15

16 Questions 16

17 Contatti Riccardo Crescini - IT Risk Manager CISA ISO [email protected] Mobile: Direct: Fax: