Third Party Assurance Reporting

Documenti analoghi
Studio Guggino e Newtonpartner S.r.l. un team di professionisti al servizio della Vostra Azienda

SAFCO ENIGINEERING S.p.A.

Circolare 1/2008 concernente il riconoscimento di standard di revisione (Circ. 1/2008)

ITIL cos'è e di cosa tratta

Il Commercialista Revisore Valore aggiunto per la professione, valore economico-sociale per le imprese

SERVICE MANAGEMENT E ITIL

COBIT 5 for Information Security

Third Party Assurance

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

La Quality Assurance dell Internal Audit

Documento di Ricerca n. 205R (Revised)

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

CALENDARIO CORSI 2017

Documento di Ricerca n. 197

KPMG Advisory: per vincere la sfida della complessità. Genova, Dottor Nello Giuntoli. Corporate Profile

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Introduzione ai Principi di Revisione Internazionali (ISA Italia) elaborati ai sensi dell art. 11 del D.Lgs. 39/10

RISK MANAGEMENT ISO GESTIRE I RISCHI DI IMPRESA

BUSINESS PRESENTATION

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

La roadmap IBM per ridurre i costi IT e migliorare la qualità del servizio. Leonello Galloni IT Management Consultant, IBM Italia

I sistemi di certificazione: richiami essenziali

TÜV Rheinland Italia

I principi di revisione ISA Italia

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

a cura del Dott. Claudio Campetta

La legge 262/05 e le sue implicazioni

ANTONIO CASTRO C u r r i c u l u m V i t a e e t s t u d i o r u m

[RAGIONE SOCIALE AZIENDA] [Manuale Qualità]

Sicuramente

Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia

CALENDARIO CORSI 2018

EIDAS e SPID, un orizzonte di sviluppo non solo per la PA. Andrea Zapparoli Manzoni Senior Manager IRM Cyber Security Services KPMG Advisory SpA

L evoluzione della Compliance in AXA Assicurazioni

Risk Management e Sistemi di Gestione Integrati

Corso di Revisione Aziendale Dott.ssa Fabrizia Sarto A.A

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Corso per Progettisti dei Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 32 ORE

SGSI CERT CSP POSTE ITALIANE

Transcript:

www.pwc.com Third Party Assurance Reporting AIEA Riccardo Crescini

Agenda 1. Panoramica sugli ambiti di Third Party Assurance ( TPA ) 2. Principali standard SSAE16 & ISAE 3402 ISAE 3000 3. Trust Services (SysTrust, WebTrust ) SOC 2 SOC 3 2

Panoramica sugli ambiti di Third Party Assurance ( TPA ) 3

Panoramica sugli ambiti di Third Party Assurance ( TPA ) La sfida Dati i continui sviluppi di corporate governance, conformità alle normative, ed esigenze di informativa da fornire, i provider di servizi devono fornire a stakeholder interni ed esterni maggiore trasparenza relativa al loro controllo interno. La soluzione I servizi di Third Party Assurance ("TPA") forniscono ai provider di servizi un mezzo per dimostrare (attraverso l'uso di una terza parte indipendente) l'efficacia del proprio sistema di controllo interno. 4

Panoramica sugli ambiti di Third Party Assurance ( TPA ) Con TPA si intende il rilascio di una relazione formale (Report) da parte di un Auditor indipendente in merito al disegno e/o efficacia operativa dei controlli presso un provider di servizi. Il perimetro del campo di applicazione può includere: Business Process outsourcing Full Outsourcing IT Gestione Infrastrutturale (facility management) Privacy e Sicurezza Una relazione TPA con un perimetro ben definito può soddisfare requisiti/richieste di audit per più clienti. 5

Panoramica sugli ambiti di Third Party Assurance ( TPA ) Driver di third party assurance Richieste dagli auditor delle società clienti Efficienza delle risposte di audit Obblighi Contrattuali Ulteriori possibilità di outsourcing e SaaS Maggiore comfort sui servizi agli stakeholder Conformità a normative, regolamenti, leggi Fornire maggiore trasparenza sul controllo interno Minor intrusività Trasparenza Possibile una differenziazione competitiva per attirare clienti Dimostrare l'efficacia dei controlli interni Identificazione delle opportunità di miglioramento Approccio nuovo Miglioramento di controllo Third Party Assurance Fiducia Opinione Indipendente Strumento di Marketing Audit dei controlli 6

Principali Standard 7

Principali Standard - SSAE16 & ISAE 3402 ISAE 3402 e SSAE16 sono audit standard in cui sono definite le modalità e le procedure secondo le quali deve essere condotto un audit presso le terze parti che erogano servizi di outsourcing ( Service Organizations ) per rilasciare un report che include qualsiasi tipologia di processo (ICT, Payroll, etc.). Il risultato dell audit dipende da: Obiettivi di controllo selezionati; Controlli implementati dalla service organization; Efficacia operativa dei controlli; Gli obiettivi di controllo vengono normalmente selezionati dalle best practice di settore o dai framework di controllo interno (esempio ISO 27001, CobIT, ITIL, etc.). Il report finale riporta un attestazione sulla consistenza con gli obiettivi di controllo selezionati relativamente a: Esistenza corretto disegno dei controlli (report di tipo 1). Corretta efficacia operativa (report di tipo 2). 8

Principali Standard - SSAE16 & ISAE 3402 SSAE16 (Statement on Standards for Attestation Engagements 16) - Reporting on Controls at a Service Organization è lo standard americano che ha sostituito lo standard SAS70. L ISAE 3402 (International Standard on Assurance Engagements 3402) - Assurance Reports on Controls at a Service Organization è uno standard internazionale rilasciato dall International Auditing and Assurance Standards Board (IAASB). I due presentano delle differenze minime. È possibile rilasciare un report per ogni standard con l esecuzione del medesimo audit ( dual report ). Il report finale è composto da: La relazione dell auditor indipendente. Asserzione del management della Service Organization. Descrizione del sistema della Service Organization. Le verifiche e l esito delle verifiche svolte dall auditor indipendente, inclusa la descrizione dei test di efficacia operativa nel caso di report tipo 2. Gli utilizzatori finali sono i revisori dei clienti della Service Organization. 9

Principali Standard - ISAE 3000 L ISAE 3000 (International Standard on Assurance Engagements 3000) Assurance Engagements Other Than Audits or Reviews of Historical Financial Information è lo standard internazionale di Assurance. Emesso nel Giugno del 2000 (e successivamente rivisto, ultima versione del 2011), è stato definito per fornire ad un ampio pubblico di auditor un principio base per tutti gli incarichi differenti dalla revisione di bilancio. Gli audit ISAE 3000 includono: rapporti ambientali, sostenibilità sociale, controllo interno, corporate governance, etc. In ambito TPA lo standard viene utilizzato qualora sia necessario effettuare delle verifiche su ambiti differenti dal controllo interno, quali assesment specifici sulla sicurezza, sui contratti di outsourcing, sui livelli di servizio, etc. Sono presenti due differenti tipologie di report: Limited Assurance. Reasonable Assurance. La differenza tra i due è costituita dal livello di rischio coperto dall auditor durante l incarico, e di conseguenza sull estensione delle verifiche effettuate. 10

Trust Services 11

Trust Services (SysTrust, WebTrust ) Set di servizi professionali di audit e consulenza basati su un framework comune per indirizzare rischi relativi al mondo IT. Basato sui seguenti principi: Sicurezza, Disponibilità, Integrità di elaborazione, Riservatezza e Privacy. Il report può coprire uno o più principi Trust Service elencati. I criteri in scope devono essere testati in base alle aree oggetto di analisi. Differenze tra SysTrust (IT systems) e WebTrust (sistemi e-commerce). Scopo: Fornisce un rapporto che dà garanzia sulla conformità del cliente rispetto ai principi e criteri di Trust Services. Utenti: clienti attuali e futuri, partner commerciali, creditori, banche. Sono presenti due forme di report per l esame dei controlli presso l outsourcer (Service Organization Controls SOC): SOC2, e SOC3. 12

Trust Services - SOC2 Guida AICPA Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy. I criteri sono pubblicati sul sito dell AICPA. Il report non è distribuibile universalmente (es. pubblicato sul sito internet), ma può essere consegnato ad un pubblico ampio (management società e stakeholder terzi). Gli utilizzatori devono avere una buona conoscenza di: I servizi erogati dalla terza parte. Le modalità con cui l organizzazione terza interagisce con i clienti e gli eventuali subfornitori. Tematiche di controllo interno. I criteri (o obiettivi di controllo) inclusi nello scope. Il report è composto da: La relazione dell auditor indipendente. Asserzione del management della società. Descrizione del sistema della terza parte. La descrizione dei test di efficacia operativa nel caso di report tipo 2 (non sono definiti periodi temporali minimi e massimi). 13

Trust Services - SOC3 Gli standard di riferimento sono: AT101 -Attestation Engagement emanato dall AICPA Trust Services Principles, Criteria, and Illustrations in cui sono definiti principi e criteri per Sicurezza, Disponibilità, Integrità di elaborazione, Riservatezza e Privacy. Trust Service Principles and Criteria for Certification Authorities in cui sono definiti principi e criteri specifici per la Certification Authorities. Il report viene pubblicato sul sito internet, nel caso non emergano eccezioni (relazione senza qualifiche) viene anche pubblicato un sigillo di certificazione. Il report (e l eventuale sigillo) deve essere rinnovato annualmente, prevede un periodo minimo di 6 mesi per l esecuzione del primo audit. L audit può essere effettuato solo da parte di professionisti accreditati. Il report è composto da: La relazione dell auditor indipendente. Asserzione del management della società. Eventuale sigillo attestante il buon esito dell audit. 14

Trust Services - Matrice dei possibili incarichi/sigilli Type of Engagement IT Systems e-commerce Systems Security SysTrust WebTrust Privacy WebTrust Processing Integrity SysTrust WebTrust Availability SysTrust WebTrust Confidentiality SysTrust WebTrust Certification Authorities WebTrust Consumer Protection WebTrust System Reliability SysTrust Other Engagement Combinations SysTrust WebTrust La categoria Customer Protection include gli ambiti Privacy e Processing Integrity. La categoria System Reliability include gli ambiti Security, Processing Integrity e Availability. 15

Questions 16

Contatti Riccardo Crescini - IT Risk Manager CISA ISO 27001 e-mail: riccardo.crescini@it.pwc.com Mobile: 346.13.68.655 Direct: +39 02 7785743 Fax: +39027785330 17

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back