L’attestazione SSAE18 e le correlazioni con i Sistemi di Gestione ISO per i Servizi IT

Come noto, ad inizio degli anni 2000 una serie di scandali finanziari compromisero negli Stati Uniti la solidità di Organizzazioni quotate in Borsa e arrecarono ingenti danni agli investitori. Come misura correttiva il Governo USA emanò una specifica normativa applicabile a tali Organizzazioni: la Sarbanes Oxley Act (SOX). La SOX, nella sezione 404, definisce tra i vari requisiti un obbligo a carico del Management delle Organizzazioni quotate che si traduce nella pianificazione e nell’attuazione di un sistema di controllo interno in grado di assicurare la veridicità delle informazioni finanziarie (“financial reporting”) destinate ai soggetti terzi e quindi nella fornitura di una dichiarazione inerente all’esistenza di tale sistema di controllo (“Management Assertion Letter”)

In funzione di quanto definito dal chapter 404 della SOX, l’AICPA, l’Istituto americano dei contabili pubblici certificati (“American Institute of Certified Public Accountants “) ha emanato, nell’aprile del 2016, lo “Statement on Standards for Attestation Engagements (SSAE) No. 18, Attestation Standards: Clarification and Recodification”  (nelle precedenti versioni: SAS 70 divenuto poi SSAE 16 dal 1 luglio 2011). L’attestazione SSAE 18 costituisce quindi di fatto un’attestazione sul sistema di controllo interno così come implementato e dichiarato da una Organizzazione. Nonostante il Report SSAE18 riguardi tipicamente il contesto USA, l’attestazione SSAE18 può essere richiesta sia alle Organizzazioni Europee che operano in USA od alle Filiali di Organizzazioni USA che operano in UE.

In particolare, l’attestazione SSAE 18 è rilasciata da auditor indipendenti qualificati da AICPA, che svolgono l’audit facendo riferimento ai requisiti dello standard ISAE 3402 “International Standard on Assurance Engagements assurance reports on controls at a service organization”. In funzione dei requisiti dello standard ISAE 3402, l’attestazione SSAE18  prenderà forma di un Report  denominato “Service Organization Control (SOC) 1 Report” In particolare i report SOC 1 sono disponibili come tipo 1 (I Type) o tipo 2 (II Type) dove un Report di tipo 1 riporta il parere dell’Auditor sulla completezza della descrizione nonché sull’idoneità del sistema dei controlli  mentre un Report di tipo 2  riporta anche il parere sull’efficacia  dei controlli operativi posti in essere per un periodo tempo di riferimento compreso in genere tra 6 mesi ed u anno  ( i report SOC 2 e SOC 3 presentano requisiti ancora più estesi  e rigorosi). 

Quanto sopra premesso, le  Organizzazioni quotate nella Borsa USA tendono tipicamente a chiedere  il Report SSAE18  anche alle  Organizzazioni  che erogano loro servizi (“Sub Service Organization”) che presentino potenziali impatti sulla veridicità delle informazioni finanziarie delle  Organizzazioni quotate. E’ il caso tipico delle Organizzazioni che erogano Servizi IT con particolare riferimento ai servizi di Datacenter ed ai “Software as a Service” (SaaS) in modalità cloud. Tali Organizzazioni possono utilmente supportare il proprio sistema di controllo interno mediante lo sviluppo di un sistema di gestione integrato per la gestione dei Servizi  IT in conformità allo standard  UNI  EN  ISO IEC 20000-1: 2011 “ tecnologie delle informazioni – gestione del servizio – parte 1: requisiti” , per la gestione della sicurezza delle informazioni in conformità allo Standard UNI CEI ISO IEC 27001:2013 «tecnologie informatiche- tecniche per la sicurezza delle informazioni – sistemi di gestione per la sicurezza delle informazioni – requisiti»  e per la gestione della continuità operativa  in conformità allo Standard ISO 22301:2012  «societal security – business continuity management systems – requirements».

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *