La Certificazione ISAE 3402 - isaca.org · 14 Cyber Risk ... Il principio ISAE 3402 prevede che...

12.12.2014 - ISACA Venice Chapter

1 Cyber Risk Management with COBIT® 5

La Certificazione ISAE 3402 Monica Poli

Manager EY



Agenda

1. Introduzione

2. Obiettivi

3. Che cosa è l’ISAE3402

4. Tipologie

5. Struttura del report

6. Benefici e Vantaggi



1. INTRODUZIONE



• Che cos’ è la certificazione ISAE 3402?

• A quali bisogni risponde?

• A chi può essere utile una certificazione

ISAE 3042?

• Come è strutturata la certificazione ?

• Qual è l’iter da seguire per ottenerla ?

• Qual è il valore aggiunto di essere certificati ?

Che cosa impareremo oggi?



2. OBIETTIVI



Contesto di riferimento

Crescente Internazionalizzazione

Sempre più Outsourcing IT Normativa sempre

più stringente

Verifiche di audit numerose e frequenti

Crescente complessità



Obiettivi

Per far fronte alle esigenze legate al

contesto di riferimento, l’ISAE 3402 si

propone come strumento:

Compliant con le normative vigenti

Riconosciuto e valido a livello

internazionale

Unico per tutti gli audit

Specifico per i fornitori di servizi IT

A supporto dell’ottimizzazione dei

processi aziendali



3. CHE COS’E’ L’ISAE 3402



L’ISAE (International Standard for Assurance Engagements) 3402 è un principio emanato dallo IAASB (International Auditing and Assurance Standards Board) e riconosciuto a livello internazionale.

L’attestazione ISAE 3402 è la valutazione del sistema dei controlli di organizzazioni che erogano servizi, prevalentemente in ambito IT e amministrativo, ed è rilasciata da Auditors Indipendenti, i quali hanno la responsabilità di valutarne la descrizione, il disegno e l’efficacia, rispetto a best practices di controllo (e.g. COBIT).

Tale attestazione è ad uso delle Società che utilizzano i servizi oggetto di verifica e dei loro rispettivi auditors, essendo tali servizi a supporto della produzione dell’informativa contabile e di bilancio.

ISAE 3402: DEFINIZIONE



I report redatti secondo lo standard ISAE 3402 sono funzionali alle società (User Organization), soggette ad attività di revisione contabile (da parte dei cd. User Auditor), che nello svolgimento del proprio business beneficiano dei servizi offerti da una terza società (Service Organization), generalmente attraverso una relazione di Outsourcing.

L’ISAE 3402 identifica uno standard che permetta ad un Independent Auditor di emettere un’Opinion sulla descrizione del Sistema Organizzativo di una Service Organization, focalizzando in particolare l’attenzione sul Sistema dei Controlli Interni.

ISAE 3402: ATTORI

User

Service

Service organization

User organization User organization User organization

User auditor User auditor User auditor

Independent auditor

ISAE 3402 Report

SERVICE ORGANIZATION: Fornitore di Servizi IT

USER ORGANIZATION: Fruitore dei Servizi



1. Identificazione dei contenuti chiave del Sistema dei Controlli Interni della Service Organization da parte dell’Independent Auditor

2. Selezione degli elementi che hanno un impatto rilevante almeno sui dati di bilancio delle User Organization.

3. Realizzazione da parte della Service Organization di una descrizione del proprio Sistema Organizzativo (System Description)

4. Identificazione del perimetro di analisi (scope).

5. Sulla base dello scope, individuazione degli obiettivi di controllo

6. Individuazione degli elementi di rischio che possono minacciare il raggiungimento degli obiettivi di controllo.

ISAE 3402: CONTENUTI

7. Formalizzazione delle control activity che mitigano i rischi individuati.

8. Esecuzione di verifiche sulle control activity, attraverso evidenze documentali (cd. check evidences).

9. Sottoscrizione della System Description da parte della direzione aziendale della Service Organization, attraverso una written assertion.



4. TIPOLOGIE



La metodologia per ottenere la certificazione ISAE 3402 prevede le seguenti fasi operative:

Metodi e Tipologie

Pre assessment

Set up Delivery

Analisi e assessment di controlli ed obiettivi di

controllo

Analisi e valutazione di controlli ed obiettivi di

controllo Test of controls

1 2 3

Report Type I Report Type II

Fasi

A

ttiv

ità

D

eliv

era

ble

s

• Raccolta della documentazione a supporto delle analisi (e.g., flow chart dei processi in scope, manuali operativi, etc.).

• Interviste con i referenti interni al fine di identificare i rischi e i controlli attualmente in place.

• Identificazione del Control Environment. • Risk assessment • Identificazione e formalizzazione delle principali

issues operative e relative ai controlli. • Formalizzazione della documentazione ISAE 3402. • Definizione di un Action Plan.

• ISAE 3402 Cards • Action Plan

• Condivisione degli obiettivi di controllo. • Identificazione dei controlli. • Verifica dell’adeguatezza dei controlli in place

al raggiungimento degli obiettivi di controllo. • Definizione del report ISAE 3402 Type I. • Condivisione dei risultati del report ISAE 3402

Type I. • Definizione di un Action Plan

• Report ISAE 3402 Type I • Action Plan

• Verifica e conferma degli obiettivi di controllo. • Verifica e conferma delle attività di controllo. • Test of effectiveness • Verifica dell’adeguatezza dei controlli in place

al raggiungimento degli obiettivi di controllo. • Condivisione dei risultati del report ISAE 3402

Type II.

• Report ISAE 3402 Type II



Raccolta della documentazione

disponibile ed interviste con le risorse interne

Analisi delle informazioni raccolte ed identificazione

del control environment

Definizione delle “Card ISAE 3402” e dell’Action

Plan

Documentazione disponibile

Processi / Flow chart

Documentazione 262

Manuali Operativi

…

Intervista con il Process Manager / Analyst

La documentazione raccolta sarà analizzata con cura ed integrata con le informazioni rilevate nel corso delle interviste operative

Tale approccio permetterà al gruppo di lavoro ISAE 3402 di definire un framework aggiornato del control environment .

Card ISAE 3402

Action Plan

Conferma di pianificazione e metodi di

applicazione del Report ISAE 3402

Risk Assessment

Identificazione dei rischi rilevanti

Stima di significatività dei rischi

Valutazione delle probabilità di accadimento

Pre assessment Analisi e assessment di controlli ed obiettivi di

controllo



Metodi e Tipologie



Durante questa fase del progetto, in funzione delle analisi effettuate nella fase di pre assessment, sarà possibile:

Analizzare e classificare gli obiettivi di controllo

Analizzare le attività di controllo effettuate all’interno dei processi compresi nel perimetro ISAE 3402

Verificare l’adeguatezza delle attività di controllo ai fini del raggiungimento degli obiettivi di controllo e reporting di eventuali lacune informative.

Definire una bozza preliminare del Report;

Condividere la bozza preliminare del Report;

Completare il Report Type I definitivo.

Identificazione degli obiettivi di

controllo

Identificazione delle attività di controllo

Condivisione del Service’s Auditor

Report Type I

Assessment dell’efficacia dei

controlli in relazione agli

obiettivi di controllo

Bozza di Service‘s Auditor

Report Type I

REPORT TYPE I

Pre assessment Analisi e assessment di controlli

ed obiettivi di controllo



Metodi e Tipologie



Durante l’ultima fase del progetto saranno effettuate le seguenti attività:

Test di efficacia operativa al fine di verificare che i controlli definiti dalla “Service Organization“ siano stati implementati nel modo corretto durante un determinato periodo di tempo (non inferiore a 6 mesi) al fine di garantire il raggiungimento degli obiettivi di controllo.

In funzione dei test effettuati, sarà possibile:

Definire una bozza preliminare del Report;

Condividere la bozza preliminare del Report;

Completare il Report Type II definitivo

REPORT TYPE II

Test di efficacia operativa Bozza di Service’s Auditor Report

Type II Condivisione del Service’s

Auditor Report Type II

Pre assessment Analisi e assessment di controlli ed obiettivi di

controllo

Analisi e valutazione di controlli ed obiettivi di controllo

Test of controls

Metodi e Tipologie



5. STRUTTURA DEL REPORT



Contiene la relazione dell’Independent Auditor. RELAZIONE DELLA SOCIETÀ DI

REVISIONE I

DESCRIZIONE DELL’AMBIENTE DI CONTROLLO DELLA SERVICE

ORGANIZATION

III

WRITTEN ASSERTION II

PROCEDURE DI VERIFICA SVOLTE E RISULTATI

IV

ALTRE INFORMAZIONI FORNITE DALLA SERVICE ORGANIZATION

V

Contiene l’Attestazione del Management della Service Organization.

Contiene la descrizione dell’ambiente di Controllo della Service Organization

Contiene la descrizione delle modalità di esecuzione del test sul Disegno e sull’Efficacia dei controlli e dei relativi risultati.

Altre informazioni utili al completamento del Report per conoscenza delle “User Organization” (e.g. nuovi business, etc)

Struttura del Report



REPORT Tipo I

Written Assertion: l’Attestazione della Service Organization sulla chiarezza e completezza della descrizione e del disegno dei controlli ad una data specifica

Test effettuati sul Disegno dei Controlli

Altre Informazioni fornite dalla Service Organization utili al completamento del Report per conoscenza delle “User Organization” (e.g., nuovi business, etc).

Struttura del Report Tipo I

Descrizione dell’ambiente di Controllo della Service Organization: contiene le strutture organizzative, i servizi forniti alle User Organization, il Risk Assessment, le procedure e i processi sotto osservazione, gli obiettivi e le attività di controllo previsti sulla base degli standard internazionali di Controllo (e.g. COBIT), etc.)

Relazione dell’Independent Auditor su:

• La corretta descrizione del sistema aziendale da parte della Service Organization;

• Lo stato di implementazione corrente dei controlli;

• L’adeguatezza dei controlli al raggiungimento degli obiettivi di controllo

REPORT Tipo II

Written Assertion: l’Attestazione della Service Organization sulla chiarezza e completezza della descrizione e del disegno dei controlli e l’efficacia operativa dei controlli per l’intero periodo di osservazione.

Test effettuati sull’Efficacia Operativa dei Controlli e relativi risultati ottenuti con riferimento ad un periodo di tempo non inferiore a 6 mesi.

Altre Informazioni fornite dalla Service Organization utili al completamento del Report per conoscenza delle “User Organization” (e.g., nuovi business, etc).

Descrizione dell’ambiente di Controllo della Service Organization: contiene le strutture organizzative, i servizi forniti alle User Organization, il Risk Assessment, le procedure e i processi sotto osservazione, gli obiettivi e le attività di controllo previsti sulla base degli standard internazionali di Controllo (e.g. COBIT), etc.)

Relazione dell’Independent Auditor su:

• La corretta descrizione del sistema aziendale da parte della Service Organization;

• Lo stato di implementazione corrente dei controlli;

• L’adeguatezza dei controlli al raggiungimento degli obiettivi di controllo



6. BENEFICI E VANTAGGI



Il principio ISAE 3402 prevede che l’Auditor emetta un’Attestazione sulla descrizione, sul disegno e sull’efficacia dell’effettivo funzionamento del Sistema di Controllo della Service Organization, nel periodo di verifica e con riferimento a obiettivi di controllo predefiniti sui processi in oggetto.

L’Attestazione ISAE 3402:

costituisce uno strumento di marketing verso potenziali nuovi clienti;

consente di pianificare preventivamente le attività di verifica.

permette di gestire le aspettative dei Clienti;

utilizza standard universalmente riconosciuti;

ha un test scope definito anche sulla base alle aspettative e delle richieste dei Clienti.

è compatibile con le procedure di autocertificazione legate alla Legge n. 262/2005 (e SOX)


elimina o riduce gli audit ripetitivi;

definisce un appropriato numero e mix di controlli da verificare;

garantisce appropriata e sufficiente documentazione (check evidences);

utilizza criteri di campionamento tali da garantire l’efficacia complessiva del controllo;

assicura obiettivi di Cost Saving, garantendo, comunque, un elevato Valore Aggiunto.


consente di misurare e valutare le performance aziendali;

può rappresentare la “Root Cause Analysis” per la valutazione degli SLA;

aumenta la fiducia dei Clienti nei confronti delle attività svolte dalla macchina operativa e/o dalle unità organizzative preposte allo sviluppo delle attività;

aiuta ad identificare opportunità di miglioramento e ottimizzazione dei propri processi;

migliora la diffusione della cultura del controllo all’interno dell’organizzazione.

INCONTRARE LE ESIGENZE DEI CLIENTI OTTIMIZZARE I COSTI - EFFICIENZA MIGLIORARE I SERVIZI

Benefici e Vantaggi



In conclusione

Con l’ISAE 3402 «Fate le cose nel modo più semplice possibile, ma senza semplificare.» (A. Einstein)

Per maggiori informazioni, visitate:

– http://isae3402.com

– http://www.ey.com

Contatti:

Monica Poli: [email protected]

http://isae3402.com/

http://isae3402.com/

http://www.ey.com/

mailto:[email protected]

La Certificazione ISAE 3402 - isaca.org · 14 Cyber Risk ... Il principio ISAE 3402 prevede che...

Documents

Transcript of La Certificazione ISAE 3402 - isaca.org · 14 Cyber Risk ... Il principio ISAE 3402 prevede che...