Report SSAE 18

SSAE 18

SSAE 18 è un nuovo standard, comprendente una serie di miglioramenti intesi ad aumentare l’utilità e la qualità dei rapporti SOC, che sostituisce lo standard SSAE 16 e, ovviamente, il vecchio rapporto di revisione SAS 70. Le modifiche apportate alla norma richiederanno alle aziende di prendere maggior consapevolezza dei propri controlli interni in riferimento all’identificazione e alla classificazione del rischio e all’adeguata gestione dei rapporti con le Organizzazioni subappaltanti. Questi cambiamenti, pur non troppo onerosi, contribuiranno a chiudere il cerchio sui settori chiave in quanto i professionisti del settore hanno notato l’esistenza di lacune in molti report delle Organizzazioni di Servizi (Service Organizations o Outsourcers).

SSAE 18 è in vigore dal 1° maggio 2017. Tutte le organizzazioni di servizi sono ora obbligate a pubblicare la valutazione relativa ai controlli del sistema e dell’organizzazione (SOC – System and Organization Controls) sotto lo standard SSAE 18 in un report SOC 1. La relazione SOC 1, rilasciata da un Auditor Indipendente, apparirà molto simile a quella rilasciata a livello di SSAE 16, ma si distinguerà da quest’ultima in quanto conterrà un paio di sezioni aggiuntive e i controlli necessari a migliorarne ulteriormente il contenuto e la qualità e, quindi, la capacità di affidarsi a terzi.

Cosa c’è di nuovo in SSAE 18?

Come accennato in precedenza, ci sono alcune modifiche chiave che le aziende che attualmente eseguono un SOC 1 o 2, o ne eseguiranno uno nel prossimo futuro, devono prendere in considerazione quest’anno per andare avanti.

  • Le organizzazioni di servizi dovranno attuare un Programma formale di gestione delle Organizzazioni subappaltanti. L’organizzazione subappaltante è un’organizzazione utilizzata dalla Service Organization per eseguire alcuni dei servizi forniti alle entità utenti che sono probabilmente rilevanti per il controllo interno sul rendiconto finanziario.
  • Le organizzazioni di servizi dovranno attuare un Processo formale annuale di valutazione dei rischi.

Oltre ai cambiamenti basati sul controllo, il report SOC dovrà contenere due sezioni aggiuntive che descrivono il processo di valutazione dei rischi e la gestione dei rapporti con le organizzazioni subappaltanti (Sub Service Organizations) che svolgono un ruolo nel funzionamento complessivo del sistema e dei relativi controlli che influenzano o di cui hanno la proprietà completa. Questi due componenti erano tipicamente presenti nei rapporti SOC 2 anche se non formalmente richiesti. Ora, questo concetto viene formalizzato ed esteso a tutti i report SOC.

Per le aziende che non sono state precedentemente sottoposte a un audit SOC 1, poiché i loro servizi/operazioni non erano finanziariamente significativi, SSAE 18 ora amplia la definizione di ciò che è consentito inserire nella relazione al fine di mettere in compliance un’impresa rispetto a determinate Leggi o regolamenti, accordi contrattuali o ad un altro insieme di procedure concordate e definite, riguardo a un servizio in outsourcing in cui la convalida di terze parti dovrebbe essere vantaggiosa e aggiungere sicurezza.

Ciò consente ora una revisione ufficiale e indipendente di un’ampia gamma di operazioni in un insieme di linee guida relative ad audit e a reporting attendibili e coerenti.

Chi necessita di un audit SSAE 18 (SOC 1)?

I servizi forniti da un’organizzazione di servizi (Service Organization) fanno parte del sistema informativo di un’entità (Impresa) se interessano una delle seguenti caratteristiche:

  • le classi di transazioni nelle operazioni dell’impresa che sono significative dal punto di vista finanziario per i bilanci dell’impresa stessa;
  • le procedure, sia automatiche sia manuali, con le quali le operazioni dell’impresa vengono avviate, registrate, elaborate e segnalate dal loro verificarsi alla loro inclusione nel bilancio;
  • le relative registrazioni contabili, sia elettroniche sia manuali, le informazioni di supporto e i conti specifici nei bilanci finanziari dell’impresa che implicano l’avvio, la registrazione, l’elaborazione e la segnalazione delle transazioni della stessa;
  • come il sistema di informazione dell’impresa acquisisce altri eventi e condizioni significativi per il bilancio;
  • il processo di rendicontazione finanziaria utilizzato per la redazione dei bilanci dell’impresa, comprese stime contabili e divulgazioni significative.

Se l’Organizzazione di servizi effettua servizi esternalizzati (in outsourcing) che incidono sui rendiconti finanziari di un’altra società (la c.d.’Organizzazione Utente’ o User Organization), è più che probabile che le sia richiesto di fornire un Report SOC 1 Type II, specialmente se l’Organizzazione Utente è quotata in Borsa.