SSAE 18, SSAE 16, SAS 70

GLI STANDARD AMERICANI di derivazione SOX

L’SSAE 18 è un nuovo standard che sostituisce lo standard SSAE 16 e, ovviamente, il vecchio rapporto di revisione SAS 70 e, come esso, riguarda la gestione dei rapporti tra la Service Organization (Outsourcer o Service Provider) e la User Organization (l’organizzazione subappaltante un servizio, cioè, il Cliente).

Il Service Provider è l’azienda che fornisce servizi o svolge importanti parti del processo del Cliente come ad esempio, un ASP, un Internet Data Center, un’azienda/studio professionale che si occupa dell’elaborazione paghe e contributi, un centro per il processamento di transazioni bancarie, un’azienda che si occupa del servizio di immagazzinaggio, di gestione elettronica dei documenti.

Perchè il Cliente Vi richiede l’SSAE 18

L’SSAE 18 Report viene richiesto, solitamente, dalle aziende clienti che devono assolvere le richieste della Sezione 404 del Sarbanes-Oxley Act al fine di garantire controlli e processi interni appropriati per la gestione delle informazioni dei clienti. Questo perchè qualsiasi CEO o CFO che deve adempiere agli indirizzi della Sezione 404 si assume in proprio la responsabilità dei dati forniti dall’Outsourcer, laddove questi incide materialmente e qualitativamente nei dati di bilancio da finalizzare nel Financial Reporting.

Chi paga per l’Outsourcer non certificato?

Il CEO ed il CFO sono responsabili ai fini della Sarbanes-Oxley Act anche su tutti i servizi offerti dai fornitori.
Il CEO ed il CFO nazionale ed internazionale sono sollevati delle loro responsabilità in caso di errore da parte di un fornitore certificato SSAE 18, in quanto come già ricordato questa certificazione assicura che il fornitore di servizi, il cosiddetto Outsourcer, ha superato i più rigidi test delle terze parti e che si attiene ai rigorosi processi interni per quel che riguarda la sicurezza, lo sviluppo di applicazioni, le comunicazioni, il servizio ai clienti e la pianificazione di eventi imprevisti – requisiti obbligatori imposti dal Sarbanes-Oxley Act.  

Esistono due tipi di Service Auditor’s Report

SSAE 18 Report Type I

Nel Report di Tipo 1, SSAE 18 Report Type I, il Revisore del Servizio esprime un’opinione su:
    1) la rappresentazione imparziale della descrizione dei controlli, in tutti gli aspetti rilevanti dei controlli della Service Organization che sono stati implementati e operativi a partire da una specifica data;      

    2) l’adeguato disegno dei controlli per il raggiungimento degli obiettivi di controllo. Questa tipologia di report è utile per fornire al Revisore del Cliente della Service Organization la comprensione dei controlli necessari a pianificare il proprio audit sul Cliente, disegnare i test ed eseguirli in maniera indipendente.

SSAE 18 Report Type II

Nel Report di Tipo 2, SSAE 18 Report Type II, il Revisore del Servizio esprime un’opinione sia sugli stessi argomenti del SSAE 18 Report Type I sia  sul fatto che i controlli verificati presentino un sufficiente livello di efficacia per fornire una ragionevole, ma non assoluta, confidenza che gli obiettivi di controllo sono stati assolti in un determinato periodo di tempo.  

Perchè è preferibile il Report di Tipo 2

Poiché un report di tipo 1 (Type I) non include test sull’efficacia operativa dei controlli, un report di tipo 1 non soddisferà le esigenze del Revisore dell’Entità Utente (es. revisore contabile dell’entità cliente). In pratica, la maggior parte dei Revisori delle Entità Utenti avrà bisogno di prove dell’efficacia operativa dei controlli presso l’Organizzazione del servizio. Di conseguenza, per ridurre al minimo il numero di visite da parte dei Revisori delle Entità Utenti, in particolare se l’Organizzazione del servizio dispone di un numero elevato di entità utente, è preferibile che essa si doti di un report di tipo 2.