la certificazione isae 3402 - isaca.org · 14 cyber risk ... il principio isae 3402 prevede che...
TRANSCRIPT
12.12.2014 - ISACA Venice Chapter
1 Cyber Risk Management with COBIT® 5
La Certificazione ISAE 3402 Monica Poli
Manager EY
12.12.2014 - ISACA Venice Chapter
2 Cyber Risk Management with COBIT® 5
Agenda
1. Introduzione
2. Obiettivi
3. Che cosa è l’ISAE3402
4. Tipologie
5. Struttura del report
6. Benefici e Vantaggi
12.12.2014 - ISACA Venice Chapter
4 Cyber Risk Management with COBIT® 5
• Che cos’ è la certificazione ISAE 3402?
• A quali bisogni risponde?
• A chi può essere utile una certificazione
ISAE 3042?
• Come è strutturata la certificazione ?
• Qual è l’iter da seguire per ottenerla ?
• Qual è il valore aggiunto di essere certificati ?
Che cosa impareremo oggi?
12.12.2014 - ISACA Venice Chapter
6 Cyber Risk Management with COBIT® 5
Contesto di riferimento
Crescente Internazionalizzazione
Sempre più Outsourcing IT Normativa sempre
più stringente
Verifiche di audit numerose e frequenti
Crescente complessità
12.12.2014 - ISACA Venice Chapter
7 Cyber Risk Management with COBIT® 5
Obiettivi
Per far fronte alle esigenze legate al
contesto di riferimento, l’ISAE 3402 si
propone come strumento:
Compliant con le normative vigenti
Riconosciuto e valido a livello
internazionale
Unico per tutti gli audit
Specifico per i fornitori di servizi IT
A supporto dell’ottimizzazione dei
processi aziendali
12.12.2014 - ISACA Venice Chapter
9 Cyber Risk Management with COBIT® 5
L’ISAE (International Standard for Assurance Engagements) 3402 è un principio emanato dallo IAASB (International Auditing and Assurance Standards Board) e riconosciuto a livello internazionale.
L’attestazione ISAE 3402 è la valutazione del sistema dei controlli di organizzazioni che erogano servizi, prevalentemente in ambito IT e amministrativo, ed è rilasciata da Auditors Indipendenti, i quali hanno la responsabilità di valutarne la descrizione, il disegno e l’efficacia, rispetto a best practices di controllo (e.g. COBIT).
Tale attestazione è ad uso delle Società che utilizzano i servizi oggetto di verifica e dei loro rispettivi auditors, essendo tali servizi a supporto della produzione dell’informativa contabile e di bilancio.
ISAE 3402: DEFINIZIONE
12.12.2014 - ISACA Venice Chapter
10 Cyber Risk Management with COBIT® 5
I report redatti secondo lo standard ISAE 3402 sono funzionali alle società (User Organization), soggette ad attività di revisione contabile (da parte dei cd. User Auditor), che nello svolgimento del proprio business beneficiano dei servizi offerti da una terza società (Service Organization), generalmente attraverso una relazione di Outsourcing.
L’ISAE 3402 identifica uno standard che permetta ad un Independent Auditor di emettere un’Opinion sulla descrizione del Sistema Organizzativo di una Service Organization, focalizzando in particolare l’attenzione sul Sistema dei Controlli Interni.
ISAE 3402: ATTORI
User
Service
Service organization
User organization User organization User organization
User auditor User auditor User auditor
Independent auditor
ISAE 3402 Report
SERVICE ORGANIZATION: Fornitore di Servizi IT
USER ORGANIZATION: Fruitore dei Servizi
12.12.2014 - ISACA Venice Chapter
11 Cyber Risk Management with COBIT® 5
1. Identificazione dei contenuti chiave del Sistema dei Controlli Interni della Service Organization da parte dell’Independent Auditor
2. Selezione degli elementi che hanno un impatto rilevante almeno sui dati di bilancio delle User Organization.
3. Realizzazione da parte della Service Organization di una descrizione del proprio Sistema Organizzativo (System Description)
4. Identificazione del perimetro di analisi (scope).
5. Sulla base dello scope, individuazione degli obiettivi di controllo
6. Individuazione degli elementi di rischio che possono minacciare il raggiungimento degli obiettivi di controllo.
ISAE 3402: CONTENUTI
7. Formalizzazione delle control activity che mitigano i rischi individuati.
8. Esecuzione di verifiche sulle control activity, attraverso evidenze documentali (cd. check evidences).
9. Sottoscrizione della System Description da parte della direzione aziendale della Service Organization, attraverso una written assertion.
12.12.2014 - ISACA Venice Chapter
13 Cyber Risk Management with COBIT® 5
La metodologia per ottenere la certificazione ISAE 3402 prevede le seguenti fasi operative:
Metodi e Tipologie
Pre assessment
Set up Delivery
Analisi e assessment di controlli ed obiettivi di
controllo
Analisi e valutazione di controlli ed obiettivi di
controllo Test of controls
1 2 3
Report Type I Report Type II
Fasi
A
ttiv
ità
D
eliv
era
ble
s
• Raccolta della documentazione a supporto delle analisi (e.g., flow chart dei processi in scope, manuali operativi, etc.).
• Interviste con i referenti interni al fine di identificare i rischi e i controlli attualmente in place.
• Identificazione del Control Environment. • Risk assessment • Identificazione e formalizzazione delle principali
issues operative e relative ai controlli. • Formalizzazione della documentazione ISAE 3402. • Definizione di un Action Plan.
• ISAE 3402 Cards • Action Plan
• Condivisione degli obiettivi di controllo. • Identificazione dei controlli. • Verifica dell’adeguatezza dei controlli in place
al raggiungimento degli obiettivi di controllo. • Definizione del report ISAE 3402 Type I. • Condivisione dei risultati del report ISAE 3402
Type I. • Definizione di un Action Plan
• Report ISAE 3402 Type I • Action Plan
• Verifica e conferma degli obiettivi di controllo. • Verifica e conferma delle attività di controllo. • Test of effectiveness • Verifica dell’adeguatezza dei controlli in place
al raggiungimento degli obiettivi di controllo. • Condivisione dei risultati del report ISAE 3402
Type II.
• Report ISAE 3402 Type II
12.12.2014 - ISACA Venice Chapter
14 Cyber Risk Management with COBIT® 5
Raccolta della documentazione
disponibile ed interviste con le risorse interne
Analisi delle informazioni raccolte ed identificazione
del control environment
Definizione delle “Card ISAE 3402” e dell’Action
Plan
Documentazione disponibile
Processi / Flow chart
Documentazione 262
Manuali Operativi
…
Intervista con il Process Manager / Analyst
La documentazione raccolta sarà analizzata con cura ed integrata con le informazioni rilevate nel corso delle interviste operative
Tale approccio permetterà al gruppo di lavoro ISAE 3402 di definire un framework aggiornato del control environment .
Card ISAE 3402
Action Plan
Conferma di pianificazione e metodi di
applicazione del Report ISAE 3402
Risk Assessment
Identificazione dei rischi rilevanti
Stima di significatività dei rischi
Valutazione delle probabilità di accadimento
Pre assessment Analisi e assessment di controlli ed obiettivi di
controllo
Analisi e valutazione di controlli ed obiettivi di
controllo Test of controls
Metodi e Tipologie
12.12.2014 - ISACA Venice Chapter
15 Cyber Risk Management with COBIT® 5
Durante questa fase del progetto, in funzione delle analisi effettuate nella fase di pre assessment, sarà possibile:
Analizzare e classificare gli obiettivi di controllo
Analizzare le attività di controllo effettuate all’interno dei processi compresi nel perimetro ISAE 3402
Verificare l’adeguatezza delle attività di controllo ai fini del raggiungimento degli obiettivi di controllo e reporting di eventuali lacune informative.
Definire una bozza preliminare del Report;
Condividere la bozza preliminare del Report;
Completare il Report Type I definitivo.
Identificazione degli obiettivi di
controllo
Identificazione delle attività di controllo
Condivisione del Service’s Auditor
Report Type I
Assessment dell’efficacia dei
controlli in relazione agli
obiettivi di controllo
Bozza di Service‘s Auditor
Report Type I
REPORT TYPE I
Pre assessment Analisi e assessment di controlli
ed obiettivi di controllo
Analisi e valutazione di controlli ed obiettivi di
controllo Test of controls
Metodi e Tipologie
12.12.2014 - ISACA Venice Chapter
16 Cyber Risk Management with COBIT® 5
Durante l’ultima fase del progetto saranno effettuate le seguenti attività:
Test di efficacia operativa al fine di verificare che i controlli definiti dalla “Service Organization“ siano stati implementati nel modo corretto durante un determinato periodo di tempo (non inferiore a 6 mesi) al fine di garantire il raggiungimento degli obiettivi di controllo.
In funzione dei test effettuati, sarà possibile:
Definire una bozza preliminare del Report;
Condividere la bozza preliminare del Report;
Completare il Report Type II definitivo
REPORT TYPE II
Test di efficacia operativa Bozza di Service’s Auditor Report
Type II Condivisione del Service’s
Auditor Report Type II
Pre assessment Analisi e assessment di controlli ed obiettivi di
controllo
Analisi e valutazione di controlli ed obiettivi di controllo
Test of controls
Metodi e Tipologie
12.12.2014 - ISACA Venice Chapter
18 Cyber Risk Management with COBIT® 5
Contiene la relazione dell’Independent Auditor. RELAZIONE DELLA SOCIETÀ DI
REVISIONE I
DESCRIZIONE DELL’AMBIENTE DI CONTROLLO DELLA SERVICE
ORGANIZATION
III
WRITTEN ASSERTION II
PROCEDURE DI VERIFICA SVOLTE E RISULTATI
IV
ALTRE INFORMAZIONI FORNITE DALLA SERVICE ORGANIZATION
V
Contiene l’Attestazione del Management della Service Organization.
Contiene la descrizione dell’ambiente di Controllo della Service Organization
Contiene la descrizione delle modalità di esecuzione del test sul Disegno e sull’Efficacia dei controlli e dei relativi risultati.
Altre informazioni utili al completamento del Report per conoscenza delle “User Organization” (e.g. nuovi business, etc)
Struttura del Report
12.12.2014 - ISACA Venice Chapter
19 Cyber Risk Management with COBIT® 5
REPORT Tipo I
Written Assertion: l’Attestazione della Service Organization sulla chiarezza e completezza della descrizione e del disegno dei controlli ad una data specifica
Test effettuati sul Disegno dei Controlli
Altre Informazioni fornite dalla Service Organization utili al completamento del Report per conoscenza delle “User Organization” (e.g., nuovi business, etc).
Struttura del Report Tipo I
Descrizione dell’ambiente di Controllo della Service Organization: contiene le strutture organizzative, i servizi forniti alle User Organization, il Risk Assessment, le procedure e i processi sotto osservazione, gli obiettivi e le attività di controllo previsti sulla base degli standard internazionali di Controllo (e.g. COBIT), etc.)
Relazione dell’Independent Auditor su:
• La corretta descrizione del sistema aziendale da parte della Service Organization;
• Lo stato di implementazione corrente dei controlli;
• L’adeguatezza dei controlli al raggiungimento degli obiettivi di controllo
REPORT Tipo II
Written Assertion: l’Attestazione della Service Organization sulla chiarezza e completezza della descrizione e del disegno dei controlli e l’efficacia operativa dei controlli per l’intero periodo di osservazione.
Test effettuati sull’Efficacia Operativa dei Controlli e relativi risultati ottenuti con riferimento ad un periodo di tempo non inferiore a 6 mesi.
Altre Informazioni fornite dalla Service Organization utili al completamento del Report per conoscenza delle “User Organization” (e.g., nuovi business, etc).
Descrizione dell’ambiente di Controllo della Service Organization: contiene le strutture organizzative, i servizi forniti alle User Organization, il Risk Assessment, le procedure e i processi sotto osservazione, gli obiettivi e le attività di controllo previsti sulla base degli standard internazionali di Controllo (e.g. COBIT), etc.)
Relazione dell’Independent Auditor su:
• La corretta descrizione del sistema aziendale da parte della Service Organization;
• Lo stato di implementazione corrente dei controlli;
• L’adeguatezza dei controlli al raggiungimento degli obiettivi di controllo
12.12.2014 - ISACA Venice Chapter
21 Cyber Risk Management with COBIT® 5
Il principio ISAE 3402 prevede che l’Auditor emetta un’Attestazione sulla descrizione, sul disegno e sull’efficacia dell’effettivo funzionamento del Sistema di Controllo della Service Organization, nel periodo di verifica e con riferimento a obiettivi di controllo predefiniti sui processi in oggetto.
L’Attestazione ISAE 3402:
costituisce uno strumento di marketing verso potenziali nuovi clienti;
consente di pianificare preventivamente le attività di verifica.
permette di gestire le aspettative dei Clienti;
utilizza standard universalmente riconosciuti;
ha un test scope definito anche sulla base alle aspettative e delle richieste dei Clienti.
è compatibile con le procedure di autocertificazione legate alla Legge n. 262/2005 (e SOX)
L’Attestazione ISAE 3402:
elimina o riduce gli audit ripetitivi;
definisce un appropriato numero e mix di controlli da verificare;
garantisce appropriata e sufficiente documentazione (check evidences);
utilizza criteri di campionamento tali da garantire l’efficacia complessiva del controllo;
assicura obiettivi di Cost Saving, garantendo, comunque, un elevato Valore Aggiunto.
L’Attestazione ISAE 3402:
consente di misurare e valutare le performance aziendali;
può rappresentare la “Root Cause Analysis” per la valutazione degli SLA;
aumenta la fiducia dei Clienti nei confronti delle attività svolte dalla macchina operativa e/o dalle unità organizzative preposte allo sviluppo delle attività;
aiuta ad identificare opportunità di miglioramento e ottimizzazione dei propri processi;
migliora la diffusione della cultura del controllo all’interno dell’organizzazione.
INCONTRARE LE ESIGENZE DEI CLIENTI OTTIMIZZARE I COSTI - EFFICIENZA MIGLIORARE I SERVIZI
Benefici e Vantaggi
12.12.2014 - ISACA Venice Chapter
22 Cyber Risk Management with COBIT® 5
In conclusione
Con l’ISAE 3402 «Fate le cose nel modo più semplice possibile, ma senza semplificare.» (A. Einstein)
Per maggiori informazioni, visitate:
– http://isae3402.com
– http://www.ey.com
Contatti:
Monica Poli: [email protected]