SSAE18

Un traguardo importante che ci posiziona nell’ambito di una ristretta cerchia di professionisti svizzeri esperti nei servizi in outsourcing a favore delle imprese.

A far data dal 1 Gennaio 2018, Talenture SA ha terminato con successo il percorso di upgrade dalla certificazione SSAE16 alla SSAE18 con riferimento all’area di business dei servizi di “Pay roll & HR”. Come la certificaszione SSAE16, anche la nuova certificazione SSAE18 è “Sarbanes Oxley (SOX) Compliant”.

Questo importante traguardo è il risultato di una attività di partnership con gli auditor dell’American Institute of Certified Public Accountants (AICPAs) e posiziona Talenture SA nell’ambito di una ristretta cerchia di professionisti svizzeri esperti nei servizi in outsourcing a favore delle imprese.

SSAE 18 è un nuovo standard, comprendente una serie di miglioramenti intesi ad aumentare l'utilità e la qualità dei rapporti SOC, che sostituisce lo standard SSAE 16. Le modifiche apportate alla norma richiederanno alle aziende di prendere maggior consapevolezza dei propri controlli interni in riferimento all'identificazione e alla classificazione del rischio e all'adeguata gestione dei rapporti con le Organizzazioni subappaltanti.

SSAE 18 è in vigore dal 1° maggio 2017. Tutte le organizzazioni di servizi sono ora obbligate a pubblicare la valutazione relativa ai controlli del sistema e dell’organizzazione (SOC – System and Organization Controls) sotto lo standard SSAE 18 in un report SOC 1. La relazione SOC 1, rilasciata da un Auditor Indipendente, apparirà molto simile a quella rilasciata a livello di SSAE 16, ma si distinguerà da quest’ultima in quanto conterrà un paio di sezioni aggiuntive e i controlli necessari a migliorarne ulteriormente il contenuto e la qualità e, quindi, la capacità di affidarsi a terzi.

Cosa c'è di nuovo in SSAE 18?

Come accennato in precedenza, ci sono alcune modifiche chiave che le aziende che attualmente eseguono un SOC 1 o 2, o ne eseguiranno uno nel prossimo futuro, devono prendere in considerazione quest'anno per andare avanti.
  • Le organizzazioni di servizi dovranno attuare un Programma formale di gestione delle Organizzazioni subappaltanti. L’organizzazione subappaltante è un’organizzazione utilizzata dalla Service Organization per eseguire alcuni dei servizi forniti alle entità utenti che sono probabilmente rilevanti per il controllo interno sul rendiconto finanziario.
  • Le organizzazioni di servizi dovranno attuare un Processo formale annuale di valutazione dei rischi.

Oltre ai cambiamenti basati sul controllo, il report SOC dovrà contenere due sezioni aggiuntive che descrivono il processo di valutazione dei rischi e la gestione dei rapporti con le organizzazioni subappaltanti (Sub Service Organizations) che svolgono un ruolo nel funzionamento complessivo del sistema e dei relativi controlli che influenzano o di cui hanno la proprietà completa. Questi due componenti erano tipicamente presenti nei rapporti SOC 2 anche se non formalmente richiesti. Ora, questo concetto viene formalizzato ed esteso a tutti i report SOC.

Chi necessita di un audit SSAE 18 (SOC 1)?

I servizi forniti da un'organizzazione di servizi (Service Organization) fanno parte del sistema informativo di un'entità (Impresa) se interessano una delle seguenti caratteristiche:

  • le classi di transazioni nelle operazioni dell'impresa che sono significative dal punto di vista finanziario per i bilanci dell'impresa stessa;
  • le procedure, sia automatiche sia manuali, con le quali le operazioni dell’impresa vengono avviate, registrate, elaborate e segnalate dal loro verificarsi alla loro inclusione nel bilancio;
  • le relative registrazioni contabili, sia elettroniche sia manuali, le informazioni di supporto e i conti specifici nei bilanci finanziari dell'impresa che implicano l'avvio, la registrazione, l'elaborazione e la segnalazione delle transazioni della stessa;
  • come il sistema di informazione dell'impresa acquisisce altri eventi e condizioni significativi per il bilancio;
  • il processo di rendicontazione finanziaria utilizzato per la redazione dei bilanci dell'impresa, comprese stime contabili e divulgazioni significative.

Se l'Organizzazione di servizi effettua servizi esternalizzati (in outsourcing) che incidono sui rendiconti finanziari di un'altra società (la c.d. 'Organizzazione Utente' o User Organization), è più che probabile che le sia richiesto di fornire un Report SOC 1 Type II, specialmente se l'Organizzazione Utente è quotata in Borsa.

Gallery Thumb 1