qhse-inspecting

SSAE 18 REPORTING

DICHIARAZIONE SUGLI STANDARD PER L’ATTESTAZIONE DELL’IMPEGNO N. 18

SCENARIO

Per comprendere la genesi del Report SSAE 18 occorre fare un passo indietro nel tempo al 2002, quando, a causa di uno scandalo generato dal colosso energetico ENRON, che determinò ingenti danni finanziari agli investitori, fu emanato dal Governo degli Stati Uniti il Sarbanes Oxley Act (SOX).
La sez. 404 del SOX ha stabilito l’obbligo di attestazione da parte del Management delle aziende quotate in borsa dell’osservanza dei rigorosi controlli previsti dalla legge medesima circa il sistema di controllo interno dell’organizzazione aziendale.
Lo scopo della normativa era salvaguardare i terzi circa la veridicità delle informazioni contenute nel Financial Reporting.
Sempre per il medesimo scopo, dopo l’emanazione del SOX, gli stessi controlli furono estesi al sistema di controllo interno delle aziende che offrono servizi in outsourcing, attraverso la richiesta di un SAS 70 Report che attestasse la conformità allo standard medesimo.
Lo standard SAS 70 è divenuto SSAE 16 dal 1 luglio 2011 e SSAE 18 dal 1 Maggio 2017, che ha introdotto due novità per le organizzazioni di servizi. Queste dovranno attuare:
■ Un programma formale di gestione delle organizzazioni subappaltanti (Subservice Organizations)
■ Un programma formale annuale di valutazione dei rischi.

SOLUZIONE

Che cosa si intende per Report SSAE 18?
Si tratta di una dichiarazione sugli standard per l’attestazione dell’impegno (Statement on Standards for Attestation Engagement) n. 18.
In pratica, si tratta di un’attestazione rilasciata sotto forma di Report da parte di un auditor Indipendente abilitato, relativo al sistema di controllo interno implementato da un’organizzazione che offre servizi in outsourcing.
La richiesta di un SSAE 18 Report avviene come conseguenza dell’esigenza di un’azienda quotata in borsa che deve assolvere le richieste della sezione 404 del Sarbanes Oxley Act.
Nel caso in cui le aziende soggette alla SOX decidano di dare in outsourcing un servizio, per essere conformi e sollevarsi da responsabilità, devono fare sì che il sistema di controllo interno dell’outosourcer sia anch’esso conforme allo Standard SSAE 18.
L’auditor indipendente attesta, appunto, che il sistema di controllo interno dell’outsourcer è stato sottoposto ai più rigidi test richiesti dalla SOX.

FASE START-UP: DA 6 A 12 MESI
■ Interviste - Intervista con una delle persone addette al servizio da certificare
■ Mappatura del servizio - Redazione di un flusso che identifichi i controlli e successiva condivisione dello stesso fino alla sua stesura definitiva
■ Costruzione della matrice rischi - Secondo lo standard con integrazione dei controlli effettuati dall’azienda
■ Testing - Richiesta e verifica delle evidenze oggetto del testing prodotte dall’azienda ed implementazione della documentazione prevista dallo standard
■ Reporting - Redazione e rilascio del Report alla fine del periodo sottoposto a controllo.

FASE MAINTENANCE: PERIODO DI 12 MESI
Negli anni successivi, a seguito dei precedenti step, avviene la Verifica della sussistenza dei requisiti del sistema di controllo interno secondo lo Standard, a seguito della quale si ripetono le fasi di Testing e Reporting.

L’audit che si svolge in linea con lo Standard SSAE 18 sarà rendicontato in un Service Organization Control (SOC) 1 Report. Il Report SSAE 18 corrisponde al Report Soc 1.

  • Leadership

    Bureau Veritas Certification è leader di mercato mondiale nell’ambito della certificazione SA 8000: detiene un accreditamento worldwide rilasciato dal SAI nel 1999 per tutti i settori merceologici.

  • Network

    Bureau Veritas Certification garantisce elevate competenze grazie a un network di valutatori e un osservatorio che permette l’accesso alle informazioni relative al contesto in cui l’azienda opera.

  • Competenza

    Bureau Veritas Certification vanta un’esperienza pluriennale nelle verifiche ispettive di Seconda Parte su codici di condotta sulla Responsabilità Sociale.

FAQ

Quali sono i vantaggi correlati al possesso di un Report SSAE 18?
Per i clienti della Service Organization (Aziende soggette o no alla SOX), il possesso di un Report SSAE 18 significa:
■ Servizio garantito da controlli certificati
■ Riduzione dei costi associati alle attività interne di revisione del bilancio.

Per la Service Organization / Outsourcer, il Report SSAE 18 consente:
■ Maggiore competitività sui mercati internazionali
■ Maggiore efficienza organizzativa
■ Riduzione delle possibilità di errori
■ Miglioramento della propria immagine sul mercato
■ Partecipazione alle gare di appalto cui il Report SSAE 18 è richiesto quale requisito essenziale.

Esistono altri Report correlati al SSAE 18?
Sì, lo standard internazionale ISAE 3402 che, in realtà, è uno standard similare al SSAE 16 e consiste nella valutazione del sistema dei controlli di Organizzazioni che erogano servizi, prevalentemente in ambito IT, payroll e amministrativo.
Il Report è rilasciato da auditor indipendenti che hanno la responsabilità di valutarne la descrizione, il disegno e l’efficacia, rispetto a best practice di controllo.
Il Report è ad uso delle Società che utilizzano i servizi oggetto di verifica e dei loro rispettivi auditor, essendo tali servizi a supporto della produzione dell’informativa contabile e di bilancio.
Sono poche le differenze tra i due Standard e l’uno è sostitutivo dell’altro. Sempre più spesso, al fine di ottenere un maggior vantaggio competitivo, le aziende dotate di SSAE 18 Report, ottengono anche l’ISAE 3402 Report, spesso avvalendosi di un Dual Report.