System and Organisation Controls (SOC) Reporting
Assurance della fornitura di servizi IT/processi aziendali in outsourcing
È ormai prassi comune esternalizzare determinate operazioni commerciali e informatiche per concentrarsi sugli obiettivi aziendali principali, per cui quasi tutte le organizzazioni hanno in atto un qualche elemento di esternalizzazione.
Il panorama dell'outsourcing si è trasformato nel corso degli anni e sia le organizzazioni che esternalizzano i servizi che quelle che li forniscono sono diventate parte di un ecosistema più ampio. Questo ecosistema oggi è costituito da clienti, partner, agenti, affiliati, venditori e fornitori di servizi, molti dei quali operano in diverse parti del mondo. L'ecosistema offre alle aziende l'accesso a un'ampia gamma di capacità, creando nuove e interessanti opportunità di mercato.
Rapporti SOC per valutare e gestire i rischi aziendali
Allo stesso tempo, il crescente ricorso ai fornitori di servizi in outsourcing (OSP) fa aumentare le preoccupazioni per una maggiore esposizione al rischio aziendale. Gli azionisti, i comitati di governance, gli investitori e le autorità di regolamentazione richiedono alle organizzazioni di valutare e gestire i rischi aziendali.
Sono consapevoli del fatto che fare maggiormente affidamento sugli OSP espone le organizzazioni a rischi difficili da identificare, gestire e monitorare. Si esternalizza un servizio, ma il rischio rimane all'interno della propria azienda.
Ciò ha spinto le imprese a chiedere agli OSP di fornire dei rapporti SOC (Service Organisation Control) o Service Auditor report. Questi rapporti di garanzia di terzi (TPA, third-party assurance) aiutano gli OSP a creare fiducia nei processi e nei controlli di erogazione dei servizi attraverso l'attestazione di un revisore contabile certificato indipendente.
Mazars riceve regolarmente incarichi di revisione da parte dell'utente o del fornitore di servizi, in cui viene richiesto un parere indipendente. Il revisore svolge gli incarichi TPA al fine di fornire una relazione indipendente sul controllo interno del fornitore del servizio. Il rapporto viene utilizzato dal management dell'organizzazione utente (outsourcer), dagli utenti stessi (clienti o clienti potenziali) e/o dai loro revisori per alleggerire il proprio compito di audit.
Esistono due tipi di rapporti:
- Assicurazione sull'informativa finanziaria: relazioni sui controlli che hanno un impatto sull'informativa finanziaria delle entità utilizzatrici. In genere viene redatto secondo lo standard SSAE18, emesso dall'American Institute of Certified Public Accountants (AICPA) e noto anche come SOC 1 e ISAE3402, emesso dall'International Auditing and Assurance Standards Board (IAASB).
- Garanzia sulle informazioni non finanziarie - SOC 2 e SOC 3 basati sui criteri AICPA' Trust Services Criteria for Security, Confidentiality, Availability, Processing Integrity, and Privacy, e ISAE 3000, Assurance Engagements Other than Audits or Reviews of Historical Financial Information, emessi dalla International Federation of Accountants (IFAC).
La rendicontazione TPA o SOC offre una serie di vantaggi agli utenti e ai fornitori di servizi in outsourcing.
Vantaggi per l’organizzazione dell'outsourcer/utente
- Gestire i rischi nel suo rapporto con i terzi/venditori
- Soddisfare i requisiti di rendicontazione multifunzionale dell'azienda, compresi quelli operativi e finanziari.
- Informazioni preziose: valutazione indipendente dell'esistenza, dell'adeguata pianificazione e dell'efficace funzionamento dei controlli dell'organizzazione erogatrice del servizio.
- Risparmio sui costi: si evitano costi ulteriori per l'invio degli auditor dell'ente utilizzatore presso l'organizzazione fornitrice del servizio.
- Mantenere la conformità ai requisiti normativi di settore, governativi e di altro tipo.
Vantaggi per i fornitori di servizi
- Vantaggio commerciale: un metodo per consentire ad un'organizzazione fornitrice di servizi di distinguersi dalla concorrenza e dimostrare in modo proattivo l’attuazione di controlli delle buone prassi.
- Risparmio sui costi: i rapporti emessi dal revisore interno hanno un costo inferiore di quelli prodotti dai clienti. Si risparmia inoltre la compilazione dei questionari. In questo modo il fornitore di servizi disporrà di maggiori risorse per svolgere attività a maggior valore aggiunto.
- Ampia garanzia: ragionevole garanzia per diversi clienti con un unico rapporto.
- Requisiti di conformità: dimostrare agli enti normativi l’attuazione e l’efficacia dei controlli.
- Migliorare la consapevolezza generale dei controlli: la soluzione genera una maggiore consapevolezza all'interno dell'organizzazione circa l'importanza dei controlli e rafforza la cultura del controllo.
Per saperne di più, contattaci utilizzando il modulo sottostante: