Governance, Risk and Regulatory Compliance

Possiamo essere al fianco dei nostri Clienti durante i progetti di disegno ed implementazione di sistemi di controllo interno conformemente a norme e framework nazionali ed internazionali e possiamo essere una figura indipendente per valutare come tali sistemi di controllo sono definiti (valutazione del disegno e dell’efficacia operativa). 

Tra i vari ambiti su cui operiamo troviamo:

• Disegno, audit e valutazione di policy e procedure e del sistema di controllo interno
• Implementazione del framework di gestione della compliance in ambito SOx Sarbanes Oxley act (cosiddetta SOx readiness)
• Supporto al Dirigente preposto alla redazione dei documenti contabili societari, secondo la L. 262:2005 per la predisposizione del framework di procedure e controlli (cosiddetta 262 readiness)
• Supporto per lo svolgimento di attività di valutazione del disegno e di testing in ambito SOx Sarbanes Oxley act e L. 262:2005

Il processo di gestione del rischio supporta le aziende, previene e risolve i rischi in vari ambiti migliorandone la competitività, la gestione economico-finanziaria e la gestione in generale. Sulla scorta di questa rivoluzione, RSM ha costituito un team di lavoro dedicato al supporto consulenziale ed operativo per identificare e mappare le aree critiche ed implementare gli adeguati sistemi di gestione del rischio.

Tra i vari ambiti su cui operiamo troviamo:

• Disegno, audit e valutazione dei processi di gestione del rischio
• Costruzione ed aggiornamento del modello di Enterprise Risk Management delle policy e degli strumenti correlati

In un’era in continua evoluzione, in cui le organizzazioni hanno l’esigenza di trasformarsi e nel contempo l’esigenza di mantenere il passo rispetto ai competitor, i processi aziendali si devono adeguare, cercando ove possibile di anticipare i cambiamenti necessari. A tal proposito, gli specialisti di RSM, possono supportarvi nel mappare i Vostri processi e i Vostri controlli, valutarli sulla base di approcci risk-based o in accordo con i principali standard nazionali ed internazionali ed inoltre possono supportarVi nell'evoluzione degli stessi tramite tecniche di Business Process re-engineering. 

Ci sono numerosi vantaggi nel poter adottare approcci di esternalizzazione di processi aziendali, tuttavia tale approccio potrebbe comportare rischi aggiuntivi laddove il fornitore di servizi non disponesse di un sistema di controllo interno adeguato.

RSM può aiutarvi a definire e sviluppare un perimetro di assurance sui controlli del Vostro fornitore di servizi o dei Vostri outsourcer, in modo da essere allineato ai Vostri obiettivi aziendali e conforme ai Vostri requisiti normativi e di controllo.

Il processo di gestione del rischio supporta le aziende, previene e risolve i rischi in vari ambiti migliorandone la competitività, la gestione economico-finanziaria e la gestione in generale. Sulla scorta di questa rivoluzione, RSM ha costituito un team di lavoro dedicato al supporto consulenziale ed operativo per identificare e mappare le aree critiche ed implementare gli adeguati sistemi di gestione del rischio.

Ciò comprende:

• Garantire che siano in essere, presso il Vostro outsourcer, controlli adeguati per mitigare i principali rischi di processo o tecnologici che l’organizzazione deve affrontare
• Effettuare verifiche ed audit (secondo standard di audit internazionali – quali ISAE 3402, ISAE 3000 ovvero AUP Agreed Upon Procedures) ai fini dell’attestazione del sistema di controllo interno o di specifici obiettivi di controllo, anche tramite l’emissione di report per la valutazione del disegno (Type 1) o dell’efficacia operativa in un arco temporale definito (Type 2)

Di seguito le principali attestazioni per cui i Clienti si affidano al team specialistico di RSM:

SOC1 – La finalità è quella di valutare il sistema di controlli interno di un provider di servizi, al fine di fornire assurance ai fini del financial reporting. 

SOC2 – La finalità è quella di valutare il sistema di controlli interno di un provider di servizi in base ai criteri e ai principi “Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy” emessi dal AICPA (Assurance Services Executive Committee). Il report SOC2 mira al soddisfacimento delle diverse esigenze degli utenti che devono comprendere il controllo interno di un’organizzazione di servizi in relazione ai criteri specifici di sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.​

SOC3 – La finalità è molto affine al SOC2, risponde allo standard SSAE 18, in particolare alle sezioni AT-C 105 e 205. Si tratta di un’attestazione rilasciata sotto forma di report da parte di un auditor indipendente abilitato, relativo al sistema di controllo interno implementato da un’organizzazione che offre servizi in outsourcing. Il SOC3 fornisce garanzie riguardo a controlli di sicurezza e riservatezza, in linea con i principi dei servizi attendibili AICPA. Ciò include un parere di un revisore esterno sull’efficacia del funzionamento dei controlli.​

Conosciamo le principali pratiche e linee guida, avendo aiutato molte organizzazioni a sviluppare o migliorare i loro Piani di Continuità Operativa e Piani di Disaster Recovery, e supportiamo i nostri Clienti nell’arrivare preparati alla gestione di eventi imprevisti attraverso un'attenta pianificazione, test e formazione del personale.

Tra i vari ambiti su cui operiamo troviamo:

• Supporto nello svolgimento di Business Impact Assessment degli scenari di crisi sui processi aziendali ritenuti critici
• Disegno, audit e valutazione di piani di Business Continuity e di Disaster Recovery
• Disegno, audit e valutazione dell’impianto normativo di riferimento per la gestione delle crisi
• Supporto nella predisposizione del sistema di gestione ISO 22301ed accompagnamento alla certificazione