Dal Sas70 al Soc, fioccano nuove certificazioni per garantire rispetto delle norme ed aderenza al business. Ma la certificazione va compresa.
Il 2011 potrebbe essere l’anno della definitiva consacrazione dell’Ict a consumo in utte le sue manifestazioni, dal Saas al public cloud. Di fatto queste soluzioni affidano all’esterno alcune parti della propria Ict, di fatto modificando completamente l’attività e sollevando questioni di realizzazione.
Spesso negli States l’aderenza alle normative di privacy, business continuity e sicurezza viene certificata con il Soc (Service Organisation Control), noto anche come Statement of Auditing Standards n. 70, in breve Sas70, sviluppato dall’Aicpa, American Institute of Certified Public Accountants. Orbene questo non è del tutto vero: Sas70 certifica il metodo usato senza stabilire a priori cosa sia stato certificato, per cui il fornitore deve elencare dove viene applicato e dove no, in modo che il cliente possa verificare l’aderenza alle proprie necessità.
Per meglio rispondere alle richieste d’informazione del prossimo futuro, compreso il nuovo standard Ssae 16, Aicpa ha lanciato una pagina web specifica.
“I dirigenti finanziari che si affidano ciecamente ai risultati dell’audit Sas70 si assumono un rischio”, spiega David MeCann nel suo articolo “La verità sul Sas70”, ripreso e in home page sul nuovo sito Aicpa.