Contract
Associazione TerrAudit
Verifica della compliance del portale d'informazione elettronico Terravis
Programma
1
Obiettivo e procedura della verifica
3
2
Collaborazione tra Associazione TerrAudit e PwC Entità e risultati della verifica
5
4
Conclusioni dalla prospettiva dell'Associazione TerrAudit Ulteriore procedura
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
2
Obiettivo e procedura della verifica
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
3
Obiettivo della verifica
• Garantire che i sistemi, le applicazioni, i processi e i controlli soddisfino i requisiti giuridici e normativi nonché la good practice.
• Rilevare e stilare un rapporto in caso di eventuali scostamenti.
• Assicurare che gli scostamenti rilevanti siano prontamente affrontati con misure adeguate.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
4
Procedura della verifica
1
2
3
4
Attività per fase
Pianificazione Svolgimento Reportistica
Follow-up e monitoraggio
Stima preliminare | Svolgimento della verifica orientata al rischio e agli obiettivi • Svolgimento di interviste con i collaboratori competenti di SIX Terravis SA / delle società del Gruppo rilevanti di SIX • Implementazione di processi e verifica a campione di controlli • Svolgimento di analisi dei dati | Rapporti efficaci • Documentazione di accertamenti, relativi rischi e controlli • Valutazione / prioritizzazione degli accertamenti • Discussione degli accertamenti con SIX Terravis SA • Discussione degli accertamenti con l'Associazione TerrAudit • Reperimento di pareri scritti presso SIX Terravis SA | Follow-up degli accertamenti • Completamento degli accertamenti in sospeso • Quantificazione dei rischi latenti Monitoraggio continuo • Monitoraggio delle misure di compensazione • Design e implementazione di una sorveglianza in tempo reale e analisi di anomalie |
• Valutazione preliminare di rischi, processi, controlli e transazioni | |||
• Raccolta di informazioni rilevanti | |||
Pianificazione del mandato | |||
• Definizione dell'entità della verifica | |||
• Elaborazione di un'offerta per l'Associazione TerrAudit | |||
• Definizione del programma di interviste e test |
Focus della verifica: esclusivamente i Xxxxxxx Xxxxx, Grigioni, Soletta e Ticino.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
5
Collaborazione tra Associazione TerrAudit e PwC
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
6
Impostazione della collaborazione tra l'Associazione TerrAudit e PwC (1/2)
L'Associazione TerrAudit ha stabilito procedure di verifica insieme a PwC in varie riunioni (SIX Terravis SA coinvolta nei casi rilevanti).
L'Associazione TerrAudit ha seguito strettamente PwC nell'attività di verifica e coordinato la riunione necessaria con le parti – l'Associazione TerrAudit era presente in parte anche alle verifiche sul posto.
L'Associazione TerrAudit e PwC hanno periodicamente verificato le procedure e la strategia di audit per il raggiungimento degli obiettivi.
Verifica della compliance del portale d'informazione elettronico Terravis PwC
Impostazione della collaborazione tra l'Associazione TerrAudit e PwC (2/2)
PwC ha allestito una bozza di rapporto di audit e l'ha presentata all'Associazione TerrAudit per prenderne visione.
L'Associazione TerrAudit ha informato periodicamente i membri dell'Associazione TerrAudit in merito all'andamento corrente dell'audit e coinvolgendoli per quanto opportuno o previsto dal regolamento.
Verifica della compliance del portale d'informazione elettronico Terravis PwC
Entità e risultati della verifica
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
9
1. Rispetto delle condizioni contrattuali 5. Gestione di casi di sicurezza informatica
2. Rispetto del concetto dei ruoli 6. Salvataggio di dati tramite SIX Terravis SA
3. Corretto conteggio e incasso delle tasse 7. Gestione degli errori
4. Protocollaggio e monitoraggio degli accessi
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
10
Panoramica sull'entità della verifica
Terravis
4 5
7
Applicazione
2
Banca dati
2
6
Dati
2
Sistema operativo
Cantone
SIX Terravis SA
Clienti finali
1
3
3
3
3
Interfaccia web dei clienti
Applicazione del registro fondiario cantonale
(Cantoni interessati: BE, GR, SO, TI)
Controlli dell'applicazione
Risultati della verifica – fattispecie importanti
1. Rispetto delle condizioni contrattuali
• Il supplemento al contratto per la regolamentazione dell'utilizzo del portale d'informazione e della consultazione di fondi ai fini del test non è disponibile per tutti i cantoni membri.
• Il contratto ordinario non è presente per tutti i cantoni membri – in parte contratti pilota.
• Per un Cantone membro è stata concessa una deroga rispetto al contratto di gestione ordinario a causa della limitazione tecnica da parte del cantone. Sebbene limitata nel tempo, questa deroga al momento della verifica era ancora operativa.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
11
Risultati della verifica – fattispecie importanti
2. Rispetto del concetto dei ruoli
• Il trasferimento delle autorizzazioni definite per contratto nelle autorizzazioni configurate tecnicamente è in parte difficile da seguire.
• A un partecipante non era chiaro, neppure dopo aver consultato il cantone membro competente, se la forma giuridica archiviata «Notaio» fosse ancora corretta.
• Nel caso di partecipanti, i cui utenti sono sia avvocati che notai, per singole informazioni risulta impossibile distinguere in quale funzione sono stati effettuati gli estratti.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
12
Risultati della verifica – fattispecie importanti
3. Corretto conteggio e incasso delle tasse
• Dal riconteggio completo delle tasse di cantoni membri per il periodo da gennaio a giugno 2017 sono emerse differenze.
• Le differenze nel caso specifico erano a tre cifre e nel complesso non possono essere considerate materiali.
• Il conteggio delle tasse deve essere eseguito correttamente e le correzioni sono già state implementate da SIX Terravis SA.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
13
Risultati della verifica – fattispecie importanti
4. Protocollaggio e monitoraggio degli accessi
Filtraggio degli accessi in base a determinati criteri che rimandano a irregolarità Solo cantoni membri |
Notifica di tali accessi ai cantoni interessati Ulteriori chiarimenti da parte dei cantoni |
In caso di accessi non documentabili, reperimento scritto del motivo dell'accesso presso gli utenti Lettera standard e invio a nome del cantone interessato |
In caso di risposte insufficienti si procede a una visura degli atti sul posto |
Fase 1
Fase 2
Fase 3
Fase 4
In caso di risposte già ottenute: finora nessun ricorso al segreto bancario
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
14
Risultati della verifica – fattispecie importanti
6. Salvataggio di dati tramite SIX Terravis SA
• Per testare le modifiche sul sistema di prova del portale d'informazione, tale sistema è stato collegato a sistemi selezionati del registro fondiario dei cantoni.
• A seconda della periodicità dell'aggiornamento dei sistemi di prova di singoli cantoni, i dati delle prove possono essere attuali, vecchi od obsoleti.
• I sistemi di prova non presentano la stessa protezione dei sistemi produttivi.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
15
Risultati della verifica – fattispecie importanti
7. Gestione degli errori
• Nella creazione della password da parte di SIX viene utilizzata una password standard (cd. prefisso). Dalla verifica è risultato che il prefisso presso diversi partecipanti coincide con la password iniziale.
• Non è stato definito nessun processo per un'identificazione univoca del richiedente nel caso in cui la password sia stata dimenticata.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
16
Conclusioni dalla prospettiva dell'Associazione TerrAudit
Conclusione dell'Associazione TerrAudit
Il primo audit è ormai storia passata…
L'audit è stato un successo a tutti gli effetti:
• La collaborazione con le parti interessate si è svolta senza intoppi – aspetto non scontato per molti interessati.
• L'audit ha fatto emergere diverse problematiche – MA nulla che mettesse in discussione la gestione della piattaforma.
• Con la valutazione degli accessi degli utenti i cantoni hanno ottenuto informazioni utili decisione del cantone in merito all'ulteriore procedura.
• Ha più che soddisfatto le attese.
• Si è dimostrato uno strumento di sorveglianza efficace ed efficiente.
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
18
Ulteriore procedura
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
19
Qualità
Efficienza
Valore aggiunto
3
Definizione dell'entità dell'audit nel 2019 da parte dell'Associazione TerrAudit e conferimento dell'incarico
2
Attuazione rapida e orientata al rischio delle misure da parte di SIX Terravis SA e dei cantoni interessati
1
Finalizzazione dei rapporti e distribuzione ai cantoni membri e SIX Terravis SA
Ulteriore procedura
4
Svolgimento di eventuali verifiche speciali
Verifica della compliance del portale d'informazione elettronico Terravis PwC Giugno 2018
20