El cambio del SAS 70 al nuevo estándar SSAE 16 y ISAE3402. Presidente, ISACA São Paulo Chapter, Brasil

Transcripción

1 El cambio del SAS 70 al nuevo estándar SSAE 16 y ISAE3402 Carmen Ozores, CISA, CRISC Ozores Consultoria Presidente, ISACA São Paulo Chapter, Brasil San Juan, Puerto Rico San Juan, Puerto Rico Octubre 2011

2 Objetivo

3 Histórico del SAS 70 Agenda AICPA SSAE16 que hay de nuevo? El estándar Internacional ISAE3402 Los tipos de informes, conforme la necesidad de la entidad usuaria: SOC1, SOC2, SOC3 Reportes Tipo I y Tipo II Perspectiva del auditor de la entidad usuaria El Framework ITAF (IT Assurance Framework)

4 Historico del SAS 70 hasta el ISAE3402 y SSAE16 La necesidad de auditoria de prestadores de servicios Beneficios i de los reportes SSAE16/ISAE3402 en este contexto Reportes SAS70, Tipo I y Tipo II AICPA SSAE16 que hay de nuevo? El estándar Internacional ISAE3402

5 SAS 70 Histórico AICPA SAS 70 hace 18 años SAS No. 70, April 1992 Service Organizations SAS No. 94, May 2001 The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement Audit SOX, Junio 2002 Informes de auditoria segundo el estándard SAS70 como parte de revisiones bajo la Ley SOX April 2010, SSAE No. 16 Reporting on Controls at a Service Organization

6 Source: ISACA White Paper New Service Auditor Standard: Source: ISACA White Paper, New Service Auditor Standard: A User Entity Perspective

7 El contexto Objetivo es obtener evidencia de los controles internos en la organización prestadora de servicios asociados a los informes financieros Necesidad dddl del auditor de la entidad ddusuaria tener garantía suficiente de la calidad de los controles sobre cuentas, transacciones y informes

8 SAS 70 Definiciones Service Entity la entidad prestadora de servicios User Entity la entidad tomadora de los servicios Auditor de la Service Entity el auditor independendiente (CPA)que emite los reportes Auditor de la User Entity el auditor independiente que revisa los controles de la entidade usuaria Controles Relevantes para el processo de reportes financeiros Controles de TI que suportan los procesos criticos de negocio

9 SSAE16 y ISAE3402 Que ha cambiado? ISAE 3402 nuevos estandards del IAASB definen un benchmarking global para reporte de asseguracion de los controles de las organizaciones de servicios SSAE 16 AICPA, el correspondiente estándar en USA

10 ISAE Países miembros de IFAC Ej. en América Latina: Brasil, Argentina, Mexico, Colombia y otros más Los reportes deben ser emitidos bajo el ISAE3402, donde no haya normas locales En Brasil el CFC emitió norma NBCTO 3402, en julio 2011, según el modelo del ISAE 3402 USA AICPA SSAE 16 Sigue el modelo ISAE 3402

11 Algunas Normas Nacionales País USA Norma SSAE16 Brasil NBC TO 402 Aprobada en 27/ Norma local consistente con ISAE 3402 Chile Alemania PS951 NAGA AU324 NAGA 56, Sección 324 Australia ASAE 3402 India AAS 24 UK ICAEW AAF 02/07 and AAF 01/06

12 Normas Nacionales Brasil NBC TO 3402 Norma aprovada pela Resolução nº do CFC (Conselho Federal de Contabilidade) Asseguração de Controles em Organização Prestadora de Serviços Em vigor desde 20/07/2011 / Elaborada de acordo com ISAE 3402

13 Estándar internacional ISAE3402

14 Principales Cambios El nuevo estándar tiene la característica de acreditación ( attestation) Que esto significa? El auditor debe exigir una declaración de responsabilidad dde la gerencia de la entidad d de servicio

15 Principales Cambios Para que la gerencia pueda asumir la responsabilidad, el Reporte contiene ( reporte Tipo II ) Una descripción que represente de manera fidedigna los sistemas de control Una afirmación de que los controles tienen un diseño adecuado Una afirmación de que los controles sean efectivos durante el periodo auditado

16 Principales Cambios Un criterio adecuado para describir los sistemas de control y su implementación debe contener: Los tipos de servicios prestados y clases de transacciones Los procedimientos, sea automatizados o manuales Los registros relacionados y la información de suporte, manuales o electrónicos Los objetivos de control y actividades de control para estos objetivos Risk assessment, controles de monitoreo y otros procesos del ambiente de control

17 Principales Cambios El periodo de la auditoria Opiniones del auditor y la afirmación de la gerencia debe se extender a todo el período del reporte (de los informes financieros) En contrario al anterior, donde las opiniones acerca del diseño del control era base el ultimo día del periodo

18 Principales Cambios Como utilizar el trabajo ejecutado por la auditoria interna de la organización de servicio Las sesiones del reporte con los testes de controles y resultados debe incluir la descripción de procedimientos del auditor interno Los procedimientos del auditor con respecto a este trabajo de la auditoria interna

19 En que aspectos el nuevo estándar es igual al SAS 70? Los dos tipos de reporte Tipo I y Tipo II Reporte Tipo II mínimo 6 meses Reportes limitados aluso por la auditoria, no debe ser utilizado para otras finalidades, por ej. clientes o potenciales inversionistas. Los testes y resultados de los auditores deben estar documentados en reporte Tipo II Tamaño de amuestras revelados cuando se identifica desvíos de los controles

20 Perspectiva del Auditor de la entidad usuaria El auditor de la entidad usuaria debe Evaluar si los objetivos de control están completos si atienden a un rango amplio de la entidad usuaria Analizar críticamente las consideraciones de control de usuarios especificadas en el reporte Analizar críticamente los testes ejecutados por el auditor de la entidad prestadora de servicios Tener en consideración los resultados de los testes

21 SSAE16 y ISAE3402 Tipos de Reportes Los reportes SOC (Service Organization Control) sirven para ayudar la organizacion prestadora de servicios a obtener la confiabilidad de los procesos de entrega de servicios y los controls por medio de um reporte emitido por un auditor independiente. El Standard ISAE 3402 define 3 tipos de reportes SOC1, SOC2, SOC3

22 Service Organization Control (SOC) SOC 1 SM Reports Controles relevantes a los controles internos de la entidad usuaria para la emision de los reportes financeiros SOC 2 SM Reports Controles de la Entidade de Servicios relevantes à Seguridad, Disponibilidad, Integridad de los Processos, Confidencialidad y Privacidad SOC 3 SM Reports Trust Services Report for Service Organizations. i

23 Service Organization Control (SOC) Controles internos para los reportes financieros? Report SOC1 es más apropriado p Hay interés principal en controles operacionales y compliance, como los relacionados a seguridad, disponibilidad, integridad, confidencialidad o privacidad? SOC2 o SOC3, conforme el nível de detalle requerido

24 Decidir cual report as necesario Entender las necesidades de la entidad usuaria Entidad usuaria necesita detalles sobre los procesos o sistemas? SOC 1 control del proceso de los informes financierosi SOC2 abrangencia de controles de otros procesos afuera losreportes financieros Entidad usuaria necesita solo un sumario de los controles, un sello de acreditacion para sus clientes? SOC 3 no as restrito a auditoria

25 Controles de subcontratos Como reportar cuando hay subservicios? Es común en la cadena de suministro, la entidad prestadora de servicios tener subcontratos Método Carve out excluye los controles de la organización prestadora del subservicio Método Inclusivo incluye los controles de la organización subcontratada

26 Escopo Exemplo de Report Carve out Method Examinamos la descripcion de la Organizacion acion de Servicios XYZ de los sistemas de procesamiento de las transacciones de la entidad usuaria, en el periodo de [fecha] a [fecha] y la adequacion del diseño y efetividade de la operacion de los controles para alcanzar los objetivos de control relacionados en esta descripcion La Organización de Servicios XYZ utiliza una organizacion prestadora de servicios de procesamiento para todas las aplicaciones computadorizadas. A descripcion en las paginas bb cc incluyen solamente los controles y objetivos de control relacionados de la..

27 Ejemplo de Report Carve out Method La Organización de Servicios XYZ utiliza una organizacion prestadora de servicios de processamiento para todas las aplicaciones computadorizadas. A descripcion en las paginas bbcc incluyen solamente los controles y objetivos de control relacionados de la Organizacion i XYZ y exclui los objetivos de control y controles relacionados de la organizacion de procesamiento

28 Escopo Ejemplo de Report Inclusive Method Revisamos la descripción, de las Organizaciones de Servicios XYZ y de Subservicios ABC, de los sistemas de procesamiento de las transacciones de la entidad usuaria, en el periodo de _/_/_ a _/_/_ y la adequacion del diseño y efetividade de la operacion de los controles de las Organizaciones de Servicio XYZ y de Subservicio ABC, para La Organización de SubServicios ABC as una organizacion independiente de servicios a cual provee procesamiento de datos a la Organizacion de Servicio XYZ. Las descripción de los servícios de la Organizacion de Servicios XYZ inclui la descripcion del sistema de la Organizacion de Subservicio ABC utilizada por XYZ para proceso de transaciones de sus entidad usuarias, asi como los objetivos de control y controls relevantes da Organizacion de Subservicio ABC.

29 Ejemplo de Report Inclusive Method La Organización de SubServicios ABC es una organizacion independiente de servicios que provee procesamiento de datos a la Organizacion de Servicio XYZ. La descripción de los servicios de la Organización de Servicios XYZ inclui la descripcion dl del sistema it de la Organizacion i de Subservicio i ABC utilizada por XYZ para proceso de transaciones de sus entidad usuarias, asi como los objetivos de control y controls relevantes da Organizacion de Subservicio ABC.

30 El auditor de TI en la entidad usuária Aspectos importantes para el auditor de TI en la entidad usuaria Hacer referencia a los reportes em auditorias internas y por outro lado, mantener documentaciones que suporte al auditor de los informes ISAE 3402 El ITAF como um framework para el auditor de TI

31 IT Assurance Framework (ITAF)

32 IT Assurance Framework (ITAF) Por que es importante un framework comun para la auditoria de TI? La TI es pervasive, soluciones con base en TI sustitui de manera crescente los chequeos y aprovaciones gerenciales manuales Así, la necesidad de prover los accionistas y reguladores con informaciones acerca de la efetividad de los controles internos automatizados tanbien si torna más y más importante

33 IT Assurance Framework (ITAF) Whom? A quien se aplica el ITAF? When? Cuando ITAF debe ser utilizado? Where? Donde deben db ser utilizados los estandares de ISACA y guias relacionados?

34 A quien se aplica el ITAF? ITAF se aplica a auditores y profesionales que actuan en prover assurance de los componentes de sistemas, aplicaciones y infraestrutura de TI Los estandardes y guidelines son diseñados para prover beneficios a una audiencia más amplia, no solo los auditores, tanbien a los usuarios de la auditoria y de los reportes

35 Cuando ITAF debe ser utilizado? Aplicación de un framework es un pre requisito para los trabajos de assurance Aqui se aplican las auditorias que van a servir como base para reportes de las auditorias bajo el ISAE3402/SSAE16, auditorias de compliance Estándardes (mandatorios) )y guias de tecnicas y herramientas para apoyar la ejacucion del trabajo de assurance

36 Donde deben ser utilizados los estandares y guidelines dl? ITAF es aplicable a toda auditoria formal Auditorias i con foco en IT Auditorias de TI para apoyar a la auditoria operacional o financiera ITAF no se aplica a consultorias o advisory, donde no hay la necesidade de un reporte formal

37 Tipos de Reportes com base en las necesidades de uso

38 ITAF Los estándards el la pratica Section 3000 IT Assurance Guidelines: Putting the Standards Into Practice Cada session de los guidelines tienen el foco en uno de los siguientes Questiones y procesos de TI que el auditor de TI tiene que compreender y considerar en la determinacion del planeamiento, escopo, ejecucion y informes de las auditorias Las questiones Y processos de auditoria, procedimientos, metodologias y abordajes que el auditor de TI debe considerar cuando conduzir las atividades id d de auditoria i o assurance

39 Los estándards el la pratica Section 3000 IT Assurance Guidelines: Putting the Standards Into Practice Section 3000 IT Assurance Guidelines: Putting the Standards Into Practice Section 3100 IT Assurance Guidelines: Overview and Use Section 3000 trata de los guidelines en las areas 3200 Enterprise Topics 3400 IT Management Processes 3600 IT Audit and Assurance Processes 3800 ITAudit and Assurance Management

40

41 IT Assurance Framework (ITAF) El framework ITAF contiene los siguientes estándares y guidelines para la auditoria i de TI General Standards Performance Standards Reporting Standards Guidelines Tools and techniques

42 Reporting Standards Reporting standards describen Tipos de Reportes Formas de comunicación La información a ser comunicada y a quien Los estándares de auditoria pueden ser complementados por estos estándares de reporte de controles de TI

43 Consideraciones finales Los estándares fornecen un benchmarking para la auditoria internacional con varios servicios terceros distribuidos en países diversos, esto es de gran importancia Compañías que no están bajo las regulaciones internacionales, pueden si aplicar estos estándares como una practica para estar preparado para un crecimiento futuro Es un diferencial a las compañías de servicios, mostrar a sus clientes que tiene un sello de confiabilidad

44

45 Ozores Consultoria Carmen Ozores, CISA, CRISC Presidente ISACA São Paulo Chapter, Brasil

46 Referencias AICPA Information AICPA, Trust Services Principles, AICPA, GenerallyAccepted Privacy Principles, wwwaicpa AICPA s Information Technology Interest Area (aicpa.org/infotech) About SAS 70 www. sas70.com ISACA Journal Vol 2, 2011 Understanding d d the New Soc Reports, Tommie W. Singleton, Ph.D., CISA, CGEIT, CITP,CMA, CPA ISACA White Paper: New Service Auditor Standard: A User Entity Perspective, Tommie W. Singleton, ITAF : A Professional Practices Framework for ITAssurance ISACA ITAF : A Professional Practices Framework for IT Assurance, ISACA download available for ISACA members at

47 Institutos de Auditores en America Latina y Caribe Argentina Bolivia Brazil Chile Colombia Costa Rica Mexico Nicaragua p// p / Panama Paraguay Peru pe/ Philippines Uruguay Bahamas