Controles en las Organizaciones de Servicio Actualización de SAS70 a ISAE3402 / SSAE 16

Transcripción

1 Controles en las Organizaciones de Servicio Actualización de SAS70 a ISAE3402 / SSAE de Septiembre de 2011

2 Introducción Presentación General Presentación de Facilitadores

3 Presentación General Palabras de Bienvenida

4 ISAE 3402 Controles en una Empresa de Servicios Durante años, el SAS 70 (Statement on Auditing Standards N 70) y sus antecesores han sido la norma de los Estados Unidos para presentar información acerca de los controles de las organizaciones de servicio. En la era posterior a la Ley Sarbanes-Oxley, el SAS 70 ha evolucionado a una norma global. El marco esencial para el auditor de servicio se basará en ISAE 3402 (Assurance Reports on Controls at Service Organization) / SSAE 16 (Statement on Standards for Attestation Engagements), (o como trabajo de atestiguación bajo AT 101).

5 Presentación Facilitadores

6 Exponen Lucas Adrián Gómez Blandón Pablo Antonio Ortiz Zúñiga Cristian Maldonado Urrutia Andrés Sarmiento Adaros

7 Fundamentos de ISAE3402 Historia Norma SAS70 y su Alcance Diferencias y Similitudes entre SAS 70 y ISAE 3402/SSAE 16 Actualización de Norma Internacional

8 Historia del SAS70 y su Alcance Statement on Auditing Standards (SAS) #70 o Norma de Auditoria #70. Su origen se remonta al año 1992 Emitida por el AICPA (American Institute of Certified Public Accountants). Sugerida para las empresas de servicio que deben cumplir con la Ley Sarbanes Oxley Regula la revisión del control interno de la organizaciones de servicios. Se enfoca a riesgos relacionados la integridad, exactitud, y validez de la información que impacta los estados financieros de sus clientes. El informe consiste en una opinión independiente El 15 junio de 2011 la Norma SAS70 cambia a ISAE 3402 / SSAE16. Origen en Chile NAGA # 56 desde el año 2006 hasta el año 2009 Sección AU 324 de la NAGA (N 62) desde el año 2009 hasta el presente. Aplicable a Empresas de Servicio (Apoyo al giro Bancario, Apoyo a AFPs, Agentes de Valores, etc)

9 Informe I II III IV Secciones Descripción Responsable Informe del auditor independiente de la organización de servicio Información provista por la organización de servicio Información provista por el auditor Otra información provista por la organización de servicio (opcional) La opinión de los auditores. Describe aspectos relevantes del ambiente de control de la empresa de servicios. Tales como procedimientos, objetivos de control, controles y consideraciones de control. Se detallan los Objetivos de Control, los controles, las pruebas de eficacia operativa y el resultado de las pruebas. Otra información como: planes de remediación, planes de continuidad de negocios, proyectos, etc. Auditor Organización de Servicio Auditor Organización de Servicio

10 Historia del SAS70 y su Alcance Históricamente Actualmente ISAE 3402 Internacional SSAE16 ASAE 3402 CSAE 3416 AAF xx/11 EE.UU. Australia Canadá RU AAS24 India HKCPA 860 HK/China Otros

11 Uso Internacional de SOC NORMA País Estado Comentarios SSAE16 Estados Unidos Aprobado Requerida para informes emitidos con término de período posterior a Junio 15, 2011 ASAE 3402 Australia Aprobado Requerida para informes emitidos con inicio de período anterior a Julio 1, 2011 NBC 402 Brasil En Desarrollo Norma local actualmente en desarrollo para ser consistente con ISAE 3402 PS 951 Alemania En Desarrollo Norma local actualmente en desarrollo. Se espera sea adoptada dentro de 1 ó 2 años AAS 24 India Aprobado TBD Japón En Desarrollo Se espera emisión de borrador para el verano de 2011 AAF xx/11 RU En Desarrollo Se espera que sea emitida en 2011 y exigida para 2012 NAGA AU324 Chile En Desarrollo Norma local actualmente en desarrollo para ser consistente con ISAE 3402, se espera se ajuste en Diciembre de 2011

12 Transición a la ISAE 3402/SSAE16 Resumen de similitudes con SAS 70: Se espera que el esfuerzo de trabajo subyacente sea prácticamente el mismo Dos tipos de informes: Tipo I o Tipo II Los informes Tipo II deben cubrir un mínimo de 6 meses Incluirán información sobre los mismos 3 elementos: La descripción es razonablemente completa Diseño e implementación Efectividad operativa Restricción de uso permanece igual Pruebas de los auditores del servicio incluidas en el informe Las dimensiones de las muestras sólo se revelan cuando se detectan excepciones

13 Transición a la ISAE 3402/SSAE16 Resumen de cambios claves con SAS 70: El nuevo estándar ISAE 3402, el cual se basa en la SSAE 16, es una norma de análisis y evaluación (assurance), no de auditoría La administración de la empresa de servicios (y la empresa de subservicios) deberá emitir una aseveración, que será incluida en el informe En un informe Tipo II, las tres opiniones serán por un período mínimo de 6 meses. Inclusive Si se define un proveedor de servicios bajo el método Inclusive, se aplican todos los requerimientos ya indicados Si existe un área Auditoría Interna, se debe efectuar una revisión relevante

14 Informes de Control de Empresas de Servicios (SOC) Empresa de Servicios Servicios Prestados Alcance de un Informe SOC Servicios Externalizados Empresa Usuaria

15 Informes de Control de Empresas de Servicios (SOC) El AICPA ha destacado 3 tipos de informes SOC. Cada uno de ellos está diseñado para ayudar a las empresas de servicios a satisfacer necesidades específicas del usuario: Informe SOC1 Informe de Controles en una Empresa de Servicios que son relevantes para el Control Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16) Informe SOC2 Informe de Controles en una Empresa de Servicios que son Relevantes para la Seguridad, Continuidad, Procesamiento, Integridad, Confidencialidad o Privacidad (AT101) (ISAE 3000) Informe SOC3 Informe de Servicios de Confianza para Empresas de Servicios

16 Service Organization Control (SOC) Reports Enfoque SOC1 SOC2 SOC3 Controles probablemente relevantes para los informes financieros de la entidad usuaria Seguridad, Continuidad, Integridad de Procesamiento, Confidencialidad y/o Privacidad Seguridad, Continuidad, Integridad de Procesamiento, Confidencialidad y/o Privacidad Tipos de procesos y sistemas Limitado a procesos y sistemas relevantes para el informe financiero Puede ser aplicado a cualquier proceso o sistema Puede ser aplicado a cualquier proceso o sistema Criterios Diseñado para atender las necesidades de auditoría de estados financieros Diseñado para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas Diseñado para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas Público Objetivo Empresa del usuario y sus auditores Clientes y socios comerciales Clientes y socios comerciales y otras partes interesadas Uso / Distribución Restringido Puede ser restringido Generalmente no restringido

17 Seguridad Continuidad Integridad de procesamiento Confidencialidad Privacidad En qué se focaliza in informe SOC? SOC2 / SOC3 SOC1 Monitoreo Información y Comunicación Actividades de Control Evaluación de Riesgos Ambiente de Control

18 Fundamentos de ISAE3402 SOC 1 SOC 2 SOC 3

19 SOC1 Términos Claves Empresa de Servicios Una empresa, o división de una empresa, que presta servicios a entidades usuarias que pueden ser relevantes para los ICOFR (controles internos sobre información financiera) de la entidad usuaria. Controles en la Empresa de Servicios Las políticas y procedimientos en una empresa de servicios que pueden ser relevantes para los ICOFR de la entidad usuaria Diseñados, implementados y documentados por la empresa de servicios para proporcionar aseguramiento razonable en relación al logro de los objetivos relevantes para los informes estándar de auditoría Sistema de la Empresa de Servicios Políticas y procedimientos diseñados, implementados y documentados por la administración de la empresa de servicios para proporcionar a la entidad usuaria los servicios cubiertos por los informes estándar de auditoria Identifica los servicios cubiertos, el período correspondiente, los objetivos de control especificados incluyendo la parte que los especifica y los controles asociados [SSAE 16 párr 7, ISAE 3402 párr 9]

20 SOC1 Los requerimientos y el material de aplicación de ISAE 3402 / SSAE 16 se basan en la premisa de que la administración de la empresa de servicios entregará al auditor una aseveración escrita que se incluye o adjunta a la descripción que la administración hace sobre su sistema Se requiere que el auditor de servicios informe directamente sobre la materia a tratar Si la administración no proporciona aseveración escrita, el auditor de servicios no debería ignorar el requerimiento de obtener una aseveración ejecutando un contrato de auditor de servicios según AT 101 La no entrega de la aseveración escrita por parte de la administración representa una limitación en el alcance y ocasiona que el auditor de servicios renuncie al contrato. Si la ley o las regulaciones impiden que el auditor renuncie, deberíamos abstenernos de emitir una opinión [SSAE 16 párr 4 & 10] [ISAE 3402 párr 13(b) y A8]

21 Informes SOC1 En un informe Tipo 1, el auditor de servicios manifestará su opinión sobre: La equidad en la presentación de la descripción que la administración efectúa sobre el sistema de la empresa de servicios durante el período La idoneidad del diseño de los controles en un punto determinado del tiempo En un informe Tipo 2, el auditor de servicios manifestará su opinión sobre: La equidad en la presentación de la descripción que la administración efectúa sobre el sistema de la empresa de servicios durante el período La idoneidad del diseño de los controles durante el período La efectividad operativa de los controles durante el período

22 Informe SOC2 Genera un valor agregado incorporando el aseguramiento de los controles aplicados en la empresa de servicios relacionados con continuidad, seguridad, integridad, confidencialidad y privacidad de los sistemas utilizados para procesar la información. Unifica el proceso y genera indicadores comunes de cumplimiento. SOC2 tiene la opción de utilizar informes Tipo 1 (diseño) y Tipo 2 (efectividad), al igual que los SOC1. A diferencia de los SOC1, no están destinados a servir sólo como comunicación de auditor a auditor, pueden utilizarse como una señal de madurez del proceso, ventaja competitiva, etc. No obstante lo anterior, continúan siendo informes de uso restringido. Se ejecutan utilizando los Principios y Criterios de Confianza, pero con el nivel de formalidad de un informe ISAE 3402/SOC1. (dominio, principios, criterios, controles, pruebas y resultados)

23 Principios de Servicios de Confianza de la AICPA / CICA Dominio Continuidad Seguridad Integridad de Procesamiento Confidencialidad Privacidad Principio El sistema está disponible para su uso y operación según lo acordado o comprometido. El sistema está protegido contra accesos no autorizados (tanto físicos como lógicos). El procesamiento del sistema es exacto, oportuno y está completo y autorizado. La información definida como confidencial está protegida según lo acordado o comprometido. La información personal es recopilada, utilizada, retenida y revelada de acuerdo con los contratos estipulados en la notificación de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por la AICPA/CICA

24 Ejemplo : Continuidad de Negocio A1 Criterio Controles Procedimiento de Prueba Principio: La entidad ha definido y comunicado objetivos de desempeño, políticas y estándares para la disponibilidad de los sistemas. A1.1 Los requerimientos de disponibilidad del sistema, los objetivos, políticas y estándares se encuentran identificados y documentados. Existencia de procedimientos documentados para los sistemas, de acuerdo con los requerimientos de disponibilidad de los usuarios. Los requerimientos de usuarios están documentados en acuerdos de nivel de servicio (SLA) u otros documentos. Obtener y revisar una copia de los requerimientos de disponibilidad de los sistemas, políticas y estándares. Determinar si los documentos están completos y actualizados. Incluir una copia de los documentos en los papeles de trabajo. Obtener entendimiento de los procedimientos aplicados para identificar y documentar los requerimientos de disponibilidad de los sistemas. Determinar si los procedimientos incluyen a todos los usuarios autorizados y que estos los requerimientos están adecuadamente descritos. Basado en la información antes indicada, revisar los acuerdos de niveles de servicio u otros documentos relacionados para determinar si la disponibilidad de los requerimientos está adecuadamente descrita.

25 Principios de Servicios de Confianza de la AICPA / CICA Dominio Continuidad Seguridad Integridad de Procesamiento Confidencialidad Privacidad Principio El sistema está disponible para su uso y operación según lo acordado o comprometido. El sistema está protegido contra accesos no autorizados (tanto físicos como lógicos). El procesamiento del sistema es exacto, oportuno y está completo y autorizado. La información definida como confidencial está protegida según lo acordado o comprometido. La información personal es recopilada, utilizada, retenida y revelada de acuerdo con los contratos estipulados en la notificación de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por la AICPA/CICA

26 Ejemplo : Seguridad de la Información A1 Criterio Controles Procedimiento de Prueba Principio: La entidad ha definido y comunicado los objetivos de desempeño, las políticas y normas para la seguridad del sistema. A1.1 Los objetivos documentados del sistema de seguridad, políticas y normas han sido comunicados a los usuarios autorizados. Los objetivos del sistema de seguridad, políticas, normas y se comunican a todo el personal autorizado de la entidad. Existe un programa de sensibilización de seguridad el cual comunica la política de seguridad para cada usuario. Los empleados firman un acuerdo en el momento de la contratación con objeto de reconocer que se adhiere a la política de seguridad de la entidad. La entidad revelará sus prácticas de privacidad de la información, incluyendo los tipos específicos y fuentes de información que se recoge, el uso de esa información, y los posibles terceros que distribuirán dicha información. Obtener y revisar el objetivo del sistema de seguridad, políticas y normas. Indagar con el personal clave para determinar si los objetivos de seguridad, políticas y normas se comunican a todo el personal de la entidad autorizada. Revisión de la documentación correspondiente que acrediten la comunicación y difusión(intranet, memorandos, archivo personal, etc) Tomar una selección de registros de personal y comprobar si existe constancia escrita de usuario que indica que se va a adherir a la política de seguridad. Obtener copias de los materiales del programa de seguridad y sensibilización y comparar con los objetivos, políticas y normas documentadas. Indagar cómo la entidad revela sus prácticas de privacidad de la información, recolección, uso y posible distribución de información por parte de terceros

27 Informes SOC3 Los informes SOC3 son informes de uso general y se pueden distribuir libremente o publicar en un sitio web como sello SysTrust para la Empresas de Servicios. Los informes se preparan utilizando los Principios y Criterios de los Servicios de Confianza

28 Revisión de Conocimientos sobre Informe SOC El informe es utilizado por los clientes de la empresa de servicio y sus auditores para realizar una auditoría o auditoría integral a los estados financieros de sus clientes. El cliente necesita que el informe esté generalmente disponible (distribución no restringida) El informe será utilizado por los clientes o accionistas de la empresa de servicios para adquirir seguridad y depositar confianza en los sistemas no financieros de una empresa de servicios. El informe no incluirá pruebas detalladas realizadas por KPMG. El informe es utilizado por los clientes de la empresa de servicios como parte de su cumplimiento de la Ley Sarbanes-Oxley u otra ley similar. El informe es utilizado por la empresa de servicios para reportar el cumplimiento de las regulaciones. Informe SOC 1 Informe SOC 3 Informe SOC 2 ó 3 Informe SOC 3 Informe SOC 1 Informe SOC 2

29 Otras Consideraciones

30 Otras Consideraciones Relacionadas con ISAE 3402 Al emitir un informe en los Estados Unidos es necesario cumplir con la norma SSAE 16, pero se puede emitir como Informe ISAE 3402 o como SSAE 16. La Carta de Contrato se modifica para reflejar ambas normas El período debe cubrir un tiempo de informe mínimo de seis meses. Entre las circunstancias que podrían necesitar un período más corto se encuentran: Cuando los controles sólo se pueden chequear mediante observación El sistema está en producción por menos de seis meses Cambios significativos en el entorno; no es práctico esperar 6 meses o emitir un informe que cubra el sistema antes y después de los cambios Consideramos la solicitud del cliente para considerar un período más corto consultando con el SLRMP al ser consultados por: Informe sobre un período que excede el plazo recomendado para el período de informe, y/o Trabajo en terreno realizado con posterioridad al término del período Memorandum que documenta la solicitud del cliente y la razón para considerar un período más corto La sección del informe correspondiente al auditor de servicios debe describir la razón para considerar un período más corto.

31 Contratos de Diagnóstico SOC En las empresas de servicios que recién ingresan al proceso SOC, se debe realizar una Revisión Diagnóstico El propósito del Diagnóstico es identificar las debilidades del control que la administración debería considerar corregir antes que comience el contrato SOC Según nuestra experiencia, las compañías que no cuentan con un Diagnóstico pueden presentar temas y recibir una opinión calificada El costo de un Diagnóstico variará dependiendo de las dimensiones del entorno, pero generalmente equivale a un 50-60% del costo de un contrato SOC. NOTA DE INDEPENDENCIA: La revisión se limita a proporcionar observaciones y recomendaciones y no incluye el diseño o la implementación de controles. La revisión de diagnósticos son contratos de asesoría, mientras que los contratos SOC se rigen por las normas de testificación. Por lo tanto, las cartas de contrato para revisiones de diagnóstico no se deben combinar con las cartas de contrato SOC. Sin embargo, las propuestas pueden incluir ambas. (Usted de todas maneras necesitará cartas de contrato separadas).

32 Aseveración de la Administración Signatario No existe requerimiento que indique que la aseveración de la administración debe ir firmada, pero se recomienda La aseveración de la administración puede ser firmada a nombre de un individuo (Juan Pérez, CFO) o a nombre de la compañía (Empresa de Servicios XYZ) Las estructuras de administración y dirección varían según la entidad, y la identificación de la(s) persona(s) apropiada(s) para firmar la aseveración requiere de criterio

33 Aseveración de la Administración Ejemplo: Aseveración de la Administración de la Organización de Servicio para un informe del Tipo II Aseveración Organización de Servicio XYZ Hemos preparado la descripción de la Organización de Servicio XYZ sobre [el tipo o el nombre del sistema] para las entidades usuarias [del servicio de] y sus auditores, durante el período desde [fecha] hasta [fecha], que tienen un conocimiento suficiente para considerar, junto con otros información, incluyendo información sobre los controles realizados por las entidades de usuarias del sistema y ellos mismos, al evaluar los riesgos de errores materiales de las entidades financieras del usuario declaradas. Confirmamos, en base a nuestros conocimientos y creencias. a. La descripción que se presenta sobre al [el tipo o el nombre del sistema] se puesto a disposición del usuario y las entidades del sistema durante el período desde [fecha] hasta [fecha] para el procesamiento de sus operaciones [o la identificación de la función realizada por el sistema]. Los criterios que hemos utilizado en la realización de esta afirmación se presentan a continuación. i. Se presenta el funcionamiento del sistema a disposición de las entidades de usuarias del sistema, se ha diseñado e implementado para procesar las transacciones relevantes, incluyendo: (1) las clases de transacciones procesadas. (2) los procedimientos, tanto dentro de los sistemas automatizados y manuales, por el cual los las transacciones son iniciadas, autorizadas, registradas, procesadas, corregidas como necesario, y se transfiere a los informes presentados a las entidades de usuarios de la del sistema. (3) los registros contables, información complementaria, y las cuentas específicas que se utilizan para iniciar, autorizar, registrar, procesar y declarar las operaciones; esto incluye la corrección de la información incorrecta y cómo es la información transferido a los informes presentados a las entidades de usuarios del sistema. (4) cómo el sistema de captura y las direcciones de los acontecimientos significativos y las condiciones, distintos de las transacciones. (5) el proceso de preparación utilizado (6) Los objetivos específicos de control y controles diseñados para alcanzar dichos los objetivos. (7) otros aspectos de nuestro entorno de control, proceso de evaluación de riesgos, sistemas de información y la comunicación (incluyendo los negocios relacionados procesos), las actividades de control y vigilancia de los controles que son relevantes para procesamiento y reporte de operaciones de las entidades de usuarios del sistema.

34 Aseveración de la Administración Ejemplo: Aseveración de la Administración de la Organización de Servicio para un informe del Tipo II ii. no omitimos o distorsionamos la información relevante para el alcance del [tipo o el nombre del sistema], al tiempo que reconocemos que la descripción fue preparada para cumplir con las necesidades comunes de una amplia gama de entidades de usuarias del sistema y de los auditores independientes de las entidades de usuarias, y no puede, por tanto, incluye todos los aspectos del tipo [o nombre del sistema] de que cada entidad de usuarios individuales del sistema y su auditor puede consideran importantes en su entorno particular. b. La descripción incluye los detalles relevantes de los cambios al sistema de la organización de servicio de la descripción durante el período cubierto. c. los controles relacionados con los objetivos de control establecidos en la descripción fueron adecuadamente diseñados y operaron con eficacia en todo el período desde [fecha] hasta [fecha] para alcanzar dichos objetivos de control. Los criterios que hemos utilizado para efectuar esta afirmación son los siguientes: i. los riesgos que amenazan el logro de los objetivos de control establecidos en el descripción han sido identificados por la organización de servicio; ii. iii. Los controles identificados en la descripción que, si se opera como se ha descrito, proporcionan seguridad razonable de que esos riesgos no impedirán que los objetivos de control, como se indica en la descripción, puedan hacerse una realidad, y los controles han sido aplicadas uniformemente según el diseño, incluyendo ya sea manual se aplicaron los controles de las personas que tienen las competencias adecuadas y autoridad.

35 Material- Carpetas ISAE 3402, Assurance Reports on Controls at Service Organization SSAE16, Statement on Standars fot Attestation Engagements Documento: Información acerca de los controles en las Organizaciones de Servicio Brochure: Auditoria de Empresas de Servicio KPMG

36 Preguntas o Comentarios?

37 Gracias

38 2011 KPMG LLP, sociedad de responsabilidad limitada de Delaware y firma miembro estadounidense de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative ( KPMG International ), una entidad suiza. Todos los derechos reservados. Impreso en los Estados Unidos. SÓLO PARA USO INTERNACIONAL. La información contenida en esta presentación y sus anexos son de naturaleza general y no está dirigido a ninguna circunstancia en particular de cualquier individuo o empresa. Aunque hacemos el mejor esfuerzo para proveer información oportuna y exacta, no puede haber garantía que tal información es exacta a la fecha o que continuará siendo exacta en el futuro. Nadie debe actuar sobre esta información sin la debida asesoría profesional luego de un examen exhaustivo de la situación en particular.