Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Controles en las Organizaciones de Servicio

Anuncio 
Controles en las
Organizaciones de
Servicio
Actualización de
SAS70 a ISAE3402 /
SSAE 16
14 de Septiembre de 2011
Introducción
Presentación General
Presentación de Facilitadores
Presentación General
Palabras de Bienvenida
ISAE 3402 – Controles en una Empresa de Servicios
• Durante años, el SAS 70 (Statement on Auditing Standards N° 70) y sus
antecesores han sido la norma de los Estados Unidos para presentar información
acerca de los controles de las organizaciones de servicio.
• En la era posterior a la Ley Sarbanes-Oxley, el SAS 70 ha evolucionado a una
norma global.
• El marco esencial para el auditor de servicio se basará en ISAE 3402 (Assurance
Reports on Controls at Service Organization) / SSAE 16 (Statement on Standards
for Attestation Engagements), (o como trabajo de atestiguación bajo AT 101).
Presentación Facilitadores
Exponen
Lucas Adrián Gómez Blandón
Pablo Antonio Ortiz Zúñiga
Cristian Maldonado Urrutia
Andrés Sarmiento Adaros
Fundamentos de
ISAE3402
Historia Norma SAS70 y su Alcance
Diferencias y Similitudes entre SAS 70
y ISAE 3402/SSAE 16
Actualización de Norma Internacional
Historia del SAS70 y su Alcance
Statement on Auditing Standards (SAS) #70 o Norma de Auditoria #70.
•
Su origen se remonta al año 1992
•
Emitida por el AICPA (American Institute of Certified Public Accountants).
•
Sugerida para las empresas de servicio que deben cumplir con la Ley Sarbanes Oxley
•
Regula la revisión del control interno de la organizaciones de servicios.
•
Se enfoca a riesgos relacionados la integridad, exactitud, y validez de la información que impacta los
estados financieros de sus clientes.
•
El informe consiste en una opinión independiente
•
El 15 junio de 2011 la Norma SAS70 cambia a ISAE 3402 / SSAE16.
Origen en Chile
•
NAGA # 56 desde el año 2006 hasta el año 2009
•
Sección AU 324 de la NAGA (N°62) desde el año 2009 hasta el presente.
•
Aplicable a Empresas de Servicio (Apoyo al giro Bancario, Apoyo a AFPs, Agentes de Valores, etc)
Informe
Secciones
Descripción
Responsable
Auditor
I
Informe del auditor
La opinión de los auditores.
independiente de la
organización de servicio
II
Información provista
por la organización de
servicio
Organización de Servicio
Describe aspectos relevantes del
ambiente de control de la empresa
de servicios. Tales como
procedimientos, objetivos de
control, controles y consideraciones
de control.
III
Información provista
por el auditor
Se detallan los Objetivos de
Control, los controles, las pruebas
de eficacia operativa y el resultado
de las pruebas.
IV Otra información
Otra información como: planes de
provista por la
remediación, planes de continuidad
organización de servicio de negocios, proyectos, etc.
(opcional)
Auditor
Organización de Servicio
Historia del SAS70 y su Alcance
Históricamente…
Actualmente…
ISAE 3402
Internacional
SSAE16
ASAE 3402
CSAE 3416
AAF xx/11
EE.UU.
Australia
Canadá
RU
AAS24
HKCPA 860
India
HK/China
Otros
Uso Internacional de SOC
NORMA
País
Estado
Comentarios
SSAE16
Estados Unidos
Aprobado
Requerida para informes emitidos con
término de período posterior a Junio 15,
2011
ASAE 3402
Australia
Aprobado
Requerida para informes emitidos con
inicio de período anterior a Julio 1, 2011
NBC 402
Brasil
En Desarrollo
Norma local actualmente en desarrollo
para ser consistente con ISAE 3402
PS 951
Alemania
En Desarrollo
Norma local actualmente en desarrollo.
Se espera sea adoptada dentro de 1 ó 2
años
AAS 24
India
Aprobado
TBD
Japón
En Desarrollo
Se espera emisión de borrador para el
verano de 2011
AAF xx/11
RU
En Desarrollo
Se espera que sea emitida en 2011 y
exigida para 2012
NAGA AU324
Chile
En Desarrollo
Norma local actualmente en desarrollo
para ser consistente con ISAE 3402 , se
espera se ajuste en Diciembre de 2011
Transición a la ISAE 3402/SSAE16

Resumen de similitudes con SAS 70:
 Se espera que el esfuerzo de trabajo subyacente sea prácticamente el mismo
 Dos tipos de informes: Tipo I o Tipo II
 Los informes Tipo II deben cubrir un mínimo de 6 meses
 Incluirán información sobre los mismos 3 elementos:

La descripción es razonablemente completa

Diseño e implementación

Efectividad operativa
 Restricción de uso – permanece igual
 Pruebas de los auditores del servicio incluidas en el informe
 Las dimensiones de las muestras sólo se revelan cuando se detectan excepciones
Transición a la ISAE 3402/SSAE16

Resumen de cambios claves con SAS 70:
 El nuevo estándar ISAE 3402, el cual se basa en la SSAE 16, es una norma de análisis y
evaluación (assurance), no de auditoría
 La administración de la empresa de servicios (y la empresa de subservicios) deberá emitir
una aseveración, que será incluida en el informe
 En un informe Tipo II, las tres opiniones serán por un período mínimo de 6 meses.
Inclusive
 Si se define un proveedor de servicios bajo el método Inclusive, se aplican todos los
requerimientos ya indicados
 Si existe un área Auditoría Interna, se debe efectuar una revisión relevante
Informes de Control de Empresas de Servicios (SOC)
Empresa de
Servicios
Servicios
Prestados
Alcance de un
Informe SOC
Servicios
Externalizados
Empresa Usuaria
Informes de Control de Empresas de Servicios (SOC)
El AICPA ha destacado 3 tipos de informes SOC. Cada uno de ellos está diseñado para
ayudar a las empresas de servicios a satisfacer necesidades específicas del usuario:

Informe SOC1
 Informe de Controles en una Empresa de Servicios que son relevantes para el Control
Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16)

Informe SOC2
 Informe de Controles en una Empresa de Servicios que son Relevantes para la Seguridad,
Continuidad, Procesamiento, Integridad, Confidencialidad o Privacidad (AT101) (ISAE
3000)

Informe SOC3
 Informe de Servicios de Confianza para Empresas de Servicios
Service Organization Control (SOC) Reports
SOC1
SOC2
SOC3
Enfoque
Controles
probablemente
relevantes para los
informes financieros de
la entidad usuaria
Seguridad, Continuidad,
Integridad de
Procesamiento,
Confidencialidad y/o
Privacidad
Seguridad, Continuidad,
Integridad de
Procesamiento,
Confidencialidad y/o
Privacidad
Tipos de procesos y
sistemas
Limitado a procesos y
sistemas relevantes
para el informe
financiero
Puede ser aplicado a
cualquier proceso o
sistema
Puede ser aplicado a
cualquier proceso o
sistema
Criterios
Diseñado para atender
las necesidades de
auditoría de estados
financieros
Diseñado para
proporcionar
aseguramiento a los
clientes, socios
comerciales y otras
partes interesadas
Diseñado para
proporcionar
aseguramiento a los
clientes, socios
comerciales y otras
partes interesadas
Público Objetivo
Empresa del usuario y
sus auditores
Clientes y socios
comerciales
Clientes y socios
comerciales
y otras partes
interesadas
Uso / Distribución
Restringido
Puede ser restringido
Generalmente no
restringido
¿En qué se focaliza in informe SOC?
SOC2 / SOC3
Evaluación de
Riesgos
Ambiente de Control
Privacidad
Confidencialidad
Actividades de
Control
Seguridad
Información y Comunicación
Continuidad
Monitoreo
Integridad de procesamiento
SOC1
Fundamentos de
ISAE3402
SOC 1
SOC 2
SOC 3
SOC1 – Términos Claves
Empresa de Servicios
• Una empresa, o división de una empresa, que presta servicios a entidades
usuarias que pueden ser relevantes para los ICOFR (controles internos sobre
información financiera) de la entidad usuaria.
Controles en la Empresa de Servicios
• Las políticas y procedimientos en una empresa de servicios que pueden ser
relevantes para los ICOFR de la entidad usuaria
• Diseñados, implementados y documentados por la empresa de servicios para
proporcionar aseguramiento razonable en relación al logro de los objetivos
relevantes para los informes estándar de auditoría
Sistema de la Empresa de Servicios
• Políticas y procedimientos diseñados, implementados y documentados por la
administración de la empresa de servicios para proporcionar a la entidad usuaria
los servicios cubiertos por los informes estándar de auditoria
• Identifica los servicios cubiertos, el período correspondiente, los objetivos de
control especificados – incluyendo la parte que los especifica – y los controles
asociados
[SSAE 16 párr 7, ISAE 3402 párr 9]
SOC1

Los requerimientos y el material de aplicación de ISAE 3402 / SSAE 16 se basan
en la premisa de que la administración de la empresa de servicios entregará al
auditor una aseveración escrita que se incluye o adjunta a la descripción que la
administración hace sobre su sistema

Se requiere que el auditor de servicios informe directamente sobre la materia a
tratar

Si la administración no proporciona aseveración escrita, el auditor de servicios no
debería ignorar el requerimiento de obtener una aseveración ejecutando un
contrato de auditor de servicios según AT 101

La no entrega de la aseveración escrita por parte de la administración representa
una limitación en el alcance y ocasiona que el auditor de servicios renuncie al
contrato. Si la ley o las regulaciones impiden que el auditor renuncie, deberíamos
abstenernos de emitir una opinión
[SSAE 16 párr 4 & 10]
[ISAE 3402 párr 13(b) y A8]
Informes SOC1

En un informe Tipo 1, el auditor de servicios manifestará su opinión sobre:
 La equidad en la presentación de la descripción que la administración efectúa sobre el
sistema de la empresa de servicios durante el período
 La idoneidad del diseño de los controles en un punto determinado del tiempo

En un informe Tipo 2, el auditor de servicios manifestará su opinión sobre:
 La equidad en la presentación de la descripción que la administración efectúa sobre el
sistema de la empresa de servicios durante el período
 La idoneidad del diseño de los controles durante el período
 La efectividad operativa de los controles durante el período
Informe SOC2

Genera un valor agregado incorporando el aseguramiento de los controles
aplicados en la empresa de servicios relacionados con continuidad, seguridad,
integridad, confidencialidad y privacidad de los sistemas utilizados para procesar
la información.

Unifica el proceso y genera indicadores comunes de cumplimiento.

SOC2 tiene la opción de utilizar informes Tipo 1 (diseño) y Tipo 2 (efectividad),
al igual que los SOC1.

A diferencia de los SOC1, no están destinados a servir sólo como comunicación
de auditor a auditor, pueden utilizarse como una señal de madurez del proceso,
ventaja competitiva, etc. No obstante lo anterior, continúan siendo informes de
uso restringido.

Se ejecutan utilizando los “Principios y Criterios de Confianza”, pero con el nivel
de formalidad de un informe ISAE 3402/SOC1. (dominio, principios, criterios,
controles, pruebas y resultados)
Principios de Servicios de Confianza de la AICPA / CICA
Dominio
Principio
Continuidad
El sistema está disponible para su uso y operación según lo
acordado o comprometido.
Seguridad
El sistema está protegido contra accesos no autorizados (tanto
físicos como lógicos).
Integridad de
Procesamiento
El procesamiento del sistema es exacto, oportuno y está completo y
autorizado.
Confidencialidad
La información definida como confidencial está protegida según lo
acordado o comprometido.
Privacidad
La información personal es recopilada, utilizada, retenida y revelada
de acuerdo con los contratos estipulados en la notificación de
privacidad de la entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados emitidos por la
AICPA/CICA
Ejemplo : Continuidad de Negocio
Criterio
A1
A1.1
Controles
Procedimiento de Prueba
Principio: La entidad ha definido y comunicado objetivos de desempeño, políticas y estándares para la disponibilidad de los
sistemas.
Los requerimientos de disponibilidad del
sistema, los objetivos, políticas y
estándares se encuentran identificados y
documentados.
Existencia de procedimientos
documentados para los sistemas, de
acuerdo con los requerimientos de
disponibilidad de los usuarios.
Los requerimientos de usuarios están
documentados en acuerdos de nivel de
servicio (SLA) u otros documentos.
•Obtener y revisar una copia de los
requerimientos de disponibilidad de los
sistemas, políticas y estándares.
•Determinar si los documentos están
completos y actualizados.
•Incluir una copia de los documentos en
los papeles de trabajo.
•Obtener entendimiento de los
procedimientos aplicados para identificar
y documentar los requerimientos de
disponibilidad de los sistemas.
•Determinar si los procedimientos
incluyen a todos los usuarios autorizados
y que estos los requerimientos están
adecuadamente descritos.
•Basado en la información antes indicada,
revisar los acuerdos de niveles de
servicio u otros documentos relacionados
para determinar si la disponibilidad de los
requerimientos está adecuadamente
descrita.
Principios de Servicios de Confianza de la AICPA / CICA
Dominio
Principio
Continuidad
El sistema está disponible para su uso y operación según lo
acordado o comprometido.
Seguridad
El sistema está protegido contra accesos no autorizados (tanto
físicos como lógicos).
Integridad de
Procesamiento
El procesamiento del sistema es exacto, oportuno y está completo y
autorizado.
Confidencialidad
La información definida como confidencial está protegida según lo
acordado o comprometido.
Privacidad
La información personal es recopilada, utilizada, retenida y revelada
de acuerdo con los contratos estipulados en la notificación de
privacidad de la entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados emitidos por la
AICPA/CICA
Ejemplo : Seguridad de la Información
Criterio
A1
A1.1
Controles
Procedimiento de Prueba
Principio: La entidad ha definido y comunicado los objetivos de desempeño, las políticas y normas para la seguridad del
sistema.
Los objetivos documentados del sistema
de seguridad, políticas y normas han sido
comunicados a los usuarios autorizados.
Los objetivos del sistema de seguridad,
políticas, normas y se comunican a todo el
personal autorizado de la entidad.
Existe un programa de sensibilización de
seguridad el cual comunica la política de
seguridad para cada usuario.
Los empleados firman un acuerdo en el
momento de la contratación con objeto de
reconocer que se adhiere a la política de
seguridad de la entidad.
•Obtener y revisar el objetivo del sistema
de seguridad, políticas y normas .
•Indagar con el personal clave para
determinar si los objetivos de seguridad,
políticas y normas se comunican a todo el
personal de la entidad autorizada.
•Revisión de la documentación
correspondiente que acrediten la
comunicación y difusión(intranet,
memorandos, archivo personal, etc)
•Tomar una selección de registros de
personal y comprobar si existe constancia
La entidad revelará sus prácticas de
escrita de usuario que indica que se va a
privacidad de la información, incluyendo los
adherir a la política de seguridad.
tipos específicos y fuentes de información
que se recoge, el uso de esa información, y •Obtener copias de los materiales del
los posibles terceros que distribuirán dicha programa de seguridad y sensibilización y
información.
comparar con los objetivos, políticas y
normas documentadas.
•Indagar cómo la entidad revela sus
prácticas de privacidad de la información,
recolección, uso y posible distribución de
información por parte de terceros
Informes SOC3
Los informes SOC3 son informes de uso general y se pueden distribuir
libremente o publicar en un sitio web como sello SysTrust para la Empresas de
Servicios.
Los informes se preparan utilizando los Principios y Criterios de los Servicios de
Confianza
Revisión de Conocimientos sobre Informe SOC

El informe es utilizado por los clientes de la empresa de
servicio y sus auditores para realizar una auditoría o
auditoría integral a los estados financieros de sus clientes.

El cliente necesita que el informe esté generalmente
disponible (distribución no restringida)

El informe será utilizado por los clientes o accionistas de la
empresa de servicios para adquirir seguridad y depositar
confianza en los sistemas no financieros de una empresa
de servicios.
Informe SOC 1
Informe SOC 3
Informe SOC 2 ó 3

El informe no incluirá pruebas detalladas realizadas por
KPMG.
Informe SOC 3

El informe es utilizado por los clientes de la empresa de
servicios como parte de su cumplimiento de la Ley
Sarbanes-Oxley u otra ley similar.
Informe SOC 1

El informe es utilizado por la empresa de servicios para
reportar el cumplimiento de las regulaciones.
Informe SOC 2
Otras Consideraciones
Otras Consideraciones Relacionadas con ISAE 3402

Al emitir un informe en los Estados Unidos es necesario cumplir con la norma
SSAE 16, pero se puede emitir como Informe ISAE 3402 o como SSAE 16. La
Carta de Contrato se modifica para reflejar ambas normas

El período debe cubrir un tiempo de informe mínimo de seis meses.

Entre las circunstancias que podrían necesitar un período más corto se encuentran:
 Cuando los controles sólo se pueden chequear mediante observación
 El sistema está en producción por menos de seis meses
 Cambios significativos en el entorno; no es práctico esperar 6 meses o emitir un informe que cubra el
sistema antes y después de los cambios

Consideramos la solicitud del cliente para considerar un período más corto consultando con
el SLRMP al ser consultados por:
 Informe sobre un período que excede el plazo recomendado para el período de informe, y/o
 Trabajo en terreno realizado con posterioridad al término del período

Memorandum que documenta la solicitud del cliente y la razón para considerar un período
más corto

La sección del informe correspondiente al auditor de servicios debe describir la razón para
considerar un período más corto.
Contratos de Diagnóstico SOC

En las empresas de servicios que recién ingresan al proceso SOC, se debe
realizar una Revisión Diagnóstico

El propósito del Diagnóstico es identificar las debilidades del control que la
administración debería considerar corregir antes que comience el contrato SOC

Según nuestra experiencia, las compañías que no cuentan con un Diagnóstico
pueden presentar temas y recibir una opinión calificada

El costo de un Diagnóstico variará dependiendo de las dimensiones del entorno,
pero generalmente equivale a un 50-60% del costo de un contrato SOC.
NOTA DE INDEPENDENCIA: La revisión se limita a proporcionar observaciones y recomendaciones y no incluye el diseño o la
implementación de controles. La revisión de diagnósticos son contratos de asesoría, mientras que los contratos SOC se rigen por
las normas de testificación. Por lo tanto, las cartas de contrato para revisiones de diagnóstico no se deben combinar con las
cartas de contrato SOC. Sin embargo, las propuestas pueden incluir ambas. (Usted de todas maneras necesitará cartas de
contrato separadas).
Aseveración de la Administración – Signatario
No existe requerimiento que
indique que la aseveración de la
administración debe ir firmada,
pero se recomienda
La aseveración de la
administración puede ser
firmada a nombre de un
individuo (Juan Pérez, CFO) o a
nombre de la compañía
(Empresa de Servicios XYZ)
Las estructuras de
administración y dirección
varían según la entidad, y la
identificación de la(s)
persona(s) apropiada(s) para
firmar la aseveración requiere
de criterio
Aseveración de la Administración
Ejemplo: Aseveración de la Administración de la Organización de Servicio para un informe del Tipo II
Aseveración Organización de Servicio XYZ
Hemos preparado la descripción de la Organización de Servicio XYZ sobre [el tipo o el nombre del sistema] para las entidades usuarias [del servicio
de] y sus auditores, durante el período desde [fecha] hasta [fecha], que tienen un conocimiento suficiente para considerar, junto con otros información,
incluyendo información sobre los controles realizados por las entidades de usuarias del sistema y ellos mismos, al evaluar los riesgos de errores
materiales de las entidades financieras del usuario declaradas. Confirmamos, en base a nuestros conocimientos y creencias.
a. La descripción que se presenta sobre al [el tipo o el nombre del sistema] se puesto a disposición del usuario y las entidades del sistema durante el
período desde [fecha] hasta [fecha] para el procesamiento de sus operaciones [o la identificación de la función realizada por el sistema]. Los
criterios que hemos utilizado en la realización de esta afirmación se presentan a continuación.
i.
Se presenta el funcionamiento del sistema a disposición de las entidades de usuarias del sistema, se ha diseñado e implementado para procesar
las transacciones relevantes, incluyendo:
(1) las clases de transacciones procesadas.
(2) los procedimientos, tanto dentro de los sistemas automatizados y manuales, por el cual los las transacciones son iniciadas, autorizadas,
registradas, procesadas, corregidas como necesario, y se transfiere a los informes presentados a las entidades de usuarios de la
del sistema.
(3) los registros contables, información complementaria, y las cuentas específicas que se utilizan para iniciar, autorizar, registrar, procesar y declarar
las operaciones; esto incluye la corrección de la información incorrecta y cómo es la información transferido a los informes presentados a las
entidades de usuarios del sistema.
(4) cómo el sistema de captura y las direcciones de los acontecimientos significativos y las condiciones, distintos de las transacciones.
(5) el proceso de preparación utilizado
(6)
Los objetivos específicos de control y controles diseñados para alcanzar dichos los objetivos.
(7)
otros aspectos de nuestro entorno de control, proceso de evaluación de riesgos, sistemas de información y la comunicación (incluyendo los
negocios relacionados procesos), las actividades de control y vigilancia de los controles que son relevantes para procesamiento y reporte de
operaciones de las entidades de usuarios del sistema.
Aseveración de la Administración
Ejemplo: Aseveración de la Administración de la Organización de Servicio para un informe del Tipo II
ii. no omitimos o distorsionamos la información relevante para el alcance del [tipo o el nombre del sistema], al tiempo que reconocemos que la
descripción fue preparada para cumplir con las necesidades comunes de una amplia gama de entidades de usuarias del sistema y de los auditores
independientes de las entidades de usuarias, y no puede, por tanto, incluye todos los aspectos del tipo [o nombre del sistema] de que cada entidad de
usuarios individuales del sistema y su auditor puede consideran importantes en su entorno particular.
b. La descripción incluye los detalles relevantes de los cambios al sistema de la organización de servicio de la descripción durante el período cubierto.
c. los controles relacionados con los objetivos de control establecidos en la descripción fueron adecuadamente diseñados y operaron con eficacia en
todo el período desde [fecha] hasta [fecha] para alcanzar dichos objetivos de control. Los criterios que hemos utilizado para efectuar esta afirmación
son los siguientes:
i.
los riesgos que amenazan el logro de los objetivos de control establecidos en el descripción han sido identificados por la organización de servicio;
ii.
Los controles identificados en la descripción que, si se opera como se ha descrito, proporcionan seguridad razonable de que esos riesgos no
impedirán que los objetivos de control, como se indica en la descripción, puedan hacerse una realidad, y
iii.
los controles han sido aplicadas uniformemente según el diseño, incluyendo ya sea manual se aplicaron los controles de las personas que tienen
las competencias adecuadas y autoridad.
Material- Carpetas
• ISAE 3402, Assurance Reports on Controls at Service Organization
• SSAE16, Statement on Standars fot Attestation Engagements
• Documento: “Información acerca de los controles en las Organizaciones de
Servicio”
• Brochure: “Auditoria de Empresas de Servicio KPMG”
¿Preguntas o
Comentarios?
Gracias
© 2011 KPMG LLP, sociedad de responsabilidad limitada de Delaware y firma miembro
estadounidense de la red de firmas miembro independientes de KPMG afiliadas a KPMG
International Cooperative (“KPMG International”), una entidad suiza. Todos los derechos
reservados. Impreso en los Estados Unidos. SÓLO PARA USO INTERNACIONAL.
La información contenida en esta presentación y sus anexos son de naturaleza general y
no está dirigido a ninguna circunstancia en particular de cualquier individuo o empresa.
Aunque hacemos el mejor esfuerzo para proveer información oportuna y exacta, no puede
haber garantía que tal información es exacta a la fecha o que continuará siendo exacta en
el futuro. Nadie debe actuar sobre esta información sin la debida asesoría profesional luego
de un examen exhaustivo de la situación en particular.
Documentos relacionados
afiches de evnetos -mayo (2014).pptx
afiches de evnetos -mayo (2014).pptx
Cinco maneras de pensar
Cinco maneras de pensar
Contrapartida 1222
Contrapartida 1222
Actividad N° 1 (Conferencia sobre Códigos de Barra - 17 de agosto de 2015).docx
Actividad N° 1 (Conferencia sobre Códigos de Barra - 17 de agosto de 2015).docx
Educación a Distancia.pptx
Educación a Distancia.pptx
Justificante 2 de Bachillerato Humanidades y CCSS
Justificante 2 de Bachillerato Humanidades y CCSS
informe de informática 2014.docx
informe de informática 2014.docx
reporte de trabajos realizados
reporte de trabajos realizados
Descargar
Anuncio
Anuncio