ssae 16- isae2402
Post on 14-Sep-2015
72 Views
Preview:
DESCRIPTION
TRANSCRIPT
-
El cambio del SAS 70 al nuevo estndar SSAE 16 y ISAE3402
Carmen Ozores, CISA, CRISCCarmenOzores,CISA,CRISC
Presidente,ISACASoPauloChapter,Brasil
Ozores ConsultoriaOzores Consultoria
San Juan, Puerto RicoSanJuan,PuertoRicoOctubre2011
-
ObjetivoObjetivo
-
AgendaAgenda HistricodelSAS70 AICPASSAE16 quehaydenuevo? El estndar Internacional ISAE3402ElestndarInternacionalISAE3402 Lostiposdeinformes,conformelanecesidaddela entidad usuaria: SOC1 SOC2 SOC3laentidadusuaria:SOC1,SOC2,SOC3
ReportesTipoIyTipoII Perspectivadelauditordelaentidadusuaria ElFrameworkITAF(ITAssuranceFramework)
-
HistoricodelSAS70hastaelISAE3402ySSAE16
La necesidad de auditoria de prestadores de LanecesidaddeauditoriadeprestadoresdeserviciosB fi i d l SSAE16/ISAE3402 BeneficiosdelosreportesSSAE16/ISAE3402enestecontexto
ReportesSAS70,TipoIyTipoII AICPASSAE16 quehaydenuevo?q y ElestndarInternacionalISAE3402
-
SAS70 Histrico AICPASAS70hace18aos
SASNo.70,April1992 ServiceOrganizations
SASNo.94,May2001 TheEffectofInformationTechnologyontheAuditor'sConsiderationofInternalControlinaFinancialStatementAuditAudit
SOX,Junio2002 Informesdeauditoriasegundoelestndard SAS70 como parte de revisiones bajo la Ley SOXestndardSAS70comopartederevisionesbajolaLeySOX
April2010,SSAENo.16 ReportingonControlsataServiceOrganization
-
Source: ISACAWhite Paper New Service Auditor Standard:Source:ISACAWhitePaper,New Service Auditor Standard: A User Entity Perspective
-
Elcontexto Objetivoesobtenerevidenciadeloscontrolesinternos en la organizacin prestadora deinternosenlaorganizacinprestadoradeserviciosasociadosalosinformesfinancieros
d d d l d d l d d Necesidaddelauditordelaentidadusuariatenergarantasuficientedelacalidaddelos
l bcontrolessobrecuentas,transaccionesyinformes
-
SAS70 Definiciones ServiceEntity laentidadprestadoradeservicios User Entity la entidad tomadora de los serviciosUserEntity laentidadtomadoradelosservicios AuditordelaServiceEntity elauditorindependendiente (CPA)que emite los reportesindependendiente(CPA)queemitelosreportes
AuditordelaUserEntity elauditorindependientequerevisaloscontrolesdelaentidadeusuariaq
ControlesRelevantesparaelprocessodereportesfinanceiros
ControlesdeTIquesuportanlosprocesoscriticosdenegocio
-
SSAE16yISAE3402
Quehacambiado?
ISAE3402 nuevosestandardsdelIAASBdefinenunbenchmarkingglobalparareportedeasseguraciondeloscontrolesdelasorganizacionesdeservicios
SSAE16 AICPA,elcorrespondienteestndarenUSA
-
ISAE3402
120PasesmiembrosdeIFACEj en Amrica Latina: Brasil Argentina Mexico Ej.enAmricaLatina:Brasil,Argentina,Mexico,Colombiayotrosms
Los reportes deben ser emitidos bajo el LosreportesdebenseremitidosbajoelISAE3402,dondenohayanormaslocales
E B il l CFC iti NBC TO 3402 j li EnBrasilelCFCemitinormaNBCTO3402,enjulio2011,segnelmodelodelISAE3402
USA AICPA SSAE 16 USA AICPASSAE16 SigueelmodeloISAE3402
-
AlgunasNormasNacionales
Pas NormaUSA SSAE16
Brasil NBC TO 402Aprobada en 27/07.2011 Norma local consistente con ISAE 3402
Chile NAGA AU324NAGA 56, Seccin 324
Al i PS951Alemania PS951
Australia ASAE 3402
India AAS 24India AAS 24UK ICAEW AAF 02/07 and AAF 01/06
-
NormasNacionales Brasil NBCTO3402 Norma aprovada pela Resoluo n 1 354 do CFCNormaaprovadapelaResoluon1.354doCFC(ConselhoFederaldeContabilidade)
Assegurao de Controles em Organizao PrestadoraAsseguraodeControlesemOrganizaoPrestadoradeServios
Emvigordesde20/07/2011g / /
Elaborada de acordo com ISAE 3402ElaboradadeacordocomISAE3402
-
EstndarinternacionalISAE3402ISAE3402
-
Principales CambiosPrincipalesCambios
El nuevo estndar tiene la caracterstica deElnuevoestndartienelacaractersticadeacreditacin(attestation)
Que esto significa? Queestosignifica? Elauditordebeexigirunadeclaracinde
bilid d d l i d l id dresponsabilidaddelagerenciadelaentidaddeservicio
-
Principales Cambios Paraquelagerenciapuedaasumirla
PrincipalesCambios
responsabilidad,elReportecontiene(reporteTipoII)( p p ) Unadescripcinquerepresentedemanerafidedignalossistemasdecontrol
Unaafirmacindequeloscontrolestienenundiseoadecuado
Unaafirmacindequeloscontrolesseanefectivosduranteelperiodoauditado
-
PrincipalesCambios Uncriterioadecuadoparadescribirlossistemasdecontrol y su implementacin debe contener:controlysuimplementacindebecontener: Lostiposdeserviciosprestadosyclasesdetransacciones Losprocedimientos,seaautomatizadosomanualesp , Losregistrosrelacionadosylainformacindesuporte,manualesoelectrnicos
Losobjetivosdecontrolyactividadesdecontrolparaestosobjetivos
Risk assessment controles de monitoreo y otros procesosRiskassessment,controlesdemonitoreoyotrosprocesosdelambientedecontrol
-
PrincipalesCambios
ElperiododelaauditoriaOpinionesdelauditorylaafirmacindelagerenciadebeseextenderatodoelperodog pdelreporte(delosinformesfinancieros)
En contrario al anterior, donde las opinionesEncontrarioalanterior,dondelasopinionesacercadeldiseodelcontrolerabaseelultimo da del periodoultimodadelperiodo
-
PrincipalesCambios Comoutilizareltrabajoejecutadoporlaauditoriainternadelaorganizacindegservicio Las sesiones del reporte con los testes deLassesionesdelreporteconlostestesdecontrolesyresultadosdebeincluirladescripcin de procedimientos del auditordescripcindeprocedimientosdelauditorinternoLos procedimientos del auditor con Losprocedimientosdelauditorconrespectoaestetrabajodelaauditoriainternainterna
-
Enqueaspectoselnuevoestndari l l ?esigualalSAS70?
Los dos tipos de reporte Tipo I y Tipo IILosdostiposdereporteTipoIyTipoII ReporteTipoII mnimo6meses Reportes limitados al uso por la auditoria no debeReporteslimitadosalusoporlaauditoria,nodebeserutilizadoparaotrasfinalidades,porej.clientesopotencialesinversionistas.p
LostestesyresultadosdelosauditoresdebenestardocumentadosenreporteTipoII
Tamaodeamuestrasreveladoscuandoseidentificadesvosdeloscontroles
-
PerspectivadelAuditordelaentidadusuaria
Elauditordelaentidadusuariadebe9Evaluarsilosobjetivosdecontrolestncompletos9 siatiendenaunrangoampliodelaentidadusuaria9Analizarcrticamentelasconsideracionesdecontroldeusuariosespecificadasenelreporte9Analizarcrticamentelostestesejecutadosporelauditordelaentidadprestadoradeservicios9Tenerenconsideracinlosresultadosdelostestes
-
SSAE16yISAE3402yTiposdeReportes
L t SOC (S i O i ti C t l) i LosreportesSOC(ServiceOrganizationControl)sirvenparaayudarlaorganizacionprestadoradeserviciosaobtener la confiabilidad de los procesos de entrega deobtenerlaconfiabilidaddelosprocesosdeentregadeserviciosyloscontrolspormediodeumreporteemitidoporunauditorindependiente.
ElStandardISAE3402define3tiposdereportesp p SOC1,SOC2,SOC3
-
ServiceOrganizationControl(SOC)SOC 1SOC 1SMSM ReportsReportsSOC1SOC1SMSM ReportsReports Controlesrelevantesalos
controlesinternosdelaentidadusuariaparalaemisiondelosreportesfinanceiros
SOC 2SOC 2SMSM ReportsReportsSOC2SOC2SMSM ReportsReportsControlesdelaEntidadedeServiciosrelevantesSeguridad,Disponibilidad,IntegridaddelosProcessos,ConfidencialidadyPrivacidadPrivacidad
SOC3SOC3SMSM ReportsReportsTrustServicesReportforServiceO i iOrganizations.
-
Service Organization Control (SOC)
Controlesinternosparalosreportesfinancieros? ReportReportSOCSOC1 esmsapropriadopp p p
Hayintersprincipalencontrolesoperacionalesycompliance, como los relacionados a seguridad,compliance,comolosrelacionadosaseguridad,disponibilidad,integridad,confidencialidadoprivacidad? SOC2SOC2 ooSOC3SOC3 ,conformeelnveldedetallerequerido
-
DecidircualreportasnecesarioEntender las necesidades de la entidad usuaria
Entidadusuarianecesitadetallessobrelos
Entenderlasnecesidadesdelaentidadusuaria
procesososistemas? SOC1 controldelprocesodelosinformesfi ifinancieros
SOC2 abrangenciadecontrolesdeotrosprocesosafuera los reportes financierosafueralosreportesfinancieros
Entidadusuarianecesitasolounsumariodeloscontroles, un sello de acreditacion para suscontroles,un sello deacreditacionparasusclientes? SOC3 noasrestritoaauditoria
-
Controlesdesubcontratos
Comoreportarcuandohaysubservicios?p y Escomnenlacadenadesuministro,laentidad prestadora de servicios tenerentidadprestadoradeserviciostenersubcontratos
Mtodo Carve out excluye los controles de MtodoCarveout excluyeloscontrolesdelaorganizacinprestadoradelsubservicio d l l l l d l MtodoInclusivo incluyeloscontrolesdela
organizacinsubcontratada
-
ExemplodeReportCarveoutMethod
Escopo E aminamos la descripcion de la Organi acion de ExaminamosladescripciondelaOrganizaciondeServiciosXYZdelossistemasdeprocesamientodelas transacciones de la entidad usuaria en el periodolastransaccionesdelaentidadusuaria,enelperiodode[fecha]a[fecha] ylaadequaciondeldiseoyefetividadedelaoperaciondeloscontrolesparaalcanzarlosobjetivosdecontrolrelacionadosenestadescripcion
LaOrganizacindeServiciosXYZutilizaunaorganizacionprestadoradeserviciosdeprocesamientoparatodaslasaplicacionescomputadorizadas.Adescripcionenlaspaginasbbccincluyensolamente los controles y objetivos de control relacionados de lasolamenteloscontrolesyobjetivosdecontrolrelacionadosdela..
-
EjemplodeReportCarveoutMethod
La Organizacin de Servicios XYZ utiliza unaLaOrganizacindeServiciosXYZutilizaunaorganizacionprestadoradeserviciosdeprocessamientoparatodaslasaplicacionescomputadorizadas.Adescripcionenlaspaginasbbccincluyensolamenteloscontrolesyobjetivosde
t l l i d d l O i i XYZ l icontrolrelacionadosdelaOrganizacionXYZyexcluilosobjetivosdecontrolycontrolesrelacionadosdela organizacion de procesamientolaorganizaciondeprocesamiento
-
EjemplodeReportInclusiveMethod
Escopo Revisamosladescripcin,delasOrganizacionesdeServicios
XYZydeSubserviciosABC,delossistemasdeprocesamiento de las transacciones de la entidad usuaria, enprocesamientodelastransaccionesdelaentidadusuaria,enelperiodode_/_/_a_/_/_ylaadequaciondeldiseoyefetividadedelaoperaciondeloscontrolesdelasOrganizaciones de Servicio XYZ y de Subservicio ABC paraOrganizacionesdeServicioXYZydeSubservicioABC,para
LaOrganizacindeSubServiciosABCasunaorganizacionindependientedeserviciosacualproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.Las descripcin de los servcios de la Organizacion de Servicios XYZ inclui laLasdescripcindelosservciosdelaOrganizaciondeServiciosXYZincluiladescripciondelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZparaprocesodetransacionesdesusentidadusuarias,asicomolosobjetivosdecontrolycontrolsrelevantesdaOrganizaciondeSubservicioABC.
-
EjemplodeReportInclusiveMethod
La Organizacin de SubServicios ABC es unaLaOrganizacindeSubServiciosABCesunaorganizacionindependientedeserviciosqueproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.LadescripcindelosserviciosdelaOrganizacindeServiciosXYZincluiladescripciond l i t d l O i i d S b i i ABCdelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZparaprocesodetransacionesdesus entidad usuarias asi como los objetivos desusentidadusuarias,asicomolosobjetivosdecontrolycontrolsrelevantesdaOrganizaciondeSubservicioABC.
-
El auditor de TI en la entidad usuriaElauditordeTIenlaentidadusuria
Aspectos importantes para el auditor de TIAspectosimportantesparaelauditordeTIenlaentidadusuariaHacer referencia a los reportes emHacerreferenciaalosreportesemauditoriasinternasyporoutrolado,mantener documentaciones que suporte almantenerdocumentacionesquesuportealauditordelosinformesISAE3402El ITAF f k l di ElITAFcomoumframeworkparaelauditordeTI
-
IT Assurance Framework (ITAF)ITAssuranceFramework(ITAF)
-
ITAssuranceFramework(ITAF) PorqueesimportanteunframeworkcomunparalaauditoriadeTI?p
LaTIespervasive,solucionesconbaseenTIsustitui de manera crescente los chequeos ysustituidemaneracrescenteloschequeosyaprovacionesgerencialesmanuales
As la necesidad de prover los accionistas y As,lanecesidaddeproverlosaccionistasyreguladoresconinformacionesacercadelaefetividad de los controles internosefetividaddeloscontrolesinternosautomatizadostanbiensitornamsymsimportanteimportante
-
ITAssuranceFramework(ITAF)
Whom? A quien se aplica el ITAF?Whom?AquienseaplicaelITAF? When?CuandoITAFdebeserutilizado?
h ? d d b ili d l Where?DondedebenserutilizadoslosestandaresdeISACAyguiasrelacionados?
-
A quien se aplica el ITAF?AquienseaplicaelITAF? ITAFseaplicaaauditoresyprofesionalesque
d lactuanenproverassurancedeloscomponentesdesistemas,aplicacionesyi f d TIinfraestruturadeTI
Losestandardesyguidelinessondiseadosparaproverbeneficiosaunaaudienciamsamplia,nosololosauditores,tanbienalosusuariosdelaauditoriaydelosreportes
-
CuandoITAFdebeserutilizado? Aplicacindeunframeworkesunprerequisito para los trabajos de assurancerequisitoparalostrabajosdeassurance Aquiseaplicanlasauditoriasquevanaservircomobaseparareportesdelasauditoriasbajoelp p jISAE3402/SSAE16,auditoriasdecompliance
Estndardes(mandatorios)yguiasdetecnicasy( ) y g yherramientasparaapoyarlaejacuciondeltrabajodeassurance
-
Dondedebenserutilizadoslosd d lestandaresyguidelines?
ITAF es aplicable a toda auditoria formalITAFesaplicableatodaauditoriaformal
di i f AuditoriasconfocoenIT AuditoriasdeTIparaapoyaralaauditoriaoperacionalofinanciera
ITAFnoseaplicaaconsultoriasoadvisory,dondenohaylanecesidadedeunreporteformal
-
TiposdeReportescombaseenlasnecesidadesdeusop p
-
ITAF LosestndardsellapraticaSection3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice
Cada session de los guidelines tienen el foco en uno de Cadasessiondelosguidelinestienenelfocoenunodelossiguientes Questiones y procesos de TI que el auditor de TIQuestionesyprocesosdeTIqueelauditordeTItienequecompreenderyconsiderarenladeterminaciondelplaneamiento,escopo,ejecucionyinformesdelasauditorias
LasquestionesYprocessosdeauditoria,procedimientos,metodologiasyabordajesqueelauditordeTIdebeconsiderarcuandoconduzirlasti id d d dit iatividadesdeauditoriaoassurance
-
LosestndardsellapraticaSection3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice
Section3000ITAssuranceGuidelines:PuttingtheStandardsI P iIntoPractice
Section3100ITAssuranceGuidelines:OverviewandUse Section 3000 trata de los guidelines en las areas Section3000tratadelosguidelinesenlasareas
3200EnterpriseTopics3400 IT Management Processes 3400ITManagementProcesses
3600ITAuditandAssuranceProcesses3800 IT Audit and Assurance Management 3800ITAuditandAssuranceManagement
-
IT Assurance Framework (ITAF)ITAssuranceFramework(ITAF) ElframeworkITAFcontienelossiguientes
d id li l di i d TIestndaresyguidelinesparalaauditoriadeTIGeneralStandardsPerformanceStandardsReporting StandardsReportingStandardsGuidelinesT l d h i Toolsandtechniques
-
ReportingStandards Reportingstandardsdescriben
Ti d R tTiposdeReportesFormasdecomunicacinLainformacinasercomunicadayaquienquien
Losestndaresdeauditoriapuedenserl d d dcomplementadosporestosestndaresde
reportedecontrolesdeTI
-
Consideracionesfinales Losestndaresfornecenunbenchmarkingparalaauditoriainternacional convariosserviciostercerosdistribuidosenpasesdiversos,estoesdegranimportancia
Compaasquenoestnbajolasregulacionesinternacionales,puedensiaplicarestosestndarescomo una practica para estar preparado para uncomounapracticaparaestarpreparadoparauncrecimientofuturo Es un diferencial a las compaas de serviciosEsundiferencialalascompaasdeservicios,mostrarasusclientesquetieneunsellodeconfiabilidad
-
Carmen Ozores CISA CRISCCarmenOzores,CISA,CRISCPresidente
ISACASoPauloChapter,Brasil
carmen.ozores@isaca.org.br+551196877081
Ozores ConsultoriaOzores Consultoria
-
Referencias AICPAInformation
AICPA,TrustServicesPrinciples,www.aicpa.org/trustservices AICPA Generally Accepted Privacy Principles www aicpa org/privacyAICPA,GenerallyAcceptedPrivacyPrinciples,www.aicpa.org/privacy AICPAsInformationTechnologyInterestArea(aicpa.org/infotech)
AboutSAS70 www.sas70.coml l d d h ISACAJournalVol2,2011 UnderstandingtheNewSocReports,
TommieW.Singleton,Ph.D.,CISA,CGEIT,CITP,CMA,CPA
ISACAWhitePaper:NewServiceAuditorStandard:AUserEntityPerspective,TommieW.Singleton,www.isaca.org/research
ITAF: A Professional Practices Framework for IT Assurance ISACA ITAF:AProfessionalPracticesFrameworkforITAssurance,ISACAdownloadavailableforISACAmembersatwww.isaca.org
-
InstitutosdeAuditoresenAmericaLatinayCaribey
Argentinahttp://www.facpce.org.ar Bolivia http://www.auditorescontadoresbolivia.org/
B il htt // f b Brazil http://www.cfc.org.br Chile http://www.colegiodecontadores.cl/ Colombia http://www.incp.org.co CostaRica http://www.ccpa.or.cr Mexico http://www.imcp.org.mx Nicaragua http://www.ccpn.org.ni/g p // p g / Panama http://www.colegiocpapanama.org Paraguay http://ccpy.org.py/ Peru http://www jdccpp pe/ Peru http://www.jdccpp.pe/ Philippines http://www.picpa.com.ph Uruguay http://www.ccea.com.uy Bahamas http://www.bica.bs/
top related