El cambio del SAS 70 al nuevo estndar SSAE 16 y ISAE3402

Carmen Ozores, CISA, CRISCCarmenOzores,CISA,CRISC

Presidente,ISACASoPauloChapter,Brasil

Ozores ConsultoriaOzores Consultoria

San Juan, Puerto RicoSanJuan,PuertoRicoOctubre2011

ObjetivoObjetivo

AgendaAgenda HistricodelSAS70 AICPASSAE16 quehaydenuevo? El estndar Internacional ISAE3402ElestndarInternacionalISAE3402 Lostiposdeinformes,conformelanecesidaddela entidad usuaria: SOC1 SOC2 SOC3laentidadusuaria:SOC1,SOC2,SOC3

ReportesTipoIyTipoII Perspectivadelauditordelaentidadusuaria ElFrameworkITAF(ITAssuranceFramework)

HistoricodelSAS70hastaelISAE3402ySSAE16

La necesidad de auditoria de prestadores de LanecesidaddeauditoriadeprestadoresdeserviciosB fi i d l SSAE16/ISAE3402 BeneficiosdelosreportesSSAE16/ISAE3402enestecontexto

ReportesSAS70,TipoIyTipoII AICPASSAE16 quehaydenuevo?q y ElestndarInternacionalISAE3402

SAS70 Histrico AICPASAS70hace18aos

SASNo.70,April1992 ServiceOrganizations

SASNo.94,May2001 TheEffectofInformationTechnologyontheAuditor'sConsiderationofInternalControlinaFinancialStatementAuditAudit

SOX,Junio2002 Informesdeauditoriasegundoelestndard SAS70 como parte de revisiones bajo la Ley SOXestndardSAS70comopartederevisionesbajolaLeySOX

April2010,SSAENo.16 ReportingonControlsataServiceOrganization

Source: ISACAWhite Paper New Service Auditor Standard:Source:ISACAWhitePaper,New Service Auditor Standard: A User Entity Perspective

Elcontexto Objetivoesobtenerevidenciadeloscontrolesinternos en la organizacin prestadora deinternosenlaorganizacinprestadoradeserviciosasociadosalosinformesfinancieros

d d d l d d l d d Necesidaddelauditordelaentidadusuariatenergarantasuficientedelacalidaddelos

l bcontrolessobrecuentas,transaccionesyinformes

SAS70 Definiciones ServiceEntity laentidadprestadoradeservicios User Entity la entidad tomadora de los serviciosUserEntity laentidadtomadoradelosservicios AuditordelaServiceEntity elauditorindependendiente (CPA)que emite los reportesindependendiente(CPA)queemitelosreportes

AuditordelaUserEntity elauditorindependientequerevisaloscontrolesdelaentidadeusuariaq

ControlesRelevantesparaelprocessodereportesfinanceiros

ControlesdeTIquesuportanlosprocesoscriticosdenegocio

SSAE16yISAE3402

Quehacambiado?

ISAE3402 nuevosestandardsdelIAASBdefinenunbenchmarkingglobalparareportedeasseguraciondeloscontrolesdelasorganizacionesdeservicios

SSAE16 AICPA,elcorrespondienteestndarenUSA

ISAE3402

120PasesmiembrosdeIFACEj en Amrica Latina: Brasil Argentina Mexico Ej.enAmricaLatina:Brasil,Argentina,Mexico,Colombiayotrosms

Los reportes deben ser emitidos bajo el LosreportesdebenseremitidosbajoelISAE3402,dondenohayanormaslocales

E B il l CFC iti NBC TO 3402 j li EnBrasilelCFCemitinormaNBCTO3402,enjulio2011,segnelmodelodelISAE3402

USA AICPA SSAE 16 USA AICPASSAE16 SigueelmodeloISAE3402

AlgunasNormasNacionales

Pas NormaUSA SSAE16

Brasil NBC TO 402Aprobada en 27/07.2011 Norma local consistente con ISAE 3402

Chile NAGA AU324NAGA 56, Seccin 324

Al i PS951Alemania PS951

Australia ASAE 3402

India AAS 24India AAS 24UK ICAEW AAF 02/07 and AAF 01/06

NormasNacionales Brasil NBCTO3402 Norma aprovada pela Resoluo n 1 354 do CFCNormaaprovadapelaResoluon1.354doCFC(ConselhoFederaldeContabilidade)

Assegurao de Controles em Organizao PrestadoraAsseguraodeControlesemOrganizaoPrestadoradeServios

Emvigordesde20/07/2011g / /

Elaborada de acordo com ISAE 3402ElaboradadeacordocomISAE3402

EstndarinternacionalISAE3402ISAE3402

Principales CambiosPrincipalesCambios

El nuevo estndar tiene la caracterstica deElnuevoestndartienelacaractersticadeacreditacin(attestation)

Que esto significa? Queestosignifica? Elauditordebeexigirunadeclaracinde

bilid d d l i d l id dresponsabilidaddelagerenciadelaentidaddeservicio

Principales Cambios Paraquelagerenciapuedaasumirla

PrincipalesCambios

responsabilidad,elReportecontiene(reporteTipoII)( p p ) Unadescripcinquerepresentedemanerafidedignalossistemasdecontrol

Unaafirmacindequeloscontrolestienenundiseoadecuado

Unaafirmacindequeloscontrolesseanefectivosduranteelperiodoauditado

PrincipalesCambios Uncriterioadecuadoparadescribirlossistemasdecontrol y su implementacin debe contener:controlysuimplementacindebecontener: Lostiposdeserviciosprestadosyclasesdetransacciones Losprocedimientos,seaautomatizadosomanualesp , Losregistrosrelacionadosylainformacindesuporte,manualesoelectrnicos

Losobjetivosdecontrolyactividadesdecontrolparaestosobjetivos

Risk assessment controles de monitoreo y otros procesosRiskassessment,controlesdemonitoreoyotrosprocesosdelambientedecontrol

PrincipalesCambios

ElperiododelaauditoriaOpinionesdelauditorylaafirmacindelagerenciadebeseextenderatodoelperodog pdelreporte(delosinformesfinancieros)

En contrario al anterior, donde las opinionesEncontrarioalanterior,dondelasopinionesacercadeldiseodelcontrolerabaseelultimo da del periodoultimodadelperiodo

PrincipalesCambios Comoutilizareltrabajoejecutadoporlaauditoriainternadelaorganizacindegservicio Las sesiones del reporte con los testes deLassesionesdelreporteconlostestesdecontrolesyresultadosdebeincluirladescripcin de procedimientos del auditordescripcindeprocedimientosdelauditorinternoLos procedimientos del auditor con Losprocedimientosdelauditorconrespectoaestetrabajodelaauditoriainternainterna

Enqueaspectoselnuevoestndari l l ?esigualalSAS70?

Los dos tipos de reporte Tipo I y Tipo IILosdostiposdereporteTipoIyTipoII ReporteTipoII mnimo6meses Reportes limitados al uso por la auditoria no debeReporteslimitadosalusoporlaauditoria,nodebeserutilizadoparaotrasfinalidades,porej.clientesopotencialesinversionistas.p

LostestesyresultadosdelosauditoresdebenestardocumentadosenreporteTipoII

Tamaodeamuestrasreveladoscuandoseidentificadesvosdeloscontroles

PerspectivadelAuditordelaentidadusuaria

Elauditordelaentidadusuariadebe9Evaluarsilosobjetivosdecontrolestncompletos9 siatiendenaunrangoampliodelaentidadusuaria9Analizarcrticamentelasconsideracionesdecontroldeusuariosespecificadasenelreporte9Analizarcrticamentelostestesejecutadosporelauditordelaentidadprestadoradeservicios9Tenerenconsideracinlosresultadosdelostestes

SSAE16yISAE3402yTiposdeReportes

L t SOC (S i O i ti C t l) i LosreportesSOC(ServiceOrganizationControl)sirvenparaayudarlaorganizacionprestadoradeserviciosaobtener la confiabilidad de los procesos de entrega deobtenerlaconfiabilidaddelosprocesosdeentregadeserviciosyloscontrolspormediodeumreporteemitidoporunauditorindependiente.

ElStandardISAE3402define3tiposdereportesp p SOC1,SOC2,SOC3

ServiceOrganizationControl(SOC)SOC 1SOC 1SMSM ReportsReportsSOC1SOC1SMSM ReportsReports Controlesrelevantesalos

controlesinternosdelaentidadusuariaparalaemisiondelosreportesfinanceiros

SOC 2SOC 2SMSM ReportsReportsSOC2SOC2SMSM ReportsReportsControlesdelaEntidadedeServiciosrelevantesSeguridad,Disponibilidad,IntegridaddelosProcessos,ConfidencialidadyPrivacidadPrivacidad

SOC3SOC3SMSM ReportsReportsTrustServicesReportforServiceO i iOrganizations.

Service Organization Control (SOC)

Controlesinternosparalosreportesfinancieros? ReportReportSOCSOC1 esmsapropriadopp p p

Hayintersprincipalencontrolesoperacionalesycompliance, como los relacionados a seguridad,compliance,comolosrelacionadosaseguridad,disponibilidad,integridad,confidencialidadoprivacidad? SOC2SOC2 ooSOC3SOC3 ,conformeelnveldedetallerequerido

DecidircualreportasnecesarioEntender las necesidades de la entidad usuaria

Entidadusuarianecesitadetallessobrelos

Entenderlasnecesidadesdelaentidadusuaria

procesososistemas? SOC1 controldelprocesodelosinformesfi ifinancieros

SOC2 abrangenciadecontrolesdeotrosprocesosafuera los reportes financierosafueralosreportesfinancieros

Entidadusuarianecesitasolounsumariodeloscontroles, un sello de acreditacion para suscontroles,un sello deacreditacionparasusclientes? SOC3 noasrestritoaauditoria

Controlesdesubcontratos

Comoreportarcuandohaysubservicios?p y Escomnenlacadenadesuministro,laentidad prestadora de servicios tenerentidadprestadoradeserviciostenersubcontratos

Mtodo Carve out excluye los controles de MtodoCarveout excluyeloscontrolesdelaorganizacinprestadoradelsubservicio d l l l l d l MtodoInclusivo incluyeloscontrolesdela

organizacinsubcontratada

ExemplodeReportCarveoutMethod

Escopo E aminamos la descripcion de la Organi acion de ExaminamosladescripciondelaOrganizaciondeServiciosXYZdelossistemasdeprocesamientodelas transacciones de la entidad usuaria en el periodolastransaccionesdelaentidadusuaria,enelperiodode[fecha]a[fecha] ylaadequaciondeldiseoyefetividadedelaoperaciondeloscontrolesparaalcanzarlosobjetivosdecontrolrelacionadosenestadescripcion

LaOrganizacindeServiciosXYZutilizaunaorganizacionprestadoradeserviciosdeprocesamientoparatodaslasaplicacionescomputadorizadas.Adescripcionenlaspaginasbbccincluyensolamente los controles y objetivos de control relacionados de lasolamenteloscontrolesyobjetivosdecontrolrelacionadosdela..

EjemplodeReportCarveoutMethod

La Organizacin de Servicios XYZ utiliza unaLaOrganizacindeServiciosXYZutilizaunaorganizacionprestadoradeserviciosdeprocessamientoparatodaslasaplicacionescomputadorizadas.Adescripcionenlaspaginasbbccincluyensolamenteloscontrolesyobjetivosde

t l l i d d l O i i XYZ l icontrolrelacionadosdelaOrganizacionXYZyexcluilosobjetivosdecontrolycontrolesrelacionadosdela organizacion de procesamientolaorganizaciondeprocesamiento

EjemplodeReportInclusiveMethod

Escopo Revisamosladescripcin,delasOrganizacionesdeServicios

XYZydeSubserviciosABC,delossistemasdeprocesamiento de las transacciones de la entidad usuaria, enprocesamientodelastransaccionesdelaentidadusuaria,enelperiodode_/_/_a_/_/_ylaadequaciondeldiseoyefetividadedelaoperaciondeloscontrolesdelasOrganizaciones de Servicio XYZ y de Subservicio ABC paraOrganizacionesdeServicioXYZydeSubservicioABC,para

LaOrganizacindeSubServiciosABCasunaorganizacionindependientedeserviciosacualproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.Las descripcin de los servcios de la Organizacion de Servicios XYZ inclui laLasdescripcindelosservciosdelaOrganizaciondeServiciosXYZincluiladescripciondelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZparaprocesodetransacionesdesusentidadusuarias,asicomolosobjetivosdecontrolycontrolsrelevantesdaOrganizaciondeSubservicioABC.

EjemplodeReportInclusiveMethod

La Organizacin de SubServicios ABC es unaLaOrganizacindeSubServiciosABCesunaorganizacionindependientedeserviciosqueproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.LadescripcindelosserviciosdelaOrganizacindeServiciosXYZincluiladescripciond l i t d l O i i d S b i i ABCdelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZparaprocesodetransacionesdesus entidad usuarias asi como los objetivos desusentidadusuarias,asicomolosobjetivosdecontrolycontrolsrelevantesdaOrganizaciondeSubservicioABC.

El auditor de TI en la entidad usuriaElauditordeTIenlaentidadusuria

Aspectos importantes para el auditor de TIAspectosimportantesparaelauditordeTIenlaentidadusuariaHacer referencia a los reportes emHacerreferenciaalosreportesemauditoriasinternasyporoutrolado,mantener documentaciones que suporte almantenerdocumentacionesquesuportealauditordelosinformesISAE3402El ITAF f k l di ElITAFcomoumframeworkparaelauditordeTI

IT Assurance Framework (ITAF)ITAssuranceFramework(ITAF)

ITAssuranceFramework(ITAF) PorqueesimportanteunframeworkcomunparalaauditoriadeTI?p

LaTIespervasive,solucionesconbaseenTIsustitui de manera crescente los chequeos ysustituidemaneracrescenteloschequeosyaprovacionesgerencialesmanuales

As la necesidad de prover los accionistas y As,lanecesidaddeproverlosaccionistasyreguladoresconinformacionesacercadelaefetividad de los controles internosefetividaddeloscontrolesinternosautomatizadostanbiensitornamsymsimportanteimportante

ITAssuranceFramework(ITAF)

Whom? A quien se aplica el ITAF?Whom?AquienseaplicaelITAF? When?CuandoITAFdebeserutilizado?

h ? d d b ili d l Where?DondedebenserutilizadoslosestandaresdeISACAyguiasrelacionados?

A quien se aplica el ITAF?AquienseaplicaelITAF? ITAFseaplicaaauditoresyprofesionalesque

d lactuanenproverassurancedeloscomponentesdesistemas,aplicacionesyi f d TIinfraestruturadeTI

Losestandardesyguidelinessondiseadosparaproverbeneficiosaunaaudienciamsamplia,nosololosauditores,tanbienalosusuariosdelaauditoriaydelosreportes

CuandoITAFdebeserutilizado? Aplicacindeunframeworkesunprerequisito para los trabajos de assurancerequisitoparalostrabajosdeassurance Aquiseaplicanlasauditoriasquevanaservircomobaseparareportesdelasauditoriasbajoelp p jISAE3402/SSAE16,auditoriasdecompliance

Estndardes(mandatorios)yguiasdetecnicasy( ) y g yherramientasparaapoyarlaejacuciondeltrabajodeassurance

Dondedebenserutilizadoslosd d lestandaresyguidelines?

ITAF es aplicable a toda auditoria formalITAFesaplicableatodaauditoriaformal

di i f AuditoriasconfocoenIT AuditoriasdeTIparaapoyaralaauditoriaoperacionalofinanciera

ITAFnoseaplicaaconsultoriasoadvisory,dondenohaylanecesidadedeunreporteformal

TiposdeReportescombaseenlasnecesidadesdeusop p

ITAF LosestndardsellapraticaSection3000ITAssuranceGuidelines:Puttingg

theStandardsIntoPractice

Cada session de los guidelines tienen el foco en uno de Cadasessiondelosguidelinestienenelfocoenunodelossiguientes Questiones y procesos de TI que el auditor de TIQuestionesyprocesosdeTIqueelauditordeTItienequecompreenderyconsiderarenladeterminaciondelplaneamiento,escopo,ejecucionyinformesdelasauditorias

LasquestionesYprocessosdeauditoria,procedimientos,metodologiasyabordajesqueelauditordeTIdebeconsiderarcuandoconduzirlasti id d d dit iatividadesdeauditoriaoassurance

LosestndardsellapraticaSection3000ITAssuranceGuidelines:Puttingg

theStandardsIntoPractice

Section3000ITAssuranceGuidelines:PuttingtheStandardsI P iIntoPractice

Section3100ITAssuranceGuidelines:OverviewandUse Section 3000 trata de los guidelines en las areas Section3000tratadelosguidelinesenlasareas

3200EnterpriseTopics3400 IT Management Processes 3400ITManagementProcesses

3600ITAuditandAssuranceProcesses3800 IT Audit and Assurance Management 3800ITAuditandAssuranceManagement

IT Assurance Framework (ITAF)ITAssuranceFramework(ITAF) ElframeworkITAFcontienelossiguientes

d id li l di i d TIestndaresyguidelinesparalaauditoriadeTIGeneralStandardsPerformanceStandardsReporting StandardsReportingStandardsGuidelinesT l d h i Toolsandtechniques

ReportingStandards Reportingstandardsdescriben

Ti d R tTiposdeReportesFormasdecomunicacinLainformacinasercomunicadayaquienquien

Losestndaresdeauditoriapuedenserl d d dcomplementadosporestosestndaresde

reportedecontrolesdeTI

Consideracionesfinales Losestndaresfornecenunbenchmarkingparalaauditoriainternacional convariosserviciostercerosdistribuidosenpasesdiversos,estoesdegranimportancia

Compaasquenoestnbajolasregulacionesinternacionales,puedensiaplicarestosestndarescomo una practica para estar preparado para uncomounapracticaparaestarpreparadoparauncrecimientofuturo Es un diferencial a las compaas de serviciosEsundiferencialalascompaasdeservicios,mostrarasusclientesquetieneunsellodeconfiabilidad

Carmen Ozores CISA CRISCCarmenOzores,CISA,CRISCPresidente

ISACASoPauloChapter,Brasil

carmen.ozores@isaca.org.br+551196877081

Ozores ConsultoriaOzores Consultoria

Referencias AICPAInformation

AICPA,TrustServicesPrinciples,www.aicpa.org/trustservices AICPA Generally Accepted Privacy Principles www aicpa org/privacyAICPA,GenerallyAcceptedPrivacyPrinciples,www.aicpa.org/privacy AICPAsInformationTechnologyInterestArea(aicpa.org/infotech)

AboutSAS70 www.sas70.coml l d d h ISACAJournalVol2,2011 UnderstandingtheNewSocReports,

TommieW.Singleton,Ph.D.,CISA,CGEIT,CITP,CMA,CPA

ISACAWhitePaper:NewServiceAuditorStandard:AUserEntityPerspective,TommieW.Singleton,www.isaca.org/research

ITAF: A Professional Practices Framework for IT Assurance ISACA ITAF:AProfessionalPracticesFrameworkforITAssurance,ISACAdownloadavailableforISACAmembersatwww.isaca.org

InstitutosdeAuditoresenAmericaLatinayCaribey

Argentinahttp://www.facpce.org.ar Bolivia http://www.auditorescontadoresbolivia.org/

B il htt // f b Brazil http://www.cfc.org.br Chile http://www.colegiodecontadores.cl/ Colombia http://www.incp.org.co CostaRica http://www.ccpa.or.cr Mexico http://www.imcp.org.mx Nicaragua http://www.ccpn.org.ni/g p // p g / Panama http://www.colegiocpapanama.org Paraguay http://ccpy.org.py/ Peru http://www jdccpp pe/ Peru http://www.jdccpp.pe/ Philippines http://www.picpa.com.ph Uruguay http://www.ccea.com.uy Bahamas http://www.bica.bs/