Kpmg Sas70-Ssae16 Colombia
of 38
-
Upload
sussy-sanchez-angeles -
Category
Documents
-
view
222 -
download
1
Transcript of Kpmg Sas70-Ssae16 Colombia
Controles en las Organizaciones de Servicio Actualizacin de SAS70 a ISAE3402 / SSAE 1614 de Septiembre de 2011
IntroduccinPresentacin General
Presentacin de Facilitadores
Presentacin General
Palabras de Bienvenida
ISAE 3402 Controles en una Empresa de Servicios
Durante aos, el SAS 70 (Statement on Auditing Standards N 70) y sus antecesores han sido la norma de los Estados Unidos para presentar informacin acerca de los controles de las organizaciones de servicio. En la era posterior a la Ley Sarbanes-Oxley, el SAS 70 ha evolucionado a una norma global. El marco esencial para el auditor de servicio se basar en ISAE 3402 (Assurance Reports on Controls at Service Organization) / SSAE 16 (Statement on Standards for Attestation Engagements), (o como trabajo de atestiguacin bajo AT 101).
Presentacin Facilitadores
Exponen
Lucas Adrin Gmez Blandn
Pablo Antonio Ortiz Ziga
Cristian Maldonado Urrutia
Andrs Sarmiento Adaros
Fundamentos de ISAE3402
Historia Norma SAS70 y su Alcance
Diferencias y Similitudes entre SAS 70 y ISAE 3402/SSAE 16
Actualizacin de Norma Internacional
Historia del SAS70 y su Alcance
Statement on Auditing Standards (SAS) #70 o Norma de Auditoria #70. Su origen se remonta al ao 1992 Emitida por el AICPA (American Institute of Certified Public Accountants). Sugerida para las empresas de servicio que deben cumplir con la Ley Sarbanes Oxley Regula la revisin del control interno de la organizaciones de servicios. Se enfoca a riesgos relacionados la integridad, exactitud, y validez de la informacin que impacta los estados financieros de sus clientes. El informe consiste en una opinin independiente El 15 junio de 2011 la Norma SAS70 cambia a ISAE 3402 / SSAE16.
Origen en Chile NAGA # 56 desde el ao 2006 hasta el ao 2009 Seccin AU 324 de la NAGA (N62) desde el ao 2009 hasta el presente. Aplicable a Empresas de Servicio (Apoyo al giro Bancario, Apoyo a AFPs, Agentes de Valores, etc)
Informe
SeccionesI
Descripcin
ResponsableAuditor
Informe del auditor La opinin de los auditores. independiente de la organizacin de servicio Informacin provista por la organizacin de servicio
II
Organizacin de Servicio Describe aspectos relevantes del ambiente de control de la empresa de servicios. Tales como procedimientos, objetivos de control, controles y consideraciones de control.
III
Informacin provista por el auditor
Se detallan los Objetivos de Control, los controles, las pruebas de eficacia operativa y el resultado de las pruebas.
Auditor
IV Otra informacin Otra informacin como: planes de provista por la remediacin, planes de continuidad organizacin de servicio de negocios, proyectos, etc. (opcional)
Organizacin de Servicio
Historia del SAS70 y su Alcance
Histricamente
Actualmente
ISAE 3402 Internacional
SSAE16 EE.UU.
ASAE 3402 Australia
CSAE 3416 Canad
AAF xx/11 RU
AAS24 India
HKCPA 860 HK/China
Otros
Uso Internacional de SOC
NORMASSAE16
PasEstados Unidos
EstadoAprobado
ComentariosRequerida para informes emitidos con trmino de perodo posterior a Junio 15, 2011 Requerida para informes emitidos con inicio de perodo anterior a Julio 1, 2011 Norma local actualmente en desarrollo para ser consistente con ISAE 3402 Norma local actualmente en desarrollo. Se espera sea adoptada dentro de 1 2 aos
ASAE 3402 NBC 402 PS 951
Australia Brasil Alemania
Aprobado En Desarrollo En Desarrollo
AAS 24 TBD AAF xx/11 NAGA AU324
India Japn RU Chile
Aprobado En Desarrollo En Desarrollo En DesarrolloSe espera emisin de borrador para el verano de 2011 Se espera que sea emitida en 2011 y exigida para 2012 Norma local actualmente en desarrollo para ser consistente con ISAE 3402 , se espera se ajuste en Diciembre de 2011
Transicin a la ISAE 3402/SSAE16
Resumen de similitudes con SAS 70: Se espera que el esfuerzo de trabajo subyacente sea prcticamente el mismo Dos tipos de informes: Tipo I o Tipo II Los informes Tipo II deben cubrir un mnimo de 6 meses Incluirn informacin sobre los mismos 3 elementos:
La descripcin es razonablemente completa Diseo e implementacin Efectividad operativa
Restriccin de uso permanece igual Pruebas de los auditores del servicio incluidas en el informe Las dimensiones de las muestras slo se revelan cuando se detectan excepciones
Transicin a la ISAE 3402/SSAE16
Resumen de cambios claves con SAS 70: El nuevo estndar ISAE 3402, el cual se basa en la SSAE 16, es una norma de anlisis y
evaluacin (assurance), no de auditora La administracin de la empresa de servicios (y la empresa de subservicios) deber emitir
una aseveracin, que ser incluida en el informe En un informe Tipo II, las tres opiniones sern por un perodo mnimo de 6 meses.
Inclusive Si se define un proveedor de servicios bajo el mtodo Inclusive, se aplican todos los
requerimientos ya indicados Si existe un rea Auditora Interna, se debe efectuar una revisin relevante
Informes de Control de Empresas de Servicios (SOC)
Empresa de Servicios Servicios Prestados Alcance de un Informe SOC
Servicios Externalizados Empresa Usuaria
Informes de Control de Empresas de Servicios (SOC)
El AICPA ha destacado 3 tipos de informes SOC. Cada uno de ellos est diseado para ayudar a las empresas de servicios a satisfacer necesidades especficas del usuario:
Informe SOC1 Informe de Controles en una Empresa de Servicios que son relevantes para el Control
Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16)
Informe SOC2 Informe de Controles en una Empresa de Servicios que son Relevantes para la Seguridad,
Continuidad, Procesamiento, Integridad, Confidencialidad o Privacidad (AT101) (ISAE 3000)
Informe SOC3 Informe de Servicios de Confianza para Empresas de Servicios
Service Organization Control (SOC) Reports SOC1Enfoque Controles probablemente relevantes para los informes financieros de la entidad usuariaLimitado a procesos y sistemas relevantes para el informe financiero Diseado para atender las necesidades de auditora de estados financieros
SOC2Seguridad, Continuidad, Integridad de Procesamiento, Confidencialidad y/o PrivacidadPuede ser aplicado a cualquier proceso o sistema Diseado para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas Clientes y socios comerciales
SOC3Seguridad, Continuidad, Integridad de Procesamiento, Confidencialidad y/o PrivacidadPuede ser aplicado a cualquier proceso o sistema Diseado para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas Clientes y socios comerciales y otras partes interesadas Generalmente no restringido
Tipos de procesos y sistemas
Criterios
Pblico Objetivo
Empresa del usuario y sus auditores
Uso / Distribucin
Restringido
Puede ser restringido
En qu se focaliza in informe SOC?
SOC2 / SOC3 SOC1
Monitoreo
Integridad de procesamiento
Confidencialidad
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
Seguridad
Continuidad
Informacin y Comunicacin
Privacidad
Fundamentos de ISAE3402SOC 1
SOC 2
SOC 3
SOC1 Trminos Claves
Empresa de Servicios Una empresa, o divisin de una empresa, que presta servicios a entidades usuarias que pueden ser relevantes para los ICOFR (controles internos sobre informacin financiera) de la entidad usuaria.
Controles en la Empresa de Servicios Las polticas y procedimientos en una empresa de servicios que pueden ser relevantes para los ICOFR de la entidad usuaria Diseados, implementados y documentados por la empresa de servicios para proporcionar aseguramiento razonable en relacin al logro de los objetivos relevantes para los informes estndar de auditora
Sistema de la Empresa de Servicios Polticas y procedimientos diseados, implementados y documentados por la administracin de la empresa de servicios para proporcionar a la entidad usuaria los servicios cubiertos por los informes estndar de auditoria Identifica los servicios cubiertos, el perodo correspondiente, los objetivos de control especificados incluyendo la parte que los especifica y los controles asociados
[SSAE 16 prr 7, ISAE 3402 prr 9]
SOC1
Los requerimientos y el material de aplicacin de ISAE 3402 / SSAE 16 se basan en la premisa de que la administracin de la empresa de servicios entregar al auditor una aseveracin escrita que se incluye o adjunta a la descripcin que la administracin hace sobre su sistema Se requiere que el auditor de servicios informe directamente sobre la materia a tratar Si la administracin no proporciona aseveracin escrita, el auditor de servicios no debera ignorar el requerimiento de obtener una aseveracin ejecutando un contrato de auditor de servicios segn AT 101 La no entrega de la aseveracin escrita por parte de la administracin representa una limitacin en el alcance y ocasiona que el auditor de servicios renuncie al contrato. Si la ley o las regulaciones impiden que el auditor renuncie, deberamos abstenernos de emitir una opinin
[SSAE 16 prr 4 & 10] [ISAE 3402 prr 13(b) y A8]
Informes SOC1
En un informe Tipo 1, el auditor de servicios manifestar su opinin sobre: La equidad en la presentacin de la descripcin que la administracin efecta sobre el
sistema de la empresa de servicios durante el perodo La idoneidad del diseo de los controles en un punto determinado del tiempo
En un informe Tipo 2, el auditor de servicios manifestar su opinin sobre: La equidad en la presentacin de la descripcin que la administracin efecta sobre el
sistema de la empresa de servicios durante el perodo La idoneidad del diseo de los controles durante el perodo La efectividad operativa de los controles durante el perodo
Informe SOC2
Genera un valor agregado incorporando el aseguramiento de los controles aplicados en la empresa de servicios relacionados con continuidad, seguridad, integridad, confidencialidad y privacidad de los sistemas utilizados para procesar la informacin.Unifica el proceso y genera indicadores comunes de cumplimiento. SOC2 tiene la opcin de utilizar informes Tipo 1 (diseo) y Tipo 2 (efectividad), al igual que los SOC1.
A diferencia de los SOC1, no estn destinados a servir slo como comunicacin de auditor a auditor, pueden utilizarse como una seal de madurez del proceso, ventaja competitiva, etc. No obstante lo anterior, continan siendo informes de uso restringido.Se ejecutan utilizando los Principios y Criterios de Confianza, pero con el nivel de formalidad de un informe ISAE 3402/SOC1. (dominio, principios, criterios, controles, pruebas y resultados)
Principios de Servicios de Confianza de la AICPA / CICA
DominioContinuidad Seguridad Integridad de Procesamiento Confidencialidad
PrincipioEl sistema est disponible para su uso y operacin segn lo acordado o comprometido. El sistema est protegido contra accesos no autorizados (tanto fsicos como lgicos). El procesamiento del sistema es exacto, oportuno y est completo y autorizado. La informacin definida como confidencial est protegida segn lo acordado o comprometido.
Privacidad
La informacin personal es recopilada, utilizada, retenida y revelada de acuerdo con los contratos estipulados en la notificacin de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por la AICPA/CICA
Ejemplo : Continuidad de NegocioCriterioA1
Controles
Procedimiento de Prueba
Principio: La entidad ha definido y comunicado objetivos de desempeo, polticas y estndares para la disponibilidad de los sistemas. Los requerimientos de disponibilidad del sistema, los objetivos, polticas y estndares se encuentran identificados y documentados. Existencia de procedimientos documentados para los sistemas, de acuerdo con los requerimientos de disponibilidad de los usuarios. Los requerimientos de usuarios estn documentados en acuerdos de nivel de servicio (SLA) u otros documentos.Obtener y revisar una copia de los requerimientos de disponibilidad de los sistemas, polticas y estndares. Determinar si los documentos estn completos y actualizados. Incluir una copia de los documentos en los papeles de trabajo. Obtener entendimiento de los procedimientos aplicados para identificar y documentar los requerimientos de disponibilidad de los sistemas. Determinar si los procedimientos incluyen a todos los usuarios autorizados y que estos los requerimientos estn adecuadamente descritos. Basado en la informacin antes indicada, revisar los acuerdos de niveles de servicio u otros documentos relacionados para determinar si la disponibilidad de los requerimientos est adecuadamente descrita.
A1.1
Principios de Servicios de Confianza de la AICPA / CICA
DominioContinuidad Seguridad Integridad de Procesamiento Confidencialidad
PrincipioEl sistema est disponible para su uso y operacin segn lo acordado o comprometido. El sistema est protegido contra accesos no autorizados (tanto fsicos como lgicos). El procesamiento del sistema es exacto, oportuno y est completo y autorizado. La informacin definida como confidencial est protegida segn lo acordado o comprometido.
Privacidad
La informacin personal es recopilada, utilizada, retenida y revelada de acuerdo con los contratos estipulados en la notificacin de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por la AICPA/CICA
Ejemplo : Seguridad de la InformacinCriterioA1
Controles
Procedimiento de Prueba
Principio: La entidad ha definido y comunicado los objetivos de desempeo, las polticas y normas para la seguridad del sistema. Los objetivos documentados del sistema de seguridad, polticas y normas han sido comunicados a los usuarios autorizados. Los objetivos del sistema de seguridad, polticas, normas y se comunican a todo el personal autorizado de la entidad. Existe un programa de sensibilizacin de seguridad el cual comunica la poltica de seguridad para cada usuario. Los empleados firman un acuerdo en el momento de la contratacin con objeto de reconocer que se adhiere a la poltica de seguridad de la entidad.Obtener y revisar el objetivo del sistema de seguridad, polticas y normas . Indagar con el personal clave para determinar si los objetivos de seguridad, polticas y normas se comunican a todo el personal de la entidad autorizada. Revisin de la documentacin correspondiente que acrediten la comunicacin y difusin(intranet, memorandos, archivo personal, etc)
A1.1
Tomar una seleccin de registros de personal y comprobar si existe constancia La entidad revelar sus prcticas de escrita de usuario que indica que se va a privacidad de la informacin, incluyendo los adherir a la poltica de seguridad.
tipos especficos y fuentes de informacin que se recoge, el uso de esa informacin, y Obtener copias de los materiales del los posibles terceros que distribuirn dicha programa de seguridad y sensibilizacin y informacin. comparar con los objetivos, polticas ynormas documentadas. Indagar cmo la entidad revela sus prcticas de privacidad de la informacin, recoleccin, uso y posible distribucin de informacin por parte de terceros
Informes SOC3
Los informes SOC3 son informes de uso general y se pueden distribuir libremente o publicar en un sitio web como sello SysTrust para la Empresas de Servicios.
Los informes se preparan utilizando los Principios y Criterios de los Servicios de Confianza
Revisin de Conocimientos sobre Informe SOC
El informe es utilizado por los clientes de la empresa de servicio y sus auditores para realizar una auditora o auditora integral a los estados financieros de sus clientes.El cliente necesita que el informe est generalmente disponible (distribucin no restringida) El informe ser utilizado por los clientes o accionistas de la empresa de servicios para adquirir seguridad y depositar confianza en los sistemas no financieros de una empresa de servicios. El informe no incluir pruebas detalladas realizadas por KPMG. El informe es utilizado por los clientes de la empresa de servicios como parte de su cumplimiento de la Ley Sarbanes-Oxley u otra ley similar. El informe es utilizado por la empresa de servicios para reportar el cumplimiento de las regulaciones.
Informe SOC 1
Informe SOC 3 Informe SOC 2 3 Informe SOC 3 Informe SOC 1 Informe SOC 2
Otras Consideraciones
Otras Consideraciones Relacionadas con ISAE 3402
Al emitir un informe en los Estados Unidos es necesario cumplir con la norma SSAE 16, pero se puede emitir como Informe ISAE 3402 o como SSAE 16. La Carta de Contrato se modifica para reflejar ambas normasEl perodo debe cubrir un tiempo de informe mnimo de seis meses. Entre las circunstancias que podran necesitar un perodo ms corto se encuentran: Cuando los controles slo se pueden chequear mediante observacin El sistema est en produccin por menos de seis meses Cambios significativos en el entorno; no es prctico esperar 6 meses o emitir un informe que cubra el
sistema antes y despus de los cambios
Consideramos la solicitud del cliente para considerar un perodo ms corto consultando con el SLRMP al ser consultados por: Informe sobre un perodo que excede el plazo recomendado para el perodo de informe, y/o Trabajo en terreno realizado con posterioridad al trmino del perodo
Memorandum que documenta la solicitud del cliente y la razn para considerar un perodo ms corto La seccin del informe correspondiente al auditor de servicios debe describir la razn para considerar un perodo ms corto.
Contratos de Diagnstico SOC
En las empresas de servicios que recin ingresan al proceso SOC, se debe realizar una Revisin DiagnsticoEl propsito del Diagnstico es identificar las debilidades del control que la administracin debera considerar corregir antes que comience el contrato SOC Segn nuestra experiencia, las compaas que no cuentan con un Diagnstico pueden presentar temas y recibir una opinin calificada El costo de un Diagnstico variar dependiendo de las dimensiones del entorno, pero generalmente equivale a un 50-60% del costo de un contrato SOC.
NOTA DE INDEPENDENCIA: La revisin se limita a proporcionar observaciones y recomendaciones y no incluye el diseo o la implementacin de controles. La revisin de diagnsticos son contratos de asesora, mientras que los contratos SOC se rigen por las normas de testificacin. Por lo tanto, las cartas de contrato para revisiones de diagnstico no se deben combinar con las cartas de contrato SOC. Sin embargo, las propuestas pueden incluir ambas. (Usted de todas maneras necesitar cartas de contrato separadas).
Aseveracin de la Administracin Signatario
No existe requerimiento que indique que la aseveracin de la administracin debe ir firmada, pero se recomienda
La aseveracin de la administracin puede ser firmada a nombre de un individuo (Juan Prez, CFO) o a nombre de la compaa (Empresa de Servicios XYZ)
Las estructuras de administracin y direccin varan segn la entidad, y la identificacin de la(s) persona(s) apropiada(s) para firmar la aseveracin requiere de criterio
Aseveracin de la AdministracinEjemplo: Aseveracin de la Administracin de la Organizacin de Servicio para un informe del Tipo II Aseveracin Organizacin de Servicio XYZ Hemos preparado la descripcin de la Organizacin de Servicio XYZ sobre [el tipo o el nombre del sistema] para las entidades usuarias [del servicio de] y sus auditores, durante el perodo desde [fecha] hasta [fecha], que tienen un conocimiento suficiente para considerar, junto con otros informacin, incluyendo informacin sobre los controles realizados por las entidades de usuarias del sistema y ellos mismos, al evaluar los riesgos de errores materiales de las entidades financieras del usuario declaradas. Confirmamos, en base a nuestros conocimientos y creencias. a. La descripcin que se presenta sobre al [el tipo o el nombre del sistema] se puesto a disposicin del usuario y las entidades del sistema durante el perodo desde [fecha] hasta [fecha] para el procesamiento de sus operaciones [o la identificacin de la funcin realizada por el sistema]. Los criterios que hemos utilizado en la realizacin de esta afirmacin se presentan a continuacin. i. Se presenta el funcionamiento del sistema a disposicin de las entidades de usuarias del sistema, se ha diseado e implementado para procesar las transacciones relevantes, incluyendo:
(1) las clases de transacciones procesadas. (2) los procedimientos, tanto dentro de los sistemas automatizados y manuales, por el cual los las transacciones son iniciadas, autorizadas, registradas, procesadas, corregidas como necesario, y se transfiere a los informes presentados a las entidades de usuarios de la del sistema. (3) los registros contables, informacin complementaria, y las cuentas especficas que se utilizan para iniciar, autorizar, registrar, procesar y declarar las operaciones; esto incluye la correccin de la informacin incorrecta y cmo es la informacin transferido a los informes presentados a las entidades de usuarios del sistema. (4) cmo el sistema de captura y las direcciones de los acontecimientos significativos y las condiciones, distintos de las transacciones. (5) el proceso de preparacin utilizado (6) (7) Los objetivos especficos de control y controles diseados para alcanzar dichos los objetivos. otros aspectos de nuestro entorno de control, proceso de evaluacin de riesgos, sistemas de informacin y la comunicacin (incluyendo los negocios relacionados procesos), las actividades de control y vigilancia de los controles que son relevantes para procesamiento y reporte de operaciones de las entidades de usuarios del sistema.
Aseveracin de la AdministracinEjemplo: Aseveracin de la Administracin de la Organizacin de Servicio para un informe del Tipo II ii. no omitimos o distorsionamos la informacin relevante para el alcance del [tipo o el nombre del sistema], al tiempo que reconocemos que la descripcin fue preparada para cumplir con las necesidades comunes de una amplia gama de entidades de usuarias del sistema y de los auditores independientes de las entidades de usuarias, y no puede, por tanto, incluye todos los aspectos del tipo [o nombre del sistema] de que cada entidad de usuarios individuales del sistema y su auditor puede consideran importantes en su entorno particular. b. La descripcin incluye los detalles relevantes de los cambios al sistema de la organizacin de servicio de la descripcin durante el perodo cubierto. c. los controles relacionados con los objetivos de control establecidos en la descripcin fueron adecuadamente diseados y operaron con eficacia en todo el perodo desde [fecha] hasta [fecha] para alcanzar dichos objetivos de control. Los criterios que hemos utilizado para efectuar esta afirmacin son los siguientes: i. ii. los riesgos que amenazan el logro de los objetivos de control establecidos en el descripcin han sido identificados por la organizacin de servicio; Los controles identificados en la descripcin que, si se opera como se ha descrito, proporcionan seguridad razonable de que esos riesgos no impedirn que los objetivos de control, como se indica en la descripcin, puedan hacerse una realidad, y los controles han sido aplicadas uniformemente segn el diseo, incluyendo ya sea manual se aplicaron los controles de las personas que tienen las competencias adecuadas y autoridad.
iii.
Material- Carpetas
ISAE 3402, Assurance Reports on Controls at Service Organization SSAE16, Statement on Standars fot Attestation Engagements Documento: Informacin acerca de los controles en las Organizaciones de Servicio Brochure: Auditoria de Empresas de Servicio KPMG
Preguntas o Comentarios?
Gracias
2011 KPMG LLP, sociedad de responsabilidad limitada de Delaware y firma miembro estadounidense de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (KPMG International), una entidad suiza. Todos los derechos reservados. Impreso en los Estados Unidos. SLO PARA USO INTERNACIONAL. La informacin contenida en esta presentacin y sus anexos son de naturaleza general y no est dirigido a ninguna circunstancia en particular de cualquier individuo o empresa. Aunque hacemos el mejor esfuerzo para proveer informacin oportuna y exacta, no puede haber garanta que tal informacin es exacta a la fecha o que continuar siendo exacta en el futuro. Nadie debe actuar sobre esta informacin sin la debida asesora profesional luego de un examen exhaustivo de la situacin en particular.
