Documente Academic
Documente Profesional
Documente Cultură
Presidente,ISACASoPauloChapter,Brasil
SanJuan,PuertoRico
San
Juan, Puerto Rico
Octubre2011
Objetivo
Agenda
HistricodelSAS70
AICPASSAE16 quehaydenuevo?
El estndar Internacional ISAE3402
ElestndarInternacionalISAE3402
Lostiposdeinformes,conformelanecesidadde
la entidad usuaria: SOC1 SOC2 SOC3
laentidadusuaria:SOC1,SOC2,SOC3
ReportesTipoIyTipoII
Perspectivadelauditordelaentidadusuaria
ElFrameworkITAF(ITAssuranceFramework)
Historico
delSAS70hastaelISAE3402ySSAE16
La
Lanecesidaddeauditoriadeprestadoresde
necesidad de auditoria de prestadores de
servicios
BeneficiosdelosreportesSSAE16/ISAE3402en
B
fi i d l
SSAE16/ISAE3402
estecontexto
ReportesSAS70,TipoIyTipoII
AICPASSAE16 quehaydenuevo?
q
y
ElestndarInternacionalISAE3402
SAS70 Histrico
AICPASAS70hace18aos
SASNo.70,April1992
ServiceOrganizations
SASNo.94,May2001
TheEffectofInformationTechnologyontheAuditor's
ConsiderationofInternalControlinaFinancialStatement
Audit
Audit
SOX,Junio2002 Informesdeauditoriasegundoel
estndard SAS70 como parte de revisiones bajo la Ley SOX
estndardSAS70comopartederevisionesbajolaLeySOX
April2010,SSAENo.16 ReportingonControlsataService
Organization
Source:ISACAWhitePaper,New
Source:
ISACA White Paper New Service Auditor Standard:
A User Entity Perspective
Elcontexto
Objetivoesobtenerevidenciadeloscontroles
internos en la organizacin prestadora de
internosenlaorganizacinprestadorade
serviciosasociadosalosinformesfinancieros
Necesidaddelauditordelaentidadusuaria
d dd l d
d l
d d
tenergarantasuficientedelacalidaddelos
controlessobrecuentas,transaccionesy
l
b
informes
SAS70 Definiciones
ServiceEntity laentidadprestadoradeservicios
User Entity laentidadtomadoradelosservicios
la entidad tomadora de los servicios
UserEntity
AuditordelaServiceEntity elauditor
independendiente (CPA)que emite los reportes
independendiente(CPA)queemitelosreportes
AuditordelaUserEntity elauditorindependiente
q
querevisaloscontrolesdelaentidadeusuaria
ControlesRelevantesparaelprocessodereportes
financeiros
ControlesdeTIquesuportanlosprocesoscriticosde
negocio
SSAE16yISAE3402
Quehacambiado?
ISAE3402 nuevosestandardsdelIAASBdefinenun
benchmarkingglobalparareportedeasseguracionde
loscontrolesdelasorganizacionesdeservicios
SSAE16 AICPA,elcorrespondienteestndarenUSA
ISAE3402
120PasesmiembrosdeIFAC
Ej.enAmricaLatina:Brasil,Argentina,Mexico,
Ej en Amrica Latina: Brasil Argentina Mexico
Colombiayotrosms
Los
Losreportesdebenseremitidosbajoel
reportes deben ser emitidos bajo el
ISAE3402,dondenohayanormaslocales
EnBrasilelCFCemitinorma
E B il l CFC
iti
NBC TO 3402,enjulio
NBCTO3402
j li
2011,segnelmodelodelISAE3402
USA
USA AICPASSAE16
AICPA SSAE 16
SigueelmodeloISAE3402
AlgunasNormasNacionales
Pas
Norma
USA
SSAE16
Brasil
NBC TO 402
Aprobada en 27/07.2011
Norma local consistente con ISAE 3402
Chile
NAGA AU324
NAGA 56, Seccin 324
Al
Alemania
i
PS951
Australia
ASAE 3402
India
AAS 24
UK
NormasNacionales
Brasil NBCTO3402
Norma aprovada pela Resoluo n 1 354 do CFC
NormaaprovadapelaResoluon1.354doCFC
(ConselhoFederaldeContabilidade)
AsseguraodeControlesemOrganizaoPrestadora
Assegurao de Controles em Organizao Prestadora
deServios
Emvigordesde20/07/2011
g
/ /
ElaboradadeacordocomISAE3402
Elaborada de acordo com ISAE 3402
Estndarinternacional
ISAE3402
Principales Cambios
PrincipalesCambios
El
Elnuevoestndartienelacaractersticade
nuevo estndar tiene la caracterstica de
acreditacin(attestation)
Queestosignifica?
Que esto significa?
Elauditordebeexigirunadeclaracinde
responsabilidaddelagerenciadelaentidad
bilid d d l
i d l
id d
deservicio
Principales Cambios
PrincipalesCambios
Paraquelagerenciapuedaasumirla
responsabilidad,elReportecontiene
((reporteTipoII)
p
p )
Unadescripcinquerepresentedemanera
fidedignalossistemasdecontrol
Unaafirmacindequeloscontrolestienenun
diseoadecuado
Unaafirmacindequeloscontrolesseanefectivos
duranteelperiodoauditado
PrincipalesCambios
Uncriterioadecuadoparadescribirlossistemasde
control y su implementacin debe contener:
controlysuimplementacindebecontener:
Lostiposdeserviciosprestadosyclasesdetransacciones
Losprocedimientos,seaautomatizadosomanuales
p
,
Losregistrosrelacionadosylainformacindesuporte,
manualesoelectrnicos
Losobjetivosdecontrolyactividadesdecontrolparaestos
objetivos
Riskassessment,controlesdemonitoreoyotrosprocesos
Risk assessment controles de monitoreo y otros procesos
delambientedecontrol
PrincipalesCambios
Elperiododelaauditoria
Opinionesdelauditorylaafirmacindela
g
gerenciadebeseextenderatodoelperodo
p
delreporte(delosinformesfinancieros)
Encontrarioalanterior,dondelasopiniones
En contrario al anterior, donde las opiniones
acercadeldiseodelcontrolerabaseel
ultimo da del periodo
ultimodadelperiodo
PrincipalesCambios
Comoutilizareltrabajoejecutadoporla
g
auditoriainternadelaorganizacinde
servicio
Lassesionesdelreporteconlostestesde
Las sesiones del reporte con los testes de
controlesyresultadosdebeincluirla
descripcin de procedimientos del auditor
descripcindeprocedimientosdelauditor
interno
Losprocedimientosdelauditorcon
Los procedimientos del auditor con
respectoaestetrabajodelaauditoria
interna
Enqueaspectoselnuevoestndar
esigualalSAS70?
i l l
?
LosdostiposdereporteTipoIyTipoII
Los dos tipos de reporte Tipo I y Tipo II
ReporteTipoII mnimo6meses
Reporteslimitadosalusoporlaauditoria,nodebe
Reportes limitados al uso por la auditoria no debe
serutilizadoparaotrasfinalidades,porej.
clientesopotencialesinversionistas.
p
Lostestesyresultadosdelosauditoresdeben
estardocumentadosenreporteTipoII
Tamaodeamuestrasreveladoscuandose
identificadesvosdeloscontroles
PerspectivadelAuditor
delaentidadusuaria
Elauditordelaentidadusuariadebe
9Evaluarsilosobjetivosdecontrolestncompletos
9 siatiendenaunrangoampliodelaentidad
usuaria
9Analizarcrticamentelasconsideracionesde
controldeusuariosespecificadasenelreporte
9Analizarcrticamentelostestesejecutadosporel
auditordelaentidadprestadoradeservicios
9Tenerenconsideracinlosresultadosdelostestes
SSAE16yISAE3402
y
TiposdeReportes
LLosreportesSOC(ServiceOrganizationControl)sirven
t SOC (S i O
i ti C t l) i
paraayudarlaorganizacionprestadoradeserviciosa
obtener la confiabilidad de los procesos de entrega de
obtenerlaconfiabilidaddelosprocesosdeentregade
serviciosyloscontrolspormediodeumreporte
emitidoporunauditorindependiente.
ElStandardISAE3402define3tiposdereportes
p
p
SOC1,SOC2,SOC3
ServiceOrganizationControl(SOC)
SOC1
SOC 1SM Reports
Controlesrelevantesalos
controlesinternosdelaentidad
usuariaparalaemisiondelos
reportesfinanceiros
SOC2
SOC 2SM Reports
ControlesdelaEntidadede
ServiciosrelevantesSeguridad,
Disponibilidad,Integridaddelos
Processos,Confidencialidady
Privacidad
SOC3SM Reports
TrustServicesReportforService
O
Organizations.
i i
Controlesinternosparalosreportesfinancieros?
Report
ReportSOC
p SOC1 esmsapropriado
p p
Hayintersprincipalencontrolesoperacionalesy
compliance,comolosrelacionadosaseguridad,
compliance,
como los relacionados a seguridad,
disponibilidad,integridad,confidencialidado
privacidad?
SOC2 o
oSOC3
SOC3 ,conformeelnveldedetalle
requerido
Decidircualreportasnecesario
Entender las necesidades de la entidad usuaria
Entenderlasnecesidadesdelaentidadusuaria
Entidadusuarianecesitadetallessobrelos
procesososistemas?
SOC1 controldelprocesodelosinformes
fi
financieros
i
SOC2 abrangenciadecontrolesdeotrosprocesos
afuera los reportes financieros
afueralosreportesfinancieros
Entidadusuarianecesitasolounsumariodelos
controles, un sello
controles,un
sello deacreditacionparasus
de acreditacion para sus
clientes?
SOC3 noasrestritoaauditoria
Controlesdesubcontratos
Comoreportarcuandohaysubservicios?
p
y
Escomnenlacadenadesuministro,la
entidad prestadora de servicios tener
entidadprestadoradeserviciostener
subcontratos
MtodoCarveout
Mtodo Carve out excluyeloscontrolesde
excluye los controles de
laorganizacinprestadoradelsubservicio
MtodoInclusivo
d
l
incluyeloscontrolesdela
l
l
l d l
organizacinsubcontratada
ExemplodeReport
Escopo
CarveoutMethod
EExaminamosladescripciondelaOrganizacionde
aminamos la descripcion de la Organi acion de
ServiciosXYZdelossistemasdeprocesamientode
las transacciones de la entidad usuaria en el periodo
lastransaccionesdelaentidadusuaria,enelperiodo
de[fecha]a[fecha] ylaadequaciondeldiseoy
efetividadedelaoperaciondeloscontrolespara
alcanzarlosobjetivosdecontrolrelacionadosenesta
descripcion
LaOrganizacindeServiciosXYZutilizaunaorganizacionprestadorade
serviciosdeprocesamientoparatodaslasaplicaciones
computadorizadas.Adescripcionenlaspaginasbbccincluyen
solamente los controles y objetivos de control relacionados de la
solamenteloscontrolesyobjetivosdecontrolrelacionadosdela..
EjemplodeReport
CarveoutMethod
La
LaOrganizacindeServiciosXYZutilizauna
Organizacin de Servicios XYZ utiliza una
organizacionprestadoradeserviciosde
processamientoparatodaslasaplicaciones
computadorizadas.Adescripcionenlaspaginasbb
ccincluyensolamenteloscontrolesyobjetivosde
controlrelacionadosdelaOrganizacionXYZyexclui
t l l i
d d l O
i i XYZ
l i
losobjetivosdecontrolycontrolesrelacionadosde
la organizacion de procesamiento
laorganizaciondeprocesamiento
EjemplodeReport
InclusiveMethod
Escopo
Revisamosladescripcin,delasOrganizacionesdeServicios
XYZydeSubserviciosABC,delossistemasde
procesamiento de las transacciones de la entidad usuaria, en
procesamientodelastransaccionesdelaentidadusuaria,en
elperiodode_/_/_a_/_/_ylaadequaciondeldiseoy
efetividadedelaoperaciondeloscontrolesdelas
Organizaciones de Servicio XYZ y de Subservicio ABC para
OrganizacionesdeServicioXYZydeSubservicioABC,para
LaOrganizacindeSubServiciosABCasunaorganizacionindependientede
serviciosacualproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.
Las descripcin de los servcios de la Organizacion de Servicios XYZ inclui la
LasdescripcindelosservciosdelaOrganizaciondeServiciosXYZincluila
descripciondelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZ
paraprocesodetransacionesdesusentidadusuarias,asicomolosobjetivosde
controlycontrolsrelevantesdaOrganizaciondeSubservicioABC.
EjemplodeReport
InclusiveMethod
La
LaOrganizacindeSubServiciosABCesuna
Organizacin de SubServicios ABC es una
organizacionindependientedeserviciosqueprovee
procesamientodedatosalaOrganizacionde
ServicioXYZ.Ladescripcindelosserviciosdela
OrganizacindeServiciosXYZincluiladescripcion
d l it
delsistemadelaOrganizaciondeSubservicioABC
d l O
i i d S b
i i ABC
utilizadaporXYZparaprocesodetransacionesde
sus entidad usuarias asi como los objetivos de
susentidadusuarias,asicomolosobjetivosde
controlycontrolsrelevantesdaOrganizacionde
SubservicioABC.
ITAssuranceFramework(ITAF)
Porqueesimportanteunframeworkcomun
p
paralaauditoriadeTI?
LaTIespervasive,solucionesconbaseenTI
sustitui de manera crescente los chequeos y
sustituidemaneracrescenteloschequeosy
aprovacionesgerencialesmanuales
As,lanecesidaddeproverlosaccionistasy
As la necesidad de prover los accionistas y
reguladoresconinformacionesacercadela
efetividad de los controles internos
efetividaddeloscontrolesinternos
automatizadostanbiensitornamsyms
importante
ITAssuranceFramework(ITAF)
Whom?
Whom?AquienseaplicaelITAF?
A quien se aplica el ITAF?
When?CuandoITAFdebeserutilizado?
Where?Dondedebenserutilizadoslos
h ?
d d b
ili d l
estandaresdeISACAyguiasrelacionados?
CuandoITAFdebeserutilizado?
Aplicacindeunframeworkesunpre
requisito para los trabajos de assurance
requisitoparalostrabajosdeassurance
Aquiseaplicanlasauditoriasquevanaservir
comobaseparareportesdelasauditoriasbajoel
p
p
j
ISAE3402/SSAE16,auditoriasdecompliance
Estndardes(mandatorios)yguiasdetecnicasy
(
)yg
y
herramientasparaapoyarlaejacuciondeltrabajo
deassurance
Dondedebenserutilizadoslos
estandaresyguidelines?
d
d l
ITAFesaplicableatodaauditoriaformal
ITAF es aplicable a toda auditoria formal
AuditoriasconfocoenIT
di i
f
AuditoriasdeTIparaapoyaralaauditoria
operacionalofinanciera
ITAFnoseaplicaaconsultoriasoadvisory,dondeno
haylanecesidadedeunreporteformal
TiposdeReportescombaseenlasnecesidadesdeuso
p
p
ITAF Losestndardsellapratica
Section3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice
Cada
Cadasessiondelosguidelinestienenelfocoenunode
session de los guidelines tienen el foco en uno de
lossiguientes
QuestionesyprocesosdeTIqueelauditordeTI
Questiones y procesos de TI que el auditor de TI
tienequecompreenderyconsiderarenla
determinaciondelplaneamiento,escopo,ejecuciony
informesdelasauditorias
LasquestionesYprocessosdeauditoria,
procedimientos,metodologiasyabordajesqueel
auditordeTIdebeconsiderarcuandoconduzirlas
atividadesdeauditoriaoassurance
ti id d d
dit i
Losestndardsellapratica
Section3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice
Section3000ITAssuranceGuidelines:PuttingtheStandards
I
IntoPractice
P
i
Section3100ITAssuranceGuidelines:OverviewandUse
Section3000tratadelosguidelinesenlasareas
Section 3000 trata de los guidelines en las areas
3200EnterpriseTopics
3400ITManagementProcesses
3400 IT Management Processes
3600ITAuditandAssuranceProcesses
3800ITAuditandAssuranceManagement
3800 IT Audit and Assurance Management
ReportingStandards
Reportingstandardsdescriben
TiposdeReportes
Ti
d R
t
Formasdecomunicacin
Lainformacinasercomunicadaya
quien
Losestndaresdeauditoriapuedenser
complementadosporestosestndaresde
l
d
d
d
reportedecontrolesdeTI
Consideracionesfinales
Losestndaresfornecenunbenchmarkingparala
auditoriainternacional convariosserviciosterceros
distribuidosenpasesdiversos,estoesdegran
importancia
Compaasquenoestnbajolasregulaciones
internacionales,puedensiaplicarestosestndares
como una practica para estar preparado para un
comounapracticaparaestarpreparadoparaun
crecimientofuturo
Esundiferencialalascompaasdeservicios,
Es un diferencial a las compaas de servicios
mostrarasusclientesquetieneunsellode
confiabilidad
Ozores Consultoria
carmen.ozores@isaca.org.br
+551196877081
Referencias
AICPAInformation
AICPA,TrustServicesPrinciples,www.aicpa.org/trustservices
AICPA,GenerallyAcceptedPrivacyPrinciples,www.aicpa.org/privacy
AICPA Generally Accepted Privacy Principles www aicpa org/privacy
AICPAsInformationTechnologyInterestArea(aicpa.org/infotech)
AboutSAS70 www.sas70.com
ISACAJournalVol2,2011
l l
d
UnderstandingtheNewSocReports,
d
h
TommieW.Singleton,Ph.D.,CISA,CGEIT,CITP,CMA,CPA
ISACAWhitePaper:NewServiceAuditorStandard:AUser
EntityPerspective,TommieW.Singleton,
www.isaca.org/research
ITAF:
ITAF: AProfessionalPracticesFrameworkforITAssurance,ISACA
A Professional Practices Framework for IT Assurance ISACA
downloadavailableforISACAmembersatwww.isaca.org
InstitutosdeAuditoresen
AmericaLatinayCaribe
y
Argentinahttp://www.facpce.org.ar
Bolivia http://www.auditorescontadoresbolivia.org/
B il http://www.cfc.org.br
Brazil
htt //
f
b
Chile http://www.colegiodecontadores.cl/
Colombia http://www.incp.org.co
CostaRica http://www.ccpa.or.cr
Mexico http://www.imcp.org.mx
Nicaragua
g
http://www.ccpn.org.ni/
p //
p
g /
Panama http://www.colegiocpapanama.org
Paraguay http://ccpy.org.py/
Peru http://www.jdccpp.pe/
Peru
http://www jdccpp pe/
Philippines http://www.picpa.com.ph
Uruguay http://www.ccea.com.uy
Bahamas http://www.bica.bs/