El cambio del SAS 70 al nuevo

estndar SSAE 16 y ISAE3402

Carmen Ozores, CISA, CRISC
CarmenOzores,CISA,CRISC
Ozores Consultoria

Presidente,ISACASoPauloChapter,Brasil

SanJuan,PuertoRico
San
Juan, Puerto Rico
Octubre2011

Objetivo

Agenda
HistricodelSAS70
AICPASSAE16 quehaydenuevo?
El estndar Internacional ISAE3402
ElestndarInternacionalISAE3402
Lostiposdeinformes,conformelanecesidadde
la entidad usuaria: SOC1 SOC2 SOC3
laentidadusuaria:SOC1,SOC2,SOC3
ReportesTipoIyTipoII
Perspectivadelauditordelaentidadusuaria
ElFrameworkITAF(ITAssuranceFramework)

Historico
delSAS70hastaelISAE3402ySSAE16
La
Lanecesidaddeauditoriadeprestadoresde
necesidad de auditoria de prestadores de
servicios
BeneficiosdelosreportesSSAE16/ISAE3402en
B
fi i d l
SSAE16/ISAE3402
estecontexto
ReportesSAS70,TipoIyTipoII
AICPASSAE16 quehaydenuevo?
q
y
ElestndarInternacionalISAE3402

SAS70 Histrico
AICPASAS70hace18aos
SASNo.70,April1992
ServiceOrganizations

SASNo.94,May2001
TheEffectofInformationTechnologyontheAuditor's
ConsiderationofInternalControlinaFinancialStatement
Audit
Audit

SOX,Junio2002 Informesdeauditoriasegundoel
estndard SAS70 como parte de revisiones bajo la Ley SOX
estndardSAS70comopartederevisionesbajolaLeySOX

April2010,SSAENo.16 ReportingonControlsataService
Organization

Source:ISACAWhitePaper,New
Source:
ISACA White Paper New Service Auditor Standard:
A User Entity Perspective

Elcontexto
Objetivoesobtenerevidenciadeloscontroles
internos en la organizacin prestadora de
internosenlaorganizacinprestadorade
serviciosasociadosalosinformesfinancieros
Necesidaddelauditordelaentidadusuaria
d dd l d
d l
d d
tenergarantasuficientedelacalidaddelos
controlessobrecuentas,transaccionesy
l
b
informes

SAS70 Definiciones
ServiceEntity laentidadprestadoradeservicios
User Entity laentidadtomadoradelosservicios
la entidad tomadora de los servicios
UserEntity
AuditordelaServiceEntity elauditor
independendiente (CPA)que emite los reportes
independendiente(CPA)queemitelosreportes
AuditordelaUserEntity elauditorindependiente
q
querevisaloscontrolesdelaentidadeusuaria
ControlesRelevantesparaelprocessodereportes
financeiros
ControlesdeTIquesuportanlosprocesoscriticosde
negocio

SSAE16yISAE3402
Quehacambiado?
ISAE3402 nuevosestandardsdelIAASBdefinenun
benchmarkingglobalparareportedeasseguracionde
loscontrolesdelasorganizacionesdeservicios
SSAE16 AICPA,elcorrespondienteestndarenUSA

ISAE3402
120PasesmiembrosdeIFAC
Ej.enAmricaLatina:Brasil,Argentina,Mexico,
Ej en Amrica Latina: Brasil Argentina Mexico
Colombiayotrosms

Los
Losreportesdebenseremitidosbajoel
reportes deben ser emitidos bajo el
ISAE3402,dondenohayanormaslocales
EnBrasilelCFCemitinorma
E B il l CFC
iti
NBC TO 3402,enjulio
NBCTO3402
j li
2011,segnelmodelodelISAE3402

USA
USA AICPASSAE16
AICPA SSAE 16
SigueelmodeloISAE3402

AlgunasNormasNacionales
Pas

Norma

USA

SSAE16

Brasil

NBC TO 402
Aprobada en 27/07.2011
Norma local consistente con ISAE 3402

Chile

NAGA AU324
NAGA 56, Seccin 324

Al
Alemania
i

PS951

Australia

ASAE 3402

India

AAS 24

UK

ICAEW AAF 02/07 and AAF 01/06

NormasNacionales
Brasil NBCTO3402
Norma aprovada pela Resoluo n 1 354 do CFC
NormaaprovadapelaResoluon1.354doCFC
(ConselhoFederaldeContabilidade)
AsseguraodeControlesemOrganizaoPrestadora
Assegurao de Controles em Organizao Prestadora
deServios
Emvigordesde20/07/2011
g
/ /
ElaboradadeacordocomISAE3402
Elaborada de acordo com ISAE 3402

Estndarinternacional
ISAE3402

Principales Cambios
PrincipalesCambios
El
Elnuevoestndartienelacaractersticade
nuevo estndar tiene la caracterstica de
acreditacin(attestation)
Queestosignifica?
Que esto significa?
Elauditordebeexigirunadeclaracinde
responsabilidaddelagerenciadelaentidad
bilid d d l
i d l
id d
deservicio

Principales Cambios
PrincipalesCambios
Paraquelagerenciapuedaasumirla
responsabilidad,elReportecontiene
((reporteTipoII)
p
p )
Unadescripcinquerepresentedemanera
fidedignalossistemasdecontrol
Unaafirmacindequeloscontrolestienenun
diseoadecuado
Unaafirmacindequeloscontrolesseanefectivos
duranteelperiodoauditado

PrincipalesCambios
Uncriterioadecuadoparadescribirlossistemasde
control y su implementacin debe contener:
controlysuimplementacindebecontener:
Lostiposdeserviciosprestadosyclasesdetransacciones
Losprocedimientos,seaautomatizadosomanuales
p
,
Losregistrosrelacionadosylainformacindesuporte,
manualesoelectrnicos
Losobjetivosdecontrolyactividadesdecontrolparaestos
objetivos
Riskassessment,controlesdemonitoreoyotrosprocesos
Risk assessment controles de monitoreo y otros procesos
delambientedecontrol

PrincipalesCambios
Elperiododelaauditoria
Opinionesdelauditorylaafirmacindela
g
gerenciadebeseextenderatodoelperodo
p
delreporte(delosinformesfinancieros)
Encontrarioalanterior,dondelasopiniones
En contrario al anterior, donde las opiniones
acercadeldiseodelcontrolerabaseel
ultimo da del periodo
ultimodadelperiodo

PrincipalesCambios
Comoutilizareltrabajoejecutadoporla
g
auditoriainternadelaorganizacinde
servicio
Lassesionesdelreporteconlostestesde
Las sesiones del reporte con los testes de
controlesyresultadosdebeincluirla
descripcin de procedimientos del auditor
descripcindeprocedimientosdelauditor
interno
Losprocedimientosdelauditorcon
Los procedimientos del auditor con
respectoaestetrabajodelaauditoria
interna

Enqueaspectoselnuevoestndar
esigualalSAS70?
i l l
?
LosdostiposdereporteTipoIyTipoII
Los dos tipos de reporte Tipo I y Tipo II
ReporteTipoII mnimo6meses
Reporteslimitadosalusoporlaauditoria,nodebe
Reportes limitados al uso por la auditoria no debe
serutilizadoparaotrasfinalidades,porej.
clientesopotencialesinversionistas.
p
Lostestesyresultadosdelosauditoresdeben
estardocumentadosenreporteTipoII
Tamaodeamuestrasreveladoscuandose
identificadesvosdeloscontroles

PerspectivadelAuditor
delaentidadusuaria
Elauditordelaentidadusuariadebe
9Evaluarsilosobjetivosdecontrolestncompletos
9 siatiendenaunrangoampliodelaentidad
usuaria
9Analizarcrticamentelasconsideracionesde
controldeusuariosespecificadasenelreporte
9Analizarcrticamentelostestesejecutadosporel
auditordelaentidadprestadoradeservicios
9Tenerenconsideracinlosresultadosdelostestes

SSAE16yISAE3402
y
TiposdeReportes
LLosreportesSOC(ServiceOrganizationControl)sirven
t SOC (S i O
i ti C t l) i
paraayudarlaorganizacionprestadoradeserviciosa
obtener la confiabilidad de los procesos de entrega de
obtenerlaconfiabilidaddelosprocesosdeentregade
serviciosyloscontrolspormediodeumreporte
emitidoporunauditorindependiente.
ElStandardISAE3402define3tiposdereportes
p
p
SOC1,SOC2,SOC3

ServiceOrganizationControl(SOC)
SOC1
SOC 1SM Reports
Controlesrelevantesalos
controlesinternosdelaentidad
usuariaparalaemisiondelos
reportesfinanceiros
SOC2
SOC 2SM Reports
ControlesdelaEntidadede
ServiciosrelevantesSeguridad,
Disponibilidad,Integridaddelos
Processos,Confidencialidady
Privacidad
SOC3SM Reports
TrustServicesReportforService
O
Organizations.
i i

Service Organization Control (SOC)

Controlesinternosparalosreportesfinancieros?
Report
ReportSOC
p SOC1 esmsapropriado
p p

Hayintersprincipalencontrolesoperacionalesy
compliance,comolosrelacionadosaseguridad,
compliance,
como los relacionados a seguridad,
disponibilidad,integridad,confidencialidado
privacidad?
SOC2 o
oSOC3
SOC3 ,conformeelnveldedetalle
requerido

Decidircualreportasnecesario
Entender las necesidades de la entidad usuaria
Entenderlasnecesidadesdelaentidadusuaria
Entidadusuarianecesitadetallessobrelos

procesososistemas?
SOC1 controldelprocesodelosinformes
fi
financieros
i

SOC2 abrangenciadecontrolesdeotrosprocesos
afuera los reportes financieros
afueralosreportesfinancieros

Entidadusuarianecesitasolounsumariodelos
controles, un sello
controles,un
sello deacreditacionparasus
de acreditacion para sus
clientes?
SOC3 noasrestritoaauditoria

Controlesdesubcontratos
Comoreportarcuandohaysubservicios?
p
y
Escomnenlacadenadesuministro,la
entidad prestadora de servicios tener
entidadprestadoradeserviciostener
subcontratos
MtodoCarveout
Mtodo Carve out excluyeloscontrolesde
excluye los controles de
laorganizacinprestadoradelsubservicio
MtodoInclusivo
d
l
incluyeloscontrolesdela
l
l
l d l
organizacinsubcontratada

ExemplodeReport
Escopo

CarveoutMethod

EExaminamosladescripciondelaOrganizacionde
aminamos la descripcion de la Organi acion de
ServiciosXYZdelossistemasdeprocesamientode
las transacciones de la entidad usuaria en el periodo
lastransaccionesdelaentidadusuaria,enelperiodo
de[fecha]a[fecha] ylaadequaciondeldiseoy
efetividadedelaoperaciondeloscontrolespara
alcanzarlosobjetivosdecontrolrelacionadosenesta
descripcion

LaOrganizacindeServiciosXYZutilizaunaorganizacionprestadorade
serviciosdeprocesamientoparatodaslasaplicaciones
computadorizadas.Adescripcionenlaspaginasbbccincluyen
solamente los controles y objetivos de control relacionados de la
solamenteloscontrolesyobjetivosdecontrolrelacionadosdela..

EjemplodeReport
CarveoutMethod
La
LaOrganizacindeServiciosXYZutilizauna
Organizacin de Servicios XYZ utiliza una
organizacionprestadoradeserviciosde
processamientoparatodaslasaplicaciones
computadorizadas.Adescripcionenlaspaginasbb
ccincluyensolamenteloscontrolesyobjetivosde
controlrelacionadosdelaOrganizacionXYZyexclui
t l l i
d d l O
i i XYZ
l i
losobjetivosdecontrolycontrolesrelacionadosde
la organizacion de procesamiento
laorganizaciondeprocesamiento

EjemplodeReport
InclusiveMethod
Escopo
Revisamosladescripcin,delasOrganizacionesdeServicios
XYZydeSubserviciosABC,delossistemasde
procesamiento de las transacciones de la entidad usuaria, en
procesamientodelastransaccionesdelaentidadusuaria,en
elperiodode_/_/_a_/_/_ylaadequaciondeldiseoy
efetividadedelaoperaciondeloscontrolesdelas
Organizaciones de Servicio XYZ y de Subservicio ABC para
OrganizacionesdeServicioXYZydeSubservicioABC,para

LaOrganizacindeSubServiciosABCasunaorganizacionindependientede
serviciosacualproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.
Las descripcin de los servcios de la Organizacion de Servicios XYZ inclui la
LasdescripcindelosservciosdelaOrganizaciondeServiciosXYZincluila
descripciondelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZ
paraprocesodetransacionesdesusentidadusuarias,asicomolosobjetivosde
controlycontrolsrelevantesdaOrganizaciondeSubservicioABC.

EjemplodeReport
InclusiveMethod
La
LaOrganizacindeSubServiciosABCesuna
Organizacin de SubServicios ABC es una
organizacionindependientedeserviciosqueprovee
procesamientodedatosalaOrganizacionde
ServicioXYZ.Ladescripcindelosserviciosdela
OrganizacindeServiciosXYZincluiladescripcion
d l it
delsistemadelaOrganizaciondeSubservicioABC
d l O
i i d S b
i i ABC
utilizadaporXYZparaprocesodetransacionesde
sus entidad usuarias asi como los objetivos de
susentidadusuarias,asicomolosobjetivosde
controlycontrolsrelevantesdaOrganizacionde
SubservicioABC.

El auditor de TI en la entidad usuria

ElauditordeTIenlaentidadusuria
AspectosimportantesparaelauditordeTI
Aspectos importantes para el auditor de TI
enlaentidadusuaria
Hacerreferenciaalosreportesem
Hacer referencia a los reportes em
auditoriasinternasyporoutrolado,
mantener documentaciones que suporte al
mantenerdocumentacionesquesuporteal
auditordelosinformesISAE3402
ElITAFcomoumframeworkparaelauditor
El ITAF
f
k
l di
deTI

IT Assurance Framework (ITAF)

ITAssuranceFramework(ITAF)

ITAssuranceFramework(ITAF)
Porqueesimportanteunframeworkcomun
p
paralaauditoriadeTI?
LaTIespervasive,solucionesconbaseenTI
sustitui de manera crescente los chequeos y
sustituidemaneracrescenteloschequeosy
aprovacionesgerencialesmanuales
As,lanecesidaddeproverlosaccionistasy
As la necesidad de prover los accionistas y
reguladoresconinformacionesacercadela
efetividad de los controles internos
efetividaddeloscontrolesinternos
automatizadostanbiensitornamsyms
importante

ITAssuranceFramework(ITAF)
Whom?
Whom?AquienseaplicaelITAF?
A quien se aplica el ITAF?
When?CuandoITAFdebeserutilizado?
Where?Dondedebenserutilizadoslos
h ?
d d b
ili d l
estandaresdeISACAyguiasrelacionados?

A quien se aplica el ITAF?

AquienseaplicaelITAF?
ITAFseaplicaaauditoresyprofesionalesque
actuanenproverassurancedelos
d l
componentesdesistemas,aplicacionesy
i f
infraestruturadeTI
d TI
Losestandardesyguidelinessondiseados
paraproverbeneficiosaunaaudienciams
amplia,nosololosauditores,tanbienalos
usuariosdelaauditoriaydelosreportes

CuandoITAFdebeserutilizado?
Aplicacindeunframeworkesunpre
requisito para los trabajos de assurance
requisitoparalostrabajosdeassurance
Aquiseaplicanlasauditoriasquevanaservir
comobaseparareportesdelasauditoriasbajoel
p
p
j
ISAE3402/SSAE16,auditoriasdecompliance
Estndardes(mandatorios)yguiasdetecnicasy
(
)yg
y
herramientasparaapoyarlaejacuciondeltrabajo
deassurance

Dondedebenserutilizadoslos
estandaresyguidelines?
d
d l
ITAFesaplicableatodaauditoriaformal
ITAF es aplicable a toda auditoria formal
AuditoriasconfocoenIT
di i
f
AuditoriasdeTIparaapoyaralaauditoria
operacionalofinanciera
ITAFnoseaplicaaconsultoriasoadvisory,dondeno
haylanecesidadedeunreporteformal

TiposdeReportescombaseenlasnecesidadesdeuso
p
p

ITAF Losestndardsellapratica
Section3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice

Cada
Cadasessiondelosguidelinestienenelfocoenunode
session de los guidelines tienen el foco en uno de
lossiguientes
QuestionesyprocesosdeTIqueelauditordeTI
Questiones y procesos de TI que el auditor de TI
tienequecompreenderyconsiderarenla
determinaciondelplaneamiento,escopo,ejecuciony
informesdelasauditorias
LasquestionesYprocessosdeauditoria,
procedimientos,metodologiasyabordajesqueel
auditordeTIdebeconsiderarcuandoconduzirlas
atividadesdeauditoriaoassurance
ti id d d
dit i

Losestndardsellapratica
Section3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice

Section3000ITAssuranceGuidelines:PuttingtheStandards
I
IntoPractice
P
i
Section3100ITAssuranceGuidelines:OverviewandUse
Section3000tratadelosguidelinesenlasareas
Section 3000 trata de los guidelines en las areas

3200EnterpriseTopics
3400ITManagementProcesses
3400 IT Management Processes
3600ITAuditandAssuranceProcesses
3800ITAuditandAssuranceManagement
3800 IT Audit and Assurance Management

IT Assurance Framework (ITAF)

ITAssuranceFramework(ITAF)
ElframeworkITAFcontienelossiguientes
estndaresyguidelinesparalaauditoriadeTI
d
id li
l
di i d TI
GeneralStandards
PerformanceStandards
ReportingStandards
Reporting Standards
Guidelines
Toolsandtechniques
T l
d h i

ReportingStandards
Reportingstandardsdescriben

TiposdeReportes
Ti
d R
t
Formasdecomunicacin
Lainformacinasercomunicadaya
quien
Losestndaresdeauditoriapuedenser
complementadosporestosestndaresde
l
d
d
d
reportedecontrolesdeTI

Consideracionesfinales
Losestndaresfornecenunbenchmarkingparala
auditoriainternacional convariosserviciosterceros
distribuidosenpasesdiversos,estoesdegran
importancia
Compaasquenoestnbajolasregulaciones
internacionales,puedensiaplicarestosestndares
como una practica para estar preparado para un
comounapracticaparaestarpreparadoparaun
crecimientofuturo
Esundiferencialalascompaasdeservicios,
Es un diferencial a las compaas de servicios
mostrarasusclientesquetieneunsellode
confiabilidad

Carmen Ozores CISA CRISC

CarmenOzores,CISA,CRISC
Presidente
ISACASoPauloChapter,Brasil

Ozores Consultoria

carmen.ozores@isaca.org.br
+551196877081

Referencias

AICPAInformation
AICPA,TrustServicesPrinciples,www.aicpa.org/trustservices
AICPA,GenerallyAcceptedPrivacyPrinciples,www.aicpa.org/privacy
AICPA Generally Accepted Privacy Principles www aicpa org/privacy
AICPAsInformationTechnologyInterestArea(aicpa.org/infotech)
AboutSAS70 www.sas70.com
ISACAJournalVol2,2011
l l
d
UnderstandingtheNewSocReports,
d
h

TommieW.Singleton,Ph.D.,CISA,CGEIT,CITP,CMA,CPA

ISACAWhitePaper:NewServiceAuditorStandard:AUser
EntityPerspective,TommieW.Singleton,
www.isaca.org/research
ITAF:
ITAF: AProfessionalPracticesFrameworkforITAssurance,ISACA
A Professional Practices Framework for IT Assurance ISACA
downloadavailableforISACAmembersatwww.isaca.org

InstitutosdeAuditoresen
AmericaLatinayCaribe
y

Argentinahttp://www.facpce.org.ar
Bolivia http://www.auditorescontadoresbolivia.org/
B il http://www.cfc.org.br
Brazil
htt //
f
b
Chile http://www.colegiodecontadores.cl/
Colombia http://www.incp.org.co
CostaRica http://www.ccpa.or.cr
Mexico http://www.imcp.org.mx
Nicaragua
g
http://www.ccpn.org.ni/
p //
p
g /
Panama http://www.colegiocpapanama.org
Paraguay http://ccpy.org.py/
Peru http://www.jdccpp.pe/
Peru
http://www jdccpp pe/
Philippines http://www.picpa.com.ph
Uruguay http://www.ccea.com.uy
Bahamas http://www.bica.bs/