Click here to load reader
Upload
zuzylove
View
85
Download
19
Embed Size (px)
DESCRIPTION
ISAE2402
Citation preview
El cambio del SAS 70 al nuevo estndar SSAE 16 y ISAE3402
Carmen Ozores, CISA, CRISCCarmenOzores,CISA,CRISC
Presidente,ISACASoPauloChapter,Brasil
Ozores ConsultoriaOzores Consultoria
San Juan, Puerto RicoSanJuan,PuertoRicoOctubre2011
ObjetivoObjetivo
AgendaAgenda HistricodelSAS70 AICPASSAE16 quehaydenuevo? El estndar Internacional ISAE3402ElestndarInternacionalISAE3402 Lostiposdeinformes,conformelanecesidaddela entidad usuaria: SOC1 SOC2 SOC3laentidadusuaria:SOC1,SOC2,SOC3
ReportesTipoIyTipoII Perspectivadelauditordelaentidadusuaria ElFrameworkITAF(ITAssuranceFramework)
HistoricodelSAS70hastaelISAE3402ySSAE16
La necesidad de auditoria de prestadores de LanecesidaddeauditoriadeprestadoresdeserviciosB fi i d l SSAE16/ISAE3402 BeneficiosdelosreportesSSAE16/ISAE3402enestecontexto
ReportesSAS70,TipoIyTipoII AICPASSAE16 quehaydenuevo?q y ElestndarInternacionalISAE3402
SAS70 Histrico AICPASAS70hace18aos
SASNo.70,April1992 ServiceOrganizations
SASNo.94,May2001 TheEffectofInformationTechnologyontheAuditor'sConsiderationofInternalControlinaFinancialStatementAuditAudit
SOX,Junio2002 Informesdeauditoriasegundoelestndard SAS70 como parte de revisiones bajo la Ley SOXestndardSAS70comopartederevisionesbajolaLeySOX
April2010,SSAENo.16 ReportingonControlsataServiceOrganization
Source: ISACAWhite Paper New Service Auditor Standard:Source:ISACAWhitePaper,New Service Auditor Standard: A User Entity Perspective
Elcontexto Objetivoesobtenerevidenciadeloscontrolesinternos en la organizacin prestadora deinternosenlaorganizacinprestadoradeserviciosasociadosalosinformesfinancieros
d d d l d d l d d Necesidaddelauditordelaentidadusuariatenergarantasuficientedelacalidaddelos
l bcontrolessobrecuentas,transaccionesyinformes
SAS70 Definiciones ServiceEntity laentidadprestadoradeservicios User Entity la entidad tomadora de los serviciosUserEntity laentidadtomadoradelosservicios AuditordelaServiceEntity elauditorindependendiente (CPA)que emite los reportesindependendiente(CPA)queemitelosreportes
AuditordelaUserEntity elauditorindependientequerevisaloscontrolesdelaentidadeusuariaq
ControlesRelevantesparaelprocessodereportesfinanceiros
ControlesdeTIquesuportanlosprocesoscriticosdenegocio
SSAE16yISAE3402
Quehacambiado?
ISAE3402 nuevosestandardsdelIAASBdefinenunbenchmarkingglobalparareportedeasseguraciondeloscontrolesdelasorganizacionesdeservicios
SSAE16 AICPA,elcorrespondienteestndarenUSA
ISAE3402
120PasesmiembrosdeIFACEj en Amrica Latina: Brasil Argentina Mexico Ej.enAmricaLatina:Brasil,Argentina,Mexico,Colombiayotrosms
Los reportes deben ser emitidos bajo el LosreportesdebenseremitidosbajoelISAE3402,dondenohayanormaslocales
E B il l CFC iti NBC TO 3402 j li EnBrasilelCFCemitinormaNBCTO3402,enjulio2011,segnelmodelodelISAE3402
USA AICPA SSAE 16 USA AICPASSAE16 SigueelmodeloISAE3402
AlgunasNormasNacionales
Pas NormaUSA SSAE16
Brasil NBC TO 402Aprobada en 27/07.2011 Norma local consistente con ISAE 3402
Chile NAGA AU324NAGA 56, Seccin 324
Al i PS951Alemania PS951
Australia ASAE 3402
India AAS 24India AAS 24UK ICAEW AAF 02/07 and AAF 01/06
NormasNacionales Brasil NBCTO3402 Norma aprovada pela Resoluo n 1 354 do CFCNormaaprovadapelaResoluon1.354doCFC(ConselhoFederaldeContabilidade)
Assegurao de Controles em Organizao PrestadoraAsseguraodeControlesemOrganizaoPrestadoradeServios
Emvigordesde20/07/2011g / /
Elaborada de acordo com ISAE 3402ElaboradadeacordocomISAE3402
EstndarinternacionalISAE3402ISAE3402
Principales CambiosPrincipalesCambios
El nuevo estndar tiene la caracterstica deElnuevoestndartienelacaractersticadeacreditacin(attestation)
Que esto significa? Queestosignifica? Elauditordebeexigirunadeclaracinde
bilid d d l i d l id dresponsabilidaddelagerenciadelaentidaddeservicio
Principales Cambios Paraquelagerenciapuedaasumirla
PrincipalesCambios
responsabilidad,elReportecontiene(reporteTipoII)( p p ) Unadescripcinquerepresentedemanerafidedignalossistemasdecontrol
Unaafirmacindequeloscontrolestienenundiseoadecuado
Unaafirmacindequeloscontrolesseanefectivosduranteelperiodoauditado
PrincipalesCambios Uncriterioadecuadoparadescribirlossistemasdecontrol y su implementacin debe contener:controlysuimplementacindebecontener: Lostiposdeserviciosprestadosyclasesdetransacciones Losprocedimientos,seaautomatizadosomanualesp , Losregistrosrelacionadosylainformacindesuporte,manualesoelectrnicos
Losobjetivosdecontrolyactividadesdecontrolparaestosobjetivos
Risk assessment controles de monitoreo y otros procesosRiskassessment,controlesdemonitoreoyotrosprocesosdelambientedecontrol
PrincipalesCambios
ElperiododelaauditoriaOpinionesdelauditorylaafirmacindelagerenciadebeseextenderatodoelperodog pdelreporte(delosinformesfinancieros)
En contrario al anterior, donde las opinionesEncontrarioalanterior,dondelasopinionesacercadeldiseodelcontrolerabaseelultimo da del periodoultimodadelperiodo
PrincipalesCambios Comoutilizareltrabajoejecutadoporlaauditoriainternadelaorganizacindegservicio Las sesiones del reporte con los testes deLassesionesdelreporteconlostestesdecontrolesyresultadosdebeincluirladescripcin de procedimientos del auditordescripcindeprocedimientosdelauditorinternoLos procedimientos del auditor con Losprocedimientosdelauditorconrespectoaestetrabajodelaauditoriainternainterna
Enqueaspectoselnuevoestndari l l ?esigualalSAS70?
Los dos tipos de reporte Tipo I y Tipo IILosdostiposdereporteTipoIyTipoII ReporteTipoII mnimo6meses Reportes limitados al uso por la auditoria no debeReporteslimitadosalusoporlaauditoria,nodebeserutilizadoparaotrasfinalidades,porej.clientesopotencialesinversionistas.p
LostestesyresultadosdelosauditoresdebenestardocumentadosenreporteTipoII
Tamaodeamuestrasreveladoscuandoseidentificadesvosdeloscontroles
PerspectivadelAuditordelaentidadusuaria
Elauditordelaentidadusuariadebe9Evaluarsilosobjetivosdecontrolestncompletos9 siatiendenaunrangoampliodelaentidadusuaria9Analizarcrticamentelasconsideracionesdecontroldeusuariosespecificadasenelreporte9Analizarcrticamentelostestesejecutadosporelauditordelaentidadprestadoradeservicios9Tenerenconsideracinlosresultadosdelostestes
SSAE16yISAE3402yTiposdeReportes
L t SOC (S i O i ti C t l) i LosreportesSOC(ServiceOrganizationControl)sirvenparaayudarlaorganizacionprestadoradeserviciosaobtener la confiabilidad de los procesos de entrega deobtenerlaconfiabilidaddelosprocesosdeentregadeserviciosyloscontrolspormediodeumreporteemitidoporunauditorindependiente.
ElStandardISAE3402define3tiposdereportesp p SOC1,SOC2,SOC3
ServiceOrganizationControl(SOC)SOC 1SOC 1SMSM ReportsReportsSOC1SOC1SMSM ReportsReports Controlesrelevantesalos
controlesinternosdelaentidadusuariaparalaemisiondelosreportesfinanceiros
SOC 2SOC 2SMSM ReportsReportsSOC2SOC2SMSM ReportsReportsControlesdelaEntidadedeServiciosrelevantesSeguridad,Disponibilidad,IntegridaddelosProcessos,ConfidencialidadyPrivacidadPrivacidad
SOC3SOC3SMSM ReportsReportsTrustServicesReportforServiceO i iOrganizations.
Service Organization Control (SOC)
Controlesinternosparalosreportesfinancieros? ReportReportSOCSOC1 esmsapropriadopp p p
Hayintersprincipalencontrolesoperacionalesycompliance, como los relacionados a seguridad,compliance,comolosrelacionadosaseguridad,disponibilidad,integridad,confidencialidadoprivacidad? SOC2SOC2 ooSOC3SOC3 ,conformeelnveldedetallerequerido
DecidircualreportasnecesarioEntender las necesidades de la entidad usuaria
Entidadusuarianecesitadetallessobrelos
Entenderlasnecesidadesdelaentidadusuaria
procesososistemas? SOC1 controldelprocesodelosinformesfi ifinancieros
SOC2 abrangenciadecontrolesdeotrosprocesosafuera los reportes financierosafueralosreportesfinancieros
Entidadusuarianecesitasolounsumariodeloscontroles, un sello de acreditacion para suscontroles,un sello deacreditacionparasusclientes? SOC3 noasrestritoaauditoria
Controlesdesubcontratos
Comoreportarcuandohaysubservicios?p y Escomnenlacadenadesuministro,laentidad prestadora de servicios tenerentidadprestadoradeserviciostenersubcontratos
Mtodo Carve out excluye los controles de MtodoCarveout excluyeloscontrolesdelaorganizacinprestadoradelsubservicio d l l l l d l MtodoInclusivo incluyeloscontrolesdela
organizacinsubcontratada
ExemplodeReportCarveoutMethod
Escopo E aminamos la descripcion de la Organi acion de ExaminamosladescripciondelaOrganizaciondeServiciosXYZdelossistemasdeprocesamientodelas transacciones de la entidad usuaria en el periodolastransaccionesdelaentidadusuaria,enelperiodode[fecha]a[fecha] ylaadequaciondeldiseoyefetividadedelaoperaciondeloscontrolesparaalcanzarlosobjetivosdecontrolrelacionadosenestadescripcion
LaOrganizacindeServiciosXYZutilizaunaorganizacionprestadoradeserviciosdeprocesamientoparatodaslasaplicacionescomputadorizadas.Adescripcionenlaspaginasbbccincluyensolamente los controles y objetivos de control relacionados de lasolamenteloscontrolesyobjetivosdecontrolrelacionadosdela..
EjemplodeReportCarveoutMethod
La Organizacin de Servicios XYZ utiliza unaLaOrganizacindeServiciosXYZutilizaunaorganizacionprestadoradeserviciosdeprocessamientoparatodaslasaplicacionescomputadorizadas.Adescripcionenlaspaginasbbccincluyensolamenteloscontrolesyobjetivosde
t l l i d d l O i i XYZ l icontrolrelacionadosdelaOrganizacionXYZyexcluilosobjetivosdecontrolycontrolesrelacionadosdela organizacion de procesamientolaorganizaciondeprocesamiento
EjemplodeReportInclusiveMethod
Escopo Revisamosladescripcin,delasOrganizacionesdeServicios
XYZydeSubserviciosABC,delossistemasdeprocesamiento de las transacciones de la entidad usuaria, enprocesamientodelastransaccionesdelaentidadusuaria,enelperiodode_/_/_a_/_/_ylaadequaciondeldiseoyefetividadedelaoperaciondeloscontrolesdelasOrganizaciones de Servicio XYZ y de Subservicio ABC paraOrganizacionesdeServicioXYZydeSubservicioABC,para
LaOrganizacindeSubServiciosABCasunaorganizacionindependientedeserviciosacualproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.Las descripcin de los servcios de la Organizacion de Servicios XYZ inclui laLasdescripcindelosservciosdelaOrganizaciondeServiciosXYZincluiladescripciondelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZparaprocesodetransacionesdesusentidadusuarias,asicomolosobjetivosdecontrolycontrolsrelevantesdaOrganizaciondeSubservicioABC.
EjemplodeReportInclusiveMethod
La Organizacin de SubServicios ABC es unaLaOrganizacindeSubServiciosABCesunaorganizacionindependientedeserviciosqueproveeprocesamientodedatosalaOrganizaciondeServicioXYZ.LadescripcindelosserviciosdelaOrganizacindeServiciosXYZincluiladescripciond l i t d l O i i d S b i i ABCdelsistemadelaOrganizaciondeSubservicioABCutilizadaporXYZparaprocesodetransacionesdesus entidad usuarias asi como los objetivos desusentidadusuarias,asicomolosobjetivosdecontrolycontrolsrelevantesdaOrganizaciondeSubservicioABC.
El auditor de TI en la entidad usuriaElauditordeTIenlaentidadusuria
Aspectos importantes para el auditor de TIAspectosimportantesparaelauditordeTIenlaentidadusuariaHacer referencia a los reportes emHacerreferenciaalosreportesemauditoriasinternasyporoutrolado,mantener documentaciones que suporte almantenerdocumentacionesquesuportealauditordelosinformesISAE3402El ITAF f k l di ElITAFcomoumframeworkparaelauditordeTI
IT Assurance Framework (ITAF)ITAssuranceFramework(ITAF)
ITAssuranceFramework(ITAF) PorqueesimportanteunframeworkcomunparalaauditoriadeTI?p
LaTIespervasive,solucionesconbaseenTIsustitui de manera crescente los chequeos ysustituidemaneracrescenteloschequeosyaprovacionesgerencialesmanuales
As la necesidad de prover los accionistas y As,lanecesidaddeproverlosaccionistasyreguladoresconinformacionesacercadelaefetividad de los controles internosefetividaddeloscontrolesinternosautomatizadostanbiensitornamsymsimportanteimportante
ITAssuranceFramework(ITAF)
Whom? A quien se aplica el ITAF?Whom?AquienseaplicaelITAF? When?CuandoITAFdebeserutilizado?
h ? d d b ili d l Where?DondedebenserutilizadoslosestandaresdeISACAyguiasrelacionados?
A quien se aplica el ITAF?AquienseaplicaelITAF? ITAFseaplicaaauditoresyprofesionalesque
d lactuanenproverassurancedeloscomponentesdesistemas,aplicacionesyi f d TIinfraestruturadeTI
Losestandardesyguidelinessondiseadosparaproverbeneficiosaunaaudienciamsamplia,nosololosauditores,tanbienalosusuariosdelaauditoriaydelosreportes
CuandoITAFdebeserutilizado? Aplicacindeunframeworkesunprerequisito para los trabajos de assurancerequisitoparalostrabajosdeassurance Aquiseaplicanlasauditoriasquevanaservircomobaseparareportesdelasauditoriasbajoelp p jISAE3402/SSAE16,auditoriasdecompliance
Estndardes(mandatorios)yguiasdetecnicasy( ) y g yherramientasparaapoyarlaejacuciondeltrabajodeassurance
Dondedebenserutilizadoslosd d lestandaresyguidelines?
ITAF es aplicable a toda auditoria formalITAFesaplicableatodaauditoriaformal
di i f AuditoriasconfocoenIT AuditoriasdeTIparaapoyaralaauditoriaoperacionalofinanciera
ITAFnoseaplicaaconsultoriasoadvisory,dondenohaylanecesidadedeunreporteformal
TiposdeReportescombaseenlasnecesidadesdeusop p
ITAF LosestndardsellapraticaSection3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice
Cada session de los guidelines tienen el foco en uno de Cadasessiondelosguidelinestienenelfocoenunodelossiguientes Questiones y procesos de TI que el auditor de TIQuestionesyprocesosdeTIqueelauditordeTItienequecompreenderyconsiderarenladeterminaciondelplaneamiento,escopo,ejecucionyinformesdelasauditorias
LasquestionesYprocessosdeauditoria,procedimientos,metodologiasyabordajesqueelauditordeTIdebeconsiderarcuandoconduzirlasti id d d dit iatividadesdeauditoriaoassurance
LosestndardsellapraticaSection3000ITAssuranceGuidelines:Puttingg
theStandardsIntoPractice
Section3000ITAssuranceGuidelines:PuttingtheStandardsI P iIntoPractice
Section3100ITAssuranceGuidelines:OverviewandUse Section 3000 trata de los guidelines en las areas Section3000tratadelosguidelinesenlasareas
3200EnterpriseTopics3400 IT Management Processes 3400ITManagementProcesses
3600ITAuditandAssuranceProcesses3800 IT Audit and Assurance Management 3800ITAuditandAssuranceManagement
IT Assurance Framework (ITAF)ITAssuranceFramework(ITAF) ElframeworkITAFcontienelossiguientes
d id li l di i d TIestndaresyguidelinesparalaauditoriadeTIGeneralStandardsPerformanceStandardsReporting StandardsReportingStandardsGuidelinesT l d h i Toolsandtechniques
ReportingStandards Reportingstandardsdescriben
Ti d R tTiposdeReportesFormasdecomunicacinLainformacinasercomunicadayaquienquien
Losestndaresdeauditoriapuedenserl d d dcomplementadosporestosestndaresde
reportedecontrolesdeTI
Consideracionesfinales Losestndaresfornecenunbenchmarkingparalaauditoriainternacional convariosserviciostercerosdistribuidosenpasesdiversos,estoesdegranimportancia
Compaasquenoestnbajolasregulacionesinternacionales,puedensiaplicarestosestndarescomo una practica para estar preparado para uncomounapracticaparaestarpreparadoparauncrecimientofuturo Es un diferencial a las compaas de serviciosEsundiferencialalascompaasdeservicios,mostrarasusclientesquetieneunsellodeconfiabilidad
Carmen Ozores CISA CRISCCarmenOzores,CISA,CRISCPresidente
ISACASoPauloChapter,Brasil
[email protected]+551196877081
Ozores ConsultoriaOzores Consultoria
Referencias AICPAInformation
AICPA,TrustServicesPrinciples,www.aicpa.org/trustservices AICPA Generally Accepted Privacy Principles www aicpa org/privacyAICPA,GenerallyAcceptedPrivacyPrinciples,www.aicpa.org/privacy AICPAsInformationTechnologyInterestArea(aicpa.org/infotech)
AboutSAS70 www.sas70.coml l d d h ISACAJournalVol2,2011 UnderstandingtheNewSocReports,
TommieW.Singleton,Ph.D.,CISA,CGEIT,CITP,CMA,CPA
ISACAWhitePaper:NewServiceAuditorStandard:AUserEntityPerspective,TommieW.Singleton,www.isaca.org/research
ITAF: A Professional Practices Framework for IT Assurance ISACA ITAF:AProfessionalPracticesFrameworkforITAssurance,ISACAdownloadavailableforISACAmembersatwww.isaca.org
InstitutosdeAuditoresenAmericaLatinayCaribey
Argentinahttp://www.facpce.org.ar Bolivia http://www.auditorescontadoresbolivia.org/
B il htt // f b Brazil http://www.cfc.org.br Chile http://www.colegiodecontadores.cl/ Colombia http://www.incp.org.co CostaRica http://www.ccpa.or.cr Mexico http://www.imcp.org.mx Nicaragua http://www.ccpn.org.ni/g p // p g / Panama http://www.colegiocpapanama.org Paraguay http://ccpy.org.py/ Peru http://www jdccpp pe/ Peru http://www.jdccpp.pe/ Philippines http://www.picpa.com.ph Uruguay http://www.ccea.com.uy Bahamas http://www.bica.bs/