Norma ISAE 3402

Norma internacional de garantía

La Norma Internacional sobre Encargos de Aseguramiento ( ISAE ) 3402 , titulada Informes de Aseguramiento sobre los Controles en una Organización de Servicios , es una norma de aseguramiento internacional que describe los encargos de Control de la Organización de Servicios (SOC), que proporciona seguridad al cliente de una organización de que la organización de servicios tiene controles internos adecuados . ^[1] La ISAE 3402 fue desarrollada por el Consejo de Normas Internacionales de Auditoría y Aseguramiento ( IAASB ) y publicada por la Federación Internacional de Contadores (IFAC) en 2009. Reemplaza a la SAS 70 y pone más énfasis en los procedimientos para el seguimiento y evaluación continuos de los controles. ^[2]

Una certificación ISAE 3402 que incluye un informe de auditoría se considera un criterio de calidad para los proveedores de servicios que los distingue de sus competidores. ^[3]

También resulta rentable para un cliente contratar a un proveedor de servicios que posea una certificación ISAE 3402: el auditor del cliente puede confiar en la certificación de la organización de servicios, lo que se traduce en un presupuesto de auditoría necesario reducido.

Alcance, tipos y clasificación SOC

El alcance de un trabajo ISAE 3402 es el conjunto de controles de la organización de servicios o, para ser más precisos, los controles de la organización de servicios sobre los servicios, las funciones realizadas y las aplicaciones que probablemente sean relevantes para el cliente y su auditor para evaluar el control interno sobre la información financiera ^{[ se necesita más explicación ]} . También se lo conoce como "Marco de control interno sobre la información financiera" (ICFR) ^{[ cita requerida ]} . Al realizar un trabajo ISAE 3402, el auditor debe adoptar la posición del cliente, seleccionando y probando los controles que sean relevantes para el cliente.

La norma ISAE 3000 es una norma más general para trabajos de auditoría tanto con fines financieros como no financieros. Los trabajos de auditoría según la norma ISAE 3402 requieren que el auditor cumpla con la norma ISAE 3000.

ISAE 3402 define dos tipos de informes:

• Tipo I : Documentar una "instantánea" de los controles de la organización
• Tipo II : Documentación durante un período de tiempo (normalmente 12 meses) que muestra que los controles se han gestionado a lo largo del tiempo. ^[4]

ISAE 3402 es un informe SOC 1. SOC es un acrónimo acuñado por el Instituto Americano de Contadores Públicos Certificados (AICPA) para los controles de las organizaciones de servicios, y fue acuñado nuevamente en 2017 como controles de sistemas y organizacionales. AICPA ha definido tres tipos de informes SOC: SOC 1, SOC 2 y SOC 3. SOC 1 es una abreviatura de SOC para Organizaciones de Servicios: ICFR . SOC 2 es una abreviatura de SOC para Organizaciones de Servicios: Criterios de Servicios de Confianza . SOC 3 es una abreviatura de SOC para Organizaciones de Servicios: Criterios de Servicios de Confianza para Informe de Uso General. ^[3]

Los compromisos SOC 2 se realizan sobre la base de la norma más general ISAE 3000, mientras que los compromisos SOC 1 se realizan sobre la base de la norma ISAE 3402 (véase más arriba).

Definiciones

Para poder leer y comprender un informe ISAE 3402, son esenciales algunos términos básicos:

• Criterios : En el contexto de la ISAE 3402, se trata de estándares comparativos con los que se puede evaluar una situación. Algunos ejemplos de criterios legales y reglamentarios son los principios de la OCDE, el RGPD, MaRisk o GoBD.
• Método de exclusión : se refiere a un método según el cual el sistema de control interno de un subproveedor de servicios no se incluye en el alcance de la auditoría del proveedor de servicios. Para el cliente del proveedor de servicios, un informe ISAE 3402 con una exclusión es desfavorable porque es posible que no se hayan auditado los controles pertinentes. Ejemplo: un proveedor de servicios de TI ofrece su software al cliente como SaaS, pero no se auditan los controles del centro de datos donde se utiliza el software.
• Método inclusivo : se refiere a un método mediante el cual el sistema de control interno de un subproveedor de servicios se incluye en el alcance (extensión) de la auditoría del proveedor de servicios. Un informe ISAE 3402 que utilice el método inclusivo es beneficioso para el cliente de un proveedor de servicios.
• Controles complementarios de entidades de usuario : la auditoría del proveedor de servicios de su ICS supone que el propio cliente realiza determinados controles y asume la responsabilidad de ellos. Si el cliente no fue informado con antelación sobre los controles complementarios de entidades de usuario y no los realizó, los controles implementados en el proveedor de servicios no son eficaces (eficientes). Ejemplo: el proveedor de servicios opera un centro de datos y espera que el cliente informe de inmediato al proveedor de servicios sobre los cambios en los empleados autorizados para acceder al centro de datos. El proveedor de servicios solo concede acceso a las personas que están incluidas en la lista de acceso. Este control se audita y es eficaz. Sin embargo, si la lista de acceso subyacente no está actualizada, todo el control de acceso no es eficaz.
• Sistema : Un sistema (sistema de una organización de servicios) se define como las políticas, procedimientos y aplicaciones necesarias para proporcionar un servicio relacionado con el cliente.

Véase también

• ISAE3000
• Ley Sarbanes-Oxley
• 16 de septiembre de 2016
• SSAE N.º 18

Referencias

1. "Descripción general de la norma ISAE 3402". isae3402.com . Consultado el 17 de noviembre de 2021 .
2. "Informes de aseguramiento sobre controles en una organización de servicios: cuestiones y propuestas del grupo de trabajo del IAASB" (PDF) . Agenda principal del IAASB . IFAC . Septiembre de 2009 . Consultado el 17 de noviembre de 2021 .
3. "Listas de verificación". isae3402-audit.de . 2021-10-20 . Consultado el 2021-11-17 .
4. "Informes de control de la organización de servicios (SOC)". isae3402.com . Consultado el 17 de noviembre de 2021 .

Enlaces externos

• ISAE 3402 Informes de aseguramiento de controles en una organización de servicios Archivado el 17 de noviembre de 2021 en Wayback Machine (IFAC)
• Documento técnico de implementación de ISAE 3402: Outsourcing Assurance (isae3402.co.uk)