stringtranslate.com

SSAE N.º 18

La Declaración sobre Normas para Trabajos de Certificación n.º 18 ( SSAE n.º 18 o SSAE 18 ) es una Norma de Auditoría Generalmente Aceptada producida y publicada por el Consejo de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) . Aunque establece que podría aplicarse a casi cualquier tema, su enfoque es informar sobre la calidad (precisión, integridad, imparcialidad) de los informes financieros. Presta especial atención al control interno , extendiéndose a los controles sobre los sistemas de información involucrados en los informes financieros. Está destinada a ser utilizada por los Contadores Públicos Certificados que realizan trabajos de certificación, la preparación de una opinión escrita sobre un tema y las organizaciones cliente que preparan los informes que son objeto del trabajo de certificación. Prescribe tres niveles de servicio: examen, [1] revisión, [2] y procedimientos acordados. [3] También prescribe dos tipos de informes: Tipo 1, que incluye una evaluación del diseño del control interno, y Tipo 2, que incluye además una evaluación de la eficacia operativa de los controles. [4] Publicado en abril de 2016, [5] SSAE 18 y todas las normas anteriores que reemplaza están representadas en la sección AT-C de las Normas Profesionales del AICPA , y la mayoría de las secciones entraron en vigencia el 1 de mayo de 2017. [6]

Historia e influencias

Precedentes y publicación inicial

SAS 70 : En abril de 1992, el AICPA publicó Informes sobre el procesamiento de transacciones por organizaciones de servicios; Declaración sobre normas de auditoría, 070 , que proporciona orientación al auditar los estados financieros de una entidad que utiliza una organización de servicios para procesar transacciones que afectan los informes financieros. [7]

Control interno COSO: marco integrado : En septiembre de 1992, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) publicó un informe titulado Control interno: marco integrado , que proporcionaba una definición de control interno y un marco para evaluar y mejorar el control interno sobre los sistemas. [8]

SAS 78 : En diciembre de 1995, el AICPA publicó Consideración de la estructura de control interno en una auditoría de estados financieros: una enmienda a la SAS n.° 55; Declaración sobre normas de auditoría, 078 , que reemplazó a la SAS 55 , para reflejar la definición de control interno proporcionada en el Marco integrado de control interno de COSO. [9]

ISAE 3402 : En diciembre de 2009, el Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB) publicó una nueva Norma Internacional para Encargos de Aseguramiento, ISAE 3402 , titulada Informes de Aseguramiento sobre Controles en una Organización de Servicios , [10] [11] también conocida como Marco de Control Interno sobre Información Financiera (ICFR). Se centra en "encargos de aseguramiento cuando se informa sobre controles en una organización de servicios que probablemente impacten o sean parte del sistema de control interno sobre información financiera de la organización usuaria". Especifica que es aplicable la ISAE 3000. La ISAE 3402 fue adoptada por la Federación Internacional de Contadores (IFAC). [12]

SSAE 16 : En abril de 2010, el AICPA publicó la Declaración sobre estándares para trabajos de certificación n.° 16 (SSAE 16), titulada Informes sobre controles en una organización de servicios , que reemplazó a SAS 70 y se incluyó en los estándares profesionales como sección AT 801 [13]. Los cambios en esta actualización acercaron el estándar a la estructura de informes requerida por la Ley Sarbanes Oxley y los estándares respaldados por la Federación Internacional de Contadores (IFAC). [14]

SOC : en 2011, junto con la publicación de SSAE 16, el AICPA reemplazó el informe de examen del auditor de servicios prescrito por SAS 70 con el conjunto de informes de Controles del sistema y la organización (SOC). [11] [15] [16]

Criterios de servicios de confianza : En 2014, el Comité Ejecutivo de Servicios de Aseguramiento (ASEC) de la AICPA publicó una nueva guía, Principios y criterios de servicios de confianza para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad , a la que se hace referencia simplemente como criterios de control. Los nuevos criterios de control se alinearon con los 17 principios del Marco Integrado de Control Interno de COSO . Incluían criterios para complementar el principio 12 de COSO al abordar los controles para el acceso lógico y físico, las operaciones del sistema, la gestión de cambios y la mitigación de riesgos. [17]

SSAE 18 : En abril de 2016, el AICPA publicó la Declaración sobre estándares para trabajos de certificación 18; Estándares de certificación: aclaración y recodificación en respuesta a "las inquietudes sobre la claridad, extensión y complejidad de sus estándares", [5] y la mayoría de las secciones entraron en vigencia el 1 de mayo de 2017. [18] La SSAE n.° 18 reemplaza e integra la mayoría de las versiones anteriores de la SSAE en un único estándar aclarado. [6]

Cambios introducidos por SSAE 18

Aclaración y recodificación

La SSAE N° 18 aclaró y revisó todas las SSAE anteriores, excepto la SSAE N° 10, capítulo 7, que se colocó en la sección 395 de la AT-C sin aclaraciones, y la SSAE N° 15, que fue reemplazada por la Declaración sobre Normas de Auditoría N° 130 y se trasladó a la sección 940 de la AU-C. Los números de sección de la AT para las SSAE reemplazadas se recodificaron en las Normas Profesionales como sección "AT-C" para evitar confusiones con las normas anteriores codificadas como sección "AT". [6]

Controles de organización de subservicios complementarios

La SSAE N.° 18 requiere la consideración de los controles complementarios de la organización de subservicios, que son los controles para partes de los sistemas de la organización de servicios que se subcontratan a otras organizaciones de servicios. [19]

Acontecimientos recientes

Se han producido algunos avances notables en las normas de auditoría de garantía de la información desde la publicación inicial de la SSAE n.° 18 que afectan la presentación de informes conforme a esta norma.

Marco de presentación de informes de gestión de riesgos de ciberseguridad : en 2017, el Comité Ejecutivo de Servicios de Aseguramiento (ASEC) de la AICPA publicó materiales nuevos y revisados ​​que, en conjunto, forman un marco de presentación de informes de gestión de riesgos de ciberseguridad. El marco tiene como objetivo ayudar a las organizaciones en la descripción de las actividades de gestión de riesgos de ciberseguridad. También tiene como objetivo ayudar a los contadores públicos a realizar trabajos de examen, conocidos como SOC para exámenes de ciberseguridad. Los tres recursos que forman el marco son: [20] [21] [22]

  1. Descripción Criterios , titulado Criterios para describir un conjunto de datos y evaluar su integridad , introducido en 2017, está destinado a ser utilizado por la gerencia y los contadores públicos para describir e informar sobre sus medidas de gestión de riesgos. [23]
  2. Los criterios de control , titulados Criterios de servicios de confianza para la seguridad, la disponibilidad y la confidencialidad , revisados ​​en 2017, están destinados a los contadores públicos que brindan servicios de asesoramiento o certificación para evaluar e informar sobre la eficacia de los controles. [17]
  3. La guía de certificación , titulada Informes sobre el programa y los controles de gestión de riesgos de ciberseguridad de una entidad , presentada en 2017, tiene como objetivo ayudar a los contadores públicos a informar sobre los controles del sistema y la organización para la gestión de riesgos de ciberseguridad.

Criterios de servicios de confianza (TSC) : En 2017, como parte del Marco de presentación de informes de gestión de riesgos de ciberseguridad , el Comité Ejecutivo de Servicios de Garantía (ASEC) de AICPA publicó actualizaciones de los Criterios de servicios de confianza para seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad , a los que se hace referencia como criterios de control en el "Marco de presentación de informes de gestión de riesgos de ciberseguridad". Los informes SOC 2 o SOC 3 con un período de examen que finalice el 15 de diciembre de 2018 o después deben cumplir con los criterios de control revisados. [17] [24] [25]

SOC : A partir de 2018, el AICPA continúa actualizando y ampliando su guía de informes de controles de sistemas y organizaciones (SOC). Esto incluye material nuevo como SOC para organizaciones de servicios [26] y SOC para el marco de informes de ciberseguridad [27] .

Secciones y organización

Las secciones de la SSAE n.° 18 están representadas en la sección AT-C de las Normas Profesionales del AICPA . El esquema de las secciones es el siguiente: [5]

§105 Conceptos comunes a todos los trabajos de certificación

La sección 105 de AT-C, vigente desde el 1 de mayo de 2017, define los requisitos para todos los tipos de trabajos de certificación. Describe un trabajo de certificación como uno de los tres niveles de servicio, que se definen en las secciones 205, 210 y 215. También identifica los tres objetivos generales de un trabajo de certificación [18] [5]

§205 Compromisos de examen

La sección 205 del AT-C, vigente a partir del 1 de mayo de 2017, define principalmente los requisitos y contenidos de un compromiso de examen , uno de los tres niveles de servicio de un compromiso de certificación. [1] [5]

§210 Compromisos de revisión

La sección 210 del AT-C, vigente a partir del 1 de mayo de 2017, define principalmente los requisitos y contenidos de un compromiso de revisión , uno de los tres niveles de servicio de un compromiso de certificación. [2] [5]

§215 Compromisos de procedimientos acordados

La sección 215 del AT-C, vigente a partir del 1 de mayo de 2017, define principalmente los requisitos y contenidos de un compromiso de procedimientos acordados , uno de los tres niveles de servicio de un compromiso de certificación. [3] [5]

§305 Información financiera prospectiva

La sección 305 de la AT-C, vigente a partir del 1 de mayo de 2017, extraída de la SSAE N.° 18, contiene requisitos y orientación para examinar o llevar a cabo procedimientos acordados sobre información financiera prospectiva. [28] [5]

§310 Informes sobre información financiera proforma

La sección 310 de AT-C, vigente a partir del 1 de mayo de 2017, extraída de la SSAE N.° 18, contiene requisitos y orientación para examinar o revisar la información financiera proforma. [29] [5]

§315 Certificación de cumplimiento

La sección 315 del AT-C, vigente a partir del 1 de mayo de 2017, extraída de la SSAE N.° 18, contiene requisitos y orientación para realizar los siguientes tipos de trabajos:

§320 Informe sobre un examen de los controles en una organización de servicios relevantes para el control interno de las entidades usuarias sobre los informes financieros

La sección 320 de AT-C, extraída de la SSAE N.° 18, vigente desde el 1 de mayo de 2017, contiene requisitos y orientación para examinar los controles en las organizaciones de servicios que prestan servicios a entidades usuarias cuando dichos controles son relevantes para el control interno de las entidades usuarias sobre la presentación de informes financieros. También puede aplicarse a la presentación de informes sobre controles internos distintos de los informes financieros. [4] [5]

§395 Designado para AT Sección 701, Análisis y discusión de la gerencia

La sección 395 del AT-C, extraída de la SSAE n.° 18, vigente desde el 1 de junio de 2001, contiene requisitos y orientación para los trabajos de certificación relacionados con el análisis y discusión de la gerencia (MD&A), como los que se presentan en los informes anuales a los accionistas. [31]

Definiciones

Roles y responsabilidades

La SSAE 18 identifica dos funciones principales durante la formación de un compromiso de certificación: [18]

  1. Practicante , persona que ejerce la contabilidad pública, que realiza el trabajo; y
  2. Parte contratante , entidad que contrata al profesional para realizar una certificación.

La SSAE 18 se refiere a dos roles que son los actores principales durante un compromiso de certificación: [18]

  1. El profesional , también denominado en la sección 320 auditor de servicios , la persona que realiza el trabajo de certificación; y
  2. La parte responsable , también denominada organización de gestión o de servicios o proveedor de servicios , que es la parte encargada de proporcionar las declaraciones, descripciones y/o aseveraciones que son objeto del trabajo de certificación.

La SSAE 18 identifica dos roles subordinados que puede desempeñar el profesional: [18]

  1. Otro profesional que proporcione información que será utilizada como prueba por el profesional; y
  2. Especialista del profesional , que "posee experiencia en un campo distinto al de la contabilidad o la certificación", que ayuda a reunir pruebas.

La SSAE 18 también identifica otros roles relevantes que no participan directamente en la auditoría: [18]

Niveles de servicio

Las secciones 205, 210 y 215 tienen por objeto definir los tres niveles de servicio para cualquier compromiso de certificación, aunque otras secciones aplicables pueden especificar requisitos adicionales para el compromiso:

  1. Para un compromiso de examen , los objetivos del profesional son: [1]
    1. para obtener la seguridad de que el asunto en cuestión está libre de inexactitudes significativas, y
    2. expresar una opinión sobre si el asunto en cuestión cumple con los criterios especificados o la afirmación de la parte responsable y está expresado de manera justa.
  2. Para un trabajo de revisión , los objetivos del profesional son: [2]
    1. para obtener una seguridad limitada de que el asunto en cuestión cumple los criterios especificados o la afirmación de la parte responsable, y
    2. expresar una conclusión sobre si se deben realizar modificaciones para cumplir con los criterios o la afirmación especificados y estar redactada de manera justa.
  3. En el caso de un compromiso de procedimientos acordados , el objetivo del profesional es: [3]
    1. emitir un informe de conclusiones basado en procedimientos específicos acordados que se aplican al asunto en cuestión, donde las partes especificadas determinan los procedimientos utilizados.

Las secciones 205, 210 y 215 también prescriben o prohíben ciertos niveles de servicio de contratación de certificación dependiendo del tema.

Tipos de informes

La sección 320 de la SSAE 18, titulada "Informe sobre un examen de controles en una organización de servicios relevante para el control interno de las entidades usuarias sobre los informes financieros", define dos tipos de formatos de informe, tipo 1 y tipo 2, que varían en su contenido, lo que diferencia aún más el nivel de servicio que se debe realizar en un compromiso de certificación para este tema: [4] [32]

Tema

La SSAE 18 establece que puede ser aplicable a cualquier tema, aunque la naturaleza del tema es un factor clave para determinar qué secciones de la norma son aplicables y qué nivel de servicio de trabajo de certificación puede realizar el profesional. Todos los trabajos de certificación se basan en el concepto de que el profesional informa una opinión sobre una declaración, descripción o aseveración hecha por la parte responsable sobre un tema.

Referencias

  1. ^ abc "AT-C Sección 205 Examination Engagements" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  2. ^ abc "AT-C Sección 210 Revisión de compromisos" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  3. ^ abc "AT-C Sección 215 Procedimientos acordados de compromisos" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  4. ^ abc "AT-C Sección 320 Informe sobre un examen de controles en una organización de servicios relevante para el control interno de las entidades usuarias sobre los informes financieros" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 14 de febrero de 2020 .
  5. ^ abcdefghijk "Declaración sobre normas para trabajos de certificación 18 Normas de certificación: aclaración y recodificación" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA). Abril de 2016 . Consultado el 14 de febrero de 2020 .
  6. ^ abc "Declaraciones aclaratorias sobre las normas para los trabajos de certificación". aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 14 de febrero de 2020 .
  7. ^ "Informes sobre el procesamiento de transacciones por parte de organizaciones de servicios; Declaración sobre normas de auditoría, 070". Declaraciones sobre normas de auditoría . Instituto Americano de Contadores Públicos Certificados (AICPA). Enero de 1992 . Consultado el 15 de febrero de 2020 .
  8. ^ "Control interno - Marco integrado". coso.org . Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Archivado desde el original el 28 de febrero de 2009 . Consultado el 15 de febrero de 2020 .
  9. ^ "Consideración de la estructura de control interno en una auditoría de estados financieros: una enmienda a la SAS n.º 55; Declaración sobre normas de auditoría, 078". Declaraciones sobre normas de auditoría . Instituto Americano de Contadores Públicos Certificados (AICPA). Enero de 1995 . Consultado el 15 de febrero de 2020 .
  10. ^ Seshadri, Deepa (1 de marzo de 2013). "Mitos comunes de los informes de controles de organizaciones de servicios (SOC)". isaca.org . ISACA . Consultado el 17 de febrero de 2020 .
  11. ^ ab van Gils, HGTH.; JJ, van Beek (abril de 2017). "La nueva norma de aseguramiento estadounidense SSAE 18: ¿una actualización práctica de la norma internacional ISAE 3402?". Compact . 2017 (4) . Consultado el 15 de febrero de 2020 .
  12. ^ "Norma internacional sobre encargos de aseguramiento (ISAE) 3402: Informes de aseguramiento sobre controles en una organización de servicios" (PDF) . ifac.org . Federación Internacional de Contadores (IFAC) . Consultado el 15 de febrero de 2020 .
  13. ^ "Sección 801 de AT Informes sobre controles en una organización de servicios" (PDF) . aicpa.org . Instituto Americano de Contadores Profesionales Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  14. ^ Wood, Brian (9 de junio de 2014). "SAS 70 vs. SSAE 16: ¿Cuál es la diferencia?". nfinit.com . NFINIT (anteriormente AIS Technology Services) . Consultado el 17 de febrero de 2020 .
  15. ^ "Controles de sistemas y organizaciones (SOC): conjunto de servicios SOC". aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 15 de febrero de 2020 .
  16. ^ "Descripción general de SSAE 16". ssae16.com . SSAE16.com . Consultado el 15 de febrero de 2020 .
  17. ^ abc "Criterios de servicios de confianza para seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad" (PDF) . aicpa.org . Comité Ejecutivo de Servicios de Aseguramiento (ASEC) de AICPA. 2017 . Consultado el 17 de febrero de 2020 .
  18. ^ abcdef "Conceptos comunes a todos los trabajos de certificación de la sección 105 de la AT-C" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 14 de febrero de 2020 .
  19. ^ Arnold, Mark (21 de febrero de 2019). "La importancia de SSAE 18, SOC 1 y 2". navisite.com . Navisite . Consultado el 15 de febrero de 2020 .
  20. ^ "Hoja informativa sobre la gestión de riesgos de ciberseguridad" (PDF) . aicpa.org . AICPA . Consultado el 17 de febrero de 2020 .
  21. ^ "AICPA presenta un marco de presentación de informes sobre gestión de riesgos de ciberseguridad". aicpa.org . AICPA. 26 de abril de 2017 . Consultado el 17 de febrero de 2020 .
  22. ^ Tysiac, Ken (26 de abril de 2017). "Un nuevo marco de presentación de informes sobre gestión de riesgos de ciberseguridad para la dirección y los contadores públicos". journalofaccountancy.com . Journal of Accountancy . Consultado el 18 de febrero de 2020 .
  23. ^ "Criterios para describir un conjunto de datos y evaluar su integridad" (PDF) . aicpa.org . AICPA. 1 de enero de 2020 . Consultado el 18 de febrero de 2020 .
  24. ^ Bell, Dennis (5 de noviembre de 2018). "Nuevos criterios de servicios de confianza SOC 2 y SOC 3: ¿está preparada su organización de servicios?". grantthornton.com . Grant Thornton LLP . Consultado el 17 de febrero de 2020 .
  25. ^ Prasad, Varun (26 de marzo de 2019). "El próximo desafío en los informes de cumplimiento de TI: criterios de servicios de confianza SOC2 2017". isaca.org . ISACA . Consultado el 17 de febrero de 2019 .
  26. ^ "SOC para organizaciones de servicios". aicpa.org . AICPA . Consultado el 17 de febrero de 2020 .
  27. ^ "SOC para el cumplimiento de la ciberseguridad: un examen integral de la gestión de riesgos". barradvisory.com/ . BARR Advisory, PA 14 de febrero de 2018 . Consultado el 18 de febrero de 2020 .
  28. ^ ab "Información financiera prospectiva de la sección 305 de la AT-C" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  29. ^ ab "AT-C Sección 310 Informes sobre información financiera proforma" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  30. ^ ab "AT-C Sección 315 Certificación de cumplimiento" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 17 de febrero de 2020 .
  31. ^ ab "Sección 395 de AT-C designada para la Sección 701 de AT, Análisis y discusión de la gerencia" (PDF) . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 14 de febrero de 2020 .
  32. ^ "Cumplimiento de SOC 2". imperva.com . Imperva . Consultado el 25 de febrero de 2020 .

Enlaces externos