stringtranslate.com

16 de septiembre de 2016

La Declaración sobre normas para trabajos de certificación n.º 16 (SSAE 16) es una norma de auditoría para organizaciones de servicios, elaborada por el Consejo de normas de auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) , que sustituye a la Declaración sobre normas de auditoría n.º 70 (SAS 70) y ha sido sustituida por la SSAE n.º 18. [ 1]

El "examen del auditor de servicios" de SAS 70 se reemplaza por un informe de Controles del sistema y de la organización ( SOC ). [2] SSAE 16 se emitió en abril de 2010 y entró en vigencia en junio de 2011. Muchas organizaciones que siguieron SAS 70 ahora han cambiado a SSAE 16. [ cita requerida ] Algunas organizaciones de servicios utilizan el estado del informe SSAE 16 para demostrar que son más capaces y también alientan a sus posibles usuarios finales a que hagan que tener un SSAE 16 sea una parte estándar de los nuevos criterios de selección de proveedores. [ cita requerida ]

La SSAE 16 refleja la Norma Internacional sobre Encargos de Aseguramiento (ISAE) 3402. [ 3] De manera similar, la SSAE 16 tiene dos tipos diferentes de informes. Un informe SOC 1 Tipo 1 es una instantánea independiente del panorama de control de la organización en un día determinado. Un informe SOC 1 Tipo 2 agrega un elemento histórico, que muestra cómo se gestionaron los controles a lo largo del tiempo. La norma SSAE 16 requiere un mínimo de seis meses de funcionamiento de los controles para un informe SOC 1 Tipo 2. [ cita requerida ]

Las empresas públicas de los Estados Unidos están sujetas a la Ley de Reforma Contable de Empresas Públicas y Protección del Inversor , también conocida como Sarbanes-Oxley o SOX. Sin embargo, también hay una serie de disposiciones de la Ley (por ejemplo, la destrucción intencional de pruebas para impedir una investigación federal) que se aplican a las empresas privadas. [ cita requerida ] Los informes SSAE 16 pueden ayudar a las organizaciones de servicios a cumplir con el requisito de Sarbanes-Oxley (sección 404) de mostrar controles internos efectivos que cubran los informes financieros. También se puede aplicar a centros de datos o cualquier otro servicio que pueda utilizarse en la entrega de informes financieros. [4]

Para los informes que no se centran específicamente en los controles internos sobre la presentación de informes financieros, el Instituto Americano de Contadores Públicos Certificados (AICPA) ha emitido una Interpretación en virtud de la Sección 101 de AT que permite a los auditores de servicios emitir informes. Estos informes ahora se considerarán auditorías SOC 2 y se centrarán en los controles en una organización de servicios relevantes para la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad o la privacidad. [5] La SSAE 16 proporciona orientación sobre un método de auditoría, en lugar de exigir un conjunto de controles específicos. En este sentido, es similar a la norma ISO 27001:2013 .

Servicios tecnológicos

En las empresas de tecnología SaaS , la auditoría SOC 2 se adquiere para proporcionar una garantía sobre varios aspectos del software, incluida la seguridad, la disponibilidad y la integridad del procesamiento. [6]

Referencias

  1. ^ "Declaraciones aclaratorias sobre los estándares para los trabajos de certificación". aicpa.org . Instituto Americano de Contadores Públicos (AICPA) . Consultado el 13 de febrero de 2020 .
  2. ^ "Controles de sistemas y organizaciones (SOC): conjunto de servicios del SOC" . Consultado el 30 de mayo de 2017 .
  3. ^ "Descripción general de SSAE 16" . Consultado el 11 de mayo de 2015 .
  4. ^ "Por qué los centros de datos necesitan SSAE 16". Data Center Knowledge . 27 de septiembre de 2011 . Consultado el 11 de mayo de 2015 .
  5. ^ "Descripción general de la auditoría SOC 2" . Consultado el 24 de mayo de 2016 .
  6. ^ Kellner, Brian. "¿Su SaaS ha sido sometido a SOC? Entender el valor de los informes SOC 2". Forbes . Consultado el 27 de mayo de 2022 .