Tipo 1
Evalúa la objetividad en la descripción del sistema de control interno, así como la suficiencia únicamente en el diseño de los controles para alcanzar los objetivos de control descritos, para una fecha específica.
Tipo 2
Informa sobre la objetividad en la descripción del sistema de control interno, así como sobre la suficiencia en el diseño y la eficacia en la operación de los controles.
SSAE 18 es la norma utilizada por los profesionales de auditoría para realizar diversos informes de atestación.
La descripción del sistema de control interno
Las normas ISAE 3402 y SSAE 18, deben incluir una descripción sobre:
- Objetivos de control y controles relacionados.
- Aspectos del marco de control interno de la organización alineado con COSO: evaluación de riesgos, información y comunicación, monitorización y el ambiente de control.
- Los tipos de servicios prestados, incluidas las diferentes clases de transacciones procesadas.
- Los controles compensatorios pertinentes de las entidades usuarias.
- Procedimientos y registros relacionados con los servicios prestados, incluido el inicio, autorización, registro, procesamiento y corrección de las transacciones.
- Cualquier cambio en el sistema durante el período cubierto por el informe.
- Hechos y condiciones relevantes adicionales a las transacciones.
- El proceso utilizado para elaborar reportes y otra información para las entidades usuarias.
Para los reportes Tipo 2, el informe sobre la descripción y la suficiencia del diseño de los controles abarca la totalidad del periodo que se examina.
Los controles en organizaciones de servicios (SOC) tipo 1, 2 y 3
1/ SOC1
Informe sobre los controles en una organización de servicios alrededor de la información financiera del usuario.
2/ SOC2
Informe sobre los controles en una organización de servicios alrededor de la seguridad, disponibilidad, integridad en el procesamiento, confidencialidad o privacidad.
3/ SOC3
Informe sobre la confianza en organizaciones de servicios, comúnmente conocidos como SysTrust.
Aunque el informe SOC 1 y SOC 2 son muy parecidos, el informe SOC 2 involucra específicamente a uno, o más de los 5 principales atributos del sistema:
- Seguridad: Protegido contra accesos no autorizados
- Disponibilidad: Disponible para su operación y uso, de acuerdo a los términos contratados
- Integridad en el procesamiento: El procesamiento del sistema es correcto, oportuno y autorizado
- Confidencialidad: La información está clasificada como confidencial de acuerdo a los términos contratados
- Privacidad: La información personal es recolectada, usada, retenida, divulgada y eliminada en conformidad con los criterios definidos en los Principios de Privacidad Generalmente Aceptados (GAAP), emitidos por AICPA
El nuevo requerimiento de "Aseveración" por parte del administrador
SSAE 16 e ISAE 3402 requieren de la aseveración por escrito, esto implica la asignación de responsabilidades adicionales a la administración de las organizaciones de servicios.
Algunos aspectos destacados de la aseveración son:
- Se incluirá la descripción del sistema, así como documentación del informe
- Se debe basar en criterios que la administración decida para hacer su aseveración, así como los criterios utilizados
- Un auditor de servicio no está autorizado a emitir un informe cuando no cuenta con dicha aseveración
- La administración debe tener una base razonable para su aseveración, se puede lograr con monitoreo continúo, que proporcione la evidencia para el diseño y la eficiencia operativa de los controles
¿Qué hacer para estar preparado?
- Determinar el tipo de reporte y el estándar que se va a aplicar
- Revisar la descripción actual de los sistemas y controles para validar si es adecuada. De ser necesario, implantar una gestión del control interno y de riesgos efectiva
- Revisar los estándares para obtener el conocimiento adicional acerca de los requerimientos
This website uses cookies.
Some of these cookies are necessary, while others help us analyse our traffic, serve advertising and deliver customised experiences for you.
For more information on the cookies we use, please refer to our Privacy Policy.
This website cannot function properly without these cookies.
Analytical cookies help us enhance our website by collecting information on its usage.
We use marketing cookies to increase the relevancy of our advertising campaigns.