2011 09 KPMG Advisory It Isae 3402 PDF
2011 09 KPMG Advisory It Isae 3402 PDF
2011 09 KPMG Advisory It Isae 3402 PDF
Organizaciones de
Servicio
Actualizacin de
SAS70 a ISAE3402 /
SSAE 16
14 de Septiembre de 2011
Introduccin
Presentacin General
Presentacin de Facilitadores
Presentacin General
Palabras de Bienvenida
ISAE 3402 Controles en una Empresa de Servicios
Origen en Chile
NAGA # 56 desde el ao 2006 hasta el ao 2009
Seccin AU 324 de la NAGA (N62) desde el ao 2009 hasta el presente.
Aplicable a Empresas de Servicio (Apoyo al giro Bancario, Apoyo a AFPs, Agentes de Valores, etc)
Informe
Histricamente Actualmente
ISAE 3402
Internacional
Inclusive
Si se define un proveedor de servicios bajo el mtodo Inclusive, se aplican todos los
requerimientos ya indicados
Si existe un rea Auditora Interna, se debe efectuar una revisin relevante
Informes de Control de Empresas de Servicios (SOC)
Empresa de
Servicios
Servicios
Prestados
Alcance de un
Informe SOC
Servicios
Externalizados
Empresa Usuaria
Informes de Control de Empresas de Servicios (SOC)
El AICPA ha destacado 3 tipos de informes SOC. Cada uno de ellos est diseado para
ayudar a las empresas de servicios a satisfacer necesidades especficas del usuario:
Informe SOC1
Informe de Controles en una Empresa de Servicios que son relevantes para el Control
Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16)
Informe SOC2
Informe de Controles en una Empresa de Servicios que son Relevantes para la Seguridad,
Continuidad, Procesamiento, Integridad, Confidencialidad o Privacidad (AT101) (ISAE
3000)
Informe SOC3
Informe de Servicios de Confianza para Empresas de Servicios
Service Organization Control (SOC) Reports
Tipos de procesos y Limitado a procesos y Puede ser aplicado a Puede ser aplicado a
sistemas sistemas relevantes cualquier proceso o cualquier proceso o
para el informe sistema sistema
financiero
Criterios Diseado para atender Diseado para Diseado para
las necesidades de proporcionar proporcionar
auditora de estados aseguramiento a los aseguramiento a los
financieros clientes, socios clientes, socios
comerciales y otras comerciales y otras
partes interesadas partes interesadas
SOC2 / SOC3
SOC1
Integridad de procesamiento
Monitoreo
Confidencialidad
Privacidad
Informacin y Comunicacin
Continuidad
Seguridad
Actividades de
Control
Evaluacin de
Riesgos
Ambiente de Control
Fundamentos de
ISAE3402
SOC 1
SOC 2
SOC 3
SOC1 Trminos Claves
Empresa de Servicios
Una empresa, o divisin de una empresa, que presta servicios a entidades
usuarias que pueden ser relevantes para los ICOFR (controles internos sobre
informacin financiera) de la entidad usuaria.
Controles en la Empresa de Servicios
Las polticas y procedimientos en una empresa de servicios que pueden ser
relevantes para los ICOFR de la entidad usuaria
Diseados, implementados y documentados por la empresa de servicios para
proporcionar aseguramiento razonable en relacin al logro de los objetivos
relevantes para los informes estndar de auditora
Sistema de la Empresa de Servicios
Polticas y procedimientos diseados, implementados y documentados por la
administracin de la empresa de servicios para proporcionar a la entidad usuaria
los servicios cubiertos por los informes estndar de auditoria
Identifica los servicios cubiertos, el perodo correspondiente, los objetivos de
control especificados incluyendo la parte que los especifica y los controles
asociados
Dominio Principio
Continuidad El sistema est disponible para su uso y operacin segn lo
acordado o comprometido.
Seguridad El sistema est protegido contra accesos no autorizados (tanto
fsicos como lgicos).
Integridad de El procesamiento del sistema es exacto, oportuno y est completo y
Procesamiento autorizado.
Confidencialidad La informacin definida como confidencial est protegida segn lo
acordado o comprometido.
Privacidad La informacin personal es recopilada, utilizada, retenida y revelada
de acuerdo con los contratos estipulados en la notificacin de
privacidad de la entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados emitidos por la
AICPA/CICA
Ejemplo : Continuidad de Negocio
Los requerimientos de disponibilidad del Existencia de procedimientos Obtener y revisar una copia de los
A1.1 sistema, los objetivos, polticas y documentados para los sistemas, de requerimientos de disponibilidad de los
estndares se encuentran identificados y acuerdo con los requerimientos de sistemas, polticas y estndares.
documentados. disponibilidad de los usuarios.
Determinar si los documentos estn
Los requerimientos de usuarios estn completos y actualizados.
documentados en acuerdos de nivel de
servicio (SLA) u otros documentos. Incluir una copia de los documentos en
los papeles de trabajo.
Dominio Principio
Continuidad El sistema est disponible para su uso y operacin segn lo
acordado o comprometido.
Seguridad El sistema est protegido contra accesos no autorizados (tanto
fsicos como lgicos).
Integridad de El procesamiento del sistema es exacto, oportuno y est completo y
Procesamiento autorizado.
Confidencialidad La informacin definida como confidencial est protegida segn lo
acordado o comprometido.
Privacidad La informacin personal es recopilada, utilizada, retenida y revelada
de acuerdo con los contratos estipulados en la notificacin de
privacidad de la entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados emitidos por la
AICPA/CICA
Ejemplo : Seguridad de la Informacin
Los objetivos documentados del sistema Los objetivos del sistema de seguridad, Obtener y revisar el objetivo del sistema
A1.1 de seguridad, polticas y normas han sido polticas, normas y se comunican a todo el de seguridad, polticas y normas .
comunicados a los usuarios autorizados. personal autorizado de la entidad.
Indagar con el personal clave para
determinar si los objetivos de seguridad,
Existe un programa de sensibilizacin de
polticas y normas se comunican a todo el
seguridad el cual comunica la poltica de personal de la entidad autorizada.
seguridad para cada usuario.
Revisin de la documentacin
Los empleados firman un acuerdo en el correspondiente que acrediten la
momento de la contratacin con objeto de comunicacin y difusin(intranet,
reconocer que se adhiere a la poltica de memorandos, archivo personal, etc)
seguridad de la entidad.
Tomar una seleccin de registros de
La entidad revelar sus prcticas de personal y comprobar si existe constancia
escrita de usuario que indica que se va a
privacidad de la informacin, incluyendo los
adherir a la poltica de seguridad.
tipos especficos y fuentes de informacin
que se recoge, el uso de esa informacin, y Obtener copias de los materiales del
los posibles terceros que distribuirn dicha programa de seguridad y sensibilizacin y
informacin. comparar con los objetivos, polticas y
normas documentadas.
Memorandum que documenta la solicitud del cliente y la razn para considerar un perodo
ms corto
La seccin del informe correspondiente al auditor de servicios debe describir la razn para
considerar un perodo ms corto.
Contratos de Diagnstico SOC
La aseveracin de la
No existe requerimiento que administracin puede ser
indique que la aseveracin de la firmada a nombre de un
administracin debe ir firmada, individuo (Juan Prez, CFO) o a
pero se recomienda nombre de la compaa
(Empresa de Servicios XYZ)
Las estructuras de
administracin y direccin
varan segn la entidad, y la
identificacin de la(s)
persona(s) apropiada(s) para
firmar la aseveracin requiere
de criterio
Aseveracin de la Administracin
Hemos preparado la descripcin de la Organizacin de Servicio XYZ sobre [el tipo o el nombre del sistema] para las entidades usuarias [del servicio
de] y sus auditores, durante el perodo desde [fecha] hasta [fecha], que tienen un conocimiento suficiente para considerar, junto con otros informacin,
incluyendo informacin sobre los controles realizados por las entidades de usuarias del sistema y ellos mismos, al evaluar los riesgos de errores
materiales de las entidades financieras del usuario declaradas. Confirmamos, en base a nuestros conocimientos y creencias.
a. La descripcin que se presenta sobre al [el tipo o el nombre del sistema] se puesto a disposicin del usuario y las entidades del sistema durante el
perodo desde [fecha] hasta [fecha] para el procesamiento de sus operaciones [o la identificacin de la funcin realizada por el sistema]. Los
criterios que hemos utilizado en la realizacin de esta afirmacin se presentan a continuacin.
i. Se presenta el funcionamiento del sistema a disposicin de las entidades de usuarias del sistema, se ha diseado e implementado para procesar
las transacciones relevantes, incluyendo:
(2) los procedimientos, tanto dentro de los sistemas automatizados y manuales, por el cual los las transacciones son iniciadas, autorizadas,
registradas, procesadas, corregidas como necesario, y se transfiere a los informes presentados a las entidades de usuarios de la
del sistema.
(3) los registros contables, informacin complementaria, y las cuentas especficas que se utilizan para iniciar, autorizar, registrar, procesar y declarar
las operaciones; esto incluye la correccin de la informacin incorrecta y cmo es la informacin transferido a los informes presentados a las
entidades de usuarios del sistema.
(4) cmo el sistema de captura y las direcciones de los acontecimientos significativos y las condiciones, distintos de las transacciones.
(6) Los objetivos especficos de control y controles diseados para alcanzar dichos los objetivos.
(7) otros aspectos de nuestro entorno de control, proceso de evaluacin de riesgos, sistemas de informacin y la comunicacin (incluyendo los
negocios relacionados procesos), las actividades de control y vigilancia de los controles que son relevantes para procesamiento y reporte de
operaciones de las entidades de usuarios del sistema.
Aseveracin de la Administracin
ii. no omitimos o distorsionamos la informacin relevante para el alcance del [tipo o el nombre del sistema], al tiempo que reconocemos que la
descripcin fue preparada para cumplir con las necesidades comunes de una amplia gama de entidades de usuarias del sistema y de los auditores
independientes de las entidades de usuarias, y no puede, por tanto, incluye todos los aspectos del tipo [o nombre del sistema] de que cada entidad de
usuarios individuales del sistema y su auditor puede consideran importantes en su entorno particular.
b. La descripcin incluye los detalles relevantes de los cambios al sistema de la organizacin de servicio de la descripcin durante el perodo cubierto.
c. los controles relacionados con los objetivos de control establecidos en la descripcin fueron adecuadamente diseados y operaron con eficacia en
todo el perodo desde [fecha] hasta [fecha] para alcanzar dichos objetivos de control. Los criterios que hemos utilizado para efectuar esta afirmacin
son los siguientes:
i. los riesgos que amenazan el logro de los objetivos de control establecidos en el descripcin han sido identificados por la organizacin de servicio;
ii. Los controles identificados en la descripcin que, si se opera como se ha descrito, proporcionan seguridad razonable de que esos riesgos no
impedirn que los objetivos de control, como se indica en la descripcin, puedan hacerse una realidad, y
iii. los controles han sido aplicadas uniformemente segn el diseo, incluyendo ya sea manual se aplicaron los controles de las personas que tienen
las competencias adecuadas y autoridad.
Material- Carpetas