Norma Internacional sobre Compromisos de Aseguramiento 3402 ( ISAE 3402 ), titulado informes de garantía sobre los controles en una organización de servicio , es una organización internacional estándar de aseguramiento que describe Servicio de Control de Organización (SOC) compromisos, que proporciona seguridad a los clientes de una organización que la organización de servicio tiene una adecuada interna controles . [1] ISAE 3402 fue desarrollado por la Junta de Normas Internacionales de Auditoría y Aseguramiento ( IAASB ) y publicado por la Federación Internacional de Contadores (IFAC) en 2009. Reemplaza a SAS 70. y pone más énfasis en los procedimientos para el seguimiento y la evaluación continuos de los controles. [2]
Un certificado de auditoría ISAE 3402 que incluye un informe de auditoría se considera un criterio de calidad para los proveedores de servicios que los distingue de la competencia. [1]
También paga que un cliente contrate a un proveedor de servicios que posea un certificado ISAE 3402: el auditor del cliente puede confiar en el certificado de la organización de servicios, lo que resulta en un presupuesto de auditoría necesario reducido.
Alcance, tipos y clasificación SOC
El alcance de un trabajo ISAE 3402 es el conjunto de control de la organización de servicios, o para ser más precisos, los controles de la organización de servicios sobre los servicios, las funciones desempeñadas y las aplicaciones que probablemente sean relevantes para el cliente y su auditor para evaluar el control interno sobre las finanzas. informes. También se conoce como "Marco de control interno sobre la información financiera" (ICFR) [ cita requerida ] . Al realizar una ISAE 3402, el auditor debe tomar la posición del cliente, seleccionando y probando los controles que son relevantes para el cliente.
El estándar ISAE 3000 es un estándar más general para trabajos de aseguramiento tanto con fines financieros como no financieros. Los trabajos de aseguramiento de acuerdo con ISAE 3402 requieren que el auditor cumpla con ISAE 3000.
ISAE 3402 define dos tipos de informes:
- Tipo I : documentar una "instantánea" de los controles de la organización
- Tipo II : documentación durante un período de tiempo (generalmente 12 meses) que muestre que los controles se han administrado a lo largo del tiempo. [3]
ISAE 3402 es un compromiso SOC 1 . SOC es un acrónimo acuñado por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) para los controles de organizaciones de servicios, y se recuperó en 2017 como controles de sistema y organizacionales. AICPA ha definido tres tipos de informes SOC: SOC 1, SOC 2 y SOC 3. SOC 1 es una abreviatura de SOC para organizaciones de servicio: ICFR . SOC 2 es una abreviatura de SOC for Service Organizations: Trust Services Criteria . SOC 3 es una abreviatura de SOC for Service Organizations: Trust Services Criteria for General Use Report. [2]
Los compromisos de SOC 2 se realizan sobre la base de la ISAE 3000 más general, mientras que los compromisos de SOC 1 se realizan sobre la base de ISAE 3402 (ver arriba).
Definiciones
Para poder leer y comprender un informe ISAE 3402, algunos términos básicos son esenciales:
- Criterios : en el contexto de ISAE 3402, son estándares comparativos con los que se puede evaluar una situación. Ejemplos de criterios legales y regulatorios son los principios de la OCDE, GDPR, MaRisk o GoBD.
- Método de exclusión : se refiere a un método según el cual el sistema de control interno de un subproveedor de servicios no está incluido en el alcance de la auditoría del proveedor de servicios. Para el cliente del proveedor de servicios, un informe ISAE 3402 con un CARVE-OUT es desfavorable porque los controles relevantes pueden no haber sido auditados. Ejemplo: un proveedor de servicios de TI ofrece su software al cliente como SaaS, pero los controles del centro de datos donde se opera el software no se auditan.
- Método inclusivo : se refiere a un método mediante el cual el sistema de control interno de un subproveedor de servicios se incluye en el alcance (extensión) de la auditoría del proveedor de servicios. Un informe ISAE 3402 que utiliza el método inclusivo es beneficioso para el cliente de un proveedor de servicios.
- Controles de entidad de usuario complementarios : La auditoría de su ICS por parte del proveedor de servicios asume que el cliente mismo realiza ciertos controles y asume la responsabilidad por ellos. Si el cliente no fue informado con anticipación sobre los Controles Complementarios de Entidad de Usuario y no los realizó, los controles implementados en el proveedor de servicios no son efectivos (eficientes). Ejemplo: el proveedor de servicios opera un centro de datos y espera que el cliente informe de inmediato al proveedor de servicios sobre los cambios en los empleados autorizados para acceder al centro de datos. El proveedor de servicios solo otorga acceso a las personas que están incluidas en la lista de acceso. Este control está auditado y es efectivo. Sin embargo, si la lista de acceso subyacente no está actualizada, el control de acceso completo no es efectivo.
- Sistema : Un sistema (sistema de la organización de servicios) se define como las políticas, procedimientos y aplicaciones necesarios para proporcionar un servicio relacionado con el cliente.
Ver también
Referencias
- ^ "Servicios ISAE 3402" . A-LIGN . Consultado el 10 de mayo de 2015 .
- ^ "ISAE 3402" . ICC . Consultado el 9 de mayo de 2018 .
- ^ "Informes de control de organización de servicios (SOC)" . isae3402.com . Consultado el 10 de mayo de 2015 .
enlaces externos
- "Informes de aseguramiento ISAE 3402 sobre controles en una organización de servicios" , IFAC / IAASB
- "Garantía de subcontratación del informe técnico de implementación de ISAE 3402" , isae3402.co.uk
- "¿Qué es ISAE 3402?" , Deloitte
- "Implementación y mantenimiento de ISAE 3402" , Ernst and Young
- Registro internacional ISAE3402 , isae3402.co.uk
- Biblioteca ISAE 3402 , risklane.nl (holandés)
- Registro ISAE3402 , isae3402.nl (Países Bajos)