Declaración sobre los estándares para los encargos de atestación núm. 16 (SSAE 16) es una norma de auditoría para organizaciones de servicios, elaborada por la Junta de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) , que reemplaza la Declaración sobre Normas de Auditoría núm. 70 (SAS 70) y ha sido reemplazada por SSAE No. 18 . [1]
El "examen del auditor del servicio" de SAS 70 se reemplaza por un informe de Controles de sistema y organización ( SOC ). [2] SSAE 16 se emitió en abril de 2010 y entró en vigencia en junio de 2011. Muchas organizaciones que siguieron a SAS 70 ahora han cambiado a SSAE 16. [ cita requerida ] Algunas organizaciones de servicios utilizan el estado del informe SSAE 16 para demostrar que son más capaces , y también animar a sus posibles usuarios finales a hacer que tener un SSAE 16 sea una parte estándar de los criterios de selección de nuevos proveedores. [ cita requerida ]
SSAE 16 refleja el Estándar internacional sobre encargos de aseguramiento (ISAE) 3402 . [3] De manera similar, SSAE 16 tiene dos tipos diferentes de informes. Un informe SOC 1 Tipo 1 es una instantánea independiente del panorama de control de la organización en un día determinado. Un informe SOC 1 Tipo 2 agrega un elemento histórico, que muestra cómo se administraron los controles a lo largo del tiempo. El estándar SSAE 16 requiere un mínimo de seis meses de operación de los controles para un informe SOC 1 Tipo 2. [ cita requerida ]
Las empresas públicas de los Estados Unidos se rigen por la Ley de protección del inversor y reforma de la contabilidad de las empresas públicas , también conocida como Sarbanes – Oxley o SOX. Sin embargo, también hay una serie de disposiciones de la ley (por ejemplo, la destrucción intencional de pruebas para impedir una investigación federal) que se aplican a las empresas privadas. [ cita requerida ] Los informes SSAE 16 pueden ayudar a las organizaciones de servicios a cumplir con el requisito de Sarbanes-Oxley (sección 404) de mostrar controles internos efectivos que cubran los informes financieros. También se puede aplicar a centros de datos o cualquier otro servicio que pueda utilizarse en la entrega de informes financieros. [4]
Para los informes que no se centran específicamente en los controles internos sobre los informes financieros, el Instituto Americano de Contadores Públicos Autorizados (AICPA) ha emitido una Interpretación bajo la Sección 101 de AT que permite a los auditores de servicios emitir informes. Estos informes ahora se considerarán auditorías SOC 2 y se centrarán en los controles en una organización de servicios relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad o privacidad. [5] SSAE 16 proporciona orientación sobre un método de auditoría, en lugar de exigir un conjunto de control específico. En este sentido, es similar a ISO 27001: 2013 .
Servicios tecnológicos
En las empresas de tecnología SaaS , la auditoría SOC 2 se adquiere para proporcionar una garantía sobre varios aspectos del software, incluida la seguridad, la disponibilidad y la integridad del procesamiento. [6]
Referencias
- ^ "Declaraciones aclaradas sobre los estándares para compromisos de certificación" . aicpa.org . Instituto Americano de Contadores Públicos Certificados (AICPA) . Consultado el 13 de febrero de 2020 .
- ^ "Controles de sistema y organización (SOC): Suite de servicios SOC" . Consultado el 30 de mayo de 2017 .
- ^ "Descripción general de SSAE 16" . Consultado el 11 de mayo de 2015 .
- ^ "Por qué los centros de datos necesitan SSAE 16" . Conocimiento del centro de datos . Consultado el 11 de mayo de 2015 .
- ^ "Descripción general de la auditoría SOC 2" . Consultado el 24 de mayo de 2016 .
- ^ Consejo, Editores, Forbes Technology. "¿Se ha SOC su SaaS? Comprender el valor de los informes SOC 2" . Forbes . Consultado el 23 de mayo de 2019 .CS1 maint: texto adicional: lista de autores ( enlace )