Controles en las

Organizaciones de
Servicio

Actualizacin de
SAS70 a ISAE3402 /
SSAE 16

14 de Septiembre de 2011
Introduccin

Presentacin General

Presentacin de Facilitadores
Presentacin General

Palabras de Bienvenida
ISAE 3402 Controles en una Empresa de Servicios

Durante aos, el SAS 70 (Statement on Auditing Standards N 70) y sus

antecesores han sido la norma de los Estados Unidos para presentar informacin
acerca de los controles de las organizaciones de servicio.

En la era posterior a la Ley Sarbanes-Oxley, el SAS 70 ha evolucionado a una

norma global.

El marco esencial para el auditor de servicio se basar en ISAE 3402 (Assurance

Reports on Controls at Service Organization) / SSAE 16 (Statement on Standards
for Attestation Engagements), (o como trabajo de atestiguacin bajo AT 101).
Presentacin Facilitadores
Exponen

Lucas Adrin Gmez Blandn

Pablo Antonio Ortiz Ziga

Cristian Maldonado Urrutia Andrs Sarmiento Adaros

Fundamentos de
ISAE3402
Historia Norma SAS70 y su Alcance

Diferencias y Similitudes entre SAS 70

y ISAE 3402/SSAE 16

Actualizacin de Norma Internacional

Historia del SAS70 y su Alcance

Statement on Auditing Standards (SAS) #70 o Norma de Auditoria #70.

Su origen se remonta al ao 1992

Emitida por el AICPA (American Institute of Certified Public Accountants).
Sugerida para las empresas de servicio que deben cumplir con la Ley Sarbanes Oxley
Regula la revisin del control interno de la organizaciones de servicios.
Se enfoca a riesgos relacionados la integridad, exactitud, y validez de la informacin que impacta los
estados financieros de sus clientes.
El informe consiste en una opinin independiente
El 15 junio de 2011 la Norma SAS70 cambia a ISAE 3402 / SSAE16.

Origen en Chile
NAGA # 56 desde el ao 2006 hasta el ao 2009
Seccin AU 324 de la NAGA (N62) desde el ao 2009 hasta el presente.
Aplicable a Empresas de Servicio (Apoyo al giro Bancario, Apoyo a AFPs, Agentes de Valores, etc)
Informe

Secciones Descripcin Responsable

I Informe del auditor La opinin de los auditores. Auditor
independiente de la
organizacin de servicio
II Informacin provista Describe aspectos relevantes del Organizacin de Servicio
por la organizacin de ambiente de control de la empresa
servicio de servicios. Tales como
procedimientos, objetivos de
control, controles y consideraciones
de control.
III Informacin provista Se detallan los Objetivos de Auditor
por el auditor Control, los controles, las pruebas
de eficacia operativa y el resultado
de las pruebas.
IV Otra informacin Otra informacin como: planes de Organizacin de Servicio
provista por la remediacin, planes de continuidad
organizacin de servicio de negocios, proyectos, etc.
(opcional)
Historia del SAS70 y su Alcance

Histricamente Actualmente

ISAE 3402
Internacional

SSAE16 ASAE 3402 CSAE 3416 AAF xx/11

EE.UU. Australia Canad RU

AAS24 HKCPA 860

India HK/China
Otros
Uso Internacional de SOC

NORMA Pas Estado Comentarios

SSAE16 Estados Unidos Aprobado Requerida para informes emitidos con
trmino de perodo posterior a Junio 15,
2011
ASAE 3402 Australia Aprobado Requerida para informes emitidos con
inicio de perodo anterior a Julio 1, 2011
NBC 402 Brasil En Desarrollo Norma local actualmente en desarrollo
para ser consistente con ISAE 3402
PS 951 Alemania En Desarrollo Norma local actualmente en desarrollo.
Se espera sea adoptada dentro de 1 2
aos
AAS 24 India Aprobado
TBD Japn En Desarrollo Se espera emisin de borrador para el
verano de 2011
AAF xx/11 RU En Desarrollo Se espera que sea emitida en 2011 y
exigida para 2012
NAGA AU324 Chile En Desarrollo Norma local actualmente en desarrollo
para ser consistente con ISAE 3402 , se
espera se ajuste en Diciembre de 2011
Transicin a la ISAE 3402/SSAE16

Resumen de similitudes con SAS 70:

Se espera que el esfuerzo de trabajo subyacente sea prcticamente el mismo
Dos tipos de informes: Tipo I o Tipo II
Los informes Tipo II deben cubrir un mnimo de 6 meses
Incluirn informacin sobre los mismos 3 elementos:
La descripcin es razonablemente completa
Diseo e implementacin
Efectividad operativa
Restriccin de uso permanece igual
Pruebas de los auditores del servicio incluidas en el informe
Las dimensiones de las muestras slo se revelan cuando se detectan excepciones
Transicin a la ISAE 3402/SSAE16

Resumen de cambios claves con SAS 70:

El nuevo estndar ISAE 3402, el cual se basa en la SSAE 16, es una norma de anlisis y
evaluacin (assurance), no de auditora
La administracin de la empresa de servicios (y la empresa de subservicios) deber emitir
una aseveracin, que ser incluida en el informe
En un informe Tipo II, las tres opiniones sern por un perodo mnimo de 6 meses.

Inclusive
Si se define un proveedor de servicios bajo el mtodo Inclusive, se aplican todos los
requerimientos ya indicados
Si existe un rea Auditora Interna, se debe efectuar una revisin relevante
Informes de Control de Empresas de Servicios (SOC)

Empresa de
Servicios

Servicios
Prestados

Alcance de un
Informe SOC

Servicios
Externalizados

Empresa Usuaria
Informes de Control de Empresas de Servicios (SOC)

El AICPA ha destacado 3 tipos de informes SOC. Cada uno de ellos est diseado para
ayudar a las empresas de servicios a satisfacer necesidades especficas del usuario:

Informe SOC1
Informe de Controles en una Empresa de Servicios que son relevantes para el Control
Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16)

Informe SOC2
Informe de Controles en una Empresa de Servicios que son Relevantes para la Seguridad,
Continuidad, Procesamiento, Integridad, Confidencialidad o Privacidad (AT101) (ISAE
3000)
Informe SOC3
Informe de Servicios de Confianza para Empresas de Servicios
Service Organization Control (SOC) Reports

SOC1 SOC2 SOC3

Enfoque Controles Seguridad, Continuidad, Seguridad, Continuidad,
probablemente Integridad de Integridad de
relevantes para los Procesamiento, Procesamiento,
informes financieros de Confidencialidad y/o Confidencialidad y/o
la entidad usuaria Privacidad Privacidad

Tipos de procesos y Limitado a procesos y Puede ser aplicado a Puede ser aplicado a
sistemas sistemas relevantes cualquier proceso o cualquier proceso o
para el informe sistema sistema
financiero
Criterios Diseado para atender Diseado para Diseado para
las necesidades de proporcionar proporcionar
auditora de estados aseguramiento a los aseguramiento a los
financieros clientes, socios clientes, socios
comerciales y otras comerciales y otras
partes interesadas partes interesadas

Pblico Objetivo Empresa del usuario y Clientes y socios Clientes y socios

sus auditores comerciales comerciales
y otras partes
interesadas
Uso / Distribucin Restringido Puede ser restringido Generalmente no
restringido
En qu se focaliza in informe SOC?

SOC2 / SOC3
SOC1

Integridad de procesamiento
Monitoreo

Confidencialidad
Privacidad
Informacin y Comunicacin

Continuidad
Seguridad
Actividades de
Control

Evaluacin de
Riesgos

Ambiente de Control
Fundamentos de
ISAE3402
SOC 1

SOC 2

SOC 3
SOC1 Trminos Claves

Empresa de Servicios
Una empresa, o divisin de una empresa, que presta servicios a entidades
usuarias que pueden ser relevantes para los ICOFR (controles internos sobre
informacin financiera) de la entidad usuaria.
Controles en la Empresa de Servicios
Las polticas y procedimientos en una empresa de servicios que pueden ser
relevantes para los ICOFR de la entidad usuaria
Diseados, implementados y documentados por la empresa de servicios para
proporcionar aseguramiento razonable en relacin al logro de los objetivos
relevantes para los informes estndar de auditora
Sistema de la Empresa de Servicios
Polticas y procedimientos diseados, implementados y documentados por la
administracin de la empresa de servicios para proporcionar a la entidad usuaria
los servicios cubiertos por los informes estndar de auditoria
Identifica los servicios cubiertos, el perodo correspondiente, los objetivos de
control especificados incluyendo la parte que los especifica y los controles
asociados

[SSAE 16 prr 7, ISAE 3402 prr 9]

SOC1

Los requerimientos y el material de aplicacin de ISAE 3402 / SSAE 16 se basan

en la premisa de que la administracin de la empresa de servicios entregar al
auditor una aseveracin escrita que se incluye o adjunta a la descripcin que la
administracin hace sobre su sistema

Se requiere que el auditor de servicios informe directamente sobre la materia a

tratar

Si la administracin no proporciona aseveracin escrita, el auditor de servicios no

debera ignorar el requerimiento de obtener una aseveracin ejecutando un
contrato de auditor de servicios segn AT 101

La no entrega de la aseveracin escrita por parte de la administracin representa

una limitacin en el alcance y ocasiona que el auditor de servicios renuncie al
contrato. Si la ley o las regulaciones impiden que el auditor renuncie, deberamos
abstenernos de emitir una opinin

[SSAE 16 prr 4 & 10]

[ISAE 3402 prr 13(b) y A8]
Informes SOC1

En un informe Tipo 1, el auditor de servicios manifestar su opinin sobre:

La equidad en la presentacin de la descripcin que la administracin efecta sobre el
sistema de la empresa de servicios durante el perodo
La idoneidad del diseo de los controles en un punto determinado del tiempo

En un informe Tipo 2, el auditor de servicios manifestar su opinin sobre:

La equidad en la presentacin de la descripcin que la administracin efecta sobre el
sistema de la empresa de servicios durante el perodo
La idoneidad del diseo de los controles durante el perodo
La efectividad operativa de los controles durante el perodo
Informe SOC2

Genera un valor agregado incorporando el aseguramiento de los controles

aplicados en la empresa de servicios relacionados con continuidad, seguridad,
integridad, confidencialidad y privacidad de los sistemas utilizados para procesar
la informacin.

Unifica el proceso y genera indicadores comunes de cumplimiento.

SOC2 tiene la opcin de utilizar informes Tipo 1 (diseo) y Tipo 2 (efectividad),

al igual que los SOC1.

A diferencia de los SOC1, no estn destinados a servir slo como comunicacin

de auditor a auditor, pueden utilizarse como una seal de madurez del proceso,
ventaja competitiva, etc. No obstante lo anterior, continan siendo informes de
uso restringido.

Se ejecutan utilizando los Principios y Criterios de Confianza, pero con el nivel

de formalidad de un informe ISAE 3402/SOC1. (dominio, principios, criterios,
controles, pruebas y resultados)
Principios de Servicios de Confianza de la AICPA / CICA

Dominio Principio
Continuidad El sistema est disponible para su uso y operacin segn lo
acordado o comprometido.
Seguridad El sistema est protegido contra accesos no autorizados (tanto
fsicos como lgicos).
Integridad de El procesamiento del sistema es exacto, oportuno y est completo y
Procesamiento autorizado.
Confidencialidad La informacin definida como confidencial est protegida segn lo
acordado o comprometido.
Privacidad La informacin personal es recopilada, utilizada, retenida y revelada
de acuerdo con los contratos estipulados en la notificacin de
privacidad de la entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados emitidos por la
AICPA/CICA
Ejemplo : Continuidad de Negocio

Criterio Controles Procedimiento de Prueba

A1 Principio: La entidad ha definido y comunicado objetivos de desempeo, polticas y estndares para la disponibilidad de los
sistemas.

Los requerimientos de disponibilidad del
A1.1 sistema, los objetivos, polticas y
estndares se encuentran identificados y
documentados.
Existencia de procedimientos
documentados para los sistemas, de
acuerdo con los requerimientos de
disponibilidad de los usuarios.
Los requerimientos de usuarios estn
documentados en acuerdos de nivel de
servicio (SLA) u otros documentos.
Obtener y revisar una copia de los
requerimientos de disponibilidad de los
sistemas, polticas y estndares.
Determinar si los documentos estn
completos y actualizados.
Incluir una copia de los documentos en
los papeles de trabajo.

Obtener entendimiento de los

procedimientos aplicados para identificar
y documentar los requerimientos de
disponibilidad de los sistemas.

Determinar si los procedimientos

incluyen a todos los usuarios autorizados
y que estos los requerimientos estn
adecuadamente descritos.

Basado en la informacin antes indicada,

revisar los acuerdos de niveles de
servicio u otros documentos relacionados
para determinar si la disponibilidad de los
requerimientos est adecuadamente
descrita.
Principios de Servicios de Confianza de la AICPA / CICA

Dominio Principio
Continuidad El sistema est disponible para su uso y operacin segn lo
acordado o comprometido.
Seguridad El sistema est protegido contra accesos no autorizados (tanto
fsicos como lgicos).
Integridad de El procesamiento del sistema es exacto, oportuno y est completo y
Procesamiento autorizado.
Confidencialidad La informacin definida como confidencial est protegida segn lo
acordado o comprometido.
Privacidad La informacin personal es recopilada, utilizada, retenida y revelada
de acuerdo con los contratos estipulados en la notificacin de
privacidad de la entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados emitidos por la
AICPA/CICA
Ejemplo : Seguridad de la Informacin
Criterio
A1 Principio: La entidad ha definido y comunicado los objetivos de desempeo, las polticas y normas para la seguridad del
sistema.
Los objetivos documentados del sistema
A1.1 de seguridad, polticas y normas han sido
comunicados a los usuarios autorizados.
Controles Procedimiento de Prueba
Los objetivos del sistema de seguridad, Obtener y revisar el objetivo del sistema
polticas, normas y se comunican a todo el de seguridad, polticas y normas .
personal autorizado de la entidad.
Indagar con el personal clave para
determinar si los objetivos de seguridad,
Existe un programa de sensibilizacin de
polticas y normas se comunican a todo el
seguridad el cual comunica la poltica de personal de la entidad autorizada.
seguridad para cada usuario.
Revisin de la documentacin
Los empleados firman un acuerdo en el correspondiente que acrediten la
momento de la contratacin con objeto de comunicacin y difusin(intranet,
reconocer que se adhiere a la poltica de memorandos, archivo personal, etc)
seguridad de la entidad.
Tomar una seleccin de registros de
La entidad revelar sus prcticas de personal y comprobar si existe constancia
escrita de usuario que indica que se va a
privacidad de la informacin, incluyendo los
adherir a la poltica de seguridad.
tipos especficos y fuentes de informacin
que se recoge, el uso de esa informacin, y Obtener copias de los materiales del
los posibles terceros que distribuirn dicha programa de seguridad y sensibilizacin y
informacin. comparar con los objetivos, polticas y
normas documentadas.
Indagar cmo la entidad revela sus
prcticas de privacidad de la informacin,
recoleccin, uso y posible distribucin de
informacin por parte de terceros
Informes SOC3

Los informes SOC3 son informes de uso general y se pueden distribuir

libremente o publicar en un sitio web como sello SysTrust para la Empresas de
Servicios.

Los informes se preparan utilizando los Principios y Criterios de los Servicios de

Confianza
Revisin de Conocimientos sobre Informe SOC

El informe es utilizado por los clientes de la empresa de Informe SOC 1

servicio y sus auditores para realizar una auditora o
auditora integral a los estados financieros de sus clientes.
El cliente necesita que el informe est generalmente
disponible (distribucin no restringida) Informe SOC 3
El informe ser utilizado por los clientes o accionistas de la
empresa de servicios para adquirir seguridad y depositar Informe SOC 2 3
confianza en los sistemas no financieros de una empresa
de servicios.
El informe no incluir pruebas detalladas realizadas por Informe SOC 3
KPMG.
El informe es utilizado por los clientes de la empresa de Informe SOC 1
servicios como parte de su cumplimiento de la Ley
Sarbanes-Oxley u otra ley similar.
Informe SOC 2
El informe es utilizado por la empresa de servicios para
reportar el cumplimiento de las regulaciones.
Otras Consideraciones
Otras Consideraciones Relacionadas con ISAE 3402

Al emitir un informe en los Estados Unidos es necesario cumplir con la norma

SSAE 16, pero se puede emitir como Informe ISAE 3402 o como SSAE 16. La
Carta de Contrato se modifica para reflejar ambas normas
El perodo debe cubrir un tiempo de informe mnimo de seis meses.
Entre las circunstancias que podran necesitar un perodo ms corto se encuentran:
Cuando los controles slo se pueden chequear mediante observacin
El sistema est en produccin por menos de seis meses
Cambios significativos en el entorno; no es prctico esperar 6 meses o emitir un informe que cubra el
sistema antes y despus de los cambios
Consideramos la solicitud del cliente para considerar un perodo ms corto consultando con
el SLRMP al ser consultados por:
Informe sobre un perodo que excede el plazo recomendado para el perodo de informe, y/o
Trabajo en terreno realizado con posterioridad al trmino del perodo

Memorandum que documenta la solicitud del cliente y la razn para considerar un perodo
ms corto
La seccin del informe correspondiente al auditor de servicios debe describir la razn para
considerar un perodo ms corto.
 Contratos de Diagnstico SOC

En las empresas de servicios que recin ingresan al proceso SOC, se debe

realizar una Revisin Diagnstico
El propsito del Diagnstico es identificar las debilidades del control que la
administracin debera considerar corregir antes que comience el contrato SOC
Segn nuestra experiencia, las compaas que no cuentan con un Diagnstico
pueden presentar temas y recibir una opinin calificada
El costo de un Diagnstico variar dependiendo de las dimensiones del entorno,
pero generalmente equivale a un 50-60% del costo de un contrato SOC.

NOTA DE INDEPENDENCIA: La revisin se limita a proporcionar observaciones y recomendaciones y no incluye el diseo o la

implementacin de controles. La revisin de diagnsticos son contratos de asesora, mientras que los contratos SOC se rigen por
las normas de testificacin. Por lo tanto, las cartas de contrato para revisiones de diagnstico no se deben combinar con las
cartas de contrato SOC. Sin embargo, las propuestas pueden incluir ambas. (Usted de todas maneras necesitar cartas de
contrato separadas).
Aseveracin de la Administracin Signatario

No existe requerimiento que
indique que la aseveracin de la
administracin debe ir firmada,
pero se recomienda
La aseveracin de la
administracin puede ser
firmada a nombre de un
individuo (Juan Prez, CFO) o a
nombre de la compaa
(Empresa de Servicios XYZ)

Las estructuras de
administracin y direccin
varan segn la entidad, y la
identificacin de la(s)
persona(s) apropiada(s) para
firmar la aseveracin requiere
de criterio
Aseveracin de la Administracin

Ejemplo: Aseveracin de la Administracin de la Organizacin de Servicio para un informe del Tipo II

Aseveracin Organizacin de Servicio XYZ

Hemos preparado la descripcin de la Organizacin de Servicio XYZ sobre [el tipo o el nombre del sistema] para las entidades usuarias [del servicio
de] y sus auditores, durante el perodo desde [fecha] hasta [fecha], que tienen un conocimiento suficiente para considerar, junto con otros informacin,
incluyendo informacin sobre los controles realizados por las entidades de usuarias del sistema y ellos mismos, al evaluar los riesgos de errores
materiales de las entidades financieras del usuario declaradas. Confirmamos, en base a nuestros conocimientos y creencias.

a. La descripcin que se presenta sobre al [el tipo o el nombre del sistema] se puesto a disposicin del usuario y las entidades del sistema durante el
perodo desde [fecha] hasta [fecha] para el procesamiento de sus operaciones [o la identificacin de la funcin realizada por el sistema]. Los
criterios que hemos utilizado en la realizacin de esta afirmacin se presentan a continuacin.

i. Se presenta el funcionamiento del sistema a disposicin de las entidades de usuarias del sistema, se ha diseado e implementado para procesar
las transacciones relevantes, incluyendo:

(1) las clases de transacciones procesadas.

(2) los procedimientos, tanto dentro de los sistemas automatizados y manuales, por el cual los las transacciones son iniciadas, autorizadas,
registradas, procesadas, corregidas como necesario, y se transfiere a los informes presentados a las entidades de usuarios de la
del sistema.

(3) los registros contables, informacin complementaria, y las cuentas especficas que se utilizan para iniciar, autorizar, registrar, procesar y declarar
las operaciones; esto incluye la correccin de la informacin incorrecta y cmo es la informacin transferido a los informes presentados a las
entidades de usuarios del sistema.

(4) cmo el sistema de captura y las direcciones de los acontecimientos significativos y las condiciones, distintos de las transacciones.

(5) el proceso de preparacin utilizado

(6) Los objetivos especficos de control y controles diseados para alcanzar dichos los objetivos.

(7) otros aspectos de nuestro entorno de control, proceso de evaluacin de riesgos, sistemas de informacin y la comunicacin (incluyendo los
negocios relacionados procesos), las actividades de control y vigilancia de los controles que son relevantes para procesamiento y reporte de
operaciones de las entidades de usuarios del sistema.
Aseveracin de la Administracin

Ejemplo: Aseveracin de la Administracin de la Organizacin de Servicio para un informe del Tipo II

ii. no omitimos o distorsionamos la informacin relevante para el alcance del [tipo o el nombre del sistema], al tiempo que reconocemos que la
descripcin fue preparada para cumplir con las necesidades comunes de una amplia gama de entidades de usuarias del sistema y de los auditores
independientes de las entidades de usuarias, y no puede, por tanto, incluye todos los aspectos del tipo [o nombre del sistema] de que cada entidad de
usuarios individuales del sistema y su auditor puede consideran importantes en su entorno particular.

b. La descripcin incluye los detalles relevantes de los cambios al sistema de la organizacin de servicio de la descripcin durante el perodo cubierto.

c. los controles relacionados con los objetivos de control establecidos en la descripcin fueron adecuadamente diseados y operaron con eficacia en
todo el perodo desde [fecha] hasta [fecha] para alcanzar dichos objetivos de control. Los criterios que hemos utilizado para efectuar esta afirmacin
son los siguientes:

i. los riesgos que amenazan el logro de los objetivos de control establecidos en el descripcin han sido identificados por la organizacin de servicio;

ii. Los controles identificados en la descripcin que, si se opera como se ha descrito, proporcionan seguridad razonable de que esos riesgos no
impedirn que los objetivos de control, como se indica en la descripcin, puedan hacerse una realidad, y

iii. los controles han sido aplicadas uniformemente segn el diseo, incluyendo ya sea manual se aplicaron los controles de las personas que tienen
las competencias adecuadas y autoridad.
Material- Carpetas

ISAE 3402, Assurance Reports on Controls at Service Organization

SSAE16, Statement on Standars fot Attestation Engagements
Documento: Informacin acerca de los controles en las Organizaciones de
Servicio
Brochure: Auditoria de Empresas de Servicio KPMG
Preguntas o
Comentarios?
Gracias
 2011 KPMG LLP, sociedad de responsabilidad limitada de Delaware y firma miembro
estadounidense de la red de firmas miembro independientes de KPMG afiliadas a KPMG
International Cooperative (KPMG International), una entidad suiza. Todos los derechos
reservados. Impreso en los Estados Unidos. SLO PARA USO INTERNACIONAL.

La informacin contenida en esta presentacin y sus anexos son de naturaleza general y

no est dirigido a ninguna circunstancia en particular de cualquier individuo o empresa.
Aunque hacemos el mejor esfuerzo para proveer informacin oportuna y exacta, no puede
haber garanta que tal informacin es exacta a la fecha o que continuar siendo exacta en
el futuro. Nadie debe actuar sobre esta informacin sin la debida asesora profesional luego
de un examen exhaustivo de la situacin en particular.