AICPA SAS 70, una nueva sigla sinónimo de confianza en auditoría
Por Rafael Montañez (gerente de Ernst & Young)
Los escándalos corporativos y la creación de SOX pusieron toda la presión sobre los controles internos de las empresas. En este marco, SAS 70 (Statement on Auditing Standars N° 70) es una sigla que está empezando a sonar fuerte entre auditores.
En los últimos años, muchas empresas acudieron a diferentes proveedores para la ejecución de sus procesos internos, desde la tercerización de la tecnología de la información hasta la administración de los recursos humanos y el procesamiento de la nómina.
En este contexto, mantener el entorno de control exigido por las distintas regulaciones (por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA) se ha convertido en un desafío.
Un ejemplo si yo soy el auditor externo de una empresa que tiene hosteados sus sistemas en otra empresa (ej. IBM) y yo quiero realizar una revisión de controles internos sobre esta compañía, deberá pedirle al auditor externo de IBM que me provea un SAS 70 sobre el centro de cómputos que ellos tienen y que es donde se encuentran operando los sistemas de la otra compañía.
Tanto la compañía que contrata (organización usuaria) como sus auditores necesitan asegurarse de que la empresa proveedora (organización de servicio) opere dentro de un ambiente controlado.
En este marco, las siglas SAS 70 pueden ser una auténtica vía hacia la confianza. El reporte SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El reporte consiste en una revisión centralizada por parte de un auditor independiente ("auditor del servicio") de los servicios tercerizados. Fue diseñado para proveer información a las organizaciones usuarias (y a sus auditores) acerca del control interno de la organización de servicios. Básicamente, es una comunicación "de auditor a auditor".
Los proveedores de Data Center, de procesamiento de transacciones y las tarjetas de crédito, son algunos ejemplos de una organización de servicio. Contar con un reporte SAS 70 les brinda una serie de ventajas:
1) Reducción de costos
El reporte SAS 70 permite reducir los costos originados por la asignación de recursos a las auditorías de las distintas organizaciones usuarias.
2) Mejoras en los controles y la administración del riesgo
La documentación formal del control interno que se describe y evalúa durante la revisión le brinda a la organización de servicios la base para monitorear sus controles en funcionamiento.
3) Adquisición y retención de clientes
Un reporte SAS 70 satisfactorio puede ser un medio efectivo para atraer nuevos clientes y fortalecer la confianza de los ya existentes.
Perspectivas futuras
En América Latina, los reportes SAS 70 aún no se han popularizado. No obstante, en la Argentina, ya existen algunas organizaciones de servicio que cuentan con un SAS 70. En la actualidad, un número importante de empresas está analizando contar con uno, tanto para cumplir con requerimientos regulatorios como para ganar una ventaja competitiva en el mercado y mejorar el control en sus procesos internos.
En Argentina, la entrada en vigencia de la comunicación Nº 4.609 del BRCA podría constituir, a futuro, un estímulo adicional para la emisión de reportes de este tipo, ya que requiere a las entidades bancarias un mayor control sobre sus proveedores de IT.
Fuente: Materia BIZ
Los escándalos corporativos y la creación de SOX pusieron toda la presión sobre los controles internos de las empresas. En este marco, SAS 70 (Statement on Auditing Standars N° 70) es una sigla que está empezando a sonar fuerte entre auditores.
En los últimos años, muchas empresas acudieron a diferentes proveedores para la ejecución de sus procesos internos, desde la tercerización de la tecnología de la información hasta la administración de los recursos humanos y el procesamiento de la nómina.
En este contexto, mantener el entorno de control exigido por las distintas regulaciones (por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA) se ha convertido en un desafío.
Un ejemplo si yo soy el auditor externo de una empresa que tiene hosteados sus sistemas en otra empresa (ej. IBM) y yo quiero realizar una revisión de controles internos sobre esta compañía, deberá pedirle al auditor externo de IBM que me provea un SAS 70 sobre el centro de cómputos que ellos tienen y que es donde se encuentran operando los sistemas de la otra compañía.
Tanto la compañía que contrata (organización usuaria) como sus auditores necesitan asegurarse de que la empresa proveedora (organización de servicio) opere dentro de un ambiente controlado.
En este marco, las siglas SAS 70 pueden ser una auténtica vía hacia la confianza. El reporte SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El reporte consiste en una revisión centralizada por parte de un auditor independiente ("auditor del servicio") de los servicios tercerizados. Fue diseñado para proveer información a las organizaciones usuarias (y a sus auditores) acerca del control interno de la organización de servicios. Básicamente, es una comunicación "de auditor a auditor".
Los proveedores de Data Center, de procesamiento de transacciones y las tarjetas de crédito, son algunos ejemplos de una organización de servicio. Contar con un reporte SAS 70 les brinda una serie de ventajas:
1) Reducción de costos
El reporte SAS 70 permite reducir los costos originados por la asignación de recursos a las auditorías de las distintas organizaciones usuarias.
2) Mejoras en los controles y la administración del riesgo
La documentación formal del control interno que se describe y evalúa durante la revisión le brinda a la organización de servicios la base para monitorear sus controles en funcionamiento.
3) Adquisición y retención de clientes
Un reporte SAS 70 satisfactorio puede ser un medio efectivo para atraer nuevos clientes y fortalecer la confianza de los ya existentes.
Perspectivas futuras
En América Latina, los reportes SAS 70 aún no se han popularizado. No obstante, en la Argentina, ya existen algunas organizaciones de servicio que cuentan con un SAS 70. En la actualidad, un número importante de empresas está analizando contar con uno, tanto para cumplir con requerimientos regulatorios como para ganar una ventaja competitiva en el mercado y mejorar el control en sus procesos internos.
En Argentina, la entrada en vigencia de la comunicación Nº 4.609 del BRCA podría constituir, a futuro, un estímulo adicional para la emisión de reportes de este tipo, ya que requiere a las entidades bancarias un mayor control sobre sus proveedores de IT.
Fuente: Materia BIZ
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!