Site  
Noticias

   

Rafael Montañez

Gerente de Ernst & Young

SAS 70: un camino a la confianza

 
 
Anterior
Siguiente
En los últimos años, muchas empresas acudieron a diferentes proveedores para la ejecución de sus procesos internos, desde la tercerización de la Tecnología de la Información hasta la administración de los Recursos Humanos y el procesamiento de la nómina.
 
En este contexto, mantener el entorno de control exigido por las distintas regulaciones (por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA) se ha convertido en un desafío. Tanto la compañía que contrata (organización usuaria), así como también sus auditores, necesitan asegurarse que la empresa proveedora (organización de servicio) opere dentro de un ambiente controlado.
 
¿Qué es un reporte SAS 70?
 
SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
 
El reporte consiste en una revisión centralizada por parte de un auditor independiente (“auditor del servicio”) de los servicios tercerizados y está diseñada para proveer información a las organizaciones usuarias y a sus auditores, acerca del control interno de la organización de servicios. Básicamente, es una comunicación “de auditor a auditor”.
 
Los proveedores de Data Center, de procesamiento de transacciones y las tarjetas de crédito, son algunos ejemplos de una organización de servicio. Contar con un reporte SAS 70 les brinda a estas empresas algunas ventajas como:
 
Reducción de costos: se disminuyen los costos originados por la asignación de recursos a las auditorías de las distintas organizaciones usuarias.
 
Mejoras en los controles y la administración del riesgo: la documentación formal del control interno que se describe y evalúa durante la revisión le brinda a la organización de servicios la base para monitorear sus controles en funcionamiento.
 
Adquisición y retención de clientes: lograr un reporte SAS 70 satisfactorio puede ser un medio efectivo para atraer nuevos clientes y fortalecer la confianza con los ya existentes.
 
Por otra parte, para las organizaciones usuarias, que su organización de servicios cuente con un reporte SAS 70, le implica una disminución en el esfuerzo de las auditorías.
 
Tipos de Reporte SAS 70
 
Existen dos tipos de reportes:
 
Tipo I: incluye la opinión del auditor acerca de la adecuada descripción de los controles presentada por la organización de servicios y la idoneidad del diseño de los mismos para alcanzar los objetivos especificados.
 
Tipo II: contiene la información incluida en el reporte Tipo I y, a su vez, la opinión del auditor del servicio respecto de la efectividad con que operaron los controles durante el período de tiempo considerado. Provee información adicional sobre la naturaleza, tiempo, alcance y resultados de las pruebas del auditor del servicio sobre los controles especificados.
 
Reportes SAS 70 en la región
 
Tanto en la región como en nuestro país, ya existen organizaciones de servicio que cuentan con un SAS 70. En la actualidad, un número importante de empresas está analizando contar con uno, no sólo por los requerimientos regulatorios, sino también para obtener una ventaja competitiva en el mercado y mejorar el control en sus procesos internos.
 
En Argentina, la entrada en vigencia de la comunicación Nº 4.609 del BRCA podría constituir a futuro, un estímulo adicional para la emisión de reportes de este tipo, ya que requiere a las entidades bancarias un mayor control sobre sus proveedores de IT.
 
Entidades intervinientes en un reporte SAS 70
 
 
Diferencias con la Norma ISO de Seguridad Informática (27.001)
 

 

SAS 70

ISO de Seguridad Informática (27.001)

Estandar Desarrollado por

American Institute of Certified Public Accountants (AICPA)

International Standards Organization

Alcance

Procesos de IT o negocio tercerizados (por ejemplo: procesamiento de nómina o de tarjetas de crédito)

Sólo procesos de IT

Producto terminado

Reporte con la opinión del auditor acerca de los controles revisados, su descripción y un detalle de las pruebas que ejecutó para evaluarlos

Certificado de conformidad con los procesos revisados.

Utilización en auditorías

Puede ser utilizado dentro de una auditoría de estados financieros.

No puede ser utilizado dentro de una auditoría de estados financieros.
 




¿Es peligrosa la web 2.0?
Fernando de la Cuadra

El Bueno, El Feo Y El Malware 2.0
Fernando de la Cuadra
¿Por Qué SOA?
Martín Salvadori
Business Intelligence
Fernando Das Neves

El Futuro Del Spam - Fernando de la Cuadra

Microsoft adquirirá MobiComp
McAfee amplía su línea VirusScan Enterprise
La industria de telecomunicaciones está dividida respecto al colapso de Internet
La seguridad móvil en la región: el próximo reto
Caen los despachos de servidores en el primer trimestre de 2008
SAP designa a Improve Solutions como canal de Business Objects en Argentina y Chile
SeguriData - Javier Alarcón asume la dirección general de la compañía.
Latinoamérica se asegura sus direcciones en Internet
Argentina suma figuras delictivas relacionados con la informática y las nuevas tecnologías a su Código Penal
El COFECyT financia la tecnología del turismo en Argentina
Dassault Systèmes inaugura su campus global virtual