SAS 70 y SSAE 16
SAS 70 vs SSAE 16
Tanto el SAS 70 como el SSAE 16 fueron desarrollados por el AICPA o el Instituto Americano de Contadores Públicos Certificados para los auditores que realizan el proceso de auditoría para las compañías de servicios. El auditor suele ser una entidad externa o de terceros en el proceso.
En esencia, SAS 70 y SSAE 16 son pautas escritas y un proceso de auditoría en uno. Las pautas son instrucciones escritas para auditar la información financiera de la compañía. y reportar el proceso de transacción de la compañía para el beneficio de la compañía y sus clientes.
Una auditoría es generalmente encargada por la organización de servicios o la compañía o su organización de usuarios (sus clientes una o dos veces al año). Por lo general, trata de determinar el nivel de cumplimiento de la empresa y se considera hoy como un requisito esencial en cualquier empresa de servicios. Un SAS 70 o SSAE 16 se puede usar en servicios de outsourcing, controles internos seguros de procesos críticos y seguridad de datos. Puede utilizarse como una evaluación de la propia empresa o como una gran herramienta de marketing para atraer clientes potenciales. Sin embargo, las similitudes terminan ahí.
El SAS 70, que se encuentra en los Estatutos de las Normas de Auditoría, ha sido el estándar formal de auditoría de servicios desde principios de los 90 hasta el 15 de junio de 2011. Fue reemplazado por el SSAE 16, que es el acrónimo de Declaraciones de Estándar en Certificación Compromisos, el nuevo estándar que entró en vigor en 15 de junio de 2011, y en adelante.
Las principales diferencias radican en los contenidos de ambas normas. Cuando se habla de forma, SAS es un estándar de auditoría, mientras que SSAE es un estándar de certificación. En el SAS anterior, la administración proporciona una representación por escrito en forma de una carta de representación de la administración antes del informe, aunque la carta no se incluye en el informe, mientras que la aseveración escrita en el SSAE se incluye en el informe del auditor. En el caso de los criterios adecuados, no se incluye en el informe de SAS ni en la aseveración de la administración, mientras que la SSAE lo incluye como una herramienta de gestión como base para su aseveración escrita. Los criterios adecuados también son un factor determinante para que la evaluación se clasifique como informe Tipo I o Tipo II. Tanto SAS 70 como SSAE 16 incluyen los informes Tipo I y Tipo II. Ambas normas tienen la opinión del informe Tipo I escrita en una fecha en el tiempo. En el SAS 70, el informe Tipo II también se escribe de esta manera. En contraste, el informe Tipo II de SSAE 16 debe escribirse durante todo el período de revisión. La evidencia de compromisos anteriores generalmente se usa en la norma anterior, pero la nueva norma no requiere su uso. Además, el auditor del servicio no está obligado a revelar si dicho auditor utilizó el trabajo de auditoría interna. Esto fue volcado en el nuevo estándar. Tampoco existe el requisito de obtener representación, mientras que el estándar SSAE requiere que el material proporcione afirmaciones. Por último, los informes SAS anteriores no pueden ser utilizados por la administración de la organización de servicios, sus clientes y los auditores de los estados financieros de los clientes, mientras que el informe SSAE reenviado se modifica para la misma audiencia. La organización del servicio y los auditores de los estados financieros de los clientes siguen teniendo la misma restricción, pero los clientes están restringidos a usar la fecha del informe en el informe (en el caso de un Tipo I) o durante el período de revisión (cuando se hace referencia al Tipo II). Resumen: 1.El SAS es el anterior estándar de auditoría de servicio que expiró el 15 de junio de 2011, mientras que el SSAE es el estándar de reemplazo a partir del 15 de junio de 2011 y en adelante. 2.Un SAS es un estándar de auditoría, mientras que un SSAE es un estándar de certificación. 3. La compañía a menudo proporciona una carta de representación de la gerencia antes del informe, pero no se incluye en el informe per se, mientras que la nueva norma exige que se incluya la certificación escrita. 4. Los criterios adecuados no se incluyen en un informe de SAS, pero es un requisito estricto para el estándar SSAE, ya que es la base de la aseveración escrita de la empresa. 5. Un informe de Tipo II en la norma SAS se escribe como la fecha de una fecha en el tiempo mientras que la Norma Tipo II en las normas SSAE se escribe durante todo el período de revisión.