Asesoramiento independiente aunque trabajo colaborativo.

Statement on Standards for Attestation Nᵒ 16 (SSAE 16) (la declaración de normas para las certificaciones Nᵒ 16) fue emitida por la Auditing Standards Board (ASB) (la junta de normas de auditoría) del American Institute of Certified Public Accountants (AICPA) (el instituto americano de contadores públicos certificados). SSAE 16 es documentada en las AICPA Professional Standards (las normas profesionales del AICPA) como Reporting on Controls at a Service Organization (la presentación de informes sobre los controles en una organización de servicios) (AT § 801).

Statement on Auditing Standards Nᵒ 70 (SAS 70) (la declaración sobre normas de auditoría), Service Organizations (AU § 324) (organizaciones de servicio), ha sido a menudo mal utilizada para reportar el cumplimiento y controles operacionales. SSAE 16 sustituye orientación para los auditores de servicio informando sobre los controles de una empresa de servicio relevantes por "internal control over financial reporting" (ICFR) (el control interno de las entidades usuarias sobre la información financiera) en SAS 70 como un esfuerzo por corregir el mal uso.

Tipos de auditoría

Las auditorías se clasifican como de tipo 1 o tipo 2.

Tipo 1

Una auditoría de tipo 1 revisa sus sistemas para evaluar si la descripción de sus controles presenta claramente lo que estaba en su lugar y el diseño de sus controles son adecuadamente cumplido con los objetivos de sus controles de seguridad a partir de una fecha determinada.

Tipo 2

Una auditoría de tipo 2 revisa sus sistemas para evaluar si la descripción de sus controles presenta claramente lo que estaba en su lugar y el diseño así como la efectividad de la operación de sus controles adecuadamente cumplido con los objetivos de sus controles de seguridad lo largo de un período de tiempo especificado (típicamente seis meses).

Quien lo necesita

Si su empresa ofrece servicios terceros que tienen contacto o inciden en los datos de otra organización, usted necesita manejar y proteger esos datos correctamente. Los clientes que optan por hacer negocios con organizaciones en función de si son o no han sido sometidos a una auditoría independiente a fondo para demostrar controles de seguridad.

En su esencia, una auditoría SSAE 16 es un medio a través del cual su organización puede demostrar los niveles a que vale a proteger los datos sensibles de sus clientes. Conforme a lo dispuesto por AT § 801:

.06 Los objetivos del auditor del servicio son los siguientes:
  1. Obtener una seguridad razonable de que, en todos aspectos, basados en criterios adecuados,
    1. La descripción de la gerencia de la organización de servicio presenta claramente el sistema que fue diseñado e implementado durante todo el periodo especificado (o en el caso de un informe por tipo 1, a partir de una fecha determinada).
    2. Los controles relacionados con los objetivos de control establecidos en la descripción de la gerencia de la organización de servicio fueron diseñados adecuadamente durante todo el período especificado (o en el caso de un informe por tipo 1, a partir de una fecha determinada).
    3. Cuando se incluyen en el alcance del compromiso, los controles operaron de manera efectiva para proporcionar una seguridad razonable de que los objetivos de control establecidos en la descripción de la gerencia de la organización de servicio se lograron a través del período especificado.
  2. Informar sobre los asuntos en 6(a) de acuerdo con los hallazgos del auditor de servicio.

Organizaciones de servicio que típicamente tienen auditorías SSAE 16 realizadas incluyen:

  • Centros de datos
  • Procesadores de tarjetas de crédito
  • Proveedores de alojamiento web
  • Proveedores de servicios gestionados
  • Proveedores de software como servicio (SaaS)
  • Cualquier organización que potencialmente afecta a los estados financieros de otra empresa

Que hacemos

Una auditoría SSAE 16 se lleva a cabo como un examen del Service Organization Control 1 (SOC 1) (control 1 de organización de servicio). La auditoría revisa su proceso de transacciones y los controles de seguridad de los datos que puedan ser relevantes para sus clientes.

Ofrecemos una auditoría SSAE 16 colaborativa y han simplificado el proceso de la auditoría para crear eficiencias, tantos en esfuerzo y en costo. Basado en nuestra metodología, podemos trabajar con usted para llevar a cabo gran parte de la auditoría remota, reduciendo la cantidad de tiempo en el sitio requerido a sólo un día o dos. Esto permite a su personal para mantenerse enfocado en sus responsabilidades de trabajo, mientras que nuestro equipo realiza la auditoría de manera eficiente en una manera rentable.

Por la conclusión de la auditoría, el informe SOC 1 y su carta de opinión documentaron los resultados como una declaración formal que están mantenimiento los controles de seguridad a través de sus sistemas y que son apropiados, exactos y fiables.

Experiencia independiente

Si está trabajando con una firma existente de contadores públicos para proporcionar su auditoría SSAE 16 y está buscando la experiencia de una empresa de seguridad dedicada, Sikich también ofrece los servicios siguientes independientes:

  • Evaluaciones de la disposición y la asistencia previa a la auditoría que le ayude preparar y determinar si usted está capaz de experimentar una auditoría SSAE 16 exitosa
  • Identificación y documentación de sus controles de seguridad, que son precursores requeridos para una auditoría SSAE 16, que se utiliza como la base de su auditoría y que figuran en su último informe SOC 1
  • Evaluaciones después de la auditoría de seguimiento y preparar respuestas sobre excepciones señaladas durante una auditoría SSAE 16 y proporcionar controles de seguridad adicionales que pueden ser beneficiosos para su organización
  • Revisión y análisis de la auditoría SSAE 16 de su proveedor para examinar y explicar los controles que tienen en lugar de salvaguardar sus datos (un componente necesario de su diligencia debida auditoría)

Obtenga una verificación independiente de expertos profesionales.

Todo lo que necesita es su nombre y su número de teléfono o correo electrónico para obtener más información acerca de nuestros servicios y experiencia. Si desea, también podrá enviar detalles adicionales después de enviar su información aquí.