Click here to load reader
Upload
foro-global-crossing
View
911
Download
0
Embed Size (px)
Citation preview
Generando confianza en los servicios tercerizados
Elder Cama
Senior Manager Advisory
Ernst & Young
Agenda
• Introducción
• Reportes SAS70, ISSAE16, e ISAE3402
• Beneficios para las empresas de servicio y las organizaciones usuarias.
Introducción
Algunos aspectos a considerar sobre una organización de servicios
• Capacidad para brindar el servicio ofrecido
• Adecuada administración de riesgos, procedimientos y controles
• Definición de responsabilidades respecto a la aplicación de controles
• Costos relacionados
SAS 70,
ISSAE16, ISAE3402
Efectividad de los
controles del cliente
Efectividad de los
controles de la
empresa de
servicios
Specific Business
Processes
Specific Computing Applications
Financial Statement Accounts
General IT Processes
Introducción
Reportes SAS70, SSAE16 e ISAE3402
SAS 70
Tipo I, evalúa el diseño de los controles IT relacionados al control interno Tipo II, adicionalmente evalúa la efectividad en la aplicación de dichos controles a través de la realización de pruebas de auditoría.
SSAE 16
SOC 1, evaluación de controles relevantes para el reporte financiero. SOC 2, evaluación de controles no financieros (seguridad de datos, confidencialidad y privacidad, etc.) SOC 3, similar a SOC 2 pero en formato más breve y de libre distribución.
ISAE 3402
Enfocado en la verificación de la correcta aplicación de controles en las empresas de servicio. Símil al SOC1.
Beneficios para las empresas de servicio
• Posicionamiento del servicio en el mercado a través de una oferta diferenciada para clientes. Este tipo de reportes brinda confianza sobre las operaciones evaluadas de las empresas de servicio.
• Reducción en el tiempo de atención de auditorias por parte de personal de la empresa de servicios.
• Provee oportunidades de identificación de riesgos y mejoras de controles que fortalecen el gobierno corporativo de las empresas de servicios.
Beneficios para las organizaciones usuarias
• Revisión de aspectos no necesariamente cubiertos en una auditoria financiera o de sistemas.
• Conocimiento del entorno de control de la empresa de servicios que soporta su negocio.
• Confirmación de la efectividad y confianza del entorno de control del proveedor de servicios.
• Reducción del alcance de revisiones de auditoria
Gracias