En los últimos años, muchas empresas acudieron a diferentes proveedores para la ejecución de sus procesos internos, desde la tercerización de la tecnología de la información (TI) hasta la administración de los recursos humanos y el procesamiento de la nómina.
En este contexto, mantener el entorno de control exigido por las distintas regulaciones (por ejemplo: la sección 404 de la ley Sarbanes Oxley o la comunicación 4.609 del BCRA) se ha convertido en un desafío.
¿Qué es un reporte SAS 70?
SAS 70 (Statement on Auditing Standards No. 70) o Declaración sobre normas de auditoría, es un estándar de auditoría reconocido internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El reporte consiste en una revisión centralizada por parte de un auditor independiente ("auditor del servicio") de los servicios tercerizados y está diseñada para proveer información a las organizaciones usuarias y a sus auditores, acerca del control interno de la organización de servicios. Básicamente, es una comunicación "de auditor a auditor".
Los proveedores de data center, de procesamiento de transacciones y las tarjetas de crédito, son algunos ejemplos de una organización de servicio. Contar con un reporte SAS 70 les brinda a estas empresas algunas ventajas como:
- Reducción de costos: se disminuyen los costos originados por la asignación de recursos a las auditorías de las distintas organizaciones usuarias.
- Mejoras en los controles y la administración del riesgo: la documentación formal del control interno que se describe y evalúa durante la revisión le brinda a la organización de servicios la base para monitorear sus controles en funcionamiento.
- Adquisición y retención de clientes: lograr un reporte SAS 70 satisfactorio puede ser un medio efectivo para atraer nuevos clientes y fortalecer la confianza con los ya existentes.
Por otra parte, para las organizaciones usuarias, que su organización de servicios cuente con un reporte SAS 70, le implica una disminución en el esfuerzo de las auditorías.Tipos de reporte SAS 70 Existen dos tipos de reportes:
- Tipo I: incluye la opinión del auditor acerca de la adecuada descripción de los controles presentada por la organización de servicios y la idoneidad del diseño de los mismos para alcanzar los objetivos especificados.
- Tipo II: contiene la información incluida en el reporte Tipo I y, a su vez, la opinión del auditor del servicio respecto de la efectividad con que operaron los controles durante el período de tiempo considerado. Provee información adicional sobre la naturaleza, tiempo, alcance y resultados de las pruebas del auditor del servicio sobre los controles especificados.
Reportes SAS 70 en la región Tanto en la región como en nuestro país, ya existen organizaciones de servicio que cuentan con un SAS 70. En la actualidad, un número importante de empresas está analizando contar con uno, no sólo por los requerimientos regulatorios, sino también para obtener una ventaja competitiva en el mercado y mejorar el control en sus procesos internos.
En la Argentina, la entrada en vigencia de la comunicación Nº 4.609 del BRCA podría constituir a futuro, un estímulo adicional para la emisión de reportes de este tipo, ya que requiere a las entidades bancarias un mayor control sobre sus proveedores de TI.
Fuente: https://www.iprofesional.com/notas/51571-Los-alcances-tecnologicos-de-una-auditoria-SAS-70