Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
1.
2. Generando confianza en los
servicios tercerizados
Elder Cama
Senior Manager Advisory
Ernst & Young
3. Agenda
• Introducción
• Reportes SAS70, ISSAE16, e ISAE3402
• Beneficios para las empresas de servicio
y las organizaciones usuarias.
4. Introducción
Algunos aspectos a considerar sobre una organización de
servicios
• Capacidad para brindar el servicio ofrecido
• Adecuada administración de riesgos, procedimientos y
controles
• Definición de responsabilidades respecto a la aplicación
de controles
• Costos relacionados
5. Introducción
Efectividad de los
controles de la Efectividad de los
empresa de controles del cliente
servicios Financial
Statement
Accounts
SAS 70, Specific Business
ISSAE16, ISAE3402 Processes
Specific Computing Applications
General IT Processes
6. Reportes SAS70, SSAE16 e ISAE3402
SAS 70 SSAE 16 ISAE 3402
Tipo I, evalúa el diseño de SOC 1, evaluación de Enfocado en la
los controles IT controles relevantes para verificación de la correcta
relacionados al control el reporte financiero. aplicación de controles en
interno SOC 2, evaluación de las empresas de servicio.
controles no financieros Símil al SOC1.
Tipo II, adicionalmente (seguridad de datos,
evalúa la efectividad en la confidencialidad y
aplicación de dichos privacidad, etc.)
controles a través de la SOC 3, similar a SOC 2 pero
realización de pruebas de en formato más breve y de
auditoría. libre distribución.
7. Beneficios para las
empresas de servicio
• Posicionamiento del servicio en el mercado a través de una oferta
diferenciada para clientes. Este tipo de reportes brinda confianza sobre
las operaciones evaluadas de las empresas de servicio.
• Reducción en el tiempo de atención de auditorias por parte de personal
de la empresa de servicios.
• Provee oportunidades de identificación de riesgos y mejoras de
controles que fortalecen el gobierno corporativo de las empresas de
servicios.
8. Beneficios para las
organizaciones usuarias
• Revisión de aspectos no necesariamente cubiertos en una auditoria
financiera o de sistemas.
• Conocimiento del entorno de control de la empresa de servicios que
soporta su negocio.
• Confirmación de la efectividad y confianza del entorno de control del
proveedor de servicios.
• Reducción del alcance de revisiones de auditoria