Operaciones Subcontratadas

ISAE3 402 / SSAE18

2018
kpmg.com.co

©2018 KPMG S.A.S. y KPMG Advisory, Tax & Legal S.A.S., sociedades colombianas y firmas miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG
International”), una entidad suiza. Derechos reservados. Tanto KPMG como el logotipo de KPMG son marcas comerciales registradas de KPMG International Cooperative (“KPMG International”), una entidad suiza
1
Agenda
Objetivo y Alcance
2 Introducción
3 Que es ISAE 3402 / SSAE-18
4 SOC Tipos de Reportes
5 Componentes del informe SOC
6 Aspectos Relevantes a tener en cuenta
7 Cuales beneficios tengo
8 Que elementos se evalúan
9 Resultados e implicaciones de la evaluación
10 Resumen del ciclo IT Attestation / SOC
11 Que hacemos – Como puede KPMG ayudarle?
Objetivos
Dar a conocer la norma que rige los
lineamientos para reportar sobre el control
interno en las organizaciones de servicio y IT Attestation
como afecta este, el ambiente de las
Compañías u organizaciones Usuarias.

1 Conocer el estándar
ISAE3402/SSAE18 y su alcance

Sistema de control Interno

2
3 SSAE-16 / 18
Identificar la importancia, relevancia e
implicación que tiene el sistema de control
interno preparado por las organizaciones
Dar respuesta a los interrogantes: de servicio para soportar los procesos y
presentar, diseñar e implementar los
 ¿Qué Necesidad o Problema se cubren? controles, para el soporte de la Operación y el
 ¿ Qué Beneficios se Obtienen? procesamiento de información como fuente
para la generación y reporte de los estados
financieros de las organizaciones usuarias
(Compañías )
Introducción
Bajo la norma internacional de trabajos para atestiguar ISAE, se encuentran ISAE 3402,
SSAE-18, ISAE 3000.

 Alta demanda del uso de servicios tercerizados

IT Attestation 1 asociados con a) el procesamiento de
información, b) administración de la
infraestructura, c) desarrollo de aplicaciones, d)
Data Center, e) nomina y f) procesos de
visación y canje, entre otros aspectos.
2
Existe una creciente necesidad  Las compañías, incrementado los procesos de
sobre el uso de servicios aseguramiento, sobre actividades realizadas por
Tecerizados respecto a las sus organizaciones de servicios, como
funciones de negocio no Negocio complemento a la norma internacional de
misionales de las compañías. Auditoria 402

3  Como respuesta a las diferentes amenazas

emergentes, y el amplio número de
requerimientos regulatorios.

4 Aspecto relevante: Las compañías siguen

siendo responsables de su ambiente de control.
¿Qué es ISAE3402/SSAE18?
Elementos de control que se evalúan:
ISSAE 3402: ISAE (International SOC 1, SOC 2, SOC 3
Standards for Assurance
Engagements) 3402 es un
estándar de aseguramiento global SSAE18: A partir de la
para reportar sobre los controles existencia del nuevo estándar
de una organización que brinda internacional ISAE 3402, cada
servicios tercerizados. Entró en país diseño su norma local
vigencia el 15 de junio de 2011, PROCESOS /
PROCESOS para cumplir con los
PROCESOS SERVICIOS DEL
básicamente en respuesta a la Ley SERVICIOS CLIENTE /SERVICIOS requerimientos específicos
Sarbanes-Oxley, para proteger a DEL CLIENTE ADMINISTRADOS POR TERCERIZADOS de sus legislaciones internas.
los accionistas y al público en LA ORGANIZACIÓN DE Este es el caso de los Estados
general de los errores contables y SERVICIOS
Unidos, donde se creó el
las prácticas fraudulentas. SSAE 16 (Statement on
Standards for Attestation
ISAE 3402 es una extensión y Engagements 16), basado en
expansión de SAS 70 (the el estándar internacional. El
Statement on Auditing Standards mismo se actualizó en mayo
No. 70), definió los estándares que de 2017 a SSAE18.
un auditor debe emplear para
evaluar los controles internos Canadá, Reino Unido, chile.
contratados a una organización ISAE3402 / SSAE18 Colombia, Decreto 2132 del
de servicios. (International Standards for Assurance Engagements) 22 / 12/2016.
SOC – Tipos de reporte (1/2) En un Reporte Tipo 1, el auditor de servicios
manifestará su opinión sobre:

*SOC: Service Organization Control Informe de Controles en una  La equidad en la presentación de la descripción
Organización de Servicios que son que la administración efectúa sobre el sistema de
relevantes para el Control Interno de las la empresa de servicios durante el período
Entidades Usuarias sobre los Informes  La idoneidad del diseño de los controles en un
Financieros (ISAE 3402/SSAE 18) punto determinado del tiempo.

Diseño e
SOC 1 Reporte
Implementación
Tipo 1 de los controles

Reporte Diseño y
Tipo 2 Eficacia Operativa
de los controles
ISAE3402
SOC 2
/SSAE18 En un Reporte Tipo 2, el auditor de servicios
Informe de Controles en una Organización
de Servicios que son Relevantes para la manifestará su opinión sobre:
Seguridad, Continuidad, Procesamiento,
Integridad, Confidencialidad o Privacidad  La equidad en la presentación de la descripción
(AT101) (ISAE 3000) que la administración efectúa sobre el sistema de
la empresa de servicios durante el período
 La idoneidad del diseño de los controles durante
SOC 3 Informe de Servicios de Confianza el período
para Organizaciones de Servicios  La efectividad operativa de los controles
durante el período
SOC – Tipos de reporte (2/2)
Enfoque Reporte Resumen Aplicación

Control Interno SOC 1 (*) Reporte detallado para  Enfocado a riesgos y controles sobre el reporte
sobre Reporte los usuarios y sus financiero especificados por el proveedor de servicios.
Financiero auditores
 Aplicable cuando el proveedor ejecuta el
procesamiento de transacciones financieras o soporta
sistemas que procesan transacciones financieras.

Controles SOC 2 Reporte detallado para los  Enfocado a:

Operacionales usuarios, sus auditores, y partes - Seguridad
específicas
- Disponibilidad
- Confidencialidad
- Integridad del procesamiento
- Privacidad

Controles SOC 3 (**) Reporte corto que puede ser Aplicable a una amplia diversidad de sistemas
Operacionales generalmente mayor distribuido,
con la opción de desplegar un
sello en el sitio web
Componentes del informe SOC
Sección I Informe de los auditores
Sección I Informe de los auditores
independientes Reporte Tipo 2
independientes Reporte Tipo 1

Sección II Declaración de la organización Sección II Declaración de la organización

de servicios de servicios

GBS
IT ATTESTSTION
Sección III Descripción del Sistema de Sección III Descripción del Sistema de
Gestión de Servicios para Gestión de Servicios para
ISAE3402/SSAE18 ISAE3402/SSAE18

Sección IV Objetivos de control, controles Sección IV Objetivos de control, controles

relacionados y pruebas de diseño realizadas relacionados, pruebas de diseño y eficacia
por el Auditor Externo operativa realizadas por el Auditor Externo

Sección V Otra Información Proporcionada por la Organización de Servicios

Aspectos Relevantes a tener en cuenta
ISAE 3402/SSAE18 refiere las responsabilidades
El Auditor de la Organización de servicio,
de la Organización de Servicios al definir los
01 objetivos y la descripción de controles para
determina el efecto que tiene una 05
organización de servicio en las
asegurar el ambiente de control preparado.
aseveraciones de los estados financieros y
su impacto frente al resultado de su cliente
La Organización de servicios se expresa respecto a (organización usuaria).
la presentación, diseño y eficacia operativa de sus
Se verifica, si el reporte de la
02 operaciones; es decir, el Representante Legal de la
organización de servicio es el adecuado y 06
Organización de Servicios confirma con su propia
opinión que estas tres características aseguran refiere un ISAE3402 o el SSAE18.
razonablemente el logro de los objetivos de control
identificados

El Representante Legal de la Organización de Se valida si el alcance del nuevo reporte

03 servicios debe tener bases sobre las cuales realiza cubrirá todos los aspectos relevantes para 07
esta aseveración y el auditor externo (KPMG), entra a los estados financieros.
verificar. Por este motivo, se realizan las pruebas de
presentación, diseño, implementación y eficacia
operativa de los controles que se han declarado para
prestar el servicio.
Se asegura que el reporte de la organización
La Identificación de riesgos por parte de la
de servicios sea del Tipo II, ya que para cubrir
04 Organización de Servicios y la Generación de la carta de
los aspectos relevantes de estados 08
representación donde el Representante Legal de
financieros debe contemplarse la aseveración
confirma que el ambiente preparado para prestar el
de efectividad operativa.
servicio, no tendrá ningún efecto adverso en el sistema
de control interno de su organización Usuaria.
¿Cuáles beneficios obtengo?
SOC Descripción Beneficios

• SOC 1 Informe sobre los controles en una organización de • El reporte SOC 1 esta enfocado a riesgos y controles sobre el reporte
servicios relevante para el Reporte Financiero financiero especificados por el proveedor de servicios.
• SOC 2 Informe sobre los controles en una organización de
servicio relevante para seguridad, disponibilidad, • El reporte SOC 1 es Mayormente aplicable cuando el proveedor de
SOC 1/2 TIPO I
Se abordan requerimientos del cliente para
procesamiento de integridad, confidencialidad o privacidad.
dar cumplimiento a las normas locales e
servicio ejecuta el procesamiento de transacciones financieras o
01 internacionales. Ejm. SOX – “Sarbanes Oxley” soporta sistemas que procesan transacciones financieras
• La opinión cubre la descripción de la administración del
1
sistema de una organización de servicios y la idoneidad del
diseño de los controles.
• El uso de estos informes está restringido.
Provee a las organizaciones usuarias un nivel de seguridad razonable de la
• El reporte SOC 2 o SOC 3 proporciona a las Organizaciones que
• SOC 1 Informe sobre los controles en una organización de
integridad
02 servicios y elefectividad
relevante para de los controlestercerizan
Reporte Financiero establecidos en(captura,
la operación los diversos procesos
procesamiento, de
transmisión,
• SOCnegocio almacenamiento, logística, mantenimiento, y/o destrucción de su
y de
2 Informe sobre lostecnología
controles en unade información
organización de que se hanuntercerizado.
información) mecanismo para evaluar el gobierno y supervisar en
servicio relevante para seguridad, disponibilidad,
procesamiento de integridad, confidencialidad o privacidad. esos proveedores de servicio.
SOC 1/2 TIPO II
Provee a las organizaciones usuarias un •nivel
• La opinión cubre la descripción de la administración del
de SOC
El reporte seguridad incorporar de
razonable
2 o SOC 3 puede otroslamarcos de
03 sistemaintegridad y efectividad
de una organización de servicios y de los controles
la idoneidad del establecidos
referencia endisponibles
públicamente los diversos procesos
tales como ISO, PCI, ode
HIPPA.
diseño y la efectividad operativa de los controles.
negocio y de tecnología de información •que se han
El reporte SOCtercerizado.
2 o SOC 3 provee un nivel de aseguramiento con
• El uso de estos informes está restringido. respecto a las áreas operacionales de interés para los clientes o
entidades usuarias.
• Reporte corto que puede ser generalmente mayor
distribuido, con la opción de desplegar un sello en el sitio • El reporte SOC 2 o SOC 3 puede aprovechar los controles existentes
SOC 3 web en SOC1 a fin de alcanzar los principios y criterios de Trust Services
• Uso no restringido y capacidad para desplegar un sello en el de la AICPA para emitir un reporte SOC 2 y/o SOC 3 en conjunto con
sitio web. el actual reporte SOC1.
¿Qué elementos se evalúan? (1/2)
 Aseveración: Se validarán las bases sobre las cuales la Organización de Servicios emitirá su propia opinión sobre la presentación,
diseño e implementación de los controles para el cumplimiento de sus objetivos.

 Presentación: La descripción de los controles presenta razonablemente, en todos los aspectos importantes, los controles de la
Organización de Servicios que puedan ser relevantes al control interno de sus organizaciones usuarias, en lo que se refiere a una
evaluación asociada a los procesos de Operación y Tecnología de Información.

 Diseño: El conjunto de controles están debidamente diseñados para proporcionar un aseguramiento razonable que los Objetivos de
Control serán logrados.

 Implementación: Estos controles se han puesto en funcionamiento en el día especificado

 Eficacia: Los controles que seleccionemos para probar están operando con eficacia suficiente para proporcionar un grado razonable
que indique que los objetivos de control se lograron durante el periodo especificado. (Aplica únicamente para el SOC 1 Tipo II).
¿Qué elementos se evalúan? (2/2)
Riesgo 01 Identificación y calificación del Riesgo

Objetivo de 02 La definición del objetivo de Control y el grupo de controles con el cual se logra el objetivo
Control

 Diseño del Control: qué, quién, cuando, cómo y evidencia que se deja de la ejecución
del control.
Control 03  Eficacia operativa del Control: evidencia de la ejecución del control en el periodo
objeto de evaluación

Ambiente de control del servicio

Resultados e Implicaciones de la Evaluación

 Opinión Sin Salvedad : la opinión informa que los controles están diseñados adecuadamente, para
01 proporcionar una seguridad razonable de que se lograron los objetivos de control establecidos en la
descripción de la organización de servicios, de su sistema, y que los estos operaron eficazmente.

 Opinión Con Salvedad (calificada): la opinión informa que los controles no están diseñados
adecuadamente para proporcionar una seguridad razonable de que se lograron los objetivos de control
02 establecidos en la descripción de la empresa u organización de servicios, de su sistema y que los
controles no operaron eficazmente.
 Resumen del ciclo IT Attestation / SOC
FASES

Carta Declaratoria y/o Carta de Representacion se

Aseveraciones / Matriz de entrega antes de Suministrar Opinion / Firma Auditoria Fases / opinion
R&C reporte

1 4 7 10
Se reafirma la Informe de los
Presentar cómo fue Alcance
declaración adjunta Auditores
diseñado e
sobre la Independientes de
implementado el Responsabilidades
descripción del la Organización de
sistema de la Organización
sistema Servicios
de Servicios
PASOS

2 5 8
Notifica que Carta declaratoria Nuestra
Incluye los detalles proporciona Descripcción del Independencia y
relevantes de los información sistema Control de Calidad
cambios al sistema relevante y acceso Objetivos de
a la información control y controles Responsabilidades
de los auditores del
3 6 9 servicio
Se ha revelado los
Objetivos de
casos de Limitaciones de
control, controles y Pruebas realizadas
incumplimiento con Controles en una
Riesgos por el Auditor
leyes y o errores Organización de
relacionados
internos Servicio

Opinión
 Sesión de
Preguntas ¿?
 The contacts at KPMG in
connection with this report are:
Fabian Echeverria
Socio
KPMG Advisory, Tax & Legal SAS

Tel: +57 (1) 618-8000

Fax: +57 (1) 623-3380
fecheverria@kpmg.com

Gracias. Constanza Consuelo Torres

Manager, Bogotá
KPMG Advisory, Tax & Legal SAS

Tel: +57 (1) 618-8000

Fax: +57 (1) 623-3380
cctorres@kpmg.com

© 2018 KPMG ADVISORY TAX & LEGAL S A S, a Colombian actions liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
("KPMG International"), a Swiss entity. All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG International Cooperative ("KPMG International"), a Swiss entity.