Положение о стандартах выполнения заданий по аттестации № 16 (SSAE 16) является стандартом аудита для сервисных организаций, производимых Американского институтом дипломированных общественных бухгалтеров (AICPA) Ревизионная совета по стандартам , которые вытесняют заявление по стандартам аудита нет. 70 (SAS 70) и был заменен SSAE № 18 . [1]
«Проверка сервисного аудитора» SAS 70 заменяется отчетом о контроле системы и организации ( SOC ). [2] SSAE 16 был выпущен в апреле 2010 года и вступил в силу в июне 2011 года. Многие организации, которые следовали SAS 70, теперь перешли на SSAE 16. [ необходима цитата ] Некоторые сервисные организации используют статус отчета SSAE 16, чтобы показать, что они более эффективны. , а также побудить потенциальных конечных пользователей сделать SSAE 16 стандартной частью новых критериев выбора поставщика. [ необходима цитата ]
SSAE 16 отражает Международный стандарт заданий, обеспечивающих уверенность (ISAE) 3402 . [3] Точно так же SSAE 16 имеет два разных типа отчетов. Отчет SOC 1 Type 1 - это независимый снимок состояния контроля в организации за определенный день. Отчет SOC 1 Type 2 добавляет исторический элемент, показывающий, как управлялись элементы управления с течением времени. Стандарт SSAE 16 требует минимум шести месяцев работы средств управления для отчета SOC 1 Type 2. [ необходима цитата ]
Публичные компании в Соединенных Штатах подпадают под действие Закона о реформе бухгалтерского учета публичных компаний и защите инвесторов , также известного как закон Сарбейнса – Оксли или SOX. Однако есть также ряд положений Закона (например, умышленное уничтожение доказательств с целью воспрепятствовать федеральному расследованию), которые применяются к частным компаниям. [ необходима цитата ] Отчетность SSAE 16 может помочь обслуживающим организациям соответствовать требованиям закона Сарбейнса – Оксли (раздел 404), чтобы продемонстрировать эффективный внутренний контроль, охватывающий финансовую отчетность. Его также можно применить к центрам обработки данных или к любой другой службе, которая может использоваться при предоставлении финансовой отчетности. [4]
Для отчетов, которые специально не посвящены внутреннему контролю над финансовой отчетностью, Американский институт сертифицированных общественных бухгалтеров (AICPA) выпустил интерпретацию в соответствии с разделом 101 AT, разрешающую аудиторам услуг выпускать отчеты. Эти отчеты теперь будут считаться аудитами SOC 2 и сосредоточены на средствах контроля в обслуживающей организации, относящихся к безопасности, доступности, целостности обработки, конфиденциальности или конфиденциальности. [5] SSAE 16 предоставляет руководство по методу аудита, а не предписывает конкретный набор средств контроля. В этом отношении он аналогичен ISO 27001: 2013 .
Технологические услуги
В технологических компаниях SaaS аудит SOC 2 приобретается, чтобы обеспечить уверенность в различных аспектах программного обеспечения, включая безопасность, доступность и целостность обработки. [6]
Рекомендации
- ^ «Разъясненные положения о стандартах аттестационных заданий» . aicpa.org . Американский институт CPAs (AICPA) . Дата обращения 13 февраля 2020 .
- ^ «Управление системой и организацией (SOC): набор услуг SOC» . Дата обращения 30 мая 2017 .
- ^ «Обзор SSAE 16» . Дата обращения 11 мая 2015 .
- ^ «Зачем центрам обработки данных SSAE 16» . Знание центров обработки данных . Дата обращения 11 мая 2015 .
- ^ «Обзор аудита SOC 2» . Проверено 24 мая +2016 .
- ^ Совет, редакторы, Forbes Technology. «Был ли ваш SaaS включен в SOC? Понимание ценности отчетов SOC 2» . Forbes . Проверено 23 мая 2019 .CS1 maint: дополнительный текст: список авторов ( ссылка )