Hablemos de estándares de auditoría para auditar empresas prestadoras de servicios

Edición de Julio de 2023 de Tecnología y Sentido Común, la Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

Recordando aquellos años en los cuales era necesario realizar visita de auditoría presencial a los proveedores de  servicios externos (que presta servicios de subcontratación, tercerización, externalización u outsourcing), una vez fui a visitar una empresa proveedora de servicios de cajeros automáticos y, ¡oh sorpresa!, había auditores de otros tres bancos en proceso de realización de auditoría, similar a la que yo iba a ejecutar. En aquella época utilizábamos las normas SAS 70 (Statement on Auditing Standards No. 70), desarrollada por la AICPA ( American Institute of Certified  Public Accountants), para evaluar los controles de TI, cuya aplicabilidad era a nivel mundial.

Pobre proveedor de servicios, en muchas oportunidades requería un equipo de personas para atender a los auditores de TI y sus auditorías, que eran continuas durante todo el año y que generalmente se enfocaban en evaluar los mismos controles.

Afortunadamente la AICPA reemplazó la SAS 70 por el SSAE 16 (Statement on Standards for Attestation Engagements No. 16) en el 2010, entrando en vigencia en el 2011 en Estados Unidos. Esta norma, en el resto del mundo fue reemplazada por la ISAE 3402, emitida por la International Auditing and Assurance Standards Board (IAASB) y, posteriormente, en el año 2017,  la SSAE 16 fue actualizada en la SSAE 18.

Con estas nuevas normas, ahora es posible que un auditor externo evalúe o audite los controles de las organizaciones prestadoras de servicios y como resultado de la auditoría, el auditor externo, expida una “atestación” donde el auditor atestigua si los controles son adecuados o no. Ahora con este reporte no es necesario que los auditores de las entidades financieras, por ejemplo, realicemos nuestra auditoría sino que la evidencia del cumplimiento de los controles es la “atestación” emitida por el auditor externo.

Estados Unidos continúa aplicando la SSAE 18 y en Latinoamérica utilizamos la ISAE3402. Esta norma no es obligatoria para nuestra región. Sin embargo, empresas importantes que contratan servicios de outsourcing para completar o complementar la prestación de servicios informáticos lo exigen a sus terceros, como requisito para su contratación. En Colombia, la Superintendencia Bancaria expidió una regulación asociada al uso de servicios de computación en la nube (Circular externa 005 de 2019) donde obliga a las entidades financieras a solicitar los reportes generados a partir  de la aplicación de esta norma, a los terceros que apoyan sus procesos informáticos.

Continuar leyendo…

Ingeniero de Sistemas, Especialista en Auditoría de Sistemas, con certificaciones CISA, CISM, CSXF y CRISC; CoBiT 5 Certified Assessor y entrenador CobiT 2019. Con más de 25 años de experiencia en importantes empresas nacionales y multinacionales en las áreas de seguridad de la información y ciberseguridad, riesgos y auditoría de sistemas. Evaluador, diseñador e implementador de Gobierno de TI. Experiencia Docente y conferencista internacional. Fue Vicepresidente Internacional de ISACA y del ITGI (IT Governance Institute), miembro del IT Governance Committee de ISACA. Premio John Kuyers Best Speaker / Conference Contributor Award de ISACA.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad