среда, 13 октября 2010 г.

Стандарт аудита SAS 70 будет в 2011 году заменён

Стандарт SAS 70 (Statement on Auditing Standards No. 70, Service Organizations) аудита поставщиков услуг, который в последнее время довольно часто стал использоваться для оценки мер по информационной безопасности потенциальных деловых партнеров (и который порой ошибочно воспринимают чуть ли не как стандарт требований к СЭД) в июне 2011 года будет заменен.

Стандарт был разработан Американским институтом сертифицированных присяжных бухгалтеров (American Institute of Certified Public Accountants, AICPA) в 1992 году. Он предназначен для оценки эффективности управления рисками и эффективности системы внутреннего контроля, обеспечивающей информационную безопасность и надежность услуг. При этом проект аудита может быть реализован в двух вариантах: Type I и Type II. Второй тип, помимо выявления ключевых задач контроля и определения соответствующих политики и процедур, включает в себя тестирование операционной эффективности. Использование стандарта SAS 70 входит в список требований раздела 404 известного американского закона Сарбейнса-Оксли (Sarbanes-Oxley Act).

Ему на смену придёт стандарт SSAE 16 (Standard for Attestation Engagements No. 16). Совет по стандартам аудита (Auditing Standards Board) Американского института сертифицированных присяжных бухгалтеров в апреле 2010 года выпустил окончательную версию SSAE 16, с датой вступления в силу 15 июня 2011 года.

Задача нового стандарта – модифицировать стандарт отчетности организаций-поставщиков услуг таким образом, чтобы он соответствовал новому международному стандарту того же назначения ISAE 3402 (см. http://web.ifac.org/download/b014-2010-iaasb-handbook-isae-3402.pdf ).

Новым является, например, то, что теперь руководство организации-поставщика услуг должно будет давать письменное заверение в том, что в отчете аудиторов правильно отражена система организации и используемые ею меры и средства контроля и управления, а также их эффективность. При определенных условиях такие же заверения должны быть даны руководством организаций-субподрядчиков. Однако, по большому счёту, специалисты считают, что SSAE 16 и ISAE 3402 можно рассматривать как не слишком отличающуюся «вторую версию» SAS 70.

Источник: Computerworld
http://news.idg.no/cw/art.cfm?id=830C5764-1A64-6A71-CE86A5FB6415CEE6

Комментариев нет:

Отправить комментарий