SSAE № 18 - SSAE No. 18
Положение о стандартах выполнения заданий по аттестации № 18 (SSAE № 18 или же SSAE 18) это Общепринятый стандарт аудита подготовлено и опубликовано Американский институт сертифицированных бухгалтеров (AICPA) Совет по стандартам аудита. Хотя в нем говорится, что его можно применить практически к любому предмету, основное внимание в нем уделяется качеству (точности, полноте, справедливости) финансовой отчетности. Особое внимание уделяется внутренний контроль, простираясь в контроль над информационные системы занимается финансовой отчетностью. Он предназначен для использования Сертифицированные бухгалтеры выполнение заданий по аттестации, подготовка письменного заключения по предмету и организации-клиенты, готовящие отчеты, которые являются предметом задания по аттестации. Он предусматривает три уровня обслуживания: экзамен,[1] рассмотрение,[2] и согласованные процедуры.[3] Он также предписывает два типа отчетов для отчета об исследовании средств контроля в обслуживающей организации, имеющих отношение к внутреннему контролю организаций-пользователей над финансовой отчетностью: Тип 1, который включает оценку структуры внутреннего контроля, и Тип 2, который дополнительно включает оценку операционной эффективности средств контроля.[4] Опубликовано в апреле 2016 г.,[5] SSAE 18 и все предыдущие стандарты, которые он заменяет, представлены в разделе AT-C AICPA. Профессиональные стандарты, большинство разделов вступят в силу 1 мая 2017 г.[6]
История и влияние
Прецеденты и первоначальный выпуск
SAS 70: В апреле 1992 г. AICPA опубликовал Отчеты об обработке операций обслуживающими организациями; Положение о стандартах аудита, 070, который предоставляет руководство при аудите финансовой отчетности предприятия, которое использует обслуживающую организацию для обработки транзакций, влияющих на финансовую отчетность.[7]
COSO Внутренний контроль: интегрированная структура: В сентябре 1992 г. Комитет спонсорских организаций Комиссии Тредуэя (COSO) выпустил отчет под названием Внутренний контроль: интегрированная структура, в котором дается определение внутреннего контроля и основы для оценки и улучшения внутреннего контроля над системами.[8]
SAS 78: В декабре 1995 года AICPA опубликовал Учет структуры внутреннего контроля при аудите финансовой отчетности: поправка к SAS No. 55; Заявление о стандартах аудита, 078, который заменил SAS 55, чтобы отразить определение внутреннего контроля, представленное в COSO Internal Control-Integrated Framework.[9]
SOX: В начале 2002 года США выпустили Закон Сарбейнса-Оксли, который установил требования к публичным компаниям о выпуске отчета о внутреннем контроле вместе с финансовой отчетностью. Он требует, чтобы заявление о внутреннем контроле основывалось на структурированной и обоснованной системе внутреннего контроля. Он также установил требование для финансовых аудиторов проверять отчет о внутреннем контроле, предоставленный руководством, и составлять отчет о нем.[10]
ISAE 3402: В декабре 2009 года Совет по международным стандартам аудита и подтверждения достоверности информации (IAASB) опубликовал новый Международный стандарт для заданий, обеспечивающих уверенность, ISAE 3402 под названием Отчеты о подтверждении контроля в обслуживающей организации,[11][10] также известный как Система внутреннего контроля финансовой отчетности (ICFR). Основное внимание в нем уделяется «соглашениям, обеспечивающим уверенность при составлении отчетов об элементах управления в обслуживающей организации, которые могут повлиять на систему внутреннего контроля организации-пользователя над финансовой отчетностью или быть ее частью». Он указывает ISAE 3000 как применимо. ISAE 3402 был принят Международной федерацией бухгалтеров (IFAC).[12]
SSAE 16: В апреле 2010 года AICPA опубликовал Положение о стандартах выполнения заданий по аттестации № 16 (SSAE 16), названный Отчетность по контролю в обслуживающей организации, который заменил SAS 70 и был включен в Профессиональные стандарты как раздел AT 801[13] Изменения в этом обновлении приблизили стандарт к структуре отчетности, требуемой Законом Сарбейнса-Оксли, и стандартами, поддерживаемыми Международной федерацией бухгалтеров (IFAC).[14]
SOC: в 2011 году, в связи с выпуском SSAE 16, AICPA заменил отчет об экспертизе обслуживающего аудитора, предписанный SAS 70, на Системный и организационный контроль (SOC) набор отчетов.[10][15][16]
Критерии доверительных услуг: В 2014 году Исполнительный комитет служб аудита AICPA (ASEC) опубликовал новое руководство, Принципы и критерии Trust Services для безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности, называемые просто критериями контроля, для использования в заданиях по аттестации для составления отчетов о пригодности конструкции и операционной эффективности средств контроля над информационными системами. Новые критерии контроля были приведены в соответствие с 17 принципами COSO. Внутренний контроль - интегрированная система. Он включал критерии для дополнения принципа 12 COSO, обращаясь к элементам управления логическим и физическим доступом, операциями системы, управлением изменениями и снижением рисков.[17]
SSAE 18: В апреле 2016 года AICPA опубликовал Заявление о стандартах выполнения заданий по аттестации 18; Стандарты аттестации: разъяснение и перекодификация в ответ на «озабоченность по поводу ясности, объема и сложности его стандартов»,[5] Большинство разделов вступают в силу 1 мая 2017 г.[18] SSAE № 18 заменяет большинство предыдущих выпусков SSAE и объединяет их в единый уточненный стандарт.[6]
Изменения, внесенные SSAE 18
Разъяснение и перекодификация
SSAE № 18 разъяснил и пересмотрел все предыдущие SSAE, за исключением SSAE № 10, главы 7, которая была помещена в раздел 395 AT-C в неясной форме, и SSAE № 15, замененного Положением о стандартах аудита № 130 и перемещен в раздел 940 AU-C. Номера разделов AT для замененных SSAE были перекодированы в Профессиональные стандарты как раздел «AT-C», чтобы избежать путаницы со старыми стандартами, кодифицированными как раздел «AT».[6]
Дополнительные средства управления вспомогательной организацией
SSAE № 18 требует рассмотрения дополнительных элементов управления вспомогательной обслуживающей организацией, которые представляют собой элементы управления для частей систем обслуживающей организации, переданных на аутсорсинг другим обслуживающим организациям.[19]
Последние достижения
Со времени первого выпуска стандарта SSAE No. 18, которые влияют на отчетность в соответствии с этим стандартом.
Система отчетности по управлению рисками кибербезопасности: В 2017 году исполнительный комитет AICPA Assurance Services (ASEC) опубликовал новые и пересмотренные материалы, которые вместе образуют систему отчетности по управлению рисками кибербезопасности. Структура предназначена для помощи организациям в описании деятельности по управлению рисками кибербезопасности. Он также предназначен для оказания помощи CPA в выполнении экзаменов, известных как SOC для проверки кибербезопасности. Основу составляют три ресурса:[20][21][22]
- Описание Критериипод названием Критерии описания набора данных и оценки его целостности, представленная в 2017 году, предназначена для использования руководством при описании своей программы управления рисками кибербезопасности и для использования CPAs для отчета по описанию руководства.[23]
- Критерии контроляпод названием Критерии безопасности, доступности и конфиденциальности служб доверия, пересмотренный в 2017 году, предназначен для CPAs, предоставляющих консультативные или аттестационные услуги для оценки и отчетности об эффективности средств контроля.[17]
- Руководство по аттестациипод названием Отчетность о программе управления рисками кибербезопасности и средствах контроля, введенная в 2017 году, предназначена для оказания помощи CPA в составлении отчетов о системных и организационных средствах управления рисками кибербезопасности.
Критерии доверительных услуг (TSC): В 2017 году в рамках Система отчетности по управлению рисками кибербезопасности, Исполнительный комитет AICPA Assurance Services (ASEC) выпустил обновления для Критерии Trust Services для безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности, называемые критериями контроля в «Системе отчетности по управлению рисками кибербезопасности». Отчеты SOC 2 или SOC 3, срок проверки которых заканчивается 15 декабря 2018 г. или позднее, должны соответствовать пересмотренным критериям контроля.[17][24][25]
SOC: По состоянию на 2018 год AICPA продолжает обновлять и расширять свое руководство по отчетности по системному и организационному контролю (SOC). Это включает в себя новый материал, такой как SOC для сервисных организаций[26] и SOC для системы отчетности по кибербезопасности.[27]
Разделы и организация
Разделы ССАЭ № 18 представлены в разделе AT-C AICPA Профессиональные стандарты. Схема разделов следующая:[5]
- SSAE 18 Предисловие
- SSAE 18 Общие концепции
- SSAE 18 -> AT-C §105 Общие для всех заданий по аттестации концепции
- SSAE 18 Уровень обслуживания
- SSAE 18 -> AT-C §205 экзаменационные задания
- SSAE 18 -> AT-C §210 Задания по проверке
- SSAE 18 -> AT-C §215 Согласованные процедуры
- SSAE 18 Тема сообщения
- SSAE 18 -> AT-C §305 Перспективная финансовая информация
- SSAE 18 -> AT-C §310 Отчетность про форму финансовой информации
- SSAE 18 -> Аттестация соответствия §315 AT-C
- SSAE 18 -> AT-C §320 Отчетность по проверке средств контроля в обслуживающей организации, относящихся к внутреннему контролю финансовой отчетности организаций-пользователей
- SSAE 18 -> AT-C §395 Предназначен для раздела 701 AT, Обсуждение и анализ руководством
§105 Общие принципы для всех заданий по аттестации
Раздел 105 AT-C, вступающий в силу 1 мая 2017 г., определяет требования для всех типов заданий по аттестации. Он описывает задание по аттестации как один из трех уровней обслуживания, которые определены в разделах 205, 210 и 215. Он также определяет три общие цели задания по аттестации.[18][5]
§205 экзаменационные задания
Раздел 205 AT-C, вступающий в силу с 1 мая 2017 г., в основном определяет требования и содержание экзамен, один из трех уровней обслуживания аттестационного задания.[1][5]
§210 Задания по обзору
Раздел 210 AT-C, вступающий в силу с 1 мая 2017 г., в основном определяет требования и содержание обзор взаимодействия, один из трех уровней обслуживания аттестационного задания.[2][5]
§215 Задания по согласованным процедурам
Раздел 215 AT-C, вступающий в силу 1 мая 2017 г., в основном определяет требования и содержание согласованные процедуры, один из трех уровней обслуживания аттестационного задания.[3][5]
§305 Предполагаемая финансовая информация
Раздел 305 AT-C, вступивший в силу 1 мая 2017 г., полученный из SSAE № 18, содержит требования и руководство по проверке или выполнению согласованных процедур в отношении перспективной финансовой информации.[28][5]
§310 Отчетность про форму финансовой информации
Раздел 310 AT-C, вступивший в силу 1 мая 2017 г., полученный из SSAE № 18, содержит требования и руководство по изучению или анализу проформы финансовой информации.[29][5]
§315 Подтверждение соответствия
Раздел 315 AT-C, вступивший в силу 1 мая 2017 г., полученный из SSAE № 18, содержит требования и руководство для выполнения следующих типов заданий:
- изучение или анализ соблюдения законов, постановлений, правил, контрактов или грантов или утверждения о соблюдении,
- согласованные процедуры, связанные с соблюдением требований, или
- согласованные процедуры внутреннего контроля над комплаенс.[30][5]
§320 Отчетность по проверке средств контроля в обслуживающей организации, относящихся к внутреннему контролю организаций-пользователей за финансовой отчетностью
Раздел 320 AT-C, полученный из SSAE № 18, вступивший в силу 1 мая 2017 г., содержит требования и руководство по проверке средств контроля в обслуживающих организациях, которые предоставляют услуги организациям-пользователям, если эти средства контроля имеют отношение к внутреннему контролю организаций-пользователей над финансовыми услугами. составление отчетов. Его также можно применять к отчетности по внутреннему контролю, кроме финансовой.[4][5]
§395 Предназначен для раздела 701 AT, Обсуждение и анализ руководством
Раздел 395 AT-C, полученный из SSAE No. 18, вступивший в силу с 1 июня 2001 г., содержит требования и руководство по заданиям по аттестации, касающимся обсуждения и анализа руководством (MD&A), например, представленных в годовых отчетах акционерам.[31]
Определения
Роли и обязанности
SSAE 18 определяет две основные роли при формировании задания по аттестации:[18]
- Практикующий, лицо, практикующее бухгалтерский учет, выполняющее задание; и
- Обручальная вечеринка, организация, которая привлекает практикующего специалиста для проведения аттестации.
SSAE 18 относится к двум ролям, которые являются основными участниками во время задания по аттестации:[18]
- В практикующий, также упоминается в разделе 320 как сервисный аудитор, лицо, выполняющее задание по аттестации; и
- В ответственная сторона, также называемый управление или же сервисная организация или же поставщик услуг, которая является стороной, ответственной за предоставление заявлений, описаний и / или утверждений, которые являются предметом задания по аттестации.
SSAE 18 определяет две подчиненные роли, которые может выполнять практикующий специалист:[18]
- Другой практикующий, который предоставляет информацию, которая будет использована практикующим специалистом в качестве доказательства; и
- Специалист практикующего врача, кто «обладает опытом в области, отличной от бухгалтерского учета или аттестации», кто помогает в сборе доказательств.
SSAE 18 также определяет другие соответствующие роли, не участвующие напрямую в аудите:[18]
- AICPA, который публикует стандарты аудита и этический кодекс, которым должны следовать ответственные или вовлеченные стороны;
- Подсервисная организация, Обслуживающая организация, используемая обслуживающей организацией, которая является ответственной стороной; и
- Пользователи, которые могут относиться к предполагаемым пользователям отчета практикующего специалиста, также именуемым Указанная сторона, или пользователей услуг, предоставляемых Поставщиком услуг.
Уровни обслуживания
Разделы 205, 210 и 215 предназначены для определения трех уровней обслуживания для любого задания по аттестации, хотя другие применимые разделы могут определять дополнительные требования для задания:
- Для экзамен, целями практикующего специалиста являются:[1]
- получить уверенность в том, что предмет изучения не содержит существенных искажений, и
- чтобы выразить мнение о том, соответствует ли предмет изучения указанным критериям или утверждениям ответственной стороны и изложен справедливо.
- Для обзор взаимодействия, целями практикующего специалиста являются:[2]
- получить ограниченную уверенность в том, что предмет изучения соответствует указанным критериям или утверждениям ответственной стороны, и
- сделать вывод о том, следует ли вносить какие-либо изменения для соответствия указанным критериям или утверждениям, и быть справедливо изложенными.
- Для согласованные процедуры, цель практикующего специалиста:[3]
- выпустить отчет о результатах, основанный на определенных согласованных процедурах, которые применяются к предмету исследования, где указанные стороны определяют используемые процедуры.
Разделы 205, 210 и 215 также предписывают или запрещают определенные уровни услуг по заданию по аттестации в зависимости от предмета изучения.
Типы отчетов
Раздел 320 SSAE 18, озаглавленный «Отчетность по проверке средств контроля в обслуживающей организации, имеющей отношение к внутреннему контролю финансовой отчетности пользовательских организаций», определяет два типа форматов отчетов, тип 1 и тип 2, которые различаются по своему содержанию, что, в свою очередь, дифференцирует уровень услуг, которые должны быть выполнены при выполнении задания по аттестации для этого предмета:[4][32]
- Тип 1, который включает оценку дизайна идентифицированных средств контроля, и
- Тип 2, который также включает оценку операционной эффективности выявленных средств контроля.
Тема сообщения
SSAE 18 утверждает, что он может быть применим к любому предмету задания, хотя характер предмета изучения является ключевым фактором при определении того, какие разделы стандарта применимы и какой уровень услуг по заданию по подтверждению может выполнить практикующий специалист. Все задания по аттестации основаны на концепции, согласно которой практикующий специалист сообщает мнение о заявлении, описании или утверждении, сделанном ответственной стороной по предмету задания.
- Предполагаемая финансовая информация, включая финансовые прогнозы и прогнозы, находится в центре внимания раздела 305 AT-C.[28]
- Предварительная финансовая информация находится в центре внимания раздела 310 AT-C.[29]
- Согласие или утверждение о соответствии законам, постановлениям, правилам, контрактам или грантам, находится в центре внимания раздела 315 AT-C.[30]
- Описание руководством системы обслуживающей организации, включая цели контроля, средства контроля и описания мошенничества или несоблюдения, которые могут иметь отношение к внутреннему контролю организаций-пользователей над финансовой отчетностью, является основной темой раздела 320.[4]
- Обсуждение и анализ менеджмента (MD&A), которые представляются в годовых отчетах акционерам, находится в центре внимания раздела 395.[31]
Рекомендации
- ^ а б c «Задания по экзамену по разделу 205 AT-C» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ а б c «Задания по обзору, раздел 210 AT-C» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ а б c «Согласованные процедуры по разделу 215 AT-C» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ а б c d «Отчет по разделу 320 AT-C о проверке средств контроля в обслуживающей организации, относящихся к внутреннему контролю финансовой отчетности организаций-пользователей» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 14 февраля 2020.
- ^ а б c d е ж грамм час я j k «Положение о стандартах выполнения заданий по аттестации 18 Стандарты аттестации: разъяснение и перекодификация» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Апрель 2016 г.. Получено 14 февраля 2020.
- ^ а б c «Разъясненные положения о стандартах выполнения заданий по аттестации». aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 14 февраля 2020.
- ^ «Отчеты об обработке операций обслуживающими организациями; Положение о стандартах аудита, 070». olemiss.edu. Американский институт сертифицированных бухгалтеров (AICPA). Получено 15 февраля 2020.
- ^ «Внутренний контроль - интегрированная система». coso.org. Комитет спонсорских организаций Комиссии Тредуэя (COSO). Архивировано из оригинал на 2009-02-28. Получено 15 февраля 2020.
- ^ «Учет структуры внутреннего контроля при аудите финансовой отчетности: поправка к SAS № 55; Положение о стандартах аудита, 078». olemiss.edu. Американский институт сертифицированных бухгалтеров (AICPA). Получено 15 февраля 2020.
- ^ а б c van Gils, H.G.TH .; J.J., ван Бик (апрель 2017 г.). «Новый стандарт подтверждения достоверности информации США SSAE 18: практическое обновление международного стандарта ISAE 3402?». Компактный. 2017 (4). Получено 15 февраля 2020.
- ^ Сешадри, Дипа (1 марта 2013 г.). "Распространенные мифы отчетов о контроле обслуживающих организаций (SOC)". isaca.org. ISACA. Получено 17 февраля 2020.
- ^ "Международный стандарт заданий, обеспечивающих уверенность (ISAE) 3402: Отчеты, обеспечивающие уверенность в средствах контроля в обслуживающей организации" (PDF). ifac.org. Международная федерация бухгалтеров (IFAC). Получено 15 февраля 2020.
- ^ «Отчетность по разделу 801 по контролю в обслуживающей организации» (PDF). aicpa.org. Американский институт сертифицированных профессиональных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ Вуд, Брайан (9 июня 2014 г.). «SAS 70 против SSAE 16: в чем разница?». nfinit.com. NFINIT (ранее AIS Technology Services). Получено 17 февраля 2020.
- ^ «Контроль системы и организации (SOC): набор услуг SOC». aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 15 февраля 2020.
- ^ «Обзор SSAE 16». ssae16.com. SSAE16.com. Получено 15 февраля 2020.
- ^ а б c «Критерии служб доверия для обеспечения безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности» (PDF). aicpa.org. Исполнительный комитет AICPA Assurance Services (ASEC). 2017 г.. Получено 17 февраля 2020.
- ^ а б c d е ж «Общие для всех заданий по аттестации общие концепции, раздел 105 AT-C» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 14 февраля 2020.
- ^ Арнольд, Марк (21 февраля 2019 г.). «Важность SSAE 18, SOC 1 и 2». navisite.com. Навизайт. Получено 15 февраля 2020.
- ^ «Информационный бюллетень отчетности по управлению рисками кибербезопасности» (PDF). aicpa.org. AICPA. Получено 17 февраля 2020.
- ^ «AICPA представляет систему отчетности по управлению рисками кибербезопасности». aicpa.org. AICPA. 26 апреля 2017 г.. Получено 17 февраля 2020.
- ^ Тисиак, Кен (26 апреля 2017 г.). «Новая система отчетности по управлению рисками кибербезопасности для менеджмента и CPA». journalofaccountancy.com. Бухгалтерский журнал. Получено 18 февраля 2020.
- ^ «Критерии описания набора данных и оценки его целостности» (PDF). aicpa.org. AICPA. 1 января 2020 г.. Получено 18 февраля 2020.
- ^ Белл, Деннис (5 ноября 2018 г.). «Новые критерии SOC 2, SOC 3 Trust Services. Готова ли ваша сервисная организация?». grantthornton.com. ТОО "Грант Торнтон". Получено 17 февраля 2020.
- ^ Прасад, Варун (26 марта 2019 г.). «Следующий вызов в отчетности о соответствии ИТ-требованиям: критерии SOC2 2017 Trust Services». isaca.org. ISACA. Получено 17 февраля 2019.
- ^ «СОЦ для сервисных организаций». aicpa.org. AICPA. Получено 17 февраля 2020.
- ^ «SOC для соблюдения требований кибербезопасности, комплексная экспертиза управления рисками». barradvisory.com/. BARR Advisory, P.A. Получено 18 февраля 2020.
- ^ а б «Предполагаемая финансовая информация, раздел 305 AT-C» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ а б «Раздел 310 AT-C« Отчетность про форму финансовой информации »» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ а б «Подтверждение соответствия требованиям раздела 315 AT-C» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 17 февраля 2020.
- ^ а б «Раздел 395 AT-C, предназначенный для раздела 701 AT-C, Обсуждение и анализ руководством» (PDF). aicpa.org. Американский институт сертифицированных бухгалтеров (AICPA). Получено 14 февраля 2020.
- ^ «Соответствие SOC 2». imperva.com. Imperva. Получено 25 февраля 2020.
внешняя ссылка
- AICPA Заявление о стандартах выполнения заданий по аттестации 18, Стандарты аттестации: разъяснения и перекодификация полный полный текст
- AICPA Профессиональные стандарты, AT-C сек. 105 Общие концепции для всех заданий по аттестации
- AICPA Профессиональные стандарты, AT-C сек. 205 Экзаменационные задания
- AICPA Профессиональные стандарты, AT-C сек. 210 Обзор взаимодействия
- AICPA Профессиональные стандарты, AT-C сек. 215 Задания по согласованным процедурам
- AICPA Профессиональные стандарты, AT-C сек. 305 Перспективная финансовая информация
- AICPA Профессиональные стандарты, AT-C сек. 310 Представление проформы финансовой информации
- AICPA Профессиональные стандарты, AT-C сек. 315 Подтверждение соответствия
- AICPA Профессиональные стандарты, AT-C сек. 320 Отчет об исследовании средств контроля в обслуживающей организации, относящихся к внутреннему контролю финансовой отчетности организаций-пользователей
- AICPA Профессиональные стандарты, AT-C сек. 395 Предназначен для AT Раздел 701, Обсуждение и анализ руководства
- AICPA Управление системой и организацией: набор услуг SOC Домашняя страница