SAS 70 vs SSAE 16
Sia SAS 70 che SSAE 16 sono stati sviluppati dall'AICPA o dall'American Institute of Certified Public Accountants per i revisori che svolgono il processo di controllo per le società di servizi. Il revisore è solitamente un'entità esterna o di terze parti nel processo.
In sostanza, SAS 70 e SSAE 16 sono linee guida scritte e un processo di verifica in uno. Le linee guida sono istruzioni scritte per la verifica delle informazioni finanziarie dell'azienda. e riferire il processo di transazione della società a vantaggio dell'azienda e dei suoi clienti.
Un controllo viene solitamente commissionato dall'organizzazione del servizio o dall'azienda o dalla sua organizzazione utente (i suoi clienti una o due volte l'anno). Di solito cerca di individuare il livello di conformità dell'azienda ed è considerato oggi un requisito essenziale in qualsiasi società di servizi. Un SAS 70 o SSAE 16 può essere utilizzato in servizi di outsourcing, controlli interni sicuri di processi critici e sicurezza dei dati. Può essere utilizzato come una valutazione della società stessa o un ottimo strumento di marketing per attirare potenziali clienti. Tuttavia, le somiglianze finiscono qui.
SAS 70, che si basa sulle dichiarazioni per gli standard di revisione, è stato lo standard formale di revisione dei servizi dall'inizio degli anni 90 al 15 giugno 2011. È stato sostituito da SSAE 16, che è l'acronimo di Statements for Standard in Attestation Engagements, il nuovo standard che è entrato in vigore
15 giugno 2011 e oltre.
Le principali differenze si trovano nel contenuto di entrambi gli standard. Quando si parla di forma, SAS è uno standard di controllo mentre SSAE è uno standard di attestazione. Nella precedente SAS, la direzione fornisce una rappresentazione scritta sotto forma di una lettera di rappresentanza della direzione prima della relazione, sebbene la lettera non sia inclusa nella relazione mentre l'affermazione scritta nella SSAE è inclusa nella relazione del revisore.
Nel caso di criteri adeguati, non è incluso nel rapporto SAS e nell'asserzione della direzione, mentre il SSAE lo include come strumento di gestione come base per la loro asserzione scritta. I criteri adatti sono anche un fattore determinante per stabilire se la valutazione debba essere classificata come relazione di tipo I o di tipo II.
Sia SAS 70 che SSAE 16 includono i rapporti di tipo I e di tipo II. Entrambi gli standard hanno il parere di tipo I riportato in una data precisa. Nel SAS 70, anche il rapporto di tipo II viene scritto in questo modo. Al contrario, il report di tipo II di SSAE 16 dovrebbe essere scritto durante l'intero periodo di revisione.
L'evidenza derivante da precedenti incarichi viene solitamente utilizzata nello standard precedente, ma il nuovo standard non richiede l'utilizzo di questo. Inoltre, il revisore del servizio non è tenuto a rivelare se il suddetto revisore ha utilizzato il lavoro di revisione interna. Questo è stato ribaltato nel nuovo standard. Non vi è inoltre alcun obbligo di ottenere una rappresentazione mentre lo standard SSAE richiede che il materiale fornisca asserzioni.
Infine, i precedenti rapporti SAS non possono essere utilizzati dalla direzione dell'organizzazione di servizi, dai suoi clienti e dai revisori dei conti dei clienti mentre il resent report SSAE viene modificato per lo stesso pubblico. L'organizzazione del servizio e i revisori dei conti dei clienti hanno ancora la stessa restrizione, ma i clienti sono limitati a utilizzare la data di rapporto sul rapporto (nel caso di un Tipo I) o durante il periodo di revisione (quando si fa riferimento al Tipo II ).
Sommario:
1. Il SAS è il precedente standard di controllo del servizio scaduto il 15 giugno 2011, mentre SSAE è lo standard sostitutivo dal 15 giugno 2011 in poi.
2. Un SAS è uno standard di controllo mentre un SSAE è uno standard di attestazione.
3. Una lettera di rappresentanza gestionale viene spesso fornita dalla società prima del rapporto, ma non è inclusa nel rapporto di per sé mentre il nuovo standard richiede che l'attestato scritto debba essere incluso.
4. I criteri idonei non sono inclusi in un rapporto SAS, ma è un requisito rigoroso per lo standard SSAE poiché è la base dell'affermazione scritta della società.
5. Un rapporto di tipo II nello standard SAS è scritto come data di una data nel tempo mentre il Tipo II negli standard SSAE viene scritto sull'intero periodo di revisione.