Con el objetivo de optimizar costos y aprovechando el avance de la tecnología de forma general, empresas en Brasil y en el mundo decidieron transferir la ejecución de algunos de sus procesos y actividades internas para organizaciones prestadoras de servicios.

Estas actividades pueden ser sólo de apoyo interno o incluso estratégicas para el negocio. Aunque las tercerizadas todavía tienen, en su mayoría, impacto directo en los estados financieros. Siendo así, las empresas que tercerizaron actividades importantes y que generan impactos en sus negocios continúan siendo responsables de garantizar la seguridad y confianza de esas actividades. Las organizaciones prestadoras de servicios por pasar a asumir la operación de esas actividades de sus clientes, vienen siendo demandadas para pasar por auditorías en los procesos que ejecutan para sus clientes. Esta demanda viene de sus clientes y también de órganos reguladores y del mercado en general, que exige transparencia y confiabilidad.

Por mucho tiempo, el mercado conoció el informe SAS 70 que atendía el objetivo de las organizaciones prestadoras de servicios de tener sus controles internos auditados y poder presentar a sus clientes el resultado de la auditoría usando este informe.

Este estándar por largo tiempo ofreció a las organizaciones prestadoras de servicios una forma de presentar a sus clientes y auditores un dictamen de una empresa de auditoría independiente sobre sus controles internos en los procesos ejecutados para sus clientes.

ISAE3402

Desde el 15 de junio de 2011, el SAS70 ha dejado de utilizarse y ha evolucionado a un nuevo estándar global de auditoría para organizaciones prestadoras de servicios.O International Auditing and Assurance Standards Board (IAASB) creó el estándar internacional, denominado International Standards for Assurance Engagements (ISAE) No. 3402 (ISAE3402). El ISAE 3402 ofrece una opción para las organizaciones prestadoras de servicios que necesitan un informe con reconocimiento global. En Brasil, el Consejo Federal de Contabilidad (CFC) aprobó la Norma Brasileña de Contabilidad para informes de Aseguramiento de Controles en Organización Prestadora de Servicios (NBC TO 3402), elaborada de acuerdo con su equivalente internacional ISAE3402.

En los Estados Unidos el SAS70 ha sido sustituido por el estándarStatement on Standards for Attestation Engagements 16 (SSAE16).Hay algunas diferencias entre el ISAE 3402 y el SSAE16, sin embargo, estos estándares son sustancialmente los mismos.

Relatórios SOC – “Service Organization Control”

El estándar actual de informe para organizaciones prestadoras de servicios, siguiendo las definiciones del ISAE 3402 y el SSAE 16 se denomina SOC 1 - "Service Organization Control No. 1".

El resultado de la conclusión del examen ISAE3402 se divide en 2 informes que incluyen la opinión del auditor, que son :.

Tipo 1 - Evalúa la estructura de controles internos de la empresa y cómo la administración documenta y prueba esta estructura en un período de tiempo específico.

Tipo 2 - Incluye la evaluación de la documentación de los controles y la efectividad operacional, por medio de pruebas y procedimientos de auditoría.

¿Qué actividades tercerizadas necesitan el informe SOC 1

• Servicios de procesamiento de datos,
• Procesamiento de nóminas,
• Gestión de fondos de inversión
• Procesamiento de operaciones de tarjetas de crédito;
• Otros procesos específicos de negocio que afecten a los estados financieros de los clientes.

La PKF puede ofrecer los servicios de emisión de los relatos sobre los controles internos de una organización prestadora de servicios siguiendo los estándares definidos en el ISAE 3402 / SSAE 16 y NBC 3402, adoptando los siguientes enfoques:

• Diagnóstico de controles internos para la atención al ISAE3402 (Gap Analysis)

El objetivo de un diagnóstico es comparar los controles internos, políticas y procedimientos de la organización prestadora de servicios con los objetivos de controles definidos previstos para atención al ISAE3402.

El resultado de este diagnóstico es un informe de uso interno que contiene un plan de acciones de mejora en los controles y procesos con el objetivo de auxiliar a la organización prestadora de servicios a prepararse para la auditoría del ISAE3402 y la emisión del informe SOC

Emisión de los informes SOC 1

Realización de los exámenes siguiendo las normas ISAE 3402 / SSAE16 y NBC 3402, teniendo en cuenta el objetivo de emitir los informes SOC 1 Tipo I o Tipo 2.