SAS 70 vs SSAE 16
Zowel SAS 70 als SSAE 16 zijn ontwikkeld door de AICPA of het American Institute of Certified Public Accountants voor auditors die het auditproces voor de servicebedrijven uitvoeren. De auditor is gewoonlijk een externe of een externe entiteit in het proces.
In essentie zijn SAS 70 en SSAE 16 geschreven richtlijnen en een auditproces in één. De richtlijnen zijn geschreven instructies voor het controleren van de financiële informatie van het bedrijf. en het melden van het transactieproces van het bedrijf ten voordele van het bedrijf en zijn klanten.
Een audit wordt meestal uitgevoerd in opdracht van de serviceorganisatie of het bedrijf of de gebruikersorganisatie (haar klanten één of twee keer per jaar). Het probeert meestal het nalevingsniveau van het bedrijf te bepalen en wordt vandaag de dag beschouwd als een essentiële vereiste voor elk servicebedrijf. Een SAS 70 of SSAE 16 kan worden gebruikt in outsourcing-services, kritieke procesbeveiligde interne besturingselementen en gegevensbeveiliging. Het kan worden gebruikt als een evaluatie van het bedrijf zelf of als een geweldige marketingtool om potentiële klanten aan te trekken. Daar eindigen echter de overeenkomsten.
SAS 70, waarin de standaarden voor controlestandaarden worden behandeld, was van begin jaren 90 tot 15 juni 2011 de formele standaard voor servicecontrole. Het is vervangen door SSAE 16, dat staat voor Statements for Standard in Attestation Engagements, de nieuwe standaard die van kracht is geworden
15 juni 2011 en verder.
De belangrijkste verschillen liggen in de inhoud van beide normen. Wanneer het over vorm gaat, is SAS een controlestandaard, terwijl SSAE een atteststandaard is. In de vorige SAS biedt het management schriftelijke vertegenwoordiging in de vorm van een managementrepresentatiebrief vóór het rapport, hoewel de brief niet is opgenomen in het rapport terwijl de schriftelijke bewering in de SSAE is opgenomen in het rapport van de auditor..
In het geval van geschikte criteria, is het niet opgenomen in het SAS-rapport, evenals de bewering van het management, terwijl de SSAE het als een beheersinstrument opneemt als basis voor hun schriftelijke bewering. De geschikte criteria zijn ook bepalend voor de vraag of de beoordeling moet worden geclassificeerd als een Type I- of Type II-rapport.
Zowel SAS 70 als SSAE 16 bevatten de Type I- en Type II-rapporten. Beide standaarden hebben het Type I rapport advies geschreven vanaf een datum in de tijd. In de SAS 70 is ook het Type II-rapport op deze manier geschreven. Daarentegen moet het Type II-rapport van de SSAE 16 over de volledige beoordelingsperiode worden geschreven.
Bewijs van eerdere afspraken wordt meestal gebruikt in de oude standaard, maar de nieuwe standaard vereist geen gebruik hiervan. De auditor van de serviceorganisatie hoeft ook niet te vermelden of de auditor de werkzaamheden van de interne audit heeft gebruikt. Dit werd vernietigd in de nieuwe standaard. Er is ook geen vereiste om representatie te verkrijgen, terwijl de SSAE-standaard vereist dat het materiaal beweringen doet.
Ten slotte kunnen de eerdere SAS-rapporten niet worden gebruikt door het management van de serviceorganisatie, haar klanten en de financiële overzichten van de klant, terwijl het opnieuw verzonden SSAE-rapport wordt aangepast aan hetzelfde publiek. De serviceorganisatie en de financiële verklaringen van de klanten van de klant hebben nog steeds dezelfde beperking, maar klanten zijn beperkt in het gebruik van de rapport-op-rapport datum (in het geval van een Type I) of tijdens de evaluatieperiode (wanneer wordt verwezen naar het Type II ).
Samenvatting:
1.De SAS is de vroegere standaard voor servicecontrole die op 15 juni 2011 is verlopen, terwijl de SSAE de vervangingsstandaard is vanaf 15 juni 2011 en verder.
2. Een SAS is een auditnorm terwijl een SSAE een atteststandaard is.
3.Een managementrepresentatiebrief wordt vaak verstrekt door het bedrijf voorafgaand aan het rapport, maar het is niet opgenomen in het rapport als zodanig, terwijl de nieuwe norm vereist dat het schriftelijke attest moet worden opgenomen.
4.Geschikte criteria zijn niet opgenomen in een SAS-rapport, maar het is een strikte vereiste voor de SSAE-standaard, aangezien dit de basis is van de schriftelijke bewering van het bedrijf.
5. Een Type II-rapport in de SAS-standaard is geschreven als datum van een datum terwijl het Type II in SSAE-normen is geschreven gedurende de gehele evaluatieperiode.