ССАЕ № 18

Стандарт аудита

Statement on Standards for Attestation Engagements no. 18 ( SSAE No. 18 или SSAE 18 ) — это общепринятый стандарт аудита, разработанный и опубликованный Советом по стандартам аудита Американского института сертифицированных бухгалтеров (AICPA) . Хотя в нем говорится, что он может применяться практически к любому предмету, его основное внимание уделяется отчетности о качестве (точности, полноте, справедливости) финансовой отчетности. Он уделяет особое внимание внутреннему контролю , распространяясь на контроль над информационными системами, задействованными в финансовой отчетности. Он предназначен для использования сертифицированными бухгалтерами, выполняющими задания по подтверждению, подготавливающими письменное заключение по предмету, и организациями-клиентами, готовящими отчеты, которые являются предметом задания по подтверждению. Он предписывает три уровня обслуживания: проверка, ^[1] обзор, ^[2] и согласованные процедуры. ^[3] Он также предписывает два типа отчетов: Тип 1, который включает оценку дизайна внутреннего контроля, и Тип 2, который дополнительно включает оценку операционной эффективности контроля. ^[4] Опубликовано в апреле 2016 г. ^[5] SSAE 18 и все предыдущие стандарты, которые он заменяет, представлены в разделе AT-C Профессиональных стандартов AICPA , при этом большинство разделов вступают в силу с 1 мая 2017 г. ^[6]

История и влияния

Прецеденты и первоначальный выпуск

SAS 70 : В апреле 1992 года AICPA опубликовала Отчеты об обработке транзакций сервисными организациями; Заявление о стандартах аудита, 070 , в котором содержатся рекомендации по аудиту финансовой отчетности организации, которая использует сервисную организацию для обработки транзакций, влияющих на финансовую отчетность. ^[7]

COSO Внутренний контроль: интегрированная структура : В сентябре 1992 года Комитет организаций-спонсоров Комиссии Тредвея (COSO) опубликовал отчет под названием « Внутренний контроль: интегрированная структура» , в котором было дано определение внутреннего контроля и структура для оценки и улучшения внутреннего контроля над системами. ^[8]

SAS 78 : В декабре 1995 года AICPA опубликовал «Рассмотрение структуры внутреннего контроля при аудите финансовой отчетности: поправка к SAS № 55; Заявление о стандартах аудита, 078» , которое заменило SAS 55 , чтобы отразить определение внутреннего контроля, предоставленное в интегрированной структуре внутреннего контроля COSO. ^[9]

ISAE 3402 : В декабре 2009 года Международный совет по стандартам аудита и подтверждения достоверности информации (IAASB) опубликовал новый Международный стандарт по заданиям по подтверждению достоверности информации, ISAE 3402 , под названием Отчеты по подтверждению достоверности информации о средствах контроля в сервисной организации [ ^{10] [11],} также известный как Структура внутреннего контроля над финансовой отчетностью (ICFR). Он фокусируется на «заданиях по подтверждению достоверности информации при составлении отчетов о средствах контроля в сервисной организации, которые могут повлиять на систему внутреннего контроля над финансовой отчетностью организации-пользователя или стать ее частью». Он определяет ISAE 3000 как применимый. ISAE 3402 был принят Международной федерацией бухгалтеров (IFAC). ^[12]

SSAE 16 : В апреле 2010 года AICPA опубликовала Заявление о стандартах для аттестационных заданий № 16 (SSAE 16) под названием «Отчетность по контролю в сервисной организации» , которое заменило SAS 70 и было включено в профессиональные стандарты как раздел AT 801 ^[13]. Изменения в этом обновлении приблизили стандарт к структуре отчетности, требуемой Законом Сарбейнса-Оксли, и стандартам, поддерживаемым Международной федерацией бухгалтеров (IFAC). ^[14]

SOC : в 2011 году, в связи с выпуском SSAE 16, AICPA заменил отчет о проверке аудитора услуг, предписанный SAS 70, на набор отчетов по контролю систем и организаций ^{(SOC). [11] [15] [16]}

Критерии услуг доверия : в 2014 году Исполнительный комитет AICPA по услугам доверия (ASEC) опубликовал новое руководство, Принципы и критерии услуг доверия для безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности , которые просто называются критериями контроля. Новые критерии контроля были согласованы с 17 принципами COSO Internal Control—Integrated Framework . Он включал критерии, дополняющие принцип COSO 12, путем рассмотрения контроля логического и физического доступа, системных операций, управления изменениями и снижения рисков. ^[17]

SSAE 18 : В апреле 2016 года AICPA опубликовала Заявление о стандартах для аттестационных заданий 18; Стандарты аттестации: разъяснение и перекодификация в ответ на «озабоченность по поводу ясности, длины и сложности своих стандартов» ^[5] , при этом большинство разделов вступают в силу 1 мая 2017 года. ^[18] SSAE № 18 заменяет и объединяет большинство предыдущих выпусков SSAE в единый уточненный стандарт. ^[6]

Изменения, внесенные SSAE 18

Разъяснение и перекодировка

SSAE № 18 разъяснил и пересмотрел все предыдущие SSAE, за исключением SSAE № 10, главы 7, которая была помещена в раздел 395 AT-C в неразъясненной форме, и SSAE № 15, который был заменен Заявлением о стандартах аудита № 130 и перемещен в раздел 940 AU-C. Номера разделов AT для замененных SSAE были перекодированы в Профессиональных стандартах как раздел «AT-C», чтобы избежать путаницы со старыми стандартами, кодифицированными как раздел «AT». ^[6]

Дополнительные элементы управления организацией подслужб

SSAE № 18 требует рассмотрения дополнительных средств контроля субсервисной организации, которые являются средствами контроля частей систем сервисной организации, переданных на аутсорсинг другим сервисным организациям. ^[19]

Последние события

С момента первоначального выпуска SSAE № 18 произошли некоторые заметные изменения в стандартах аудита обеспечения информационной безопасности, которые влияют на отчетность в соответствии с этим стандартом.

Структура отчетности по управлению рисками кибербезопасности : в 2017 году Исполнительный комитет по услугам обеспечения безопасности AICPA (ASEC) опубликовал новые и пересмотренные материалы, которые вместе образуют структуру отчетности по управлению рисками кибербезопасности. Структура предназначена для оказания помощи организациям в описании мероприятий по управлению рисками кибербезопасности. Она также предназначена для оказания помощи сертифицированным бухгалтерам в выполнении экзаменационных заданий, известных как SOC для экзамена по кибербезопасности. Три ресурса, которые образуют структуру: ^{[20] [21] [22]}

1. Описание критериев , озаглавленное «Критерии описания набора данных и оценки его целостности» , представленное в 2017 году, предназначено для использования руководством и сертифицированными бухгалтерами для описания и предоставления отчетов о своих мерах по управлению рисками. ^[23]
2. Критерии контроля , озаглавленные «Критерии доверительных услуг по безопасности, доступности и конфиденциальности» , пересмотренные в 2017 году, предназначены для сертифицированных бухгалтеров (CPA), предоставляющих консультационные или аттестационные услуги, для оценки и составления отчетов об эффективности контроля. ^[17]
3. Руководство по аттестации под названием « Отчетность о программе и средствах контроля управления рисками кибербезопасности организации» , представленное в 2017 году, призвано помочь сертифицированным бухгалтерам (CPA) в составлении отчетов о системных и организационных средствах контроля для управления рисками кибербезопасности.

Критерии доверительных услуг (TSC) : в 2017 году в рамках Системы отчетности по управлению рисками кибербезопасности Исполнительный комитет по услугам обеспечения безопасности AICPA (ASEC) выпустил обновления для Критериев доверительных услуг по безопасности, доступности, целостности обработки, конфиденциальности и приватности , которые в ''Системе отчетности по управлению рисками кибербезопасности'' называются критериями контроля. Отчеты SOC 2 или SOC 3 с периодом проверки, заканчивающимся 15 декабря 2018 года или позже, должны соответствовать пересмотренным критериям контроля. ^{[17] [24] [25]}

SOC : С 2018 года AICPA продолжает обновлять и расширять свое руководство по отчетности System and Organization Controls (SOC). Это включает новые материалы, такие как SOC для сервисных организаций ^[26] и SOC для Cybersecurity Reporting Framework . ^[27]

Разделы и организация

Разделы SSAE № 18 представлены в разделе AT-C Профессиональных стандартов AICPA . Структура разделов выглядит следующим образом: ^[5]

• SSAE 18 Предисловие
• SSAE 18 Общие концепции
  • SSAE 18 -> AT-C §105 Концепции, общие для всех аттестационных заданий
• Уровень обслуживания SSAE 18
  • SSAE 18 -> AT-C §205 Экзаменационные задания
  • SSAE 18 -> AT-C §210 Обзорные задания
  • SSAE 18 -> AT-C §215 Согласованные процедуры взаимодействия
• SSAE 18 Предмет
  • SSAE 18 -> AT-C §305 Перспективная финансовая информация
  • SSAE 18 -> AT-C §310 Отчетность по проформной финансовой информации
  • Подтверждение соответствия SSAE 18 -> AT-C §315
  • SSAE 18 -> AT-C §320 Отчет о проверке средств контроля в сервисной организации, имеющих отношение к внутреннему контролю субъектов-пользователей над финансовой отчетностью
  • SSAE 18 -> AT-C §395 Назначено для AT Раздел 701, Обсуждение и анализ руководства

§105 Понятия, общие для всех видов аттестации

Раздел 105 AT-C, вступающий в силу 1 мая 2017 года, определяет требования ко всем типам аттестационных заданий. Он описывает аттестационное задание как один из трех уровней обслуживания, которые определены в разделах 205, 210 и 215. Он также определяет три общие цели аттестационного задания ^{[18] [5]}

§205 Экзаменационные задания

Раздел 205 AT-C, вступивший в силу 1 мая 2017 года, в основном определяет требования и содержание экзаменационного задания , одного из трех уровней обслуживания аттестационного задания. ^{[1] [5]}

§210 Обзорные задания

Раздел 210 AT-C, вступивший в силу 1 мая 2017 года, в основном определяет требования и содержание задания по проверке , одного из трех уровней обслуживания задания по подтверждению. ^{[2] [5]}

§215 Согласованные процедуры. Обязательства

Раздел 215 AT-C, вступивший в силу 1 мая 2017 года, в основном определяет требования и содержание соглашения о согласованных процедурах , одного из трех уровней обслуживания соглашения о подтверждении. ^{[3] [5]}

§305 Перспективная финансовая информация

Раздел 305 AT-C, вступивший в силу 1 мая 2017 г., взятый из SSAE № 18, содержит требования и рекомендации по проверке или выполнению согласованных процедур в отношении перспективной финансовой информации. ^{[28] [5]}

§310 Отчетность по проформной финансовой информации

Раздел 310 AT-C, вступающий в силу 1 мая 2017 г., взятый из SSAE № 18, содержит требования и рекомендации по проверке или обзору предварительной финансовой информации. ^{[29] [5]}

§315 Подтверждение соответствия

Раздел 315 AT-C, вступивший в силу 1 мая 2017 г. и взятый из SSAE № 18, содержит требования и рекомендации по выполнению следующих типов заданий:

• проверка или рассмотрение соблюдения законов, положений, правил, контрактов или грантов или утверждения о соблюдении,
• согласованные процедуры, связанные с соблюдением, или
• согласованные процедуры, связанные с внутренним контролем за соблюдением. ^{[30] [5]}

§320 Отчет о проверке контроля в сервисной организации, относящейся к внутреннему контролю субъектов-пользователей за финансовой отчетностью

Раздел AT-C 320, взятый из SSAE № 18, вступивший в силу 1 мая 2017 года, содержит требования и руководство по проверке контроля в организациях, предоставляющих услуги субъектам-пользователям, где этот контроль имеет отношение к внутреннему контролю субъектов-пользователей над финансовой отчетностью. Он также может применяться к отчетности по внутреннему контролю, отличному от финансовой отчетности. ^{[4] [5]}

§395 Назначено для AT Раздел 701, Обсуждение и анализ руководства

Раздел 395 AT-C, взятый из SSAE № 18, вступившего в силу 1 июня 2001 года, содержит требования и рекомендации по заданиям по подтверждению, касающимся обсуждения и анализа руководством (MD&A), например, тех, которые представлены в годовых отчетах для акционеров. ^[31]

Определения

Роли и обязанности

SSAE 18 определяет две основные роли при формировании задания по аттестации: ^[18]

1. Практикующий бухгалтер , лицо, которое занимается публичным бухгалтерским учетом и выполняет задание; и
2. Нанимающая сторона — организация, которая привлекает специалиста для проведения аттестации.

В стандарте SSAE 18 упоминаются две основные роли, которые играют главную роль в процессе аттестации: ^[18]

1. Практикующий аудитор , также упоминаемый в разделе 320 как аудитор услуг , лицо, выполняющее задание по подтверждению подлинности; и
2. Ответственная сторона , также именуемая управляющей или обслуживающей организацией или поставщиком услуг , которая является стороной, ответственной за предоставление заявлений, описаний и/или утверждений, которые являются предметом задания по подтверждению.

SSAE 18 определяет две подчиненные роли, которые может выполнять практикующий специалист: ^[18]

1. Другой практикующий специалист , который предоставляет информацию, которая будет использована практикующим специалистом в качестве доказательства; и
2. Практикующий специалист , который «обладает опытом в области, отличной от бухгалтерского учета или подтверждения подлинности документов», и который помогает в сборе доказательств.

SSAE 18 также определяет другие соответствующие роли, не связанные напрямую с аудитом: ^[18]

• AICPA , которая публикует стандарты аудита и кодекс этики, которым должны следовать ответственные или привлеченные стороны;
• Подслужба — служба, используемая службой, которая является ответственной стороной; и
• Пользователи , которые могут относиться к предполагаемым пользователям отчета практикующего специалиста, также именуемым Указанной стороной , или к пользователям услуг, предоставляемых Поставщиком услуг.

Уровни обслуживания

Разделы 205, 210 и 215 предназначены для определения трех уровней обслуживания для любого задания по подтверждению, хотя другие применимые разделы могут устанавливать дополнительные требования для задания:

1. При проведении экзамена цели специалиста следующие: ^[1]
   1. получить уверенность в том, что предмет не содержит существенных искажений, и
   2. выразить мнение о том, соответствует ли предмет обсуждения указанным критериям или утверждениям ответственной стороны и является ли он справедливо изложенным.
2. При выполнении задания по обзору цели специалиста следующие: ^[2]
   1. получить ограниченную гарантию того, что предмет соответствует указанным критериям или утверждению ответственной стороны, и
   2. выражать вывод о том, следует ли вносить какие-либо изменения для соответствия указанным критериям или утверждениям, и быть справедливым.
3. Для согласованных процедурных обязательств целью специалиста является: ^[3]
   1. выдавать отчет о результатах, основанных на определенных согласованных процедурах, которые применяются к предмету, причем указанные стороны определяют используемые процедуры.

Разделы 205, 210 и 215 также предписывают или запрещают определенные уровни услуг по подтверждению подлинности документов в зависимости от предмета.

Типы отчетов

Раздел 320 SSAE 18 под названием «Отчет о проверке средств контроля в сервисной организации, имеющих отношение к внутреннему контролю субъектов-пользователей за финансовой отчетностью», определяет два типа форматов отчетов, тип 1 и тип 2, которые различаются по своему содержанию, что дополнительно различает уровень услуг, которые должны быть предоставлены в рамках задания по подтверждению достоверности информации по данному предмету: ^{[4] [32]}

• Тип 1 , который включает оценку конструкции выявленных элементов управления, и
• Тип 2 , который также включает оценку операционной эффективности выявленных средств контроля.

Тема

В SSAE 18 указано, что он может быть применим к любому предмету, хотя характер предмета является ключевым фактором при определении того, какие разделы стандарта применимы и какой уровень услуг по подтверждению может выполнять практикующий специалист. Все задания по подтверждению основаны на концепции, что практикующий специалист выражает мнение о заявлении, описании или утверждении, сделанном ответственной стороной по предмету.

• Перспективная финансовая информация , включая финансовые прогнозы и проекты, находится в центре внимания раздела 305 AT-C. ^[28]
• Проформальная финансовая информация находится в центре внимания раздела 310 AT-C. ^[29]
• Соблюдение или утверждение о соблюдении законов, положений, правил, контрактов или грантов является предметом раздела 315 AT-C. ^[30]
• Раздел 395 посвящен обсуждению и анализу руководства (MD&A) , которые представляются в годовых отчетах акционерам. ^[31]

Ссылки

1. "AT-C Section 205 Examination Engagements" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
2. "AT-C Section 210 Review Engagements" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
3. "AT-C Section 215 Agried-Upon Procedures Engagements" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
4. "AT-C Section 320 Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 14 февраля 2020 г. .
5. "Заявление о стандартах для аттестационных заданий 18 стандартов аттестации: разъяснение и перекодировка" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA). Апрель 2016 г. . Получено 14 февраля 2020 г. .
6. "Уточненные положения о стандартах для аттестационных заданий". aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 14 февраля 2020 г. .
7. "Отчеты об обработке транзакций сервисными организациями; Заявление о стандартах аудита, 070". Заявления о стандартах аудита . Американский институт сертифицированных бухгалтеров (AICPA). Январь 1992 г. Получено 15 февраля 2020 г.
8. "Внутренний контроль - Интегрированная структура". coso.org . Комитет организаций-спонсоров Комиссии Тредвея (COSO). Архивировано из оригинала 2009-02-28 . Получено 15 февраля 2020 .
9. «Рассмотрение структуры внутреннего контроля при аудите финансовой отчетности: поправка к SAS № 55; Заявление о стандартах аудита, 078». Заявления о стандартах аудита . Американский институт сертифицированных бухгалтеров (AICPA). Январь 1995 г. Получено 15 февраля 2020 г.
10. Seshadri, Deepa (1 марта 2013 г.). «Распространенные мифы об отчетах органов управления сервисными организациями (SOC)». isaca.org . ISACA . Получено 17 февраля 2020 г. .
11. van Gils, HGTH.; JJ, van Beek (апрель 2017 г.). «Новый стандарт США по обеспечению достоверности информации SSAE 18: практическое обновление международного стандарта ISAE 3402?». Compact . 2017 (4) . Получено 15 февраля 2020 г. .
12. "Международный стандарт заданий по подтверждению достоверности информации (ISAE) 3402: Отчеты по подтверждению достоверности информации о средствах контроля в сервисной организации" (PDF) . ifac.org . Международная федерация бухгалтеров (IFAC) . Получено 15 февраля 2020 г. .
13. "AT Section 801 Reporting on Controls at a Service Organization" (PDF) . aicpa.org . Американский институт сертифицированных профессиональных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
14. Вуд, Брайан (9 июня 2014 г.). «SAS 70 против SSAE 16: в чем разница?». nfinit.com . NFINIT (ранее AIS Technology Services) . Получено 17 февраля 2020 г.
15. "Системный и организационный контроль (SOC): набор услуг SOC". aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 15 февраля 2020 г. .
16. "Обзор SSAE 16". ssae16.com . SSAE16.com . Получено 15 февраля 2020 г. .
17. «Критерии Trust Services по безопасности, доступности, целостности обработки, конфиденциальности и приватности» (PDF) . aicpa.org . Исполнительный комитет AICPA Assurance Services (ASEC). 2017 . Получено 17 февраля 2020 г. .
18. "AT-C Section 105 Concepts Common to All Attestation Engagements" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 14 февраля 2020 г. .
19. Арнольд, Марк (21 февраля 2019 г.). «Важность SSAE 18, SOC 1 и 2». navisite.com . Navisite . Получено 15 февраля 2020 г. .
20. "Информационный листок по управлению рисками кибербезопасности" (PDF) . aicpa.org . AICPA . Получено 17 февраля 2020 г. .
21. "AICPA представляет структуру отчетности по управлению рисками кибербезопасности". aicpa.org . AICPA. 26 апреля 2017 г. . Получено 17 февраля 2020 г. .
22. Тайсиак, Кен (26 апреля 2017 г.). «Новая структура отчетности по управлению рисками кибербезопасности для руководства и сертифицированных бухгалтеров». journalofaccountancy.com . Журнал бухгалтерского учета . Получено 18 февраля 2020 г. .
23. «Критерии описания набора данных и оценки его целостности» (PDF) . aicpa.org . AICPA. 1 января 2020 г. . Получено 18 февраля 2020 г. .
24. Белл, Деннис (5 ноября 2018 г.). «Новые критерии SOC 2, SOC 3 Trust Services, готова ли ваша сервисная организация?». grantthornton.com . Grant Thornton LLP . Получено 17 февраля 2020 г. .
25. Прасад, Варун (26 марта 2019 г.). «Следующая задача в отчетности о соответствии ИТ-требованиям: критерии SOC2 2017 Trust Services». isaca.org . ISACA . Получено 17 февраля 2019 г. .
26. "SOC для сервисных организаций". aicpa.org . AICPA . Получено 17 февраля 2020 г. .
27. «SOC для соответствия требованиям кибербезопасности, комплексная проверка управления рисками». barradvisory.com/ . BARR Advisory, PA 14 февраля 2018 г. Получено 18 февраля 2020 г.
28. "AT-C Section 305 Prospective Financial Information" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
29. "AT-C Section 310 Reporting on Pro Forma Financial Information" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
30. "AT-C Section 315 Compliance Attestation" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 17 февраля 2020 г. .
31. "Раздел 395 AT-C, назначенный для раздела 701 AT, обсуждение и анализ руководства" (PDF) . aicpa.org . Американский институт сертифицированных бухгалтеров (AICPA) . Получено 14 февраля 2020 г. .
32. "SOC 2 Compliance". imperva.com . Imperva . Получено 25 февраля 2020 г. .

Внешние ссылки

• Заявление AICPA о стандартах для аттестационных заданий 18, Стандарты аттестации: Разъяснение и перекодификация полный текст
• Профессиональные стандарты AICPA , AT-C, раздел 105. Общие концепции для всех аттестационных заданий
• Профессиональные стандарты AICPA , AT-C, раздел 205 Экзаменационные задания
• Профессиональные стандарты AICPA , AT-C, раздел 210. Обзорные задания
• Профессиональные стандарты AICPA , AT-C, раздел 215. Согласованные процедуры.
• Профессиональные стандарты AICPA , AT-C, раздел 305 «Перспективная финансовая информация»
• Профессиональные стандарты AICPA , AT-C, раздел 310. Отчетность по проформной финансовой информации
• Профессиональные стандарты AICPA , AT-C sec. 315 Подтверждение соответствия
• Профессиональные стандарты AICPA , AT-C, раздел 320 Отчет о проверке средств контроля в сервисной организации, имеющих отношение к внутреннему контролю субъектов-пользователей над финансовой отчетностью
• Профессиональные стандарты AICPA , AT-C, раздел 395, предназначенный для раздела AT 701, обсуждение и анализ руководством
• Система и организационные элементы управления AICPA: Домашняя страница набора услуг SOC