SSAE nr 18

Oświadczenie w sprawie standardów usług atestacyjnych nr. 18 ( SSAE nr 18 lub SSAE 18 ) to ogólnie przyjęty standard audytu opracowany i opublikowany przez Radę ds. standardów audytu Amerykańskiego Instytutu Biegłych Księgowych (AICPA) . Chociaż stwierdza, że ​​można go zastosować do niemal każdego zagadnienia, koncentruje się na raportowaniu jakości (dokładności, kompletności, rzetelności) sprawozdawczości finansowej. Szczególną uwagę zwraca na kontrolę wewnętrzną , obejmującą kontrole nad systemy informacyjne wykorzystywane w sprawozdawczości finansowej. Jest przeznaczony do użytku przez biegłych księgowych wykonywanie usług atestacyjnych, przygotowanie pisemnej opinii na dany temat oraz przygotowanie przez organizacje klienta raportów będących przedmiotem usługi atestacyjnej. Określa trzy poziomy usług: badanie, przegląd i uzgodnione procedury. Zaleca także dwa rodzaje raportów: typ 1, który obejmuje ocenę projektu kontroli wewnętrznej, oraz typ 2, który obejmuje dodatkowo ocenę skuteczności działania kontroli. standardów zawodowych AICPA , przy czym większość sekcji zacznie obowiązywać 1 maja 2017 r.

Historia i wpływy

Precedensy i pierwsze wydanie

SAS 70 : W kwietniu 1992 r. AICPA opublikowała Raporty dotyczące przetwarzania transakcji przez organizacje usługowe; Oświadczenie w sprawie standardów badania, 070 , które zawiera wytyczne dotyczące badania sprawozdań finansowych jednostki korzystającej z organizacji usługowej do przetwarzania transakcji mających wpływ na sprawozdawczość finansową.

COSO Kontrola wewnętrzna: zintegrowane ramy : We wrześniu 1992 r. Komitet Organizacji Sponsorujących Komisję Treadway (COSO) opublikował raport zatytułowany Kontrola wewnętrzna: zintegrowane ramy , który przedstawił definicję kontroli wewnętrznej oraz ramy oceny i doskonalenia kontroli wewnętrznej nad systemy.

SAS 78 : W grudniu 1995 r. AICPA opublikowała publikację „Rozważanie struktury kontroli wewnętrznej w badaniu sprawozdania finansowego: poprawka do SAS nr. 55; Oświadczenie w sprawie standardów audytu, 078 , które zastąpiło SAS 55 , w celu odzwierciedlenia definicji kontroli wewnętrznej zawartej w zintegrowanych ramach kontroli wewnętrznej COSO.

ISAE 3402 : W grudniu 2009 roku Rada Międzynarodowych Standardów Audytu i Atestacji (IAASB) opublikowała nowy Międzynarodowy standard usług atestacyjnych, ISAE 3402 , zatytułowany Raporty atestacyjne dotyczące kontroli w organizacji usługowej , znany również jako Ramy kontroli wewnętrznej nad sprawozdawczością finansową (ICFR ). Koncentruje się na „zleceniach atestacyjnych przy składaniu sprawozdań na temat kontroli w organizacji usługowej, które mogą mieć wpływ na system kontroli wewnętrznej nad sprawozdawczością finansową organizacji użytkownika lub być częścią takiego systemu”. Określa ISAE 3000 jako mające zastosowanie. ISAE 3402 został przyjęty przez Międzynarodową Federację Księgowych (IFAC).

SSAE 16 : W kwietniu 2010 r. AICPA opublikowała Oświadczenie w sprawie standardów usług atestacyjnych nr. 16 (SSAE 16), zatytułowany Reporting on Controls at a Service Organisation , który zastąpił SAS 70 i został włączony do Standardów Zawodowych jako sekcja AT 801. Zmiany w tej aktualizacji przybliżyły standard do struktury raportowania wymaganej przez ustawę Sarbanes Oxley Act i standardy wspierane przez Międzynarodową Federację Księgowych (IFAC).

SOC : w 2011 r., w związku z wydaniem SSAE 16, AICPA zastąpiła raport z badania audytora usług określony w SAS 70 zestawem raportów dotyczących kontroli systemu i organizacji (SOC).

Kryteria usług zaufania : W 2014 r. Komitet Wykonawczy Usług Powierniczych AICPA (ASEC) opublikował nowe wytyczne „ Zasady i kryteria usług zaufania dotyczące bezpieczeństwa, dostępności, integralności przetwarzania, poufności i prywatności” , zwane po prostu kryteriami kontroli. Nowe kryteria kontroli zostały dostosowane do 17 zasad kontroli wewnętrznej COSO – zintegrowane ramy . Zawierał kryteria uzupełniające zasadę COSO 12 o kontrolę dostępu logicznego i fizycznego, operacji systemowych, zarządzania zmianami i ograniczania ryzyka.

SSAE 18 : W kwietniu 2016 r. AICPA opublikowała Oświadczenie w sprawie standardów usług atestacyjnych 18; Standardy atestacyjne: Wyjaśnienie i rekodyfikacja w odpowiedzi na „wątpliwości dotyczące przejrzystości, długości i złożoności standardów”, przy czym większość sekcji wchodzi w życie 1 maja 2017 r. SSAE nr 18 zastępuje i integruje większość wcześniejszych wydań SSAE w jedno wyjaśnione standard.

Zmiany wprowadzone przez SSAE 18

Wyjaśnienie i rekodyfikacja

W SSAE nr 18 wyjaśniono i zmieniono wszystkie wcześniejsze standardy SSAE z wyjątkiem SSAE nr 10 rozdział 7, który został umieszczony w sekcji 395 AT-C w niejasnej formie, oraz SSAE nr 15, który został zastąpiony Oświadczeniem w sprawie standardów audytu nr 130 i przeniesiono do sekcji 940 AU-C. Numery sekcji AT dla zastąpionych SSAE zostały przekodowane w Standardach zawodowych jako sekcja „AT-C”, aby uniknąć pomyłek ze starszymi standardami skodyfikowanymi jako sekcja „AT”.

Uzupełniające kontrole organizacji podrzędnych

SSAE nr 18 wymaga uwzględnienia uzupełniających kontroli organizacji podwykonawczej, które stanowią kontrole części systemów organizacji usługowej zlecanych innym organizacjom usługowym.

Ostatnie zmiany

Od czasu pierwszego wydania SSAE nr. 18, które mają wpływ na raportowanie zgodnie z niniejszym standardem.

Ramy raportowania dotyczące zarządzania ryzykiem cyberbezpieczeństwa : W 2017 r. Komitet Wykonawczy ds. Usług Assurance AICPA (ASEC) opublikował nowe i poprawione materiały, które razem tworzą ramy raportowania dotyczące zarządzania ryzykiem cyberbezpieczeństwa. Ramy mają pomóc organizacjom w opisie działań związanych z zarządzaniem ryzykiem cybernetycznym. Ma również pomóc CPA w wykonywaniu zadań egzaminacyjnych, zwanych egzaminami SOC for Cybersecurity. Trzy zasoby tworzące ramy to:

  1. Opis Kryteria , zatytułowany Kryteria opisu zbioru danych i oceny jego integralności , wprowadzony w 2017 roku, przeznaczony jest do wykorzystania przez kadrę kierowniczą i audytorów do opisywania i raportowania stosowanych przez nich środków zarządzania ryzykiem.
  2. Kryteria kontroli , zatytułowane Kryteria usług zaufania dotyczące bezpieczeństwa, dostępności i poufności , zmienione w 2017 r., są przeznaczone dla CPA świadczących usługi doradcze lub atestacyjne w celu oceny i raportowania skuteczności kontroli.
  3. Przewodnik po atestach zatytułowany Sprawozdawczość w zakresie programu zarządzania ryzykiem cybernetycznym i kontroli jednostki , wprowadzony w 2017 r., ma na celu pomóc CPA w raportowaniu na temat kontroli systemów i organizacji w celu zarządzania ryzykiem cyberbezpieczeństwa.

Kryteria usług zaufania (TSC): W 2017 r. w ramach ram raportowania dotyczących zarządzania ryzykiem cybernetycznym Komitet Wykonawczy ds. Usług Assurance AICPA (ASEC) opublikował aktualizacje kryteriów usług zaufania w zakresie bezpieczeństwa, dostępności, integralności przetwarzania, poufności i prywatności , o których mowa jako kryteria kontroli w „Ramych raportowania w zakresie zarządzania ryzykiem cybernetycznym”. Raporty SOC 2 lub SOC 3, których okres badania kończy się 15 grudnia 2018 r. lub później, muszą spełniać zmienione kryteria kontroli.

SOC : Od 2018 r. AICPA w dalszym ciągu aktualizuje i rozszerza swoje wytyczne dotyczące raportowania dotyczące kontroli systemów i organizacji (SOC). Obejmuje to nowe materiały, takie jak SOC dla organizacji usługowych i SOC dla ram raportowania cyberbezpieczeństwa .

Sekcje i organizacja

Sekcje SSAE nr. 18 są przedstawione w sekcji AT-C Standardów Zawodowych AICPA . Schemat sekcji wygląda następująco:

  • Przedmowa do SSAE 18
  • SSAE 18 Wspólne pojęcia
    • SSAE 18 -> AT-C §105 Pojęcia wspólne dla wszystkich usług atestacyjnych
  • Poziom usług SSAE 18
    • SSAE 18 -> AT-C §205 Zlecenia egzaminacyjne
    • SSAE 18 -> AT-C §210 Zlecenia przeglądu
    • SSAE 18 -> AT-C §215 Zlecenia wynikające z uzgodnionych procedur
  • Przedmiot standardu SSAE 18
    • SSAE 18 -> AT-C §305 Prospektywne informacje finansowe
    • SSAE 18 -> AT-C §310 Sprawozdawczość dotycząca informacji finansowych pro forma
    • SSAE 18 -> AT-C §315 Poświadczenie zgodności
    • SSAE 18 -> AT-C §320 Sprawozdawczość dotycząca badania kontroli w organizacji usługowej istotnych dla kontroli wewnętrznej jednostek użytkowników nad sprawozdawczością finansową
    • SSAE 18 -> AT-C §395 Wyznaczony dla AT Sekcja 701, Dyskusje i analizy kierownictwa

§105 Pojęcia wspólne dla wszystkich usług atestacyjnych

Artykuł 105 AT-C, obowiązujący od 1 maja 2017 r., określa wymagania dotyczące wszystkich rodzajów usług atestacyjnych. Opisuje usługę atestacyjną jako jeden z trzech poziomów usług zdefiniowanych w sekcjach 205, 210 i 215. Określa także trzy ogólne cele usługi atestacyjnej

§205 Zlecenia egzaminacyjne

Artykuł 205 AT-C, obowiązujący od 1 maja 2017 r., zasadniczo definiuje wymagania i treść usługi egzaminacyjnej , jednego z trzech poziomów usług w ramach usługi atestacyjnej.

§210 Przegląd zleceń

Artykuł 210 AT-C, obowiązujący od 1 maja 2017 r., zasadniczo definiuje wymagania i treść usługi przeglądu , jednego z trzech poziomów usług w ramach usługi atestacyjnej.

§215 Zlecenia w oparciu o uzgodnione procedury

Artykuł 215 AT-C, obowiązujący od 1 maja 2017 r., zasadniczo definiuje wymagania i treść usługi w zakresie uzgodnionych procedur , jednego z trzech poziomów usług w ramach usługi atestacyjnej.

§305 Prospektywne informacje finansowe

Artykuł 305 AT-C, obowiązujący od 1 maja 2017 r., pochodzący z SSAE nr 18, zawiera wymagania i wytyczne dotyczące badania lub wykonywania uzgodnionych procedur dotyczących perspektywicznych informacji finansowych.

§310 Raportowanie informacji finansowych pro forma

Artykuł 310 AT-C, obowiązujący od 1 maja 2017 r., pochodzący z SSAE nr 18, zawiera wymagania i wytyczne dotyczące badania lub przeglądu informacji finansowych pro forma.

§315 Poświadczenie zgodności

Artykuł 315 AT-C, obowiązujący od 1 maja 2017 r., pochodzący z SSAE nr 18, zawiera wymagania i wytyczne dotyczące wykonywania następujących rodzajów zleceń:

  • badanie lub przegląd zgodności z przepisami ustawowymi, wykonawczymi, zasadami, umowami lub dotacjami lub stwierdzenie dotyczące zgodności,
  • uzgodnione procedury dotyczące zgodności, lub
  • uzgodnione procedury związane z kontrolą wewnętrzną nad zgodnością.

§320 Sprawozdawczość z badania kontroli w organizacji usługowej istotnych dla kontroli wewnętrznej jednostek użytkowników nad sprawozdawczością finansową

Artykuł 320 AT-C, zaczerpnięty z SSAE nr 18, obowiązujący od 1 maja 2017 r., zawiera wymagania i wytyczne dotyczące badania kontroli w organizacjach usługowych, które świadczą usługi na rzecz jednostek korzystających z organizacji usługowych, jeżeli te kontrole są istotne dla kontroli wewnętrznej jednostek korzystających z organizacji usługowych nad raportowanie. Można je również zastosować do sprawozdawczości dotyczącej kontroli wewnętrznej innej niż sprawozdawczość finansowa.

§395 Wyznaczony dla AT, sekcja 701, Dyskusje i analizy kierownictwa

AT-C sekcja 395, źródło: SSAE nr. 18, obowiązujący od 1 czerwca 2001 r., zawiera wymogi i wytyczne dotyczące usług poświadczających dotyczących dyskusji i analiz kierownictwa (MD&A), takich jak te prezentowane w raportach rocznych dla akcjonariuszy.

Definicje

Role i obowiązki

MSAE 18 identyfikuje dwie główne role podczas zawierania usługi zaświadczającej:

  1. Praktyk , osoba zajmująca się rachunkowością publiczną, która wykonuje zlecenie; I
  2. Strona zlecająca , jednostka, która angażuje biegłego rewidenta w celu przeprowadzenia poświadczenia.

SSAE 18 odnosi się do dwóch ról, które odgrywają główną rolę podczas usługi atestacyjnej:

  1. Biegły rewident , zwany także w art. 320 biegłym rewidentem usługowym , osoba wykonująca usługę zaświadczającą; I
  2. Strona odpowiedzialna , zwana także organizacją zarządzającą , organizacją usługową lub dostawcą usług , która jest stroną odpowiedzialną za dostarczenie oświadczeń, opisów i/lub twierdzeń będących przedmiotem usługi atestacyjnej.

MSAE 18 identyfikuje dwie podrzędne role, które może pełnić biegły rewident:

  1. Inny biegły rewident , który dostarcza informacje, które zostaną wykorzystane przez biegłego rewidenta jako dowód; I
  2. Specjalista praktyk , który „posiada wiedzę specjalistyczną w dziedzinie innej niż rachunkowość lub atestacja”, który pomaga w gromadzeniu materiału dowodowego.

MSAE 18 identyfikuje także inne istotne role, które nie są bezpośrednio zaangażowane w badanie:

  • AICPA , która publikuje standardy audytu i kodeks etyczny, których przestrzegania oczekuje się od stron odpowiedzialnych lub zaangażowanych;
  • Organizacja podusługowa . Organizacja usługowa wykorzystywana przez organizację usługową będącą stroną odpowiedzialną; I
  • Użytkownicy , które mogą odnosić się do zamierzonych użytkowników raportu biegłego rewidenta, zwanych także Określoną Stroną , lub użytkowników usług świadczonych przez Usługodawcę.

Poziomy usług

Sekcje 205, 210 i 215 mają na celu zdefiniowanie trzech poziomów usług w przypadku każdej usługi zaświadczającej, chociaż inne mające zastosowanie sekcje mogą określać dodatkowe wymagania dotyczące usługi:

  1. W przypadku zlecenia badania celami biegłego rewidenta są:
    1. uzyskania pewności, że przedmiot umowy nie zawiera istotnego zniekształcenia oraz
    2. wyrażenie opinii na temat tego, czy przedmiot spełnia określone kryteria lub twierdzenia strony odpowiedzialnej i czy jest rzetelnie określony.
  2. W przypadku zlecenia przeglądu celami biegłego rewidenta są:
    1. uzyskania ograniczonej pewności, że przedmiot zamówienia spełnia określone kryteria lub stwierdzenie strony odpowiedzialnej, oraz
    2. wyrazić wniosek, czy należy wprowadzić jakiekolwiek modyfikacje, aby spełnić określone kryteria lub twierdzenie, i przedstawić go rzetelnie.
  3. W przypadku usługi dotyczącej uzgodnionych procedur celem biegłego rewidenta jest:
    1. wydanie raportu z ustaleniami w oparciu o określone uzgodnione procedury, które mają zastosowanie do zagadnienia będącego przedmiotem zlecenia, w przypadku gdy określone strony ustalają zastosowane procedury.

Sekcje 205, 210 i 215 również określają lub zabraniają określonych poziomów usług atestacyjnych w zależności od przedmiotu.

Typy raportów

SSAE 18, sekcja 320, zatytułowany „Sprawozdania z badania kontroli w organizacji usługowej istotnej dla kontroli wewnętrznej jednostek użytkownika nad sprawozdawczością finansową”, definiuje dwa typy formatów raportów, typ 1 i typ 2, które różnią się treścią, co dodatkowo różnicuje poziom usług, które mają być wykonane w ramach usługi zaświadczającej dla tego zagadnienia będącego przedmiotem zlecenia:

  • Typ 1 , który obejmuje ocenę projektu zidentyfikowanych kontroli oraz
  • Typ 2 , który obejmuje również ocenę skuteczności działania zidentyfikowanych kontroli.

Tematyka

MSAE 18 stwierdza, że ​​może on mieć zastosowanie do dowolnego zagadnienia będącego przedmiotem zlecenia, chociaż charakter zagadnienia będącego przedmiotem zlecenia jest kluczowym czynnikiem przy ustalaniu, które sekcje standardu mają zastosowanie i jaki poziom usług w zakresie usługi atestacyjnej może świadczyć biegły rewident. Wszystkie usługi poświadczające opierają się na założeniu, że biegły rewident przedstawia opinię na temat stwierdzenia, opisu lub stwierdzenia złożonego przez stronę odpowiedzialną na dany temat.

  • Prospektywne informacje finansowe , w tym prognozy i projekcje finansowe, są głównym tematem sekcji 305 AT-C.
  • Informacje finansowe pro forma są przedmiotem sekcji 310 AT-C.
  • Zgodność lub zapewnienie zgodności w odniesieniu do przepisów ustawowych, wykonawczych, zasad, umów lub dotacji jest głównym tematem sekcji 315 AT-C.
  • Dyskusje i analizy kierownictwa (MD&A) , które są przedstawiane w raportach rocznych dla akcjonariuszy, są głównym tematem sekcji 395.

Linki zewnętrzne

Źródło: „ https://en.wikipedia.org/w/index.php?title=SSAE_No._18&oldid=1126392672