SSAE nr 18

Uttalande om standarder för attestuppdrag nr. 18 ( SSAE No. 18 eller SSAE 18 ) är en allmänt accepterad revisionsstandard producerad och publicerad av American Institute of Certified Public Accountants (AICPA) Auditing Standards Board . Även om det sägs att det kan tillämpas på nästan vilket ämne som helst, är dess fokus att rapportera på kvaliteten (noggrannhet, fullständighet, rättvisa) i den finansiella rapporteringen. Den ägnar särskild uppmärksamhet åt intern kontroll , vilket sträcker sig till kontrollerna över informationssystem som är involverade i finansiell rapportering. Den är avsedd att användas av auktoriserade revisorer som utför attestuppdrag, utarbetande av ett skriftligt yttrande om ett ämne och de kundorganisationer som utarbetar de rapporter som är föremål för attestuppdraget. Den föreskriver tre servicenivåer: granskning, granskning och överenskomna procedurer. Den föreskriver också två typer av rapporter: Typ 1, som inkluderar en bedömning av intern kontrolldesign, och Typ 2, som dessutom inkluderar en bedömning av kontrollernas operativa effektivitet. Publicerad april 2016, SSAE 18 och alla tidigare standarder som den ersätter finns representerade i avsnitt AT-C i AICPA Professional Standards , med de flesta avsnitt som träder i kraft den 1 maj 2017.

Historia och influenser

Prejudikat och första release

SAS 70 : I april 1992 publicerade AICPA rapporter om behandling av transaktioner av serviceorganisationer; Uttalande om revisionsstandarder, 070 , som ger vägledning vid revision av de finansiella rapporterna för ett företag som använder en serviceorganisation för att behandla transaktioner som påverkar den finansiella rapporteringen.

COSO Intern kontroll: integrerat ramverk : I september 1992 utfärdade kommittén för sponsrande organisationer i Treadway Commission ( COSO) en rapport med titeln Intern kontroll: integrerad ram , som gav en definition av intern kontroll och ett ramverk för att utvärdera och förbättra intern kontroll över system.

SAS 78 : I december 1995 publicerade AICPA Övervägande av intern kontrollstruktur i en revision av bokslut: en ändring av SAS nr. 55; Statement on Auditing Standards, 078 , som ersatte SAS 55 , för att återspegla definitionen av intern kontroll i COSO Internal Control-Integrated Framework.

ISAE 3402 : I december 2009 publicerade International Auditing and Assurance Standards Board (IAASB) en ny International Standard for Assurance Engagements, ISAE 3402 , med titeln Assurance Reports on Controls at a Service Organization , även känd som Internal Control Framework over Financial Reporting (ICFR) ). Den fokuserar på "försäkrande åtaganden vid rapportering om kontroller hos en serviceorganisation som sannolikt kommer att påverka eller vara en del av användarorganisationens system för intern kontroll över finansiell rapportering". Den anger ISAE 3000 som tillämplig. ISAE 3402 antogs av International Federation of Accountants (IFAC).

SSAE 16 : I april 2010 publicerade AICPA Statement on Standards for Attestation Engagements nr. 16 (SSAE 16), med titeln Reporting on Controls at a Service Organization , som ersatte SAS 70 och inkluderades i Professional Standards som avsnitt AT 801. Ändringarna i denna uppdatering förde standarden närmare den rapporteringsstruktur som krävs enligt Sarbanes Oxley Act och standarder som stöds av International Federation of Accountants (IFAC).

SOC : 2011, i samband med utgivningen av SSAE 16, ersatte AICPA servicerevisorns granskningsrapport som föreskrivs av SAS 70 med rapportsviten System and Organization Controls (SOC).

Trust Services Criteria : Under 2014 publicerade AICPA Assurance Services Executive Committee (ASEC) ny vägledning, Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy , bara kallade kontrollkriterier. De nya kontrollkriterierna anpassades till de 17 principerna för COSO Internal Control—Integrated Framework . Den inkluderade kriterier för att komplettera COSO-princip 12 genom att ta upp kontroller för logisk och fysisk åtkomst, systemdrift, förändringshantering och riskreducering.

SSAE 18 : I april 2016 publicerade AICPA Statement on Standards for Attestation Engagements 18; Attestationsstandarder: Förtydligande och omkodning som svar på "oro över klarheten, längden och komplexiteten i dess standarder", med de flesta avsnitt som träder i kraft den 1 maj 2017. SSAE nr 18 ersätter och integrerar de flesta tidigare SSAE-utgåvor i en enda förtydligande standard.

Ändringar införda av SSAE 18

Förtydligande och omkodifiering

SSAE nr 18 förtydligade och reviderade alla tidigare SSAE förutom SSAE nr 10 kapitel 7, som placerades i AT-C sektion 395 i otydlig form, och SSAE nr 15, som ersattes av Statement on Auditing Standards nr 130 och flyttas till AU-C sektion 940. AT-sektionsnumren för de ersatta SSAE:erna kodifierades i Professional Standards som sektion "AT-C" för att undvika förväxling med de äldre standarderna kodifierade som sektionen "AT".

Kompletterande undertjänstorganisationskontroller

SSAE nr. 18 kräver övervägande av kompletterande undertjänstorganisationskontroller, som är kontrollerna för delar av serviceorganisationens system som är outsourcade till andra serviceorganisationer.

Senaste utvecklingen

Det har skett några anmärkningsvärda utvecklingar i revisionsstandarder för informationssäkring sedan den första utgåvan av SSAE nr. 18 som påverkar rapportering enligt denna standard.

Rapporteringsram för cybersäkerhetsriskhantering : Under 2017 publicerade AICPA Assurance Services Executive Committee (ASEC) nytt och reviderat material som tillsammans bildar ett rapporteringsramverk för cybersäkerhetsriskhantering. Ramverket är avsett att hjälpa organisationer i deras beskrivning av cybersäkerhetsriskhanteringsaktiviteter. Den är också avsedd att hjälpa CPA:er att utföra undersökningsuppdrag, känd som SOC for Cybersecurity-undersökning. De tre resurserna som utgör ramverket är:

  1. Beskrivning Kriterier , med titeln Kriterier för att beskriva en uppsättning data och utvärdera dess integritet , som introducerades 2017, är avsedd att användas av ledning och CPA:er för att beskriva och rapportera om deras riskhanteringsåtgärder.
  2. Kontrollkriterier , med titeln Trust Services Criteria for Security, Availability and Confidentiality , reviderade 2017, är avsedda för CPA:er som tillhandahåller rådgivnings- eller attestationstjänster för att utvärdera och rapportera om kontrollernas effektivitet.
  3. Attestationsguide , med titeln Rapportering om en enhets program och kontroller för cybersäkerhetsriskhantering, som introducerades 2017, är avsedd att hjälpa CPA:er med rapportering om system- och organisationskontroller för hantering av cybersäkerhetsrisk.

Trust Services Criteria (TSC): Under 2017, som en del av Cybersecurity Risk Management Reporting Framework, släppte AICPA Assurance Services Executive Committee (ASEC) uppdateringar av Trust Services-kriterierna för säkerhet, tillgänglighet, bearbetningsintegritet, konfidentialitet och sekretess , hänvisat till till som kontrollkriterier enligt ''Rapporteringsramverket för cybersäkerhetsrisk''. SOC 2- eller SOC 3-rapporter med en tentamensperiod som avslutas den 15 december 2018 eller senare ska uppfylla de reviderade kontrollkriterierna.

SOC : Från och med 2018 fortsätter AICPA att uppdatera och utöka sin rapporteringsvägledning för system och organisationskontroller (SOC). Detta inkluderar nytt material som SOC for Service Organizations och SOC for Cybersecurity Reporting Framework .

Sektioner och organisation

Avsnitten i SSAE nr. 18 är representerade under avsnitt AT-C i AICPA Professional Standards . Konturen av avsnitten är som följer:

  • SSAE 18 Förord
  • SSAE 18 Gemensamma begrepp
    • SSAE 18 -> AT-C §105 Begrepp som är gemensamma för alla attestuppdrag
  • SSAE 18 Servicenivå
    • SSAE 18 -> AT-C §205 Examination Engagement
    • SSAE 18 -> AT-C §210 Granskningsengagemang
    • SSAE 18 -> AT-C §215 Överenskomna förfaranden Engagemang
  • SSAE 18 Ämne
    • SSAE 18 -> AT-C §305 Prospektiv finansiell information
    • SSAE 18 -> AT-C §310 Rapportering om proforma finansiell information
    • SSAE 18 -> AT-C §315 Intyg om överensstämmelse
    • SSAE 18 -> AT-C §320 Rapportering om en granskning av kontroller hos en tjänsteorganisation som är relevant för användarenheters interna kontroll över finansiell rapportering
    • SSAE 18 -> AT-C §395 Designad för AT Section 701, Ledningens diskussion och analys

§105 Begrepp som är gemensamma för alla intygsuppdrag

AT-C sektion 105, från och med 1 maj 2017, definierar krav för alla typer av attestuppdrag. Den beskriver ett attestuppdrag som en av tre tjänstenivåer, som definieras i avsnitt 205, 210 och 215. Det identifierar också de tre övergripande målen för ett vertygsuppdrag

§205 Examensuppdrag

AT-C sektion 205, från och med 1 maj 2017, definierar i huvudsak kraven och innehållet i ett examensuppdrag, en av de tre servicenivåerna för ett attesteringsuppdrag.

§210 Granskningsuppdrag

AT-C sektion 210, från och med 1 maj 2017, definierar i huvudsak kraven och innehållet i ett granskningsuppdrag, en av de tre servicenivåerna för ett verifieringsuppdrag.

§215 Överenskomna förfarandeuppdrag

AT-C sektion 215, från och med 1 maj 2017, definierar i huvudsak kraven och innehållet i ett överenskommet förfarandeuppdrag, en av de tre servicenivåerna för ett attestatningsuppdrag.

§305 Prospektiv finansiell information

AT-C avsnitt 305, från och med 1 maj 2017, hämtat från SSAE nr 18, innehåller krav och vägledning för att granska eller utföra överenskomna procedurer för framtida finansiell information.

§310 Rapportering av proforma finansiell information

AT-C avsnitt 310, från och med 1 maj 2017, hämtat från SSAE nr 18, innehåller krav och vägledning för att granska eller granska proforma finansiell information.

§315 Överensstämmelseintyg

AT-C avsnitt 315, från och med 1 maj 2017, hämtat från SSAE nr 18, innehåller krav och vägledning för att utföra följande typer av uppdrag:

  • granska eller granska efterlevnaden av lagar, förordningar, regler, kontrakt eller bidrag eller ett påstående om efterlevnad,
  • överenskomna förfaranden relaterade till efterlevnad, eller
  • överenskomna förfaranden relaterade till intern kontroll över efterlevnad.

§320 Rapportering om en granskning av kontroller hos en serviceorganisation som är relevant för användarenheters interna kontroll över finansiell rapportering

AT-C sektion 320, hämtad från SSAE nr 18, i kraft den 1 maj 2017, innehåller krav och vägledning för att granska kontroller hos serviceorganisationer som tillhandahåller tjänster till användarenheter där dessa kontroller är relevanta för användarenheternas interna kontroll över finansiell rapportering. Den kan även tillämpas på rapportering om andra interna kontroller än finansiell rapportering.

§395 Utsedd för AT Section 701, Ledningens diskussion och analys

AT-C sektion 395, hämtad från SSAE nr. 18, som träder i kraft den 1 juni 2001, innehåller krav och vägledning för attesteringsuppdrag avseende ledningens diskussion och analys (MD&A), såsom de som presenteras i årsrapporter till aktieägarna.

Definitioner

Roller och ansvar

SSAE 18 identifierar två primära roller under bildandet av ett verifieringsengagemang:

  1. Practitioner , en person som utövar offentlig redovisning, som utför uppdraget; och
  2. Engagerande part , den enhet som anlitar läkaren för att utföra ett intyg.

SSAE 18 hänvisar till två roller som är huvudaktörerna under ett attestuppdrag:

  1. Utövaren , även benämnd i 320 § som tjänsterevisor , den som utför attesteringsuppdraget; och
  2. Den ansvariga parten , även kallad ledning eller tjänsteorganisation eller tjänsteleverantör , som är den part som ansvarar för att tillhandahålla de uttalanden, beskrivningar och/eller påståenden som är föremålet för attesteringsuppdraget.

SSAE 18 identifierar två underordnade roller som kan engageras av utövaren:

  1. annan utövare , som tillhandahåller information som kommer att användas som bevis av utövaren; och
  2. Utövares specialist , som "har expertis inom ett annat område än redovisning eller intyg", som hjälper till med att samla bevis.

SSAE 18 identifierar också andra relevanta roller som inte är direkt engagerade i revisionen:

  • AICPA , som publicerar de revisionsstandarder och etiska regler som de ansvariga eller engagerade parterna förväntas följa;
  • Underserviceorganisation , En serviceorganisation som används av en serviceorganisation som är ansvarig part; och
  • Användare , som kan hänvisa till de avsedda användarna av utövarens rapport, även kallad den specificerade parten , eller användarna av tjänsterna som tillhandahålls av tjänsteleverantören.

Servicenivåer

Avsnitten 205, 210 och 215 är avsedda att definiera de tre servicenivåerna för varje attesteringsuppdrag, även om andra tillämpliga avsnitt kan specificera ytterligare krav för uppdraget:

  1. För ett examinationsuppdrag är utövarens mål:
    1. för att erhålla försäkran om att ämnet är fritt från väsentliga felaktigheter, och
    2. att uttala sig om ämnet uppfyller de angivna kriterierna eller den ansvariges påstående och är rättvist formulerat.
  2. För ett granskningsuppdrag är utövarens mål:
    1. att erhålla begränsad säkerhet om att ämnet uppfyller de angivna kriterierna eller den ansvariga partens påstående, och
    2. uttrycka en slutsats om huruvida några ändringar bör göras för att uppfylla de angivna kriterierna eller påståendet och vara rättvist formulerad.
  3. För ett överenskommet förfarandeuppdrag är utövarens mål:
    1. att utfärda en rapport med resultat baserad på specificerade överenskomna förfaranden som tillämpas på ämnet, där de specificerade parterna bestämmer vilka förfaranden som används.

Sektionerna 205, 210 och 215 föreskriver eller förbjuder också vissa servicenivåer för attesteringsengagemang beroende på ämnet.

Rapporttyper

SSAE 18 avsnitt 320, med titeln "Rapportering om en granskning av kontroller hos en tjänsteorganisation som är relevant för användarenheters interna kontroll över finansiell rapportering", definierar två typer av rapportformat, typ 1 och typ 2, som varierar i sitt innehåll, vilket vidare differentierar tjänstenivån som ska utföras i ett attestuppdrag för detta ämne:

  • Typ 1 , som inkluderar en bedömning av utformningen av identifierade kontroller, och
  • Typ 2 , som även inkluderar en bedömning av den operativa effektiviteten av identifierade kontroller.

Ämne

SSAE 18 anger att det kan vara tillämpligt på vilket ämne som helst, även om ämnets natur är en nyckelfaktor för att avgöra vilka delar av standarden som är tillämpliga och vilken servicenivå för attesteringuppdrag läkaren kan utföra. Alla attestuppdrag bygger på konceptet att utövaren rapporterar en åsikt om ett uttalande, beskrivning eller påstående från den ansvariga parten om ett ämne.

  • Prospektiv finansiell information , inklusive finansiella prognoser och prognoser, är i fokus för AT-C avsnitt 305.
  • Proforma finansiell information är i fokus för AT-C avsnitt 310.
  • Efterlevnad eller ett påstående om efterlevnad angående lagar, förordningar, regler, kontrakt eller bidrag är fokus i AT-C avsnitt 315.
  • Ledningens diskussion och analys (MD&A) , som presenteras i årsredovisningar till aktieägarna, är i fokus för avsnitt 395.

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=SSAE_No._18&oldid=1126392672 "