ההבדל בין SAS 70 לבין SSAE 16

SAS 70 SSAE 16

שניהם SAS 70 ו SSAE 16 פותחו על ידי AICPA או המכון האמריקאי של רואי חשבון עבור רואי החשבון המבצעים את תהליך הביקורת עבור חברות שירות. המבקר הוא בדרך כלל גורם חיצוני או צד שלישי בתהליך.

במהותה, SAS 70 ו- SSAE 16 נכתבים הנחיות ותהליך ביקורת באחד. ההנחיות נכתבות הוראות לבדיקת המידע הכספי של החברה. ודיווח על תהליך העסקה של החברה לטובת החברה ולקוחותיה.

ביקורת מבוצעת בדרך כלל על ידי ארגון השירות או החברה או ארגון המשתמשים שלה (לקוחותיה פעם או פעמיים בשנה). זה בדרך כלל מנסה לאתר את רמת הציות של החברה והוא נחשב היום כדרישה חיונית בכל חברת שירות. SAS 70 או SSAE 16 ניתן להשתמש בשירותי מיקור חוץ, תהליך קריטי בבקרה פנימית מאובטח, ואבטחת נתונים. זה יכול לשמש הערכה של החברה עצמה או כלי שיווקי גדול כדי למשוך לקוחות פוטנציאליים. עם זאת, הדמיון מסתיים שם.

SAS 70, העוקב אחר דוחות תקני ביקורת, הוא הסטנדרטים הרשמיים של ביקורת השירות מתחילת שנות התשעים ועד ה -15 ביוני 2011. הוא הוחלף על ידי ה- SSAE 16, שהוא ראשי תיבות של הצהרות תקן בהתקשרויות, התקן החדש שנכנס לתוקף ב

15 ביוני 2011 ואילך.
ההבדלים העיקריים נמצאים בתוכן של שני התקנים. כאשר מדברים על טופס, SAS הוא תקן ביקורת בעוד SSAE הוא תקן attestation. ב - SAS הקודמת, ההנהלה מספקת ייצוג בכתב בצורת מכתב ייצוג ניהולי לפני הדוח, אם כי המכתב אינו נכלל בדו "ח בעוד שההצהרה הכתובה ב - SSAE נכללת בדו" ח המבקר.

במקרה של קריטריונים מתאימים, הוא אינו נכלל בדו"ח של SAS וכן בקביעת הניהול כאשר SSAE כולל אותו ככלי לניהול כבסיס לקביעה הכתובה שלהם. הקריטריונים המתאימים הם גם גורם מכריע אם יש לסווג את ההערכה כדוח מסוג I או סוג II.

הן SAS 70 והן SSAE 16 כוללות את הדוחות מסוג I ו- II. שני הסטנדרטים יש את סוג אני לדווח על חוות דעת כתאריך של זמן. ב- SAS 70, דוח מסוג II נכתב גם הוא בצורה זו. לעומת זאת, דו"ח SSAE 16 של סוג II צריך להיות כתוב לאורך כל תקופת הבדיקה.

ראיות מההתקשרויות הקודמות משמשות בדרך כלל בתקן הקודם, אך התקן החדש אינו דורש שימוש בו. כמו כן, רואה החשבון המבקר אינו נדרש לגלות אם המבקר האמור השתמש בעבודת הביקורת הפנימית.זה היה הפוך על תקן חדש. אין גם דרישה לקבל ייצוג בעוד תקן SSAE דורש את החומר לספק טענות.

לבסוף, הדוחות הקודמים של SAS אינם ניתנים לשימוש על ידי הנהלת ארגון השירות, לקוחותיו ומבקרי הדוחות הכספיים של הלקוחות, בעוד שדו"ח SSAE המתרעם משתנה לאותו קהל. לארגון השירותים ולמבקרי הדוחות הכספיים של הלקוחות עדיין קיימת אותה הגבלה, אך הלקוחות מוגבלים לשימוש בתאריך הדוח (במקרה של סוג I) או במהלך תקופת הסקירה (כאשר מתייחסים לסוג II ).

סיכום:

1. ה - SAS הוא תקן ביקורת השירות הקודם אשר פקע ביום 15 ביוני 2011, בעוד שה - SSAE הוא התקן החלופי מיום 15 ביוני 2011 ואילך.

2. SAS הוא תקן ביקורת בעוד SSAE הוא תקן attestation.
3. מכתב ייצוג ניהולי מסופק לעיתים קרובות על ידי החברה לפני הדוח, אך הוא אינו נכלל בדוח כשלעצמו קובע התקן החדש כי יש לכלול את ההצהרה הכתובה.
4. קריטריונים מתאימים אינם נכללים בדוח SAS, אך זוהי דרישה קפדנית עבור תקן SSAE שכן הוא הבסיס לקביעה בכתב של החברה.
5. דוח מסוג II בתקן SAS נכתב כתאריך של תאריך בזמן שה- II על תקן SSAE נכתבה לאורך כל תקופת הבדיקה.