SAS 70 - guide complet pour la préparation des audits et d'achèvement

La norme SAS audit 70, mis en avant en 1992 par l'American Institute of Certified Public Accountants, a acquis une grande importance et la popularité ces dernières années. Cela est dû en grande partie à l'énorme croissance de la législation de conformité réglementaire, en particulier la loi Sarbanes-Oxley de 2002 (SOX), ainsi que d'autres dispositions notables, telles que HIPAA et Gramm Leach Bliley (GLBA). En outre saupoudré sur ces lois sont des décisions étatiques de nombreux législatives favorables à un large éventail de la vie privée et les mesures de sécurité qui ont également eu un impact de la croissance de la SAS 70 Type I et Type II audits.

Ce qui est important à noter est double: d'abord et avant tout, la conformité réglementaire et la gouvernance d'entreprise sont là pour rester et continuer à se développer agressivement dans les années à venir à venir. Deuxièmement, la déclaration sur les normes de vérification aucune. 70, tout simplement connu sous le nom SAS 70 pour beaucoup, est devenu un élément permanent dans le jeu de plus en plus le respect.

SAS 70 pour les organismes de services

Si vous êtes une organisation fournissant des services à une autre entité, alors il est sûr d'assumer dans le jargon technique de la SAS 70 audits, vous seriez identifié comme une organisation de service. En substance, il s'agit d'une société qui fournit des critiques généralement des services d'externalisation pour les organisations d'utilisateurs en amont. Parmi les exemples courants d'un organisme de services à des fins de SAS 70 serait une société paie, un tiers administrateur (TPA), un co-localisation ou d'un centre de données fournissant des services gérés, ou une entité de facturation médicale processeur, pour n'en nommer que quelques-uns. Encore une fois, ce qu'ils ont tous en commun est leur capacité à fournir un service nécessaire à une autre organisation.

Conformité SAS 70-Par où commencer?

Si votre organisation est demandé d'être conforme SAS 70, vous avez besoin de savoir ce que les attentes à long terme sont de l'entité vous demandant de se conformer. Est-ce un événement qu'une seule fois? Sont-ils demander annuel SAS 70? Avez-vous d'être SAS 70 Type II compatible pour le premier audit ou seront de type I auditer suffisent-elles?

Une fois que vous avez une solide compréhension de ces paramètres ci-dessus, vous pouvez commencer à chercher une entreprise qualifiée CPA pour effectuer la vérification. Acheteur méfiez-vous. Vous obtenez ce que vous payez, donc d'aller pour le fournisseur à faible coût peut très bien finir par vous donner un rapport de mauvaise qualité, qui pourrait finalement faire plus de mal que de bien. Et pourquoi est-ce? Parce que les utilisateurs visés de ces rapports qui comptent sur eux sont traditionnellement bien qualifié à la lecture et la digestion de ces rapports, afin qu'ils puissent mieux être de haute qualité. Obtenir des propositions provenant d'entreprises qui ne sont pas trop petites, mais pas trop grande. Un ressortissant boutique CPA entreprise qui se spécialise dans les SAS 70 audits serait un bon choix. Il serait raisonnable de frais, ils pourraient procéder à la vérification d'une manière efficace et de préparer le rapport final dans un délai acceptable.

SAS 70 dossiers chauds

Mais avant de vous inscrire sur la ligne pointillée, assurez-vous d'obtenir au moins trois propositions, et être certain que vous discuter des points suivants avec chaque entreprise CPA que vous allez recevoir un devis frais à partir de:

SCOPE-Est de l'audit va être une vérification générale des contrôles ou est-ce pour y inclure un examen des processus d'affaires spécifiques ou drivers commerciaux. Cela est particulièrement important car il peut changer de façon significative les frais de la vérification. De nombreuses entreprises de l'APC vous donnera une proposition, mais il peut être pour un simple, les contrôles généraux seulement, alors assurez-vous que ceci est discuté.

PRIX-Est la taxe, la redevance fixe qui est, sont tous hors de la poche et les frais de déplacement liés à inclure dans les honoraires de vérification. Si ce n'est pas, en faire une exigence. Pourquoi? Parce que les frais qui sont convenus de ne pas inclure une disposition redevance fixe finira par coûter un supplément de 10% à 20% par rapport à la taxe proposée. Rappelez-vous, les auditeurs doivent se déplacer, dormir dans des hôtels et de nourrir leur corps, et cela peut coûter cher.

Période de test-Si vous cherchez une proposition de SAS 70 Type II, vous aurez besoin d'identifier et de mettre d'accord sur la période d'essai. SAS 70 Type II d'essais de vérification des périodes traditionnellement vont de six (6) à douze (12) mois, mais, circonstance atténuante peut résulter en une courte période de test. La période d'essai est essentiel pour identifier car elle entraîne également des prix, à un degré marginal. Pensez une proposition d'un cabinet d'APC pour une 6 mois SAS 70 Type II d'audit sera le même prix que d'une vérification de douze mois? Absolument pas. Encore une fois, d'identifier la période de temps pour tester avant de recevoir les propositions de toute entreprise.

SAS 70 PRÉPARATION QUESTIONNARE-ce que la proposition de vérification comprend des honoraires pour l'objet d'une complète SAS 70 questionnaire d'évaluation de préparation? Si non, vous aurez besoin de discuter ce point important. Pour toute organisation passe par une SAS 70 pour la première fois, une préparation est un must pour assurer avec succès un audit.

J'ai trouvé mon entreprise, maintenant Where Do I Begin?

Donc, vous êtes sur votre chemin à SAS 70 Type I ou Type II de la conformité. La première étape qui doit être entrepris est de compléter une série de formes SAS 70 Questionnaire sur l'aptitude et des modèles. Ces questionnaires permettra d'entraînement et de guider le processus de vérification. Ils sont considérés comme des outils précieux pour la préparation des audits, et toute réputation SAS 70 CPA entreprise sera en mesure de vous les fournir. Certaines entreprises imposent des frais pour effectuer une session de SAS 70 Questionnaire sur l'aptitude, tandis que d'autres peuvent fournir des modèles pour gratuit, laissant l'organisation des services de mener leur propre SAS 70 de préparation. Le choix est vôtre. Un autre avantage de la SAS 70 de préparation, c'est qu'il aide votre organisation à identifier les lacunes ou les insuffisances au sein de votre environnement de contrôle qui exigent des mesures correctives ou de correction avant la début de la vérification. Il n'y a aucun sens à se précipiter dans un SAS 70 de Type I ou II de vérification sans préparation adéquate pour cela. C'est exactement ce que l'évaluation de l'état fait. Alors, quelles devraient être les 70 SAS formes Questionnaire sur l'aptitude et les modèles de couvrir? Ils devraient couvrir tous les aspects de contrôle général, un audit SAS 70 de même que des dispositions spécifiques pour les processus métier ou drivers d'affaires qui seront incluses dans le périmètre de l'audit. Voici la liste des domaines généraux des contrôles qui devraient être couverts dans la phase de préparation. S'il vous plaît noter que tous les domaines peuvent être applicables à votre organisation:

Organisation et Administration-exécutif Tone

Organisation et administration des ressources humaines-

Cycle de développement

Gestion des incidents

Gestion du changement

Sécurité logique

Réseau de la sécurité

La sécurité physique

Sécurité de l'environnement

Opérations informatiques

Continuité des affaires et de reprise après sinistre (Cette option est facultative, comme le dit 70 lignes directrices SAS que "les plans" ne sont pas contrôler objectifs.)

Pour plus d'informations sur l'obtention de sas 70 formes Questionnaire sur l'aptitude et les modèles, visitez le guide des ressources SAS 70 Vous pouvez recevoir des rapports sas échantillon de 70 également....