SSAE 18 - что это?

SSAE 18 пришел на смену SSAE 16, начиная с 1 мая 2017 года. Этот стандарт аттестаций устанавливает требования и предоставляет руководство для аудиторов по проведению и отчетности проверок, обзоров и других аналогичных проектов, включая аттестации сервисных организаций (Service Organization Controls - SOC). SSAE 18 полностью заменил SSAE 16 и многие другие стандарты SSAE (№10-17) в один комбинированный стандарт.

SSAE 18 - это НЕ:

SSAE 18 НЕ является сертификацией. Также как ей не являлись SSAE 16 и SAS 70 ранее. Не существует такого понятия, как "Сертифицирован по SSAE 18", а сервисные организации, которые используют такую терминологию, просто вводят в заблуждение своих клиентов и заинтересованных лиц. SSAE 18 - это только название стандарта, который используют практикующие аудиторы для проведения различных аттестационных проверок и отчетности по ним.

В чём отличие SSAE 18?

Существует несколько ключевых изменений для клиентов сервисных организаций и других заинтересованных сторон, которые используют отчеты SOC. Например, появились изменения, которые влияют на то, как организации-поставщики услуг работают с организациями подрядчиками. Что такое организация подрядчик? Прежде, чем ответить на этот вопрос, давайте определимся с понятием "сервисная организация".
Сервисная организация - это предприятие, которое предоставляет услуги (например, облачные вычисления, колокейшн, расчет заработной платы и т.п.) для другой организации. Организация подрядчик (суб-сервисная организация) находится на один уровень глубже - это сервисная организация, услуги которой использует основная/первичная сервисная организация для предоставления своих услуг. Например, если ваш провайдер "облачных" услуг "A" использует ЦОД другой компании "B" для размещения своих серверов, то компания "B" является организацией подрядчиком либо суб-сервисной организацией.
SSAE 18 акцентирует внимание на важности точного раскрытия взаимосвязи между сервисной организацией и её подрядчиками. Чтобы соответствовать требованиям SSAE 18 сервисной организации следует:
  • идентифицировать все организации-подрядчики, используемые при предоставлении услуг;
  • включить описание всех контролей организаций-подрядчиков (называемых дополнительными контролями организации-подрядчика), на которые сервисная организация полагается при предоставлении своих услуг клиентам.
SSAE 18 также требует, чтобы сервисная организация предоставила аудитору результаты оценки, отражающие основные риски, с которыми организация сталкивается при предоставлении своих услуг клиентам. Такая оценка рисков дает уверенность в том, что система внутренних контролей сервисной организации подлежит регулярному анализу, рассматривает соответствующие риски и обновляется по мере необходимости для снижения рисков.
Последнее, ключевое изменение, вызванное SSAE 18, связано с мониторингом контролей в организациях-подрядчиках. Теперь не считается достаточным проверять организации-подрядчики только один раз, при заключении договора с ними. SSAE 18 требует, чтобы:
  • сервисная организация внедрила у себя средства мониторинга эффективности соответствующих мер контроля в организации-подрядчике; а
  • независимый аудитор сообщал о контролях, которые сервисная организация внедрила для мониторинга соответствующих контролей в организации-подрядчике.
Элементы контроля мониторинга могут включать в себя одну или любую комбинацию следующего:
  • просмотр и согласование выходных отчетов или файлов;
  • периодическое обсуждение контролей с персоналом организации-подрядчика;
  • регулярные посещений организации-подрядчика;
  • тестирование контролей организации-подрядчика;
  • мониторинг внешних коммуникаций;
  • обзор аудиторских отчетов о системе внутренних контролей организации-подрядчика.