SAS 70
SAS 70 (Statement on Auditing Standards No. 70, «Положение о стандартах аудита № 70») — это стандарт аудиторской деятельности, разработанный Американским институтом дипломированных общественных бухгалтеров (AICPA). Стандарт устанавливал процедуры и требования для аудита и отчётности по контролю в сервисных организациях, предоставляющих услуги, влияющие на финансовую отчётность их клиентов. SAS 70 был официально опубликован в 1992 году и оставался основным стандартом для аудита сервисных организаций до 2011 года, когда был заменён на более современные стандарты SSAE 16 (США) и ISAE 3402 (международный).
История и предпосылки создания
В конце 1980-х — начале 1990-х годов в США наблюдался стремительный рост аутсорсинга бизнес-процессов, особенно в сфере информационных технологий и обработки финансовых данных. Компании всё чаще передавали ведение бухгалтерского учёта, расчёт заработной платы, хранение данных и другие критически важные функции сторонним организациям. Аудиторы, проверявшие финансовую отчётность клиентов, сталкивались с проблемой: они не могли напрямую оценить внутренний контроль в сервисной организации, так как не имели к ней доступа. Для решения этой проблемы AICPA разработал SAS 70, который вступил в силу для аудиторских проверок, начинающихся после 1 января 1993 года.
Стандарт был призван унифицировать подходы к аудиту сервисных организаций и предоставить клиентам и их аудиторам надёжную информацию о состоянии внутреннего контроля у поставщика услуг. До появления SAS 70 такие проверки проводились в произвольном порядке, что создавало риски для качества финансовой отчётности.
Основные положения SAS 70
Стандарт SAS 70 определял, что сервисная организация (например, процессинговый центр, дата-центр, бухгалтерская компания) может по своему желанию или по требованию клиентов заказать аудит своих систем контроля. Аудитор, руководствуясь SAS 70, проводил проверку и выдавал один из двух типов отчёта — Тип 1 или Тип 2.
Тип 1 (Type I) — описание и оценка на определённую дату
Отчёт Типа 1 содержал:
- Описание системы контроля сервисной организации на конкретную дату.
- Заявление аудитора о том, что описание системы контроля является адекватным и соответствует фактическому положению дел.
- Заключение о том, что средства контроля были разработаны должным образом и с высокой вероятностью обеспечивали достижение заявленных целей контроля.
Отчёт Типа 1 не содержал информации о том, как средства контроля работали в течение длительного периода. Он был «моментальным снимком» системы контроля на одну дату.
Тип 2 (Type II) — описание и оценка за период
Отчёт Типа 2 был более полным и содержал:
- Описание системы контроля сервисной организации за определённый период (обычно не менее 6 месяцев).
- Заключение аудитора о том, что описание системы контроля является адекватным.
- Заключение о том, что средства контроля были разработаны должным образом.
- Результаты тестирования операционной эффективности средств контроля в течение всего отчётного периода. Аудитор проверял, насколько последовательно и эффективно применялись контрольные процедуры.
Отчёт Типа 2 ценился выше, так как давал клиентам и их аудиторам уверенность в том, что контроль работает не только на бумаге, но и на практике в течение длительного времени.
Процедура аудита
Аудит по SAS 70 включал следующие этапы:
- Планирование: аудитор знакомился с деятельностью сервисной организации, её системами и целями контроля.
- Оценка рисков: определялись области, наиболее подверженные ошибкам и мошенничеству.
- Тестирование средств контроля: для отчёта Типа 2 проводилось тестирование операционной эффективности (например, проверка журналов доступа, процедур резервного копирования, сверок данных).
- Формирование отчёта: аудитор составлял письменное заключение, которое включало описание системы, результаты тестирования и мнение аудитора.
Применение и значение
SAS 70 стал де-факто стандартом для сервисных организаций по всему миру, особенно в сфере ИТ-аутсорсинга, хостинга, облачных вычислений и финансовых услуг. Наличие отчёта SAS 70 (особенно Типа 2) было обязательным требованием для многих крупных корпораций и банков при выборе поставщика услуг. Отчёт позволял клиентам:
- Снизить объём собственных аудиторских проверок сервисной организации.
- Получить независимое подтверждение качества внутреннего контроля.
- Выполнить требования законодательства, в частности, раздела 404 Закона Сарбейнса — Оксли (SOX), который требовал от публичных компаний оценки эффективности внутреннего контроля над финансовой отчётностью.
Сервисные организации, получившие отчёт SAS 70, использовали его как маркетинговый инструмент, демонстрирующий высокий уровень зрелости процессов и безопасности.
Критика и ограничения
Несмотря на широкое распространение, SAS 70 имел ряд недостатков:
- Ориентация на финансовую отчётность: стандарт был разработан исключительно в контексте аудита финансовой отчётности. Он не охватывал такие аспекты, как безопасность данных, конфиденциальность, целостность и доступность (за исключением случаев, когда они напрямую влияли на финансовую отчётность).
- Отсутствие единого стандарта для разных отраслей: SAS 70 применялся универсально, но не учитывал специфику, например, медицинских учреждений (требования HIPAA) или платёжных систем (требования PCI DSS).
- Путаница в интерпретации: многие клиенты ошибочно полагали, что отчёт SAS 70 является сертификатом или гарантией безопасности, хотя на самом деле он лишь описывал систему контроля и её эффективность на момент проверки.
Замена и современное состояние
В 2011 году AICPA заменил SAS 70 на новый стандарт — SSAE 16 (Statement on Standards for Attestation Engagements No. 16). SSAE 16 был приведён в соответствие с международным стандартом ISAE 3402 (International Standard on Assurance Engagements 3402), разработанным Международной федерацией бухгалтеров (IFAC). Основные изменения:
- Усиление требований к описанию системы контроля.
- Введение понятия «субсервисные организации» (поставщики услуг, нанятые сервисной организацией).
- Более чёткое разделение ответственности между сервисной организацией и её клиентами.
В 2017 году SSAE 16 был заменён на SSAE 18 (Statement on Standards for Attestation Engagements No. 18), который действует в настоящее время. Отчёты, подготовленные по новым стандартам, называются SOC 1 (Service Organization Control 1) и являются прямым преемником отчётов SAS 70. Кроме того, появились отчёты SOC 2 и SOC 3, которые охватывают более широкий круг вопросов, включая безопасность, доступность, целостность обработки, конфиденциальность и приватность.
Таким образом, SAS 70 сыграл ключевую роль в развитии аудита сервисных организаций, но к настоящему времени полностью устарел и не применяется. Современные сервисные организации проходят аудит по стандартам SSAE 18 (SOC 1) или ISAE 3402, а также по специализированным стандартам SOC 2 и SOC 3.
Источники
- American Institute of Certified Public Accountants (AICPA). Statement on Auditing Standards No. 70: Reports on the Processing of Transactions by Service Organizations. 1992.
- AICPA. SSAE No. 16: Reporting on Controls at a Service Organization. 2010.
- AICPA. SSAE No. 18: Attestation Standards: Clarification and Recodification. 2016.
- International Federation of Accountants (IFAC). ISAE 3402: Assurance Reports on Controls at a Service Organization. 2011.
- Закон Сарбейнса — Оксли 2002 года (Sarbanes-Oxley Act of 2002), раздел 404.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →