Открыть сервис

SAS 70

SAS 70 (Statement on Auditing Standards No. 70, «Положение о стандартах аудита № 70») — это стандарт аудиторской деятельности, разработанный Американским институтом дипломированных общественных бухгалтеров (AICPA). Стандарт устанавливал процедуры и требования для аудита и отчётности по контролю в сервисных организациях, предоставляющих услуги, влияющие на финансовую отчётность их клиентов. SAS 70 был официально опубликован в 1992 году и оставался основным стандартом для аудита сервисных организаций до 2011 года, когда был заменён на более современные стандарты SSAE 16 (США) и ISAE 3402 (международный).

История и предпосылки создания

В конце 1980-х — начале 1990-х годов в США наблюдался стремительный рост аутсорсинга бизнес-процессов, особенно в сфере информационных технологий и обработки финансовых данных. Компании всё чаще передавали ведение бухгалтерского учёта, расчёт заработной платы, хранение данных и другие критически важные функции сторонним организациям. Аудиторы, проверявшие финансовую отчётность клиентов, сталкивались с проблемой: они не могли напрямую оценить внутренний контроль в сервисной организации, так как не имели к ней доступа. Для решения этой проблемы AICPA разработал SAS 70, который вступил в силу для аудиторских проверок, начинающихся после 1 января 1993 года.

Стандарт был призван унифицировать подходы к аудиту сервисных организаций и предоставить клиентам и их аудиторам надёжную информацию о состоянии внутреннего контроля у поставщика услуг. До появления SAS 70 такие проверки проводились в произвольном порядке, что создавало риски для качества финансовой отчётности.

Основные положения SAS 70

Стандарт SAS 70 определял, что сервисная организация (например, процессинговый центр, дата-центр, бухгалтерская компания) может по своему желанию или по требованию клиентов заказать аудит своих систем контроля. Аудитор, руководствуясь SAS 70, проводил проверку и выдавал один из двух типов отчёта — Тип 1 или Тип 2.

Тип 1 (Type I) — описание и оценка на определённую дату

Отчёт Типа 1 содержал:

  • Описание системы контроля сервисной организации на конкретную дату.
  • Заявление аудитора о том, что описание системы контроля является адекватным и соответствует фактическому положению дел.
  • Заключение о том, что средства контроля были разработаны должным образом и с высокой вероятностью обеспечивали достижение заявленных целей контроля.

Отчёт Типа 1 не содержал информации о том, как средства контроля работали в течение длительного периода. Он был «моментальным снимком» системы контроля на одну дату.

Тип 2 (Type II) — описание и оценка за период

Отчёт Типа 2 был более полным и содержал:

  • Описание системы контроля сервисной организации за определённый период (обычно не менее 6 месяцев).
  • Заключение аудитора о том, что описание системы контроля является адекватным.
  • Заключение о том, что средства контроля были разработаны должным образом.
  • Результаты тестирования операционной эффективности средств контроля в течение всего отчётного периода. Аудитор проверял, насколько последовательно и эффективно применялись контрольные процедуры.

Отчёт Типа 2 ценился выше, так как давал клиентам и их аудиторам уверенность в том, что контроль работает не только на бумаге, но и на практике в течение длительного времени.

Процедура аудита

Аудит по SAS 70 включал следующие этапы:

  1. Планирование: аудитор знакомился с деятельностью сервисной организации, её системами и целями контроля.
  2. Оценка рисков: определялись области, наиболее подверженные ошибкам и мошенничеству.
  3. Тестирование средств контроля: для отчёта Типа 2 проводилось тестирование операционной эффективности (например, проверка журналов доступа, процедур резервного копирования, сверок данных).
  4. Формирование отчёта: аудитор составлял письменное заключение, которое включало описание системы, результаты тестирования и мнение аудитора.

Применение и значение

SAS 70 стал де-факто стандартом для сервисных организаций по всему миру, особенно в сфере ИТ-аутсорсинга, хостинга, облачных вычислений и финансовых услуг. Наличие отчёта SAS 70 (особенно Типа 2) было обязательным требованием для многих крупных корпораций и банков при выборе поставщика услуг. Отчёт позволял клиентам:

  • Снизить объём собственных аудиторских проверок сервисной организации.
  • Получить независимое подтверждение качества внутреннего контроля.
  • Выполнить требования законодательства, в частности, раздела 404 Закона Сарбейнса — Оксли (SOX), который требовал от публичных компаний оценки эффективности внутреннего контроля над финансовой отчётностью.

Сервисные организации, получившие отчёт SAS 70, использовали его как маркетинговый инструмент, демонстрирующий высокий уровень зрелости процессов и безопасности.

Критика и ограничения

Несмотря на широкое распространение, SAS 70 имел ряд недостатков:

  • Ориентация на финансовую отчётность: стандарт был разработан исключительно в контексте аудита финансовой отчётности. Он не охватывал такие аспекты, как безопасность данных, конфиденциальность, целостность и доступность (за исключением случаев, когда они напрямую влияли на финансовую отчётность).
  • Отсутствие единого стандарта для разных отраслей: SAS 70 применялся универсально, но не учитывал специфику, например, медицинских учреждений (требования HIPAA) или платёжных систем (требования PCI DSS).
  • Путаница в интерпретации: многие клиенты ошибочно полагали, что отчёт SAS 70 является сертификатом или гарантией безопасности, хотя на самом деле он лишь описывал систему контроля и её эффективность на момент проверки.

Замена и современное состояние

В 2011 году AICPA заменил SAS 70 на новый стандарт — SSAE 16 (Statement on Standards for Attestation Engagements No. 16). SSAE 16 был приведён в соответствие с международным стандартом ISAE 3402 (International Standard on Assurance Engagements 3402), разработанным Международной федерацией бухгалтеров (IFAC). Основные изменения:

  • Усиление требований к описанию системы контроля.
  • Введение понятия «субсервисные организации» (поставщики услуг, нанятые сервисной организацией).
  • Более чёткое разделение ответственности между сервисной организацией и её клиентами.

В 2017 году SSAE 16 был заменён на SSAE 18 (Statement on Standards for Attestation Engagements No. 18), который действует в настоящее время. Отчёты, подготовленные по новым стандартам, называются SOC 1 (Service Organization Control 1) и являются прямым преемником отчётов SAS 70. Кроме того, появились отчёты SOC 2 и SOC 3, которые охватывают более широкий круг вопросов, включая безопасность, доступность, целостность обработки, конфиденциальность и приватность.

Таким образом, SAS 70 сыграл ключевую роль в развитии аудита сервисных организаций, но к настоящему времени полностью устарел и не применяется. Современные сервисные организации проходят аудит по стандартам SSAE 18 (SOC 1) или ISAE 3402, а также по специализированным стандартам SOC 2 и SOC 3.

Источники

  • American Institute of Certified Public Accountants (AICPA). Statement on Auditing Standards No. 70: Reports on the Processing of Transactions by Service Organizations. 1992.
  • AICPA. SSAE No. 16: Reporting on Controls at a Service Organization. 2010.
  • AICPA. SSAE No. 18: Attestation Standards: Clarification and Recodification. 2016.
  • International Federation of Accountants (IFAC). ISAE 3402: Assurance Reports on Controls at a Service Organization. 2011.
  • Закон Сарбейнса — Оксли 2002 года (Sarbanes-Oxley Act of 2002), раздел 404.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →