Risk Assurance Services (RAS) - Aseguramiento de terceras partes
El entorno empresarial actual es más complejo y está más conectado que nunca con los avances digitales. Las empresas se enfrentan a riesgos nuevos y desconocidos, pero también a oportunidades nuevas y sin explotar. PwC Risk Assurance está a la vanguardia de este cambio, listo para transformar la forma en que percibe y administra el riesgo.
¿Qué hacemos en Risk Assurance Services?
Nuestra práctica de Risk Assurance Services (RAS) combina la experiencia de múltiples industrias, tecnologías y marcos regulatorios, con conocimientos técnicos y herramientas globales para ofrecer soluciones en la generación de confianza en proveedores de servicios de tecnologías de la información (TI).
La complejidad de las interacciones entre proveedores de servicios de TI y usuarios con diversas necesidades de control y cumplimiento, hace que la confianza sea un factor clave para el desarrollo de relaciones de negocio durables.
Ofrecemos a nuestros clientes una mirada fresca sobre sus procesos, políticas, sistemas y controles; cubriendo áreas como servicios de TI, análisis de información, requerimientos regulatorios, seguridad y privacidad, control interno sobre TI y los terceros sobre los que se apoyan la operación de controles.
Explora más a fondo cómo podemos ayudarte a transformar tu negocio, convirtiendo el riesgo en una oportunidad:
Nuestras soluciones
Los informes sobre organizaciones prestadoras de servicios, se emiten al evaluar un conjunto de controles relacionados con uno o varios servicios prestados por un proveedor de soluciones de TI a su(s) cliente(s).
Estos informes son claves para generar confianza sobre la gestión de los riesgos asociados a los servicios prestados, mediante la evaluación de los controles relacionados.
Nuestros informes de aseguramiento se pueden dar en dos tipos de alcance de reportes:
Tipo I: Informe que opina sobre la efectividad del diseño de los controles, de cara a alcanzar los objetivos de control propuestos.
Tipo II: Informe que adicional a opinar sobre el diseño de los controles, incluye la evaluación de su operación durante un periodo de tiempo, usualmente entre seis meses y un año.
Los informes se prestan bajo dos estándares:
ISAE 3402: El “International Standard on Assurance Engagements 3402” (ISAE 3402), es un estándar emitido por la “International Auditing and Assurance Standards Board” (IAASB), órgano rector de estándares de auditoría internacional, y es publicado por el “International Federation of Accountants” (IFAC), por lo que es de amplio reconocimiento a nivel global por auditores externos y organizaciones usuarias de servicios y es usado para apoyar la opinión sobre el control interno de las organizaciones, en lo que respecta a los controles sobre sus prestadores de servicios de TI relevantes.
SSAE 18: El “Statement on Standards for Attestation Engagements no. 18” (SSAE 18), es el estándar estadounidense emitido por el “ American Institute of Certified Public Accountants” (AICPA), usado usualmente para evaluar el control interno sobre los sistemas de información que participan en el procesamiento de información financiera, este estándar aplica a las organizaciones con base principal en los EEUU o compañías en otros países que son un componente significativo de una entidad basada en los EEUU. La clase de informes adicional al tipo son: SOC1 sobre controles de reporte financiero, SOC2 sobre controles que se direccionan a los atributos de seguridad de la información (Seguridad, Integridad, Confidencialidad, Disponibilidad y/o Privacidad y, SOC3 sobre los mismos atributos de seguridad de la información pero solo la evaluación del diseño, en coordinación con el tipo I.
El cumplimiento con las crecientes regulaciones es clave para proveedores de diferentes industrias como la financiera y los servicios de procesamiento sujetos a regulaciones específicas.
Los informes de cumplimiento son una forma eficiente de garantizar el cumplimiento con regulaciones y/o términos contractuales asociados con aspectos tecnológicos.
Estos informes se emiten bajo el “International Standard on Assurance Engagements 3000” (ISAE 3000) , titulado “Assurance engagements other than auditor or reviews of historical financial information”, lo cual refiere al estándar para evaluar información que no está relacionada con controles asociados al procesamiento de información financiera.
*El ISAE 3000 es un reporte reconocido por autoridades nacionales e internacionales y bajo él se enmarcan evaluaciones de los diferentes aspectos asociados a cumplimiento.
Nuestros trabajos para emitir informes de cumplimiento con proveedores de servicios de TI han demostrado ser una herramienta clave en la confianza de autoridades y entidades usuarias sobre el efectivo cumplimiento de los requisitos regulatorios, reduciendo esfuerzo y riesgos para los prestadores de servicios. Ejemplo: el cumplimiento de circulares emitidas por la Superintendencias en Colombia o los Ministerios
