ISAE 3402 – Selo de conformidade e confiança
*Por Sabrina Lopes – Consultora de Segurança [SAFEWAY]
O ISAE 3402 é um padrão internacional criado em 15 de junho 2011 para substituir a SAS70. Esta norma foi desenvolvida pela AICPA e recomendada por duas grandes organizações internacionais, como o IAASB e IFAC.
No Brasil com base no padrão internacional, foi aprovado pelo Conselho Federal de Contabilidade (CFC) a NBC TO 3402, trata-se de uma norma brasileira de contabilidade para relatórios de asseguração de controles em organização prestadora de serviços, que orienta o auditor independente sobre a emissão de um relatório que assegure a efetividade dos controles adotados.
Dentre as informações requeridas para emissão do relatório, podemos citar:
• Descrição dos controles adotados, baseados em politicas e procedimentos que são desenhados, implementados e devem ser documentados;
• Definição de processo que identifique os riscos que o negócio está exposto e que pode impactar no alcance dos objetivos definidos pela organização;
• Garantia da efetividade dos controles;
Os relatórios prestados pelo ISAE 3402 permitem que as empresas terceirizem e garantam a confiabilidade contínua de seus prestadores de serviços.
Este padrão atesta conformidade de relatórios sobre processos e controles financeiros de organizações prestadoras de serviço, tais como:
- Centros de dados hospedados;
- ASPs (provedores de serviços de aplicativos); e
- Provedores de segurança gerenciada.
Para documentar o ambiente avaliado existem dois modelos de relatório:
- O modelo denominado TIPO I, possui a função de validar a existência de atividades de controles e processos.
- O modelo denominado TIPO II, valida e garante a existência de controles e processos, assegurando por meio de testes, a eficácia e efetividade dos mesmos. O processo de avaliação se estende a verificação dos níveis de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.
Benefícios
Os benefícios da certificação em ISAE 3402 são:
- Identificação e monitoramento de riscos inerentes dos negócios evitando a ocorrência de fraudes;
- Criação de mecanismos capazes de identificar rapidamente atividades ilícitas;
- Evitar auditorias múltiplas de clientes;
- Melhorar a imagem da empresa em comparação aos concorrentes particularmente porque os diagnósticos são realizados através de auditores reconhecidos.
Conclusão
Devido à crise de confiança que perturba o sistema econômico e do aumento da atividade de prestação de serviço, o desenvolvimento de relatórios de asseguração de controles em organizações prestadoras de serviços têm aumentado nos últimos anos. É importante às organizações de serviços fornecerem aos seus clientes uma declaração de confiança na gestão de controles.
O ISAE 3402 vem sendo utilizado como forma de “Selo” fornecido aos seus clientes e reconhecido em todo o mundo como um rótulo de qualidade para uma organização de serviços.
Estar em compliance com a ISAE 3402 torna o prestador de serviço um diferencial em seu ramo de atuação, oferecendo confiança aos clientes e partes interessadas, além de poder ser um facilitador na obtenção de outras certificações, tais como: ISO e/ ou SOX.
Quer receber uma planilha com todos os controles exigidos pela ISAE 3402?
Inscreva-se pelo link em nosso Grupo de Segurança da Informação e Cybersecurity e receba todas as sexta-feiras conteúdos exclusivos, relatórios de ameaças, pesquisas atualizadas sobre assuntos pré-selecionados por nossos consultores de Segurança e parceiros estratégicos. E imediatamente em seu e-mail a planilha de controles do ISAE 3402 para uma primeira avaliação do seu negócio.