www.pwc.com/br Como escolher o relatório de controles adequado para prestadores de serviços Resumo Com a substituição da norma de Auditoria 70 (SAS 70), este é o momento de avaliar as necessidades da sua empresa e as necessidades dos clientes com o objetivo de estabelecer qual o formato de relatório que melhor se adapta à sua organização. Existe uma série de opções de relatórios de asseguração dentre as quais sua empresa poderá escolher. Considerando as mudanças ocorridas nas necessidades das organizações prestadoras de serviço e de seus clientes para a obtenção de conforto em relação aos seus controles, apresentamos opções de relatórios que visam minimizar as preocupações surgidas com a terceirização e que envolvem temas como privacidade, segurança e disponibilidade. A adoção de uma única abordagem baseada na emissão de um relatório SAS 70 não atende mais às necessidades atuais dos prestadores de serviço e de seus clientes Introdução Hoje em dia é raro encontrar uma empresa que não contrate prestadores de serviços para executar uma parte de suas operações. A terceirização, seja com o objetivo de reduzir custos ou por uma série de outros fatores, há muito se tornou prática comum no mundo dos negócios. Em meio à dependência cada vez maior de sistemas e do crescimento das tecnologias emergentes, como computação em nuvem e redes sociais, a atenção também se volta para temas como disponibilidade, segurança e privacidade. À medida que as empresas estão se tornando cada vez mais interconectadas, cresce a necessidade de haver confiabilidade e transparência. A substituição da norma SAS 70 Conforto quanto aos controles internos dos prestadores de serviços Muitos no mundo dos negócios já ouviram falar de relatórios elaborados de acordo com a norma americana SAS 70. Durante muitos anos, esse tipo de relatório foi considerado a regra predominante e a marca registrada dos controles internos sobre a elaboração de relatórios financeiros nas empresas prestadoras de serviços. Embora destinados à comunicação entre auditores e com foco nos controles internos relacionados com a elaboração de relatórios de demonstrações financeiras, com o passar do tempo, houve uma distorção no papel e no escopo dos relatórios elaborados de acordo com a norma SAS 70, considerando a realidade do mercado. Tornou-se frequente o fato de prestadores de serviços divulgarem que tinham “certificação SAS 70” ou que haviam passado no “exame da norma SAS 70” quando, na realidade, essas afirmações não eram corretas. Na verdade, a sigla SAS 70 não designa uma certificação nem um exame. Atualmente, a terceirização é utilizada em áreas importantes da empresa relacionadas com as operações e estratégia, não apenas em atividades administrativas de rotina. A terceirização se tornou bastante popular para processos complexos, demorados, personalizados e que requeiram conhecimento especializado de sistemas e de regulamentação. Por exemplo, as empresas que utilizam tecnologia de última geração para manter a competitividade talvez considerem a contratação de um fornecedor de serviços nessa área, para se manter na vanguarda em termos de inovação. Mesmo empresas start-ups adotam a terceirização visando se concentrar no que fazem melhor, enquanto contratam outros para cuidar de processos de TI ou de processos de Back Office de suas operações. Também ficou comum entre as empresas acreditar que receber de seu prestador de serviços um relatório elaborado de acordo com a norma SAS 70 bastaria para eliminar suas preocupações com controles de forma geral (como controles relacionados à privacidade e disponibilidade) e fornecer transparência para outros processos de negócio, além dos considerados nas demonstrações financeiras. Na realidade, os relatórios elaborados de acordo com a norma SAS 70 cobriam apenas áreas específicas do processamento de transações das demonstrações financeiras, não se destinando a cobrir outras transações. Desde junho de 2011, a norma SAS 70 não é mais adotada. Sua substituição fornece aos prestadores de serviços e aos seus clientes a oportunidade de avaliar qual é a melhor opção de relatório para demonstração de controles também sobre questões não relacionadas às demonstrações financeiras. As empresas estão recebendo muitas cobranças de seus parceiros comerciais e reguladores para apresentar maior transparência em suas operações. Além de se manter à frente com respeito ao atendimento dos dispositivos da Lei Sarbanes Oxley (SOx), os prestadores de serviços e seus clientes devem atender a outras exigências regulatórias e de conformidade na divulgação de informações. As organizações também buscam conforto com relação às atividades de parceiros de negócios que não se enquadrem nos acordos tradicionais de prestadores de serviços. No que se refere ao mercado de investimentos, a necessidade de maior confiabilidade por parte do investidor e de mais transparência aumentou bastante desde o início da crise financeira mundial em 2008. Maior supervisão regulatória e também está ocorrendo em áreas que incluem fornecimento de matéria-prima, saúde e segurança no trabalho, remuneração de executivos e proteção de dados levando as empresas a se tornarem mais transparentes no seu relacionamento com órgãos reguladores e outras partes interessadas. Além disso, tem aumentado a cobrança por parte dos parceiros de negócios para que haja maior divulgação e transparência em temas como responsabilidade social, sustentabilidade, privacidade e operações comerciais. Com o aumento da popularidade da tecnologia de computação em nuvem e das redes sociais, as empresas devem enfrentar uma série de questões relacionadas com privacidade e segurança, que vão além da apresentação de informações de demonstrações financeiras. Uma coisa é conseguir identificar eventuais falhas em controles internos sobre informações de caráter financeiro e operacional tratadas por um ou dois fornecedores, mas e se a sua empresa costuma contratar diversos restadores de serviços que adotam tecnologias tradicionais e também emergentes? Simplificando, as empresas e seus stakeholders podem se perguntar: Como posso eliminar a lacuna que existe entre o relatório de controles sobre demonstrações financeiras (o tradicional relatório elaborado com base na norma SAS 70 – doravante substituída pelas normas SSAE 16 e ISAE 3402) e a necessidade de cobrir uma gama maior de riscos empresariais, comerciais e regulatórios? Relatórios de controles aplicáveis a prestadores de serviços (Service Organization Controls – SOC) Para os prestadores de serviços e seus clientes, o mercado está repleto de siglas relacionadas com relatórios de controles. Apesar da aparente complexidade, não é dificil entender as opções de relatórios existentes relacionados a trabalhos de asseguração que cobrem uma série de tópicos e usos, inclusive fornecendo confiabilidade e transparência fora do contexto tradicional dos prestadores de serviços, podendo ser distribuídos sem restrição. Visando à simplificação das opções de relatórios de controles de prestadores de serviços e o fornecimento de meios para prestadores de serviços e seus clientes customizarem um relatório de acordo com suas necessidades, o American Institute of Certified Public Accountants (AICPA) desenvolveu relatórios de controles denominados SOC1, SOC2 e SOC3. O relatório SOC1, também conhecido como SSAE 16, que substituiu o relatório SAS 70, aborda especificamente os controles internos do prestador de serviços relevantes para as demonstrações financeiras dos seus clientes e visa estabelecer basicamente uma comunicação entre os auditores das empresas prestadoras de serviços e das suas empresas clientes. Apesar do surgimento de novos riscos e necessidades, o relatório SOC1 é essencialmente o relatório SSAE 16. Para atender a essa mesma necessidade coberta pelos relatórios SOC1 ou SSAE 16, o International Federation of Accountants (IFAC), desenvolveu seu relatório denominado International Standard Assurance Engagement No. 3402 (ISAE 3402) fornecendo mais uma opção para ser utilizada por localidades que não apresentem uma norma própria para atendimento a essa finalidade. Por outro lado, o relatório SOC2 fornece opções que abordam outros controles, além dos relevantes para elaboração das demostrações financeiras. Ele cobre aspectos de TI de interesse primordial para os prestadoras de serviços e seus clientes, como privacidade, disponibilidade, confidencialidade, integridade no processamento e segurança. Os relatórios elaborados com base no SOC2 também possibilitam apresentar uma descrição detalhada dos testes realizados pelo auditor do prestador de serviços (semelhantemente ao relatório SOC1). Finalmente, o relatório SOC3 apresenta informações sobre aspectos de segurança, privacidade, disponibilidade, confidencialidade e integridade no processamento, de acordo com os Trust Services Principles and Criteria estabelecidos pelo AICPA e pelo Canidian Institute of Chartered Accountants (CICA). Os relatórios SOC3 podem estar associados a marcas registradas desses institutos denominadas SysTrust® e WebTrust® e postados em um site na internet. O relatório SOC3 pode ter uma distribuição mais ampla do que o SOC2; contudo, ele não deve incluir uma descrição detalhada dos testes realizados pelo auditor do prestador de serviços nem de seus resultados. É importante observar que as designações SOC1, SOC2 e SOC3 não criaram nada de novo. Elas tratam efetivamente de relatórios elaborados segundo normas do AICPA com escopo e utilização definidos. Essas designações ajudam o prestador de serviços e seus clientes identificarem qual o escopo e o objetivo de um determinado relatório, ou seja, elas ajudam a eliminar a ideia de que a norma SAS 70 (substituída pelas Normas SSAE 16 e ISAE 3402) era uma solução que se aplicava às diferentes necessidades de controles enfrentadas pelas empresas. É importante observar que as designações SOC1, SOC2 e SOC3 não criaram nada de novo. Elas tratam efetivamente de relatórios elaborados segundo normas do AICPA com escopo e utilização definidos. Como saber qual é o relatório mais adequado para o meu negócio? Ao decidir sobre o tipo de relatório que melhor atenderá às necessidades do negócio e que representará maior valor agregado em termos de divulgação de informações perante clientes e outros stakeholders, o primeiro passo é avaliar se existe alguma preocupação específica sobre o escopo do seu relatório de controles atual, por exemplo, os relatórios SSAE 16 ou ISAE 3402. Essa avaliação deve ser feita tanto pelas empresas prestadoras de serviços quanto pelas suas empresas clientes. Por exemplo, existem funções críticas desempenhadas pelas empresas prestadoras de serviços que são consideradas importantes para seus clientes e que não estejam incluídas no relatório tradicional elaborado de acordo com as normas SAS 70, SSAE 16 ou ISAE 3402? Ou o relatório atual elaborado de acordo com essas normas foi ampliado com o tempo, passando a incluir tópicos que vão além dos controles relevantes para as demonstrações financeiras? Além disso, as empresas prestadoras de serviços e seus clientes precisam ter consciência de suas respectivas necessidades. Por exemplo, se o objetivo da empresa se limita aos controles sobre a elaboração das demonstrações financeiras, um relatório com base no SOC1 (SSAE 16) pode ser suficiente. Caso o usuário do relatório esteja preocupado com privacidade, segurança, confidencialidade, disponibilidade ou conformidade regulatória, provavelmente, outro tipo de relatório será mais adequado. A empresa prestadora de serviços também deve considerar seu público-alvo. A distribuição se limitará aos clientes atuais ou se destinará a uma audiência mais ampla? A possibilidade de escolher o tipo de relatório mais adequado é oferecida como forma de ajudar as empresas a tratar de riscos que vão além da elaboração de demonstrações financeiras. Se você está se perguntando se sua empresa precisa oferecer mais confiabilidade, transparência e informações aos stakeholders, incluindo órgãos reguladores, acionistas, fornecedores, clientes ou para o público em geral, entre em contato com um profissional da PwC para que possamos ajudá-lo a identificar e emitir o relatório de asseguração mais adequado às suas necessidades. Contatos Marco Antônio Luiz Ponzoni Tel.: [55] (11) 3674 3417 (21) 3232 6112 [email protected] Tel.: [55] (71) 3319 1900 (81) 3465 8688 [email protected] Francisco Macedo Jerri Ribeiro Sócio Sócio Tel.: [55] (31) 3269 1551 [email protected] Tel.: [55] (51) 3378 1700 (41) 3883 1620 [email protected] Edmilson Monutti Renata Romariz Sócio Sócio Tel.: [55] (19) 3794 5401 (16) 2133 6600 [email protected] Sócio Diretora Tel.: [55] (11) 3674 3362 [email protected] Fernando Bravo Diretor Tel.: [55] (61) 2196 1817 [email protected] © 2011 PricewaterhouseCoopers Auditores Independentes. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Auditores Independentes, a qual é uma firma membro do network da PricewaterhouseCoopers International Limited, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente. O termo “PwC” refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL não presta serviços a clientes. A PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrigá-las de qualquer forma. Nenhuma firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma.