www.pwc.com/br
Como escolher o relatório
de controles adequado para
prestadores de serviços
Resumo
Com a substituição da norma
de Auditoria 70 (SAS 70),
este é o momento de avaliar
as necessidades da sua
empresa e as necessidades
dos clientes com o objetivo de
estabelecer qual o formato
de relatório que melhor se
adapta à sua organização.
Existe uma série de opções
de relatórios de asseguração
dentre as quais sua empresa
poderá escolher.
Considerando as mudanças
ocorridas nas necessidades
das organizações prestadoras
de serviço e de seus clientes
para a obtenção de conforto
em relação aos seus controles,
apresentamos opções
de relatórios que visam
minimizar as preocupações
surgidas com a terceirização
e que envolvem temas como
privacidade, segurança e
disponibilidade.
A adoção de uma única abordagem
baseada na emissão de um relatório
SAS 70 não atende mais às necessidades
atuais dos prestadores de serviço e de
seus clientes
Introdução
Hoje em dia é raro encontrar uma empresa que não contrate prestadores de serviços para executar uma parte
de suas operações. A terceirização, seja com o objetivo de reduzir custos ou por uma série de outros fatores, há
muito se tornou prática comum no mundo dos negócios. Em meio à dependência cada vez maior de sistemas e do
crescimento das tecnologias emergentes, como computação em nuvem e redes sociais, a atenção também se volta
para temas como disponibilidade, segurança e privacidade. À medida que as empresas estão se tornando cada
vez mais interconectadas, cresce a necessidade de haver confiabilidade e transparência.
A substituição da
norma SAS 70
Conforto quanto aos controles internos
dos prestadores de serviços
Muitos no mundo dos negócios já ouviram
falar de relatórios elaborados de acordo
com a norma americana SAS 70. Durante
muitos anos, esse tipo de relatório foi
considerado a regra predominante e a
marca registrada dos controles internos
sobre a elaboração de relatórios financeiros
nas empresas prestadoras de serviços.
Embora destinados à comunicação entre
auditores e com foco nos controles internos
relacionados com a elaboração de relatórios
de demonstrações financeiras, com o passar
do tempo, houve uma distorção no papel
e no escopo dos relatórios elaborados de
acordo com a norma SAS 70, considerando
a realidade do mercado. Tornou-se
frequente o fato de prestadores de serviços
divulgarem que tinham “certificação SAS
70” ou que haviam passado no “exame da
norma SAS 70” quando, na realidade, essas
afirmações não eram corretas. Na verdade,
a sigla SAS 70 não designa uma certificação
nem um exame.
Atualmente, a terceirização é utilizada em áreas importantes da empresa
relacionadas com as operações e estratégia, não apenas em atividades
administrativas de rotina. A terceirização se tornou bastante popular
para processos complexos, demorados, personalizados e que requeiram
conhecimento especializado de sistemas e de regulamentação. Por
exemplo, as empresas que utilizam tecnologia de última geração para
manter a competitividade talvez considerem a contratação de um
fornecedor de serviços nessa área, para se manter na vanguarda em
termos de inovação. Mesmo empresas start-ups adotam a terceirização
visando se concentrar no que fazem melhor, enquanto contratam outros
para cuidar de processos de TI ou de processos de Back Office de suas
operações.
Também ficou comum entre as empresas
acreditar que receber de seu prestador de
serviços um relatório elaborado de acordo
com a norma SAS 70 bastaria para eliminar
suas preocupações com controles de forma
geral (como controles relacionados à
privacidade e disponibilidade) e fornecer
transparência para outros processos
de negócio, além dos considerados nas
demonstrações financeiras. Na realidade,
os relatórios elaborados de acordo com
a norma SAS 70 cobriam apenas áreas
específicas do processamento de transações
das demonstrações financeiras, não se
destinando a cobrir outras transações.
Desde junho de 2011, a norma SAS 70 não é
mais adotada. Sua substituição fornece aos
prestadores de serviços e aos seus clientes
a oportunidade de avaliar qual é a melhor
opção de relatório para demonstração
de controles também sobre questões não
relacionadas às demonstrações financeiras.
As empresas estão recebendo muitas cobranças de seus parceiros
comerciais e reguladores para apresentar maior transparência em suas
operações. Além de se manter à frente com respeito ao atendimento dos
dispositivos da Lei Sarbanes Oxley (SOx), os prestadores de serviços
e seus clientes devem atender a outras exigências regulatórias e de
conformidade na divulgação de informações.
As organizações também buscam conforto com relação às atividades de
parceiros de negócios que não se enquadrem nos acordos tradicionais de
prestadores de serviços. No que se refere ao mercado de investimentos,
a necessidade de maior confiabilidade por parte do investidor e de mais
transparência aumentou bastante desde o início da crise financeira
mundial em 2008. Maior supervisão regulatória e também está
ocorrendo em áreas que incluem fornecimento de matéria-prima, saúde
e segurança no trabalho, remuneração de executivos e proteção de
dados levando as empresas a se tornarem mais transparentes no seu
relacionamento com órgãos reguladores e outras partes interessadas.
Além disso, tem aumentado a cobrança por parte dos parceiros de
negócios para que haja maior divulgação e transparência em temas
como responsabilidade social, sustentabilidade, privacidade e operações
comerciais.
Com o aumento da popularidade da tecnologia de
computação em nuvem e das redes sociais, as empresas
devem enfrentar uma série de questões relacionadas com
privacidade e segurança, que vão além da apresentação de
informações de demonstrações financeiras.
Uma coisa é conseguir identificar eventuais falhas em
controles internos sobre informações de caráter financeiro e
operacional tratadas por um ou dois fornecedores,
mas e se a sua empresa costuma contratar diversos restadores
de serviços que adotam tecnologias tradicionais e
também emergentes?
Simplificando, as empresas e seus stakeholders podem se
perguntar: Como posso eliminar a lacuna que existe entre
o relatório de controles sobre demonstrações financeiras
(o tradicional relatório elaborado com base na norma SAS
70 – doravante substituída pelas normas SSAE 16 e ISAE
3402) e a necessidade de cobrir uma gama maior de riscos
empresariais, comerciais e regulatórios?
Relatórios de controles aplicáveis a prestadores de serviços
(Service Organization Controls – SOC)
Para os prestadores de serviços e seus clientes, o mercado
está repleto de siglas relacionadas com relatórios de
controles. Apesar da aparente complexidade, não é dificil
entender as opções de relatórios existentes relacionados
a trabalhos de asseguração que cobrem uma série de
tópicos e usos, inclusive fornecendo confiabilidade e
transparência fora do contexto tradicional dos prestadores
de serviços, podendo ser distribuídos sem restrição.
Visando à simplificação das opções de relatórios de
controles de prestadores de serviços e o fornecimento
de meios para prestadores de serviços e seus clientes
customizarem um relatório de acordo com suas
necessidades, o American Institute of Certified Public
Accountants (AICPA) desenvolveu relatórios de controles
denominados SOC1, SOC2 e SOC3.
O relatório SOC1, também conhecido como SSAE 16, que
substituiu o relatório SAS 70, aborda especificamente os
controles internos do prestador de serviços relevantes
para as demonstrações financeiras dos seus clientes e
visa estabelecer basicamente uma comunicação entre
os auditores das empresas prestadoras de serviços e das
suas empresas clientes. Apesar do surgimento de novos
riscos e necessidades, o relatório SOC1 é essencialmente o
relatório SSAE 16.
Para atender a essa mesma necessidade coberta pelos
relatórios SOC1 ou SSAE 16, o International Federation
of Accountants (IFAC), desenvolveu seu relatório
denominado International Standard Assurance Engagement
No. 3402 (ISAE 3402) fornecendo mais uma opção para
ser utilizada por localidades que não apresentem uma
norma própria para atendimento a essa finalidade.
Por outro lado, o relatório SOC2 fornece opções
que abordam outros controles, além dos relevantes
para elaboração das demostrações financeiras. Ele
cobre aspectos de TI de interesse primordial para os
prestadoras de serviços e seus clientes, como privacidade,
disponibilidade, confidencialidade, integridade no
processamento e segurança.
Os relatórios elaborados com base no SOC2 também
possibilitam apresentar uma descrição detalhada dos
testes realizados pelo auditor do prestador de serviços
(semelhantemente ao relatório SOC1).
Finalmente, o relatório SOC3 apresenta informações sobre
aspectos de segurança, privacidade, disponibilidade,
confidencialidade e integridade no processamento, de acordo
com os Trust Services Principles and Criteria estabelecidos
pelo AICPA e pelo Canidian Institute of Chartered Accountants
(CICA). Os relatórios SOC3 podem estar associados a marcas
registradas desses institutos denominadas SysTrust®
e WebTrust® e postados em um site na internet.
O relatório SOC3 pode ter uma distribuição mais ampla do
que o SOC2; contudo, ele não deve incluir uma descrição
detalhada dos testes realizados pelo auditor do prestador
de serviços nem de seus resultados.
É importante observar que as designações SOC1, SOC2 e
SOC3 não criaram nada de novo. Elas tratam efetivamente
de relatórios elaborados segundo normas do AICPA com
escopo e utilização definidos. Essas designações ajudam
o prestador de serviços e seus clientes identificarem qual
o escopo e o objetivo de um determinado relatório, ou
seja, elas ajudam a eliminar a ideia de que a norma SAS
70 (substituída pelas Normas SSAE 16 e ISAE 3402) era
uma solução que se aplicava às diferentes necessidades de
controles enfrentadas pelas empresas.
É importante observar que as designações
SOC1, SOC2 e SOC3 não criaram nada de
novo. Elas tratam efetivamente de relatórios
elaborados segundo normas do AICPA com
escopo e utilização definidos.
Como saber qual é o relatório mais adequado para o meu negócio?
Ao decidir sobre o tipo de relatório que melhor atenderá
às necessidades do negócio e que representará maior valor
agregado em termos de divulgação de informações perante
clientes e outros stakeholders, o primeiro passo é avaliar se
existe alguma preocupação específica sobre o escopo do
seu relatório de controles atual, por exemplo, os relatórios
SSAE 16 ou ISAE 3402. Essa avaliação deve ser feita tanto
pelas empresas prestadoras de serviços quanto pelas suas
empresas clientes.
Por exemplo, existem funções críticas desempenhadas pelas
empresas prestadoras de serviços que são consideradas
importantes para seus clientes e que não estejam incluídas
no relatório tradicional elaborado de acordo com as
normas SAS 70, SSAE 16 ou ISAE 3402? Ou o relatório
atual elaborado de acordo com essas normas foi ampliado
com o tempo, passando a incluir tópicos que vão além dos
controles relevantes para as demonstrações financeiras?
Além disso, as empresas prestadoras de serviços e seus
clientes precisam ter consciência de suas respectivas
necessidades. Por exemplo, se o objetivo da empresa se
limita aos controles sobre a elaboração das demonstrações
financeiras, um relatório com base no SOC1 (SSAE 16)
pode ser suficiente. Caso o usuário do relatório esteja
preocupado com privacidade, segurança, confidencialidade,
disponibilidade ou conformidade regulatória,
provavelmente, outro tipo de relatório será mais adequado.
A empresa prestadora de serviços também deve considerar
seu público-alvo. A distribuição se limitará aos clientes
atuais ou se destinará a uma audiência mais ampla?
A possibilidade de escolher o tipo de relatório mais adequado
é oferecida como forma de ajudar as empresas a tratar
de riscos que vão além da elaboração de demonstrações
financeiras.
Se você está se perguntando se sua empresa precisa
oferecer mais confiabilidade, transparência e informações
aos stakeholders, incluindo órgãos reguladores, acionistas,
fornecedores, clientes ou para o público em geral, entre em
contato com um profissional da PwC para que possamos
ajudá-lo a identificar e emitir o relatório de asseguração
mais adequado às suas necessidades.
Contatos
Marco Antônio
Luiz Ponzoni
Tel.: [55] (11) 3674 3417
(21) 3232 6112
[email protected]
Tel.: [55] (71) 3319 1900
(81) 3465 8688
[email protected]
Francisco Macedo
Jerri Ribeiro
Sócio
Sócio
Tel.: [55] (31) 3269 1551
[email protected]
Tel.: [55] (51) 3378 1700
(41) 3883 1620
[email protected]
Edmilson Monutti
Renata Romariz
Sócio
Sócio
Tel.: [55] (19) 3794 5401
(16) 2133 6600
[email protected]
Sócio
Diretora
Tel.: [55] (11) 3674 3362
[email protected]
Fernando Bravo
Diretor
Tel.: [55] (61) 2196 1817
[email protected]
© 2011 PricewaterhouseCoopers Auditores Independentes. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Auditores Independentes, a qual é uma
firma membro do network da PricewaterhouseCoopers International Limited, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente.
O termo “PwC” refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas
membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra
firma membro. A PwCIL não presta serviços a clientes. A PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento
profissional das referidas firmas ou pode obrigá-las de qualquer forma. Nenhuma firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento
profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma.