SAS 70 dan SSAE 16 adalah standar audit profesional yang dapat digunakan organisasi untuk menilai pengendalian internal bisnis mereka. Namun, ada beberapa perbedaan utama antara keduanya yang harus diketahui oleh organisasi sebelum memutuskan standar mana yang tepat untuk mereka. Dalam posting blog ini, kami akan menguraikan perbedaan utama antara SAS 70 dan SSAE 16 dan membantu Anda memutuskan standar mana yang paling cocok untuk organisasi Anda.
Apa itu SAS70?
SAS 70 adalah seperangkat standar auditing yang dikembangkan oleh American Institute of Certified Public Accountants (AICPA). Audit SAS 70 dilakukan oleh CPA untuk menilai pengendalian internal organisasi jasa. Laporan audit SAS 70 digunakan oleh organisasi jasa untuk memberikan jaminan kepada pelanggan mereka bahwa pengendalian internal mereka memadai. Audit SAS 70 biasanya dilakukan pada organisasi layanan yang menyediakan layanan alih daya, seperti operator pusat data, penyedia layanan terkelola, dan penyedia komputasi awan.
Apa itu SSAE 16?
SSAE 16 adalah seperangkat standar yang mengatur bagaimana organisasi jasa berperilaku sendiri. SSAE 16 dibuat oleh American Institute of Certified Public Accountants (AICPA) untuk memberikan kejelasan dan konsistensi yang lebih baik dalam pelaporan organisasi jasa. Standar SSAE 16 dibagi menjadi dua bagian utama: Tujuan Pengendalian dan Aktivitas Pengendalian. Bagian Tujuan Pengendalian menguraikan tujuan spesifik yang harus dicapai oleh organisasi jasa agar sesuai dengan SSAE 16. Bagian Aktivitas Pengendalian merinci aktivitas spesifik yang harus dilakukan organisasi jasa untuk mencapai tujuan pengendalian. Kepatuhan SSAE 16 tidak wajib, tetapi banyak organisasi layanan memilih untuk menjalani pemeriksaan SSAE 16 untuk menunjukkan komitmen mereka terhadap keunggulan operasional.
Perbedaan antara SAS 70 dan SSAE 16
- SAS 70 dan SSAE 16 adalah dua jenis laporan berbeda yang mengukur pengendalian internal perusahaan. SAS 70 adalah standar pengesahan yang dikembangkan oleh Institut Akuntan Publik Amerika (AICPA), sedangkan SSAE 16 adalah standar audit yang dikembangkan oleh Dewan Standar Audit (ASB) AICPA. Perbedaan utama antara SAS 70 dan SSAE 16 adalah bahwa SAS 70 hanya mencakup pelaporan keuangan, sedangkan SSAE 16 juga mencakup informasi operasional dan kepatuhan. Laporan SAS 70 biasanya digunakan oleh organisasi layanan, sedangkan laporan SSAE 16 dapat digunakan oleh semua jenis organisasi.
- SAS 70 diperkenalkan pada tahun 1992 dan awalnya dikenal sebagai Pernyataan Standar Audit No. 70 (SAS 70). Tujuan SAS 70 adalah untuk memberikan panduan tentang cara menilai kecukupan pengendalian internal organisasi. Laporan SAS 70 disiapkan oleh auditor independen yang mengevaluasi pengendalian perusahaan atas pelaporan keuangan. Laporan SAS 70 umumnya digunakan oleh organisasi layanan, seperti yang menyediakan outsourcing, layanan terkelola, atau layanan komputasi awan. Keuntungan utama dari laporan SAS 70 adalah membantu organisasi jasa meyakinkan pelanggan mereka bahwa pengendalian internal mereka memadai.
- SSAE 16 diperkenalkan pada tahun 2004 dan menggantikan SAS 70 sebagai standar pengesahan untuk mengukur pengendalian internal. SSAE 16 dikembangkan bersama oleh ASB dan International Auditing and Assurance Standards Board (IAASB). Tidak seperti SAS 70, yang hanya mencakup pelaporan keuangan, SSAE 16 juga mencakup informasi operasional dan kepatuhan. Ini membuat laporan SSAE 16 lebih komprehensif daripada laporan SAS 70. Namun, tidak semua organisasi membutuhkan laporan komprehensif seperti itu. Misalnya, usaha kecil atau organisasi dengan operasi sederhana mungkin menganggap SAS 70 cukup untuk kebutuhan mereka. Secara umum, laporan SAS 70 lebih umum digunakan daripada laporan SSAE 16 karena lebih murah untuk disiapkan dan dapat disesuaikan untuk memenuhi kebutuhan khusus.
Kesimpulan
Perbedaan utama antara SAS 70 dan SSAE 16 adalah bahwa yang terakhir merupakan standar yang diperbarui. SSAE 16 diperkenalkan pada tahun 2010 sebagai revisi dari SAS 70, yang diterbitkan pada tahun 1992. Tujuan SSAE 16 adalah untuk memberikan kejelasan lebih lanjut seputar pelaporan kontrol organisasi layanan (SOC). Sebagai hasil dari standar yang diperbarui, organisasi kini memiliki dua opsi untuk pelaporan SOC: kepatuhan terhadap SAS 70 atau SSAE 16. Jadi apa artinya ini bagi bisnis? Jika saat ini Anda menggunakan laporan SAS 70, penting untuk menilai apakah auditor Anda akan menerima laporan ini atau tidak. Dalam banyak kasus, auditor hanya akan menerima laporan SSAE 16. Jika Anda memutuskan untuk beralih ke pelaporan SSAE 16, pastikan Anda bekerja dengan profesional berpengalaman yang dapat membantu Anda melalui proses transisi.