Com o alto volume de negócios que ocorrem a todo momento no mundo globalizado, cresce também a demanda por mais transparência nas relações entre empresas fornecedoras e clientes. É nesse escopo que entra o conjunto de normas SSAE18.

Neste artigo, você vai saber do que se trata a SSAE18 e qual a sua importância na geração de vendas corporativas e na conformidade da sua empresa junto ao mercado. Continue a leitura!

Qual a origem da SSAE18?

Para compreender melhor do que trata a SSAE18 e sua evolução em relação à sua versão anterior, a SSAE16, é necessário voltar para o início do milênio.

Em 2001, foi descoberto um dos maiores escândalos corporativos da história dos Estados Unidos, a fraude da Enron. Durante anos, a corporação do segmento de energia falsificou relatórios contábeis para inflar as margens de lucro.

O esquema permaneceu encoberto por conta da atuação da Arthur Andersen, firma centenária de auditoria e uma das mais conceituadas à época. O escritório validou os balancetes anuais, o que garantia aos investidores que a empresa era segura.

Quando o escândalo veio à tona, os prejuízos se estenderam para além dos investidores e funcionários: as empresas com quem a Enron tinha contratos ou que foram auditadas pela Arthur Andersen — incluindo o Governo dos Estados Unidos — também ficaram sob suspeita.

Para blindar os negócios contra futuros prejuízos, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley (SOx), que tem como objetivo proteger os investimentos financeiros e evitar a fuga de investidores por conta de problemas de governança e compliance.

Em decorrência da Lei — e para abranger empresas que não têm capital aberto na bolsa de valores — a American Institute of Certified Public Accountants (AICPA) criou padrões e instrumentos para garantir a transparência e segurança em contratos de terceirização de serviços.

O que é a SSAE18?

Um desses instrumentos é o relatório de Controles de Organização de Serviço (Service Organization Controls, ou SOC), cujo conceito era associado à SSAE16.

No Brasil, empresas como o Dropbox e a Amazon, que têm produtos voltados para clientes corporativos, disponibilizam esse relatório para qualquer empresa que contrate seus serviços.

Relatórios SOC são produzidos por auditores e servem para mostrar aos investidores e fornecedores que a empresa tem controles internos, políticas e procedimentos para assegurar a efetividade dos negócios.

Além disso, se existem riscos em potencial para o negócio e para os objetivos da organização, eles devem ser detalhados. Assim como a brasileira NBC TO 3402, a SSAE16 se espelha no padrão internacional ISAE 3402.

Desde o primeiro dia de maio de 2017, os padrões foram atualizados e a norma passou a se chamar Statement on Standards for Attestation Engagements nº 18 (SSAE18). Companhias de capital aberto nos Estados Unidos, incluindo brasileiras, já passaram a adotar o novo padrão.

Qual a diferença?

O que houve não foi apenas uma mudança de nomenclatura. Em primeiro lugar, foi feita uma distinção de conceitos em relação aos SOC. Enquanto a versão anterior se referia especificamente aos relatórios de controles internos (SOC1), a SSAE18 é mais abrangente.

Contadores e auditores costumavam se referir à SSAE16 como SOC1, e vice-versa. Isso gerava uma confusão entre os padrões e normas (SSAE) e seus instrumentos para orientação de transparência e comunicação de riscos (SOC).

Com o padrão SSAE18, foram unificadas todas as SSAE anteriores. Conheça abaixo as duas principais diferenças em relação à versão anterior:

1. Listagem de empresas que prestam serviços complementares (subcontratadas)

O foco principal dessas normas são as empresas de outsourcing, cada vez mais disseminadas no mundo por conta da transformação digital dos negócios. Muitas empresas de outsourcing atuam no segmento de TI e prestam serviços às grandes companhias, o que não é novidade.

Alguns exemplos incluem: empresas que trabalham com processamento de folha de pagamento, infraestrutura, hospedagem, dentre outros serviços.

O aumento da complexidade leva ao aumento de sub-prestadoras de serviços, ou seja, empresas que atuam como fornecedoras de outras prestadoras de serviços. Por exemplo, quando uma empresa de TI que desenvolve aplicações para negócios usa um outro fornecedor para hospedar os dados, há uma subcontratação.

Esse tipo de relação costuma ficar obscura à medida em que mais empresas se envolvem. Quem é responsável pelos serviços? Se houver uma quebra operacional, quem deve ser contactado? E se uma das empresas nessa relação atuar de forma negligente ou fraudulenta?

A SSAE18 obriga as empresas prestadoras de serviços a deixarem claro quando contratam outra companhia a fim de garantir o fornecimento.

Para garantir que a empresa-cliente não seja prejudicada, a fornecedora deve implementar ferramentas de controle para monitorar a eficiência e a necessidade de outros controles das subcontratadas.

Alguns dos controles que as fornecedoras podem usar para monitorar as subcontratadas incluem:

• revisão de relatórios;
• discussões periódicas com a empresa subcontratada;
• visitas regulares às instalações da subfornecedora;
• teste dos controles usados pela subcontratada feitos por auditores;
• monitorar comunicações externas, como reclamações dos clientes acerca dos serviços da empresa.

2. Exigência de avaliação de riscos

O padrão de relatórios SOC2 já previa a inclusão da avaliação de riscos. A SSAE18 formaliza o instrumento para garantir que as empresas tenham controles para avaliarem corretamente os riscos a que estão expostas e, se necessário, façam os ajustes.

Por fim, a SSAE18 exige que a auditoria responsável faça uma confirmação, por escrito no relatório, garantindo que todas as informações ali contidas são verdadeiras. Essa já é uma praxe do mercado para reafirmar a credibilidade do documento.

A SSAE18 estabelece um alto nível de transparência em relação aos fornecedores e empresas subcontratadas. A grande vantagem em contratar companhias que adotam essas normas de controle é a confiança nos negócios firmada sobre padrões auditáveis.

Como isso impacta minha empresa?

Se o seu negócio contrata fornecedores norte-americanos, especialmente na área de serviços financeiros, os executivos devem exigir o cumprimento das normas contidas na SSAE18 para garantir que aquela empresa possui controles internos e saber quais são os serviços subcontratados.

Essa observância é fundamental para empresas que querem atender às normas de compliance e garantir a saúde dos negócios, evitando o envolvimento em fraudes corporativas.

Apesar de ser um instrumento burocrático, o padrão SSAE18 garante a boa relação entre grandes empresas e negócios que orbitam ao seu redor, fornecendo serviços essenciais. Dessa forma, fica mais fácil garantir a saúde financeira dos negócios e a manutenção de milhares de empregos gerados ao longo da cadeia produtiva.

Conseguiu entender a importância do padrão SSAE18 para o seu negócio? Que tal ficar por dentro das novidades sobre finanças corporativas direto na sua caixa de e-mail? Basta assinar a nossa newsletter.