ISAE 3402

ISAE 3402 (Międzynarodowy standard usług atestacyjnych nr 3402) jest standardem wdrożonym w15 czerwca 2011 umożliwienie użytkownikom usług zleconych na zewnątrz uzyskanie pewności co do rzetelności systemu kontroli wewnętrznej ich usług.

Ma tendencję do stawania się nowym międzynarodowym standardem w dziedzinie ryzyka i outsourcingu usług, zastępując standard SAS 70 pochodzenia amerykańskiego.

Standard ten został opracowany przez AICPA (American Institute of Certified Public Accountants), a następnie zalecany przez dwie duże organizacje międzynarodowe: IAASB (International Auditing and Assurance Standards Board) oraz IFAC (International Federation of Accountants).

Istnieją dwa rodzaje poziomów kontroli:

ISAE 3402 nie jest certyfikacją, oficjalne dokumenty ISAE3402 definiują cele ISAE3402 jako:

  1. uzyskanie wystarczającej pewności, że informacje finansowe pro forma zostały ustalone przez stronę odpowiedzialną na podstawie mających zastosowanie kryteriów.
  2. Sprawozdanie z ustaleń wykonawcy

Raport ISAE 3402 jest często dostarczany do SOX lub innych audytorów przedsiębiorstwa, aby umożliwić im uzyskanie wystarczającej pewności co do kontroli przeprowadzanych w oddziale firmy lub u dostawcy, aby uniknąć audytorów do przeprowadzenia audytu tej części systemu informacyjnego przedsiębiorstwa .

Pochodzenie ISAE 3402

Jednym z powodów takiego rozwoju jest brak międzynarodowego standardu dla tego typu kontroli. Standard SAS 70 był najczęściej stosowanym na świecie, ale mimo to był standardem amerykańskim.

W związku z kryzysem zaufania, który zaburza system gospodarczy oraz wzrostem outsourcingu działalności, w ostatnich latach nastąpił systematyczny rozwój relacji ubezpieczeniowych.

Raporty ubezpieczeniowe dostarczane przez ISAE 3402 pozwalają firmom korzystającym z outsourcingu stale zapewniać niezawodność swoich usługodawców.

Usługodawcy, którzy przechowują i przetwarzają dane swoich klientów, muszą przedstawić satysfakcjonujące gwarancje, w szczególności w następujących obszarach:

Zasadnicza zmiana w stosunku do standardu SAS 70 polega na zobowiązaniu usługodawcy do opracowania procedur, które umożliwią mu monitorowanie i ocenę swoich kontroli. Następnie należy sporządzić sprawozdanie z procedur. Aby opisać to zobowiązanie, kierownictwo przedsiębiorstwa (ogólny szczebel kierowniczy) musi napisać dokument zatytułowany „Oświadczenie organizacji usługowej”, który stanowi część 2 raportu.

Stopnie ISAE 3402

Możemy wyróżnić 4 fazy przedstawione na poniższym schemacie:

  1. Pierwsza to analiza wpływu połączona ze szczegółowym planowaniem.
  2. W fazie 2 ustala się ramy kontroli.
  3. W fazie 3 firma zapoznaje się z ramami kontroli. Audytu pojawia się podczas tej fazy.
  4. W fazie 4 proces kontroli usprawnia się dzięki wnioskom z audytu.

Zalety ISAE 3402

Zalety ISAE 3402 są kilku typów:

Wady ISAE 3402

Wady ISAE 3402 są również liczne:

Uwagi i odniesienia


Linki zewnętrzne