Международный стандарт заданий по обеспечению уверенности 3402 ( ISAE 3402 ), озаглавленный « Отчеты о подтверждении достоверности средств контроля в обслуживающей организации» , представляет собой международный стандарт обеспечения уверенности, который описывает задания по контролю обслуживающей организации (SOC), который обеспечивает клиенту организации уверенность в том, что обслуживающая организация имеет надлежащие внутренние контролирует . [1] ISAE 3402 был разработан Советом по международным стандартам аудита и подтверждения достоверности информации ( IAASB ) и опубликован Международной федерацией бухгалтеров (IFAC) в 2009 году. Он заменяет SAS 70. и уделяет больше внимания процедурам постоянного мониторинга и оценки средств контроля. [2]
Сертификат аудита ISAE 3402, включающий аудиторский отчет, рассматривается как критерий качества для поставщиков услуг, который отличает их от конкурентов. [1]
Клиент также платит за заключение контракта с поставщиком услуг, имеющим сертификат ISAE 3402: аудитор клиента может полагаться на сертификат обслуживающей организации, что приводит к сокращению необходимого бюджета на аудит.
Область применения, типы и классификация SOC [ править ]
Объем задания ISAE 3402 - это набор средств контроля обслуживающей организации, или, если быть более точным, средства контроля обслуживающей организации над услугами, выполняемыми функциями и приложениями, которые могут иметь значение для клиента и его аудитора для оценки внутреннего контроля над финансовыми услугами. составление отчетов. Он также известен как «Система внутреннего контроля над финансовой отчетностью» (ICFR) [ необходима цитата ] . При выполнении ISAE 3402 аудитор должен занять позицию клиента, выбирая и тестируя средства контроля, которые актуальны для клиента.
Стандарт ISAE 3000 - это более общий стандарт для соглашений, обеспечивающих уверенность как в финансовых, так и в нефинансовых целях. Задания, обеспечивающие уверенность в соответствии с ISAE 3402, требуют от аудитора соответствия ISAE 3000.
ISAE 3402 определяет два вида отчетов:
- Тип I. Документирование «моментального снимка» средств контроля организации.
- Тип II : Документирование за период времени (обычно 12 месяцев), показывающее, что средства управления управлялись с течением времени. [3]
ISAE 3402 - это соглашение SOC 1 . SOC - это аббревиатура, придуманная Американским институтом сертифицированных бухгалтеров (AICPA) для средств контроля обслуживающих организаций, и была переформулирована в 2017 году как средства контроля системы и организации. AICPA определил три типа отчетов SOC: SOC 1, SOC 2 и SOC 3. SOC 1 - это сокращение от SOC для сервисных организаций: ICFR . SOC 2 - это сокращение от SOC для обслуживающих организаций: критерии доверительных услуг . SOC 3 - это сокращение от SOC for Service Organizations: Trust Services Criteria for General Use Report. [2]
Задания SOC 2 выполняются на основе более общего ISAE 3000, тогда как задания SOC 1 выполняются на основе ISAE 3402 (см. Выше).
Определения [ править ]
Чтобы прочитать и понять отчет ISAE 3402, необходимы некоторые основные термины:
- Критерии : в контексте ISAE 3402 это сравнительные стандарты, с помощью которых можно оценить ситуацию. Примерами правовых и нормативных критериев являются принципы ОЭСР, GDPR, MaRisk или GoBD.
- Метод исключения : относится к методу, согласно которому система внутреннего контроля поставщика дополнительных услуг не включается в объем аудита поставщика услуг. Для клиента поставщика услуг отчет ISAE 3402 с ОТКЛЮЧЕНИЕМ является неблагоприятным, поскольку соответствующие средства контроля могли не пройти аудит. Пример: поставщик ИТ-услуг предлагает свое программное обеспечение клиенту как SaaS, но средства управления центром обработки данных, в котором используется программное обеспечение, не подвергаются аудиту.
- Инклюзивный метод: относится к методу, при котором система внутреннего контроля поставщика дополнительных услуг включается в объем (объем) аудита поставщика услуг. Отчет ISAE 3402 с использованием инклюзивного метода полезен для клиента поставщика услуг.
- Дополнительные элементы управления пользовательскими объектами : аудит своей ICS, проводимый поставщиком услуг, предполагает, что клиент сам выполняет определенные элементы управления и принимает на себя ответственность за них. Если клиент не был заранее проинформирован о дополнительных элементах управления пользовательскими объектами и не выполнил их, элементы управления, реализованные у поставщика услуг, не будут эффективными (действенными). Пример: поставщик услуг управляет центром обработки данных и ожидает, что клиент незамедлительно проинформирует поставщика услуг об изменениях в сотрудниках, имеющих право доступа к центру обработки данных. Поставщик услуг предоставляет доступ только лицам, включенным в список доступа. Этот контроль проверен и эффективен. Однако, если базовый список доступа не является текущим, весь контроль доступа не действует.
- Система : Система (система обслуживающей организации) определяется как политики, процедуры и приложения, необходимые для предоставления услуг, связанных с потребителями.
См. Также [ править ]
Внешние ссылки [ править ]
- «Отчеты по заверениям ISAE 3402 в отношении средств контроля в обслуживающей организации» , IFAC / IAASB
- «Гарантия аутсорсинга по внедрению ISAE 3402» , isae3402.co.uk
- "Что такое ISAE 3402?" , Делойт
- «Внедрение и поддержка ISAE 3402» , « Эрнст энд Янг»
- Международный регистр ISAE3402, isae3402.co.uk
- Библиотека ISAE 3402 , risklane.nl (голландский)
- Регистр ISAE3402 , isae3402.nl (Нидерланды)
Ссылки [ править ]
- ^ "ISAE 3402 Services" . А-ЛИГН . Дата обращения 10 мая 2015 . CS1 maint: обескураженный параметр ( ссылка )
- ^ "ISAE 3402" . ICC . Проверено 9 мая 2018 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Отчеты по контролю обслуживающей организации (SOC)» . isae3402.com . Дата обращения 10 мая 2015 . CS1 maint: обескураженный параметр ( ссылка )
