Ads 468x60px

tiistai 29. toukokuuta 2012

ISAE 3XXX – LYHYT OPPIMÄÄRÄ

ISAE, International Standard on Assurance Engagements, ei ole sertifikaatti eikä vaatimusluettelo, vaan nimensä mukaisesti kansainvälinen standardi varmennustoimeksiantojen suorittamiseen. Varmennus taas tarkoittaa jonkin toisen toteuttaman asian tarkastamista ja tästä tarkastuksesta lausunnon antamista. Käytännössä ISAE-lausunnot vertautuvatkin tilintarkastuslausuntoon, ja ovat myös aina valtuutetun tilintarkastusyhteisön antamia.

ISAE-lausunnot tulevat usein esiin ulkoistusten yhteydessä. Palveluiden ja prosessien ulkoistamisesta haettavat hyödyt ovat usein merkittäviä, mutta toisaalta ulkoistamiseen liittyy aina myös merkittäviä riskejä organisaation sisäisen valvonnan kannalta, joita ei välttämättä mietitä ulkoistusta suunniteltaessa. Palveluita ulkoistaneen organisaation on tarvittaessa pystyttävä varmistumaan, että palveluntarjoajan toiminta täyttää esim. soveltuvin osin kotimaisen ja ulkomaisen lainsäädännön (mm. kirjanpitolaki, SOX, EU-regulaatio) ja muiden ulkopuolisten instanssien (mm. Finassivalvonnan, luottokorttiyhtiöiden) sekä käyttäjäorganisaation asettamat vaatimukset. Sopimukset palvelu- ja käyttäjäorganisaation välillä nousevat luonnollisesti merkittävään rooliin ja näillä palveluorganisaatio voidaan velvoittaa toimimaan käyttäjäorganisaation määrittelemien vaatimusten mukaisesti. Pelkillä sopimuksilla ei kuitenkaan voida varmistua siitä, että palveluntarjoajan toiminta täyttää sopimuksen kirjaimen.Toimintaansa ulkoistanut yritys ja ulkoistettua toimintoa hoitava palveluorganisaatio saavat tilintarkastajan ISAE 3402/3000 -raporttien kautta varmistuksen mm. palveluorganisaation sisäisen valvonnan tai tietoturvan tasosta. 


Kolmenlaisia raportteja

Tarkastuksen lopputuloksena palveluorganisaatiolle tuotetaan määrämuotoinen varmennusraportti, nk. SOC –raportti, (Service Organization Control report). Raportti sisältää riippumattoman kolmannen osapuolen näkemyksen palveluorganisaation kontrolliympäristön kattavuudesta, kontrollien tarkoituksenmukaisuudesta ja niiden toiminnan tehokkuudesta. Käytännössä raportteja on kolmenlaisia: SOC1, SOC2 ja SOC3. SOC1 ja SOC2 raportit voidaan vielä antaa kahden tyyppisinä, Type 1 tai Type 2.
  • SOC1 = ISAE3402, vastaa lähes täysin vanhaa SAS 70 –raporttia, jakelu rajoitettu
  • SOC2 = ISAE3000, varmennettavan ympäristön ei tarvitse liittyä taloudelliseen raportointiin, jakelu rajoitettu
  • SOC3 = ISAE3000 tai ISAE3402 mukaan tehdyn varmennuksen ”sertifikaatti”, vapaampi jakelu
ISAE 3000 -tarkastuksessa suoritetaan täysin vastaavat toimenpiteet kuin ISAE 3402 -tarkastuksessa ja tuotetaan vastaavat tiedot sisältävä raportti. Ainoastaan tarkastettava kontrolliympäristö voi olla esim. tietoturvaan tai yksityisyydensuojaan keskittyvä.

Tyypin 1 raportti antaa lausunnon kontrolliympäristön kattavuudesta tietyllä ajan hetkellä ja Tyypin 2 raportti taas antaa varmuuden ko. kontrolliympäristön tehokkuudesta ja toiminnasta tietyllä ajanjaksolla (vähintään puoli vuotta). Luonnollisesti siis Tyypin 2 raportti antaa organisaatiolle hyvän kuvan kontrollien toiminnasta, koska tarkastusta tehdään pidemmältä ajanjaksolta. Monesti erilaiset tietoturva-auditoinnit (esim. PCI DSS on-site audit yms.) antavat lähinnä Tyypin 1 raporttia vastaavan kuvan kontrollien olemassa olosta tietyllä ajan hetkellä. SOC3 -raportti vaatii aina, että on suoritettu joko ISAE3000 tai ISAE3402 Tyypin 2 mukainen testaus, josta annetaan "sertifikaatti", vapaammin jaettava ja markkinoinnissa tietyin varauksin käytettävä lausunto kontrollien tehokkuudesta.


Kesäkuun tilintarkastuslehdessä on KPMG:n ISAE-palveluista vastaavan Mikko Kinnasen artikkeli ISAE-raporteista. Verrattuna tähän kirjoitukseen, luvassa on pitkä oppimäärä aiheesta.

Ei kommentteja:

Lähetä kommentti