Vad är ISAE 3402 | SOC 1?
ISAE 3402 är en standard för outsourcing. För att bli certifierad måste en organisation erhålla en SOC-rapport (Service Organization Control). En SOC-rapport är en rapport som innehåller en beskrivning av riskhanteringssystemet. Denna rapport granskas sedan årligen av en oberoende revisor. En organisation som tillhandahåller tjänster kallas för en serviceorganisation. Genom en ISAE 3402-rapport ger en serviceorganisation en redovisning till en annan organisation (en användarorganisation) avseende de processer som utförs enligt tjänstenivåavtalet (SLA) och kontrollen över dessa processer. Standarden efterträdde SAS 70-standarden och infördes 2011.
ISAE 3402 och outsourcing
Organisationer outsourcar i allt högre grad, särskilt inom IT-området. Organisationer som lägger ut verksamhet på entreprenad vill ha insikt i informationssäkerhet, bedrägeribekämpning och riskhantering i allmänhet. Detta är särskilt viktigt när allt fler viktiga affärsprocesser läggs ut på entreprenad, vilket gör det nödvändigt att förstå vem som har tillgång till information och om det finns tillräcklig åtskillnad av arbetsuppgifter för att förhindra bedrägerier. En ISAE 3402-rapport ger denna insikt.
Rapportera innehåll
UFörutom den allmänna översikten måste rapporten beskriva processer som potentiellt kan påverka de finansiella rapporterna (finansiella processer). Detta omfattar även IT-processer, så kallade generella IT-kontroller. Dessutom kan en ISAE 3402-rapport ge en försäkran om att outsourcade processer utförs i enlighet med det överenskomna tjänstenivåavtal. SOC-rapporten består av en allmän del baserad på COSO 2013-standarden och en kontrollmatris. Läs mer om rapportens innehåll och de två typerna av rapporter: ISAE 3402 Type I och Type II.
Exempel på outsourcing
En pensionsfond lägger ut kapitalförvaltningen på en kapitalförvaltare. Pensionsstiftelser måste följa pensionslagen (PW). Enligt pensionslagen ska pensionsstiftelsen visa att de utlagda processerna kontrolleras. I det här fallet är pensionsstiftelsen användarorganisationen och kapitalförvaltaren serviceorganisationen. Avtalen mellan pensionsstiftelsen och kapitalförvaltaren dokumenteras i kapitalförvaltningsavtalet och eventuellt i ett tjänstenivåavtal. Därför begär pensionsstiftelsen en ISAE 3402-rapport från serviceorganisationen. Med denna rapport visar pensionsfonden att de outsourcade processerna är ”under kontroll” och att den följer pensionslagen för detta outsourcingavtal. I en sådan situation vill pensionsfonden (användarorganisationen) ha insikt i:
- Om investeringar behandlas korrekt och fullständigt för de finansiella rapporterna
- Om kapitalförvaltningen bedrivs i enlighet med lagar och förordningar
- Om det finns tillräckliga skyddsåtgärder mot bedrägeri
- Om säkerheten är adekvat implementerad hos kapitalförvaltaren
- Huruvida specifika krav på efterlevnad som ingår i pensionslagen är uppfyllda
Pensionsstiftelsen kommer att kräva att kapitalförvaltaren inkluderar ovanstående ämnen inom ramen för ISAE 3402-rapporten. Pensionsstiftelsens revisor kommer att ta del av kapitalförvaltarens ISAE 3402-rapport som en del av revisionen av pensionsstiftelsens årsbokslut. Revisorn behöver inte separat testa åtgärder hos kapitalförvaltaren, eftersom detta redan har rapporterats av servicerevisorn.
Mervärde
Det främsta mervärdet för en användarorganisation är att den, baserat på Service Organization Control-rapporten, kan bedöma om informationssäkerheten eller åtgärderna för att förebygga bedrägerier är tillräckliga. Detta är också viktig information för användarorganisationens revisor. Användarorganisationens revisor kan bedöma om åtgärderna hos serviceorganisationen är tillräckligt utformade inom ramen för användarorganisationens bokslutsgranskning. Därutöver har en (redovisad) annan revisor bedömt om dessa kontroller existerar (Type I) och har fungerat effektivt (Type II). Revisorn behöver då inte utföra separata kontroller hos serviceorganisationen.