FAQ

Vad behöver jag göra för att få en ISAE 3402-certifiering?

En ISAE 3402-certifiering existerar faktiskt inte. En ISAE 3402-försäkran är en rapport som anger att utkontrakterade processer som utförs kontrolleras på ett sådant sätt att den finansiella rapporteringen är korrekt och fullständig. ISAE 3402 är inte en certifiering som ISO 27001. För en ISAE3402 rapportering krävs en rapport om system- och organisationskontroller. En rapport om system- och organisationskontroller beskriver alla kontroller som är relevanta för den ekonomiska rapporteringen i användarorganisationen. En ISAE 3402-rapport motsvarar en SSAE18 SOC 1-rapport i USA. Det första steget är därför att förbereda rapporten System- och organisationskontroller. En organisation kan utarbeta denna rapport själva eller anlita ett specialiserat konsultföretag. Denna SOC-rapport bör granskas av en extern revisor. Revisorn utfärdar en bestyrkanderapport till SOC om han håller med om att alla kontroller finns (typ I) och fungerar effektivt (typ II). SOC-rapporten bör utarbetas i enlighet med de ISAE3402 riktlinjerna. Alla relevanta kontroller för den finansiella rapporteringen måste ingå och bör vara reviderbara. För en typisk organisation kräver detta mer formalisering av kontroller.

Varför kräver min kund en ISAE 3402 från min organisation?

Processer, särskilt IT-processer, läggs i allt högre grad ut på entreprenad till serviceorganisationer. Om data hanteras av externa tjänsteleverantörer ökar informationssäkerheten. Som en konsekvens av den ökade outsourcingen. Många organisationer fokuserar på kärnverksamheten och outsourcar icke-kärnprocesser. Som en konsekvens av minskat förtroende mellan parterna ökar kraven på kontroll över outsourcing.

Kan vi förbereda en ISAE 3402-rapport?

En ISAE3402-rapport kommer att granskas av en extern revisor. Rapporteringen ska upprättas i enlighet med revisionsregelverket. Om de ansvariga medarbetarna har revisionsbakgrund kommer detta att förbättra förberedelseprocessen. Specialiserade organisationer kan hjälpa dig med utarbetandet av rapporten och hantera revisionsprocessen.

Är det lämpligt att min uppdragsgivare kräver och ISAE3402-rapportering?

Om processer är insourcade av ditt företag och dessa processer kommer att ha en väsentlig inverkan på serviceorganisationens årsredovisning, kommer en ISAE3402 rapport att vara lämplig. Andra organisationer som står under tillsyn av till exempel Finansinspektionen bör kunna visa att outsourcade processer är under kontroll.

Vad är fördelen med ISAE3402 för min organisation?

ISAE3402 är den internationella standarden för kontroll över outsourcing. I (internationella) upphandlingar kommer en ISAE3402-certifiering sannolikt att krävas i outsourcingsituationer. En annan fördel är att dina interna processer kommer att anpassas och formaliseras bättre.

Bör de allmänna IT-kontrollerna ingå i ISAE3402-rapporten?

Ja, det krävs att informationssystem finns med i ISAE3402-rapporten. (ref. ISAE3402.16).

Vad är de erforderliga urvalsstorlekarna för en ISAE3402-revision?

Detta är ett exempel på europeisk praxis. I princip kräver ISAE3402 att urvalsstorlekarna är i linje med minskningen av risken till en rimlig nivå. I PCAOB-riktlinjerna krävs en urvalsstorlek på 25 för dagliga kontroller. Dessa riktlinjer ingår inte i ISAE3402-standarden.

Vad är en undertjänst organisatie och vad är egentligen en carve-out?

En underserviceorganisation är en organisation som lägger ut processerna i en serviceorganisation på entreprenad. Om en kapitalförvaltare till exempel lägger ut värdskapet för sina servrar på entreprenad kan detta betraktas som en undertjänstsituation. Serviceorganisationen kan välja en avskiljning och hänvisa till underserviceorganisationens ISAE3402-rapport.

Är ISAE3402-certifiering rätt uttryck?

Det här är en semantisk diskussion. En ISAE3402 rapport är ingen certifiering. Det är en kontrollrapport för serviceorganisationen med en bestyrkanderapport i enlighet med ISAE3402. Generellt sett kallas det för en ISAE3402-certifiering.

Vad är bolagsstyrning?

Bolagsstyrning är en allmän term som beskriver den goda, effektiva och sunda ledningen av en organisation. I USA har Enrons och Worldcoms fall lett till Sarbanes-Oxley-lagen (SOx), i vilken regler för intern kontroll och bolagsstyrning fastställs för amerikanska börsnoterade fonder. Det innebär att det utöver den årliga finansiella rapporten ska finnas ett kapitel i årsrapporten som handlar om utvärderingen av den interna kontrollen. Företag som inte är av amerikanskt ursprung måste också följa SOx-lagen när de är noterade på NYSE. I Nederländerna är koden Tabaksblat obligatorisk för alla börsnoterade företag.

Få tillgång till mer information