ИСАЭ 3402

Международный стандарт заданий, обеспечивающих уверенность ( ISAE ) 3402 , озаглавленный «Отчеты о подтверждении контроля в обслуживающей организации» , представляет собой международный стандарт обеспечения качества , который описывает задания по контролю обслуживающей организации (SOC), который обеспечивает уверенность клиента организации в том, что обслуживающая организация имеет адекватный внутренний контроль. . ^[1] ISAE 3402 был разработан Международным советом по стандартам аудита и подтверждения достоверности информации ( IAASB ) и опубликован Международной федерацией бухгалтеров (IFAC) в 2009 году. Он заменяет SAS 70 . и уделяет больше внимания процедурам постоянного мониторинга и оценки мер контроля. ^[2]

Аттестация ISAE 3402, включая аудиторский отчет, считается критерием качества для поставщиков услуг, который отличает их от конкурентов. ^[3]

Клиенту также выгодно заключить договор с поставщиком услуг, имеющим аттестацию ISAE 3402: аудитор клиента может положиться на аттестацию обслуживающей организации, что приводит к сокращению необходимого бюджета на аудит.

Область применения, типы и классификация SOC

Объем задания ISAE 3402 — это набор средств контроля обслуживающей организации, или, если быть более точным, обслуживающая организация контролирует услуги, выполняемые функции и приложения, которые могут иметь отношение к клиенту и его аудитору для оценки внутреннего контроля над финансовыми операциями. отчетность ^{[ нужны дальнейшие объяснения ]}. Он также известен как «Система внутреннего контроля над финансовой отчетностью» (ICFR). ^{[ нужна ссылка ]}. При выполнении ISAE 3402 аудитор должен занять позицию клиента, выбирая и тестируя средства контроля, которые актуальны для клиента.

Стандарт ISAE 3000 является более общим стандартом для заданий по выражению уверенности как в финансовых, так и в нефинансовых целях. Задания по выражению уверенности в соответствии с ISAE 3402 требуют соблюдения аудитором требований ISAE 3000.

ISAE 3402 определяет два типа отчетов:

Тип I : Документирование «моментального снимка» средств контроля организации.
Тип II : Документирование за определенный период времени (обычно 12 месяцев), показывающее, что меры контроля осуществлялись с течением времени. ^[4]

ISAE 3402 — это стандарт SOC 1 . SOC — это аббревиатура, придуманная Американским институтом дипломированных бухгалтеров (AICPA) для обозначения средств контроля обслуживающих организаций, а в 2017 году она была повторно придумана как системный и организационный контроль. AICPA определила три типа отчетов SOC: SOC 1, SOC 2 и SOC 3. SOC 1 — это аббревиатура SOC для сервисных организаций: ICFR . SOC 2 — это аббревиатура от SOC for Service Organizations: Trust Services Criteria . SOC 3 — это аббревиатура от SOC для обслуживающих организаций: отчет о критериях доверительных служб для общего использования. ^[3]

Задания SOC 2 выполняются на основе более общего ISAE 3000, тогда как задания SOC 1 выполняются на основе ISAE 3402 (см. выше).

Определения

Чтобы иметь возможность читать и понимать отчет ISAE 3402, необходимы некоторые основные термины:

Критерии : В контексте ISAE 3402 это сравнительные стандарты, с помощью которых можно оценить ситуацию. Примерами правовых и нормативных критериев являются принципы ОЭСР, GDPR, MaRisk или GoBD.
Метод исключения : относится к методу, согласно которому система внутреннего контроля субпоставщика услуг не включается в объем аудита поставщика услуг. Для клиента поставщика услуг отчет ISAE 3402 с ИСКЛЮЧЕНИЕМ является неблагоприятным, поскольку соответствующие средства контроля могли не пройти аудит. Пример: поставщик ИТ-услуг предлагает свое программное обеспечение клиенту как SaaS, но контроль центра обработки данных, в котором используется это программное обеспечение, не подвергается аудиту.
Инклюзивный метод: относится к методу, при котором система внутреннего контроля субпоставщика услуг включается в объем (объем) аудита поставщика услуг. Отчет ISAE 3402, использующий инклюзивный метод, выгоден клиенту поставщика услуг.
Дополнительные средства контроля пользовательских объектов . Аудит поставщика услуг его АСУ ТП предполагает, что клиент сам выполняет определенные меры контроля и берет на себя ответственность за них. Если клиент не был заранее проинформирован о дополнительных элементах управления объектом пользователя и не выполнил их, то элементы управления, реализованные у поставщика услуг, не являются эффективными (эффективными). Пример: поставщик услуг управляет центром обработки данных и ожидает, что клиент незамедлительно проинформирует поставщика услуг об изменениях в составе сотрудников, имеющих право доступа к центру обработки данных. Поставщик услуг предоставляет доступ только лицам, включенным в список доступа. Этот контроль проверен и является эффективным. Однако если базовый список доступа устарел, весь контроль доступа неэффективен.
Система : Система (система обслуживающей организации) определяется как политика, процедуры и приложения, необходимые для предоставления услуг, связанных с клиентом.

См. также

Ссылки

^ «Обзор ISAE 3402» . isae3402.com . Проверено 17 ноября 2021 г.
^ «Отчеты о подтверждении контроля в обслуживающей организации — проблемы и предложения целевой группы IAASB» (PDF) . Основная повестка дня IAASB . МФБ . Сентябрь 2009 года . Проверено 17 ноября 2021 г.
^ Jump up to: ^а ^б «Контрольные списки» . isae3402-audit.de . 20 октября 2021 г. Проверено 17 ноября 2021 г.
^ «Отчеты контроля сервисной организации (SOC)» . isae3402.com . Проверено 17 ноября 2021 г.

Внешние ссылки

[1] «Обзор ISAE 3402» . isae3402.com . Проверено 17 ноября 2021 г.

[2] «Отчеты о подтверждении контроля в обслуживающей организации — проблемы и предложения целевой группы IAASB» (PDF) . Основная повестка дня IAASB . МФБ . Сентябрь 2009 года . Проверено 17 ноября 2021 г.

[checklists-3] Jump up to: ^а ^б «Контрольные списки» . isae3402-audit.de . 20 октября 2021 г. Проверено 17 ноября 2021 г.

[4] «Отчеты контроля сервисной организации (SOC)» . isae3402.com . Проверено 17 ноября 2021 г.

[1]

[2]

[3]

[4]