ISAE 3402

Løsninger

ISAE 3402-rapportering

Attestasjonsuttalelse om kontrollmiljø i en serviceorganisasjon

Forsterket tillit ved å demonstrere effektive kontroller.

Deloitte leverer ISAE 3402 utviklings- og attestasjonstjenester til en rekke kunder i ulike bransjer. Vi har flere års erfaring, både som utsteder av rapporten, men også som brukere/analytikere av rapportene på vegne av våre revisjonsklienter.

Vi bruker internasjonalt anerkjent metode og metodikk for å sikre kvalitet i leveransen og effektiv bruk av tid. Vi er vant til å jobbe både med virksomheter som har implementert internkontroll og styringssystemer i av høyeste kvalitet samt virksomheter som nettopp har startet utvikling og organisering av sitt internkontrollmiljø. Vår målsetning er ikke å levere en uttalelse alene, men også bidra til en forbedring og videreutvikling av virksomhetens internkontrollmiljø.

Nøl ikke med å kontakte oss dersom det er noe dere ønsker å diskutere knyttet til denne type attestasjonsoppdrag.

Bakgrunn

Outsourcing er en økende trend og virksomheter er i stadig større grad avhengige av tredjeparter til å levere forretningskritiske tjenester. Det kan gjelde tjenester innen informasjonsteknologi, finans og regnskap, kundeservice, HR, betaling og administrasjon, forvaring, fondsadministrering og forvaltning. For å sikre at virksomheten har tilfredsstillende kontroll og at internkontrollrutinene som er utført hos tredjepart er tilstrekkelig utformet, implementerte og effektive, må man innhente en forståelse av internkontroll som de enkelte leverandører har ansvar for, samt utføre tester av deres etterlevelse av kontrollene. Som en konsekvens av dette, etterspør virksomheten (og deres revisor) bekreftelse på implementert internkontroll hos serviceleverandører fra en tredjepart for å kunne sikre seg om at de har god internkontroll.

IAASB (International Auditing and Assurance Standards Board) har utgitt en standard, kalt ISAE 3402. Dette erstatter den tidligere SAS 70. I Norge har Revisorforeningen oversatt standarden til norsk.

ISAE 3402 rapportering, sammen med virksomhetens eksisterende internkontrollrutiner, vil:

  • Identifisere virksomhetens mest forretningskritiske prosesser
  • Avdekke eventuelle mangler i både interne - og outsourcede - prosesser og kontroller

 

Fordeler med ISAE 3402 rapportering

Målet med en ISAE 3402-rapport er at serviceorganisasjonen får en attestasjonsuttalelse om at dens beskrivelse av internkontrollen stemmer med hva som er implementert i virksomheten og at kontroller er hensiktsmessig utformet og har fungert effektivt i perioden rapporten dekker. Der virksomheten bør utbedre internkontrollen, gir revisor slike innspill.

Ved å engasjere en uavhengig tredjepart til å foreta en evaluering, blir serviceorganisasjonen gjenstand for én revisjon, i motsetning til flertallige revisjoner på vegne av flere outsourcingkunder.

Når evalueringen er ferdigstilt distribueres rapporten til virksomhetens kunder, slik at deres revisorer kan bygge på disse funnene og deretter begrense eller eliminere ytterligere revisjonshandlinger. Dette kan bidra til å redusere belastningen på serviceorganisasjonens ressurser og redusere driftskostnader for kundene deres, da kundene ikke lenger trenger å sende revisorer for å revidere deres virksomhet.

Blant annet vil kontrollrapportene:

  • Styrke virksomhetens omdømme
  • Bistå med å oppfylle kundenes og deres uavhengige revisorers ansvar
  • Dokumentere at kontroller er utarbeidet og implementert i tråd med anerkjente rammeverk for internkontroll (f.eks. COSO)
  • Sørge for en uavhengig evaluering av kontrollmiljøet basert på en anerkjent internasjonal standard

Kontakt

Kevin McCloskey

Kevin McCloskey

Director

Kevin McCloskey er Director i Risk Advisory.... Mer

Marianne Reikvam

Marianne Reikvam

Director, Risk Advisory

Marianne er Director i Risk Advisory... Mer

Relatert