ISAE 3402

Løsninger

Third Party Assurance Services

Our Norwegian Third Party Assurance (TPA) group has a long and proven track record with assisting clients with TPA report development, fulfilling the needs of both the service provider being reviewed and their user organizations. Our TPA team consists of expert in TPA reporting methodology teamed with our IT Audit, Cyber Security, Financial Audit, Legal and industry experts to ensure that we have the right competence to match the needs of each engagement. With this flexibility, we can provide attestation services to a wide variety of customers to meet their varying attestation needs.

For more information on our team, our capabilities, our methodology and some insight as to our thoughts in regards to TPA related topics, click on the links on this page to download our brochures and TPA-related articles by our TPA subject matter experts.

Information in Norwegian can be found under the contact information.

Our services

Our current deliveries include the following, among others:

  • GDPR attestation (under the SOC2+ or ISAE3000 standard) (See brochure on this page)
  • ISAE3402 / SOC1 reporting
  • SOC2 reporting
  • ISAE3000 attestation engagements with flexible measurement criteria
  • ISRS4400 attestation engagements
  • TPA gap analysis and readiness engagements for any of the above
  • Assistance in streamlining TPA reporting activities and negotiating new configurations of reports to realize efficiencies

Third Party Assurances

Download the brochure

Nordic cooperation with global reach

In the Nordic region alone, our team of more than 65 TPA practitioners, supported by subject matter experts from our IT audit, Cyber Security, Financial Audit, Legal and Consulting departments, provide TPA services to more than 80 clients in the region. We deliver more than 140 TPA engagements annually.

We work together to assemble the right team for each engagement to ensure that we deliver the quality and capacity that TPA engagements require. We share templates, best practice tools and our experience with each other in order to ensure that we deliver quality efficiently.

Deloitte is a global leader in performing Service Organization Control examinations, having served large global clients since the inception of the standards. We have more than 700 practitioners in the United States, and more than 1,000 practitioners globally that perform SOC examinations. Our experience includes complex internal control attestation and assessment projects. Our Norwegian TPA team has had long-term contact with our practitioners in both Europe and globally in regards to these services and have the pleasure of sharing resources, tools and templates with many valuable SOC resources within our global network. If we have an issue we need to discuss, help is only a call away.

Want to read more? 

Tredjepartsrapportering - ISAE 3402, SOC1, SOC2 og andre forkortelser

GDPR - the way forward to 'business as usual'

Vurdere en gang, test en gang, tilfredsstille mange 

GDPR Assurance Services

Download the brochure

Kontakt

Kevin McCloskey

Kevin McCloskey

Director

Kevin McCloskey er Director i Risk Advisory.... Mer

Tredjepartsrapportering

Deloitte leverer tredjepartsattestasjonstjenester (TPA) til en rekke kunder i ulike bransjer. De fleste innenfor IT Managed Services. Vi har flere års erfaring, både som utsteder av rapportene etter standarder ISAE3402 (SOC1), ISAE3000 eller SOC2, men også som brukere/analytikere av rapportene på vegne av våre revisjonsklienter. Vi leverer nå også attestasjonsrapporter som dekker GDPR området.

Basert på tall fra vår Global TPA Gruppe, øker antall TPA-rapporter med 10 % hvert år. Flest rapporter er det under standarden ISAE3402 (SOC1) eller ISAE3000, men også SOC2-rapporter utgjør om lag 25 % av alle rapporter utgitt på verdensbasis.

Deloitte Norge TPA

I Norge har vi lang erfaring med disse tjenestene. Vi leverer flere ISAE3402- og ISAE3000-rapporter, og leverte det vi tror er Norges første SOC2-rapport (Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy) i januar 2018. Gjennom vårt globale TPA-nettverk, har vi hatt langvarig kontakt med våre ressurser både i Europa og USA med hensyn til disse tjenestene, og har gleden av å dele ressurser, verktøy og maler med mange verdifulle TPA-ressurser i vårt verdensomspennende nettverk. TPA-gruppen møtes en gang i måneden for å dele det siste innenfor tjenesten og for å diskutere utviklingen i standardene. Hvis vi i Norge har et problem som vi trenger å diskutere, er hjelp bare en e-post eller telefon unna.

Vårt norske team med spesialister innen TPA, IT-revisjon, internkontroll og dataanalyse, har lang erfaring med å tilby IT-revisjon og informasjonssikkerhetsrelaterte tjenester. Vi samarbeider med våre Cyber Security-spesialister i saker som angår informasjonssikkerhetsstyring og svært teknisk sikkerhetstesting. Vi har også etablert en nordisk TPA-gruppe for å samarbeide med nordiske oppdrag, dele ressurser, verktøy og erfaringer.

Vår TPA-gruppe i Norge ledes av Kevin McCloskey som har jobbet med TPA-rapportering siden tidlig 1990-tallet og har lang erfaring med ISAE3402- og ISAE3000-standarder, COBIT, ISO27000 og andre relevante standarder. Han er et medlem av Deloitte Global TPA-gruppen og var foredragsholder i IT-revisjon ved Norges Handelshøyskole (NHH) i svy år. Kevin og teamet hans jobber kontinuerlig med utvikling av TPA-tjenestene, og har som nevnt levert Norges første SOC2 rapport, en rapport som fokuserer på informasjonssikkerhet. Sammen med vår Cyber Security-gruppe, jobber vi med metoder for å kunne utstede en bekreftelse av etterlevelse av de nye GDPR-kravene ved bruk av SOC2-standard (som heter SOC2+) eller ISAE3000 standarden.

Vi bruker internasjonalt anerkjente metoder og metodikk for å sikre kvalitet i leveransen og effektiv bruk av tid. Vi er vant til å jobbe med både virksomheter som har implementert internkontroll og styringssystemer i av høyeste kvalitet, samt virksomheter som nettopp har startet utvikling og organisering av sitt internkontrollmiljø. Vår målsetning er ikke å levere en uttalelse alene, men også å bidra til en forbedring og videreutvikling av virksomhetens internkontrollmiljø.

Nøl ikke med å kontakte oss dersom det er noe dere ønsker å diskutere knyttet til denne type attestasjonsoppdrag.

Tredjepartsattestasjon

Outsourcing er en økende trend, og virksomheter er i stadig større grad avhengige av tredjeparter for å levere forretningskritiske tjenester. Det kan gjelde tjenester innen informasjonsteknologi, finans og regnskap, kundeservice, HR, betaling og administrasjon, forvaring, fondsadministrering og forvaltning. For å sikre at virksomheten har tilfredsstillende kontroll og at internkontrollrutinene som er utført hos tredjepart er tilstrekkelig utformet, implementerte og effektive, må man innhente en forståelse av internkontroll som de enkelte leverandører har ansvar for, samt utføre tester av deres etterlevelse av kontrollene. Som en konsekvens av dette, etterspør virksomheten (og deres revisor) bekreftelse på implementert internkontroll hos serviceleverandører fra en tredjepart for å kunne sikre seg om at de har god internkontroll.

Det finnes flere standarder som kan brukes i sammenheng med den tredjepartsattestasjon. Hver av disse har egne fokusområder, målgruppe og bruksområder.

Fordeler med ISAE 3402-rapportering

Målet med en ISAE 3402-rapport er at serviceorganisasjonen får en attestasjonsuttalelse om at dens beskrivelse av internkontrollen stemmer med hva som er implementert i virksomheten og at kontroller er hensiktsmessig utformet og har fungert effektivt i perioden rapporten dekker. Der virksomheten bør utbedre internkontrollen, gir revisor slike innspill.

Ved å engasjere en uavhengig tredjepart til å foreta en evaluering, blir serviceorganisasjonen gjenstand for én revisjon, i motsetning til flertallige revisjoner på vegne av flere outsourcingkunder.

Når evalueringen er ferdigstilt distribueres rapporten til virksomhetens kunder, slik at deres revisorer kan bygge på disse funnene og deretter begrense eller eliminere ytterligere revisjonshandlinger. Dette kan bidra til å redusere belastningen på serviceorganisasjonens ressurser og redusere driftskostnader for kundene deres, da kundene ikke lenger trenger å sende revisorer for å revidere deres virksomhet.

Blant annet vil kontrollrapportene:

  • Styrke virksomhetens omdømme
  • Bistå med å oppfylle kundenes og deres uavhengige revisorers ansvar
  • Dokumentere at kontroller er utarbeidet og implementert i tråd med anerkjente rammeverk for internkontroll (f.eks. COSO)
  • Sørge for en uavhengig evaluering av kontrollmiljøet basert på en anerkjent internasjonal standard

Ulike standarder

ISAE3402 /SOC1 - Attestasjonsrapport som gir sikkerhet over internkontroll relevant til prosessering av finansielle informasjon.

Vanlige fokusområder: IT Governance, informasjonssikkerhet, applikasjonsendringhåndtering, IT-drift, Backup & Recovery og incidenthåndtering.

Målgruppe: Brukerorganisasjoner av tjenester eller applikasjoner og deres revisorer.

Bruksområder: Brukes ofte for å erstatte eller minimere behov for egne kontrollaktiviteter hos leverandøren. Type I-rapporter er point-in-time rapporter mens Type II-rapporter dekker en periode (oftest et år).

ISAE3000 - Attestasjonsoppdrag som ikke er revisjon eller forenklet revisorkontroll av historisk finansiell informasjon.

Vanlige fokusområder: Internkontrollrutiner relaterte til informasjonssikkerhet, applikasjonsendringhåndtering, IT Drift, Backup & Recovery, incidenthåndtering. Kan også omfatte kunde-spesifikke krav (f.eks., håndtering av krypteringsnøkler eller kontroll og sikkerhet over dataoverføringer).

Målgruppe: Kunder med behov for bekreftelse av spesifikke kontrollaktiviteter uten behov for en omfattende beskrivelse av leverandørens tjenester og interne rutiner for utførelse av kontrollaktivitetene.

Bruksområder: Sikkerhet over spesifikke internkontrollrutiner uten behov for detaljert beskrivelse som i en ISAE3402 / SOC1. Disse rapportene kan være point-in-time eller dekke en periode.

SOC2 - Rapporterer om kontroller hos en serviceorganisasjon som jobber med sikkerhet, tilgjengelig, prosessintegritet, konfidensialitet og privacy. 

Vanlige fokusområder: Internkontroll relaterte til informasjonsikkerhet, tilgjengelighet, integritet, konfidensialitet eller personvern.

Målgruppe: Kunder med behov for å ha bekreftelse at leverandøren har god rutiner relaterte til de spesifikke områdene dekket av rapporten.

Bruksområder: Bekreftelse at leverandøren har gode internkontrollrutiner rundt en bestemt regulatorisk krav eller bransjenorm.

SOC2+ - Samme type rapport som ovenfor, men med kobling til en annet standard / krav som ISO27000 eller NIST og det utvikles en kobling til GDPR-kravene.

Vanlige fokusområder: Disse rapportene er oftest koblet til ISO27000, NIST eller HIPAA (amerikanske standarder i helsebransjen) for å gi en mer relevant rapport.

Målgruppe: Kunder innenfor en spesifikke bransje (Helse f.eks.) eller med behov for å få en mer spesifikk rapport enn SOC2.

Bruksområder: Bekreftelse på at leverandøren har gode internkontrollrutiner rundt et bestemt regulatorisk krav eller en bransjenorm.

Andre sertifiseringer som ISO27000 eller PCI DSS

I tillegg til de TPA-standardene nevnt ovenfor, kan et selskap velge å få en sertifisering innen blant annet informasjonssikkerhetsstyring (ISO27000) eller Payment Card Industry Data Security Standard (PCI DSS). Disse sertifiseringer har egne fokus- og bruksområder, men overlapper også en god del med TPA. Det er imidlertid grunnleggende forskjeller i omfanget av en ISO 27001-sertifisering eller en PCI DSS-sertifisering og – som et eksempel - en ISAE3402-rapport:

  • Leverandører som får en ISO 27001-sertifisering, er i stand til å demonstrere for sine partnere og kunder at de er 100 % forpliktet til å etterleve kravene i styringsrammen ISO 27001 og sertifisere mot denne standarden. Dette er et godt skritt mot å sikre at krav knyttet til informasjonssikkerhet i en ISAE3402-/ISAE3000-attestasjon er oppfylt.
  • ISO 27001 fokuserer spesielt på kontrollene rundt informasjonssikkerhet og PCI DSS er fokusert på sikkerhet rundt beskyttelse av kredittkortinformasjon. Disse dekker ikke de andre områdene som normalt er i bruk for økonomisk revisjon som drift eller applikasjonsendringshåndtering.
  • ISO 27001-sertifisering og PCI DSS-sertifisering er basert på en vurdering på et gitt tidspunkt, og gir dermed ikke brukeren innsikt i de faktiske detaljer om kontroller og ytelse over en periode av tid (som en eksternrevisor ofte krever). En ISO 27001-sertifisering er et bevis på at leverandøren har styringssystemet på plass for å sikre kontroll, men ISAE3402 / ISAE3000 gir sikkerhet om at de kontrollene har vært implementert i hele perioden og har fungerte som forutsatt.
  • ISAE3402-/ISAE3000-kontroller og revisjonsrapporter dreier seg om serviceorganisasjonskontrollene som påvirker kundens interne kontroller på finansiell rapportering (ICFR). ISO 27001 og PCI DSS fokuserer ikke på ICFR-er.
  • ISAE3402-rapporter er restriktive rapporter, og den tilsiktede målgruppen er begrenset til personer i tjenesteleverandøren og klientorganisasjonen (og deres revisorer).

Fordeler med TPA-rapportering

Målet med en TPA-rapport er at serviceorganisasjonen får en attestasjonsuttalelse om at dens beskrivelse av internkontrollen stemmer med hva som er implementert i virksomheten, og at kontrollene er hensiktsmessig utformet og har fungert effektivt i perioden rapporten dekker. Der virksomheten bør utbedre internkontrollen, gir revisor slike innspill.

Ved å engasjere en uavhengig tredjepart til å foreta en evaluering, blir serviceorganisasjonen gjenstand for én revisjon, i motsetning til flere revisjoner på vegne av flere outsourcingkunder.

Når evalueringen er ferdigstilt distribueres rapporten til virksomhetens kunder, slik at deres revisorer kan bygge på disse funnene og deretter begrense eller eliminere ytterligere revisjonshandlinger. Dette kan bidra til å redusere belastningen på serviceorganisasjonens ressurser og redusere driftskostnader for kundene deres, da kundene ikke lenger trenger å sende revisorer for å revidere deres virksomhet.

Blant annet vil kontrollrapportene:

  • Styrke virksomhetens omdømme.
  • Bistå med å oppfylle kundenes og deres uavhengige revisorers ansvar.
  • Dokumentere at kontroller er utarbeidet og implementert i tråd med anerkjente rammeverk for internkontroll (f.eks. COSO).
  • Sørge for en uavhengig evaluering av kontrollmiljøet basert på en anerkjent internasjonal standard