ISAE 3402

Løsninger

ISAE 3402-, ISAE3000- og SOC2-rapportering

Attestasjonsuttalelse om kontrollmiljø i en serviceorganisasjon

Forsterket tillit ved å demonstrere effektive kontroller.

Deloitte leverer tredjepartsattestasjonstjenester (TPA) til en rekke kunder i ulike bransjer. De fleste innenfor IT Managed Services. Vi har flere års erfaring, både som utsteder av rapportene etter standarder ISAE3402, ISAE3000 eller SOC2, men også som brukere/analytikere av rapportene på vegne av våre revisjonsklienter.

Basert på tall fra vår Global TPA Gruppe, øker antall TPA-rapporter med 10 % hvert år. Flest rapporter er det under standarden ISAE3402 (SOC1) eller ISAE3000, men også SOC2-rapporter utgjør om lag 25 % av alle rapporter utgitt på verdensbasis.

Deloitte Global TPA

Deloitte er en global leder innen TPA, og har tjent store globale kunder i mange år. Vi har mer enn 700 ansatte i USA, og over 1000 ansatte globalt, som utfører disse oppdragene og som bidrar til våre globale TPA-satsning. Vår globale organisasjon utsteder årlig mer enn 500 TPA-rapporter på tvers av alle bransjer.

I Norge har vi lang erfaring med disse tjenestene. Vi leverer flere ISAE3402- og ISAE3000-rapporter, og leverte det vi tror er Norges første SOC2-rapport (Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy) i januar 2018. Gjennom vårt globale TPA-nettverk, har vi hatt langvarig kontakt med våre ressurser både i Europa og USA med hensyn til disse tjenestene, og har gleden av å dele ressurser, verktøy og maler med mange verdifulle TPA-ressurser i vårt verdensomspennende nettverk. TPA-gruppen møtes en gang i måneden for å dele det siste innenfor tjenesten og for å diskutere utviklingen i standardene. Hvis vi i Norge har et problem som vi trenger å diskutere, er hjelp bare en e-post eller telefon unna.

Vårt norske team med mer enn 25 spesialister innen IT-revisjon, internkontroll og dataanalyse, har lang erfaring med å tilby IT-revisjon og informasjonssikkerhetsrelaterte tjenester. Vi samarbeider tett med våre Cyber Security-spesialister i saker som angår informasjonssikkerhetsstyring og svært teknisk sikkerhetstesting. Vi har også etablert en nordisk TPA-gruppe for å samarbeide med nordiske oppdrag, dele ressurser, verktøy og erfaringer.

Vår TPA-gruppe i Norge ledes av Kevin McCloskey som har jobbet med TPA-rapportering siden tidlig 1990-tallet og har lang erfaring med ISAE3402- og ISAE3000-standarder, COBIT, ISO27000 og andre relevante standarder. Han er et medlem av Deloitte Global TPA-gruppen og var foredragsholder i IT-revisjon ved Norges Handelshøyskole (NHH) i svy år. Kevin og teamet hans jobber kontinuerlig med utvikling av TPA-tjenestene, og har som nevnt levert en ny type av rapport i Norge. Den heter SOC2 og er en rapport som fokuserer på informasjonssikkerhet. Sammen med vår Cyber Security-gruppe, jobber vi med en metode for å kunne utstede en bekreftelse av etterlevelse av de nye GDPR-kravene ved bruk av SOC2-standard (som heter SOC2+)

Vi bruker internasjonalt anerkjente metoder og metodikk for å sikre kvalitet i leveransen og effektiv bruk av tid. Vi er vant til å jobbe med både virksomheter som har implementert internkontroll og styringssystemer i av høyeste kvalitet, samt virksomheter som nettopp har startet utvikling og organisering av sitt internkontrollmiljø. Vår målsetning er ikke å levere en uttalelse alene, men også å bidra til en forbedring og videreutvikling av virksomhetens internkontrollmiljø.

Nøl ikke med å kontakte oss dersom det er noe dere ønsker å diskutere knyttet til denne type attestasjonsoppdrag.

Bakgrunn

Outsourcing er en økende trend, og virksomheter er i stadig større grad avhengige av tredjeparter for å levere forretningskritiske tjenester. Det kan gjelde tjenester innen informasjonsteknologi, finans og regnskap, kundeservice, HR, betaling og administrasjon, forvaring, fondsadministrering og forvaltning. For å sikre at virksomheten har tilfredsstillende kontroll og at internkontrollrutinene som er utført hos tredjepart er tilstrekkelig utformet, implementerte og effektive, må man innhente en forståelse av internkontroll som de enkelte leverandører har ansvar for, samt utføre tester av deres etterlevelse av kontrollene. Som en konsekvens av dette, etterspør virksomheten (og deres revisor) bekreftelse på implementert internkontroll hos serviceleverandører fra en tredjepart for å kunne sikre seg om at de har god internkontroll.

Det finnes flere standarder som kan brukes i sammenheng med den tredjepartsattestasjon. Hver av disse har egne fokusområder, målgruppe og bruksområder.

Fordeler med ISAE 3402 rapportering

Målet med en ISAE 3402-rapport er at serviceorganisasjonen får en attestasjonsuttalelse om at dens beskrivelse av internkontrollen stemmer med hva som er implementert i virksomheten og at kontroller er hensiktsmessig utformet og har fungert effektivt i perioden rapporten dekker. Der virksomheten bør utbedre internkontrollen, gir revisor slike innspill.

Ved å engasjere en uavhengig tredjepart til å foreta en evaluering, blir serviceorganisasjonen gjenstand for én revisjon, i motsetning til flertallige revisjoner på vegne av flere outsourcingkunder.

Når evalueringen er ferdigstilt distribueres rapporten til virksomhetens kunder, slik at deres revisorer kan bygge på disse funnene og deretter begrense eller eliminere ytterligere revisjonshandlinger. Dette kan bidra til å redusere belastningen på serviceorganisasjonens ressurser og redusere driftskostnader for kundene deres, da kundene ikke lenger trenger å sende revisorer for å revidere deres virksomhet.

Blant annet vil kontrollrapportene:

  • Styrke virksomhetens omdømme
  • Bistå med å oppfylle kundenes og deres uavhengige revisorers ansvar
  • Dokumentere at kontroller er utarbeidet og implementert i tråd med anerkjente rammeverk for internkontroll (f.eks. COSO)
  • Sørge for en uavhengig evaluering av kontrollmiljøet basert på en anerkjent internasjonal standard

Ulike standarder

ISAE3402 /SOC1

Beskrivelse: Attestasjonsrapport som gir sikkerhet over internkontroll relevant til prosessering av finansielle informasjon.

Vanlige fokusområder: IT Governance, informasjonssikkerhet, applikasjonsendringhåndtering, IT-drift, Backup & Recovery og incidenthåndtering.

Målgruppe: Brukerorganisasjoner av tjenester eller applikasjoner og deres revisorer.

Bruksområder: Brukes ofte for å erstatte eller minimere behov for egne kontrollaktiviteter hos leverandøren. Type I-rapporter er point-in-time rapporter mens Type II-rapporter dekker en periode (oftest et år).

ISAE3000

Beskrivelse: Attestasjonsoppdrag som ikke er revisjon eller forenklet revisorkontroll av historisk finansiell informasjon.

Vanlige fokusområder: Internkontrollrutiner relaterte til informasjonssikkerhet, applikasjonsendringhåndtering, IT Drift, Backup & Recovery, incidenthåndtering. Kan også omfatte kunde-spesifikke krav (f.eks., håndtering av krypteringsnøkler eller kontroll og sikkerhet over dataoverføringer).

Målgruppe: Kunder med behov for bekreftelse av spesifikke kontrollaktiviteter uten behov for en omfattende beskrivelse av leverandørens tjenester og interne rutiner for utførelse av kontrollaktivitetene.

Bruksområder: Sikkerhet over spesifikke internkontrollrutiner uten behov for detaljert beskrivelse som i en ISAE3402 / SOC1. Disse rapportene kan være point-in-time eller dekke en periode.

SOC2

Beskrivelse: Rapporterer om kontroller hos en serviceorganisasjon som jobber med sikkerhet, tilgjengelig, prosessintegritet, konfidensialitet og privacy. 

Vanlige fokusområder: Internkontroll relaterte til informasjonsikkerhet, tilgjengelighet, integritet, konfidensialitet eller personvern.

Målgruppe: Kunder med behov for å ha bekreftelse at leverandøren har god rutiner relaterte til de spesifikke områdene dekket av rapporten.

Bruksområder: Bekreftelse at leverandøren har gode internkontrollrutiner rundt en bestemt regulatorisk krav eller bransjenorm.

SOC2+

Beskrivelse: Samme type rapport som ovenfor, men med kobling til en annet standard / krav som ISO27000 eller NIST og det utvikles en kobling til GDPR-kravene.

Vanlige fokusområder: Disse rapportene er oftest koblet til ISO27000, NIST eller HIPAA (amerikanske standarder i helsebransjen) for å gi en mer relevant rapport.

Målgruppe: Kunder innenfor en spesifikke bransje (Helse f.eks.) eller med behov for å få en mer spesifikk rapport enn SOC2.

Bruksområder: Bekreftelse på at leverandøren har gode internkontrollrutiner rundt et bestemt regulatorisk krav eller en bransjenorm.

 

Andre sertifiseringer som ISO27000 eller PCI DSS

I tillegg til de TPA-standardene nevnt ovenfor, kan et selskap velge å få en sertifisering innen blant annet informasjonssikkerhetsstyring (ISO27000) eller Payment Card Industry Data Security Standard (PCI DSS). Disse sertifiseringer har egne fokus- og bruksområder, men overlapper også en god del med TPA. Det er imidlertid grunnleggende forskjeller i omfanget av en ISO 27001-sertifisering eller en PCI DSS-sertifisering og – som et eksempel - en ISAE3402-rapport:

  •  Leverandører som får en ISO 27001-sertifisering, er i stand til å demonstrere for sine partnere og kunder at de er 100 % forpliktet til å etterleve kravene i styringsrammen ISO 27001 og sertifisere mot denne standarden. Dette er et godt skritt mot å sikre at krav knyttet til informasjonssikkerhet i en ISAE3402-/ISAE3000-attestasjon er oppfylt.
  • ISO 27001 fokuserer spesielt på kontrollene rundt informasjonssikkerhet og PCI DSS er fokusert på sikkerhet rundt beskyttelse av kredittkortinformasjon. Disse dekker ikke de andre områdene som normalt er i bruk for økonomisk revisjon som drift eller applikasjonsendringshåndtering.
  • ISO 27001-sertifisering og PCI DSS-sertifisering er basert på en vurdering på et gitt tidspunkt, og gir dermed ikke brukeren innsikt i de faktiske detaljer om kontroller og ytelse over en periode av tid (som en eksternrevisor ofte krever). En ISO 27001-sertifisering er et bevis på at leverandøren har styringssystemet på plass for å sikre kontroll, men ISAE3402 / ISAE3000 gir sikkerhet om at de kontrollene har vært implementert i hele perioden og har fungerte som forutsatt.
  • ISAE3402-/ISAE3000-kontroller og revisjonsrapporter dreier seg om serviceorganisasjonskontrollene som påvirker kundens interne kontroller på finansiell rapportering (ICFR). ISO 27001 og PCI DSS fokuserer ikke på ICFR-er.
  • ISAE3402-rapporter er restriktive rapporter, og den tilsiktede målgruppen er begrenset til personer i tjenesteleverandøren og klientorganisasjonen (og deres revisorer).

Fordeler med TPA-rapportering

Målet med en TPA-rapport er at serviceorganisasjonen får en attestasjonsuttalelse om at dens beskrivelse av internkontrollen stemmer med hva som er implementert i virksomheten, og at kontrollene er hensiktsmessig utformet og har fungert effektivt i perioden rapporten dekker. Der virksomheten bør utbedre internkontrollen, gir revisor slike innspill.

Ved å engasjere en uavhengig tredjepart til å foreta en evaluering, blir serviceorganisasjonen gjenstand for én revisjon, i motsetning til flere revisjoner på vegne av flere outsourcingkunder.

Når evalueringen er ferdigstilt distribueres rapporten til virksomhetens kunder, slik at deres revisorer kan bygge på disse funnene og deretter begrense eller eliminere ytterligere revisjonshandlinger. Dette kan bidra til å redusere belastningen på serviceorganisasjonens ressurser og redusere driftskostnader for kundene deres, da kundene ikke lenger trenger å sende revisorer for å revidere deres virksomhet.

Blant annet vil kontrollrapportene:

  • Styrke virksomhetens omdømme.
  • Bistå med å oppfylle kundenes og deres uavhengige revisorers ansvar.
  • Dokumentere at kontroller er utarbeidet og implementert i tråd med anerkjente rammeverk for internkontroll (f.eks. COSO).
  • Sørge for en uavhengig evaluering av kontrollmiljøet basert på en anerkjent internasjonal standard.

 

 

Kontakt

Kevin McCloskey

Kevin McCloskey

Director

Kevin McCloskey er Director i Risk Advisory.... Mer