ISAE 3402 – dwa typy raportów

Każda organizacja usługowa (service organisation) powinna dążyć do poszerzania swoich kompetencji i potwierdzania w praktyce profesjonalizmu. Jedną z metod udowadniania wysokiego poziomu kwalifikacji jest niewątpliwie przeprowadzenie audytu zgodnie ze standardem ISAE 3402.

Aby ich klienci mieli pewność, że powierzają część swojego biznesu (w formie mniej lub bardziej kluczowych procesów) w „dobre ręce”, firmy outsourcingowe powinny rozważyć poddanie się odpowiedniemu audytowi. Pozwalając ocenić swoje procesy biznesowe i systemy kontroli udowadniają korzystającym z ich usług podmiotom, że nie muszą się obawiać o jakość świadczeń i mogą w pełni skupić się na zasadniczym przedmiocie swojej działalności.

Krótkie wprowadzenie do tematu, wraz ze wskazaniem korzyści, jakie można osiągnąć dzięki raportowi ISAE 3402, znaleźć można w jednej z naszych wcześniejszych notek blogowych.

Co powinno się znaleźć w raporcie ISAE 3402?

W tym wpisie chciałbym omówić dwa rodzaje raportów, które wskazuje standard ISAE 3402.

Raport typu 1

Pierwszy rodzaj raportu obejmuje elementy takie, jak:

1. Opis atestowanego w trakcie audytu systemu organizacji usługowej;

2. Pisemne oświadczenie kierownictwa organizacji usługowej. Potwierdza ono, że we wszystkich istotnych aspektach oraz na podstawie odpowiednich kryteriów:

a) przygotowany opis systemu rzetelnie prezentuje system organizacji usługowej, który został zaprojektowany i wdrożony na określoną datę,
b) przeprowadzone kontrole, powiązane z celami kontroli określonymi w opracowanym przez organizację usługową opisie jej systemu, były odpowiednio zaprojektowane na określoną datę.

3. Raport atestacyjny biegłego rewidenta organizacji usługowej, który przekazuje wniosek dający racjonalną pewność, co do kwestii omówionych w punkcie 2.

Organizacje usługowe, które decydują się na uzyskanie raportu ISAE 3402 w pierwszym roku swojego działania, przeprowadzają zazwyczaj audyt właśnie wg raportu typu 1. Dzieje się tak z uwagi na fakt, że w początkowym okresie firmom może brakować wystarczających dowodów potwierdzających skuteczność działania czynności kontrolnych w ramach systemu, który jest audytowany.

Wiele jednak zależy od stopnia dojrzałości systemu kontroli wewnętrznej danej organizacji usługowej. Jeśli bowiem jednostka cechuje się dużą dojrzałością organizacyjną, osiąga wysoki poziom profesjonalizacji istotnych rozwiązań i procesów, a także działa w oparciu o najlepsze praktyki oraz ma właściwie zaprojektowany i skuteczny system kontroli wewnętrznej, to wówczas właściwym ruchem może być uzyskanie od razu atestacji zgodnie z raportem typu 2.

Raport typu 2

Ten bardziej rozbudowany dokument obejmuje:

1. Opis atestowanego w trakcie audytu systemu organizacji usługowej,

2. Pisemne oświadczenie kierownictwa organizacji usługowej. Potwierdza ono, że we wszystkich istotnych aspektach oraz na podstawie odpowiednich kryteriów:

a) przygotowany opis systemu rzetelnie prezentuje system organizacji usługowej, który został zaprojektowany i był wdrożony w określonym przedziale czasu,  
b) przeprowadzone kontrole, powiązane z celami kontroli określonymi w opracowanym przez organizację usługową opisie jej systemu, były odpowiednio zaprojektowane w określonym przedziale czasu,
c) przeprowadzone kontrole, powiązane z celami kontroli określonymi w opracowanym przez organizację usługową opisie jej systemu, skutecznie działały w określonym przedziale czasu.

3. Raport atestacyjny biegłego rewidenta organizacji usługowej, który:

a) przekazuje wniosek dający racjonalną pewność, co do kwestii omówionych powyżej w punkcie 2,
b) zawiera opis testów kontroli i ich wyniki.

Raport ISAE 3402 typu drugiego stanowi istotny dokument nie tylko dla klientów organizacji usługowej, korzystającym z oferowanego przez nią outsourcingu usług. Badanie przeprowadzone zgodnie z tym standardem stanowi również sygnał dla audytorów tychże klientów. Dzięki niemu firmy weryfikujące sprawozdania finansowe i prowadzące kontrole w niektórych „wyoutsourcowanych” obszarach działalności klienta wiedzą, że zostały one przetestowane już w ramach czynności wykonanych pod szyldem ISAE 3402.

Jak to zatem doskonale widać, raport ten może przynieść wielopoziomowe korzyści, które nie zawsze są oczywiste na pierwszy rzut oka. Dlatego wszystkich, którzy chcieliby dowiedzieć się więcej na temat sposobów jego przeprowadzania oraz wiążących się z nim działań, zapraszamy do kontaktu.