ISAE 3402 och SOC 1

Organisationer lägger i allt högre grad ut icke-kärnaffärsprocesser på entreprenad till tjänsteleverantörer som SaaS-företag, kapitalförvaltare och fastighetsförvaltningsföretag. ISAE 3402 är en global standard som ger insyn i hur tjänster utförs, hur säkerhet hanteras och hur bedrägeribekämpningsåtgärder implementeras. Den relaterade ISAE 3402-rapporten hjälper till att verifiera att lämpliga kontroller har införts. Dessa rapporter är avgörande för att minska riskerna i samband med outsourcing och se till att tjänsteleverantörerna upprätthåller effektiva kontrollramar, särskilt i känsliga branscher som finans. SOC 1 motsvarar ISAE 3402 i USA och täcker samma omfattning och har samma typer av rapportering.

Hur man får ISAE 3402-certifiering

01
Förstå kraven
Bekanta dig med kraven i ISAE 3402 och ta reda på vad det har för betydelse för din organisation och dina kunder.
02
Förberedelse av revision
Välj en oberoende revisor och definiera revisionens omfattning, inklusive viktiga processer och kontroller.
03
Dokumentation och analys
Dokumentera befintliga kontroller och skapa en kontrollmatris och genomför sedan en gapanalys för att identifiera brister.
04
Interna kontroller
Utföra interna tester av kontroller och uppdatera dokumentation baserat på testresultat.
05
Genomför extern revision
Förbereda nödvändig dokumentation för den externa revisorn och ge tillgång till processer och material.
06
Analysera resultat och förbättra
Ta emot revisionsberättelsen, analysera resultaten och implementera rekommendationer för kontinuerlig förbättring av processer och kontroller.

Viktiga delar i enISAE 3402-rapport

En ISAE 3402-rapport innehåller vanligtvis

Revisorns yttrande

Detaljerad information om revisionens inriktning och omfattning, revisionsperiod och om rapporten är kvalificerad eller okvalificerad.

Revisorns yttrande

Detaljerad information om revisionens inriktning och omfattning, revisionsperiod och om rapporten är kvalificerad eller okvalificerad.

Beskrivning av systemet

Förklarar hur risker hanteras, inklusive allmänna IT-kontroller (GITC) som logisk åtkomst, ändringshantering och fysisk säkerhet.

Ytterligare info

Valfritt avsnitt med ytterligare relevant information.

Ytterligare info

Valfritt avsnitt med ytterligare relevant information.

ISAE 3402 vs. ISO 27001 & SOC 2

The ISAE 3402 audit evaluates the design and effectiveness of internal controls impacting financial statements, with the external auditor assessing control design (Type I) and operational effectiveness over time (Type II). The report typically includes are least a control matrix showing the risk management framework, control objectives, control measures, and audit results.

ISAE 3402: Finansiell styrning och outsourcing

ISAE 3402 är i första hand avsedd för serviceorganisationer som påverkar sina kunders finansiella rapportering. Den fokuserar på utvärdering och rapportering av interna finansiella kontroller. Används ofta av företag inom sektorer som redovisning, tillgångsförvaltning och outsourcing av affärsprocesser (BPO) som tillhandahåller tjänster som påverkar kundernas finansiella rapportering. Huvudvikten ligger på att säkerställa att organisationens kontroller stöder korrekt finansiell rapportering för sina kunder, och revisorer ger ett oberoende uttalande om dessa kontroller. Hjälper organisationer att visa efterlevnad av externa regelkrav relaterade till finansiell rapportering.

ISO 27001 och SOC 2: Säkerhet och dataskydd

ISAE 3402 är i första hand avsedd för serviceorganisationer som påverkar sina kunders finansiella rapportering. Den fokuserar på utvärdering och rapportering av interna finansiella kontroller.

Utvecklingen avISAE 3402

2009
Lansering

IAASB introducerade ISAE 3402, som ger ett ramverk för bedömning av interna kontroller i serviceorganisationer.

Anpassning till SOC 1

Standarden är i linje med AICPA:s SOC 1-ramverk för enklare efterlevnad.

2013
2016
Globalt erkännande

ISAE 3402 fick internationell acceptans med betoning på transparens och ansvarsskyldighet.

Fortsatt utveckling

ISAE 3402 anpassar sig för att möta de utmaningar som digital omvandling och cybersäkerhetshot innebär.

2021 och framåt

UTBILDNING

För organisationer som följer ISAE 3402 är utbildning avgörande för att förstå revisionskrav, kontrollramverk och för att skapa en stark ISAE 3402-rapport. Specialiserade konsulter kan hjälpa till att definiera kontroller, genomföra riskbedömningar och förbereda för revisioner. Regelbunden utbildning säkerställer att interna team och revisorer håller sig uppdaterade med bästa praxis och föränderliga standarder.

Läs mer

Få tillgång till mer information

Läs mer om påverkan och kraven i ISAE 3402.
Ladda ner whitepaper