Outsourcing pod lupą: standardy SAS70 / ISAE3402

Kategoria: Finanse w firmie
Data: 20-05-2014 r.

Klient, który zlecił usługodawcy prowadzenie kluczowych procesów finansowych chciałby potwierdzić w sposób formalny prawidłowość i efektywność kontroli nad powierzonymi obszarami. Głównym narzędziem dostarczającym dowodów na wysoką jakość, kontrolę i bezpieczeństwo danych przekazanych do realizacji na zewnątrz staje się audyt procedur.

Obecnie niewiele firm outsourcingowych w Polsce może pochwalić się posiadaniem certyfikatu bezpieczeństwa oferowanych usług. Główną przyczyną jest zarówno bariera cenowa, jak i stosunkowo mała presja klientów lokalnych na podnoszenie poziomu bezpieczeństwa oraz jakości. Opisanej powyżej certyfikacji mogą podlegać następujące funkcje biznesowe (w obszarze finansów) prowadzone przez firmy outsourcingowe lub centra usług:

  • finanse i księgowość;
  • płace i kadry;
  • procesy przetwarzania danych (w tym skanowanie, archiwizacja lub inne).

Badanie zgodne ze standardem SAS70 / ISAE34021

Certyfikatem bezpieczeństwa dla outsourcera jest niezależne badanie zgodne ze standardem SAS7/ISAE34021. To oficjalny raport o powstaniu, wdrożeniu i efektywności operacyjnej mechanizmów kontrolnych organizacji świadczącej usługi.

W praktyce raport ten jest dla klienta gwarancją, że:

  • jego dane przechowywane są w bezpieczny sposób;
  • przetwarzanie danych przebiega prawidłowo i wyłącznie w celach określonych w kontrakcie;
  • obszary przetwarzania danych i raportowania są kontrolowane.

Przeprowadzany corocznie audyt stanowi dla klientów dodatkową gwarancję, poza SLA, że jakość oferowanych usług nie spadnie, zapewnia także jej analizę dynamiczną w określonym czasie. Klient otrzymuje narzędzie, które obiektywnie ocenia efektywność mechanizmów kontrolnych wdrożonych w firmie prowadzącej np. jego księgi rachunkowe lub płace.

Raport z badania to wiele różnorodnych informacji na temat:

  • zdefiniowanych celów kontrolnych;
  • opisu środowiska kontrolnego i kluczowych czynności kontrolnych;
  • testów efektywności operacyjnej i rezultatów tych testów;
  • listy kontroli wykonanych dodatkowo przez klienta korzystającego z usługi zewnętrznej.

Powyższe informacje pozwalają ocenić jakość oferowanej usługi, a co najważniejsze jej wpływ na wiarygodność sprawozdania finansowego klienta. Badanie zgodne ze standardem SAS7/ISAE3402 to zaświadczenie, że outsourcing ksiąg lub płac jest w „bezpiecznych rękach”, a w związku z tym to komfortowa sytuacja dla klienta i dobry sposób na współczesne zarządzenie ryzykiem biznesowym.

SAS70 - Statement on Auditing Standards

SAS70 jest standardem stworzonym przez amerykańskich biegłych rewidentów (Auditing Standards Board of the American Institute of Certified Public Accountants - AICPA), który od ponad 40 lat stanowi w USA podstawę raportowania wyników badania kontroli w organizacjach usługodawców.

Dzięki ustawie Sarbanes-Oxley (SOX), SAS70 stał się standardem stosowanym na skalę międzynarodową. Raport powstały po kontroli szczegółowo określa przebieg wdrożenia i efektywności operacyjnej mechanizmów kontrolnych badanego usługodawcy.

ISAE3402 - International Standard on Assurance Engagements 

ISAE3402 to standard stworzony przez International Auditing and Assurance Standards Board (IAASB), radę do spraw standaryzacji przy Międzynarodowym Stowarzyszeniu Księgowych (IFAC). Istniejący SAS 70 zostanie zastąpiony przez SSAE 16 i ISAE3402.

W Polsce nowy standard stosowany jest już od 2. połowy 2010 roku i ma stać się globalnie rozpoznawanym standardem audytów w organizacjach świadczących usługi.

W praktyce występują dwa rodzaje raportów:

  1. Typ I to raport z testu działania stosowanych przez usługodawcę mechanizmów kontroli. Jest to raport niezależnego audytora, przedstawiający jego opinię na temat sposobów kontroli w badanym podmiocie. Raport Typu I określa więc jedynie sposób działania tych mechanizmów w dniu kontroli. To raport statyczny, w którym audytor wydaje opinię na temat odpowiedniej budowy kontroli, rzetelności prezentacji opisu procesów i kontrolioraz na temat ich wdrożenia z określoną datą.
  2. Typ II to raport z testu wydajności operacyjnej mechanizmów kontroli procesów biznesowych. Dotyczy on dłuższego horyzontu czasu, który potrzebny jest firmie na wprowadzenie niezbędnych zmian, zazwyczaj okresów nie krótszych niż 6 miesięcy. Jest raportem dynamicznym. 
Agnieszka Chalińska, Accounting Partner Outsourcing Rachunkowości

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
Array ( [docId] => 35496 )
Array ( [docId] => 35496 )

Array ( [docId] => 35496 )