Outsourcing pod lupą: standardy SAS70 / ISAE3402

Obecnie niewiele firm outsourcingowych w Polsce może pochwalić się posiadaniem certyfikatu bezpieczeństwa oferowanych usług. Główną przyczyną jest zarówno bariera cenowa, jak i stosunkowo mała presja klientów lokalnych na podnoszenie poziomu bezpieczeństwa oraz jakości. Opisanej powyżej certyfikacji mogą podlegać następujące funkcje biznesowe (w obszarze finansów) prowadzone przez firmy outsourcingowe lub centra usług:

• finanse i księgowość;
• płace i kadry;
• procesy przetwarzania danych (w tym skanowanie, archiwizacja lub inne).

Certyfikatem bezpieczeństwa dla outsourcera jest niezależne badanie zgodne ze standardem SAS7/ISAE34021. To oficjalny raport o powstaniu, wdrożeniu i efektywności operacyjnej mechanizmów kontrolnych organizacji świadczącej usługi.

W praktyce raport ten jest dla klienta gwarancją, że:

• jego dane przechowywane są w bezpieczny sposób;
• przetwarzanie danych przebiega prawidłowo i wyłącznie w celach określonych w kontrakcie;
• obszary przetwarzania danych i raportowania są kontrolowane.

Przeprowadzany corocznie audyt stanowi dla klientów dodatkową gwarancję, poza SLA, że jakość oferowanych usług nie spadnie, zapewnia także jej analizę dynamiczną w określonym czasie. Klient otrzymuje narzędzie, które obiektywnie ocenia efektywność mechanizmów kontrolnych wdrożonych w firmie prowadzącej np. jego księgi rachunkowe lub płace.

Raport z badania to wiele różnorodnych informacji na temat:

• zdefiniowanych celów kontrolnych;
• opisu środowiska kontrolnego i kluczowych czynności kontrolnych;
• testów efektywności operacyjnej i rezultatów tych testów;
• listy kontroli wykonanych dodatkowo przez klienta korzystającego z usługi zewnętrznej.

Powyższe informacje pozwalają ocenić jakość oferowanej usługi, a co najważniejsze jej wpływ na wiarygodność sprawozdania finansowego klienta. Badanie zgodne ze standardem SAS7/ISAE3402 to zaświadczenie, że outsourcing ksiąg lub płac jest w „bezpiecznych rękach”, a w związku z tym to komfortowa sytuacja dla klienta i dobry sposób na współczesne zarządzenie ryzykiem biznesowym.

SAS70 jest standardem stworzonym przez amerykańskich biegłych rewidentów (Auditing Standards Board of the American Institute of Certified Public Accountants - AICPA), który od ponad 40 lat stanowi w USA podstawę raportowania wyników badania kontroli w organizacjach usługodawców.

Dzięki ustawie Sarbanes-Oxley (SOX), SAS70 stał się standardem stosowanym na skalę międzynarodową. Raport powstały po kontroli szczegółowo określa przebieg wdrożenia i efektywności operacyjnej mechanizmów kontrolnych badanego usługodawcy.

ISAE3402 to standard stworzony przez International Auditing and Assurance Standards Board (IAASB), radę do spraw standaryzacji przy Międzynarodowym Stowarzyszeniu Księgowych (IFAC). Istniejący SAS 70 zostanie zastąpiony przez SSAE 16 i ISAE3402.

W Polsce nowy standard stosowany jest już od 2. połowy 2010 roku i ma stać się globalnie rozpoznawanym standardem audytów w organizacjach świadczących usługi.

W praktyce występują dwa rodzaje raportów:

1. Typ I to raport z testu działania stosowanych przez usługodawcę mechanizmów kontroli. Jest to raport niezależnego audytora, przedstawiający jego opinię na temat sposobów kontroli w badanym podmiocie. Raport Typu I określa więc jedynie sposób działania tych mechanizmów w dniu kontroli. To raport statyczny, w którym audytor wydaje opinię na temat odpowiedniej budowy kontroli, rzetelności prezentacji opisu procesów i kontrolioraz na temat ich wdrożenia z określoną datą.
2. Typ II to raport z testu wydajności operacyjnej mechanizmów kontroli procesów biznesowych. Dotyczy on dłuższego horyzontu czasu, który potrzebny jest firmie na wprowadzenie niezbędnych zmian, zazwyczaj okresów nie krótszych niż 6 miesięcy. Jest raportem dynamicznym.