Raportowanie według ISAE 3402

Michał DREAS
Audit Manager w RSM Poland

Mimo, iż wiele firm zleciło realizację części lub całości swoich procesów zewnętrznym firmom wydaje się, że powszechność i popularność outsourcingu stale rośnie. Niewątpliwie przyczyną tego jest wzrost świadomości wśród osób zarządzających, wynikający z bardziej dojrzałego rynku, efektu globalizacji oraz szerszej współpracy w międzynarodowym środowisku (na przykład w ramach międzynarodowej grupy kapitałowej).

Warto zastanowić się nad tym, czy w ślad za rozpowszechnieniem usług outsourcingowych przez tzw. service organizations oraz wzrostem ilości firm, które takie rozwiązania świadczą, idzie również adekwatna atencja w zakresie tego, czy kontrole wewnętrzne w ramach firmy outsourcingowej są odpowiednio zaprojektowane i – co ważniejsze – właściwie realizowane, tak by jednostka zlecająca (user organization) miała komfort, że ryzyko jest ograniczone do akceptowanego poziomu. Co więcej, w trakcie outsourcingu dowolnych procesów biznesowych organizacja zlecająca (user organization) często wymaga od usługodawcy (service organization) zapewnienia, że posiada on wystarczający poziom zabezpieczeń i kontroli w celu właściwego zarządzania ryzykiem finansowym, operacyjnym i regulacyjnym.

Rozwiązaniem może być zatem niezależny, profesjonalny raport dostarczony przez audytora, który przeprowadził audyt w organizacji outsourcingowej zgodnie z międzynarodowymi standardami audytu (ISAE 3402). Raport taki będzie potwierdzeniem jakości nabywanej usługi. Co więcej, mógłby on być także udostępniony klientom – obecnym i potencjalnym (user entity).

Raportowanie wg ISAE 3402, w połączeniu z działaniami w zakresie oceny kontroli wewnętrznej w organizacji może pomóc w:

• identyfikacji i uświadomieniu związków/zależności pomiędzy kluczowymi procesami;
• określeniu istniejących luk w procesach oraz czynnościach kontrolnych, które mogą powodować zwiększone ryzyko dla funkcjonowania organizacji.

Raport z przeprowadzonego przez niezależnego audytora (service auditor) przeglądu może być udostępniany klientom tak, aby również ich audytorzy (user auditors), badający sprawozdania finansowe, mogli polegać na zamieszczonych w nim wynikach i ustaleniach. To z kolei  może mieć wpływ na ograniczenie lub nawet eliminację konieczności wykonywania dodatkowych procedur przy weryfikacji sprawozdań finansowych klientów. Organizacja, która posiada taki raport w sposób istotny może przyczynić się zatem do minimalizacji zaangażowania dodatkowych zasobów, a tym samym obniżyć koszty, szczególnie w dobie zachodzących zmian w metodologii badań sprawozdań finansowych.

Wśród korzyści, jakie mogą osiągnąć posiadacze raportu ISAE 3402 należy wymienić także:

• wzmocnienie reputacji organizacji;
• wpływ na wyższy komfort klientów oraz audytorów klientów;
• możliwość wykazania, że czynności kontrolne zostały zaprojektowane i wdrożone w oparciu o przyjęte ramy kontroli wewnętrznej;
• uzyskanie zapewnienia/weryfikacji cech środowiska kontroli w oparciu o uznany międzynarodowy standard.