Открыть сервис

ISAE 3402

ISAE 3402 (International Standard on Assurance Engagements 3402, «Международный стандарт заданий, обеспечивающих уверенность, 3402») — это международный стандарт аудиторской деятельности, устанавливающий требования к заданиям, обеспечивающим уверенность в отношении контроля в сервисных организациях. Стандарт разработан Международной федерацией бухгалтеров (IFAC) через Совет по международным стандартам аудита и заданий, обеспечивающих уверенность (IAASB). Он предназначен для аудиторов, которые готовят отчёты о системе внутреннего контроля сервисной организации, предоставляющей услуги клиентам (пользовательским организациям), и позволяет клиентам и их аудиторам оценить надёжность контрольных процедур, влияющих на финансовую отчётность.

История и контекст появления

Стандарт ISAE 3402 был опубликован IAASB в 2008 году и вступил в силу для отчётов, датированных 15 июня 2011 года или позднее. Его появление было вызвано ростом аутсорсинга бизнес-процессов, особенно в сфере информационных технологий, обработки данных и бухгалтерского учёта. До ISAE 3402 существовал национальный стандарт США — SAS 70 (Statement on Auditing Standards No. 70), который широко применялся международными компаниями, но не имел глобального статуса. ISAE 3402 заменил SAS 70 в качестве международного ориентира, обеспечив единый подход к аудиту сервисных организаций в разных юрисдикциях.

В России стандарт ISAE 3402 не является обязательным для применения в рамках законодательства об аудиторской деятельности, но используется международными компаниями и российскими организациями, работающими с иностранными партнёрами. В 2017 году Минфин России ввёл в действие Международные стандарты аудита (МСА), однако ISAE 3402 относится к стандартам заданий, обеспечивающих уверенность, и применяется добровольно.

Цель и область применения

Основная цель ISAE 3402 — предоставить аудиторам сервисных организаций методологию для подготовки отчёта, который даёт пользовательским организациям и их аудиторам уверенность в том, что система контроля сервисной организации функционирует эффективно. Стандарт охватывает:

  • Сервисные организации — компании, предоставляющие услуги, которые влияют на финансовую отчётность клиентов (например, центры обработки данных, провайдеры облачных услуг, аутсорсинговые бухгалтерские фирмы, платёжные системы).
  • Пользовательские организации — клиенты сервисных организаций, которые используют эти услуги для ведения своего бизнеса и подготовки отчётности.
  • Аудиторов пользовательских организаций — они используют отчёт ISAE 3402 для оценки рисков существенных искажений в финансовой отчётности клиента.

Стандарт не применяется к аудиту финансовой отчётности самой сервисной организации, а фокусируется на её внутреннем контроле, связанном с услугами, предоставляемыми третьим лицам.

Ключевые элементы стандарта

Типы отчётов

ISAE 3402 предусматривает два типа отчётов, которые различаются по объёму аудиторских процедур:

  1. Отчёт типа 1 (Type I report) — содержит описание системы контроля сервисной организации на определённую дату (например, на 31 декабря) и заключение аудитора о том, что система была спроектирована надлежащим образом для достижения заявленных целей контроля. Аудитор не проверяет операционную эффективность контроля за период.
  2. Отчёт типа 2 (Type II report) — включает описание системы контроля и заключение как о её надлежащем проектировании, так и об операционной эффективности контроля в течение указанного периода (обычно не менее 6 месяцев). Аудитор проводит тестирование контрольных процедур на предмет их фактического выполнения.

Структура отчёта

Отчёт по ISAE 3402 состоит из нескольких обязательных разделов:

  • Заявление руководства сервисной организации — описание системы контроля, целей контроля, рисков и процедур.
  • Описание системы контроля — детализация инфраструктуры, программного обеспечения, персонала, процедур обработки данных, а также границ системы (что включено, а что исключено).
  • Заключение аудитора — мнение о соответствии описания системы, а для отчёта типа 2 — об эффективности контроля.
  • Описание контрольных процедур и результатов тестирования (только для типа 2) — перечень проверенных контролей и выводы о их работе.

Принципы и требования

Стандарт требует, чтобы аудитор:

  • Получил понимание системы контроля сервисной организации, включая её цели, риски и контрольные мероприятия.
  • Оценил, соответствует ли описание системы фактическому состоянию.
  • Для отчёта типа 2 — спланировал и выполнил тестирование контрольных процедур, чтобы оценить их операционную эффективность.
  • Выразил мнение в форме, установленной стандартом, с указанием ограничений (например, что контроль может не предотвратить все ошибки).

Процесс получения отчёта ISAE 3402

Процесс обычно включает следующие этапы:

  1. Определение границ аудита — сервисная организация совместно с аудитором определяет, какие услуги и системы будут включены в отчёт.
  2. Подготовка описания системы — руководство сервисной организации составляет документ, описывающий контрольную среду, процессы, риски и меры контроля.
  3. Аудит — аудиторская фирма (например, «большая четвёрка» — Deloitte, PwC, EY, KPMG) проводит проверку: изучает документацию, интервьюирует сотрудников, тестирует контрольные процедуры.
  4. Выдача отчёта — аудитор выпускает отчёт типа 1 или 2, который затем предоставляется клиентам сервисной организации.

Значение для бизнеса

ISAE 3402 играет важную роль в современной деловой практике, особенно в условиях глобализации и цифровизации. Основные выгоды для сторон:

  • Для сервисных организаций — отчёт служит доказательством надёжности внутреннего контроля, что повышает доверие клиентов и может быть конкурентным преимуществом. Многие крупные компании требуют от своих поставщиков услуг предоставления отчёта ISAE 3402.
  • Для пользовательских организаций — отчёт позволяет снизить объём собственных аудиторских процедур, так как аудитор клиента может полагаться на выводы ISAE 3402 при оценке рисков. Это экономит время и ресурсы.
  • Для аудиторов — стандарт обеспечивает единую методологию и снижает неопределённость при проверке аутсорсинговых услуг.

Критика и ограничения

Несмотря на широкое признание, ISAE 3402 имеет ряд ограничений:

  • Ограниченная область применения — стандарт охватывает только контроль, связанный с финансовой отчётностью. Он не оценивает общую эффективность бизнеса, безопасность данных (кроме случаев, когда это прямо влияет на отчётность) или соответствие законам, не связанным с финансами.
  • Затратность — получение отчёта, особенно типа 2, требует значительных временных и финансовых затрат, что может быть непосильно для малых сервисных организаций.
  • Субъективность — описание системы и оценка эффективности контроля могут зависеть от интерпретации аудитора, что иногда приводит к расхождениям между отчётами разных аудиторов.
  • Не замена внутреннего аудита — отчёт ISAE 3402 не освобождает пользовательскую организацию от необходимости проводить собственный мониторинг контроля.

Связь с другими стандартами

ISAE 3402 является частью семейства стандартов IAASB, включающего также ISAE 3000 (общие стандарты для заданий, обеспечивающих уверенность) и ISAE 3410 (стандарт по выбросам парниковых газов). В области информационной безопасности и ИТ-аудита часто используется стандарт SOC 2 (Service Organization Control 2), разработанный Американским институтом дипломированных бухгалтеров (AICPA). SOC 2 фокусируется на безопасности, доступности, целостности обработки, конфиденциальности и приватности данных, тогда как ISAE 3402 — на контроле, влияющем на финансовую отчётность.

Применение в России

В России ISAE 3402 используется преимущественно международными компаниями и российскими организациями, которые предоставляют услуги иностранным клиентам или входят в международные холдинги. Например, крупные российские банки, ИТ-компании и аутсорсинговые бухгалтерские фирмы могут заказывать отчёты ISAE 3402 для подтверждения качества своих услуг. Российские аудиторские фирмы, входящие в международные сети, также оказывают услуги по подготовке таких отчётов.

Источники

  1. International Standard on Assurance Engagements 3402, «Assurance Reports on Controls at a Service Organization» (IAASB, 2008, revised 2011).
  2. Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements (IAASB, 2020 edition).
  3. «ISAE 3402: A Practical Guide for Service Organizations» (IFAC, 2011).
  4. Федеральный закон «Об аудиторской деятельности» № 307-ФЗ от 30.12.2008 (с изменениями).
  5. Приказ Минфина России от 09.11.2016 № 207н «О введении в действие международных стандартов аудита на территории Российской Федерации».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →