ISAE 3402
ISAE 3402 (International Standard on Assurance Engagements 3402, «Международный стандарт заданий, обеспечивающих уверенность, 3402») — это международный стандарт аудиторской деятельности, устанавливающий требования к заданиям, обеспечивающим уверенность в отношении контроля в сервисных организациях. Стандарт разработан Международной федерацией бухгалтеров (IFAC) через Совет по международным стандартам аудита и заданий, обеспечивающих уверенность (IAASB). Он предназначен для аудиторов, которые готовят отчёты о системе внутреннего контроля сервисной организации, предоставляющей услуги клиентам (пользовательским организациям), и позволяет клиентам и их аудиторам оценить надёжность контрольных процедур, влияющих на финансовую отчётность.
История и контекст появления
Стандарт ISAE 3402 был опубликован IAASB в 2008 году и вступил в силу для отчётов, датированных 15 июня 2011 года или позднее. Его появление было вызвано ростом аутсорсинга бизнес-процессов, особенно в сфере информационных технологий, обработки данных и бухгалтерского учёта. До ISAE 3402 существовал национальный стандарт США — SAS 70 (Statement on Auditing Standards No. 70), который широко применялся международными компаниями, но не имел глобального статуса. ISAE 3402 заменил SAS 70 в качестве международного ориентира, обеспечив единый подход к аудиту сервисных организаций в разных юрисдикциях.
В России стандарт ISAE 3402 не является обязательным для применения в рамках законодательства об аудиторской деятельности, но используется международными компаниями и российскими организациями, работающими с иностранными партнёрами. В 2017 году Минфин России ввёл в действие Международные стандарты аудита (МСА), однако ISAE 3402 относится к стандартам заданий, обеспечивающих уверенность, и применяется добровольно.
Цель и область применения
Основная цель ISAE 3402 — предоставить аудиторам сервисных организаций методологию для подготовки отчёта, который даёт пользовательским организациям и их аудиторам уверенность в том, что система контроля сервисной организации функционирует эффективно. Стандарт охватывает:
- Сервисные организации — компании, предоставляющие услуги, которые влияют на финансовую отчётность клиентов (например, центры обработки данных, провайдеры облачных услуг, аутсорсинговые бухгалтерские фирмы, платёжные системы).
- Пользовательские организации — клиенты сервисных организаций, которые используют эти услуги для ведения своего бизнеса и подготовки отчётности.
- Аудиторов пользовательских организаций — они используют отчёт ISAE 3402 для оценки рисков существенных искажений в финансовой отчётности клиента.
Стандарт не применяется к аудиту финансовой отчётности самой сервисной организации, а фокусируется на её внутреннем контроле, связанном с услугами, предоставляемыми третьим лицам.
Ключевые элементы стандарта
Типы отчётов
ISAE 3402 предусматривает два типа отчётов, которые различаются по объёму аудиторских процедур:
- Отчёт типа 1 (Type I report) — содержит описание системы контроля сервисной организации на определённую дату (например, на 31 декабря) и заключение аудитора о том, что система была спроектирована надлежащим образом для достижения заявленных целей контроля. Аудитор не проверяет операционную эффективность контроля за период.
- Отчёт типа 2 (Type II report) — включает описание системы контроля и заключение как о её надлежащем проектировании, так и об операционной эффективности контроля в течение указанного периода (обычно не менее 6 месяцев). Аудитор проводит тестирование контрольных процедур на предмет их фактического выполнения.
Структура отчёта
Отчёт по ISAE 3402 состоит из нескольких обязательных разделов:
- Заявление руководства сервисной организации — описание системы контроля, целей контроля, рисков и процедур.
- Описание системы контроля — детализация инфраструктуры, программного обеспечения, персонала, процедур обработки данных, а также границ системы (что включено, а что исключено).
- Заключение аудитора — мнение о соответствии описания системы, а для отчёта типа 2 — об эффективности контроля.
- Описание контрольных процедур и результатов тестирования (только для типа 2) — перечень проверенных контролей и выводы о их работе.
Принципы и требования
Стандарт требует, чтобы аудитор:
- Получил понимание системы контроля сервисной организации, включая её цели, риски и контрольные мероприятия.
- Оценил, соответствует ли описание системы фактическому состоянию.
- Для отчёта типа 2 — спланировал и выполнил тестирование контрольных процедур, чтобы оценить их операционную эффективность.
- Выразил мнение в форме, установленной стандартом, с указанием ограничений (например, что контроль может не предотвратить все ошибки).
Процесс получения отчёта ISAE 3402
Процесс обычно включает следующие этапы:
- Определение границ аудита — сервисная организация совместно с аудитором определяет, какие услуги и системы будут включены в отчёт.
- Подготовка описания системы — руководство сервисной организации составляет документ, описывающий контрольную среду, процессы, риски и меры контроля.
- Аудит — аудиторская фирма (например, «большая четвёрка» — Deloitte, PwC, EY, KPMG) проводит проверку: изучает документацию, интервьюирует сотрудников, тестирует контрольные процедуры.
- Выдача отчёта — аудитор выпускает отчёт типа 1 или 2, который затем предоставляется клиентам сервисной организации.
Значение для бизнеса
ISAE 3402 играет важную роль в современной деловой практике, особенно в условиях глобализации и цифровизации. Основные выгоды для сторон:
- Для сервисных организаций — отчёт служит доказательством надёжности внутреннего контроля, что повышает доверие клиентов и может быть конкурентным преимуществом. Многие крупные компании требуют от своих поставщиков услуг предоставления отчёта ISAE 3402.
- Для пользовательских организаций — отчёт позволяет снизить объём собственных аудиторских процедур, так как аудитор клиента может полагаться на выводы ISAE 3402 при оценке рисков. Это экономит время и ресурсы.
- Для аудиторов — стандарт обеспечивает единую методологию и снижает неопределённость при проверке аутсорсинговых услуг.
Критика и ограничения
Несмотря на широкое признание, ISAE 3402 имеет ряд ограничений:
- Ограниченная область применения — стандарт охватывает только контроль, связанный с финансовой отчётностью. Он не оценивает общую эффективность бизнеса, безопасность данных (кроме случаев, когда это прямо влияет на отчётность) или соответствие законам, не связанным с финансами.
- Затратность — получение отчёта, особенно типа 2, требует значительных временных и финансовых затрат, что может быть непосильно для малых сервисных организаций.
- Субъективность — описание системы и оценка эффективности контроля могут зависеть от интерпретации аудитора, что иногда приводит к расхождениям между отчётами разных аудиторов.
- Не замена внутреннего аудита — отчёт ISAE 3402 не освобождает пользовательскую организацию от необходимости проводить собственный мониторинг контроля.
Связь с другими стандартами
ISAE 3402 является частью семейства стандартов IAASB, включающего также ISAE 3000 (общие стандарты для заданий, обеспечивающих уверенность) и ISAE 3410 (стандарт по выбросам парниковых газов). В области информационной безопасности и ИТ-аудита часто используется стандарт SOC 2 (Service Organization Control 2), разработанный Американским институтом дипломированных бухгалтеров (AICPA). SOC 2 фокусируется на безопасности, доступности, целостности обработки, конфиденциальности и приватности данных, тогда как ISAE 3402 — на контроле, влияющем на финансовую отчётность.
Применение в России
В России ISAE 3402 используется преимущественно международными компаниями и российскими организациями, которые предоставляют услуги иностранным клиентам или входят в международные холдинги. Например, крупные российские банки, ИТ-компании и аутсорсинговые бухгалтерские фирмы могут заказывать отчёты ISAE 3402 для подтверждения качества своих услуг. Российские аудиторские фирмы, входящие в международные сети, также оказывают услуги по подготовке таких отчётов.
Источники
- International Standard on Assurance Engagements 3402, «Assurance Reports on Controls at a Service Organization» (IAASB, 2008, revised 2011).
- Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements (IAASB, 2020 edition).
- «ISAE 3402: A Practical Guide for Service Organizations» (IFAC, 2011).
- Федеральный закон «Об аудиторской деятельности» № 307-ФЗ от 30.12.2008 (с изменениями).
- Приказ Минфина России от 09.11.2016 № 207н «О введении в действие международных стандартов аудита на территории Российской Федерации».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →