Güvence Hizmetleri ISAE3402 Hizmet Güvence Raporu

Güvence Hizmetleri:
ISAE3402 Hizmet
Güvence Raporu
ISAE3402, 2009 yılında IFAC (Uluslararası Muhasebeciler Federasyonu) tarafından
yayımlanmış; hizmet sağlayıcı kuruluşların sağladıkları hizmetlerin gerçekleşmesi
sırasındaki iç kontrol ortamının yeterliliğine güvence vermeyi amaçlayan bir bağımsız
denetim raporu standardıdır. ISAE3402, uluslararası bir standart olmasına karşın farklı
gereksinim ve mevzuatlara istinaden bazı ülkeler tarafından temel olarak kabul edilmiş ve
ulusal standartlara dönüştürülmüştür.
Hizmet Güvence Raporu Size Ne Fayda Sağlar?
Hizmet Kuruluşu
✓
■
✓
■
✓
■
✓
■
Düşen Maliyetler ve Artan Verim
Sunulan
Hizmetler
Hizmet güvence raporu, birden çok firmaya farklı
hizmetler sunan kuruluşların uyum faaliyetleri
nedeniyle artan kaynak ve maliyet kalemlerinin,
sunulan hizmetlerin bir defa denetlenerek güvence
sunulması yoluyla azaltılmasını sağlar.
ISAE3402
Denetim Konusu
Alınan
Hizmetler
Yeniden Kullanım Kolaylığı
Belirli bir çerçeveye göre hazırlanmış ve sunulan
hizmetleri kapsayan bir güvence raporu, hizmet
sunulan firmalar, müşteriler, iç ve dış denetçiler ve diğer
iş ortakları arasında mevzuat ve güvence gereksinimleri
için ortak bir dil oluşturulmasını sağlar.
Rekabet Avantajı
Bağımsız bir güvence raporuna sahip olan firmalar,
raporda yer alan bilgilere ve güvence seviyesine
bağlı olarak, yeni iş fırsatları ve yeni müşteri edinimi
anlamında avantajlı bir konuma geçebilir.
Kullanıcı Kuruluş
ISAE3402 raporlarının temelini, hizmet kuruluşunun
sunduğu hizmetlerle, bu hizmetlerin kullanıcısı niteliğindeki
kuruluşların firmadan aldığı hizmetlerin kesişimi niteliğindeki
denetim konusu (“subject matter”) oluşturur. ISAE3402
raporu, Tip I (“Type I”) ve Tip II (“Type II”) olarak iki ayrı
formatta hazırlanabilir.
✓
■
Uluslararası Geçerlilik
Bağımsız bir güvence raporu, uluslararası standartlara
dayandırılarak hazırlanmaktadır. Bu nedenle, sunulan
hizmetlere ait güvence, yurtdışında faaliyet gösteren
ya da faaliyet göstermeyi hedefleyen kuruluşlar
için, müşterileri, iş ortaklarını ve denetçileri
adresleyebilmektedir.
✓
■
Tip I raporunda; Kuruluş tarafından sunulan
hizmetlere uygun kontrollerin belirlenmiş olduğuna ve
tanımlanan kontrollerin etkin bir biçimde tasarlanmış
olduğuna güvence verilir.
Tip II raporunda; Tip I raporunda belirtilmiş olan
kontrollerin yeterli etkinlikte çalıştığına güvence verilir.
Tip II raporu, Tip I’den farklı olarak belirli bir denetim
dönemi için hazırlanır.
Tipik bir ISAE3402 raporu temel olarak beş farklı unsurdan
oluşmaktadır:
İZLEME
BİLGİ ve İLETİŞİM
Uygunluk Kriteri: Etkinlik, uygunluk, güvenilirlik,
erişilebilirlik, bütünlük, gizlilik, vb.
KONTROL FAALİYETLERİ
GÜVENLİK
ERİŞEBİLİRLİK
İŞLEM BÜTÜNLÜĞÜ
GİZLİLİK
MAHREMİYET
Denetim Konusu: Finansal performans, fiziksel
karakteristik, sistemler, süreçler, vb.
FİN
RA ANSA
PO L
RL
AM
A
ER
UY
AS
Üç Taraflı Yapı: Sorumlu taraf (hizmet kuruluşu),
denetçi ve hedef kitle (müşteriler)
UM
YO
NL
A
R
SOC1
OP
✓
■
✓
■
✓
■
✓
■
✓
■
SOC2/SOC3
RİSK DEĞERLENDİRME
Denetim Kanıtları: Şüpheci yaklaşım ile edinilmiş,
yeterli ve takip edilebilir kanıtlar
KONTROL ORTAMI
Denetim Raporu: Kontrollerin tanımı, tasarımı ve
etkinliği üzerinde görüş içeren rapor
KPMG Size Nasıl Yardımcı Olabilir?
ISAE3402 standardının altındaki farklı denetim konularının
ve uygunluk kriterlerinin çeşitli güvence gereksinimlerine
uygun olarak kullanımını sağlamak için, American Institute
of Certified Public Accountants (“AICPA”) tarafından
finansal raporlama ve diğer ilişkili süreçler üzerindeki işletilen
kontrollere güvence sunma amaçlı ISAE3402 standardını baz
alan SOC1, SOC2 ve SOC3 rapor çeşitleri geliştirilmiştir.
SOC1 raporu, servis sağlayıcının finansal raporlarına etki
eden ve iç kontrol mekanizmasına ilişkin kontrollerini; SOC2
ve SOC3 raporları ise erişebilirlik, veri güvenliği, gizlilik ve
işlem bütünlüğü alanlarına etki eden operasyonel kontrolleri
kapsamaktadır.
KPMG geniş sektör ve mevzuat bilgisi ve destek
hizmetleri alanındaki denetim ve danışmanlık deneyimi
ile, yasal gereksinimlerinizin belirlenerek bunların
kuruluşunuz için rekabet avantajına dönüştürülmesi
konusunda size yardımcı olur. KPMG olarak, uyum
çalışmalarının dört aşamadan ve bu aşamada yer
alan faaliyetlerden oluştuğuna inanıyoruz: Hazırlık,
İç Denetim, Dış Denetim ve Süreç İyileştirme. Bilgi
Sistemleri Risk Yönetimi olarak, bu aşamalarda
müşterilerimize değer katmayı ve bu yolla kuruluşların
uyum ve olgunluk seviyelerinin artırılmasını
hedeflemekteyiz. Bu kapsamda, ISAE3402 alanında
aşağıdaki hizmetler sunulmaktadır:
Güvence Hizmetleri
ISAE3402 Hizmet Kuruluşları Güvence
Hazırlık
KPMG ISAE3402 hizmetleri
hakkında daha detaylı bilgi için
İletişim:
Akis Bağımsız Denetim ve
Serbest Muhasebeci
Mali Müşavirlik A.Ş.
• Kontrol Çerçevesi Oluşturulması Hizmeti
• Prosedür ve Süreç Hazırlık Hizmeti
İç Denetim • Yönetim Beyanı Hazırlanması Hizmeti
Dış
Denetim
• SOC1 Denetim Hizmeti
• SOC2 ve SOC3 Denetim Hizmeti
Süreç
• Prosedür ve Süreç İyileştirme Hizmeti
İyileştirme
Sinem Cantürk
Bilgi Sistemleri Risk Yönetimi
Bölüm Başkanı, Direktör
İstanbul, Türkiye
T: +90 216 681 90 00
F: +90 216 681 90 90
E: [email protected]
Daha fazla bilgi için
kpmg.com.tr
© 2013 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International
Cooperative’in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International
Cooperative’in tescilli ticari markalarıdır. Türkiye’de basılmıştır.