Attestasjonsstandarder - et kvalitetsstempel til ulik bruk
Det eksisterer flere ulike sertifiseringer og standarder i markedet som benyttes for å fremvise kvalitet i tjenestene. Våre rådgivere har lang erfaring med tredjepartsuttalelser for internkontroll. I tillegg til kunnskap om de aktuelle standardene (ISAE 3402/3000, SOC2) har vi kunnskap om rammeverk som bør benyttes for å definere gode prosesser, kontrollformål og kontroller hos en organisasjon.
Rapporten distribueres til selskaper som har behov for å bekrefte kvaliteten på internkontrollen hos sine leverandører. En ISAE 3402/3000-rapport omfatter beskrivelse og testing av de prosesser, kontrollmål og kontrollaktiviteter som serviceorganisasjonen ivaretar overfor kunden. Rapporten har fokus på serviceorganisasjonens interne prosesser og systemer, en såkalt internkontrollbeskrivelse. Dette er typisk internkontroller knyttet til prosessering og håndtering av finansiell informasjon på vegne av kunden, i tillegg til utvikling, forvaltning og drift av IT-miljøer. Sentrale prosesser for IT-miljøet er informasjonssikkerhet og tilgangsstyring, programendringshåndtering, IT drift, hendelseshåndtering, backup og recovery og katastrofe og beredskap. For å dekke krav knyttet til databehandleravtaler, bør også et eget kapittel om personvern inkluderes.
Tredjepartsuttalelser kan også utstedes for å bekrefte serviceorganisasjonens etterlevelse av andre krav, eksempelvis regulatoriske, kontraktuelle eller bestemte standarder eller rammeverk. Eksempler på dette er krav knyttet til EU-regulativer (GDPR, DORA, NIS2), sikkerhetskrav stilt til leverandører i forbindelse med utkontraktering, ISO/IEC 27001, NSMs grunnprinsipper for IKT-sikkerhet, CIS v8 eller lignende.
Hvilke gevinster gir tredjepartsuttalelser?
- En tredjepartsuttalelse gir fordeler både for serviceorganisasjonen og brukerorganisasjoner:
- Brukerorganisasjoner får trygghet for at tjenester og data som er utkontraktert blir håndtert på en forsvarlig måte.
- Serviceorganisasjonen blir oppmerksom på svakheter og kan forbedre og effektivisere interne rutiner for å oppnå helhetlig risikostyring i virksomheten.
- Uttalelsen kan gi konkurransefortrinn i markedet ved å fremvise fordeler hos serviceorganisasjonen.
