02/12/22
En tredjepartsattestasjon er en rapport der en uavhengig tredjepart vurderer en organisasjons kontrollmiljø mot etablerte kriterier og kan være en effektiv måte å demonstrere at man har hensiktsmessig internkontroll.
En tredjepartsattestasjon er en rapport der en uavhengig tredjepart vurderer en organisasjons kontrollmiljø mot etablerte kriterier. Dette kan være hensiktsmessig i de tilfellene en bedrift har utkontraktert kritiske tjenester og er avhengig av at tjenesteleverandøren beskytter verdiene på en effektiv måte. Tjenesteleverandøren kan i disse tilfellene demonstrere at de har etablert gode policyer, prosedyrer og rutiner, og at disse etterleves i organisasjonen, gjennom en tredjepartsattestasjon.
En tredjepartsattestasjon kan også være aktuell i tilfeller der en organisasjon ønsker at en tredjepart verifiserer at informasjonen de rapporter er korrekt og presenterer et fullstendig bilde i samsvar med utvalgte eller lovpålagte kriterier. Dette kan for eksempel være verifikasjon av et selskaps bærekraftsrapportering med utgangspunkt i lovpålagt rapportering etter Non-Financial Reporting Directive (NFRD), som snart erstattes av Corporate Sustainability Reporting Directive (CSRD), eller frivillige rammeverk som Global Reporting Initiative (GRI) og Sustainability Accounting Standards Board (SASB).
Tredjepartsattestasjoner kan baseres på en rekke standarder, der enkelte har definerte kriterier som virksomhetens kontrollmiljø vurderes opp mot. Andre standarder har større fleksibilitet ved valg av kriterie. Vi opplever at stadig flere virksomheter har behov for en tredjepartsattestasjon for å gi kunder og/eller interessenter trygghet over at kontroller er etablert, og gjerne hvorvidt de fungerer som tiltenkt. Vi gir her en kort introduksjon til de ulike standardene, når de kan være aktuelle, samt hvilke standarder vi opplever at ulike kunder er interessert i.
ISAE står for “International Standard for Assurance Engagement”, og er en internasjonal standard over ikke-finansiell informasjon. ISAE 3000 anvendes i hovedsak for å skape tillit til aktiviteter utkontraktert til en tjenesteleverandør, og kan omfatte kontroller relatert til for eksempel bærekraft, informasjonssikkerhet, sikkerhet, personvern og risikostyring. Dette er en fleksibel standard, som i stor grad kan tilpasses virksomhetens behov. Vi erfarer for eksempel at kunder ønsker en ISAE 3000 attestasjon for å skape åpenhet over bærekraftstall til årsrapporteringen, operativ etterlevelse av informasjonssikkerhet eller for å tydeliggjøre deres håndtering av personvernområdet, deriblant hvilke kontroller som er implementert. Standardens fleksibilitet gjør den aktuell for et bredt spekter av virksomheter, der det er et behov for å gi kunder eller andre interessenter trygghet over etablerte kontroller.
ISAE 3402 følger den samme internasjonale standarden som ISAE 3000, men rapporterer på tjenesteleverandørens kontroller som sannsynligvis er av betydning for kunders internkontroll over finansiell rapportering (ICFR). Denne attestasjonen kan for eksempel være aktuell for leverandører av ERP-tjenester, datasentre, lønn- og regnskapstjenester eller andre skytjenesteleverandører som leverer tjenester som omfatter finansiell informasjon. Det er verdt å merke seg at ISAE 3402 også er gjeldende for andre forretningsområder, så lenge det er etablert kontroller av betydning for kundenes finansielle rapportering.
SOC står for “System and Organization Controls” og er en standard utarbeidet av American Institute of Certified Public Accountants (AICPA). Dette er en amerikansk standard, og SOC 1 blir ofte omtalt som den amerikanske versjonen av ISAE 3402. Tjenesteleverandører som har en større tilstedeværelse i USA (eller som har ambisjoner om å ha det) velger ofte den amerikanske standarden fremfor den internasjonale, ettersom amerikanske selskaper i større grad krever tredjepartsattestasjoner, og foretrekker de standardene de er mest kjent med. I likhet med ISAE 3402 er denne attestasjonen aktuell for ICFR-kontroller som er utkontraktert til en tjenesteleverandør.
I likhet med SOC 1 er SOC 2 en såkalt “licence to play” i det amerikanske markedet og er utarbeidet av AICPA. SOC 2 er imidlertid ikke det samme som ISAE 3000, ettersom SOC 2 baseres på etablerte Trust Service Criteria (PDF, 554 KB). Dette er et sett med spesifiserte kontrollmål som dekker sikkerhet, tilgjengelighet, konfidensialitet, prosessintegritet og personvern. Kontrollmålene er basert på det velkjente COSO-rammeverket i tillegg til utvalgte IT-områder. Det er mulig å definere omfanget av prosesser og tjenester som skal inngå i attestasjonen. Dette gjør det mulig å tilpasse omfanget etter deres eget og deres kunders behov.
Når vi snakker om tredjepartsattestasjoner så skiller vi mellom attestasjoner som er Type 1 og Type 2. Kort forklart så vil man ved Type 1 kun rapportere på dagens kontrolldesign, det vil si hvilke kontrollaktiviteter som finnes, og om de dekker identifiserte risikoer. Type 1-rapporter er ofte omtalt som en “point in time”-rapport fordi rapporten tar utgangspunkt i kontrollene slik de er designet på en spesifikk dato, for eksempel den 01.03.2022. En Type 1-rapport tester med andre ord ikke hvorvidt kontrollene fungerer som de skal over tid, bare at de er designet og at de eksisterer.
En Type 2-rapport rapporterer, i likhet med Type 1, på kontrolldesign og hvorvidt dette er hensiktsmessig for å dekke identifiserte risikoer. En Type 2-rapport vil imidlertid også rapportere på etterlevelsen av kontrollaktivitetene over en periode (f.eks fra 01.01.2022 - 31.12.2022). Rapportene følger vanligvis regnskapsåret, men de kan også være halvårlige eller kvartalsvise rapporter.
En Type 2-rapport har naturlig nok mer verdi enn en Type 1-rapport, ettersom den viser hvordan kontrollene har fungert i praksis over tid, noe Type 1-rapporter ikke gjør. Vi ser imidlertid at Type 1-rapporter typisk brukes det første året man attesteres, før man går over til en Type 2-rapport påfølgende år. Årsaken til dette er gjerne at kontrollene er designet, men for eksempel ikke har vært implementert lenge nok til at en Type 2-attestasjon er gjennomførbart, samtidig som kunder eller andre interessenter ønsker en form for tredjepartsattestasjon relativt raskt.
En Type 2-rapport er typisk for de som har et modent kontrollmiljø, som ønsker å vise tilfredsstillende etterlevelse av sine kontroller, eller som ønsker å kommunisere at kontrollene fungerer som de skal.
I prosessen på vei til en tredjepartsattestasjon er det en rekke spørsmål som må vurderes.
Vi anbefaler alle å starte med å vurdere hva dere ønsker å oppnå med tredjepartsattestasjonen. Hvilke behov har kundene deres og hva etterspør de? Hva ønsker dere å oppnå? Dette er viktige spørsmål som det bør tas stilling til tidlig i prosessen.
Som nevnt kan en attestasjon skape transparens over kontrollmiljøet dere har etablert og hvordan dette fungerer. Det er imidlertid viktig å definere hvilket omfang attestasjonen bør ha, samt hvilke kontroller som skal inngå i attestasjonen. Hva ønsker dere å skape åpenhet over?
Når dere har gjort en vurdering av omfanget dere ønsker for attestasjonen kan det være aktuelt å vurdere hvilken standard som kan svare ut dette behovet. Ønsker dere å vise at dere har etablert kontroller av betydning for ICFR? Har dere behov for å vise hvordan dere beskytter kundenes personopplysninger, ivaretar sikkerhet eller rapporterer på bærekraft? Ønsker kundene deres en amerikansk eller internasjonal standard? Dette er sentrale spørsmål for å kunne beslutte hvilken attestasjon som er rett for deres organisasjon.
Hvorvidt dere velger å gå for en Type 1- eller Type 2-attestasjon avhenger av hvor moden organisasjonen deres er, samt når dere har behov for attestasjonen. Dersom dere er svært modne kan det være aktuelt å starte med en Type 2-rapport, da en Type 1-rapport kan være aktuell for selskaper som ikke er klare for å starte rett på en Type 2-rapport. Vi ser at mange selskaper velger å gå for en Type 1-rapport første gang, og bruker prosessen og rapporten som et verktøy i en modningsreise og for å bli kjent med attestasjonsprosessen.
Om dere er usikre på hvor modne dere er, eller om dere i tilstrekkelig grad kan dokumentere at dere gjennomfører kontrollene som vil inngå i tredjepartsattestasjonen, så er dere ikke alene. Vi anbefaler derfor alle som skal gjennomføre en tredjepartsattestasjon for første gang å gjøre en modenhetsvurdering før den faktiske attestasjonen gjennomføres. En modenhetsvurdering kan anses litt som en generalprøve, der en tredjepart vurderer hvordan attestasjonen trolig hadde sett ut dersom den ble gjennomført i dag. Resultatet fra modenhetsvurderingen vil være en oversikt over områder som bør utbedres før den faktiske attestasjonen gjennomføres.
En modenhetsvurdering vil hjelpe dere videre med å definere hvilken standard som bør brukes, omfanget av standarden og hvilke kontroller attestasjonen skal omfatte. Det gjøres deretter en walkthrough eller en “test-of-one” der ett eksempel på gjennomførelse av hver kontroll testes (for eksempel gjennomføringen av en enkel tilgangsforespørsel). Modenhetsvurderingen vil gi en indikasjon på hvorvidt dere har dokumentert gjennomførelsen av hver kontroll tilstrekkelig, samt hvorvidt kontrollen er dekkende for de definerte risikoene.
PwC har god erfaring med å bistå kunder med planlegging og gjennomføring av tredjepartsattestasjoner. Ta kontakt med oss dersom du trenger en samtalepartner om hvordan dere bør gå frem i veien mot en tredjepartsattestasjon.
Jan Rindal