ISAE 3402 - Bir Hizmet Kuruluşundaki Kontrollere İlişkin Güvence Raporları

1. ISAE 3402’ye Genel Bakış

Uluslararası Güvence Sözleşmeleri Standardı (ISAE - International Standard on Assurance Engagements) 3402 - Bir Hizmet Kuruluşundaki Kontrollere İlişkin Güvence Raporları; Aralık 2009'da Uluslararası Muhasebeciler Federasyonu’nun (IFAC - International Federation of Accountants) bir parçası olan Uluslararası Denetim ve Güvence Standartları Komitesi (IAASB - International Auditing and Assurance Standards Board) tarafından yayınlanmıştır.

ISAE 3402; serbest muhasebeciler, kullanıcı (müşteri) kuruluşlar ve kullanıcı denetçileri tarafından, bir hizmet kuruluşundaki, etkilemesi muhtemel kontroller veya kullanıcı (müşteri) kuruluşundaki, finansal raporlama üzerindeki iç denetleme sistemindeki kontroller hakkında bir rapor yayınlamasına izin veren uluslararası bir güvence standardı sağlamak üzere geliştirilmiştir.




2. Hizmet Kuruluşu Kontrol (SOC - Service Organization Control) Raporları

Bir hizmet kuruluşunun kontrolleri hakkında bilgi iletebilmesinin en etkili yollarından biri, Hizmet Denetçisi Raporudur.

Hizmet Denetçisi Raporu beş temel unsurdan oluşmaktadır:


İki tür Hizmet Denetçisi Raporu bulunmaktadır: Tip I ve Tip II

Tip I raporu, hizmet kuruluşunun belirli bir zaman noktasındaki kontrol tanımını açıklamaktadır (örneğin; 30 Haziran 2021).

Tip II raporu, yalnızca hizmet kuruluşunun kontrol tanımını içermekle kalmamaktadır, aynı zamanda hizmet kuruluşunun minimum altı aylık bir dönem boyunca (örneğin; 1 Ocak 2021 - 30 Haziran 2021) kontrollerinin ayrıntılı testini de içermektedir.

Her bir rapor türünün içeriği aşağıdaki tabloda açıklanmaktadır:


Tip I raporunda, hizmet kuruluşu denetçisi;

  • (1.) hizmet kuruluşunun kontrollerine ilişkin tanımının ve hizmet kuruluşunun belirli bir tarih itibariyle faaliyete geçmiş olan kontrollerinin ilgili yönlerini tüm önemli açılardan adil bir şekilde sunup sunmadığı,
  • (2.) kontrollerin, belirtilen kontrol hedeflerine ulaşmak için uygun şekilde tasarlanıp tasarlanmadığı

hakkında görüş bildirmektedir.

Tip II raporunda, hizmet kuruluşu denetçisi; Tip I raporunda belirtilen kalemlerin aynısı hakkında bir görüş bildirmektedir ve

  • (3.) test edilen kontrollerin; belirtilen süre içinde kontrol hedeflerine ulaşıldığına dair makul, ancak mutlak olmayan bir güvence sağlamak için yeterli etkinlikle çalışıp çalışmadığı

hakkında görüş bildirmektedir.


3. Hizmet Kuruluşlarına Faydaları

Hizmet kuruluşları, bir ISAE 3402 sözleşmesinin yürütülmesinden önemli bir değer elde etmektedir. Bağımsız Muhasebe Firması tarafından verilen olumlu görüşlü Hizmet Denetçisi Raporu; etkin bir şekilde tasarlanmış kontrol amaçlarının ve kontrol faaliyetlerinin kurulduğunu göstererek hizmet kuruluşunu emsallerinden farklı kılmaktadır. Hizmet Denetçisi Raporu ayrıca bir hizmet kuruluşunun kullanıcı (müşteri) kuruluşlarıyla güven oluşturmasına yardımcı olmaktadır.

Geçerli bir Hizmet Denetçisi Raporu olmayan, bir hizmet kuruluşu; müşterilerinden ve ilgili müşteri denetçilerinden gelen birden fazla denetim talebini dikkate almak zorunda kalabilmektedir. Kullanıcı (Müşteri) denetçilerinin birden fazla ziyareti, hizmet kuruluşunun kaynaklarına yük getirebilmektedir. Bir Hizmet Denetçisi Raporu, tüm kullanıcı (müşteri) kuruluşlarının ve kullanıcı denetçilerinin aynı bilgilere erişmesini sağlamaktadır ve çoğu durumda bu, kullanıcı (müşteri) denetçisinin gereksinimlerini karşılamaktadır.

ISAE 3402 görevleri genellikle muhasebe, denetim ve bilgi güvenliği konularında deneyime sahip kontrol odaklı profesyoneller tarafından gerçekleştirilmektedir. Bir ISAE 3402 sözleşmesi, bir hizmet kuruluşunun kontrol politikalarının ve kontrol prosedürlerinin bağımsız bir tarafça değerlendirilmesine ve test edilmesine (Tip II sözleşmesi durumunda) izin vermektedir. Çoğu zaman bu süreç, birçok operasyonel alanda iyileştirme fırsatlarının belirlenmesiyle sonuçlanmaktadır.


 4. Kullanıcı (Müşteri) Kuruluşlarına Faydaları

Hizmet kuruluşundan/kuruluşlarından Hizmet Denetçisi Raporu alan kullanıcı (müşteri) kuruluşlar, hizmet kuruluşunun kontrolleri ve bu kontrollerin etkinliği hakkında değerli bilgiler almaktadırlar. Kullanıcı (Müşteri) kuruluş, hizmet kuruluşunun kontrollerinin ayrıntılı bir tanımını ve kontrollerin faaliyete geçirilip geçirilmediğine, uygun şekilde tasarlanıp tasarlanmadığına ve etkin bir şekilde çalışıp çalışmadığına (Tip II raporu durumunda) ilişkin bağımsız bir değerlendirme almaktadır.

Kullanıcı (Müşteri) kuruluşlar, denetçilerine bir Hizmet Denetçisi Raporu sağlaması gerekmektedir. Bu durum, kullanıcı (müşteri) kuruluşun finansal tablolarının denetimini planlamada kullanıcı (müşteri) denetçisine büyük ölçüde yardımcı olmaktadır. Eğer bir Hizmet Denetçisi Raporu bulunmazsa, kullanıcı kuruluş prosedürlerini gerçekleştirebilmesi için kullanıcı denetçilerini hizmet kuruluşuna göndermesi gerekmektedir. Bu durum, muhtemelen kullanıcı (müşteri) kuruluşa ek maliyetlere maruz kalması neden olabilecektir.

 

IFAC Web Sitesinde Bulunan ISAE 3402 Dokümanı: https://www.ifac.org/system/files/downloads/b014-2010-iaasb-handbook-isae-3402.pdf

 

Kaynakça


Yorum Gönder

0 Yorumlar