فهم الطريقتين والمعايير التنظيمية
يحدد معيار ISAE 3402.A67 طريقتين للتعامل مع الخدمات المساندة في تقرير منظمة خدمية. القرار ليس اختيارياً أو مبنياً على تفضيل العميل. المعيار واضح في الفقرة A67: يتطلب تقييم طبيعة الخدمات المقدمة ومدى تكاملها مع الضوابط الرئيسية.
طريقة الاستبعاد
بموجب الفقرة ISAE 3402.A68، تستبعد هذه الطريقة الضوابط في المنظمات الخدمية المساندة من وصف نظام المنظمة الخدمية. المنظمة الخدمية تحدد أن خدمات معينة يقدمها طرف ثالث ليست جزءاً من نظامها لأهداف التقرير. هذا لا يعني أن الخدمة غير مهمة، بل أنها منفصلة بما فيه الكفاية عن الأنشطة الأساسية.
التطبيق يتطلب الشفافية الكاملة. يجب أن يحتوي التقرير على وصف واضح لطبيعة الخدمات المستبعدة ولماذا لا تُعتبر جزءاً من نظام المنظمة الخدمية. المنظمات المستخدمة تحتاج هذه المعلومات لتقييم ما إذا كان التقرير يغطي كل الضوابط ذات الصلة بمراجعاتها.
الطريقة الشاملة
تصف الفقرة ISAE 3402.A69 الطريقة الشاملة، حيث تشمل المنظمة الخدمية الضوابط في المنظمات الخدمية المساندة كجزء من وصف نظامها. هذا لا يعني أن مدقق المنظمة الخدمية يختبر تلك الضوابط مباشرة. بدلاً من ذلك، يعتمد على التقارير الصادرة عن مدققي المنظمات الخدمية المساندة.
المعيار يتطلب في الفقرة A70 أن يحصل مدقق المنظمة الخدمية على تقارير من مدققي المنظمات الخدمية المساندة ويقيم مدى ملاءمة تلك التقارير لأهداف تقريره. إذا لم تكن التقارير متاحة أو كافية، قد يحتاج إلى تعديل رأيه أو رفض القبول.
الإطار التنظيمي لاتخاذ القرار
تقييم التكامل مع الأنشطة الأساسية
تبدأ بتحديد ما إذا كانت الخدمة المساندة مدمجة في العمليات التي تؤثر على المنظمات المستخدمة. الفقرة ISAE 3402.A71 تقدم إرشاداً واضحاً: إذا كانت الخدمة المساندة جزءاً لا يتجزأ من تقديم الخدمات للمنظمات المستخدمة، فالطريقة الشاملة مناسبة أكثر.
الأسئلة التي تساعد في التقييم:
تقييم توقعات المنظمات المستخدمة
المعيار يؤكد في الفقرة A72 أهمية النظر في توقعات المنظمات المستخدمة. إذا كانت المنظمات المستخدمة تتوقع أن يغطي التقرير خدمة معينة، فإن استبعادها قد يقلل من قيمة التقرير. هذا لا يعني أن توقعات المستخدمين تحدد القرار، لكنها عامل مهم في التقييم.
مراجع الإدارة في المنظمة الخدمية غالباً ما يكون أفضل مصدر لفهم هذه التوقعات. يمكن أن يقدم معلومات حول الاستفسارات الشائعة من المنظمات المستخدمة وما يبحثون عنه في تقرير منظمة خدمية.
- هل فشل الخدمة المساندة يؤثر مباشرة على قدرة المنظمة الخدمية على تقديم خدماتها؟
- هل المنظمات المستخدمة تعتمد على فعالية الضوابط في المنظمة الخدمية المساندة؟
- هل المنظمة الخدمية تعتبر الخدمة المساندة جزءاً من عملياتها اليومية؟
مثال عملي: شركة بايرول نوردك B.V.
الخلفية: شركة بايرول نوردك B.V. تقدم خدمات معالجة الرواتب لـ 150 عميلاً في الاتحاد الأوروبي، مقرها أمستردام. إيراداتها السنوية 28 مليون يورو. تستخدم الشركة منصة أمان سيبراني خارجية تديرها شركة سايبرشيلد GmbH الألمانية. لحماية بيانات الموظفين الحساسة.
الضوابط الرئيسية للرواتب:
تقييم الخدمة المساندة:
الخطوة 1. تحديد طبيعة الخدمة المساندة
توثيق العمل: حدد أن منصة الأمان تحمي بيانات الموظفين من التسريب والوصول غير المأذون. لا تشارك في حسابات الرواتب.
الخطوة 2. تقييم التكامل مع الأنشطة الأساسية
توثيق العمل: إذا فشلت منصة الأمان، تصبح بيانات الموظفين عرضة للتسريب. هذا يؤثر على قدرة المنظمات المستخدمة على الاعتماد على سرية معالجة الرواتب.
الخطوة 3. تحديد توقعات المنظمات المستخدمة
توثيق العمل: المنظمات المستخدمة تتوقع أن تكون بياناتها محمية. عدة استفسارات وردت حول إجراءات الأمان السيبراني.
الخطوة 4. اختيار الطريقة
توثيق العمل: الطريقة الشاملة مناسبة. الأمان السيبراني جزء لا يتجزأ من تقديم خدمة الرواتب بطريقة موثوقة.
الخطوة 5. التطبيق العملي
توثيق العمل: طُلب تقرير SOC 2 من سايبرشيلد GmbH. التقرير يغطي الفترة من يناير إلى ديسمبر 2023 ولا يحتوي على استثناءات. تم تضمين ملخص ضوابط الأمان في تقرير المنظمة الخدمية.
النتيجة: التقرير يشمل أهداف ضبط الأمان السيبراني مع الإشارة إلى أن الاختبار تم بناءً على تقرير سايبرشيلد GmbH. المنظمات المستخدمة تحصل على تأكيد حول فعالية الضوابط عبر كامل العملية.
- التحقق من هوية الموظف قبل إدخال البيانات
- اعتماد تغييرات الراتب من إدارة الموارد البشرية في العميل
- حساب الضرائب والخصومات تلقائياً
- إرسال تقارير شهرية للعملاء مع تفاصيل المعالجة
قائمة المراجعة العملية
- قيّم طبيعة الخدمة المساندة: حدد بدقة ما تفعله المنظمة الخدمية المساندة وكيف ترتبط بالخدمات المقدمة للمنظمات المستخدمة. وثّق هذا التقييم بوضوح.
- اختبر التكامل: اسأل "ماذا يحدث إذا فشلت الخدمة المساندة؟" إذا كان الفشل يؤثر على المنظمات المستخدمة مباشرة، فالطريقة الشاملة أنسب.
- ادرس التوقعات: راجع الاستفسارات السابقة من المنظمات المستخدمة والعقود مع العملاء. هل يتوقعون تغطية هذه الخدمة؟
- احصل على التقارير المناسبة: للطريقة الشاملة، احصل على تقارير SOC حديثة من المنظمات الخدمية المساندة. تأكد من أن التقارير تغطي الفترة ذات الصلة.
- وثّق القرار والمنطق: اكتب مبررات واضحة لاختيار الطريقة. هذا أهم من الطريقة نفسها. المراجع يحتاج فهم منطق القرار، ليس فقط النتيجة.
الأخطاء الشائعة
- اختيار طريقة الاستبعاد تجنباً للتعقيد: المعيار لا يسمح بهذا. إذا كانت الخدمة المساندة مدمجة، يجب شملها حتى لو كان ذلك أصعب.
- عدم الحصول على تقارير كافية للطريقة الشاملة: إشارات دولية تظهر أن هذا خطأ شائع. بدون تقرير مناسب من المنظمة الخدمية المساندة، لا يمكن تطبيق الطريقة الشاملة.
- عدم الكشف الكافي في طريقة الاستبعاد: المنظمات المستخدمة تحتاج معرفة ما استُبعد ولماذا. الكشف الغامض يقلل من قيمة التقرير.
المحتوى ذو الصلة
- معيار ISAE 3402 - تعريف المسرد - تعريف المعيار ومتطلباته الأساسية
- دليل ISAE 3402: ضوابط منظمات الخدمة - الدليل الشامل لتطبيق المعيار بما في ذلك متطلبات الفقرة A67-A72
- أسئلة شائعة: اختبار ضوابط تكنولوجيا المعلومات - كيفية تقييم الضوابط التقنية في المنظمات الخدمية وما يفحصه المراجعون فعلاً
- ضوابط منظمة المستخدم المكملة (CUECs) - متى تكون CUECs ضرورية لتغطية الضوابط في طريقة الاستبعاد، مع مثال على شركة GmbH ألمانية لمعالجة الرواتب بحجم 65 مليون يورو إيرادات استبعدت ضوابط مزود البريد الإلكتروني وأضافت CUEC للعميل لمراقبة استلام تقارير الرواتب وفقاً للفقرة 3402.A37.