5 głównych wytycznych dotyczących optymalizacji raportowania atestacyjnego TPA

Dostawcy outsourcingu obsługują wiele różnych branż w rozmaitych regionach świata, co znacząco poszerza zakres przepisów i wymagań regulacyjnych jakie muszą znać i do których muszą się stosować. W obliczu rosnącej presji związanej z przestrzeganiem coraz to nowszych przepisów, firmy zaczynają wymagać od dostawców outsourcingu wykazania w coraz to większym stopniu skuteczności wdrożonych przez nie kontroli. W rezultacie wzrasta zapotrzebowanie na raporty Third Party Assurance (TPA). Raporty TPA mają na celu zapewnić, że zakupione lub zakontraktowane usługi, towary czy produkty od danej strony trzeciej spełniają wymagania strony kupującej. Nadrzędnym celem raportu TPA jest jednak minimalizacja poziomu ryzyka poniesienia wszelkich kar, grzywien, a w konsekwencji utraty reputacji firmy kupującej w związku z naruszeniem bądź nie dotrzymaniem warunków umowy przez dostawcę.

Na podstawie sporządzanych przez Deloitte corocznych sprawozdań audytorów badających zgodność świadczonych usług z obowiązującymi przepisami widzimy, że całkowita liczba sporządzanych raportów wzrasta o około 5 procent rocznie. Gwałtownie wzrosły także prośby o bardziej rozbudowane raporty TPA, takie jak raporty Kontroli systemu i organizacji 2 (System and Organization Control 2 - SOC 2), czy teraz nawet SOC 2+.

Usiłując sprostać rosnącym wymaganiom rynku w zakresie spełniania rozmaitych przepisów, firmy mierzą się z ogromną presją i wyzwaniami jakimi są czas i pieniądze. Aby choć trochę wspomóc przedsiębiorców w tej trudnej drodze, Deloitte wychodzi z pomocą w postaci 5 głównych zasad optymalizacji raportowania atestacyjnego TPA.

Eksperci Deloitte zebrali listę pięciu najważniejszych zasad zarządzania TPA, opartych na obserwacjach zgromadzonych podczas przeprowadzania niezależnych, zewnętrznych badań dla dostawców usług outsourcingowych. Rynek stale dostosowuje się do rosnących wymagań w zakresie TPA, które są stawiane przed dostawcami usług outsourcingowych. Amerykański Instytut Biegłych Rewidentów (AICPA) i inne organizacje branżowe rozwijają swoje założenia koncepcyjne zarówno w celu zapewnienia większego poziomu atestacji, jak i usprawnienia procesów raportowania. W tym celu AICPA stworzyła SOC 2+ (System and Organization Control 2), czyli rozszerzalne założenia koncepcyjne, strukturę, która umożliwia audytorom badającym zgodność świadczenia usług z obowiązującymi przepisami włączenie różnych standardów branżowych do raportu SOC 2. AICPA stworzyła również w 2017 r. nowe ramy sprawozdawczości atestacyjnej w zakresie cyberbezpieczeństwa, znane jako SOC for Cybersecurity. W przypadku dostawców, którzy przetwarzają, obsługują lub przechowują dane klientów istotne dla sprawozdawczości finansowej, raport SOC 1 jest także nadal konieczny.

Komitet sterujący powinien składać się z osób, które na co dzień nie posiadają obowiązków związanych z TPA, ale mają odpowiednie doświadczenie, wiedzę i zaplecze, by móc wspierać zarządzanie całym portfolio. W skład dobrze wyważonego komitetu sterującego często wchodzą liderzy z biura zarządzania projektami TPA (PMO), które zarządza portfolio TPA, zespół ds. ryzyka i zgodności, dział prawny, audyt wewnętrzny, sprzedaż i rozwój biznesu, kierownictwo działu IT oraz działu finansowego. Rolą komitetu sterującego jest:

• Doradzanie osobom w całej organizacji w zakresie efektywnego wykorzystania zasobów TPA.
• Zdefiniowanie i rozpowszechnienie ogólnego planu działania TPA dla organizacji.
• Umożliwienie pracownikom podejmowania świadomych decyzji dotyczących zawierania umów poprzez lepsze zrozumienie sposobu wykorzystania raportów TPA.
• Dzielenie się wiodącymi praktykami w całej organizacji.
• Identyfikacja i eliminacja zbędnych działań.
• Pomoc w komunikacji z klientami w zakresie przyczyn podejmowania określonych decyzji dotyczących raportowania.

Mechanizm koordynujący jest niezbędny, aby stworzyć środowisko, w którym wszyscy działaliby w ramach tych samych założeń. W przeciwnym wypadku, brak spójności prowadzi do podejmowania niewłaściwych działań, wydawania niespójnych komunikatów i dublowania wysiłków. Ustanowienie komitetu sterującego to dobra droga do dostosowania i usprawnienia obowiązków TPA w ramach całej organizacji. Odpowiednio stworzony komitet może pomóc w ograniczeniu rosnących kosztów wynikających z przestrzegania przepisów i regulacji.

Sfinalizowanie umowy wiąże się z obowiązkiem dostarczenia obiecanego rodzaju raportu przez organizację. Dlatego ważne jest, aby wszelkie wątpliwości zasygnalizować jeszcze przed podpisaniem umowy. Przed sfinalizowaniem, umowa powinna być weryfikowana przez osobę kompetentną. Pomoże to ograniczyć ryzyko składania nadmiernych obietnic, a w rezultacie niedostarczania określonej usługi. Taka weryfikacja może też pomóc w ograniczeniu powielania pewnych działań. Ponadto, korzysta na tym również sprzedawca usługi, który zyskuje zrozumienie rzeczywistych kosztów dodatkowych związanych z wymogami zgodności. Warto wspomnieć, że dobrze byłoby, gdyby organizacje rozważyły odpowiednie szkolenie działu sprzedaży tak, aby zapobiec podejmowaniu przez przedstawicieli handlowych niewłaściwych zobowiązań w procesie zawierania umowy.

Stworzenie biblioteki wszystkich wymogów obowiązujących w całym przedsiębiorstwie jest kluczowe do posiadania pełnego obrazu wymogów stawianych organizacji. Opracowana i zarządzana przez PMO biblioteka TPA powinna zawierać:

• wewnętrznie zidentyfikowane wymagania, takie jak SOC 1,
• inne powiązane zobowiązania dotyczące zgodności, takie jak Sarbanes-Oxley Act (SOX) i Federal Deposit Insurance Corporation Improvement Act (FDICIA),
• wymagania branżowe (np. HITRUST, NIST, CSA, PCI DSS),
• wymagania zawarte we wszelkich raportach TPA sporządzone przez daną organizację,
• wymagania zawarte we wszelkich kwestionariuszach lub umowach gwarancji jakości świadczonych usług (SLA), które organizacja przygotowuje okresowo. 

Biblioteka powinna być regularnie aktualizowana w ramach ustalonego procesu z jasno określonymi zakresami odpowiedzialności. Po zbudowaniu biblioteki wymagań w całym przedsiębiorstwie, poszczególne wymagania mogą być mapowane z odpowiadającymi im kontrolami w celu określenia, które z nich można objąć raportami TPA. Przykładowo, organizacja może mieć tylko jedną kontrolę regulującą fizyczny dostęp do centrum danych, ale ta pojedyncza kontrola może być zgodna z 20 różnymi wymaganiami, zarówno wewnętrznymi (np. SOX i SOC 1), jak i zewnętrznymi (np. różne raporty TPA lub specyficzne wymagania klienta). Podczas testowania jednego raportu, wyniki można często zastosować do innych raportów o podobnych wymaganiach. Pomaga to również w identyfikacji wrażliwych punktów, które mogą mieć negatywny wpływ na wiele działań związanych ze zgodnością, dzięki czemu kierownictwo wie, na co zwrócić szczególną uwagę. Dodatkową efektywność można osiągnąć poprzez sporządzanie raportów TPA np. według amerykańskich, globalnych lub specyficznych dla danego kraju standardów. Możliwość sporządzania tych raportów poza Stanami Zjednoczonymi to ważna korzyść dla dostawców globalnych.

Zintegrowana biblioteka wymagań i testów kontrolnych może być szczególnie przydatna w szybkim opracowywaniu raportów zorientowanych na klienta, ponieważ wyniki każdego testu są już zmapowane do wszystkich istotnych wymagań. Innym sposobem na uzyskanie efektywności jest wyrównanie okresów raportowania objętych różnymi raportami TPA, tak aby pokrywały się one w jak największym stopniu. Pozwala to na współdzielenie testów w różnych raportach, oszczędzając w ten sposób wiele czasu.

Stworzony przez AICPA, SOC 2+ stanowi elastyczną strukturę, która umożliwia audytorom badającym zgodność świadczonych usług z przepisami na włączenie różnych standardów branżowych do raportu SOC 2. Raporty SOC 2+ to wysoce elastyczne narzędzia, które mogą uwzględniać wiele założeń koncepcyjnych i standardów branżowych w raportach TPA. Poprzez zapewnienie standardowego formatu, raporty SOC 2+ eliminują potrzebę wykonywania zbędnych czynności i udzielania jednorazowych odpowiedzi. Pojedyncze badania oparte na kryteriach AICPA Trust Services Criteria oraz zintegrowane założenia koncepcyjne, pozwolą dostawcom usług outsourcingowych na wykazanie swoim klientom i innym interesariuszom, że zostały wdrożone skuteczne kontrole wewnętrzne. Raporty SOC 2+ mogą być również dostosowane do stale rosnącej listy kwestionariuszy bezpieczeństwa poprzez przyporządkowanie do odpowiednich i dostępnych kryteriów, takich jak standardowy kwestionariusz zbierania informacji (SIG).

Wielu dostawców usług outsourcingowych zaczyna patrzeć na koszty związane z TPA przez szerszy pryzmat. Pełna analiza kosztów TPA powinna obejmować nie tylko wynagrodzenie audytorów, ale również czas, który wyznaczeni pracownicy poświęcają na zarządzanie portfolio TPA, jak również kontrolę czasu, który właściciele procesów poświęcają na zajmowanie się zgłoszonym zapotrzebowaniem na takie raporty. Dostawcy usług outsourcingowych są często zalewani kwestionariuszami bezpieczeństwa od poszczególnych klientów, prośbami o raporty TPA dotyczące konkretnych klientów oraz żądaniami zorganizowania uciążliwych wizyt audytorów na miejscu u klienta. Niektóre firmy, przytłoczone ilością pracy, mają tendencję do „wykorzystywania wszelkich zasobów do rozwiązania problemu", więc budują duże zespoły wspierające zarządzanie i realizację TPA. W niektórych przypadkach może to być potrzebne, zazwyczaj jednak jeden lub dwóch pełnoetatowych pracowników wystarcza do administrowania dobrze zaprojektowanym programem raportowania TPA. Oprócz usprawnienia procesów TPA i optymalizacji alokacji zasobów, niektóre firmy badają inną drogę aktywnego zarządzania całkowitymi kosztami wypełniania obowiązków związanych z TPA. Choć nie jest to jeszcze powszechne, niektóre firmy zaczęły pobierać od swoich klientów opłaty za sporządzenie raportów, zwłaszcza tych wymagających sporo dodatkowej pracy. Ponieważ koszty stale rosną, przedsiębiorstwa powinny coraz częściej wdrażać takie rozwiązanie. Pomysł, aby klienci i dostawcy outsourcingu dzielili koszty związane z przestrzeganiem regulacji i wymogów musi zyskać szersze poparcie, jeśli dostawcy outsourcingu mają sprostać rosnącemu zapotrzebowaniu na raporty TPA bez ponoszenia nadmiernych kosztów finansowych. Poprzez uwzględnianie tych kosztów w zapisach umownych, dostawca outsourcingu może ustalić poziom oczekiwań względem kosztów i uzasadnić, dlaczego koncepcja ich dzielenia jest słuszna.

Wraz z rosnącą kontrolą ryzyka związanego z outsourcingiem, rośnie zapotrzebowanie na raporty TPA. Wzrasta też koszt spełniania tej coraz bardziej złożonej sieci wymogów. Przyjęcie proaktywnego podejścia do zarządzania TPA jest kluczowym krokiem w kierunku ograniczenia zarówno kosztów, jak i wymagań. Aby podejście to było skuteczne, powinno obejmować zarządzanie nie tylko wydatkami zewnętrznymi, ale również kosztami wewnętrznymi związanymi z utrzymaniem portfolio TPA. Na szczęście, organizacje nie muszą zmieniać wszystkiego na raz, aby rezultaty stały się widoczne. Dobrym początkiem jest zbudowanie solidnych podstaw poprzez powołanie komitetu sterującego TPA i stworzenie spójnych procesów zarządzania, egzekwowanych przez PMO TPA. Uwzględnienie kosztów i zobowiązań TPA podczas procesu zawierania umów to kolejny obszar, który może przynieść szybką poprawę. Ci, którzy działają w celu zmniejszenia obciążeń związanych z raportowaniem TPA, a nie tylko reagują na nie, powinni być lepiej przygotowani do zapewnienia wyższego poziomu komfortu, którego potrzebują ich klienci, tworząc jednocześnie znaczącą wartość dla swoich organizacji. Pojawiające się coraz to nowsze regulacje obejmują swoim zakresem nie tylko outsourcing, ale poszerzają go o wszelkie relacje ze stronami trzecimi i cały łańcuch dostaw. Jednym z celów takiego podejścia jest podniesienie świadomości dotyczącej ryzyka wynikającego z nawiązywania relacji z podmiotami zewnętrznymi, a także zbudowanie odpornych łańcuchów dostaw w oparciu o skuteczne systemy zarządzania ryzykiem stron trzecich (TPRM).

Artykuł przygotowany na podstawie: https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-top-5-considerations-for-tpa-governance.pdf