Nykypäivän liiketoimintaympäristössä organisaatiot luottavat yhä enemmän kolmannen osapuolen toimittajiin ja palveluntarjoajiin tukemaan kriittisiä toimintojaan. Palvelujen tai prosessien ulkoistaminen säästää yrityksen resursseja ja parantaa tehokkuutta, laatua sekä innovaatioita, mutta voi samalla tuoda mukanaan myös merkittäviä riskejä – erityisesti tietoturvan, taloudellisen raportoinnin eheyden ja sääntelyn noudattamisen osalta. Yrityksen johdolle on ensiarvoisen tärkeää saada varmuus siitä, että kolmannet osapuolet ylläpitävät asianmukaisia valvontamekanismeja. 

Kolmannen osapuolen varmennusraportointi on tässä yhteydessä keskeisessä roolissa. Riippumattomat arvioinnit antavat objektiivisen kuvan toimittajan prosesseista ja kontrolleista, auttaen organisaatioita hallitsemaan riskejä, täyttämään sääntelyvaatimuksia ja rakentamaan luottamusta eri sidosryhmiin. Tässä blogikirjoituksessa tarkastelemme, mitä kolmannen osapuolen varmennusraportointi tarkoittaa, miksi se on tärkeää asiakasorganisaatiolle ja miten varmennusraportteja voidaan hyödyntää riskienhallinnassa ja ulkoistuskumppania valitessa.  

Mikä on varmennusraportti?

Varmennusraportti on asiakirja, jossa riippumaton varmennuspalvelun tarjoaja arvioi ja vahvistaa tietyn tiedon, prosessin tai järjestelmän oikeellisuuden, luotettavuuden ja asianmukaisuuden. Sen tarkoituksena on tarjota sidosryhmille, kuten asiakkaalle, tilintarkastajalle, johdolle tai viranomaisille, luotettava ja objektiivinen näkemys siitä, että tarkasteltava kohde täyttää sovitut vaatimukset ja standardit.  

Varmennusraportin palveluorganisaatiolle tuottaa riippumaton taho, joka arvioi tämän sisäisen valvonnan ympäristöä. Tällainen taho on yleensä tilintarkastusta ja muita varmennuspalveluita tekevä yritys.

Tehokkuus on ollut trendikästä jo pidemmän tovin ja ulkoistuspalveluita tuottavien yritysten kirjo on laaja. Tämän vuoksi varmennustoimeksiantostandarditkin on laadittu vastaamaan erilaisiin raportointitarpeisiin. Suomen markkinoilla palveluorganisaatioiden tunnetuin varmennusraportti on kansainvälisen ISAE3402-varmennustoimeksiantostandardin mukaisesti laadittu raportti. SOC-raportit puolestaan ovat amerikkalainen vastine ISAE-raporteille. Nämä laaditaan noudattaen AICPAn (American Institute of Certified Public Accountants) vaatimuksia. Alla olevassa taulukossa kuvataan raporttien tarkoitus, kohde ja oletettu lukijakunta.  

Varmennusraportti eroaa sertifikaateista auditoitavan kohteen, ajallisen kattavuuden sekä auditointitoimenpiteiden ja raportoinnin osalta. Saman aihepiirin, esimerkiksi tietoturvan, varmennusraportti antaa lukijalleen enemmän ja ajankohtaisempaa tietoa ja varmuutta kuin sertifikaatti:

• ISO 27001 -sertifikaatti on yksisivuinen asiakirja, joka kertoo, mikä on sertifikaatin kohde ja onko yritys sertifioitu ISO 27001 -standardin mukaisesti vai ei. ISO 27001 -sertifikaatti on tiivistelmä, joka ei sisällä muita yksityiskohtia. Sertifikaatti on voimassa kolme vuotta ja antaa kuvan vain tietystä ajanhetkestä.

• SOC 2 -raportti puolestaan on yksityiskohtainen tarkastusraportti palveluorganisaation kontrollien tasosta ja siitä, onko kontrollitavoitteet täyttyneet tarkastusajanjaksolla. Tarkastusajanjakso on tyypillisesti kuudesta kahteentoista kuukauteen. Kontrollitavoitteiden täyttymistä testataan otosperusteisesti kontrollin esiintyvyyden mukaan. Raportti on kymmenien sivujen mittainen, sisältäen testaustulokset ja tarkastushavainnot.  

Varmennusraportin taso, ajallinen kattavuus ja julkaisuajankohta

Varmennusraporttia lukiessa on tärkeää tarkistaa sen päiväys ja mahdollinen raportin kattama ajanjakso. Raportti voi kattaa kontrollien suunnittelun tiettynä ajankohtana (Type 1), tai se arvioida myös kontrollien toiminnallisen tehokkuuden arviointiin tietyltä ajanjaksolta (Type 2). Jos raportin ajallinen kattavuus ei vastaa asiakasorganisaation tai heidän tilintarkastajiensa tarpeita, kannattaa asiasta kysyä suoraan palveluorganisaatiolta. Tulevaisuudessa raportointijaksoa voidaan muokata, ja ensiapuna palveluorganisaatio voi toimittaa niin kutsutun siltakirjeen kattamaan puuttuvaa ajanjaksoa.

Type 1-raportin tarkoituksena on kuvata kontrollien suunnittelun tiettynä ajankohtana, eikä se siis anna varmuutta esimerkiksi koko tilikaudelle. Tällaiset raportit laaditaan yleensä ennen laajempaa otostestausta. Näin palveluntarjoaja osoittaa asiakkailleen, että sisäinen valvonta otetaan vakavasti ja että he ovat matkalla kohti Type 2-raportointia.

Type 2-raporttien ajallinen kattavuus on tyypillisesti kuudesta kahteentoista kuukautta. Ideaalitilanteessa palveluorganisaation varmennusraportti kattaa kokonaisen tilikauden, kalenterivuoden tai vähintään säännöllisesti toistuvan ajanjakson. Jos raportti ei kata koko tilikautta, palveluorganisaatio voi toimittaa lukijalle nk. siltakirjeen (engl. brigde letter), jossa yhtiön johto vakuuttaa, ettei palvelussa, kontrolleissa tai prosesseissa ole tapahtunut merkittäviä muutoksia raportin allekirjoituspäivän jälkeen. On tärkeää huomata, että siltakirje ei ole osa varmennusraportointia, vaan ainoastaan johdon vakuutus kontrolliympäristön toimivuudesta loppukaudelle.

Miksi varmennusraportti kannattaa pyytää ja lukea?

Varmennusraportointi on keskeinen osa tehokasta toimittajariskienhallintaa. Se auttaa asiakasyrityksiä arvioimaan, täyttääkö toimittaja vaaditut sääntely- ja sopimusvelvoitteet. Lisäksi varmennusraportti vähentää auditointitaakkaa, sillä asiakasyrityksen tai heidän tilintarkastajansa ei tarvitse auditoida palveluntarjoajan kontrolleja. Varmennusraportointi kannattaakin sisällyttää osaksi sopimusta palveluntarjoajan kanssa.

Varmennusraportti kannattaa aina silmäillä läpi, kun sellainen on tarjolla. Erityisesti palvelun ulkoistusta pohdittaessa ja sopivaa palveluntarjoajaa valitessa varmennusraportin lukeminen on hyödyllistä. Toimittajaksi on helpompi valita palveluorganisaatio, jolla on todistus arvioinnista, sillä se kertoo toimittajan sitoutumisesta sisäisen valvonnan ja riskienhallinnan ylläpitämiseen. Lisäksi kahden tai useamman palveluntarjoajan varmennusraportteja voi vertailla keskenään ja käyttää niiden tuloksia ulkoistuskumppanin valinnassa.

Pitkään jatkuneessa liikesuhteessa raportti auttaa asiakasorganisaatiota ymmärtämään, onko palveluorganisaatiossa raportointijaksolla ilmennyt merkittäviä kontrollipuutteita tai muita tapahtumia (esim. kyberhyökkäykset), jotka voisivat vaikuttaa omaan organisaatioon. Lisäksi asiakasorganisaation on tärkeä ymmärtää omat velvollisuutensa ja mahdollisten alihankkijoiden vastuut. Raporteissa määritellään erikseen asiakasyrityksen kontrollit (engl. complementary user entity control tai CUEC) sekä alihankkijan kontrollit (engl. complementary sub-service organisation controls tai CSOC), jotka yhdessä muodostavat toimivan ympäristön kontrollitavoitteiden täyttymisessä.  

Miten varmennusraportin havaintoja tulisi tulkita?

Lukijaa kiinnostavat luonnollisesti todistuksen arvosanat ja onneksi yleiskuva selviää jo ensimmäisiltä välilehdiltä. Raportin ensimmäisessä osassa on varmennuslausunto (engl. auditor’s assurance opinion), jossa kerrotaan, ovatko palveluorganisaation kontrollitavoitteet täyttyneet tai onko testausajanjaksolla havaittu puutteita.

Mitä eri johtopäätökset sitten tarkoittavat? Vakiomuotoinen johtopäätös (engl. unqualified opinion) tarkoittaa palveluorganisaatiolle puhtaita papereita. Mukautetusta johtopäätöksestä (engl. modified opinion) puhutaan silloin, kun auditoija on havainnut virheitä tai puutteita tarkastuksessaan. Mukautettuja johtopäätöksiä on eritasoisia:

• Varauman sisältävä johtopäätös (engl. qualified opinion) annetaan silloin, kun jonkin seikan vaikutukset eivät ole niin olennaisia ja laajalle ulottuvia, että olisi esitettävä kielteinen johtopäätös tai jätettävä johtopäätös esittämättä.
• Kielteinen johtopäätös (engl. adverse opinion) puolestaan tarkoittaa, että kuvaus ei esitä järjestelmää asianmukaisesti, kuvauksessa mainittuihin kontrollitavoitteisiin liittyvät kontrollit eivät olleet asianmukaisesti suunniteltu tai testatut kontrollit eivät toimineet tehokkaasti.
• Lausunnon antamatta jättäminen (engl. disclaimer of an opinion) on kirjattu silloin, kun palveluorganisaatio ei ole tarjonnut auditoijalle riittävästi evidenssiä johtopäätöksen muodostamiseen.

Mukautetun johtopäätöksen raportin lukijan on tärkeää ymmärtää, millaisista poikkeamista on kyse, ja arvioida niiden vaikutukset omaan organisaatioon. Tässä apuna voi käyttää auditoijan suorittaman testauksen tuloksia sekä palveluorganisaation vastinetta poikkeamista. Tarkemmat kuvaukset testauksesta ja sen tuloksista löytyy raportin loppupuolelta taulukkomuodossa. Testaustuloksissa auditoija kuvaa poikkeaman luonteen, esiintyvyyden sekä mahdolliset lisätestaukset havaintoa ja mikäli kontrolliin on kohdistettu lisätestausta havaintoa lieventämään.

Jos palveluorganisaatio kommentoi poikkeamia ja korjaustoimenpiteitä raportin viimeisessä kappaleessa ”Other information provided by the service organization” tai ”management letterillä”, lukijan tulee muistaa, että nämä eivät kuulu varmennuslausunnon piiriin, eivätkä ole auditoijan varmentamia lopputulemia. Palveluntarjoajan kanssa voi keskustella raportin havainnoista ja tiedustella miten ja millaisella aikataululla puutteet on suunniteltu korjattavan, mikäli tämä ei käy ilmi raportilta tai muusta viestinnästä.

Asiakasorganisaatio voi vähentää riskin toteutumista tehostamalla valvontaa niissä prosesseissa, joissa poikkeamia on havaittu, kunnes palveluntarjoaja on korjannut puutteet. Myös riskienhallinta- ja toimittajanhallintaprosessien arviointi ja päivitys voi olla tarpeen, erityisesti jos asiakasorganisaatio kokee raportin puutteet tavallista huolestuttavammaksi, esimerkiksi silloin, kun varmennusraportin johtopäätös on kielteinen.  

Yhteenveto

Varmennusraportti toimii parhaimmillaan monipuolisena työkaluna, joka ohjaa ja tukee päätöksentekoa. Toisin kuin sertifikaatit, varmennusraportissa arvioidaan palveluorganisaation kontrollien suunnittelun lisäksi myös niiden toiminnallista tehokkuutta lyhyemmällä aikavälillä. Tämä antaa asiakasyritykselle ajantasaisemman ja tarkemman ymmärryksen palveluorganisaation riskienhallinnan tilasta. Erityisesti toimittajariskienhallintaan varmennusraportointi tuo lisävarmuutta, mikä on olennaista liiketoiminnan jatkuvuuden ja sääntelyn noudattamisen kannalta. Raportti ei tarjoa pelkästään yleiskuvaa palveluntarjoajan kontrollien toimivuudesta, vaan antaa myös arvokasta tietoa, jolla voidaan kehittää asiakasorganisaation riskienhallintaa ja valvontamekanismeja oikeaan suuntaan.

Alla muutamia tärkeimpiä pointteja tiivistetysti: