ISAE 3402 (International Standards for Assurance Engagements) vem sendo utilizada desde meados de 2011 como padrão internacional de garantia para que, por meio de auditorias, seja possível atestar qualidade no controle de segurança da informação em uma empresa prestadora de serviços. Ela é a sucessora do SAS 70 – criado pelo American Institute of Certified Public Accountants (AICPA) –, que determina padrões para auditoria na hora de analisar mecanismos de controles internos em empresas.

A ISAE 3402 é recomendada pela International Auditing and Assurance Standards Board (IAASB), que faz parte da Internacional Federation of Accountants (IFAC).

Foi a IFAC, inclusive, que inseriu na ISAE 3402 uma exigência para que uma empresa prestadora de serviços seja responsável pelo mapeamento da sua organização e encarregada por descrever processos e ações que deverão constar em seus relatórios de auditoria. 

Essa atualização em relação ao SAS 70 destaca a necessidade da participação da gerência do negócio para garantir a melhora da qualidade dos processos internos sobre aquilo que realmente precisa ser aperfeiçoado. Todos já devem estar cansados de saber o que não está bom, logo, a ISAE 3402 ajuda a estabelecer esse processo de melhoria. 

Leia também:

SSAE18: entenda o que é e por que é importante para a segurança da sua empresa

Raio-X: Conheça as boas práticas de segurança da plataforma

Organizações que possuem a ISAE 3402 são reconhecidas mundialmente como instituições de alto padrão de segurança e confiabilidade 

A confiança é uma das bases de todo relacionamento entre pessoas e marcas. Essa foi a constatação de uma pesquisa da Edelman sobre a Confiança nas Marcas que também concluiu que lealdade e engajamento são diretamente proporcionais ao grau de confiabilidade que uma marca desperta com quem se relaciona.

A análise também identificou que 75% das pessoas aceitam pagar mais caro por determinada marca na qual confiem. A confiança também é responsável pela sensação de segurança que 60% das pessoas têm ao compartilhar informações pessoais com empresas. Outro apontamento interessante no relatório da Edelman é sobre recomendação e defesa de marcas: 78% das pessoas fariam isso se confiarem numa marca. 

Independentemente de a natureza de um negócio ser B2C ou B2B, obter a confiança das pessoas é uma tarefa que leva muito tempo; ou levava. Desde que a ISAE 3402 foi criada, empresas têm agilizado seus processos de auditoria para garantir a segurança da informação. A Norma define com transparência como determinado processo foi configurado para viabilizar que empresas saibam como antecipar medidas para prevenir fraudes, por exemplo.

ISAE 3402: tipos de relatórios 

Costuma-se associar a palavra “certificação” à ISAE 3402, porém, como mencionado no começo, ela é uma declaração de garantia, uma vez que não possui um certificado ISO. Ao se auditar a estrutura de uma organização de modo a obter essa Norma, é possível que ela tenha certeza de que seu funcionamento é controlado da maneira como objetiva que seja.

Nesse contexto, há dois tipos de análises feitas com os relatórios que essa declaração possui, do Tipo I e do Tipo II. Em síntese, o primeiro está para “Iniciativa”, enquanto o segundo está para “Acabativa”. O Tipo I descreve processos e dura menos tempo para ser feito, já o Tipo II funciona como uma garantia de que os processos descritos no anterior realmente funcionam.

• Relatório ISAE 3402 Tipo I 

Sua função é como uma etapa anterior ao relatório do Tipo II, pois, objetiva apresentar se, numa data específica, a descrição sobre a estrutura dos processos da empresa analisada corresponde à realidade. Por meio do relatório Tipo I, é possível constatar se uma empresa é capaz de identificar riscos que podem estar ligados a processos de terceiros e quais providências poderão ser tomadas para conter tais ameaças.

• Relatório ISAE 3402 Tipo II 

Esse relatório é a “prova dos 9” na auditoria realizada nas organizações. É ele que vai determinar se com as medidas que foram desenhadas e a forma como foram executadas segundo a descrição no relatório Tipo I, considerando os riscos mencionados, foi atingido o que se almejava. Como ele traz uma radiografia detalhada do que foi proposto inicialmente, costuma ter uma duração mais longa para ser finalizado – cerca de 6 meses.

ISAE 3402: benefícios 

Os benefícios adquiridos com a Norma impactam positivamente o desenvolvimento de todos os atores envolvidos no processo de auditoria, desde a empresa que presta o serviço de auditoria, passando pelos profissionais responsáveis pela sua execução e os clientes que se relacionam com a marca auditada. 

• Cultura da empresa

Com base no que já foi abordado, analisar e controlar processos de perto e frequentemente promove melhoria contínua da qualidade dos serviços prestados. E como a gerência estará também na linha de frente para identificar o que pode melhorar em processos operacionais, ela pode se tornar a dona da mudança e fazer essa adequação acontecer mais rápido.

• Redução de custos 

Quando uma empresa possui a declaração de garantia da ISAE 3402, é possível otimizar o tempo e, assim, reduzir custos financeiros evitando que diferentes auditorias tenham que ser feitas. Isso se deve ao fato de que relatórios dessa Norma podem ser disponibilizados para consulta e análise de novos e recorrentes auditores com experiência em contabilidade, segurança da informação e, claro, auditoria. 

• Cliente confiante 

Como a ISAE 3402 tem credibilidade de segurança internacional, fica mais fácil para clientes terceirizarem seus processos de auditoria de informações financeiras a prestadoras de serviços que possuam essa Norma.

A Equals possui a ISAE 3402 (obtida através de uma auditoria anual realizada pela KPMG) e contribui com mais rapidez e eficiência para que os 5 níveis dos processos de conciliação financeira sejam executados com total segurança e transparência, ao economizar custos que variadas auditorias poderiam trazer para os seus clientes.

Além disso, a plataforma Equals possui mais de 90 meios de pagamento integrados, faz integração direta com os principais sistemas de automação e gestão do mercado – sistemas de ERP e Gateways, como Auttar e VTEX, por exemplo –, e ferramentas que podem ajudar na prevenção a fraude.