Nowe wyjaśnienia dotyczące etyki i niezależności SSAE

Pod koniec 2025 r. Komitet Wykonawczy ds. Etyki Zawodowej AICPA opublikował wyjaśniające zmiany do Kodeksu postępowania zawodowego AICPA dotyczące zleceń wykonywanych zgodnie z Oświadczeniami dotyczącymi standardów zleceń poświadczających.

Zmiany te mogą na pierwszy rzut oka wydawać się „techniczne”, ale mają one duże znaczenie dla SOC1, SOC2, SOC dla cyberbezpieczeństwa i innych zleceń opartych na SSAE.

Obraz autorstwa freepik

Zmiany są następujące:

Obowiązują od 15 czerwca 2026 r.

W przeszłości wiele interpretacji dotyczących niezależności zawartych w Kodeksie zostało sformułowanych z myślą o badaniach sprawozdań finansowych.

Jednak zlecenia SSAE:

➡️ często obejmują zagadnienia niefinansowe,

➡️ dotyczą stwierdzeń dotyczących konkretnego momentu lub okresu,

➡️ są coraz częściej wykorzystywane w zakresie technologii, cyberbezpieczeństwa, prywatności i zapewnienia kontroli.

Wyjaśnienia te mają na celu zwiększenie spójności, przejrzystości i możliwości obrony.

Nowa definicja

Jedną z najważniejszych zmian jest wprowadzenie nowego terminu:

„Okres objęty raportem poświadczającym”

Zastępuje on koncepcję skoncentrowaną na audycie finansowym:

„okres objęty sprawozdaniem finansowym”.

Oceny niezależności muszą teraz być dokładnie dostosowane do zakresu raportu poświadczającego, a nie do domyślnych okresów sprawozdawczości finansowej.

Zasady niezależności

PEEC zrewidowało wiele interpretacji, aby jasno stwierdzić, że:

➡️ wymogi dotyczące niezależności mają zastosowanie w równym stopniu do zleceń SSAE,

➡️ terminologia została zaktualizowana, aby odzwierciedlić zlecenia poświadczające wykraczające poza audyty finansowe,

➡️ dodano przykłady dotyczące konkretnie kontekstów SSAE.

Usługi niepoświadczające i SSAE

Zmiany wyjaśniają:

➡️ kiedy usługi niepoświadczające ograniczają niezależność w zleceniach SSAE,

➡️ jak fuzje i przejęcia wpływają na niezależność, jeśli wcześniej świadczono usługi zabronione,

➡️ jak należy oceniać przypisanie usług niepoświadczających.

W przypadku praktyk SOC ma to kluczowe znaczenie:

➡️ granice doradztwa i poświadczania muszą być jasno określone,

➡️ dokumentacja dotycząca niezależności staje się jeszcze ważniejsza,

➡️ marketing „połączonych ofert” bez odpowiedniego zarządzania może zwiększać ryzyko.

Korzystanie z zasobów zewnętrznych

Wytyczne wyjaśniają:

➡️ firma nie może włączać niezależnych firm lub personelu do zespołu realizującego zlecenie poświadczające,

➡️ ale może korzystać z ich pracy w sposób podobny do audytorów wewnętrznych, jeśli spełnione są standardy zawodowe.

Ma to szczególne znaczenie w przypadku:

➡️ globalnych zleceń SOC,

➡️ modeli usług wspólnych,

➡️ korzystania z usług zewnętrznych specjalistów lub partnerów technologicznych.

Niezależność

Zmiany podkreślają:

➡️ potrzebę oceny i dokumentowania zagrożeń dla niezależności,

➡️ kryteria oceny powagi naruszeń niezależności,

➡️ działania wymagane w przypadku wystąpienia naruszeń.

Link

Autor: Sebastian Burgemejster