Revision av outsourcing av verksamhet i finansiella företag

Många företag lägger numera ut hela eller delar av verksamheten på någon annan, skriver Sussanne Sundvall och Peter Hermanson. I modernt språk talar vi om ”outsourcing”. Detta gäller i hög grad inom den finansiella sektorn där företag exempelvis kan hantera delar av en kapitalförvaltning eller en back-office-funktion för någon annan – alternativt lägga ut funktioner till en tredje part. Författarna menar att ”revisorn hittills inte fokuserar och utvärderar effekterna av att väsentliga processer utförs utanför företaget i tillräcklig omfattning”.

När vi talar om outsourcing är det ett låneord från engelskan. I Revisions standard i Sverige (RS) används begreppet servicebyrå, i lagstiftning och Finansinspektionens föreskrifter används begreppet ”uppdragsavtal” eller ”att ge någon annan i uppdrag att utföra tjänster”. Det finns även begreppet ”använda tredjepart”. Samtliga begrepp syftar på samma företeelse, dvs. uppdragsavtal och uppdragstagare

Styrelsens ansvar för uppdragsavtal

Utformningen av uppdraget som företaget lägger ut till uppdragstagaren påverkar företagets interna kontroll. Utöver styrelsens och vd:s ansvar för den interna kontrollen enligt aktiebolagslagen (ABL) tillkommer för de finansiella företagen, regelverken enligt rörelselagstiftningen (bank, försäkring, fond osv. 1)

Ytterligare specificering av krav på företagets ledning vid uppdragsavtal ges av Finansinspektionens föreskrift FFFS 2007:16, allmänna råd FFFS 2005:1 och föreskrift FFFS 2004:2 för fondbolag. Av dessa framgår att styrelse och vd alltid ansvarar för den verksamhet som lagts ut genom uppdragsavtal samt ger vägledning om hur övervakningen kan ske.

Den lag som reglerar respektive instituts verksamhet; Lag om bank- och finan sieringsrörelse, lag om värdepappersrörelse, lag om investeringsfonder, försäkrings rörelselagen.

Revisorns uppgift

Revisorns uppgift, för att avge revisionsberättelsen, är att bedöma styrelsens och vd:s förvaltning enligt aktiebolagslagen och att den finansiella rapporteringen är riktig. IRS 209 om förvaltningsrevision ges exempel på revisorns granskning utan att direkt hänvisa till uppdragsavtal. Revisorn ska bedöma styrelsens och vd:s tillsyn över bokföring och riskexponering. Enligt RS 250 är det revisorns uppgift att granska att styrelsen fullgör sina skyldigheter enligt lagar och föreskrifter. Detta kan även vara tillämpbart när det gäller exempelvis bokföringslagen och rörelselagstiftningen. Slutligen finns RS 402 om revisorns överväganden vid revision av företag som anlitar servicebyråer. Enligt denna ska revisorn beakta hur servicebyrån påverkar klientens redovisningssystem och system för intern kontroll för att kunna planera revisionen och utforma en effektiv revisionsansats.

När revisorn tillämpar RS 402 ska han/hon först bedöma vilken betydelse de tjänster servicebyrån utför har för revisionen. Om kontrollrisken därefter bedöms som låg och betydelsen liten behöver revisorn inte göra mer. Om uppdraget har betydelse krävs ytterligare insatser av revisorn för att skaffa sig tillräckligt med information för att förstå redovisningssystem och system för intern kontroll. RS anger att detta kan göras antingen genom att revisorn besöker uppdragstagaren och gör revision på plats eller att revisorn använder sig av ett utlåtande från servicebyråns revisor.

Utformningen av företagets kontroller för övervakning av uppdragstagarens utförande av tjänster har naturligtvis betydelse vid bedömningen av vilka granskningsinsatser som erfordras hos uppdragstagaren. Om effektiva kontroller och övervakning utförs hos företaget kan detta reducera behovet av andra granskningsåtgärder.

Sammantaget innebär detta att det för revisorn finns ett antal krav på revisionen av uppdragsavtal.

Riskanalys

Revisionen bör omfatta en bedömning av företagets riskanalys och åtgärder för att kontrollera uppdrag som utförs av någon annan. Det gäller även när tjänsten utförs av koncernföretag vilket är vanligt bland finansiella företagsgrupper. Vid revisorns bedömning av risken för fel i den finansiella rapporteringen är typen av uppdrag av betydelse. Uppdraget kan vara att anlita en expert (exempelvis en aktuarie), att uppdragstagaren utför hela eller delar av en transaktionsprocess eller en hel affärsprocess (exempelvis kapitalförvaltningsuppdrag eller låneadministration). För process av transaktioner eller en hel affärsprocess inkluderas normalt skapandet av underlag för bokföring och/eller direkt bokföring.

Nedanstående riskspektrum visar hur risken påverkas av vad företaget väljer att lägga ut för uppdrag. Riskerna bör företaget identifiera samt hantera och revisorn bedömer företagets åtgärder samt utför en egen riskanalys för revisionen.

balans07_89_37a

Beroende på var i riskspektrum företaget befinner sig kan olika åtgärder för att kontrollera risken utföras. När experttjänster används kan det räcka med att kontroller finns på plats som säkerställer att data som skickas till experten kontrolleras för fullständighet och riktighet samt att företaget utvärderar expertens kunskap och kompetens. För process av transaktioner kan en formell rapport från uppdragstagaren angående intern kontroll behövas (se vidare nedan). För de tjänster som hamnar mitt emellan kan en kombination av egna kontroller hos företaget och kontraktuella skydd räcka. Den uppföljning som företaget själv kan göra inkluderar uppföljning mot serviceavtal, möten med uppdragstagaren och periodisk rapportering (t.ex. avvikelserapportering). En formell utvärdering av uppdragstagare kan göras genom att en rättighet för bolagets revisor att utföra revision hos uppdragstagaren införs i avtalet. Revisionen inkluderar identifiering av de kontroller som uppdragstagaren förväntas utföra och en validering av att dessa kontroller faktiskt utförs. En periodisk självutvärdering av uppdragstagaren kan utföras där resultatet delges uppdragsgivaren. Vid högre risk är dessa självutvärderingar viktiga revisionsbevis för uppdragsgivarens revisor om den utförs av en oberoende part som t.ex. en revisionsbyrå. Exempel på sådana utvärderingar är SAS 702 eller ISA 4023. Dessa formella rapporter diskuteras mer i detalj nedan.

balans07_89_37b

Guidance on performing service auditors’ engagements and using service auditors’ reports in audits of financial statements is provided in Statement on Auditing Standards (SAS) NO. 70, Service Organizations.

ISA 402 International Standards on Auditing Audit considerations relating to entities using service organizations.

Vad bör revisorn göra?

Följande beslutsträd (till höger) kan vara till hjälp när revisorn utvärderar om den utlagda verksamheten påverkar företagets interna kontroll för finansiell rapportering och vilka granskningsåtgärder som bör vidtas.

Använder företaget uppdragstagare?

Inte alla tjänster som utförs av annan påverkar den interna kontrollen för finansiell rapportering. Den utlagda tjänsten är en väsentlig process eller funktion endast om den genererar information som är väsentlig för den finansiella rapporteringsprocessen. Exempelvis har anlitande av specialister för tolkning av lagregler ingen direkt betydelse för den finansiella rapporteringen även om resultaten från specialister kan vara signifikanta för ett företags räkenskaper.

Är utlagda aktiviteter, processer eller funktioner väsentliga för kontroll över finansiell rapportering?

När revisorn bedömer väsentligheten av att företaget lagt ut ett uppdrag till en uppdragstagare sker bedömningen utifrån hur förhållandet påverkar företagets interna kontroll över den finansiella rapporteringen. Bedömningen är beroende av påverkan på räkenskapspåståendena och kontrollmålen för den process som är utlagd. Om kontrollerna som utförs hos uppdragstagaren täcker ett eller flera kontrollmål eller räkenskapspåståenden är det troligt att uppdragstagaren påverkar företagets finansiella process och således bör utvärderas. Om bedömningen är att den utlagda tjänsten har väsentlig betydelse för den finansiella rapporteringen bör revisionen utvidgas till att omfatta revision av uppdragstagaren. De alternativ som finns för revisorn är:

  • Införskaffa ett utlåtande från uppdragstagarens anlitade revisor (se nedan) och utvärdera de kontroller uppdragstagaren utför över de aktiviteter som är utlagda.

  • Genomför egna tester av kontroller hos uppdragstagaren.

  • Genomför test av kontroller som företaget har på plats för att Övervaka de aktiviteter som utförs av uppdragstagaren.

En kombination av ovanstående åtgärder kan vara nödvändig beroende på hur väsentlig den utlagda processen är och dess risk.

Finns formell rapport över intern kontroll och är omfattningen tillräcklig?

Om revisorn bedömer att kontrollerna hos uppdragstagaren är väsentliga och det finns en formell rapport för den utlagda processen ska denna inhämtas. Det bör vara ledningen hos uppdragsgivaren som inhämtar rapporten eftersom det är ledningen som i första hand har ansvaret för uppföljningen. Revisorn ska sedan bedöma om de kontrollmål som är adresserade i rapporten täcker företagets behov. Om så inte är fallet bör alternativa procedurer övervägas.

De rapporter som finns följer vanligen en standard; exempelvis ISA 402, SAS 70 eller den svenska vägledning som finns är RS 402 i kombination med Ramverk för bestyrkande uppdrag. Vid utvärdering av i vilken utsträckning rapporten är relevant bör följande beaktas:

Typ av rapport:

Är det en typ A eller B (för ISA 402 och RS 402) eller typ I eller II (för SAS 70). En typ I/A-rapport inkluderar endast att kontrollerna är designade och på plats vid en viss tidpunkt medan en typ II/B också inkluderar hur kontrollerna fungerar övertiden. En typ I/A-rapport kan vara till nytta för revisorn vid planering men revisorn kan inte använda ett sådant utlåtande som grund för att begränsa sin bedömning av kontrollrisken. En typ II/B-rapport ger däremot en grund för en sådan begränsning då granskning av kontroller har utförts över tiden.

Omfattning:

Rapporten måste täcka de processer och kontroller som är relevanta för företaget.

De kontroller som ska täckas in är både manuella och automatiska kontroller på processnivån och de relaterade generella IT kontrollerna som stödjer dessa kontrollers ändamålsenlighet och funktion över tiden.

Kontroller hos uppdragsgivaren:

För att kunna säkerställa att företaget har god intern kontroll över finansiell rapportering måste en kombination av kontroller utförda hos uppdragstagaren och företaget finnas på plats. Exempelvis är en utlagd back-office-funktion beroende av att företaget lämnar relevant data till uppdragstagaren för genomförda affärer, makuleringar etc.

Bestyrkanderapport:

Revisorn måste utvärdera om bestyrkanderapporten är ren eller oren. Om den är oren bör revisorn utvärdera vilket/vilka kontrollmål som påverkas och vilken påverkan detta får på företagets interna kontroll för finansiell rapportering. Detta kan innebära att ytterligare åtgärder måste genomföras för att säkerställa att den brist som rapporterats har åtgärdats och vilka verkliga konsekvenser (om några överhuvudtaget) bristen ledde till. D.v.s. hur materiell är bristen och hur påverkar den företagets räkenskaper?

Testavvikelser:

Enstaka testavvikelser kan uppkomma i rapporter men behöver inte hindra att det övergripande kontrollmålet ändå kan uppnås. Avvikelserna bör utvärderas utifrån påverkan på företagets räkenskaper.

Saknas formell rapport bör alternativa lösningar utvärderas

Om en formell rapport inte finns eller rapporten inte har rätt omfattning eller inriktning bör revisorn utföra alternativa procedurer. Dessa procedurer kan vara en eller flera av följande:

  • Genomför tester av kontroller hos uppdragstagaren:

    Innehåller företagets avtal med uppdragstagaren en rätt för revisorn att granska på plats bör revisorn testa kontrollerna självständigt. Denna genomgång är lik en sådan som genomförs om företaget inte lägger ut processen utan utför och granskar den internt. Genomgången bör innehålla de kontroller som är relevanta för företaget inklusive de stödjande generella IT-kontrollerna.

  • Testa kontroller över aktiviteterna som utförs av uppdragsgivaren:

    Revisorn kan överväga om användarkontrollerna hos företaget ger tillräcklig säkerhet genom att bedöma om:

    • En kontrollbrist hos uppdragstagaren skulle kunna leda till ett materiellt fel.

    • Om kontrollen skulle upptäcka felet inom rimlig tid. Ta till exempel ett företag som använder en uppdragstagare för att hantera kapitalförvaltning. Uppdragstagaren uppdaterar innehaven med korrekta priser från tredjepart dagligen. Vid ett tillfälle uppdaterar uppdragstagaren priserna med förra månadens priser vilket resulterar i att innehavet av investeringarna blir felvärderade. Om företaget själva genomför en oberoende priskontroll månadsvis så skulle felet upptäckas, undersökas och rättas till innan felet bokfördes i bolagets räkenskaper. I detta fall kan ledningen lita på sina egna kontroller.

En uppdragstagare kan i sin tur använda en annan att utföra tjänster

För att bedöma intern kontroll om finansiell rapportering kan ledningen och revisorn behöva bedöma kontroller hos en annan uppdragstagare.

  • Vilka transaktioner processas av underuppdragstagaren och är de materiella?

  • Hur stödjer underuppdragstagarens kontroller att företagets kontrollmål uppfylls?

  • Tillgänglighet av en eventuell formell bestyrkanderapport?

När företag normalt inte har kontrakt med underuppdragstagaren behöver revisorn gå via uppdragstagaren för att få tillgång till formella rapporter och annan väsentlig information om underuppdragstagaren.

Formella rapporter internationellt

I Sverige sker revisioner hos uppdragstagare enligt ISA 420/s AS 70/RS mycket sällan jämfört med i andra länder. Detta trots att den grundläggande revisionsstandarden ISA är densamma. Det är dock inte bara revisorn som ska ha bevis för att uppdragstagaren sköter sitt uppdrag. Företagets ledning borde vara en stark drivkraft i efterfrågan av formella rapporter.

Möjligen kan nya regelverk från Finansinspektionen på sikt förändra detta, vilket kan komma att öka ledningens krav på uppdragstagaren att denne ska kunna demonstrera funktionaliteten i de utlagda processerna. I England finns särskilda regelverk från FSA (Financial Supervisory Authority) för de finansiella företagen när det gäller hantering av utlagd verksamhet (Supervision manual). Regelverket liknar det regelverk som finns i Sverige i form av Finansinspektionens föreskrifter och allmänna råd (exempelvis FFFS 2005:1). Detta innebär att bolag som lägger ut en funktion ska säkerställa att de fortfarande har kontroll över sin verksamhet. Det är inte ovanligt att större finansiella institut som är uppdragstagare lämnar generella rapporter från revision av den interna kontrollen i de olika funktioner/flöden som kan vara aktuella. Ett exempel kan vara funktioner utförda av förvaringsinstitut.

Liknande principer finns även i USA där American Institute of Certified Public Accountants (AICPA) Professional Standards, au Section 324: Service organizations och Sarbanes-Oxley Act (SOX) ger riktlinjer, regler och vägledning. Den som delegerar funktioner ska säkerställa att de har kontroll över den interna kontrollen hos uppdragstagaren.

Trots att de övergripande principerna i regelverken således är gemensamma för Sverige, England och de bolag som tillämpar sox har tolkningen av tillämpningen hos uppdragsgivarna i olika länder blivit olika i praktiken.

Gör revisorn tillräckligt?

Vi har funnit att det finns omfattande krav på revisorn när det gäller utlagd verksamhet. Vår bedömning idag är att revisorn inte i tillräcklig omfattning fokuserar och utvärderar effekterna av att väsentliga processer utförs utanför företaget. Detta beror i första hand på att ledningen för företagen inte heller har insett eller hanterat konsekvenserna av att anlita uppdragstagare. Företagsledningen borde vara den främsta drivkraften när det gäller att ställa krav på en formell rapport från uppdragstagaren. Revisorns uppgift är att granska ledningen.

För det andra har vi i Sverige en positiv syn på öppenhet och tolerans, tillit och respekt för andra människor4 och det innebär att vi litar på varandra, vilket särskiljer oss från övriga världen. Detta innebär att företagsledning och revisorer inte alltid ställer höga formella krav på ett uppdragsförhållande. Vår uppfattning är att förändringarna i omvärlden (internationalisering och regelkrav) kommer att tvinga fram ökat fokus på vad företagsledning och revisor gör för att säkerställa att den interna kontrollen fungerar hos uppdragstagaren.

Det är hög tid att revisorn redan nu börjar granska företagsledningen utifrån högre krav och att revisionen utförs enligt vår standard. Vår förhoppning är att vi framöver får se en Ökad aktivitet inom området.

Sussanne Sundvall, auktor revisor och Peter Hermanson, risk managementspecialist, är båda verksamma hos Öhrlings PricewaterhouseCoopers.

21 mars 2007; ”Sverige har världens mest avvikande folk” av Andreas Carlgren.