RS 402 för stora företag

Många företag tar i dag extern hjälp för att driva olika delar av eller processer i sin verksamhet. Men hur påverkar dessa outsourcinglösningar företagets revision, och hur ska revisorn tänka? I den här artikeln tar Lars Egenäs! Anders Hult och Björn Rydberg upp olika exempel på situationer där det kan finnas behov av särskilda granskningsinsatser.

Ett företags styrelse och ledning (i bland annat aktiebolag) har det yttersta ansvaret för att intern kontroll i företaget är ändamålsenlig och fungerar på ett sådant sätt att företagets väsentliga risker hanteras.

Intern kontroll etableras i företagen med flera olika syften och kan omfatta många olika delar av ett företags verksamhet. Revisorn ska alltid skaffa sig tillräcklig förståelse för företagets redovisningssystem, kontrollmiljö och kontrollåtgärder för att kunna utforma sin revisionsplan.

För en revisor i ett företag (klienten) där vissa processer har ”lagts ut” eller ”outsourcats” till ett annat företag, uppstår ett antal frågeställningar avseende tillförlitligheten i den interna kontrollen. Framför allt är revisorn intresserad av klientens interna kontroll över finansiell rapportering med de flöden och kontroller som leder fram till denna. I vår grundläggande ”revisionsteori” är det ju bland annat utformning och kvalitet på kontrollmekanismer som är avgörande för hur vi söker våra revisionsbevis; från kontrollgranskning respektive substansgranskning. Vi måste som revisorer förstå klientens totala kontrollmiljö, inklusive den del som ligger hos outsourcingleverantören och inkludera alla väsentliga delar i vår granskning.

I den ideala situationen, där i det här fallet klienten har ”lagt ut” driften av vissa processer, har företagsledningen också sett till att kontroller som utförs av någon utanför bolaget, blir granskade och testade av en oberoende part. Denna kan exempelvis vara outsourcingleverantörens revisor, företagets revisor, eller någon annan tredje part med rätt kompetens. Idealt resulterar också granskningen i en rapport som ger information om väsentliga processer och kontroller. Beroende på vilken typ av uppdrag det gäller, kan denna rapport vara en beskrivning av processen tillsammans med ett uttalande om den interna kontroll som finns etablerad. Den kan även omfatta en detaljerad redogörelse över genomförd granskning och hur väl den interna kontrollen fungerat under den granskade perioden.

I ett läge där revisorn i det företag som är under granskning får tillgång till rapporteringen som presenterar förhållandena hos outsourcingföretaget och följer Revisionsstandard i Sverige (RS – särskilt då RS 402), kommer revisionen att underlättas väsentligt. Det finns därmed en rapport. Den är utformad på ett sätt som krävs för att ”vår” revisor ska kunna dra nödvändiga slutsatser angående den interna kontrollen hos sin klient.

Det är dock i dagsläget fortfarande relativt sällan där vi som revisorer redan från början, har tillgång till ett tredjepartsintyg som ger oss fullgott stöd för våra slutsatser. Om klienten i vårt exempel inte har brytt sig om att låta göra en oberoende granskning av intern kontroll i outsourcade processer behöver revisorn vidta egna åtgärder. En lösning på revisorns problem ligger vanligen i att begära en oberoende granskning av outsourcingleverantören. Denna begäran lämnas via klienten. Det är klienten som har ett avtal och en överenskommelse med outsourcingleverantören om att leverera en tjänst med en viss omfattning och kvalitet. En annan lösning är att revisorn själv utför granskningen.

Nu för tiden omfattar vanligtvis avtalet mellan outsourcingköparen (klienten i det här fallet) och outsourcingleverantören en paragraf om att granskningar ska få genomföras. I sammanhanget måste både klienten och revisorn ha i åtanke att ansvaret för den interna kontrollen ligger hos klienten och inte hos outsourcingleverantören. Outsourcingleverantören ska leverera tjänster enligt avtalet, men vanligtvis är roller och ansvar kopplade till intern kontroll och säkerhet i processerna otydliga, otillräckliga eller saknas helt.

Revisorn behöver alltså få en granskning utförd hos klientens outsourcningleverantör. Hur ska det då gå till och vem ska utföra granskningen? Som nämnts ovan, har det ofta tagits upp i avtal att en granskning av någon typ ska få genomföras. Idealt är det uttryckt så att granskningen ska följa en etablerad standard. Här ska revisorn också i enlighet med RS 402 ta ställning till om han eller hon enbart har behov av en beskrivning av ändamålsenlighet i den interna kontrollen (typ i-utlåtande) eller om revisorn också måste kunna förvissa sig om att den interna kontrollen har fungerat väl under den period som granskningen avser (typ 2-utlåtande). Själva granskningen hos outsourcingleverantören blir betydligt mer omfattande om den interna kontrollen ska verifieras och testas, än om den bara ska beskrivas.

I RS 402 förutsätts att outsourcingleverantören har en aktuell dokumentation som beskriver de system och rutiner som tjänsten avser. Det är på denna dokumentation som granskningen ska baseras. Det är inte ovanligt att kvaliteten hos denna dokumentation befinner sig på en skala någonstans mellan obefintlig och dåligt uppdaterad. Den som utför granskningen hos outsourcingleverantören kan då bli tvungen att bistå med råd vid upprättandet av dokumentation eller uppdatering av den befintliga dokumentationen.

Hur görs nu allt detta i praktiken och vilka regelverk är det som revisorn måste beakta i sin granskning?

Andra standarder som påverkar granskning vid outsourcing

RS 402 ger vägledning om vad en revisor i det bolag som har ”outsourcat” någon del av sina processer avseende den finansiella rapporteringen behöver i form av revisionsbevis för den del av den interna kontrollen som är outsourcad. RS 402 innehåller dock inte några instruktioner om hur granskningen som ligger till grund för ett sådant revisionsbevis ska gå till.

Som ramverk för rapportering avseende intern kontroll i outsourcade processer tas SAS 70 Statements on Auditing Standards ofta upp. Vanligt är att företag som vill få en granskning gjord, hänvisar till just denna standard. SAS 70 är en revisionsstandard som är utgiven av AICPA (The American Institute of Certified Public Accountants).

SAS 70 ger vägledning om de faktorer en oberoende revisor bör tänka på i revisionen av de finansiella rapporterna i ett företag som använder sig av en outsourcingleverantör, för att behandla vissa transaktioner. SAS 70 ger också vägledning för oberoende revisorer som avger rapporter om behandling av transaktioner med hjälp av en outsourcingleverantör som ska användas av ”andra” revisorer.

I SAS 70 redovisas alltså krav på hur den revisor som gör den oberoende granskningen av processer och intern kontroll i outsourcingföretaget ska utföra dessa arbetsuppgifter och rapportera resultatet av sin granskning.

Nu är dock en komplettering av ISA 402 på gång, såtillvida att International Federation of Accountants (IFAC) har givit ut ett dokument benämnt ”ISAE 3402, Assurance Reports on Controls at a Third Party Service Organization”. Det är ett så kallat Exposure draft – ED, som i sin slutligaversion kommer att införas som en del av ISA (se gärna IFAC:s hemsida <www.ifac.org>).

Ett av syftena med ISAE 3402 är således att vara ett komplement till ISA 402 (för Sveriges del RS 402). Det som ISAE 3402 bidrar med är framför allt ett ramverk för arbetet som måste utföras för att ge revisorn tillräcklig information för tillämpning av ISA 402. ISAE 3402 kommer med andra ord att ge det tillskott av information om ansats och rapporteringsformer som tidigare har fått hämtas ur den amerikanska SAS 70.

Servicebyrålösningar i stora företag till skillnad från små och medelstora

Stora företag har normalt inte en lösning liknande den som man ofta kan finna hos mindre företag vilka regelmässigt anlitar en extern redovisningsbyrå för att handha den löpande administrationen, inkluderande bokföring. Vanligen handlar det i stället om vissa specifika processer som exempelvis datorbearbetning eller administration av nätverk inom IT-infrastrukturen.

I Balans nummer 1/2008 publicerades artikeln Revision av företag som anlitar redovisningsbyrå där man behandlade frågan om granskning enligt RS 402 för mindre företag.

Shared Service Centers (SSC)

Som berörs ovan finns en stark trend att utkontraktera viktiga processer i företaget med påverkan på flöden för finansiell rapportering. Ett exempel på detta är att man i större organisationer ofta byggt upp så kallade Shared Service Centers, SSC, för att handha de olika enheternas (dotterbolagens) administrativa delar. De kan drivas inom koncernen alternativt helt eller i delar via tredje part och kan innefatta allt från löpande redovisning och upprättande av finansiella rapporter till kringprocesser som exempelvis löne-, lager- och projektredovisning. Dessa SSC:s kan även vara lokaliserade utomlands i de fall man har en internationell verksamhet med enheter i andra länder eller ingår i en utlandsägd koncern.

Utlandsbaserade SSC:s

Problem som kan uppstå i anslutning till utlandsbaserade SSC:s kan bland annat vara bristande förståelse för lokala redovisningsregler, skatter och avgifter. Skillnader i språk kan också vara ett problem, vilket kan försvaga kontrollen av vad som redovisas. Även förståelsen för de krav som ställs på redovisningen enligt svensk bokföringslag m.m. och inte minst arkiveringsfrågor kan ställa till problem.

Utöver detta kan SSC i vissa fall revideras av annan revisor, tillhörande en annan byrå eller revisionsgrupp, varvid diskussioner måste föras kring arbetsinsats och arbetsfördelning som kan kompliceras av restriktioner i att dela arbetspapper. I dessa situationer kan ett granskningsutlåtande, typ 1 eller 2, motsvarande de krav som ställs i RS 402 vara användbart.

Viktiga hänsynstaganden utifrån RS 402

Revisorn ska således alltid ta hänsyn till vilken betydelse SSC eller en outsourcingleverantörs verksamhet har för klienten och vilken inverkan den kan få på revisionen. Revisorn kan då, utifrån vad som är lämpligt, behöva ta hänsyn till följande:

  • Typ av tjänster som tillhandahålls.

  • Uppdragsvillkor och förhållandet mellan klienten och den andra parten.

  • Väsentliga räkenskapspåståenden som påverkas av att klientföretaget anlitar en extern part.

  • Den inneboende risk som kan finnas i dessa räkenskapspåståenden.

  • Grad av samverkan mellan å ena sidan klientens redovisningssystem och system för intern kontroll och å andra sidan SSC/ outsourcingleverantörens system.

  • Intern kontroll hos klienten som kan tillämpas på de transaktioner som utförs av den andra parten.

  • Förmåga och finansiell styrka, innefattande de följder det skulle kunna få för klienten i det fall uppdraget inte kan fullgöras.

  • Information om den valda lösningen, till exempel information i användarhandböcker och tekniska handböcker.

  • Tillgänglig information om generella och datorbaserade kontroller som har betydelse för klientens tillämpningar.

Ovanstående tjänar som stöd för revisorn i hans/hennes bedömning om kontrollrisken påverkas eller ej av kontroller hos den andra parten.

Sammanfattningsvis gäller att om servicebyråns verksamhet är väsentlig för kundföretaget och av betydelse för revisionen ska revisorn skaffa sig tillräckligt med information för att kunna bedöma kontrollrisken. Ett tredjepartsutlåtande från servicebyråns revisorer (som diskuterades inledningsvis) eller internrevisorer för att skaffa sig information om servicebyråns redovisningssystem och system för intern kontroll samt kontroller över dess drift och effektivitet kan då vara ett bra stöd.

Auktor revisor Lars Egenäs är verksam vid Deloitte. Anders Hult är specialist inom riskhantering vid Deloitte. Auktor revisor Björn Rydberg är verksam vid Ernst & Young.