Nya utkastet till ISAE 3402 är bättre men når inte hela vägen fram
Utkastet till den internationella standarden för granskning av kontroller hos servicebyråer, ISAE 3402, har modifierats efter kommentarer från 47 respondenter. I den här artikeln beskrivs en del intressanta förändringar och förtydliganden som har gjorts.
ISAE – International Standards on Assurance Engagements
SAS – Statement on Auditing Standard
ISACA – Information Systems Audit and Controls Association
IAASB – International Auditing and Assurance Standards Board
ASB – US Auditing Standards Board
SSAE – Statement on Standards for Attestation Engagements
I artikeln ”Nya möjligheter för servicebyråer att inge förtroende” (Balans nr 2/2009) nämnde vi att en ny internationell standard för hur revisorn kan hjälpa servicebyråer att bemöta deras kunders krav på internkontroll kommer att ersätta den nu gällande SAS 70-standarden. Den nya standarden har funnits i utkastsform sedan december 2007 då kommentarer begärdes in från en stor mängd instanser. 47 av dem svarade och bland dem fanns representanter från revisionsbranschorganisationer, servicebyråer, författningsinstitutioner, revisionsbyråer och andra intresseorganisationer såsom ISACA. Arbetet med att sammanställa, besvara och i vissa fall anpassa standarden har fortgått fram till juni i år, då det slutgiltiga förslaget till ny standard presenterades på IAASBs möte i Lissabon. Några förändringar i den kommande standarden som skiljer sig från vad vi beskrev i vår förra artikel är värda att notera.
Några viktiga förändringar
Vi, liksom många av de andra respondenterna, hade förbehåll vad det gäller användandet av assertions i utkastet för den nya standarden (ISAE 3402). Assertions är uttalanden av servicebyrån om hur väl utformade deras kontroller är och hur väl de fungerar. Väl använt är assertions ett mycket bra verktyg för att tydliggöra för läsaren av rapporten att servicebyrån tar ansvar för att innehållet i rapporten är riktigt och att de försäkrat sig om att de inkluderat allt väsentligt. Kommentarerna till detta rörde en oklarhet om på vilka grunder servicebyrån själv kan uttala sig om sina assertions. Det nya utkastet förtydligar att servicebyrån inte behöver genomföra en egen detaljerad granskning av intern kontroll innan revisorn genomför sin granskning för att kunna uttala sig om ändamålsenlighet och efterlevnad av intern kontroll, vilket vi välkomnar och tror ökar acceptansen för den nya standarden. Vi tror annars att kostnaden för ett bestyrkande enligt ISAE 3402 skulle kunna bli orimligt hög för servicebyrån.
En annan viktig förändring i det nya utkastet är att standarden nu säger att den inte är ämnad att användas för bestyrkanden över annat än kontroller relaterade till finansiell rapportering. En av de stora förhoppningarna vi hade kring det första utkastet var att detta inte skulle begränsas och vi hänvisas i stället till att använda oss av den underliggande standarden ISAE 3000.
Dock lämnas det öppet att använda ISAE 3402 som vägledning i rapportens utformning vid bestyrkanden över annat än kontroller relaterade till finansiell rapportering. Rent praktiskt har det liten betydelse för revisorns arbete då ISAE 3000 även beskriver tillvägagångssättet för granskningar inför bestyrkanden enligt ISAE 3402, men det är olyckligt gentemot marknaden då vi inte längre har en och samma term att beskriva den här typen av rapport med. En servicebyrå eller en kund vid servicebyrån inser kanske inte att en rapport utfärdad enligt ISAE 3402 har samma underliggande arbete som en rapport som är utfärdad enligt ISAE 3000 och vice versa, trots att rapporternas syften är olika.
Värt att notera är att ASB arbetar med att ta fram en ny standard, SSAE, som kommer att ersätta SAS 70 lokalt på den amerikanska marknaden. Denna nya standard kommer i all väsentlighet att ha samma innehåll som ISAE 3402 med några mindre skillnader. Skillnaderna är inte väsentliga ur servicebyråernas perspektiv utan innefattar nästan uteslutande hänsynstaganden som utfärdande revisor behöver ta hänsyn till.
Vi ser en ökad efterfrågan på den här typen av tjänster i Sverige och i Europa, men det är fortfarande en ganska väsentlig investering som servicebyrån gör när den beställer ett bestyrkande av den här typen. Det ser vi som mycket viktigt och vi är glada över att servicebyråer inte kommer att behöva ta hänsyn till två väsentligt skilda standarder om de har kunder på bägge sidor av Atlanten. Förhoppningen är därför att SSAE färdigställs och finns tillgänglig ungefär samtidigt med ISAE 3402. Det finns annars en risk att servicebyråer behöver utfärda bestyrkanderapporter enligt bägge standarderna under en interimsperiod.
Förenkling för alla
Förutom att förenkla för servicebyråer är vår förhoppning att de nya standarderna ISAE 3402 och SSAE kommer att förenkla för mottagaren av rapporterna, servicebyråernas kunders revisorer. Som både utfärdare och granskare av bestyrkande rapporter i det dagliga arbetet, kommer vi i dag i kontakt med en stor mängd rapporter.
Tyvärr varierar i dag rapporternas omfattning när det gäller beskrivningen av kontroller och den granskning som utförts av den utfärdande revisorn. Vår förhoppning är därför att den vägledning som nu kommer med ISAE 3402 och SSAE kommer att leda till likartade rapporter med samma innehåll vad gäller beskrivning av kontrollmiljö, kontroller och omfattning av revisorns testning.
I skrivande stund förväntas IAASB godkänna ISAE 3402 vid ett möte i Seoul i slutet av september (efter denna tidnings pressläggning). Det gör att den slutgiltiga standarden med stor sannolikhet kommer att finnas tillgänglig för servicebyråer och revisionsbyråer inom kort. Den nya standarden tillåter revisionsbyråer att utfärda rapporter i enlighet med ISAE 3402 med rapportdatum per eller efter 15 juni 2011. Det innebär att vi bör kunna se servicebyråer börja arbeta med den nya standarden redan i vår för att förbereda sig på en rapportperiod som sträcker sig från 15 juni 2010 och framåt.
Att döma av de frågor vi erhåller är det allt vanligare att kunder ställer krav på sina servicebyråer avseende intern kontroll i dag än för bara ett par år sedan. Ett likställande av standarderna gör det möjligt för servicebyråerna att på ett bättre sätt än tidigare, genom ökad transparens, möta alla sina kunders krav på intern kontroll, oberoende av om de finns i Europa eller i USA.
Mattias Falck är verksam inom Risk Management Services (RMS) samt specialist på området 3:e partsrapportering vid Pricewaterhousecoopers. Peter Hermanson är ansvarig för RMS och affärsområdet 3:e partsrapportering vid samma byrå.