Ny standard gör att revisorn kan uttala sig om annat än finansiell rapportering
Servicebyråer hanterar många olika typer av processer åt företag. Därför är det viktigt för dem att kunna kommunicera förtroende, inte bara i den finansiella rapporteringen. En ny standard gör det i framtiden möjligt för en kvalificerad revisor att uttala sig om exempelvis servicenivå, nätverkssäkerhet, kvalité på fysisk säkerhet med mera. I dagens rapporter faller detta utanför på grund av branschpraxis. Den nya standarden släpps under 2009.
Som ett par artiklar belyst tidigare i Balans, Revision av företag som anlitar redovisningsbyrå (nr 1/2008) och Outsourcing – hur ska revisorn tänka (nr 1/2009), så lägger många företag ut hela eller delar av verksamheten på någon annan.
Många av dessa servicebyråer hanterar väsentliga processer på uppdrag av dessa företag. Enligt till exempel aktiebolagslagen (ABL) framgår att styrelse och vd alltid ansvarar för den verksamhet som lagts ut genom uppdragsavtal, samt ger vägledning om hur övervakningen kan ske.
Det finns även vägledning i Revisionsstandard i Sverige (RS) 402 om revisorns överväganden vid revision av företag som anlitar servicebyråer vilken blir direkt tillämplig. Enligt denna ska revisorn beakta hur servicebyrån påverkar klientens redovisningssystem och system för intern kontroll för att kunna planera revisionen och utforma en effektiv revisionsansats.
I Sverige sker revision hos servicebyråer enligt ISA 402, SAS 70 eller RS mycket sällan i en internationell jämförelse. Detta trots att den grundläggande revisionsstandarden ISA är densamma i Sverige som i övriga Europa.
I Europa är det, i motsats till i Sverige, ganska vanligt att företag som outsourcat delar av sin verksamhet frågar sina servicebyråer efter en så kallad SAS 70 rapport.
Denna bygger på en amerikansk standard som tyvärr inte är applicerbar i sin helhet för europeiska redovisningsregler och ISA. Exempelvis så måste alla rapporter som utfärdas enligt SAS 70 vara underskriven av en revisor som är auktoriserad enligt AICPA:s riktlinjer (Certified Public Accountant (CPA) i den amerikanska stat där det mesta av arbetet med att utfärda rapporten har genomförts). Något som givetvis inte är direkt applicerbart utanför USA.
Därför har alla revisionsbyråer som utfärdar SAS 70 rapporter utanför USA utvecklat egna regelverk för att hantera detta. Men nu kommer alltså en internationell branschstandard.
Ny standard
Som nämndes i artikeln Outsourcing – hur ska revisorn tänka (Balans nr 1/2009), publicerade International Auditing and Assurance Standards Board (IAASB) ett utkast till ny standard för granskning av kontroller hos servicebyråer i början av förra året. Rent generellt kommer denna standard att vara likvärdig den amerikanska Auditing Standard (SAS) 70, Service Organisations (AU Section 324) och samtidigt överensstämma med ISA.
Vissa länder, till exempel Kanada och Storbritannien, har länge haft egna standarder för att rapportera tillförlitligheten av de kontroller som utförs av servicebyråer. Det har inte funnits någon internationellt accepterad standard vilket har medfört att den amerikanska SAS 70 standarden används internationellt och inte bara i USA.
När den nya standarden släpps förutser vi att IAASB:s ISAE 3402 standard kommer att bli den standard som kommer att bli den som följs i Europa för att genomföra uppdrag att rapportera på kontroller som utförs av servicebyråer.
Branschorganen i Kanada och USA ser för närvarande över sina standarder för att anpassa dem mot ISA och IAASB:s föreslagna nya standard. Att ha olikheter i de standarder som finns i dag i flera länder är olyckligt då det skapar förvirring kring rapporten och hur den kan användas av servicebyråns kunder, samt hur rapporterna bidrar i externrevisionen. Vi anser därför att denna utveckling är mycket bra.
Fördelarna att ha en gemensam internationell standard och rapport för hur kontroller ska rapporteras är uppenbara och det är därför mycket positivt att detta gap fylls med denna standard.
Förändringar mot tidigare standarder
En av de större ändringarna som föreslagits i utkastet är att rapporten innehåller en så kallad ”assertion” från företagsledningen. Detta betyder att ledningen av servicebyrån förväntas intyga genom en assertion att beskrivningen av kontroller är riktig och att designen är utformad så att väsentliga risker omhändertas samt att kontrollerna, för en Typ B rapport, fungerar över tiden.
Den oberoende revisorn som utfärdar rapporten kommer fortfarande, så som i SAS 70, att utfärda ett utlåtande över kontrollbeskrivningen och deras effektivitet, och inte ett utlåtande direkt över ledningens assertion. Trots detta är inkluderandet av en assertion en viktig och välkommen nyhet i standarden.
Standarden ISAE 3402 är med inkluderandet av ledningens assertion inte låst till att enbart inkludera kontroller över finansiella transaktioner, som SAS 70 är. Detta är mycket uppskattat från servicebyråer då de är intresserade av att kommunicera exempelvis uppfyllandet av servicenivåer, kvaliteten på fysisk säkerhet, nätverkssäkerhet etc. i sina rapporter, något som tidigare genom branschpraxis försvunnit ur SAS 70 rapporterna.
För att detta ska fungera bra är det mycket viktigt att servicebyråers ledning förstår de assertions som de förväntas skriva och de kriterier som de baseras på. Vi är ännu inte helt övertygade om att det utkast ISAE tagit fram på ett tillräckligt tydligt sätt förklarar detta eller ger tillräcklig vägledning. Om inte utkastet till standarden utvecklas till att inkludera mer vägledning kommer det ställas stora krav på revisorerna att bistå servicebyråerna och deras kunder med rådgivning kring hur assertion kan användas.
IAASB arbetar för närvarande med kommentarer från servicebyråer, revisorer och andra intressenter och standarden är planerad att släppas under 2009. Detta betyder att rapporter som följer den här standarden kan komma att synas på marknaden tidigast hösten 2009, men mer troligt under 2010.
Den nya standarden skapar möjlighet att kommunicera förtroende
Sammanfattningsvis ser vi positivt på en standard som är internationell då det minskar den osäkerhet och okunskap som finns när olika länders standarder anpassas till svenska förhållanden. Det är vidare positivt att den nya standarden ger ytterligare möjligheter för servicebyråer att kunna kommunicera förtroende till kunder.
Denna standard kommer dessutom att ge möjlighet för oss, som oberoende revisorer, att utöver processer för finansiell rapportering också uttala oss om processer som inte direkt påverkar den finansiella rapporteringen. Detta leder till att företag och deras kunder i framtiden med en rapport utfärdad enligt ISAE 3402 kan känna förtroende för att kontroller över exempelvis serviceavtal, help desk, katastrofplanering, efterlevnad av avtal, tillgänglighet av system etc., fungerar tillfredsställande.
Detta är något man inte kunnat kommunicera tidigare med SAS 70.
Peter Hermanson är ansvarig för risk Management Services (RMS) och affärsområdet 3:e partsrapportering vid Öhrlings Pricewaterhousecoopers. Mattias Falck är verksam inom RMS samt specialist på området 3:e partsrapportering vid samma byrå.