Balans nr 12 2011

Fördjupning: Tredjepartsrapportering: SOC-konceptet ett starkt tillskott till revisorns verktygslåda

Nya komponenter i revisorns verktygslåda gör det möjligt för företaget att erhålla revisors bestyrkanden kopplade till kontrollmiljön i outsourcad verksamhet. I denna artikel skriver Björn Rydberg om rapportering av intern kontroll för att skapa förtroende mellan olika organisationer.

SAS – Statement on Auditing Standards

SOC – Service Organisation Controls

AICPA – American Institute of Certified Public Accountants

ISAE – International Standards for Assurance Engagements

IFAC – International Federation of Accountants

ISA – International Standards on Auditing

SSAE – Statement on Standards for Attestation Engagements

Sedan ett flertal år har företag och organisationer outsourcat delar av sin verksamhet. Ofta rör det sig om tjänster kopplade till it, redovisning och lönehantering, men även större delar av affärsprocesser kopplade till exempelvis logistikflöden är föremål för outsourcing.

ISA 402 Revisors överväganden vid revision av företag som anlitar en servicebyrå ger revisorn vägledning för att hantera situationer där kunder har lagt ut tjänster som är relevanta för revisionen. ISA 402 pekar bland annat på möjligheten för revisorn att inhämta ett så kallat tredjepartsintyg i form av en bestyrkanderapport om beskrivning, utformning och implementering av kontroller.

Tidigare har vi i Sverige varit hänvisade till SAS 70 Statement on Auditing Standards no 70 – Service Organizations från den amerikanska American Institute of Certified Public Accountants (AICPA) standarden för upprättande av sådana tredjepartsintyg. Sedan cirka ett år tillbaka har vi dock kunnat tillämpa en internationell standard, ISAE 3402 Bestyrkanderapporter om kontroller i en servicebyrå, vilken nu finns översatt till svenska och kommer att publiceras i Samlingsvolymen revision. ISAE 3402 är en standard från International Federation of Accountants (IFAC) som bygger på ett påståendebaserat uttalande med rimlig säkerhet.

I USA har sedan 1 juli 2011 SAS 70 ersatts av SSAE 16 Reporting on controls at a service organisation. SSAE 16 togs fram parallellt med ISAE 3402 och det är enbart mindre skillnader mellan dessa. En revisor i USA ska kunna förlita sig på en ISAE 3402-rapport och på samma sätt ska en revisor utanför USA kunna använda SSAE 16-rapporten.

ISAE 3402 (och SSAE 16) är på samma sätt som SAS 70 begränsad till att ge bestyrkande på en kontrollmiljö kopplad till den finansiella rapporteringen, adresserade till befintliga kunder och dess revisorer. Utifrån de ytterligare behov som finns av tredjepartsrapportering har AICPA vidare definierat ett koncept för olika typer av Service Organisation Controls Reports (SOC-Reports) som vi även kan ta till oss här i Sverige. Förutom SSAE 16 (ISAE 3402) som benämns SOC 1, har också SOC 2- och SOC 3-rapportering definierats. SOC 2 och SOC 3 möter en bredare publik med ett bredare tillämpningsområde för processer och dess kontroller som inte är begränsade till finansiell rapportering. SOC 2- och 3-rapportering baserar vi på ISAE 3000.

ISAE 3402 (SOC 1)

Medan SAS 70 var mer av en ”revisor till revisor”-kommunikation är ISAE 3402 mera en rapport där servicebyråns ledning kommunicerar med sina kunder (och dess revisor). De primära delarna i rapporten är:

  1. Ledningens påstående
  2. Revisorns utlåtande
  3. Systembeskrivning
  4. Tester och resultat (inklusive kriterier och kontroller)

En nyhet i förhållande till SAS 70 är att ett påstående från ledningen (Management Assertion) redovisas ”öppet” i rapporten. I påståendet ska bland annat framgå att ledningen har tagit med all relevant information avseende det system som omfattas av rapporten och att en riskanalys är genomförd kopplad till kontrollmål och de kontroller som finns är utformade för att uppnå dessa kontrollmål.

Begreppet System används i isae 3402 som ett samlingsbegrepp för de riktlinjer och rutiner som utformas och införs av servicebyrån för att denna ska kunna leverera de tjänster till användarföretagen som rapporten från servicebyråns revisor omfattar.

I likhet med SAS 70 finns två rapporttyper i ISAE 3402. Den första varianten är ett bestyrkande där revisorn uttalar sig om kontrollers utformning och implementering vid ett specifikt datum – Typ 1-rapport. I den andra – Typ 2-rapporten, utsträcker vi vårt uttalande även till kontrollernas funktion under en specifik period, vanligtvis minst sex månader.

Reflektion

ISAE 3402 är en ganska kompakt materia vilken kommer att kräva vidare information och utbildning för kåren. Det är viktigt att vi enas kring en lika kvalitetsmässigt hög nivå på bestyrkanderapporter av den här typen som då det gäller våra bestyrkanden kopplade till finansiell rapportering.

Kort beskrivning av SOC 2 och 3

SOC 2 är rapporter om intern kontroll med avseende på ett eller flera av följande fem områden:

  1. Säkerhet
  2. Tillgänglighet
  3. Korrekt hantering (processing integrity)
  4. Konfidentialitet
  5. Integritet (privacy)

Utformningen på en SOC 2-rapport är samma som för ISAE 3402/SOC 1 men rapporten kan adressera kontroller som normalt inte ingår i SOC 1 (vilken som ju nämns ovan enbart adresserar kontroller kopplade till finansiell rapportering). Rapporten kan distribueras till en bredare mängd användare, inklusive befintliga användare, eventuella framtida användare, institutioner och affärspartners. SOC 2 rapporten kan på samma sätt som SOC 1 vara av typ 1 eller typ 2.

SOC 3 täcker också en eller flera av de fem punkter som ingår i en SOC 2, men i ett kortare rapportformat för generell användning (till exempel publicering på hemsida).

Naturlig plats i revisorns verktygslåda

Sammantaget ger ”SOC-arna” en mycket bra möjlighet för kundföretaget – eller organisationen – att kommunicera kring sin kontrollmiljö till kunder och andra intressenter, för ökad transparens och ökat förtroende. Till exempel ger de möjlighet för företag med internetbaserade tjänster att kommunicera externt kring sin kontrollmiljö. Process och kontrollbeskrivning samt oberoende revisors rapport kommuniceras på hemsidan i anslutning till tjänsten (SOC 3). De kan till exempel också ge det mindre, snabbväxande, tjänsteföretaget en bra möjlighet att visa att man arbetar strukturerat med sin interna kontroll.

I takt med att våra kunder lägger ut väsentliga processer bör naturligtvis vi som revisorer också successivt naturligt ställa krav på tredjepartsrapporter.

Björn Rydberg är auktoriserad revisor på Ernst & Young.

SOC 1-rapporterSOC 2-rapporterSOC 3-rapporter
Under vilken standard utför vi vårt engagemang?ISAE 3402
Bestyrkanderapporter om kontroller i en servicebyrå.
ISAE 3000
Andra bestyrkandeuppdrag än revision eller översiktlig granskning av historisk finansiell information.
ISAE 3000
Andra bestyrkandeuppdrag än revision eller översiktlig granskning av historisk finansiell information.
GranskningsobjektKontroller på en servicebyrå som är relevanta för användarföretagets (servicebyråns kund) interna kontroll kopplat till finansiell rapportering.Kontroller på servicebyrån relevanta för ett eller flera områden:
– Säkerhet
– Tillgänglighet
– Korrekt hantering
– Konfidentialitet
– Integritet
Kontroller på servicebyrån relevanta för ett eller flera områden:
– Säkerhet
– Tillgänglighet
– Korrekt hantering
– Konfidentialitet
– Integritet
Vilka är användare av de olika rapporterna?– Användarföretaget
– Användarföretagets revisor
– Användarföretaget
– Affärspartners
– Prospektiva affärspartners
– Alla

Sifferkollen Läs mer

Belopp

Basbelopp
År 2018 2019 2020
Prisbasbelopp 45 500 46 500 47 300
Förhöjt pbb. 46 500 47 400 48 300
Inkomstbasbelopp 62 500 64 400  
Utdelning fåmansföretag
År 2017 2018 2019
Schablonbelopp 163 075 169 125 171 875

Räntesatser

Periodiseringsfond
År 2017 2018 2019
Räntesats 0,36* 0,36 0,51

* 0,19 om räkenskapsåret börjar 2016 och avslutas 2017.

Referensränta
År 2016-07-01 2019-07-01
Räntesats -0,5 0,0
Ränta på skattekontot
Period 2013-2016 2017 -
Intäkt 0,5625 0
Kostnad Låg 1,25 1,25
Kostnad Hög 16,25 16,25
Räntefördelning
Inkomstår 2017 2018 2019
Positiv 6,27 6,49 6,51
Negativ 1,50 1,50 1,51
Statslåneränta
År 2016 2017 2018
31 maj 0,57 0,34 0,49
30 nov 0,27 0,49 0,51

Traktamenten

Bilresor
Inkomstår 2017 2018 2019
Egen bil 18,50 18,50 18,50
Förmånsbil, diesel 6,50 6,50 6,50
Förmånsbil, bensin 9,50 9,50 9,50
Kostförmån
År 2017 2018 2019
Frukost, lunch och middag 225 235 245
Lunch eller middag 90 94 98
Frukost 45 47 49
Skattefria gåvor
År 2017 2018 2019
Julgåva 450 450 450
Jubileumsgåva 1 350 1 350 1 350
Minnesgåva 15 000 15 000 15 000

Skattesatser

Bolagsskatt
År 2017 2018 2019
Skattesats 22% 22% 21,4%
Mervärdesskatt
År 2017 2018 2019
Normal

25 %

25 % 25 %
Livsmedel, krog m.m. 12 % 12 % 12 %
Persontransport, böcker m.m. 6 % 6 % 6 %
Arbetsgivaravgifter/egenaavgifter
Födda -1937 1938 - 1953 1954 -
Arb. avgifter 0 % 10,21% 31,42%
Egenavgifter 0 % 10,21% 28,97%