Nya komponenter i revisorns verktygslåda gör det möjligt för företaget att erhålla revisors bestyrkanden kopplade till kontrollmiljön i outsourcad verksamhet. I denna artikel skriver Björn Rydberg om rapportering av intern kontroll för att skapa förtroende mellan olika organisationer.
SAS – Statement on Auditing Standards
SOC – Service Organisation Controls
AICPA – American Institute of Certified Public Accountants
ISAE – International Standards for Assurance Engagements
IFAC – International Federation of Accountants
ISA – International Standards on Auditing
SSAE – Statement on Standards for Attestation Engagements
Sedan ett flertal år har företag och organisationer outsourcat delar av sin verksamhet. Ofta rör det sig om tjänster kopplade till it, redovisning och lönehantering, men även större delar av affärsprocesser kopplade till exempelvis logistikflöden är föremål för outsourcing.
ISA 402 Revisors överväganden vid revision av företag som anlitar en servicebyrå ger revisorn vägledning för att hantera situationer där kunder har lagt ut tjänster som är relevanta för revisionen. ISA 402 pekar bland annat på möjligheten för revisorn att inhämta ett så kallat tredjepartsintyg i form av en bestyrkanderapport om beskrivning, utformning och implementering av kontroller.
Tidigare har vi i Sverige varit hänvisade till SAS 70 Statement on Auditing Standards no 70 – Service Organizations från den amerikanska American Institute of Certified Public Accountants (AICPA) standarden för upprättande av sådana tredjepartsintyg. Sedan cirka ett år tillbaka har vi dock kunnat tillämpa en internationell standard, ISAE 3402 Bestyrkanderapporter om kontroller i en servicebyrå, vilken nu finns översatt till svenska och kommer att publiceras i Samlingsvolymen revision. ISAE 3402 är en standard från International Federation of Accountants (IFAC) som bygger på ett påståendebaserat uttalande med rimlig säkerhet.
I USA har sedan 1 juli 2011 SAS 70 ersatts av SSAE 16 Reporting on controls at a service organisation. SSAE 16 togs fram parallellt med ISAE 3402 och det är enbart mindre skillnader mellan dessa. En revisor i USA ska kunna förlita sig på en ISAE 3402-rapport och på samma sätt ska en revisor utanför USA kunna använda SSAE 16-rapporten.
ISAE 3402 (och SSAE 16) är på samma sätt som SAS 70 begränsad till att ge bestyrkande på en kontrollmiljö kopplad till den finansiella rapporteringen, adresserade till befintliga kunder och dess revisorer. Utifrån de ytterligare behov som finns av tredjepartsrapportering har AICPA vidare definierat ett koncept för olika typer av Service Organisation Controls Reports (SOC-Reports) som vi även kan ta till oss här i Sverige. Förutom SSAE 16 (ISAE 3402) som benämns SOC 1, har också SOC 2- och SOC 3-rapportering definierats. SOC 2 och SOC 3 möter en bredare publik med ett bredare tillämpningsområde för processer och dess kontroller som inte är begränsade till finansiell rapportering. SOC 2- och 3-rapportering baserar vi på ISAE 3000.
ISAE 3402 (SOC 1)
Medan SAS 70 var mer av en ”revisor till revisor”-kommunikation är ISAE 3402 mera en rapport där servicebyråns ledning kommunicerar med sina kunder (och dess revisor). De primära delarna i rapporten är:
Ledningens påstående
Revisorns utlåtande
Systembeskrivning
Tester och resultat (inklusive kriterier och kontroller)
En nyhet i förhållande till SAS 70 är att ett påstående från ledningen (Management Assertion) redovisas ”öppet” i rapporten. I påståendet ska bland annat framgå att ledningen har tagit med all relevant information avseende det system som omfattas av rapporten och att en riskanalys är genomförd kopplad till kontrollmål och de kontroller som finns är utformade för att uppnå dessa kontrollmål.
Begreppet System används i isae 3402 som ett samlingsbegrepp för de riktlinjer och rutiner som utformas och införs av servicebyrån för att denna ska kunna leverera de tjänster till användarföretagen som rapporten från servicebyråns revisor omfattar.
I likhet med SAS 70 finns två rapporttyper i ISAE 3402. Den första varianten är ett bestyrkande där revisorn uttalar sig om kontrollers utformning och implementering vid ett specifikt datum – Typ 1-rapport. I den andra – Typ 2-rapporten, utsträcker vi vårt uttalande även till kontrollernas funktion under en specifik period, vanligtvis minst sex månader.
Reflektion
ISAE 3402 är en ganska kompakt materia vilken kommer att kräva vidare information och utbildning för kåren. Det är viktigt att vi enas kring en lika kvalitetsmässigt hög nivå på bestyrkanderapporter av den här typen som då det gäller våra bestyrkanden kopplade till finansiell rapportering.
Kort beskrivning av SOC 2 och 3
SOC 2 är rapporter om intern kontroll med avseende på ett eller flera av följande fem områden:
Säkerhet
Tillgänglighet
Korrekt hantering (processing integrity)
Konfidentialitet
Integritet (privacy)
Utformningen på en SOC 2-rapport är samma som för ISAE 3402/SOC 1 men rapporten kan adressera kontroller som normalt inte ingår i SOC 1 (vilken som ju nämns ovan enbart adresserar kontroller kopplade till finansiell rapportering). Rapporten kan distribueras till en bredare mängd användare, inklusive befintliga användare, eventuella framtida användare, institutioner och affärspartners. SOC 2 rapporten kan på samma sätt som SOC 1 vara av typ 1 eller typ 2.
SOC 3 täcker också en eller flera av de fem punkter som ingår i en SOC 2, men i ett kortare rapportformat för generell användning (till exempel publicering på hemsida).
Naturlig plats i revisorns verktygslåda
Sammantaget ger ”SOC-arna” en mycket bra möjlighet för kundföretaget – eller organisationen – att kommunicera kring sin kontrollmiljö till kunder och andra intressenter, för ökad transparens och ökat förtroende. Till exempel ger de möjlighet för företag med internetbaserade tjänster att kommunicera externt kring sin kontrollmiljö. Process och kontrollbeskrivning samt oberoende revisors rapport kommuniceras på hemsidan i anslutning till tjänsten (SOC 3). De kan till exempel också ge det mindre, snabbväxande, tjänsteföretaget en bra möjlighet att visa att man arbetar strukturerat med sin interna kontroll.
I takt med att våra kunder lägger ut väsentliga processer bör naturligtvis vi som revisorer också successivt naturligt ställa krav på tredjepartsrapporter.
Björn Rydberg är auktoriserad revisor på Ernst & Young.
SOC 1-rapporter | SOC 2-rapporter | SOC 3-rapporter | |
|---|---|---|---|
Under vilken standard utför vi vårt engagemang? | ISAE 3402 | ||
ISAE 3000 | ISAE 3000 | ||
Granskningsobjekt | Kontroller på en servicebyrå som är relevanta för användarföretagets (servicebyråns kund) interna kontroll kopplat till finansiell rapportering. | Kontroller på servicebyrån relevanta för ett eller flera områden: | Kontroller på servicebyrån relevanta för ett eller flera områden: |
Vilka är användare av de olika rapporterna? | – Användarföretaget | – Användarföretaget | – Alla |