International Standard on Auditing (ISA) 402 Revisorns överväganden vid revision av företag som anlitar en servicebyrå ska läsas tillsammans med ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing.

Inledning

Denna standards tillämpningsområde

1.Denna internationella revisionsstandard (ISA) behandlar det ansvar som användarföretagets revisor har för att inhämta tillräckliga och ändamålsenliga revisionsbevis när ett användarföretag anlitar en eller flera servicebyråer. I synnerhet behandlas hur användarföretagets revisor tillämpar ISA 3151 (omarbetad 2019) och ISA 3302 när han eller hon skaffar sig en förståelse av användarföretaget, vilket innefattar företagets system för intern kontroll som är relevant för upprättandet av de finansiella rapporterna, tillräcklig för att identifiera och bedöma riskerna för väsentliga felaktigheter och för att utforma och utföra fortsatta granskningsåtgärder i syfte att hantera dessa risker.

ISA 315 (omarbetad 2019) Identifiera och bedöma riskerna för väsentliga felaktigheter.

ISA 330 Revisorns hantering av bedömda risker.

2.Många företag lägger ut vissa delar av sin verksamhet på byråer som tillhandahåller tjänster som sträcker sig från att utföra en viss uppgift under ledning av ett företag till att ersätta ett företags hela affärsenheter eller funktioner, t.ex. skattehanteringsfunktionen. Många av de tjänster som sådana servicebyråer levererar ingår i företagets affärsverksamhet, men det är inte alla dessa tjänster som är relevanta för revisionen.

3.Tjänster som en servicebyrå levererar är relevanta för revisionen av ett användarföretags finansiella rapporter om dessa tjänster, och kontrollerna över dem, ingår i de delar av användarföretagets informationssystem, som är relevanta för upprättandet av de finansiella rapporterna. De flesta kontroller hos servicebyrån är sannolikt en del av användarföretagets informationssystem som är relevant för upprättandet av de finansiella rapporterna eller relaterade kontroller, t.ex. kontroller över skyddet av tillgångar. En servicebyrås tjänster ingår i de delar av ett användarföretags informationssystem, om dessa tjänster påverkar något av följande:

  1. Hur uppgifter om väsentliga transaktionsslag, konton och upplysningar flödar genom användarföretagets informationssystem, vare sig det är manuellt eller med hjälp av IT, och vare sig upplysningarna hämtas från huvudboken och dess undersystem eller från andra källor. Det innefattar när servicebyråns tjänster påverkar hur

    1. användarföretagets transaktioner initieras och hur information om dessa registreras, bearbetas, i förekommande fall rättas, och överförs till huvudboken och redovisas i de finansiella rapporterna, och

    2. information om händelser och förhållanden, utöver transaktioner, fångas upp, bearbetas och redovisas av användarföretaget i de finansiella rapporterna,

  2. Räkenskapsmaterial och särskilda konton i användarföretagets finansiella rapporter och annan underliggande bokföring hänförlig till informationsflödena i punkt 3 a,

  3. Den process för finansiell rapportering som används för att upprätta användarföretagets finansiella rapporter utifrån den redovisning som behandlas i punkt 3 b, däribland som den är hänförlig till upplysningar och uppskattningar för redovisningsändamål med avseende på betydande transaktionsslag, konton och upplysningar, och

  4. Företagets IT-miljö relevant för a och c ovan.

4.Karaktären på och omfattningen av arbete som ska utföras av användarföretagets revisor rörande tjänsterna från en servicebyrå beror på karaktären på och betydelsen av de tjänster som utförs åt användarföretaget samt dessa tjänsters relevans för revisionen.

5.Denna ISA gäller inte för tjänster från finansinstitut som är begränsade till bearbetning, avseende ett företags konto hos finansinstitutet, av transaktioner som attesteras särskilt av företaget, t.ex. en banks bearbetning av checkkontotransaktioner eller en mäklares bearbetning av värdepapperstransaktioner. Dessutom gäller denna ISA inte revision av transaktioner till följd av egna finansiella intressen i andra företag, t.ex. handelsbolag, aktiebolag och samriskföretag, när de egna intressena redovisas och rapporteras till ägare.

Ikraftträdande

6.Denna standard gäller vid revision av finansiella rapporter för räkenskapsperioder som börjar den 15 december 2009 eller senare.

Mål

7.Målen för användarföretagets revisor, om företaget anlitar en servicebyrå, är följande:

  1. Inhämta en förståelse av karaktären på och betydelsen av de tjänster som servicebyrån levererar och deras effekt på användarföretagets system för intern kontroll, som är tillräcklig för att utgöra en ändamålsenlig grund för att kunna identifiera och bedöma riskerna för väsentliga felaktigheter.

  2. Utforma och utföra granskningsåtgärder för att hantera dessa risker.

Definitioner

8.I ISA har nedanstående termer följande betydelser:

  1. Kompletterande kontroller hos användarföretaget – kontroller som servicebyrån vid utformningen av sina tjänster förutsätter att användarföretag genomför och som, om det krävs för att uppnå kontrollmålen, identifieras i beskrivningen av servicebyråns system.

  2. Rapport om beskrivningen och utformningen av kontroller hos en servicebyrå (typ 1-rapport i denna ISA) – en rapport som innehåller följande:

    1. En beskrivning, upprättad av servicebyråns företagsledning, av servicebyråns system, kontrollmål och tillhörande kontroller som har utformats och utförts per ett visst datum.

    2. En rapport av servicebyråns revisor avsedd att ge ett bestyrkande med rimlig säkerhet och som innefattar hans eller hennes uttalande om beskrivningen av servicebyråns system, kontrollmål och tillhörande kontroller samt om hur lämplig utformningen av kontrollerna är när det gäller att uppnå de angivna kontrollmålen.

  3. Rapport om beskrivningen och utformningen av samt funktionen hos servicebyråns kontroller (typ 2-rapport i denna ISA) – en rapport som innehåller följande:

    1. En beskrivning, upprättad av servicebyråns företagsledning, av servicebyråns system, kontrollmål och tillhörande kontroller, deras utformning och införande per ett visst datum eller för en viss period och, i vissa fall, deras funktion under en viss period.

    2. En rapport av servicebyråns revisor avsedd att ge ett bestyrkande med rimlig säkerhet och som innefattar följande:

      1. Hans eller hennes uppfattning om beskrivningen av servicebyråns system, kontrollmål och tillhörande kontroller, hur lämplig utformningen av kontrollerna är när det gäller att uppnå de angivna kontrollmålen samt kontrollernas funktion.

      2. En beskrivning av den granskning av kontroller som servicebyråns revisor har utfört och resultaten av denna.

  4. Servicebyråns revisor – en revisor som, på servicebyråns begäran, levererar en bestyrkande rapport om en servicebyrås kontroller.

  5. Servicebyrå – en extern organisation (eller segment av en extern organisation) som levererar sådana tjänster till användarföretag som ingår i de informationssystem hos dessa företag som är relevanta för finansiell rapportering.

  6. Servicebyråns system – de riktlinjer och rutiner som utformas, införs och upprätthålls av servicebyrån för att denna ska kunna leverera de tjänster till användarföretagen som rapporten från servicebyråns revisor omfattar.

  7. Underservicebyrå – en servicebyrå som anlitas av en annan servicebyrå för att utföra några av de tjänster som levereras till användarföretag och som ingår i de informationssystem hos dessa användarföretag som är relevanta för finansiell rapportering.

  8. Användarföretagets revisor – en revisor som reviderar och uttalar sig om de finansiella rapporterna för ett användarföretag.

  9. Användarföretag – ett företag som anlitar en servicebyrå och vars finansiella rapporter är föremål för revision.

Krav

Inhämta en förståelse av de tjänster som en servicebyrå levererar, däribland intern kontroll

9.När användarföretagets revisor skaffar sig en förståelse av användarföretaget enligt ISA 315 (omarbetad 2019), ska han eller hon inhämta en förståelse av hur ett användarföretag använder sig av en servicebyrås tjänster i sin verksamhet, däribland (se punkterna A 1A 2)

  1. karaktären på de tjänster som levereras av servicebyrån och betydelsen av dessa tjänster för användarföretaget, däribland effekten av dessa på användarföretagets interna kontroll, (se punkterna A 3A 5)

  2. karaktären på och väsentligheten i de transaktioner som bearbetas eller de konton eller processer för finansiell rapportering som påverkas av servicebyrån, (se punkt A 6)

  3. graden av samspel mellan servicebyråns och användarföretagets aktiviteter, och (se punkt A 7)

  4. karaktären på relationen mellan användarföretaget och servicebyrån, däribland de relevanta kontraktsvillkoren för de aktiviteter som servicebyrån åtagit sig. (Se punkterna A 8A 11.)

10.När revisorn skaffar sig en förståelse av företagets system för intern kontroll enligt ISA 315 (omarbetad 2019), ska revisorn identifiera kontroller i kontrollaktivitetskomponenten3 hos användarföretaget som hänför sig till de tjänster som servicebyrån levererar, däribland de kontroller som tillämpas på de transaktioner som bearbetas av servicebyrån, samt utvärdera deras utformning och bedöma om de har införts.4 (Se punkterna A 12−A 14.)

ISA 315 (omarbetad 2019), punkt 26 a.

ISA 315 (omarbetad 2019), punkt 26 d.

11.Användarföretagets revisor ska avgöra om han eller hon inhämtat en tillräcklig förståelse av karaktären på och betydelsen av de tjänster som servicebyrån levererat och deras effekt på företagets system för intern kontroll hos användarföretaget för att kunna utgöra en lämplig grund för att identifiera och bedöma riskerna för väsentliga felaktigheter.

12.Om användarföretagets revisor inte kan inhämta en tillräcklig förståelse från användarföretaget, ska han eller hon inhämta denna förståelse genom en eller flera av följande åtgärder:

  1. Inhämta en typ 1- eller typ 2-rapport, om sådan finns att tillgå.

  2. Kontakta servicebyrån, via användarföretaget, för att inhämta särskild information.

  3. Besöka servicebyrån och utföra åtgärder som ger den nödvändiga informationen om de relevanta kontrollerna hos servicebyrån.

  4. Anlita en annan revisor för att utföra åtgärder som ger den nödvändiga informationen om kontrollerna hos servicebyrån. (Se punkterna A 15A 20.)

Använda en typ 1- eller typ 2-rapport som stöd för sin förståelse av servicebyrån

13.När användarföretagets revisor avgör om de revisionsbevis som en typ 1- eller typ 2-rapport ger är tillräckliga och ändamålsenliga, ska han eller hon förvissa sig om

  1. att servicebyråns revisor har yrkesmässig kompetens och är oberoende i förhållande till servicebyrån, och

  2. att typ 1- eller typ 2-rapporten har utfärdats enligt lämpliga standarder. (Se punkt A 21.)

14.Om användarföretagets revisor planerar att använda en typ 1- eller typ 2-rapport som revisionsbevis till stöd för sin förståelse av utformningen och genomförandet av kontroller hos servicebyrån, ska revisorn

  1. utvärdera om beskrivningen och utformningen av kontroller hos servicebyrån avser en tidpunkt eller en period som är lämplig för hans eller hennes syften,

  2. utvärdera om de revisionsbevis som rapporten ger är tillräckliga och ändamålsenliga för förståelsen av kontrollerna hos servicebyrån, och

  3. avgöra om kompletterande kontroller hos användarföretaget som har identifierats av servicebyrån är relevanta för användarföretaget och, i så fall, inhämta en förståelse av om användarföretaget har utformat och infört sådana kontroller. (Se punkterna A 22A 23.)

Hantera de bedömda riskerna för väsentliga felaktigheter

15.Hantering av bedömda risker enligt ISA 330 kräver att användarföretagets revisor

  1. avgör om tillräckliga och ändamålsenliga revisionsbevis rörande de relevanta räkenskapspåståendena finns tillgängliga i användarföretagets dokumentation, och i annat fall

  2. utför fortsatta granskningsåtgärder för att inhämta tillräckliga och ändamålsenliga revisionsbevis eller anlitar en annan revisor för att utföra dessa åtgärder hos servicebyrån för användarföretagets revisors räkning. (Se punkterna A 24A 28.)

Granskning av kontroller

16.Om användarföretagets revisors riskbedömning bygger på att servicebyråns kontroller fungerar, ska han eller hon inhämta revisionsbevis om kontrollernas funktion genom en eller flera av följande åtgärder:

  1. Inhämta en typ 2-rapport, om en sådan finns att tillgå.

  2. Utföra lämplig kontrollgranskning hos servicebyrån.

  3. Anlita en annan revisor för att utföra kontrollgranskning hos servicebyrån för användarföretagets revisors räkning. (Se punkterna A 29A 30.)

Använda en typ 2-rapport som revisionsbevis för att servicebyråns kontroller fungerar

17.Om användarföretagets revisor planerar att, enligt punkt 16 a, använda en typ 2-rapport som revisionsbevis för att servicebyråns kontroller fungerar, ska han eller hon avgöra om rapporten från servicebyråns revisor ger tillräckliga och ändamålsenliga revisionsbevis om kontrollernas effektivitet som stöd för den riskbedömning som användarföretagets revisor gjort genom att

  1. utvärdera om beskrivningen och utformningen av samt funktionen hos servicebyråns kontroller avser en tidpunkt eller en period som är lämplig för hans eller hennes syften,

  2. avgöra om kompletterande kontroller hos användarföretaget som har identifierats av servicebyrån är relevanta för användarföretaget och, i så fall, inhämta en förståelse av om användarföretaget har utformat och infört sådana kontroller och, i så fall, granska deras funktion,

  3. utvärdera om den tidsperiod som kontrollgranskningen omfattar och den tid som förflutit sedan kontrollgranskningen utfördes är lämplig, och

  4. utvärdera om den granskning av kontroller som har utförts av servicebyråns revisor och resultaten av denna, enligt beskrivningen i rapporten från servicebyråns revisor, är relevanta för påståendena i användarföretagets finansiella rapporter och ger tillräckliga och ändamålsenliga revisionsbevis som stöd för den riskbedömning som användarföretagets revisor har gjort. (Se punkterna A 31A 39.)

Typ 1- och typ 2-rapporter som inte täcker de tjänster som en underservicebyrå levererar

18.Om användarföretagets revisor planerar att använda en typ 1- eller typ 2-rapport som inte täcker de tjänster som en underservicebyrå levererar och dessa tjänster är relevanta för revisionen av användarföretagets finansiella rapporter, ska han eller hon tillämpa kraven i denna ISA med avseende på de tjänster som underservicebyrån har levererat. (Se punkt A 40.)

Oegentligheter, överträdelser av lagar och andra författningar samt icke rättade felaktigheter hänförliga till aktiviteter hos servicebyrån

19.Användarföretagets revisor ska göra en förfrågan hos användarföretagets företagsledning om huruvida servicebyrån har rapporterat till användarföretaget om, eller om användarföretaget på något annat sätt fått kännedom om, oegentligheter, överträdelser av lagar och andra författningar eller icke rättade felaktigheter som påverkar användarföretagets finansiella rapporter. Användarföretagets revisor ska utvärdera hur sådana frågor påverkar karaktären på, tidpunkten för och omfattningen av hans eller hennes fortsatta granskningsåtgärder, däribland effekten på de slutsatser som användarföretagets revisor drar och hans eller hennes revisorsrapport. (Se punkt A 41.)

Användarföretagets revisors rapportering

20.Enligt ISA 705 (omarbetad)5 ska användarföretagets revisor modifiera uttalandet i revisors rapport om han eller hon inte kan inhämta tillräckliga och ändamålsenliga revisionsbevis rörande de tjänster som servicebyrån har levererat och som är relevanta för revisionen av användarföretagets finansiella rapporter. (Se punkt A 42.)

ISA 705 (omarbetad) Modifierat uttalande i rapport från oberoende revisor, punkt 6.

21.Användarföretagets revisor ska inte hänvisa till det arbete som har utförts av en servicebyrås revisor om användarföretagets revisors rapport innehåller ett omodifierat uttalande, såvida det inte finns lagar eller andra författningar som kräver detta. Om en lag eller annan författning skulle kräva en hänvisning, ska revisors rapport ange att hänvisningen inte minskar det ansvar som användarföretagets revisor har för uttalandet i revisors rapport. (Se punkt A 43.)

22.Om en hänvisning till en servicebyrås revisors arbete är relevant för förståelsen av en modifiering av användarföretagets revisors uttalande i revisors rapport, ska denna ange att en sådan hänvisning inte minskar revisorns ansvar för detta uttalande. (Se punkt A 44.)

Tillämpning och andra förtydliganden

Inhämta en förståelse av de tjänster som en servicebyrå levererar, däribland intern kontroll

Informationskällor

(se punkt 9)

A 1.Information om karaktären på de tjänster som en servicebyrå levererar kan finnas att tillgå i många olika källor, t.ex.

  • användarhandböcker,

  • systemöversikter,

  • tekniska handböcker,

  • kontraktet eller servicenivåavtalet mellan användarföretaget och servicebyrån,

  • rapporter från servicebyråer, internrevisionsfunktionen eller tillsynsmyndigheter om servicebyråns kontroller, och

  • rapporter från servicebyråns revisor, däribland revisors brev till företagsledningen, om sådana finns att tillgå.

A 2.Kunskap inhämtad genom de erfarenheter som användarföretagets revisor har av servicebyrån, t.ex. genom erfarenheter från andra revisionsuppdrag, kan också vara till hjälp för honom eller henne när det gäller att inhämta en förståelse av karaktären på de tjänster som servicebyrån levererar. Denna kan vara till särskild hjälp om servicebyråns tjänster och kontrollen över dessa tjänster i hög grad är standardiserade.

Karaktär på de tjänster som servicebyrån levererar

(se punkt 9 a)

A 3.Ett användarföretag kan använda en sådan servicebyrå som bearbetar transaktioner och åtar sig därmed förenade skyldigheter eller som bokför transaktioner och bearbetar tillhörande data. Servicebyråer som levererar sådana tjänster innefattar t.ex. notariatavdelning på en bank som investerar och förvaltar tillgångar för anställdas förmånsplaner eller åt andra, hypoteksbanker som hanterar hypotekslån åt andra och programleverantörer som levererar standardprogram och en teknikmiljö som innebär att kunder kan bearbeta finansiella och operativa transaktioner.

A 4.Exempel på tjänster från servicebyråer som är relevanta för revisionen är att

  • sköta användarföretagets räkenskapsmaterial,

  • förvalta tillgångar, och

  • initiera, registrera eller bearbeta transaktioner som ombud för användarföretaget.

Överväganden som särskilt gäller mindre företag

A 5.Mindre företag kan använda externa bokföringstjänster, allt från bearbetningen av vissa transaktioner (t.ex. betalning av arbetsgivaravgifter) och redovisningen av dessa till upprättandet av finansiella rapporter. Användningen av en sådan servicebyrå för upprättandet av företagets finansiella rapporter befriar inte det mindre företagets företagsledning och i förekommande fall dem som har ansvar för företagets styrning (styrelsen) från deras ansvar för de finansiella rapporterna.6

ISA 200 Den oberoende revisorns övergripande mål samt utförandet av en revision enligt International Standards on Auditing, punkt 4 och punkterna A 4A 5.

Karaktär och väsentlighet hos transaktioner som bearbetas av servicebyrån

(se punkt 9 b)

A 6.En servicebyrå kan upprätta riktlinjer och rutiner som påverkar användarföretagets interna kontroll. Dessa riktlinjer och rutiner är åtminstone delvis fysiskt och operativt åtskilda från användarföretaget. Betydelsen av servicebyråns kontroller för användarföretagets kontroller beror på karaktären på de tjänster som servicebyrån levererar, däribland karaktären på och väsentligheten hos de transaktioner som den hanterar åt användarföretaget. I vissa situationer verkar kanske inte de transaktioner som hanteras och de konton som påverkas av servicebyrån vara väsentliga för användarföretagets finansiella rapporter, men karaktären på de bearbetade transaktionerna kan vara betydelsefull och användarföretagets revisor kan besluta sig för att det är nödvändigt med en förståelse av dessa kontroller med hänsyn till omständigheterna.

Graden av samspel mellan servicebyråns och användarföretagets aktiviteter

(se punkt 9 c)

A 7.Betydelsen av servicebyråns kontroller för användarföretagets kontroller beror också på graden av samspel mellan servicebyråns aktiviteter och användarföretagets aktiviteter. Graden av samspel avser i vilken omfattning ett användarföretag kan och väljer att införa effektiva kontroller över den bearbetning som servicebyrån utför. Exempel: En hög grad av samspel föreligger mellan användarföretagets aktiviteter och servicebyråns aktiviteter om användarföretaget attesterar transaktionerna och servicebyrån bearbetar och sköter redovisningen av transaktionerna. Under sådana omständigheter kan det vara praktiskt för användarföretaget att införa effektiva kontroller över dessa transaktioner. Å andra sidan är graden av samspel mellan användarföretaget och servicebyrån låg, om servicebyrån initierar eller inledningsvis bokför, bearbetar och sköter redovisningen av användarföretagets transaktioner. Under sådana omständigheter kan kanske användarföretaget inte, eller väljer kanske användarföretaget att inte, införa effektiva kontroller över dessa transaktioner hos användarföretaget och förlitar sig kanske på servicebyråns kontroller.

Karaktär på relationen mellan användarföretaget och servicebyrån

(se punkt 9 d)

A 8.Kontraktet eller servicenivåavtalet mellan användarföretaget och servicebyrån kan innefatta bestämmelser om frågor som

  • den information som ska lämnas till användarföretaget och ansvaret för att initiera transaktioner som har samband med de aktiviteter som servicebyrån åtar sig,

  • tillämpningen av tillsynsorgans krav rörande vilken bokföring och dokumentation som ska finnas, eller åtkomst till den,

  • eventuell gottgörelse av användarföretaget i händelse av utebliven prestation,

  • om servicebyrån ska lämna en rapport om sina kontroller och i så fall om rapporten ska vara av typ 1 eller typ 2,

  • om användarföretagets revisor har åtkomsträttigheter till det räkenskapsmaterial som servicebyrån sköter åt användarföretaget och annan information som behövs för utförandet av revisionen, och

  • om avtalet medger direkt kommunikation mellan användarföretagets revisor och servicebyråns revisor.

A 9.Det finns en direkt relation mellan servicebyrån och användarföretaget och mellan servicebyrån och servicebyråns revisor. Dessa relationer skapar inte nödvändigtvis en direkt relation mellan användarföretagets revisor och servicebyråns revisor. Om det inte finns någon direkt relation mellan användarföretagets revisor och servicebyråns revisor, sker kommunikationen mellan användarföretagets revisor och servicebyråns revisor vanligtvis genom användarföretaget och servicebyrån. En direkt relation kan också skapas mellan användarföretagets revisor och servicebyråns revisor, med beaktande av relevanta överväganden om etik och tystnadsplikt beaktas. Ett användarföretags revisor kan anlita en servicebyrås revisor för att, för användarföretagets revisors räkning, utföra sådana åtgärder som

  1. granskning av kontroller hos servicebyrån, och

  2. substansgranskning av de transaktioner och saldon i användarföretagets finansiella rapporter som hanteras av servicebyrån.

Överväganden som särskilt gäller företag inom den offentliga sektorn

A 10.Revisorer inom den offentliga sektorn har i allmänhet vida åtkomsträttigheter som finns fastställda i lag. Men det kan finnas situationer där sådana åtkomsträttigheter inte gäller, t.ex. om servicebyrån finns i en annan jurisdiktion. I sådana fall kan en revisor inom den offentliga sektorn behöva inhämta en förståelse av den lagstiftning som gäller i den andra jurisdiktionen för att avgöra om lämpliga åtkomsträttigheter kan inhämtas. En revisor inom den offentliga sektorn kan också inhämta eller be användarföretaget ta med åtkomsträttigheter i alla avtalade överenskommelser mellan användarföretaget och servicebyrån.

A 11.Revisorer inom den offentliga sektorn kan också anlita en annan revisor för att utföra granskning av kontroller eller substansgranskning rörande efterlevnad av lagar och andra författningar eller annan reglering.

Förståelse av de kontroller som avser de tjänster som servicebyrån levererar

(se punkt 10)

A 12.Användarföretaget kan inrätta kontroller över servicebyråns tjänster som kan granskas av användarföretagets revisor och som kan göra det möjligt för honom eller henne att dra slutsatsen att användarföretagets kontroller fungerar vad gäller några av eller samtliga de påståenden som berörs, oavsett vilka kontroller som finns hos servicebyrån. Exempel: Om ett användarföretag anlitar en servicebyrå för bearbetning av sina lönetransaktioner, kan användarföretaget inrätta kontroller för sändning och mottagning av löneinformation som skulle kunna förhindra eller upptäcka väsentliga felaktigheter. Dessa kontroller kan innefatta

  • att jämföra de data som har skickats till servicebyrån med informationsrapporter från servicebyrån efter det att dessa data bearbetats, och

  • ny bearbetning av ett urval av lönebelopp för att kontrollera att de är riktigt beräknade och granskning av att det totala lönebeloppet är rimligt.

A 13.I den här situationen kan användarföretagets revisor utföra granskning av användarföretagets kontroller över lönebearbetning som grund för honom eller henne att dra slutsatsen att användarföretagets kontroller rörande påståenden avseende lönetransaktioner fungerar.

A 14.När det gäller vissa risker kan användarföretagets revisor, vilket anges i ISA 3157, bedöma att det inte är möjligt eller praktiskt genomförbart att inhämta tillräckliga och ändamålsenliga revisionsbevis enbart genom substansgranskning. Sådana risker kan gälla felaktig eller ofullständig redovisning av rutinmässiga och betydelsefulla transaktionsslag och konton, som ofta är av den arten att de i hög grad kan bearbetas automatiskt med litet eller inget manuellt ingripande. Sådana kännetecken på möjligheter till automatisk bearbetning kan förekomma särskilt när användarföretaget anlitar servicebyråer. I dessa fall är användarföretagets kontroller över sådana risker relevanta för revisionen och användarföretagets revisor ska inhämta en förståelse av, och utvärdera, sådana kontroller enligt punkt 9 och punkt 10 i denna ISA.

ISA 315 (omarbetad 2019), punkt 26 a iii.

Fortsatta åtgärder när det inte går att inhämta en tillräcklig förståelse från användarföretaget

(se punkt 12)

A 15.Det beslut som användarföretagets revisor fattar om vilken åtgärd, enskilt eller i kombination, i punkt 12 som han eller hon ska utföra för att inhämta den information som är nödvändig som grund för identifieringen och bedömningen av riskerna för väsentliga felaktigheter i samband med användarföretagets bruk av servicebyrån kan påverkas av bland annat

  • både användarföretagets och servicebyråns storlek,

  • komplexiteten hos användarföretagets transaktioner och komplexiteten hos de tjänster som levereras av servicebyrån,

  • var servicebyrån finns (användarföretagets revisor kan t.ex. besluta sig för att anlita en annan revisor för att utföra åtgärder hos servicebyrån åt användarföretagets revisor, om servicebyrån ligger långt bort),

  • om åtgärden eller åtgärderna väntas ge användarföretagets revisor tillräckliga och ändamålsenliga revisionsbevis på ett effektivt sätt, och

  • karaktären på relationen mellan användarföretaget och servicebyrån.

A 16.En servicebyrå kan anlita en servicebyrås revisor för att lämna en rapport om beskrivningen och utformningen av dess kontroller (typ 1-rapport) eller beskrivningen och utformningen av dess kontroller och deras funktion (typ 2-rapport). Typ 1- eller typ 2-rapporter kan utfärdas enligt International Standard on Assurance Engagements (ISAE) 34028 eller enligt standarder som har upprättats av en behörig eller erkänd normgivande organisation (som kan ge dem andra namn, t.ex. typ A- eller typ B-rapporter).

ISAE 3402 Bestyrkanderapporter om kontroller på en servicebyrå.

A 17.Tillgången till en typ 1- eller typ 2-rapport beror i allmänhet på om kontraktet mellan en servicebyrå och ett användarföretag innefattar en bestämmelse om en sådan rapport från servicebyrån. En servicebyrå kan också av praktiska skäl välja att göra en typ 1- eller typ 2-rapport tillgänglig för användarföretagen. Men i vissa fall är kanske en typ 1- eller typ 2-rapport inte tillgänglig för användarföretagen.

A 18.Under vissa omständigheter kan ett användarföretag lägga ut en eller flera betydelsefulla affärsenheter eller funktioner, t.ex. skattehanteringsfunktionen eller finans- och redovisnings- eller controllerfunktionen på en eller flera servicebyråer. Eftersom en rapport om servicebyråns kontroller kanske inte är tillgänglig under dessa omständigheter, kan ett besök hos servicebyrån vara den mest effektiva åtgärden för användarföretagets revisor för att få en förståelse av kontroller hos servicebyrån, då det sannolikt finns ett direkt samspel mellan användarföretagets företagsledning och servicebyråns företagsledning.

A 19.En annan revisor kan anlitas för att utföra åtgärder som ger den information som är nödvändig beträffande de relevanta kontrollerna hos servicebyrån hänförliga till tjänster som tillhandahålls till användarföretaget. Om en typ 1- eller typ 2-rapport har utfärdats, kan användarföretagets revisor anlita servicebyråns revisor för att utföra dessa åtgärder, eftersom servicebyråns revisor redan har en relation med servicebyrån. Om användarföretagets revisor använder arbete som har utförts av en annan revisor, kan han eller hon finna vägledningen i ISA 220 (omarbetad)9 användbar, till den del den avser att fastställa kompetensen och kapaciteten hos den andra revisorn (däribland denna revisors oberoende), ledningen och övervakningen av den andra revisorn, karaktären på, tidpunkten för och omfattningen av det arbete som har tilldelats den andra revisorn och utvärdering av om de inhämtade revisionsbevisen är tillräckliga och ändamålsenliga.

ISA 220 (omarbetad) Kvalitetsstyrning för revision av finansiella rapporter.

A 20.Ett användarföretag kan anlita en servicebyrå som i sin tur anlitar en underservicebyrå för att leverera några av de tjänster till ett användarföretag som är en del av de informationssystem hos användarföretaget som är relevanta för finansiell rapportering. Underservicebyrån kan vara ett företag som är fristående från servicebyrån eller har en relation med servicebyrån. Ett användarföretags revisor kan behöva ta hänsyn till kontroller hos underservicebyrån. Om en eller flera underservicebyråer anlitas, utökas samspelet mellan användarföretagets aktiviteter och servicebyråns aktiviteter till att innefatta samspel mellan användarföretaget, servicebyrån och underservicebyråerna. Graden av detta samspel, liksom karaktären på och väsentligheten hos de transaktioner som hanteras av servicebyrån och underservicebyråerna är de viktigaste faktorerna som användarföretagets revisor tar hänsyn till vid fastställandet av vilken betydelse servicebyråns och underservicebyråns kontroller har för användarföretagets kontroller.

Använda en typ 1- eller typ 2-rapport som stöd för användarföretagets revisors förståelse av servicebyrån

(se punkterna 1314)

A 21.Användarföretagets revisor kan göra förfrågningar om servicebyråns revisor hos den yrkesorganisation som servicebyråns revisor tillhör eller andra yrkesutövare och fråga om servicebyråns revisor omfattas av myndighetstillsyn. Servicebyråns revisor kan vara verksam i en jurisdiktion där man följer andra standarder vad gäller rapporter om kontroll hos en servicebyrå, och användarföretagets revisor kan inhämta information om de standarder som servicebyråns revisor använder från den normgivande organisationen.

A 22.En typ 1- eller typ 2-rapport kan, tillsammans med information om användarföretaget, underlätta för användarföretagets revisor att inhämta en förståelse av

  1. de kontrollaspekter hos servicebyrån som kan påverka bearbetningen av användarföretagets transaktioner, däribland att servicebyrån anlitar en underservicebyrå,

  2. flödet av betydelsefulla transaktioner genom servicebyrån i syfte att fastställa de punkter i transaktionsflödet där väsentliga felaktigheter i användarföretagets finansiella rapporter skulle kunna uppstå,

  3. de kontrollmål hos servicebyrån som är relevanta för användarföretagets räkenskapspåståenden, och

  4. om kontroller hos servicebyrån är lämpligt utformade och införda för att förhindra eller upptäcka misstag i bearbetningen som kan resultera i väsentliga felaktigheter i användarföretagets finansiella rapporter.

En typ 1- eller typ 2-rapport kan underlätta för användarföretagets revisor att inhämta en tillräcklig förståelse för att kunna identifiera och bedöma riskerna för väsentliga felaktigheter. En typ 1-rapport ger dock inga bevis för att kontrollerna fungerar.

A 23.En typ 1- eller typ 2-rapport som avser en tidpunkt eller period som ligger utanför rapporteringsperioden för ett användarföretag kan underlätta för användarföretagets revisor att inhämta en preliminär förståelse av de kontroller som införts hos servicebyrån, om rapporten kompletteras med aktuell information från andra källor. Om servicebyråns beskrivning av kontrollerna avser en tidpunkt eller period som ligger före början av den period som är föremål för revision, kan användarföretagets revisor utföra åtgärder för att uppdatera informationen i en typ 1- eller typ 2-rapport, t.ex.

  • diskutera ändringarna hos servicebyrån med sådan personal hos användarföretaget som skulle kunna känna till sådana ändringar,

  • gå igenom aktuell dokumentation och korrespondens som utfärdats av servicebyrån, och

  • diskutera ändringarna med servicebyråns personal.

Hantera de bedömda riskerna för väsentliga felaktigheter

(se punkt 15)

A 24.Huruvida anlitandet av en servicebyrå ökar ett användarföretags risk för väsentliga felaktigheter beror på karaktären på de tjänster som levereras och kontrollerna över dessa tjänster, och i vissa fall kan anlitandet av en servicebyrå minska ett användarföretags risk för väsentliga felaktigheter, i synnerhet om användarföretaget i sig inte har den sakkunskap som behövs för att genomföra vissa aktiviteter, t.ex. initiera, bearbeta och bokföra transaktioner, eller inte har de rätta resurserna (t.ex. ett IT-system).

A 25.Om servicebyrån har hand om väsentliga delar av användarföretagets räkenskapsmaterial, kan det vara nödvändigt att ha direktåtkomst till detta material för att användarföretagets revisor ska kunna inhämta tillräckliga och ändamålsenliga revisionsbevis avseende funktionen hos kontroller över denna redovisning eller för att få underlag till transaktioner och saldon i den, eller bådadera. Sådan åtkomst kan innefatta antingen fysisk inspektion av materialet i servicebyråns lokaler eller granskning av elektroniskt material från användarföretaget eller från en annan plats, eller bådadera. Om direktåtkomst uppnås på elektronisk väg, kan användarföretagets revisor därigenom inhämta bevis för hur lämpliga de kontroller är som servicebyrån genomför av att data för användarföretaget som servicebyrån är ansvarig för är fullständiga och intakta.

A 26.När användarföretagets revisor avgör karaktären på och omfattningen av revisionsbevis som behöver inhämtas avseende saldon som representerar tillgångar som förvaltas eller transaktioner som har företagits av servicebyrån åt användarföretaget, kan han eller hon överväga följande åtgärder:

  1. Inspektera dokumentation och handlingar hos användarföretaget: tillförlitligheten i denna beviskälla avgörs av karaktären på och omfattningen av räkenskapsmaterial och underliggande dokumentation hos användarföretaget. I vissa fall har kanske användarföretaget inte någon egen detaljerad dokumentation av särskilda transaktioner som har företagits för dess räkning.

  2. Inspektera dokumentation och handlingar hos servicebyrån: åtkomsten till servicebyråns dokumentation för användarföretagets revisor kan ingå som en del av de kontraktsenliga överenskommelserna mellan användarföretaget och servicebyrån. Användarföretagets revisor kan också anlita en annan revisor för att för användarföretagets revisors räkning få åtkomst till användarföretagets dokumentation hos servicebyrån.

  3. Inhämta bekräftelser på saldon och transaktioner från servicebyrån: om användarföretaget för egen del dokumenterar saldon och transaktioner oberoende av servicebyrån, kan bekräftelser från servicebyrån som styrker användarföretagets dokumentation utgöra tillförlitliga revisionsbevis avseende de berörda transaktionernas och tillgångarnas existens. Exempel: Om flera servicebyråer anlitas, t.ex. en kapitalförvaltare och en depåförvaltare, och dessa servicebyråer för egen dokumentation oberoende av varandra, kan användarföretagets revisor få bekräftat saldon hos dessa organisationer för att jämföra den informationen med användarföretagets oberoende dokumentation.

    Om användarföretaget inte upprätthåller oberoende dokumentation, är den information som har inhämtats genom bekräftelser från servicebyrån bara ett besked om det som avspeglas i dokumentationen hos servicebyrån. Enbart sådana bekräftelser utgör därför inte i sig tillförlitliga revisionsbevis. Under dessa omständigheter kan användarföretagets revisor överväga om det är möjligt att identifiera en alternativ källa för oberoende bevis.

  4. Utföra analytisk granskning av den dokumentation som upprätthålls av användarföretaget eller de rapporter som tagits emot från servicebyrån: effektiviteten i den analytiska granskningen varierar beroende på påstående och påverkas av omfattningen av och detaljrikedomen i den tillgängliga informationen.

A 27.En annan revisor kan utföra åtgärder som till sin karaktär är substansgranskning för användarföretags revisorers räkning. Ett sådant uppdrag kan innefatta att en annan revisor utför åtgärder som användarföretaget och dess revisor har kommit överens om samt åtgärder som servicebyrån och dess revisor har kommit överens om. Iakttagelserna till följd av de åtgärder som en annan revisor har utfört granskas av användarföretagets revisor för att han eller hon ska fastställa om de utgör tillräckliga och ändamålsenliga revisionsbevis. Dessutom kan det finnas myndighets- eller kontraktskrav enligt vilka servicebyråns revisor utför särskilt utformade åtgärder av substansgranskningstyp. Resultaten av utförandet av de åtgärder som det finns krav på att utföra på saldon och transaktioner som har hanterats av servicebyrån kan användas av användarföretagens revisorer som en del av de bevis som behövs som grund för deras uttalanden i revisors rapport. I sådana fall kan det vara till hjälp om användarföretagets revisor och servicebyråns revisor, innan åtgärderna utförs, kommer överens om den revisionsdokumentationen eller åtkomst till revisionsdokumentation som ska ges användarföretagets revisor.

A 28.Under vissa omständigheter, i synnerhet om ett användarföretag lägger ut en viss del av eller hela sin ekonomifunktion på en servicebyrå, ställs användarföretagets revisor inför en situation där en betydande andel av revisionsbevisen finns hos servicebyrån. Användarföretagets revisor eller en annan revisor kan då behöva utföra substansgranskning hos servicebyrån för användarföretagets revisors räkning. En servicebyrås revisor kan lämna en typ 2-rapport och dessutom utföra substansgranskning åt användarföretagets revisor. Medverkan av en annan revisor ändrar inte användarföretagets revisors ansvar för att inhämta tillräckliga och ändamålsenliga revisionsbevis som ger en rimlig grund till stöd för uttalandet av användarföretagets revisor i revisors rapport. Följaktligen innefattar användarföretagets revisors övervägande av om tillräckliga och ändamålsenliga revisionsbevis har inhämtats och om han eller hon måste utföra fortsatt substansgranskning om revisorn är delaktig i, eller om det finns bevis på, ledningen, övervakningen av och utförandet av en annan revisors substansgranskning.

Granskning av kontroller

(se punkt 16)

A 29.Användarföretagets revisor ska enligt ISA 33010 under vissa omständigheter utforma och utföra granskning av kontroller för att inhämta tillräckliga och ändamålsenliga revisionsbevis rörande kontrollernas funktion. När företaget anlitar en servicebyrå gäller detta krav om

  1. den bedömning som användarföretagets revisor gör av riskerna för väsentliga felaktigheter innefattar en förväntning om att kontrollerna hos servicebyrån fungerar (dvs. revisorn avser att förlita sig på att kontrollerna fungerar när han eller hon fastställer substansgranskningens karaktär, tidpunkt och omfattning), eller

  2. enbart substansgranskning, eller substansgranskning i kombination med granskning av kontrollers funktion hos användarföretaget, inte kan ge tillräckliga och ändamålsenliga revisionsbevis på påståendenivån.

ISA 330, punkt 8.

A 30.Om en typ 2-rapport inte finns att tillgå, kan ett användarföretags revisor kontakta servicebyrån, genom användarföretaget, för att begära att en servicebyrås revisor anlitas för att lämna en typ 2-rapport som innefattar granskning av kontrollernas funktion eller så kan användarföretagets revisor anlita en annan revisor för att utföra åtgärder hos servicebyrån som innefattar granskning av dessa kontrollers funktion. Ett användarföretags revisor kan också besöka servicebyrån och utföra granskning av kontroller, om servicebyrån går med på det. De riskbedömningar som användarföretagets revisor gör grundar sig på de kombinerade bevis som en annan revisors arbete och användarföretagets revisors egna åtgärder ger.

Använda en typ 2-rapport som revisionsbevis för att servicebyråns kontroller fungerar

(se punkt 17)

A 31.En typ 2-rapport kan vara avsedd att tillgodose behoven hos flera olika användarföretags revisorer, och därför är kanske inte granskning av kontroller och resultat som beskrivs i rapporten från servicebyråns revisor relevanta för påståenden som är betydelsefulla för användarföretagets finansiella rapporter. Den relevanta granskningen av kontroller och de relevanta resultaten utvärderas för fastställande av att rapporten från servicebyråns revisor ger tillräckliga och ändamålsenliga revisionsbevis om kontrollernas effektivitet som stöd för den riskbedömning som användarföretagets revisor har gjort. När användarföretagets revisor gör detta kan han eller hon beakta följande faktorer:

  1. Den tidsperiod som omfattas av granskningen av kontroller och den tid som har förflutit sedan denna granskning utfördes.

  2. Omfattningen och inriktningen av det arbete som servicebyråns revisor har utfört och de tjänster och processer som har täckts, vilka kontroller som har granskats och vilken granskning som har utförts samt vilket samband granskade kontroller har med användarföretagets kontroller.

  3. Resultaten av denna granskning av kontroller och uttalandet från servicebyråns revisor om dessa kontrollers funktion.

A 32.För vissa påståenden gäller att ju kortare tidsperiod som en viss granskning omfattar och ju längre tid som har förflutit sedan granskningen utfördes, desto mindre revisionsbevis kan granskningen ge. När den period som omfattas av typ 2-rapporten jämförs med användarföretagets period för finansiell rapportering, kan användarföretagets revisor dra slutsatsen att typ 2-rapporten erbjuder mindre revisionsbevis om det finns liten täckning mellan den period som omfattas av typ 2-rapporten och den period för vilken användarföretaget avser att förlita sig på rapporten. Om så är fallet kan en typ 2-rapport som omfattar en tidigare eller efterföljande period ge ytterligare revisionsbevis. I andra fall kan användarföretagets revisor bestämma sig för att det är nödvändigt att utföra, eller att anlita en annan revisor för att utföra, granskning av kontroller hos servicebyrån för att inhämta tillräckliga och ändamålsenliga revisionsbevis om dessa kontrollers funktion.

A 33.Användarföretagets revisor kan också behöva inhämta ytterligare bevis om betydelsefulla förändringar i kontrollerna hos servicebyrån utanför den period som omfattas av typ 2-rapporten eller fastställa ytterligare granskningsåtgärder som måste utföras. Relevanta faktorer när det gäller att fastställa vilka ytterligare revisionsbevis som ska inhämtas om kontroller hos servicebyrån som var i drift utanför den period som omfattas av rapporten från servicebyråns revisor kan vara följande:

  • Hur betydande de bedömda riskerna för väsentliga felaktigheter på påståendenivån är.

  • Vilka särskilda kontroller som har granskats under löpande år och vilka betydelsefulla förändringar i dem som har skett sedan de granskades, däribland ändringar i informationssystemet, processerna och personalen.

  • I hur stor utsträckning revisionsbevis om kontrollernas funktion har inhämtats.

  • Den återstående periodens längd.

  • I vilken utsträckning användarföretagets revisor avser att minska omfattningen av fortsatt substansgranskning med grund i tilltron till kontroller.

  • Effektiviteten i kontrollmiljön och användarföretagets process för att övervaka systemet för intern kontroll.

A 34.Kompletterande revisionsbevis kan inhämtas genom att t.ex. granskningen av kontroller utsträcks till den återstående räkenskapsperioden eller genom att testa användarföretagets process för att övervaka systemet för intern kontroll.

A 35.Om servicebyråns revisors granskningsperiod ligger helt utanför användarföretagets period för finansiell rapportering, kan användarföretagets revisor inte förlita sig på sådan granskning för att dra slutsatsen att användarföretagets kontroller fungerar, eftersom den inte ger bevis för kontrollernas effektivitet under den aktuella revisionsperioden, såvida inte andra åtgärder utförs.

A 36.Under vissa omständigheter kan en tjänst som levereras av servicebyrån vara utformad under antagandet att vissa kontroller kommer att genomföras av användarföretaget. Exempel: Tjänsten kan vara utformad under antagandet att användarföretaget kommer att ha kontroller i drift för attestering av transaktioner innan de skickas till servicebyrån för bearbetning. I sådana fall kan servicebyråns beskrivning av kontroller innefatta en beskrivning av dessa kompletterande kontroller hos användarföretaget. Användarföretagets revisor överväger om dessa kompletterande kontroller hos användarföretaget är relevanta för den tjänst som levereras till användarföretaget.

A 37.Om användarföretagets revisor bedömer att rapporten från servicebyråns revisor kanske inte kommer att ge tillräckliga och ändamålsenliga revisionsbevis, t.ex. om rapporten från servicebyråns revisor inte innehåller en beskrivning av hans eller hennes granskning av kontroller och resultaten av dem, kan användarföretagets revisor komplettera förståelsen av de åtgärder som vidtagits av servicebyråns revisor och hans eller hennes slutsatser genom att kontakta servicebyrån, genom användarföretaget, för att begära en diskussion med servicebyråns revisor om omfattningen och inriktningen samt resultaten av det arbete som servicebyråns revisor har utfört. Om användarföretagets revisor anser att det är nödvändigt kan han eller hon också kontakta servicebyrån, genom användarföretaget, för att begära att servicebyråns revisor utför åtgärder hos servicebyrån. Alternativt kan användarföretagets revisor, eller en annan revisor på begäran av användarföretagets revisor, utföra sådana åtgärder.

A 38.Typ 2-rapporten från servicebyråns revisor identifierar granskningsresultat, däribland avvikelser och annan information som skulle kunna påverka de slutsatser som användarföretagets revisor drar. Avvikelse som noteras av servicebyråns revisor eller ett modifierat uttalande i typ 2-rapporten från servicebyråns revisor innebär inte automatiskt att typ 2-rapporten från servicebyråns revisor inte är användbar för revisionen av användarföretagets finansiella rapporter vid bedömning av riskerna för väsentliga felaktigheter. Snarare beaktas undantagen och det förhållande som ger upphov till ett modifierat uttalande i typ 2-rapporten från servicebyråns revisor i den bedömning som användarföretagets revisor gör av den granskning av kontroller som har utförts av servicebyråns revisor. När användarföretagets revisor beaktar de avvikelser och förhållanden som ger upphov till ett modifierat uttalande, kan han eller hon diskutera sådana frågor med servicebyråns revisor. Sådan kommunikation är beroende av att användarföretaget kontaktar servicebyrån och inhämtar servicebyråns godkännande av den kommunikation som ska äga rum.

Kommunikation om brister i den interna kontrollen som identifieras under revisionen

A 39.Användarföretagets revisor ska utan onödigt dröjsmål skriftligen informera både företagsledningen och styrelsen om betydande brister som har identifierats under revisionen.11 Användarföretagets revisor ska också utan onödigt dröjsmål informera ledningspersoner på lämplig ansvarsnivå om andra brister i den interna kontrollen som har identifierats under revisionen och som enligt revisorns professionella bedömning är tillräckligt viktiga för att uppmärksammas av företagsledningen.12 Följande är exempel på förhållanden som användarföretagets revisor kan identifiera under revisionen och informera användarföretagets företagsledning och styrelse om:

  • Andra kontroller inom företagets process för att övervaka systemet för intern kontroll som skulle kunna införas av användarföretaget, däribland sådana som har identifierats till följd av en inhämtad typ 1- eller typ 2-rapport.

  • Exempel på kompletterande kontroller från användarföretaget som har påpekats i typ 1- eller typ 2-rapporten och inte har införts hos användarföretaget.

  • Kontroller som kan behövas hos servicebyrån som inte verkar ha införts eller som inte särskilt har tagits upp i en typ 2-rapport.

ISA 265 Kommunikation om brister i den interna kontrollen till dem som har ansvar för företagets styrning och företagsledningen, punkterna 910.

ISA 265, punkt 10.

Typ 1- och typ 2-rapporter som inte täcker de tjänster som en underservicebyrå levererar

(se punkt 18)

A 40.Om en servicebyrå anlitar en underservicebyrå, kan rapporten från servicebyråns revisor antingen täcka eller inte täcka underservicebyråns relevanta kontrollmål och tillhörande kontroller i servicebyråns beskrivning av sitt system och i omfattningen och inriktningen av uppdraget för servicebyråns revisor. Dessa två metoder kallas s.k. ”inclusive”-metod respektive ”carve-out”-metod. Om typ 1- eller typ 2-rapporten inte täcker kontrollerna hos en underservicebyrå och de tjänster som levereras av underservicebyrån är relevanta för revisionen av användarföretagets finansiella rapporter, ska användarföretagets revisor tillämpa kraven i denna ISA med avseende på underservicebyrån. Karaktären på och omfattningen av det arbete som ska utföras av användarföretagets revisor rörande tjänsterna från en underservicebyrå beror på karaktären på och betydelsen av dessa tjänster för användarföretaget och dessa tjänsters relevans för revisionen. Tillämpningen av kraven i punkt 9 hjälper användarföretagets revisor att avgöra vilken påverkan underservicebyrån har och karaktären på och omfattningen av det arbete som ska utföras.

Oegentligheter, överträdelser av lagar och andra författningar samt icke rättade felaktigheter hänförliga till aktiviteter hos servicebyrån

(se punkt 19)

A 41.En servicebyrå kan enligt villkoren i kontraktet med användarföretag vara skyldig att lämna upplysningar till berörda användarföretag om alla oegentligheter, överträdelser av lagar och andra författningar samt icke rättade felaktigheter som kan tillskrivas servicebyråns företagsledning eller anställda. Enligt punkt 19 ska användarföretagets revisor göra förfrågningar hos användarföretagets ledning om huruvida servicebyrån har rapporterat några sådana förhållanden och utvärdera om några förhållanden som har rapporterats av servicebyrån påverkar karaktären på, tidpunkten för och omfattningen av hans eller hennes fortsatta granskningsåtgärder. Under vissa omständigheter kan användarföretagets revisor kräva ytterligare information för att utföra denna utvärdering och begära att användarföretaget kontaktar servicebyrån för att inhämta den information som är nödvändig.

Användarföretagets revisors rapportering

(se punkt 20)

A 42.När ett användarföretags revisor inte kan inhämta tillräckliga och ändamålsenliga revisionsbevis om de tjänster som levereras av servicebyrån och som är relevanta för revisionen av användarföretagets finansiella rapporter, föreligger det en begränsning i revisionens inriktning och omfattning. Detta kan vara fallet om

  • användarföretagets revisor inte kan inhämta en tillräcklig förståelse av de tjänster som levereras av servicebyrån och inte har en grund för att identifiera och bedöma riskerna för väsentliga felaktigheter,

  • en bedömning av användarföretagets revisor innefattar en förväntan om att kontroller hos servicebyrån fungerar och användarföretagets revisor inte kan inhämta tillräckliga och ändamålsenliga revisionsbevis om dessa kontrollers funktion, och

  • tillräckliga och ändamålsenliga revisionsbevis bara finns tillgängliga i dokumentation hos servicebyrån och användarföretagets revisor inte kan få direkt åtkomst till denna dokumentation.

Huruvida användarföretagets revisor lämnar ett uttalande med reservation eller avstår från att uttala sig beror på den slutsats som han eller hon drar om huruvida de möjliga effekterna på de finansiella rapporterna är väsentliga eller av avgörande betydelse.

Hänvisningar till det arbete som har utförts av en servicebyrås revisor

(se punkterna 2122)

A 43.I vissa fall kräver en lag eller annan författning en hänvisning i revisors rapport från användarföretagets revisor till det arbete som har utförts av en servicebyrås revisor, t.ex. för transparensens skull inom den offentliga sektorn. I sådana fall kan användarföretagets revisor behöva servicebyråns revisors samtycke innan han eller hon gör denna hänvisning.

A 44.Att ett användarföretag anlitar en servicebyrå ändrar inte användarföretagets revisors ansvar enligt ISA för att inhämta tillräckliga och ändamålsenliga revisionsbevis som ger en rimlig grund som stöd för uttalandet av användarföretagets revisor. Därför ska användarföretagets revisor inte hänvisa till rapporten från servicebyråns revisor som en del av grunden för sitt uttalande om användarföretagets finansiella rapporter. Men om användarföretagets revisor lämnar ett modifierat uttalande på grund av ett modifierat uttalande i en rapport från en servicebyrås revisor, är det inte förbjudet för användarföretagets revisor att hänvisa till rapporten från servicebyråns revisor, om en sådan hänvisning hjälper till att förklara skälet för det modifierade uttalandet från användarföretagets revisor. I sådana fall kan användarföretagets revisor behöva servicebyråns revisors samtycke innan han eller hon gör en sådan hänvisning.