Virksomheter er i stadig større grad avhengig av tredjeparter for å levere forretningskritiske tjenester. Outsourcing har gått fra å være et verdibeskyttende tiltak til å bli et verdiskapende tiltak.
Det kan gjelde tjenester innen blant annet informasjonsteknologi, finans og regnskap, lønnsprosessering, kundeservice, HR og fondsadministrering- og forvaltning.
Hva er det som driver dette? Enkelt sagt må selskapene akseptere at outsourcing noen ganger er nødvendig for å være konkurransedyktig på global basis, for å vokse i markedet eller for å redusere kostnader og øke kvaliteten.
Tredjepartsrapportering – ISAE 3402, SOC1, SOC2 og andre forkortelser.
Noen av driverne for outsourcing er:
- Begrenset kapasitet på ledelsesnivå
- Kostnadsoptimalisering
- Informasjonsteknologi
- Ønske om å fokusere på kjernevirksomhet
- Mangel på arbeidskraft eller spisskompetanse
- Ekspertleverandører som leverer høykvalitetstjenester
Den økende bruken av outsourcing har gjort selskapene mer avhengig av et komplekst nettverk av tredjepartsleverandører. Fra et risikoperspektiv er det viktig at selskapene selv har oversikt over risikoene som påvirker dem. De må forvalte og overvåke disse risikoene på en tilfredsstillende måte.
Du kan outsource funksjonen, men ikke risikoen og kontrollaspektet.
Hvordan vet virksomheten at outsourcingspartneren har tilfredsstillende internkontroll?
For å sikre tilfredsstillende internkontroll i virksomheten kreves også innsikt hos outsourcingspartneren som utfører arbeidsprosesser på virksomhetens vegne. Som en konsekvens av dette etterspør ofte virksomheten (og deres finansielle revisor) en bekreftelse på outsourcingspartnerens internkontroll, også kalt tredjepartsrapportering.
Tredjepartsrapportering er blitt stadig mer utbredt i markedet siden utstedelse av revisjonserklæring nr. 70 for tjenesteytere (kalt SAS 70) kom i 1992. Som en del av AICPAs (American Institute of Certified Public Accountants) utvikling av Statement of Standards for Attestation Engagements (SSAE) 16, har AICPA etablert Service Organization Control (SOC) rapport rammeverket SOC 1, SOC 2 og SOC 3 som en erstatning for SAS 70 i 2011. Internasjonalt har IAASB (International Auditing and Assurance Standards Board) utgitt en standard, kalt ISAE 3402, og i Norge har Revisorforeningen oversatt standarden til norsk.
De forskjellige rapporttypene har forskjellige formål og bruksområder. For å gi mottaker en bekreftelse på internkontroll relatert til prosessering av finansiell informasjon benyttes SOC1 (SSAE16) eller ISAE 3402 standardene. For å gi mottaker en bekreftelse på internkontroll relatert til ikke-finansiell informasjon benyttes ISAE 3000, SOC 2 og SOC 3-standardene.
Hva er forskjell på ISAE 3402 og SOC1?
Selv om ISAE 3402- og SOC1-standardene er utviklet for det samme formålet, er det noen forskjeller som man bør være oppmerksom på når man vurderer de opp mot hverandre.
Noen av forskjellene er:
- SSAE 16 krever at revisor rapporterer etterfølgende betydelige hendelser etter rapporteringsdato, men før avleggelse av rapporten. En etterfølgende betydelig hendelse vil være noe som kan endre ledelsens vurdering etter at revisjonen er avsluttet. ISAE 3402 begrenser typene av påfølgende hendelser som vil bli rapportert i revisjonsrapporten.
- SSAE 16 fastslår at ledelsen anerkjenner og aksepterer ansvaret for å gi revisoren skriftlige representasjoner ved inngåelsen av kontrakt for oppdraget. ISAE 3402 krever ikke denne bekreftelsen.
- SSAE 16 krever at revisor undersøker eventuelle feil som kan være forårsaket av en forsettlig handling av serviceorganisasjonens personell. Standarden krever også at revisor mottar en skriftlig uttalelse fra administrasjonen til service- organisasjonen som beskriver eventuelle faktiske, mistenkte eller påståtte forsettlige handlinger som kan påvirke ledelsens beskrivelse av systemet. Selv om begge standarder krever undersøkelse av eventuelle identifiserte avvik, krever ISAE 3402 ikke eksplisitt at revisor får en skriftlig uttalelse.
- ISAE 3402 tillater revisor å konkludere med at et avvik som identifiseres ved testing av kontrollen, kan betraktes som en operativ anomali. En operativ anomali er noe som avviker fra standarden. Dette skyldes at når et utvalg av kontrollene blir testet, er ikke resultatet nødvendigvis representativt for hele populasjonen basert på de utførte stikkprøvene. SSAE 16 krever lik behandling av alle avvik på samme måte, snarere enn å betrakte dem som en anomali.
- SSAE 16 krever at revisjonsrapporten inneholder en erklæring som begrenser bruken av rapporten til ledelsen av serviceorganisasjonen, til kundenes virksomheter og til kundenes revisorer. ISAE 3402 krever at revisjonsrapporten inneholder en uttalelse som indikerer at rapporten er beregnet for serviceorganisasjonen, kundenes virksomheter og kundenes revisorer, men krever ingen uttalelse som begrenser bruken av denne til disse.
- ISAE 3402 krever at revisor samler den aktuelle dokumentasjonen i en engasjementsfil og fullfører sammenstillingen etter at revisjonsrapporten er fullført. SSAE 16 krever også dette tiltaket, men har en 60-dagers tidsfrist etter revisjonsrapportens utgivelsesdato.
- SSAE 16 inneholder visse krav som ikke gjelder for ISAE 3402. Kravene er blant annet:
- En henvisning til ledelsens vurdering, og en erklæring om at ledelsen er ansvarlig for å identifisere de risikoene som kan forhindre oppnåelsen av kontrollmålene.
- En erklæring om at undersøkelsen inkluderte vurdering av risikoen for at ledelsens beskrivelse av selskapets organisasjonssystem ikke er riktig presentert, og at kontrollene ikke er hensiktsmessig utformet eller fungerer effektivt for å oppnå kontrollmålene.
- En erklæring om at et oppdrag av denne typen også inkluderer en evaluering av ledelsens overordnede beskrivelse av selskapets organisasjonssystem og kontrollmålenes egnethet slik de er angitt i beskrivelsen
SOC 1 og ISAE 3402 versus SOC 2
SOC 2 har fokus på virksomhetens ikke-finansielle kontroller som vedrører sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern for et system. Denne standarden skiller seg fra SOC 1 / SSAE 16 eller ISAE 3402 som fokuserer på de finansielle kontrollene.
Rapporteringsalternativer
Selv om både SSAE 16 og ISAE 3402 er utformet for å oppnå de samme målene med hensyn til rapportering av etablerte, effektivt utformede kontroller for finansiell rapportering, må enkelte tjenesteorganisasjoner rapportere til sine klienter (brukerenheter) etter begge standarder. For de organisasjonene det gjelder tillater den amerikanske standarden at SSAE 16-rapportering kan utføres i samsvar med ISAE 3402-standardene, ofte referert til som en ‘kombinert rapport’.
Fordeler med tredjepartsrapportering
Ved å engasjere en uavhengig tredjepart til å foreta en evaluering, blir serviceorganisasjonen kun gjenstand for én revisjon, i motsetning til å måtte gjennomgå mange revisjoner på vegne av flere outsourcingskunder.
Når evalueringen er ferdigstilt distribueres rapporten til virksomhetens kunder, slik at deres revisorer kan bygge på rapporten. Eventuelle funn begrenses eller elimineres med ytterligere revisjonshandlinger. Dette kan bidra til å redusere belastningen på serviceorganisasjonens ressurser og redusere driftskostnader for deres kunder, da kundene ikke lenger trenger å sende revisorer for å revidere serviceorganisasjonens virksomhet.
Blant annet vil rapportene:
- Styrke virksomhetens omdømme
- Bistå med å oppfylle kundenes og deres uavhengige revisorers ansvar
- Dokumentere at kontroller er utarbeidet og implementert i tråd med anerkjente rammeverk for internkontroll (f.eks. COSO, Cobit)
- Sørge for en uavhengig evaluering av kontrollmiljøet basert på en anerkjent standard
- Gi utgiveren en kommersiell fordel ved å skille serviceorganisasjonen fra sine konkurrenter
Bruk og misbruk av tredjepartsrapporter
Når man mottar en tredjepartsrapport, enten som bruker av tjenestene som er dekket av rapporten eller som revisor til en klient som bruker en tredjepartsleverandør, må man blant annet være sikker på at:
- Rapportens omfang inkluderer de tjenestene som er brukt av klienten
- Dersom det er en SOC2 rapport, dekker rapporten de Service Principles som du forventer eller trenger å få dekket?
- Rapporteringstypen er tilstrekkelig (Type I – Design og implementering, eller Type II – utvidet til å inkludere operasjonell effektivitet for rapportens periode)
- Omfanget av testingen er tilstrekkelig, sånn at du er sikker på at ditt selskap er inkludert i testpopulasjonen
- Funnene i rapporten er relevante for ditt selskap. Hvis ja, er det gjort noe videre arbeid med funnene?
Dersom man ikke er påpasselig med å lese rapporten nøye og bekrefte at den er relevant for ditt formål, risikerer man å få en ‘falsk trygghet’ ved å ha mottatt en rapport som egentlig ikke gir deg grunnlag for sikkerheten du trenger. Det er lett å motta en sånn rapport og tro at den løser ‘ditt problem’ men det er viktig at man kan bekrefte at ‘problemet’ faktisk er løst. Det kan hende at du må ta et møte eller sende noen spørsmål til selskapet som har gitt ut rapporten for å få en bedre forklaring. Noen ganger kan du til og med påvirke innholdet i fremtidige rapporter.
Utgivelsen av rapporten og fordeler med kompenserende tiltak og følgebrev
Det er flere måter å overlevere en tredjepartsrapport til sluttbrukerne. Den kan sendes over som fil eller papirrapport med en forklarende tekst, det kan holdes et fellesmøte med sluttbrukerne (og revisorene deres) for å diskutere sluttrapporten, eller det kan holdes individuelle møter med sluttbrukerne. Hvis rapporten inneholder funn er det ofte fordelaktig for mottakeren at utgiveren og deres revisor har laget et følgebrev. Følgebrevet forklarer tiltak eller kompenserende revisjonsaktiviteter som har blitt utført for å redusere risiko relatert til funnene og hvordan gjentakelse av funnene skal unngås i framtiden.
Mottakere med avvikende regnskapsår
Et problem som skal behandles av utstederen av tredjepartsrapporter, er at kundene kan ha avvikende regnskapsperioder. De fleste kunder vil ha regnskapsperiode frem til 31. desember, men andre kan ha avvikende regnskapsperiode med slutt 31. mai eller en annen dato. Dersom hovedrapportens avvik ikke er for stort, er dette vanligvis ikke noe problem opp til 3 måneder. Et ‘bridge letter’ utstedt av serviceorganisasjonen kan bekrefte at kontrollbeskrivelsene i rapporten fortsatt er relevante for disse kundene. Dersom avviket fra dekningsperioden er for langt for et ‘bridge letter’, kan kunden ha sin egen rapport som dekker deres regnskapsår. Et annet alternativ er å vurdere om det er et betydelig antall klienter som krever en rapport rundt en bestemt mellomårstid. Da kan en versjon av rapporten utstedes ved foreløpig testing.
Utvikling framover
Fra 1. mai 2017 vil standardene som er basert på Statements on Standards for Attestation Engagements 16 (SSAE16), som er SOC1, bli erstattet med SSAE 18. SSAE 18 vil ha mer fokus på underleverandører som leverer tjenester til tredjeparten og på andre områder.
Blant annet vil SSAE18 fokusere på følgende:
- Understreke at serviceorganisasjonens beskrivelse av systemet og omfanget av tjenester bør omfatte kontroller utført av ledelsen for å overvåke effektiviteten av kontrollene på underleverandørene sine.
- Introdusere begrepet Complementary Subservice Organization Controls (CSOCs) som representerer kontroller som ledelsen av serviceorganisasjonen forventer vil bli implementert av underleverandørene og er nødvendig for å oppnå kontrollmålene som er angitt i ledelsens beskrivelse av systemet.
- Klargjøre at ‘complementary user entity control considerations’ bør være begrenset til å omfatte de kontroller og prosedyrer som er relevante for å oppnå kontrollmålene i serviceorganisasjonens rapport.
- Kreve at revisoren vurderer om informasjonen som er overlevert av service organisasjonen er «tilstrekkelig pålitelig » for revisors formål.
- Legge vekt på at revisor vurderer risiko og sannsynlige kilder til feilinformasjon, inkludert det som er relatert til svindel ved planlegging eller i løpet av revisjonen.