logo

Hva outsourcing betyr for revisjonen

Om et foretak outsourcer deler av sin virksomhet, er foretaket fremdeles hovedansvarlig for kvaliteten på den interne styringen og kontrollen knyttet til de outsourcede prosessene. Artikkelen tar for seg problemstillinger revisor må forholde seg til dersom revisjonsklienten har outsourcet prosesser til serviceorganisasjoner.

Mange foretak har outsourcet hele eller deler av sine prosesser til ulike serviceorganisasjoner. Administrasjon av ansatte og lønn, forvaltning og administrasjon av pensjon, kapitalforvaltningstjenester, drift og vedlikehold av IT-systemer og ulike regnskapstjenester, er alle eksempler på prosesser som vi ofte ser at foretak har outsourcet.

De siste årene har bedrifter og deres revisjonsselskaper møtt større krav til og fokus på intern styring og kontroll både fra myndigheter og fra andre interessenter. I henhold til aksjeloven, allmennaksjeloven og annen god praksis for virksomhetsstyring har styret og daglig leder ansvar i forhold til denne. Dette ansvaret gjelder også ved outsourcing, og selv om foretaket har outsourcet deler av sin virksomhet, er det fremdeles hovedansvarlig for at etablert intern styring og kontroll knyttet til de outsourcede prosessene er hensiktsmessig og fungerer måleffektivt.

At prosesser er outsourcet til en eller flere serviceorganisasjoner, har derfor innvirkning på revisjonen, og kan reise en rekke problemstillinger og praktiske utfordringer for revisor. God revisjonsskikk krever at revisor må opparbeide seg en forståelse av foretaket og dets omgivelser, herunder foretakets interne styring og kontroll. Dette gjelder uavhengig av om prosessene gjennomføres internt i foretaket eller eksternt hos en serviceorganisasjon. Første del tar for seg situasjoner hvor revisjonsklienten har outsourcet prosesser til serviceorganisasjoner som ikke utarbeider revisorbekreftede internkontrollrapporter av Type RS 402 Revisjon i foretak som benytter serviceorganisasjoner eller SAS 70 Statement on Auditing Standards No. 70. Deretter gjennomgår vi situasjoner der slike internkontrollbekreftelser foreligger. En RS 402-rapport er en revisorbekreftet rapport som inneholder en beskrivelse av foretaket samt dets etablerte interne styring og kontroll mens en SAS 70-rapport er en tilsvarende rapport basert på den amerikanske SAS 70-standarden. Vi vil i denne forbindelsen også kommentere omfanget av RS 402-rapporter som utarbeides i Norge sammenlignet med SAS 70-rapportering i andre land, samt våre forventninger til utviklingen i dette omfanget fremover.

Artikkelen er avgrenset til type tjenester som er relevante for finansiell revisjon. Den er ikke ment å diskutere ledelsens behov for å motta RS 402- eller SAS 70-rapporter for å ivareta sine forpliktelser etter aksjeloven eller allmennaksjeloven. Artikkelforfatternes erfaring knyttet til serviceorganisasjoner er fra finanssektoren og IT-miljøer, og problemstillingene og eksemplene som presenteres i denne artikkelen, vil da primært være relatert til disse bransjene. Vi tror likevel at problemstillingene som belyses i artikkelen, også har overføringsverdi til andre bransjer.

IAASB har vedtatt endringer i ISA 402 og endringene får virkning fra 15.12.09. Denne artikkelen drøfter ikke de foreslåtte endringene i standarden. IAASB arbeider med en endring av relaterte standarder, og da refererer vi til ISAE 3402 «Assurance Reports on Controls at a Third Party Service Organization». Her var høringsfrist satt til 31.5.2008, men den er ikke vedtatt enda. I utkastet foreslås det flere presiseringer og vi anbefaler leseren å studere disse nærmere. Vår oppfatning er at innholdet i artikkelen også står seg i forhold til de vedtatte endringene i ISA 402, og også dersom ISAE 3402 blir implementert.

Situasjoner hvor det ikke utarbeides RS 402-rapport eller SAS 70-rapport

Vår erfaring, spesielt fra revisjon av klienter som benytter norske serviceorganisasjoner, er at det i de aller fleste tilfellene ikke utarbeides revisorbekreftede internkontrollrapporter. Slike situasjoner medfører ofte utfordrende vurderinger av hva som kreves i forhold til å oppfylle kravene til god revisjonsskikk. I noen tilfeller er det nødvendig å foreta selvstendige revisjonshandlinger hos serviceorganisasjonen, mens i andre tilfeller kan revisjonsklientens egen oppfølging samt maksimal bruk av substanskontroller gjøre at dette verken er nødvendig eller hensiktsmessig. I det følgende vil vi belyse vår erfaring med hvordan slike situasjoner håndteres i praksis.

Krav til å opparbeide forståelse for den interne styring og kontroll

Foretakets bruk av serviceorganisasjoner må hensyntas og vurderes i den overordnede revisjonsstrategien og er nevnt i RS 300 Planlegging av revisjon av regnskaper som et forhold som kan ha betydning for omfanget av revisjonen. RS 315 Forståelse av foretaket og dets omgivelser og vurdering av risikoene for vesentlig feilinformasjon pkt. 2 krever at:

«Revisor må opparbeide seg en forståelse av foretaket og dets omgivelser, herunder foretakets interne kontroll, som er tilstrekkelig til å identifisere og vurdere risikoene for vesentlig feilinformasjon i årsregnskapet, enten den skyldes misligheter eller feil, og tilstrekkelig til å utforme og utføre videre revisjonshandlinger».

For å kunne gjøre de nødvendige vurderingene av risikoen for vesentlig feilinformasjon, vil kunnskap og forståelse om foretakets bruk av serviceorganisasjoner være en viktig del av den forståelsen revisor må opparbeide seg. Dette er nødvendig både for å forstå selve virksomheten og for å forstå foretakets interne styring og kontroll. I henhold til RS 315 pkt. 41 må revisor «opparbeide seg en forståelse av den interne kontrollen som er relevant for revisjonen». Dette omfatteren vurdering av utformingen av en kontroll og fastsettelse av hvorvidt den er iverksatt, jf. RS 315 pkt. 54. Den forståelsen og sikkerheten revisor må fremskaffe, gjelder uavhengig av om prosessene foregår internt i foretaket eller eksternt hos en serviceorganisasjon.

Outsourcing av prosesser

Dersom revisjonsklienten benytter serviceorganisasjoner hvor det ikke utarbeides RS 402- eller SAS 70-rapporter, bør man stille seg følgende spørsmål:

Spørsmål 1: Dersom foretaket ikke hadde outsourcet disse prosessene, men snarere beholdt dem internt, ville da hensiktsmessigheten i den interne styringen og kontrollen knyttet til disse prosessene vært gjenstand for vurdering i vår revisjon?

Etter vår oppfatning er terskelen for et ja på dette spørsmålet relativt lav, da revisor skal opparbeide seg en forståelse av den interne styringen og kontrollen. Naturligvis er omfanget av vurderingene situasjonsavhengig, men vår erfaring er at prosesser med relevans for den finansielle rapportering alltid er til vurdering dersom de er beholdt internt. Dersom en kapitalforvalter hadde beholdt transaksjonsstøtteprosessene internt snarere enn å outsource dem til en annen kapitalforvalter, hadde de vært gjenstand for vurdering. Likeså med IT-systemer som er relevante for den finansielle rapporteringen eller lønnsadministrasjonen.

Prosessene, som er relevante for den finansielle rapporteringen, er altså i større eller mindre grad gjenstand for vurdering i revisjonen dersom de beholdes internt. Når disse prosessene outsources, er sannsynligheten for forbedret arbeidsdeling stor, men vi oppfatter at dette alene ikke er tilstrekkelig til å unnlate å vurdere hensiktsmessigheten i den interne styringen og kontrollen knyttet til disse prosessene hos serviceorganisasjonen. Også fordi man da bl.a. er tilsvarende avhengig av velfungerende arbeidsdeling hos serviceorganisasjon selv.

Revisjonsklientens oppfølging av serviceorganisasjonen

Vår erfaring er at vi deretter bør besvare følgende spørsmål:

Spørsmål 2: Har vår revisjonsklient etablert hensiktsmessig intern styring og kontroll som følger opp kvaliteten i leveransene fra serviceorganisasjonen, og vil en vurdering av denne være tilstrekkelig til å tilfredsstille kravene til god revisjonskikk?

Etter vår oppfatning avhenger dette av hvor hensiktsmessige oppfølgingskontroller revisjonsklienten har etablert, men også av de outsourcede prosessers viktighet. Dersom revisjonsklienten har etablert hensiktsmessige prosedyrer for å følge opp serviceorganisasjonen, oppfatter vi at dette kan være tilstrekkelig til å tilfredsstille kravene i god revisjonsskikk hva gjelder kravene til å opparbeide seg forståelse for den interne styringen og kontrollen. Argumentet for dette er en vurdering av hvorvidt disse etablerte prosedyrene er egnet til å fange opp svakheter og feil i intern styring og kontroll på nivået under, dvs. hos serviceorganisasjonen.

Når vi evaluerer revisjonsklientens etablerte prosedyrer for å følge opp serviceorganisasjoner, er due dilligence-prosessene ved valg av serviceorganisasjoner en sentral del av vår vurdering. I tillegg vurderes det hvilken løpende oppfølging revisjonsklienten har med serviceorganisasjonen. Er det etablert «Service Level Agreements» mellom revisjonsklienten og serviceorganisasjonen og er disse hensiktsmessig utformet? Hva gjelder «hensiktsmessig utformet» er vår erfaring med «Service Level Agreements» at det er meget viktig at disse er tilstrekkelig detaljert til å forhindre misforståelser vedrørende viktige kontrollaktiviteter, ansvar og dokumentasjon. Hvordan følger revisjonsklienten opp kvaliteten i leveransene fra serviceorganisasjonen i forhold til leveranseavtalen? Hvordan er den øvrige interaksjonen mellom revisjonsklienten og serviceorganisasjonen? I hvilken grad har revisjonsklienten egne bevis som underbygger informasjonen fra serviceorganisasjonen. Jo bedre prosesser for å følge opp, desto mindre sannsynlighet er det for at vi må foreta en selvstendig vurdering av intern styring og kontroll hos serviceorganisasjonen. Disse oppfølgingsprosessene bør også være dokumenterbare og verifiserbare for at de skal kunne gi oss den tilstrekkelige revisjonssikkerhet.

Som et eksempel kan en investor som kun handler aksjer notert på Oslo Børs, men som har outsourcet transaksjonsstøtteprosessene til eksempelvis DnBNOR, følge opp kvaliteten i leveransen bl.a. gjennom VPS-oppgaver og årsoppgave fra banken. I slike tilfeller oppfatter vi at forståelsen av denne oppfølgingen kan være tilstrekkelig. Mer utfordrende er det dersom den samme investoren outsourcer forvaltningen av globale noterte og unoterte aksjer, obligasjoner og derivater til en utenlandsk kapitalforvalter, og det eneste vedkommende mottar er en månedsrapport fra denne kapitalforvalteren. Da er vår erfaring at det er ganske tungt å argumentere for ikke å vurdere den interne styringen og kontrollen hos serviceorganisasjonen. Jo viktigere prosesser, desto større sannsynlighet oppfatter vi at det er for at vi også bør vurdere intern styring og kontroll hos serviceorganisasjonen, uavhengig av oppfølgingskontroller hos revisjonsklienten.

Vurdering av intern styring og kontroll vs substanskontroller

Et nærliggende spørsmål er også hvorvidt vi kan justere forholdet mellom planlagt innhenting av substanssikkerhet og kontrollsikkerhet for i sum å innhente tilstrekkelig revisjonssikkerhet. Ofte kan forståelse av revisjonsklientens oppfølging av serviceorganisasjonen samt maksimalt omfang av substanskontroller være både en hensiktsmessig og tilstrekkelig måte å oppnå nødvendig revisjonssikkerhet på. Dette kan eksempelvis gjelde revisjonsklienten nevnt ovenfor som kun handler aksjer notert på Oslo Børs. Men vi kan også ha områder hvor vår risikovurdering tilsier at substanstester alene ikke er tilstrekkelige til å oppnå nødvendig revisjonssikkerhet, jf. RS 315.115. Det betyr i så fall at det ikke er nok å vurdere hensiktsmessigheten i den interne styringen og kontrollen, men at vi også må vurdere om den har fungert måleffektivt gjennom revisjonsperioden, jf. RS 330.25.

I slike tilfeller oppfatter vi at det er mindre sannsynlig at testing av om revisjonsklientens oppfølging av serviceorganisasjonen har fungert måleffektivt er tilstrekkelig, nettopp grunnet prosessenes viktighet for den finansielle rapporteringen. Vi bør altså foreta en selvstendig vurdering av hvorvidt den relevante interne styringen og kontrollen hos serviceorganisasjonen har fungert måleffektivt i revisjonsperioden. En revisjonsklient som har outsourcet kapitalforvaltningen til en serviceorganisasjon med et tilhørende investeringsmandat som muliggjør inngåelse av derivatkontrakter, kan være et slikt tilfelle. Likeså med IT-prosesser som er outsourcet i en virksomhet hvor årsregnskapets pålitelighet er helt avhengig av at disse IT-prosessene fungerer måleffektivt.

Avgjørelse om selvstendig vurdering hos serviceorganisasjonen

En avgjørelse om at vi bør foreta en selvstendig vurdering hos serviceorganisasjonen kan skape til dels store utfordringer, avhengig av serviceorganisasjonens samarbeidsvilje. For det første må man få adgang til serviceorganisasjonen for å kunne vurdere den relevante interne styringen og kontrollen. Dersom dette ikke allerede er regulert i avtalen mellom revisjonsklienten og serviceorganisasjonen, er det ikke sikkert at det er uproblematisk å få tilgang, men dersom kontrakten inneholder en revisjonsklausul, bør det i utgangspunktet ikke være noe hinder. Vi oppfatter at det særlig på utkontraktering av IKT-tjenester er vanlig å inkludere slike klausuler i kontrakter, men har mindre erfaring vedrørende denne problemstillingen på andre typer serviceorganisasjonstjenester. Erfaringen vår er at mulighetene øker i takt med hvor viktig vår revisjonsklient er for serviceorganisasjonen.

En annen utfordring er kunnskapen til prosessene hos serviceorganisasjonen og at enkelte serviceorganisasjoner kun på meget konkrete og avtalte vilkår, tillater sin kundes revisor adgang. Videre er det vår erfaring at det må gjøres meget spesifikke avtaler med serviceorganisasjonen om hva som skal testes. Serviceorganisasjonen setter ofte et begrenset tidsrom for revisjonsbesøket og det kan være begrensninger i hva slags dokumentasjon og informasjon revisor har anledning til å bringe ut fra serviceorganisasjonen som ikke bryter med serviceorganisasjonens rettigheter. I tillegg kan man bli pålagt først å avklare eventuelle observasjoner med serviceorganisasjonen.

Tatt forannevnte utfordringer i betraktning, er det nærliggende å anta at serviceorganisasjonens egen revisor har bedre forståelse for og tilgang til prosessene enn det vi har, og at det således kan være mer effektivt å avtale revisjonshandlinger som så blir gjennomført av serviceorganisasjons egen revisor på vegne av oss. Dette er noe vi har sett flere tilfeller av, både for å oppnå tilstrekkelig forståelse for den interne styringen og kontrollen, men også for å gjennomføre de nødvendige substanskontrollene. Å gjennomføre tilstrekkelig med substanskontroller uten å utføre disse hos serviceorganisasjonen, kan i en rekke tilfeller være utfordrende og lite hensiktsmessig. Det kan derfor være mest effektivt at serviceorganisasjonens revisor utfører disse på våre vegne. Det er i så måte viktig å merke seg at det er påkrevd at vi selv gjør en vurdering av kvaliteten i det arbeidet som er gjennomført av serviceorganisasjonens revisor, jf. RS 600 Situasjoner hvor det utarbeides RS 402-rapport eller SAS 70-rapport.

RS 402- og SAS 70-rapport

En RS 402-rapport er en revisorbekreftet rapport som inneholder en beskrivelse av foretaket samt dets etablerte interne styring og kontroll. Beskrivelsen av den etablerte interne styringen og kontrollen inneholder de overordnede målsettinger samt de ulike kontrollaktivitetene som utføres i foretaket for å sikre at kontrollmålsettingene overholdes. I en RS 402 Type A-rapport, avgir revisor en revisjonsuttalelse etter SA 3000 Attestasjonsoppdrag som ikke er revisjon eller begrenset revisjon av historisk økonomisk informasjon på vurdering av hvor hensiktsmessig de etablerte kontrollaktivitetene er for å sikre at kontrollmålsettingene overholdes, samt at de beskrevne kontrollaktivitetene faktisk er implementerte i foretaket. Tilsvarende bekreftes også i en RS 402 Type B-rapport, men i denne bekreftes det også at de etablerte kontrollaktivitetene har fungert måleffektivt gjennom perioden rapporten gjelder for. Den tilsvarende amerikanske standarden er SAS 70-standarden. Vår oppfatning er at det er et samsvar mellom det overordnede formålet i en RS 402-rapport og en SAS 70-rapport og at det således, i hvert fall i praksis, ikke er noen revisjonsmessig forskjell i angrepsvinkel og vurderinger knyttet til om man har en RS 402-rapport eller en SAS 70-rapport-foran seg.

Formålet med disse revisorbekreftede rapportene er at foretak som har outsourcet prosesser til serviceorganisasjoner samt foretakets revisor, skal kunne innhente sikkerhet fra disse rapportene snarere enn å møte opp på døren til serviceorganisasjonen og foreta egne vurderinger og tester. Tanken er altså at dette gir en samlet effektivitetsgevinst.

I det følgende vil vi omtale og diskutere hvordan revisor skal forholde seg til og konkludere på RS 402- og SAS 70-rapporterte forhold. I den videre diskusjonen i denne delen av artikkelen, legger vi til grunn at revisor har konkludert med at de tjenestene som et foretak har outsourcet til en serviceorganisasjon, er vesentlige i forhold til revisors lovpålagte revisjonsoppgaver og at det er fastsatt at den nødvendige og mest effektive revisjonsstrategien er å vurdere å bygge på en RS 402- eller SAS 70-rapport.

Vurdering av rapportens omfang, innhold og kvalitet

Et av de viktigste spørsmålene revisor stiller seg når han står overfor en situasjon der revisjonsklienten har satt ut en virksomhetskritisk tjeneste til en leverandør hvor en revisorbekreftet internkontrollrapport foreligger, er om man kan stole på informasjonen som fremstilles i rapporten samt om innholdet er fullstendig i forhold til det som er relevant for de prosessene revisjonsklienten har outsourcet. I vurderingen av rapporten må revisor være oppmerksom på at det er serviceorganisasjonen selv som fastsetter rapportens innholdsmessige rekkevidde og de kontrollmålsettinger og kontrollaktiviteter som skal vurderes av serviceorganisasjonens revisor. Serviceorganisasjonens revisor eller den som utpekes til å utforme rapporten, gir normalt sett kun en uttalelse vedrørende de angitte kontrollmålene i rapporten. Det kan således oppstå situasjoner hvor relevante kontrollmål ikke er gjenstand for vurdering, da disse ikke er definert inn som en del av rapporten av serviceorganisasjonen. En mottaker av rapporten må derfor identifisere eventuelle områder og kontrollmål som ikke er inkludert i rapporten og som kan være relevante for revisjonsklienten.

Et utdrag fra en RS 402-rapport beskriver hvordan serviceorganisasjonens revisor begrenser omfanget av egne tester slik vi beskriver ovenfor:

«... Kontrollmålene er spesifisert av ledelsen.... Omfanget av vårt engasjement inkluderte ikke tester for å bestemme om kontrollmål som ikke er listet i [del III]... ble oppnådd, følgelig utrykker vi ingen mening om kontrollmål som ikke er inkludert i vår beskrivelse av testene.»

I forbindelse med vurdering av rapporten og dens dekning av relevante kontrollmål for revisjonsklientens virksomhet, må revisor ta standpunkt til serviceorganisasjonens aktiviteter. Revisor må danne seg en oppfatning om de aktivitetene og kontrollene som serviceorganisasjonen utfører, er vesentlige for revisors klient og hvorvidt de er av betydning for revisjonen. Sentralt er forståelse av hvilke deler av rapporten som gjelder for revisjonsklienten samt gradering av prosessenes vesentlighet. Også når det gjelder sammenhengen mellom kontrollmål, kontrollaktiviteter og testhandlinger for å teste de beskrevne kontrollaktivitetenes måleffektivitet, bør revisor være nøye med å undersøke om testhandlingene møter kjernen i kontrollaktiviteten og om kontrollaktiviteten møter kontrollmålet - Det vil si å jobbe seg fra kontrollmål til testhandlinger og fra testhandlinger til kontrollmål. Dette vil være viktige betraktninger revisor bør gjøre for å skaffe seg et inntrykk av kvaliteten i RS 402-rapporten.

Dersom man har identifisert kontrollmålsettinger som ikke er inkludert i rapporten og som man mener burde vært inkludert, må man foreta en vurdering av hvilke implikasjoner det får for revisjonshandlingene. Det kan blant annet være at rapporten ikke omfatter en vesentlig del av den tjenesten som revisjonsklienten har utkontraktert, eller ikke omfatter et særskilt IT-system som klienten har utkontraktert driften av. Dersom revisor kommer frem til den konklusjonen at tilleggshandlinger er nødvendige for å kunne danne seg en oppfatning om serviceorganisasjonens internkontrollers utforming og måleffektivitet, må revisor forsøke å få disse inkludert i rapporten eller være i stand til å teste disse kontrollene direkte hos serviceorganisasjonen. Sistnevnte forhold er beskrevet tidligere i artikkelen.

Vurdering av serviceorganisasjonens revisors kompetanse er likeledes viktig. RS600 «Bruk av annen revisors arbeid» gir i så måte noen retningslinjer. Når det er sagt, må man i praksis kunne anta at dersom revisjonen er utført av et anerkjent revisjonsselskap, så kan man forutsette at denne har hatt tilstrekkelig kompetanse til å gjennomføre revisjonen og vurdere resultatene av den. Ytterligere undersøkelser bør derfor ikke være nødvendige i ovennevnte tilfelle.

Hvilke type tester revisor har gjennomført samt testomfanget, er ofte lite transparent presentert i rapportene. Selv om ulike revisjonsselskaper kan ha ulike definisjoner på nødvendig testomfang og muligheter for å rotere testing, oppfatter vi at en revisjonsuttalelse uten negative bemerkninger gjør at vi kan bygge på at de kontrollmålene som er angitt i rapporten, er overholdt.

Hvor mye kan man bygge på rapporten og hvilke eventuelle tilleggshandlinger må gjennomføres?

Revisor må være oppmerksom på forskjellen mellom en type A- og type B-rapport, jf. omtale tidligere i artikkelen. Avhengig av revisors revisjonsstrategi, som kan medføre større eller mindre grad av kontrolltesting kontra ren substanstesting, vil det i sistnevnte tilfelle antakelig være tilstrekkelig med en type A-uttalelse, mens dersom revisor velger å bygge på revisjonsklientens internkontroller, vil revisor i større grad være avhengig av en type B-uttalelse.

Et annet viktig område revisor må ta i betraktning når han skal vurdere hvilken revisjonssikkerhet man kan innhente fra RS 402- eller SAS 70-rapporten, er dekningsperioden for de tester serviceorganisasjonens revisor har gjennomført for å kunne uttale seg om kontrollaktivitetenes måleffektivitet. Dette gjenspeiler i hovedsak den periode revisor har hentet sitt utvalg fra for å teste måleffektivitet.

De RS 402-rapportene og SAS 70-rapportene vi har sett, dekker hovedsakelig årlige perioder, men vi ser også at det utgis rullerende halvårlige rapporter. Rapportenes tidsperiodiske gyldighet for gjeldende revisjonsår varierer, og periodeslutt 31.03, 30.06 eller 30.09 er de vanligste avslutningstidspunktene. Ideelt sett skulle man hatt en rapport som dekket hele revisjonsåret, men rapporter pr. 31.12 som publiseres innen man avgir revisjonsuttalelsen for revisjonsklientens årsregnskap, har vi ikke sett, og dette vil nok være utfordrende å få til i praksis også. Men man kan lure på hvorfor det er såpass mange rapporter som kun dekker årets tre første eller seks første måneder. Å utarbeide rapporter som dekker de ni første månedene og som publiseres før årsslutt, burde ikke være en umulig oppgave.

Dersom rapportens dekningsperiode ikke samsvarer med den perioden revisor avgir uttalelse for, er det revisors plikt å vurdere om det er nødvendig med tilleggshandlinger for å dekke opp for en gjenværende periode, enten direkte hos serviceorganisasjonen eller gjennom andre revisjonshandlinger hos revisjonsklienten. Slike tilleggshandlinger kan være forespørsler til revisjonsklienten, forespørsler til serviceorganisasjonen og eventuell testing hos serviceorganisasjonen av kontrollaktiviteters måleffektivitet i perioden som ikke er dekket av rapporten. Vi ser i en del tilfeller at det rettes formelle forespørsler til serviceorganisasjonen om et såkalt «subsequent event letter». Her bekrefter serviceorganisasjonen relevante forhold knyttet til intern styring og kontroll for den perioden forespørselen gjelder. Å motta en rapport som kun dekker årets tre første måneder, gir ikke veldig god sikkerhet for at kontrollaktivitetene har fungert måleffektivt gjennom revisjonsåret. Følgelig bør man gjøre ytterligere revisjonshandlinger enn dersom man hadde mottatt en rapport som dekket de ni første månedene.

Vi stiller spørsmål ved om ikke vi som revisor burde stille større krav til at rapporten dekker så mye av revisjonsåret som mulig, men samtidig publiseres innen årsslutt. Dette kunne medført en samlet mer effektiv revisjon med mer tidsriktig innhenting av revisjonssikkerhet.

Det er også viktig å legge merke til at revisor i en internkontrollrapport uttaler seg om kontrollaktivitetene er implementert hos serviceorganisasjonen pr. en gitt dato. Det kan med andre ord være kontrollaktiviteter som er implementert sent i året, og faktisk helt frem til 31. desember. Da må leser av rapporten være oppmerksom på at måleffektivitet nødvendigvis ikke kan være omfattet av hele perioden dersom det er en periodisk kontroll. Dette viser i hvert fall at det er viktig med forespørsler til serviceorganisasjonen for å kunne identifisere slike forhold.

Hva bør revisors respons og vurdering være i de tilfeller der rapporten beskriver feil eller avvik i testing av kontrollers måleffektivitet, og hvilke konsekvenser har dette for revisor? For det første bør man gjennomgå revisjonsuttalelsen med tanke på om den inneholder noe annet enn positive konklusjoner uten forbehold. Dersom den inneholder positive konklusjoner uten forbehold, kan man tillegge ev. avvik på kontrollaktiviteter mindre vekt enn dersom revisjonsuttalelsen ikke inneholder positive konklusjoner uten forbehold. For det andre bør revisor gjennom rapporten danne seg en oppfatning av om det kun er en enkelt kontrollaktivitet eller et helt kontrollmål det er avvik på.

Her vil det siste ha større innvirkning på revisors vurdering av intern styring og kontroll hos revisjonsklienten. Revisor vil også kunne vurdere konsekvensen av et avvik ved å se om kontrollaktiviteten eller kontrollmålet er relevant for revisjonsklienten og antall feil som ble identifisert i det totale utvalget. I tillegg bør revisor også undersøke om det finnes eventuelle kompenserende elementer hos revisjonsklienten når den totale konsekvensanalysen skal utredes. Videre anbefaler vi at revisor for relevante områder som er dekket av RS402-uttalelsen/rapporten, gjennomfører oppfølgingsintervjuer ved serviceorganisasjonen med den hensikt å få oversikt over i hvilken grad observerte svakheter i kontrolltesting omfatter foretaket og eventuelt iverksette tilleggstesting for eget formål relevant for revisjonsklienten. Revisor skal til slutt bekrefte klientens regnskap gjennom en revisjonsberetning og om «ren» revisjonsberetning ikke er mulig som følge av identifiserte svakheter.

Omfanget av RS 402-rapporter og forventninger om fremtidig omfang

I Norge i dag opplever vi generelt sett at få serviceorganisasjoner utarbeider revisorbekreftede internkontrollrapporter og at unntakene etter forfatternes erfaring særlig gjelder IKT-serviceorganisasjoner som utarbeider rapporter basert på RS 402- eller SAS 70-standarder. Grunnene til dette kan være flere, men vi oppfatter at en virksomhet som utkontrakterer deler av sin virksomhet, ikke krever at serviceorganisasjonen skal levere serviceorganisasjonsrapporter. Virksomheten kan være av den oppfatning at tett kontakt og dialog med serviceorganisasjonen veier opp for behovet for en serviceorganisasjonsrapport samtidig som tjenesten som oftest er regulert i en kontrakt. Videre vil sannsynligvis et krav om årlige serviceorganisasjonsrapporter innebære økt honorar for den utkontrakterte tjenesten. Ser vi mot Europa forøvrig og USA, er det en større utbredt forventning om at en serviceorganisasjon kun er konkurransedyktig dersom den kan levere en årlig serviceorganisasjonsrapport.

Noen siste ord til ettertanke

I Norge i dag opplever vi generelt sett at få serviceorganisasjoner utarbeider RS 402-rapporter og at unntakene etter forfatternes erfaring særlig gjelder IKT-serviceorganisasjoner som utarbeider rapporter basert på RS 402- eller SAS 70-standarder. Grunnene til dette kan være flere, men vi oppfatter at en virksomhet som utkontrakterer deler av sin virksomhet, ikke krever at serviceorganisasjonen skal levere serviceorganisasjonsrapporter. Virksomheten kan være av den oppfatning at tett kontakt og dialog med serviceorganisasjonen veier opp for behovet for en serviceorganisasjonsrapport. I tillegg vil sannsynligvis et krav om årlig serviceorganisasjonsrapporter innebære økt honorar for den utkontrakterte tjenesten. Ser vi mot Europa og USA, er det en større utbredt forventning at en serviceorganisasjon kun er konkurransedyktig dersom den kan levere en årlig serviceorganisasjonsrapport.

Vi tror at det på sikt vil være i serviceorganisasjonens, revisjonsklientens og dens revisors interesse at det i større grad enn i dag vil bli utarbeidet RS 402-rapporter. Vi er av den oppfatningen at det i mye større grad enn i dag bør bli utarbeidet slike rapporter, men dette «kravet» kan ikke komme fra revisor alene og vi forstår at den største pådriveren innenfor dette vil være markedskreftene.

I lys av dette vil vi til slutt foreslå følgende problemstilling stilt til din klient: «Hvordan kan du, kjære klient, oppnå tilstrekkelig trygghet for at de kontrollene du har utkontraktert er tilfredsstillende utført, og hvordan kan jeg som revisor tilegne meg denne tryggheten?