Tjenesteleverandørers økende behov for attestering

Tjenesteleverandørers økende behov for attestering

Global konkurranse og globalt kostnadspress har ført til at bedrifter setter ut stadig flere funksjoner til spesialiserte tjenesteleverandører. Dette gjelder også tjenester som ikke er knyttet til kjernevirksomheten. Med dette øker også risikoen.

Kontaktpersoner

Relatert innhold

Økt global konkurranse

Outsourcing er ikke lenger begrenset til rutinemessig kontorstøtte. Det kan være igangsetting, registrering, behandling og rapportering av ulike transaksjoner, noe som kan påvirke organisasjonens regnskaper og sentrale forretningsprosesser direkte. Til syvende og sist er virksomheten selv ansvarlig for sitt eget kontrollmiljø, og dette fører til større etterspørsel etter attestering av kontroller for aktiviteter som utføres av nettopp tredjeparter. Når selskapet selv er ansvarlig for sitt kontrollmiljø, kan det være ønskelig med en sikkerhet for at den delen som er outsourset, også holder den standarden som er ønskelig. I serviceavtalen er det ofte avtalt at kjøper av tjenestene har anledning til å gjennomføre slike kontroller, men i mange tilfeller blir denne muligheten ikke benyttet. 

Nye trusler

Outsourcing av en virksomhets informasjon fører til høyere risiko og nye sikkerhetstrusler. Virksomheten kan selv risikere at driften, renommeet og økonomien blir rammet hvis det oppdages manglende sikkerhet hos eksterne tjenesteleverandører, som igjen fører til brudd på kundenes informasjonssikkerhet. Virksomhetenes risiko øker når eksterne tjenesteleverandører behandler og lagrer kundenes private og/eller konfidensielle informasjon, utfører transaksjonsbehandling for flere kunder og blir gjenstand for kunders eller myndigheters revisjon. I de fleste tilfellene er risikoen ved å bruke outsourcing akseptabel, men det finnes nok av eksempler på at outsourcingen ikke har vært noen suksess og at selskapet har måttet ta tilbake de tjenestene som var outsourcet.

Selskaper registrerer mye informasjon om personer og denne informasjonen overlates til andre ved outsourcing, for eksempel dersom lønnstjenester blir outsourcet. Forbrukere selv blir mer og mer opptatt av dette, og ønsker at virksomheter kan klargjøre hvordan deres opplysninger blir brukt. En ny global undersøkelse fra KPMG viser at 75 prosent av de spurte er ukomfortable med at egne opplysninger «blir solgt» til tredjeparter, og mindre enn 10 % sier de har kontroll på hvordan deres opplysninger blir brukt.

En uavhengig gjennomgang av outsourcede kritiske IT­funksjoner og forretningsmessige funksjoner kan hjelpe bedriftene med å identifisere og kontrollere disse risikoene.

Myndighetskrav

Stadig strengere myndighetskrav (f.eks. amerikanske Sarbanes­Oxley­Act) tvinger organisasjoner til å fremskaffe dokumentasjon på at kontrollene deres er effektive. I likhet med håndtering av økt global konkurranse, forutsettes det at virksomhetene har på plass dokumentasjon på at outsourcede IT­systemer og ­prosesser har de rette kontrollene.

Tjenester på markedet

Det finnes en rekke attesteringstjenester som hjelper organisasjoner med å overholde tredjeparters krav om uavhengige undersøkelser av prosessene, IT­miljøene og systemene deres og KPMG er blant dem som kan levere disse.

De vanligste attesteringstjenestene omfatter SOC (Service Organization Control) 1­ og 2­rapporter, som utarbeides i samsvar med henholdsvis ISAE 3402­ og ISAE 3000­standarden. En slik attestasjon er en bredt anerkjent dokumentasjon på at en tjenesteleverandør har vært gjennom en uavhengig og grundig granskning av sine interne kontroller.

Grunnlaget

Grunnlaget for en slik attestasjon er at serviceorganisasjonen har utarbeidet en beskrivelse av sitt system, herunder hvilke kontroller de har etablert og hva som er målene med kontrollene. Systembeskrivelsen skal gi en dekkende fremstilling slik den er utformet og implementert i perioden under kontroll. Revisor tar utgangspunkt i denne beskrivelsen og gjør handlinger for å få betryggende sikkerhet for at dette er tilfellet. Videre skal revisor også oppnå en betryggende sikkerhet for at kontrollene relatert til kontrollmålene var hensiktsmessig beskrevet for den samme perioden. Basert på sine handlinger avgir revisor en uttalelse i henhold til ISAE 3402 (SOC 1-rapport). 

En ISAE 3402-rapport skal være til hjelp for tjenesteleverandørenes kunder og deres revisorer ved regnskapsrevisjon, og dekker tjenester som sannsynligvis er relevante for brukerorganisasjonenes interne kontroll over regnskapsrapportering (ICOFR). Siden ISAE 3402-rapporter ikke er ment å omfatte kontroller som ikke er knyttet til regnskapsrapportering, ble ISAE 3000-rapportering (eller SOC2) utviklet som et alternativ for å hjelpe tjenesteleverandører med å dekke et bredere spekter av spesifikke behov blant brukerne – som å håndtere bekymringer i forbindelse med personvern, konfidensialitet og tilgjengelighet.

Tester som en revisor utfører i en vanlig revisjon, er svært lik tester av kontroller som en revisor gjør i den finansielle revisjonen. Revisorer bruker ofte å kartlegge prosesser og handlinger og skaffe revisjonsbevis for at en beskrivelse stemmer med de faktiske forholdene, samt at kontroller er implementert. Her bruker revisor revisjonshandlinger som blant annet forespørsler, inspeksjon av dokumentasjon og observasjon. Den store forskjellen sammenlignet med en ISAE 3402-rapport, er at revisor som er engasjert av serviceorganisasjonen kan gjøre testing på vegne av andre revisorer. De revisorene som reviderer selskapene som benytter serviceorganisasjonen kan bygge på rapporten og dermed redusere omfanget av egen testing Brukere av rapporten kan også være kundene til serviceorganisasjonen, da disse kundene ønsker en rapportering for å sikre seg at tjenestene som leveres er underlagt tilfredsstillende kontroll, men også andre revisorer som reviderer de kundene som benytter serviceorganisasjonen.

Manglende beskrivelser

I enkelte tilfeller ønsker serviceorganisasjonen å engasjere en revisor til å avgi en uttalelse, men så avdekker revisor at det ikke foreligger verken beskrivelse av systemet eller kontrollene. Det vil da ikke være hensiktsmessig å avgi en slik rapport som åpenbart må påpeke svakhetene. Mange serviceorganisasjoner ønsker derfor i forkant å gjennomføre et prosjekt både for å dokumentere sine systemer, men også for å se på om de kontrollene som faktisk er etablerte, er hensiktsmessige for kontrollmålene. Målet med dette er å sikre seg at revisor vil kunne avgi en attestasjon uten anmerkninger. Eksempelvis kan en serviceorganisasjon bruke 2016 til å få på plass kontroller og den nødvendige dokumentasjonen, slik at revisor kan utarbeide en attestasjon for 2017.

Fordeler med SOC­rapportering

Både tjenesteleverandører og brukerorganisasjoner oppnår betydelige fordeler med SOC­rapportering (Service Organization Control). Brukerorganisasjoner får trygghet for de outsourcede sidene av virksomheten sin, mens tjenesteleverandørene oppnår umiddelbare gevinster:

  • Det blir færre avbrudd i forretningsdriften,
    ettersom det ikke lenger er nødvendig at en rekke brukerorganisasjoner utfører
    revisjoner
  • Det interne kontrollmiljøet styrkes og blir mer
    finmasket som et resultat av uavhengige undersøkelser i forbindelse med
    attestering
  • Revisjons­ og kontrollaktiviteter blir mer
    effektive ved å kombinere leverandører av attesterings­ og revisjonstjenester
  • Et transparent kontrollmiljø skaper tillit i
    markedet

En slik attestasjon kan benyttes på ulike områder. Det kan være tilfeller der serviceorganisasjonens systemer og kontroller er spesialtilpasset til en kunde og der attestasjonen er tilpasset til disse systemene. Den store majoriteten er likevel relatert til systemer og kontroller som er like for flere brukere. Eksempelvis der serviceorganisasjonen leverer IT-drift, lønnstjenester, regnskapstjenester, varelagertjenester o.l. I disse tilfellene kan revisor lage en felles attestasjon og hver enkelt kunde og kundens revisor slipper å besøke serviceorganisasjonen for en slik gjennomgåelse.

For mer informasjon, kontakt:

Gunnar Sotnakk, Partner, Audit & Assurance
gunnar.sotnakk@kpmg.no

Sanna Suvanto, Director, Audit Oslo
sanna.suvanto@kpmg.no

Les mer om KPMGs attestasjonstjenester.

Ta kontakt

 

Forespørsel

 

Send inn

KPMGs nye digitale plattform

KPMG International har skapt en fremtidsrettet digital plattform som forbedrer din opplevelse av nettstedet.