International Standard on Assurance Engagements (ISAE) 3402 Bestyrkanderapporter om kontroller på en servicebyrå, ska läsas tillsammans med Preface to the International Standards on Quality Management, Auditing, Review, Other Assurance, and Related Services Pronouncements.

Introduktion

Denna ISAEs tillämpningsområde

1.Denna International Standard on Assurance Engagements (ISAE) behandlar bestyrkandeuppdrag som utförs av en revisor1 med syfte att lämna en rapport, som ska användas av användarföretag och deras revisorer, om kontrollerna på en servicebyrå som levererar en tjänst till användarföretag som sannolikt är relevant för användarföretags interna kontroll med avseende på finansiell rapportering. Den kompletterar ISA 4022 eftersom rapporter som upprättas enligt denna ISAE kan ge ändamålsenliga bevis enligt ISA 402. (Se punkt A 1.)

ISAE 3000 (omarbetad) Andra bestyrkandeuppdrag än revisioner eller översiktliga granskningar av historisk finansiell information punkt 12 r.

ISA 402 Revisorns överväganden vid revision av företag som anlitar en servicebyrå.

2.Enligt Internationellt ramverk för bestyrkandeuppdrag kan ett bestyrkandeuppdrag vara ett uppdrag där uttalandet lämnas med ”rimlig säkerhet” eller ett uppdrag där uttalandet lämnas med ”begränsad säkerhet”, ett bestyrkandeuppdrag kan vara antingen ett attestuppdrag eller ett direkt uppdrag.3 Denna ISAE behandlar enbart attestuppdrag där uttalandet lämnas med rimlig säkerhet.4

ISAE 3000 (omarbetad) punkt 12.

Punkterna 13 och 53 k i denna ISAE.

3.Denna ISAE gäller endast när servicebyrån är ansvarig för, eller på annat sätt kan lämna ett uttalande om, den lämpliga utformningen på kontrollerna. Denna ISAE behandlar inte bestyrkandeuppdrag avseende

  1. uttalande om huruvida kontroller på en servicebyrå fungerar enligt beskrivning, eller

  2. uttalande om andra kontroller på en servicebyrå än dem som har koppling till en tjänst som sannolikt är relevant för användarföretags interna kontroll med avseende på finansiell rapportering (t.ex. kontroller som påverkar användarföretags produktions- eller kvalitetskontroll).

Men denna ISAE ger viss vägledning för uppdrag som genomförs enligt ISAE 3000 (omarbetad). (Se punkt A 2.)

4.Utöver att lämna en bestyrkanderapport om kontroller kan en servicebyrås revisor även få i uppdrag att avge rapporter enligt följande, vilket inte behandlas i denna ISAE:

  1. En rapport om ett användarföretags transaktioner eller konton som handhas av en servicebyrå.

  2. En rapport om ett uppdrag att utföra granskning enligt särskild överenskommelse.

Förhållande till ISAE 3000 (omarbetad), andra uttalanden från yrkesorganisationer och andra krav

5.Servicebyråns revisor ska följa ISAE 3000 (omarbetad) och denna ISAE när han eller hon utför bestyrkandeuppdrag avseende kontroller på en servicebyrå. Denna ISAE kompletterar, men ersätter inte ISAE 3000 (omarbetad) och behandlar hur ISAE 3000 (omarbetad) ska tillämpas i ett bestyrkandeuppdrag där uttalandet lämnas med rimlig säkerhet avseende kontroller på en servicebyrå.

6.Att följa ISAE 3000 (omarbetad) kräver, bland annat, efterlevnad av bestämmelserna i International Ethics Standards Board for Accountants' International Code of Ethics for Professional Accountants (inklusive International Independence Standards) (Etikkoden) avseende bestyrkandeuppdrag, eller andra yrkesmässiga krav, eller krav i lagar eller andra författningar, som är minst lika höga som ISQM 1.5 Dessutom måste den ansvariga revisorn arbeta på ett revisionsföretag som tillämpar ISQM 1,6 eller andra yrkesmässiga krav, eller krav i lagar eller andra författningar, som är minst lika höga som ISQM 1.

ISAE 3000 (omarbetad) punkterna 3 a, 20 och 34.

ISAE 3000 (omarbetad) punkterna 3 b och 31 a. International Standard on Quality Management (ISQM) 1 Kvalitetsstyrning för revisionsföretag som utför revisioner och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster.

Ikraftträdande

7.Denna ISAE gäller servicebyråers revisorers bestyrkanderapporter som omfattar räkenskapsperioder som slutar den 15 juni 2011 eller senare.

Mål

8.Servicebyråns revisors mål är att:

  1. Inhämta rimlig säkerhet om att i alla väsentliga avseenden och baserat på lämpliga kriterier

    1. servicebyråns systembeskrivning ger en rättvisande bild av systemet som det var utformat och infört under hela den angivna perioden (eller i fråga om en typ 1-rapport, per ett angivet datum),

    2. de kontroller som avser kontrollmålen i servicebyråns systembeskrivning var lämpligt utformade under den angivna perioden (eller i fråga om en typ 1-rapport, per ett angivet datum),

    3. i de fall det innefattas i uppdragets inriktning och omfattning, kontrollerna fungerade effektivt och ger rimlig säkerhet att de angivna kontrollmålen i servicebyråns systembeskrivning uppnåddes under hela den angivna perioden.

  2. Uttala sig om frågorna i (a) ovan enligt sina iakttagelser.

Definitioner

9.I denna ISAE har nedanstående termer följande betydelser:

  1. S.k. ”carve-out”-metod: metod för att hantera de tjänster som tillhandahålls av en underservicebyrå, som innebär att servicebyråns systembeskrivning innefattar karaktären på tjänsterna som underservicebyrån tillhandahåller, men att underservicebyråns relevanta kontrollmål och tillhörande kontroller undantas från servicebyråns systembeskrivning och från inriktningen och omfattningen av servicebyråns revisors uppdrag. Servicebyråns systembeskrivning och inriktningen och omfattningen på servicebyråns revisors uppdrag innefattar kontroller på servicebyrån för att övervaka effektiviteten i kontrollers funktion på underservicebyrån, som kan innefatta servicebyråns genomgång av en bestyrkanderapport om kontroller på underservicebyrån.

  2. Kompletterande kontroller på användarföretaget: kontroller som servicebyrån vid utformningen av sina tjänster förutsätter att användarföretag genomför och som, om detta krävs för att uppnå de angivna kontrollmålen i servicebyråns systembeskrivning, identifieras i beskrivningen.

  3. Kontrollmål: syftet eller målet med en viss aspekt av kontroller. Kontrollmål hänger samman med de risker som kontrollerna är avsedda att minska.

  4. Kontroller på servicebyrån: kontroller över uppnåendet av ett kontrollmål som omfattas av servicebyråns revisors bestyrkanderapport. (Se punkt A 3.)

  5. Kontroller på en underservicebyrå: kontroller på en underservicebyrå för att ge rimlig säkerhet att ett kontrollmål är uppnått.

  6. Kriterier: referensvärden som används för att utvärdera eller mäta det underliggande granskningsobjektet. ”De tillämpliga kriterierna” är de kriterier som används i ett visst uppdrag.

  7. S.k. ”inclusive”-metod: metod för att hantera de tjänster som tillhandahålls av en underservicebyrå, som innebär att servicebyråns systembeskrivning innefattar karaktären på tjänsterna som underservicebyrån tillhandahåller, och att underservicebyråns relevanta kontrollmål och tillhörande kontroller ingår i servicebyråns systembeskrivning och i inriktningen och omfattningen av servicebyråns revisors uppdrag. (Se punkt A 4.)

  8. Internrevision: en funktion i ett företag, som utför bestyrkande- och konsultverksamhet i syfte att utvärdera och förbättra ändamålsenligheten i ett företags processer för bolagsstyrning, riskhantering och intern kontroll.

  9. Internrevisorer: de personer som utför internrevisionens arbete. Internrevisorer kan arbeta på en internrevisionsavdelning eller motsvarande funktion.

  10. Rapport om beskrivningen och utformningen av en servicebyrås kontroller (”typ 1-rapport” i denna ISAE): en rapport som innehåller följande:

    1. Servicebyråns systembeskrivning.

    2. Ett skriftligt uttalande av servicebyrån att i alla väsentliga avseenden och baserat på lämpliga kriterier:

      1. beskrivningen ger en rättvisande bild av servicebyråns system som det är utformat och infört per det angivna datumet,

      2. de kontroller som avser de angivna kontrollmålen i servicebyråns systembeskrivning var lämpligt utformade per det angivna datumet.

    3. En servicebyrås revisors bestyrkanderapport med ett uttalande med rimlig säkerhet avseende förhållandena i (ii) a–b ovan.

  11. Rapport om beskrivningen och utformningen av samt effektiviteten i funktionen hos en servicebyrås kontroller (”typ 2-rapport” i denna ISAE): en rapport som innehåller följande:

    1. Servicebyråns systembeskrivning.

    2. Ett skriftligt uttalande av servicebyrån att i alla väsentliga avseenden och baserat på lämpliga kriterier:

      1. beskrivningen ger en rättvisande bild av servicebyråns system som det var utformat och infört under hela den angivna perioden,

      2. de kontroller som avser de angivna kontrollmålen i servicebyråns systembeskrivning var lämpligt utformade under hela den angivna perioden,

      3. de kontroller som avser de angivna kontrollmålen i servicebyråns systembeskrivning har fungerat effektivt under hela den angivna perioden.

    3. En servicebyrås revisors bestyrkanderapport:

      1. med en slutsats med rimlig säkerhet om förhållandena i (ii) a–c ovan, och

      2. innehåller en beskrivning av granskningarna av kontroller och resultaten av dem.

  12. Servicebyrås revisor: en revisor som, på servicebyråns begäran, tillhandahåller en bestyrkanderapport om en servicebyrås kontroller.

  13. Servicebyrå: en extern organisation (eller segment i en extern organisation) som levererar sådana tjänster till användarföretag som sannolikt är relevanta för användarföretags interna kontroll med avseende på finansiell rapportering.

  14. Servicebyrås system (eller systemet): de riktlinjer och rutiner som utformas och införs av servicebyrån för att denna ska kunna leverera de tjänster till användarföretagen som rapporten från servicebyråns revisor omfattar. Servicebyråns systembeskrivning innefattar identifiering av de tjänster som omfattas, den period, eller om det gäller en typ 1-rapport, det datum som beskrivningen hänger samman med, kontrollmål samt tillhörande kontroller.

  15. Servicebyrås uttalande: det skriftliga uttalandet om de förhållanden som det hänvisas till i punkt 9 k ii (eller punkt 9 j ii i fråga om en typ 1-rapport).

  16. Underservicebyrå: en servicebyrå som anlitas av en annan servicebyrå för att utföra några av de tjänster som levereras till användarföretag och som sannolikt är relevanta för användarföretags interna kontroll med avseende på finansiell rapportering.

  17. Granskning av kontroller: en åtgärd avsedd att utvärdera effektiviteten i kontrollers funktion när det gäller att uppnå kontrollmålen i servicebyråns systembeskrivning.

  18. Användarföretags revisor: en revisor som reviderar och uttalar sig om ett användarföretags finansiella rapporter.7

  19. Användarföretag: ett företag som anlitar en servicebyrå.

När det gäller en underservicebyrå är servicebyråns revisor för en servicebyrå som använder en underservicebyrås tjänster också ett användarföretags revisor.

Krav

ISAE 3000 (omarbetad)

10.Servicebyråns revisor ska inte ange att han eller hon har följt denna ISAE såvida revisorn inte har följt kraven i denna ISAE och ISAE 3000 (omarbetad).

Yrkesetiska krav

11.Servicebyråns revisor ska följa bestämmelserna i Etikkoden, avseende bestyrkandeuppdrag, eller andra yrkesmässiga krav eller krav enligt lagar eller andra författningar som är minst lika stränga. (Se punkt A 5.)

Företagsledning och de som har ansvar för företagets styrning

12.I de fall denna ISAE kräver att servicebyråns revisor gör förfrågningar om, begär uttalanden av, kommunicerar med eller på annat sätt interagerar med servicebyrån, ska servicebyråns revisor bestämma vilken eller vilka lämpliga personer inom servicebyråns företagsledning eller ledningsstruktur som han eller hon ska kommunicera med. Detta ska innefatta övervägande av vilken eller vilka personer som har lämpligt ansvar för och kunskap om de berörda förhållandena. (Se punkt A 6.)

Acceptera och behålla kunder

13.Innan en servicebyrås revisor accepterar eller behåller ett uppdrag ska han eller hon:

  1. fastställa om

    1. han eller hon har den förmåga och kompetens som krävs för att utföra uppdraget (se punkt A 7),

    2. de kriterier som revisorn förväntar sig ska användas av servicebyrån för att upprätta systembeskrivningen är lämpliga och kommer att vara tillgängliga för användarföretag och deras revisorer,

    3. uppdragets omfattning och inriktning samt servicebyråns systembeskrivning inte är så begränsade att de sannolikt inte är av nytta för användarföretag och deras revisorer.

  2. Inhämta servicebyråns bekräftelse på att den är medveten om och förstår sitt ansvar för att:

    1. upprätta systembeskrivningen, och bifogat uttalande från servicebyrån, inklusive fullständighet, exakthet och uppställningsmetod för beskrivningen och uttalandet (se punkt A 8),

    2. ha rimlig grund för servicebyråns uttalande som bifogas systembeskrivningen (se punkt A 9),

    3. ange i servicebyråns uttalande de kriterier servicebyrån använde för att upprätta systembeskrivningen,

    4. i systembeskrivningen ange

      1. kontrollmålen, och

      2. i de fall de anges i lagar och andra författningar, eller av annan part (t.ex. en användargrupp eller ett yrkesorgan), den part som har angett dem.

    5. identifiera riskerna för att de angivna kontrollmålen i systembeskrivningen inte uppnås, och för att utforma och införa kontroller som ger rimlig säkerhet att dessa risker inte förhindrar de angivna kontrollmålen i systembeskrivningen från att uppnås och att de angivna kontrollmålen därför kommer att uppnås (se punkt A 10),

    6. ge servicebyråns revisor

      1. åtkomst till information, t.ex. bokföring, dokumentation och andra förhållanden, inklusive servicenivåavtal, när servicebyrån känner till att den är relevant för servicebyråns systembeskrivning och medföljande uttalande från servicebyrån,

      2. ytterligare information som servicebyråns revisor kan begära från servicebyrån för bestyrkandeuppdragets syfte,

      3. obegränsad tillgång till personer på servicebyrån som servicebyråns revisor bedömer det som nödvändigt att inhämta bevis från.

Godkännande av en ändring i villkoren för uppdraget

14.Om servicebyrån begär en ändring i uppdragets omfattning och inriktning före uppdragets slutförande ska servicebyråns revisor förvissa sig om att detta har motiverats på ett rimligt sätt. (Se punkterna A 11–A 12.)

Avgöra om kriterierna är lämpliga

15.Servicebyråns revisor ska avgöra om servicebyrån har använt lämpliga kriterier vid upprättande av systembeskrivningen, vid utvärdering av om kontroller har lämplig utformning och, i fråga om en typ 2-rapport, vid utvärdering av om kontroller fungerar effektivt.

16.Vid avgörandet av lämpligheten i kriterierna som används för att utvärdera servicebyråns systembeskrivning ska servicebyråns revisor bestämma om kriterierna minst omfattar:

  1. Om beskrivningen beskriver hur servicebyråns system var utformat och infört, inklusive, i tillämpliga fall:

    1. De typer av tjänster som tillhandahålls, inklusive, i tillämpliga fall, bearbetade transaktionsslag.

    2. De rutiner, både vad beträffar informationstekniksystem och manuella system, genom vilka tjänster tillhandahålls, inklusive, i tillämpliga fall, rutiner genom vilka transaktioner initieras, registreras, bearbetas, i förekommande fall rättas, och överförs till rapporterna och annan information som upprättas för användarföretag.

    3. Tillhörande material och underlag, inklusive, i tillämpliga fall, räkenskapsmaterial, underlag och särskilda konton som används för att initiera, registrera, bearbeta och redovisa transaktioner. I detta ingår rättelse av felaktig information och hur information överförs till rapporterna och annan information som upprättas till användarföretag.

    4. Hur servicebyråns system hanterar andra betydelsefulla händelser och villkor än transaktioner.

    5. Den process som används för att upprätta rapporter och annan information åt användarföretag.

    6. De angivna kontrollmålen och kontroller avsedda att uppnå dessa mål.

    7. Kompletterande kontroller på användarföretag, som övervägts vid utformningen av kontrollerna.

    8. Andra aspekter av servicebyråns kontrollmiljö, riskbedömningsprocess, informationssystem (inklusive näraliggande affärsprocesser) och kommunikation, kontrollaktiviteter och övervakningskontroller som är relevanta för de tillhandahållna tjänsterna.

  2. I fråga om en typ 2-rapport, om beskrivningen innefattar relevanta uppgifter om ändringar i servicebyråns system under den period som beskrivningen omfattar.

  3. Om beskrivningen utelämnar eller förvränger information som är relevant för omfattningen av servicebyråns beskrivna system, men bekräftar att beskrivningen är upprättad för att tillgodose gemensamma behov hos många olika slags användarföretag och deras revisorer, och därför inte kan innefatta alla aspekter av servicebyråns system som varje enskilt användarföretag och dess revisor kan anse vara viktiga i deras särskilda miljö.

17.Vid avgörandet av lämpligheten i kriterierna som används för att utvärdera kontrollernas utformning, ska servicebyråns revisor avgöra om kriterierna minst omfattar:

  1. om servicebyrån har identifierat riskerna för att de angivna kontrollmålen i servicebyråns systembeskrivning inte uppnås, och

  2. om de kontroller som är identifierade i beskrivningen skulle, om de fungerade enligt beskrivning, ge rimlig säkerhet att dessa risker inte förhindrar de angivna kontrollmålen från att uppnås.

18.Vid avgörandet av lämpligheten i kriterierna som används för att utvärdera effektiviteten i kontrollers funktion när det gäller att ge rimlig säkerhet att de angivna kontrollmålen i beskrivningen kommer att uppnås, ska servicebyråns revisor bestämma om kriterierna minst omfattar huruvida kontrollerna var konsekvent använda enligt utformningen under hela den angivna perioden. Detta innefattar huruvida manuella kontroller användes av enskilda personer med lämplig kompetens och befogenhet. (Se punkterna A 13–A 15.)

Väsentlighet

19.Vid planering och utförande av uppdraget ska servicebyrån överväga väsentlighet med avseende på den rättvisande bilden av beskrivningen, lämpligheten i utformningen av kontroller och, i fråga om en typ 2-rapport, effektiviteten i kontrollers funktion. (Se punkterna A 16–A 18.)

Inhämta en förståelse av servicebyråns system

20.Servicebyråns revisor ska inhämta en förståelse av servicebyråns system, inklusive kontroller som innefattas i uppdragets inriktning och omfattning. (Se punkterna A 19–A 20.)

Inhämta bevis avseende beskrivningen

21.Servicebyråns revisor ska inhämta och läsa servicebyråns systembeskrivning och ska utvärdera om de aspekter av beskrivningen som innefattas i uppdragets inriktning och omfattning ger en rättvisande bild, inklusive om: (Se punkterna A 21–A 22.)

  1. De angivna kontrollmålen i servicebyråns systembeskrivning är rimliga med hänsyn till omständigheterna. (Se punkt A 23.)

  2. Kontroller som identifierades i beskrivningen infördes.

  3. Eventuella kompletterande kontroller för användarföretaget är adekvat beskrivna.

  4. Eventuella tjänster som utförs av en underservicebyrå är adekvat beskrivna, inklusive om den s.k. ”inclusive”-metoden eller den s.k. ”carve-out”-metoden har använts avseende dem.

22.Servicebyråns revisor ska fastställa, genom andra åtgärder i kombination med förfrågningar, om servicebyråns system har införts. Dessa andra åtgärder ska innefatta observation samt inspektion av bokföring och annan dokumentation av hur servicebyråns system fungerar och kontroller används. (Se punkt A 24.)

Inhämta bevis avseende kontrollers utformning

23.Servicebyrån ska bestämma vilka av kontrollerna på servicebyrån som behövs för att uppnå kontrollmålen i servicebyråns systembeskrivning, och ska bedöma om dessa kontroller var lämpligt utformade. Denna bestämning ska innefatta att: (Se punkterna A 25–A 27.)

  1. identifiera riskerna för att de angivna kontrollmålen i servicebyråns systembeskrivning inte uppnås, och

  2. utvärdera dessa riskers koppling till de kontroller som är identifierade i servicebyråns systembeskrivning.

Inhämta bevis avseende effektiviteten i kontrollers funktion

24.När servicebyråns revisor lämnar en typ 2-rapport ska han eller hon granska de kontroller som servicebyråns revisor har bedömt som nödvändiga för att uppnå de angivna kontrollmålen i servicebyråns systembeskrivning, och bedöma hur de har fungerat under hela perioden. Bevis som har inhämtats vid tidigare uppdrag för den tillfredsställande funktionen hos kontroller under tidigare perioder utgör inte en grund för att minska granskningen, även om den kompletteras med bevis som inhämtats under den aktuella perioden. (Se punkterna A 28–A 32.)

25.När servicebyråns revisor utformar och utför granskning av kontroller ska han eller hon:

  1. utföra andra åtgärder i kombination med förfrågning för att inhämta bevis om

    1. hur kontrollen användes,

    2. hur konsekvent kontrollen användes,

    3. av vem eller på vilket sätt kontrollen användes,

  2. fastställa om kontroller som ska granskas är beroende av andra kontroller (indirekta kontroller) och, om så är fallet, avgöra om det krävs ytterligare bevis för att de indirekta kontrollerna fungerar, (se punkterna A 33–A 34)

  3. fastställa metoder för val av poster som ska granskas som är effektiva när det gäller att uppfylla åtgärdens syften. (Se punkterna A 35–A 36.)

26.När omfattningen av granskningen av kontroller fastställs ska servicebyrån överväga förhållanden inkluderande egenskaper hos den population som ska granskas, vilket innefattar karaktären på kontroller, hur ofta de används (t.ex. varje månad eller dag, ett antal gånger per dag) och den förväntade avvikelsefrekvensen.

Urval

27.När servicebyråns revisor lämnar ett urval ska han eller hon: (Se punkterna A 35–A 36.)

  1. överväga åtgärdens syfte och egenskaperna hos urvalspopulationen vid utformningen av urvalet,

  2. fastställa en urvalsstorlek som är tillräckligt stor för att minska urvalsrisken till en lämpligt låg nivå,

  3. välja poster till urvalet på ett sådant sätt att varje urvalsenhet i populationen kan komma att bli vald,

  4. om en utformad åtgärd inte är tillämplig på den valda posten, utföra åtgärden på en annan post som ersättning,

  5. om det inte går att använda de tänkta åtgärderna, eller lämpliga alternativa åtgärder, på en vald post, behandla denna post som en avvikelse.

Avvikelsers karaktär och orsak

28.Servicebyråns revisor ska undersöka karaktären på och orsaken till identifierade avvikelser och ska fastställa om:

  1. Identifierade avvikelser ligger inom förväntad avvikelsefrekvens och är godtagbara. Därför utgör den granskning som har utförts en lämplig grund för att dra slutsatsen att kontrollen fungerar effektivt under hela den angivna perioden.

  2. Ytterligare granskning av kontrollen eller av andra kontroller krävs för att nå en slutsats om huruvida kontrollerna med avseende på ett visst kontrollmål har fungerat effektivt under hela den angivna perioden. (Se punkt A 25.)

  3. Granskningen som har utförts utgör en lämplig grund för att dra slutsatsen att kontrollen inte har fungerat effektivt under hela den angivna perioden.

29.I de ytterst sällsynta fall när servicebyråns revisor anser att en felaktighet eller avvikelse som upptäckts i ett urval ska särbehandlas, och att inga andra kontroller har identifierats som innebär att servicebyråns revisor kan dra slutsatsen att det relevanta kontrollmålet fungerar effektivt under hela den angivna perioden ska revisorn uppnå en hög grad av säkerhet att en sådan felaktighet eller avvikelse inte är representativ för populationen. Servicebyråns revisor ska uppnå denna grad av säkerhet genom att utföra ytterligare åtgärder i syfte att inhämta tillräckliga och ändamålsenliga bevis för att felaktigheten eller avvikelsen inte påverkar resten av populationen.

En internrevisionsavdelnings arbete8

Denna ISAE behandlar inte de fall där enskilda internrevisorer direkt bistår servicebyråns revisor vid utförandet av åtgärder.

Inhämta en förståelse av internrevisionsavdelningen

30.Om företaget har en internrevisionsavdelning ska servicebyråns revisor skaffa sig en förståelse av karaktären på internrevisionsavdelningens ansvarsområden och av åtgärderna som utförs för att kunna avgöra om det är sannolikt att internrevisionen är relevant för uppdraget. (Se punkt A 37.)

Avgöra om och i vilken utsträckning internrevisionens arbete ska användas

31.Servicebyråns revisor ska avgöra:

  1. om det är sannolikt att internrevisionens arbete är lämpligt för uppdragets syften, och

  2. i så fall hur internrevisionens arbete ska påverka karaktären på, tidpunkten för och omfattningen av servicebyråns revisors åtgärder.

32.När servicebyråns revisor avgör om det är sannolikt att internrevisionens arbete är lämpligt för uppdragets syften ska han eller hon bedöma:

  1. internrevisionens objektivitet,

  2. internrevisionens tekniska kompetens,

  3. om det är sannolikt att internrevisionens arbete kommer att utföras med vederbörlig professionell omsorg,

  4. om det är sannolikt att kommunikationen mellan internrevisionen och servicebyråns revisor kommer att fungera.

33.När servicebyråns revisor avgör hur internrevisionens arbete ska påverka karaktären på, tidpunkten för och omfattningen av servicebyråns revisors åtgärder, ska han eller hon beakta: (Se punkt A 38.)

  1. karaktären på och omfattningen av det arbete som har utförts eller som ska utföras av internrevisionen,

  2. vilken betydelse det arbetet har för servicebyråns revisors slutsatser,

  3. graden av subjektivitet vid bedömningen av de bevis som har inhämtats som stöd för dessa slutsatser.

Använda internrevisionsavdelningens arbete

34.För att servicebyråns revisor ska kunna använda delar av internrevisionens arbete, ska servicebyråns revisor utvärdera och utföra åtgärder avseende detta arbete för att avgöra om det passar för hans eller hennes syften. (Se punkt A 39.)

35.För att avgöra om det arbete som internrevisionen har utfört passar för servicebyråns revisors syften ska han eller hon bedöma huruvida

  1. arbetet har utförts av internrevisorer med lämplig utbildning och kompetens,

  2. arbetet har letts, följts upp och dokumenterats på ett riktigt sätt,

  3. tillräckliga bevis har inhämtats för att internrevisionen ska kunna dra rimliga slutsatser,

  4. de slutsatser som har dragits är rimliga med hänsyn till omständigheterna och alla rapporter som har upprättats av internrevisionen stämmer överens med resultatet av det arbete som har utförts,

  5. avvikelser som är av betydelse för uppdraget eller ovanliga förhållanden som har uppdagats av internrevisionen har lösts på ett riktigt sätt.

Påverkan på servicebyråns revisors bestyrkanderapport

36.Om internrevisionsavdelningens arbete har använts ska servicebyråns revisor inte göra någon hänvisning till det arbetet i den del av servicebyråns revisors bestyrkanderapport som innehåller servicebyråns revisors uttalande. (Se punkt A 40.)

37.I fråga om en typ 2-rapport, om internrevisionsavdelningens arbete har använts vid granskning av kontroller, ska den del av servicebyråns revisors bestyrkanderapport som beskriver servicebyråns granskning av kontroller och resultaten av den innehålla en beskrivning av internrevisorns arbete och av servicebyråns revisors åtgärder med avseende på det arbetet. (Se punkt A 41.)

Skriftliga uttalanden

38.Servicebyråns revisor ska begära skriftliga uttalanden av servicebyrån: (Se punkt A 42.)

  1. som bekräftar uttalandet som bifogas systembeskrivningen,

  2. om att den har gett servicebyråns revisor tillgång till all relevant information och åtkomst enligt överenskommelser9,

  3. om att den har upplyst servicebyråns revisor om de faktorer av följande som den känner till

    1. överträdelser av lagar och andra författningar, oegentligheter, eller orättade avvikelser som kan hänföras till servicebyrån och som kan påverka ett eller flera användarföretag,

    2. brister i kontrollernas utformning,

    3. tillfällen när kontroller inte har fungerat enligt beskrivning,

    4. händelser efter perioden som omfattas av servicebyråns systembeskrivning fram till datumet för servicebyråns revisors bestyrkanderapport som skulle kunna ha en betydande påverkan på servicebyråns revisors bestyrkanderapport.

Punkt 13 b v i denna ISAE.

39.De skriftliga uttalandena ska ha formen av ett brev adresserat till servicebyråns revisor. Datumet för de skriftliga uttalandena ska vara så nära datumet för servicebyråns revisors bestyrkanderapport som det är praktiskt möjligt, dock inte efter det datumet.

40.Om servicebyrån, efter att ha diskuterat frågan med servicebyråns revisor, inte lämnar ett eller flera begärda skriftliga uttalanden enligt punkt 38 a och b i denna ISAE ska servicebyråns revisor avstå från uttalande. (Se punkt A 43.)

Annan information

41.Servicebyråns revisor ska läsa eventuell annan information i dokument med servicebyråns systembeskrivning och servicebyråns revisors bestyrkanderapport, för att identifiera eventuella väsentliga oförenligheter med beskrivningen. När servicebyråns revisor läser den andra informationen med syftet att identifiera väsentliga oförenligheter, kan han eller hon bli medveten om uppenbara felaktigheter i faktaåtergivningen i denna andra information.

42.Om servicebyråns revisor under läsningen av den andra informationen identifierar en väsentlig oförenlighet eller uppmärksammar en uppenbar väsentlig felaktighet i faktaåtergivningen, ska han eller hon diskutera frågan med servicebyrån. Om servicebyråns revisor drar slutsatsen att det finns en väsentlig oförenlighet eller en felaktig återgivning av fakta i den andra informationen som servicebyrån vägrar att rätta till ska han eller hon vidta de ytterligare åtgärder som är lämpliga. (Se punkterna A 44–A 45.)

Efterföljande händelser

43.Servicebyråns revisor ska göra en förfrågan om huruvida servicebyrån känner till händelser efter perioden som omfattas av servicebyråns systembeskrivning fram till datumet för servicebyråns revisors bestyrkanderapport som skulle kunna få revisorn att ändra rapporten. Om servicebyråns revisor känner till en sådan händelse och information om den inte har lämnats ut av servicebyrån, ska revisorn upplysa om händelsen i sin bestyrkanderapport.

44.Servicebyråns revisor har ingen förpliktelse att utföra åtgärder avseende servicebyråns systembeskrivning eller lämpligheten i kontrollers utformning eller effektiviteten i kontrollers funktion, efter datumet för rapporten.

Dokumentation

45.Servicebyråns revisor ska utan onödigt dröjsmål upprätta dokumentation som utgör en redovisning av grunden för bestyrkanderapporten som är tillräckligt uttömmande och ändamålsenlig för att en erfaren servicebyrås revisor, som tidigare inte har varit inblandad i uppdraget, ska kunna förstå följande:

  1. karaktären på, tidpunkten för och omfattningen av de åtgärder som har utförts för att uppfylla denna ISAE och tillämpliga krav i lagar och andra författningar,

  2. resultaten av åtgärderna och vilka bevis som har inhämtats,

  3. betydelsefulla frågor som har uppstått under uppdraget, vilka slutsatser som har dragits från dessa samt betydelsefulla professionella bedömningar som har gjorts till följd av dessa slutsatser.

46.Vid dokumentation av åtgärdernas karaktär, tidpunkt och omfattning ska servicebyråns revisor dokumentera:

  1. identifikationsfaktorer för de särskilda poster eller förhållanden som har granskats,

  2. vem som utförde arbetet och datumet då arbetet slutfördes,

  3. vem som gick igenom det utförda arbetet, när detta gjordes och genomgångens omfattning.

47.Om servicebyråns revisor använder arbete som har utförts av internrevisionen ska han eller hon dokumentera slutsatser avseende utvärderingen av huruvida internrevisionens arbete är tillräckligt, och de åtgärder som servicebyråns revisor har utfört avseende det arbetet.

48.Servicebyråns revisor ska dokumentera diskussioner om betydelsefulla frågor med servicebyrån och andra, inklusive frågornas karaktär samt när och med vem diskussionerna ägde rum.

49.Om servicebyråns revisor har identifierat information som är oförenlig med hans eller hennes slutsats i en betydelsefull fråga, ska han eller hon dokumentera hur oförenligheten har hanterats.

50.Servicebyråns revisor ska sammanställa uppdragsdokumentationen och utan onödigt dröjsmål efter datumet för bestyrkanderapporten slutföra den administrativa processen avseende den slutliga sammanställningen.10

Punkterna A 83–A 85 i ISQM 1 innehåller ytterligare vägledning.

51.Efter det att den slutliga uppdragsdokumentationen har sammanställts får servicebyråns revisor inte radera eller kassera någon dokumentation förrän arkiveringstiden har upphört. (Se punkt A 46.)

52.Servicebyråns revisor ska, om han eller hon finner det nödvändigt att ändra den befintliga dokumentationen eller lägga till ny dokumentation efter det att den slutliga uppdragsdokumentationen har sammanställts, och den dokumentationen inte påverkar servicebyråns revisors rapport, oavsett ändringarnas eller tilläggens karaktär dokumentera följande:

  1. de särskilda skälen till att ändringarna eller tilläggen har gjorts,

  2. när och av vem de gjordes respektive gicks igenom.

Upprätta servicebyråns revisors bestyrkanderapport

Innehåll i servicebyråns revisors bestyrkanderapport

53.Servicebyråns revisors bestyrkanderapport ska minst innehålla följande grundläggande delar: (Se punkt A 47.)

  1. En titel som tydligt visar att rapporten är en oberoende servicebyrås revisors bestyrkanderapport.

  2. En mottagare.

  3. Identifiering av:

    1. Servicebyråns systembeskrivning och servicebyråns uttalande, som innefattar de förhållanden som beskrivs i punkt 9 k ii för en typ 2-rapport, eller punkt 9 j ii för en typ 1-rapport.

    2. De eventuella delar i servicebyråns systembeskrivning som inte omfattas av servicebyråns revisors uttalande.

    3. Om beskrivningen hänvisar till behovet av kompletterande kontroller på användarföretaget, ett uttalande om att servicebyråns revisor inte har utvärderat lämpligheten i utformningen av eller effektiviteten i kompletterande kontrollers funktion på användarföretag, och att de angivna kontrollmålen i servicebyråns systembeskrivning endast kan uppnås om kompletterande kontroller på användarföretag är lämpligt utformade eller fungerar effektivt tillsammans med kontrollerna på servicebyrån.

    4. Om tjänster utförs av en underservicebyrå, karaktären på de åtgärder som utförs av underservicebyrån enligt beskrivning i servicebyråns systembeskrivning och om den s.k. ”inclusive”-metoden eller den s.k. ”carve-out”-metoden har använts avseende dem. I de fall den s.k. ”carve-out”-metoden har använts, ett uttalande om att servicebyråns beskrivning av dess system undantar kontrollmålen och hänförliga kontroller på relevanta underservicebyråer, och att servicebyråns revisors åtgärder inte utvidgas till kontroller på underservicebyrån. I de fall den s.k. ”inclusive”-metoden har använts, ett uttalande om att servicebyråns beskrivning av dess system innefattar kontrollmålen och hänförliga kontroller på underservicebyrån, och att servicebyråns revisors åtgärder utvidgades till kontroller på underservicebyrån.

  4. Identifiering av de tillämpliga kriterierna och den part som anger kontrollmålen.

  5. Ett uttalande att rapporten och, i fråga om en typ 2-rapport, beskrivningen av granskningen av kontroller är avsedd enbart för användarföretag och deras revisorer, som har tillräcklig förståelse för att kunna överväga den, tillsammans med annan information inklusive information om kontroller som användarföretagen själva utför, vid bedömning av riskerna för väsentliga felaktigheter i användarföretags finansiella rapporter. (Se punkt A 48.)

  6. Ett uttalande om att servicebyrån har ansvaret för att:

    1. upprätta systembeskrivningen, och bifogat uttalande, inklusive fullständighet, exakthet och uppställningsmetod för beskrivningen och uttalandet,

    2. tillhandahålla de tjänster som omfattas av servicebyråns systembeskrivning,

    3. ange kontrollmålen (i de fall de inte anges i lagar och andra författningar, eller av annan part, t.ex. en användargrupp eller ett yrkesorgan),

    4. utforma och införa kontroller för att uppnå de angivna kontrollmålen i servicebyråns systembeskrivning.

  7. Ett uttalande om att servicebyråns revisors ansvar är att lämna ett uttalande om servicebyråns beskrivning, om utformningen av de kontroller som avser de angivna kontrollmålen i den beskrivningen, och i fråga om en typ 2-rapport, om effektiviteten i dessa kontrollers funktion, baserat på servicebyråns revisors åtgärder.

  8. Ett uttalande om att revisionsföretaget där revisorn arbetar tillämpar ISQM 1, eller andra yrkesmässiga krav, eller krav i lag eller annan författning, som är minst lika höga som ISQM 1. Om revisorn inte är externrevisor, ska uttalandet identifiera de yrkesmässiga kraven, eller krav i lag eller annan författning, som används som är minst lika höga som ISQM 1.

  9. Ett uttalande om att revisorn följer krav på oberoende och andra yrkesetiska krav i Etikkoden, eller andra yrkesmässiga krav, eller krav enligt lag eller annan författning, som är minst lika höga som bestämmelserna i Etikkoden avseende bestyrkandeuppdrag. Om revisorn inte är externrevisor, ska uttalandet identifiera de yrkesmässiga krav, eller krav enligt lag eller annan författning, som används som är minst lika höga som bestämmelserna i Etikkoden avseende bestyrkandeuppdrag.

  10. Ett uttalande om att uppdraget utfördes enligt ISAE 3402 Bestyrkanderapporter om kontroller på en servicebyrå, som kräver att servicebyråns revisor planerar och utför åtgärder för att uppnå rimlig säkerhet om att i alla väsentliga avseenden servicebyråns systembeskrivning ger en rättvisande bild och att kontrollerna är lämpligt utformade samt, i fråga om en typ 2-rapport, effektiviteten i kontrollernas funktion.

  11. En sammanfattning av servicebyråns revisors åtgärder för att uppnå rimlig säkerhet och ett uttalande om servicebyråns revisors uppfattning att de inhämtade bevisen är tillräckliga och ändamålsenliga för att utgöra en grund för servicebyråns revisors uttalande, och i fråga om en typ 1-rapport, ett uttalande om att servicebyråns revisor inte har utfört några åtgärder avseende effektiviteten i kontrollers funktion och att inget uttalande lämnas om detta.

  12. Ett uttalande om kontrollernas begränsningar och, i fråga om en typ 2-rapport, om risken för att skatta eventuell utvärdering av effektiviteten i kontrollers funktion till framtida perioder.

  13. Servicebyråns revisors uttalande, uttryckt i positiv form, om huruvida, i alla väsentliga avseenden och baserat på lämpliga kriterier:

    1. I fråga om en typ 2-rapport:

      1. beskrivningen ger en rättvisande bild av servicebyråns system som hade utformats och införts under hela den angivna perioden,

      2. de kontroller som avser de angivna kontrollmålen i servicebyråns systembeskrivning var lämpligt utformade under hela den angivna perioden,

      3. de granskade kontrollerna, som var de som krävdes för att ge rimlig säkerhet att de angivna kontrollmålen i beskrivningen uppnåddes, fungerade effektivt under hela den angivna perioden.

    2. I fråga om en typ 1-rapport:

      1. beskrivningen ger en rättvisande bild av servicebyråns system som hade utformats och införts per det angivna datumet,

      2. de kontroller som avser de angivna kontrollmålen i servicebyråns systembeskrivning var lämpligt utformade per det angivna datumet.

  14. Datumet för servicebyråns revisors bestyrkanderapport, som inte ska vara före

    1. det datum när servicebyråns revisor har inhämtat de bevis som utgör grunden för revisorns uttalande, och

    2. när en uppdragsanknuten kvalitetsgranskning krävs i enlighet med ISQM 1 eller företagets riktlinjer eller rutiner, kvalitetsgranskning av uppdraget är klar.

  15. Servicebyråns revisors namn och den ort i jurisdiktionen där servicebyråns revisor bedriver sin verksamhet.

54.I fråga om en typ 2-rapport ska servicebyråns revisors bestyrkanderapport innehålla ett separat avsnitt efter uttalandet, eller en bilaga, som beskriver den granskning av kontroller som utfördes och resultatet av granskningen. När servicebyråns revisor beskriver granskningen av kontroller, ska han eller hon tydligt ange vilka kontroller som granskades, identifiera om de granskade posterna representerar alla eller ett urval av poster i populationen samt visa karaktären på granskningen tillräckligt detaljerat för att användarföretags revisorer ska kunna bestämma effekten av sådana granskningar i sina riskbedömningar. Om avvikelser har identifierats ska servicebyråns revisor ta med omfattningen av den utförda granskningen som ledde till att avvikelserna identifierades (inklusive urvalsstorlek när urval har använts) och antalet och karaktären på de observerade avvikelserna. Servicebyråns revisor ska rapportera avvikelser även om, med grund i den utförda granskningen, han eller hon har dragit slutsatsen att tillhörande kontrollmål har uppnåtts. (Se punkterna A 18 och A 49.)

Modifierade uttalanden

55.Om servicebyråns revisor drar slutsatsen att: (Se punkterna A 50–A 52.)

  1. servicebyråns beskrivning inte ger en i alla väsentliga avseenden rättvisande bild av systemet som det är utformat och infört,

  2. de kontroller som avser de angivna kontrollmålen i beskrivningen inte var i alla väsentliga avseenden lämpligt utformade,

  3. i fråga om en typ 2-rapport, de granskade kontrollerna, som var de som krävdes för att uppnå rimlig säkerhet att de angivna kontrollmålen i servicebyråns systembeskrivning hade uppnåtts, i alla väsentliga avseenden inte fungerade effektivt,

  4. servicebyråns revisor inte kan inhämta tillräckliga och ändamålsenliga bevis,

ska servicebyråns revisors uttalande modifieras, och servicebyråns revisors bestyrkanderapport ska innehålla ett avsnitt med en tydlig beskrivning av alla orsaker till modifieringen.

Ansvar för annan kommunikation

56.Om servicebyråns revisor får kännedom om överträdelser av lagar och andra författningar, oegentligheter eller orättade misstag hänförliga till servicebyrån, som inte är uppenbart betydelselösa och som kan påverka ett eller flera användarföretag, ska servicebyråns revisor avgöra om frågan har kommunicerats på lämpligt sätt till berörda användarföretag. Om frågan inte har kommunicerats på lämpligt sätt och servicebyrån inte vill göra det, ska servicebyråns revisor vidta tillämpliga åtgärder. (Se punkt A 53.)

Tillämpning och andra förtydliganden

Denna ISAEs tillämpningsområde (se punkterna 1 och 3)

A 1.Intern kontroll är en process avsedd att ge rimlig säkerhet om uppnåendet av mål avseende tillförlitligheten i finansiell rapportering, effektivitet och ändamålsenlighet i verksamhet och efterlevnad av tillämpliga lagar och andra författningar. Kontroller avseende en servicebyrås verksamhets- och efterlevnadsmål kan vara relevanta för ett användarföretags interna kontroll med avseende på finansiell rapportering. Sådana kontroller kan avse påståenden om klassificering och upplysningar avseende konton, transaktionsslag eller upplysningar, eller kan avse bevis som användarföretagets revisor utvärderar eller använder när han eller hon utför granskningsåtgärder. Exempel: kontrollerna hos en servicebyrå som bearbetar löner avseende vidarebefordran utan dröjsmål av löneavdrag till myndigheter kan vara relevanta för ett användarföretag eftersom sen vidarebefordran kan ge upphov till ränta och avgifter som skulle leda till en skuld för användarföretaget. På motsvarande sätt kan en servicebyrås kontroller över godtagbarheten i investeringstransaktioner enligt lag betraktas som relevanta för ett användarföretags klassificering och upplysningar om transaktioner och konton i dess finansiella rapporter. Att avgöra om kontroller på en servicebyrå avseende verksamhet och efterlevnad sannolikt är relevanta för användarföretags interna kontroll med avseende på finansiell rapportering är en fråga om professionell bedömning, med hänsyn till servicebyråns angivna kontrollmål och kriteriernas lämplighet.

A 2.Servicebyrån kanske inte kan påstå att systemet är lämpligt utformat om servicebyrån t.ex. använder ett system som har utformats av ett användarföretag eller är stipulerat i ett kontrakt mellan ett användarföretag och servicebyrån. På grund av den ofrånkomliga kopplingen mellan lämplig utformning på kontroller och effektiviteten i kontrollers funktion, kommer avsaknaden av ett uttalande avseende lämpligheten i utformning sannolikt att förhindra servicebyråns revisor från att dra slutsatsen att kontrollerna ger rimlig säkerhet att kontrollmålen har uppnåtts och därmed från att lämna ett uttalande om effektiviteten i kontrollers funktion. Alternativt kan revisorn välja att acceptera ett uppdrag enligt särskild överenskommelse för att granska kontrollerna, eller ett bestyrkandeutdrag enligt ISAE 3000 för att dra slutsatsen om huruvida, baserat på granskningen av kontroller, kontrollerna har fungerat som beskrivet.

Definitioner (se punkterna 9 d och 9 g)

A 3.Definitionen av ”kontroller på servicebyrån” innefattar aspekter av användarföretags informationssystem som upprätthålls av servicebyrån, och kan också innefatta aspekter av en eller flera av de andra komponenterna i intern kontroll på servicebyrån. Exempel: den kan innefatta aspekter av en servicebyrås kontrollmiljö, övervakning och kontrollaktiviteter när de avser de levererade tjänsterna. Men den innefattar inte kontroller på en servicebyrå som inte handlar om att uppnå de kontrollmål servicebyrån har angett i systembeskrivningen, t.ex. kontroller avseende upprättandet av servicebyråns egna finansiella rapporter.

A 4.När den s.k. ”inclusive”-metoden används gäller kraven i denna ISAE även de tjänster som levereras av underservicebyrån, inklusive att inhämta samtycke avseende förhållandena i punkt 13 b i–v enligt vad som gäller underservicebyrån snarare än servicebyrån. Utförandet av åtgärder på underservicebyrån medför samordning och kommunikation mellan servicebyrån, underservicebyrån och servicebyråns revisor. Den s.k. ”inclusive”-metoden är endast genomförbar om servicebyrån och underservicebyrån är närstående företag, eller om kontraktet mellan servicebyrån och underservicebyrån medger att den ska användas.

Yrkesetiska krav (se punkt 11)

A 5.Servicebyråns revisor omfattas av relevanta oberoendekrav, som vanligen utgörs av Internationella standarder för oberoende i Etikkoden tillsammans med nationella krav som är mer restriktiva. När ett uppdrag utförs enligt denna ISAE kräver inte Etikkoden att servicebyråns revisor är oberoende i förhållande till varje användarföretag.

Företagsledning och de som har ansvar för företagets styrning (se punkt 12)

A 6.Lednings- och styrstrukturer varierar mellan jurisdiktioner och företag, och avspeglar faktorer som olika kulturella och juridiska bakgrunder samt storleks- och ägarstruktur. Sådan variation innebär att det i denna ISAE inte går att ange för alla uppdrag vilka frågor som servicebyråns revisor tar upp med vilken eller vilka personer. Exempel: servicebyrån kan vara ett segment i en extern organisation och inte en separat juridisk person. I sådana fall kan det krävas professionell bedömning för att identifiera lämplig ledningspersonal eller styrelsemedlemmar att begära skriftliga uttalanden av.

Acceptera och behålla kunder

Förmåga och kompetens att utföra uppdraget (se punkt 13 a i)

A 7.Relevant förmåga och kompetens att utföra uppdraget innefattar frågor som t.ex.:

  • Kunskap om den relevanta branschen.

  • En förståelse av IT och system.

  • Erfarenhet av att bedöma risker avseende den lämpliga utformningen av kontroller.

  • Erfarenhet av utformning och utförande av granskning av kontroller samt utvärdering av resultaten.

Servicebyråns uttalande (se punkt 13 b i)

A 8.Om en servicebyrå vägrar att tillhandahålla ett skriftligt uttalande efter att servicebyråns revisor har samtyckt till att acceptera eller behålla en kund, utgör detta en begränsning av omfattning och inriktning som innebär att servicebyråns revisor avgår från uppdraget. Om lag eller annan författning inte tillåter att servicebyråns revisor avgår från uppdraget avstår servicebyråns revisor från att uttala sig.

Rimlig grund för servicebyråns uttalande (se punkt 13 b ii)

A 9.I fråga om en typ 2-rapport innehåller servicebyråns uttalande ett uttalande om att de kontroller som avser kontrollmålen i servicebyråns systembeskrivning fungerade effektivt under hela den angivna perioden. Detta uttalande kan baseras på servicebyråns övervakningsaktiviteter. Övervakning av kontroller är en process för att bedöma hur effektiva kontrollerna är över tiden. Det inbegriper att i god tid bedöma kontrollernas effektivitet, identifiera och rapportera brister till lämpliga personer på servicebyrån, och vidta nödvändiga korrigerande åtgärder. Servicebyrån övervakar kontroller genom löpande aktiviteter, separata bedömningar eller en kombination av dessa två. Ju högre grad av och mer effektivitet i löpande övervakningsaktiviteter, desto lägre behov av separata utvärderingar. Löpande övervakningsaktiviteter är ofta inbyggda i en servicebyrås ordinarie återkommande aktiviteter och inbegriper regelmässiga lednings- och tillsynsaktiviteter. Internrevisorer eller personal med liknande funktioner kan hjälpa till med övervakningen av en servicebyrås verksamhet. Övervakningsarbete kan även innefatta att använda information från externa parter, t.ex. klagomål från kunder och synpunkter från tillsynsmyndigheter som kan tyda på att det finns problem eller belysa områden som behöver förbättras. Att servicebyråns revisor ska uttala sig om effektiviteten i kontrollers funktion ersätter inte servicebyråns egna processer för att få en rimlig grund för sitt uttalande.

Identifiera risker (se punkt 13 b iv)

A 10.Enligt vad som är angivet i 9 c hänger kontrollmål samman med de risker som kontrollerna är avsedda att minska. Exempel: risken att transaktionen bokförs till fel belopp eller i fel period kan uttryckas som ett kontrollmål att transaktioner ska bokföras till rätt belopp och i rätt period. Servicebyrån har ansvaret för att identifiera riskerna för att de angivna kontrollmålen i servicebyråns systembeskrivning inte uppnås. Servicebyrån kan ha en formell eller informell process för att identifiera relevanta risker. En formell process kan innefatta att uppskatta betydelsen av identifierade risker, bedöma sannolikheten för att de ska förekomma och att besluta om åtgärder för att hantera dem. Men eftersom kontrollmål rör risker som kontroller ska minska kan noggrann identifiering av kontrollmål vid utformning och implementering av servicebyråns system i sig utgöra en informell process för att identifiera relevanta risker.

Godkännande av en ändring i villkoren för uppdraget (se punkt 14)

A 11.En begäran att ändra uppdragets inriktning och omfattning kanske inte kan motiveras på ett rimligt sätt när begäran t.ex. gäller att undanta vissa kontrollmål från uppdragets inriktning och omfattning på grund av sannolikheten att servicebyråns uttalande skulle kunna modifieras, eller att servicebyrån inte kommer att förse servicebyråns revisor med ett skriftligt uttalande och begäran görs att utföra uppdraget enligt ISAE 3000.

A 12.En begäran om att ändra uppdragets inriktning och omfattning kan motiveras på ett rimligt sätt när begäran t.ex. gäller att undanta en underservicebyrå från uppdraget när servicebyrån inte kan ordna så att servicebyråns revisor får åtkomst och den metod som används för att hantera tjänsterna som levereras av underservicebyrån ändras från den s.k. ”inclusive”-metoden till den s.k. ”carve-out”-metoden.

Bedöma om kriterierna är lämpliga (se punkterna 15–18)

A 13.Det måste finnas kriterier tillgängliga för de avsedda användarna för att ge dem möjlighet att förstå grunden för servicebyråns uttalande om en rättvisande bild av systembeskrivningen, lämpligheten hos kontrollers utformning och, i fråga om en typ 2-rapport, effektiviteten i kontrollers funktion i förhållande till kontrollmålen.

A 14.ISAE 3000 (omarbetad) kräver att servicebyråns revisor bland annat avgör om de kriterier som ska användas är lämpliga samt avgör det underliggande granskningsobjektets lämplighet.11 Det underliggande granskningsobjektet är det underliggande förhållandet av intresse för en bestyrkanderapports avsedda användare. I följande tabell identifieras granskningsobjektet och minimikriterier för vart och ett av uttalandena i typ 2- och typ 1-rapporter.

Granskningsobjekt

Kriterier

Kommentar

Uttalande om den rättvisande bilden av servicebyråns systembeskrivning (typ 1- och typ 2-rapporter)

Servicebyråns system som sannolikt är relevant för användarföretags interna kontroll med avseende på finansiell rapportering och omfattas av servicebyråns revisors bestyrkanderapport.

Beskrivningen ger en rättvisande bild om den
a) beskriver hur servicebyråns system var utformat och infört, inklusive, i tillämpliga fall, de förhållanden som identifieras i punkt 16 a i–viii,
b) i fråga om en typ 2-rapport, innefattar relevanta uppgifter om ändringar i servicebyråns system under den period som beskrivningen omfattar,
c) inte utelämnar eller förvränger information som är relevant för omfattningen av servicebyråns beskrivna system, men bekräftar att beskrivningen är upprättad för att tillgodose gemensamma behov hos många olika slags användarföretags revisorer, och kanske därför inte innefattar alla aspekter av system som varje enskilt användarföretag och dess revisor kan anse vara viktiga i deras särskilda miljö.

Den särskilda formuleringen av kriterierna för detta uttalande kan behöva anpassas för att vara förenlig med de kriterier som är fastställda i t.ex. lagar och andra författningar, av användargrupper eller av ett yrkesorgan. Exempel på kriterier för detta uttalande finns i exemplet på servicebyråns uttalande i bilaga 1. Punkterna A 21–A 24 innehåller ytterligare vägledning för att avgöra om dessa kriterier är uppfyllda. (När det gäller kraven i ISAE 3000 är informationen om granskningsobjektet12 för detta uttalande servicebyråns systembeskrivning och servicebyråns uttalande att beskrivningen ger en rättvisande bild.)







Granskningsobjekt

Kriterier

Kommentar

Uttalande om lämplighet i utformning och effektiv funktion (typ 2-rapporter)

Lämpligheten i utformning av och effektiv funktion hos kontroller som är nödvändiga för att uppnå kontrollmålen i servicebyråns systembeskrivning.

Kontrollerna är lämpligt utformade och fungerar om
a) servicebyrån har identifierat riskerna för att de angivna kontrollmålen i servicebyråns systembeskrivning inte uppnås,
b) de kontroller som är identifierade i beskrivningen skulle, om de fungerade enligt beskrivning, ge rimlig säkerhet att dessa risker inte förhindrar de angivna kontrollmålen från att uppnås,
c) kontrollerna användes konsekvent utifrån deras utformning under den angivna perioden. Detta innefattar huruvida manuella kontroller användes av enskilda personer med lämplig kompetens och befogenhet.

När kriterierna för uttalandet är uppfyllda, ska kontrollerna ha gett rimlig säkerhet att de tillhörande kontrollmålen uppnåddes under hela den angivna perioden. (När det gäller kraven i ISAE 3000 är granskningsobjektet för detta uttalande servicebyråns uttalande att kontrollerna är lämpligt utformade och fungerar effektivt.)

Kontrollmålen, som är angivna i servicebyråns systembeskrivning, är del av kriterierna för dessa uttalanden. De angivna kontrollmålen skiljer sig från uppdrag till uppdrag. Om servicebyråns revisor, som del av att bilda sig en uppfattning om beskrivningen, drar slutsatsen att de angivna kontrollmålen inte ger en rättvisande bild, skulle dessa kontrollmål inte vara lämpliga som del av kriterierna för att bilda sig en uppfattning om vare sig kontrollernas utformning eller effektiv funktion.










Granskningsobjekt

Kriterier

Kommentar

Uttalande om lämplighet i utformning (typ 1-rapporter)

Lämpligheten i utformning av de kontroller som är nödvändiga för att uppnå de angivna kontrollmålen i servicebyråns systembeskrivning.

Kontrollerna är lämpligt utformade om
a) servicebyrån har identifierat riskerna för att de angivna kontrollmålen i servicebyråns systembeskrivning inte uppnås,
b) de kontroller som är identifierade i beskrivningen skulle, om de fungerade enligt beskrivning, ge rimlig säkerhet om att dessa risker inte förhindrar de angivna kontrollmålen från att uppnås.

Att uppfylla kriterierna ger inte, i sig, någon säkerhet att de tillhörande kontrollmålen uppnåddes eftersom ingen säkerhet har uppnåtts om kontrollernas funktion. (När det gäller kraven i ISAE 3000 är granskningsobjektet för detta uttalande servicebyråns uttalande att kontrollerna är lämpligt utformade.)
















ISAE 3000 (omarbetad) punkterna 24 b och 41.

”Information om granskningsobjektet” är resultatet av mätning eller värdering av det underliggande granskningsobjektet mot kriterierna, dvs. den information som är följden av att kriterierna tillämpas på det underliggande granskningsobjektet.

A 15.Punkt 16 a identifierar ett antal delar som ingår i servicebyråns systembeskrivning efter vad som är tillämpligt. Dessa delar kanske inte är tillämpliga om det beskrivna systemet inte bearbetar transaktioner, t.ex. om systemet avser allmänna kontroller över värdtjänster för ett IT-program men inte kontrollerna som finns inbäddade i själva programmet.

Väsentlighet (se punkterna 19 och 54)

A 16.I ett uppdrag att uttala sig om kontroller på en servicebyrå avser väsentlighetsprincipen det system rapporten gäller, inte användarföretags finansiella rapporter. Servicebyråns revisor planerar och utför åtgärder för att avgöra om servicebyråns systembeskrivning ger en rättvisande bild i alla väsentliga avseenden, om kontroller på servicebyrån är lämpligt utformade i alla väsentliga avseenden och, i fråga om en typ 2-rapport, om kontroller på servicebyrån fungerar effektivt i alla väsentliga avseenden. Väsentlighetsprincipen beaktar att servicebyråns revisors bestyrkanderapport ger information om servicebyråns system för att tillgodose de gemensamma informationsbehoven hos många olika slags användarföretag och deras revisorer som har en förståelse av hur det systemet har använts.

A 17.Väsentlighet med avseende på den rättvisande bilden av servicebyråns systembeskrivning, och med avseende på utformningen av kontroller, innefattar främst övervägande av kvalitativa faktorer, t.ex.: om beskrivningen innefattar de betydelsefulla aspekterna av att bearbeta betydande transaktioner, om beskrivningen utelämnar eller förvränger relevant information, och förmågan hos kontroller, enligt utformning, att ge rimlig säkerhet att kontrollmålen skulle uppnås. Väsentlighet med avseende på servicebyråns revisors uttalande om effektiviteten i kontrollers funktion innefattar övervägande av både kvantitativa och kvalitativa faktorer, t.ex. acceptabel avvikelsefrekvens och observerad avvikelsefrekvens (en kvantitativ fråga), och karaktären på och orsaken till eventuell observerad avvikelse (en kvalitativ fråga).

A 18.Väsentlighetsprincipen används inte vid upplysning om resultaten av granskningarna där avvikelser har identifierats, i beskrivningen av granskningen av kontroller. Detta beror på att en avvikelse, i de särskilda omständigheterna för ett visst användarföretag eller ett visst användarföretags revisor, kan ha betydelse utöver huruvida den, enligt servicebyråns revisors åsikt, förhindrar att en kontroll fungerar effektivt. Exempel: den kontroll som avvikelsen gäller kan vara särskilt betydelsefull för att förhindra en viss typ av misstag som kan vara väsentligt i de särskilda omständigheterna för ett användarföretags finansiella rapporter.

Inhämta en förståelse av servicebyråns system (se punkt 20)

A 19.Inhämta en förståelse av servicebyråns system, inklusive kontroller, som innefattas i uppdragets inriktning och omfattning, hjälper servicebyråns revisor att:

  • Identifiera gränserna i systemet och dess gränssnitt mot andra system.

  • Bedöma om servicebyråns beskrivning ger en rättvisande bild av det system som har utformats och införts.

  • Inhämta en förståelse av intern kontroll över upprättandet av servicebyråns uttalande.

  • Avgöra vilka kontroller som behövs för att uppnå de angivna kontrollmålen i servicebyråns systembeskrivning.

  • Bedöma om huruvida kontrollerna var lämpligt utformade.

  • Bedöma, i fråga om en typ 2-rapport, om kontroller fungerade effektivt.

A 20.Servicebyråns revisors åtgärder för att skaffa sig denna förståelse kan innefatta att:

  • Fråga personer på servicebyrån som enligt servicebyråns revisors bedömning kan ha relevant information.

  • Observera verksamheter och inspektera dokument, rapporter, tryckta och elektroniska underlag för transaktionsbearbetning.

  • Inspektera ett urval av avtal mellan servicebyrån och användarföretag för att identifiera de gemensamma villkoren.

  • Upprepa kontrollåtgärder.

Inhämta bevis avseende beskrivningen (se punkterna 21–22)

A 21.Att överväga följande frågor kan hjälpa servicebyråns revisor att avgöra om de aspekter av beskrivningen som innefattas i uppdragets inriktning och omfattning ger en i alla väsentliga avseenden rättvisande bild:

  • Tar beskrivningen upp de viktigaste aspekterna av den tillhandahållna tjänsten (inom uppdragets inriktning och omfattning) som rimligen skulle kunna väntas vara relevanta för de gemensamma behoven hos många olika slags användarföretags revisorer i deras planering av revisioner av användarföretags finansiella rapporter?

  • Har beskrivningen upprättats på en detaljnivå som rimligen skulle kunna förväntas ge många olika slags användarföretags revisorer tillräckligt med information för att skaffa en förståelse av intern kontroll enligt ISA 315 (omarbetad)?13 Beskrivningen behöver inte ta upp alla aspekter av servicebyråns bearbetning eller de tjänster som tillhandahålls till användarföretag, och behöver inte vara så detaljerade att det potentiellt kan innebära att en läsare äventyrar säkerheten eller andra kontroller på servicebyrån.

  • Har beskrivningen upprättats på ett sätt som inte utelämnar eller förvränger information som kan påverka de gemensamma behoven hos många olika slags användarföretags revisorers beslut, t.ex. om beskrivningen innehåller eventuella betydelsefulla utelämnanden eller felaktigheter i bearbetningen som servicebyråns revisor känner till?

  • I de fall några av de angivna kontrollmålen i servicebyråns beskrivning har undantagits från uppdragets inriktning och omfattning, identifierar beskrivningen tydligt de undantagna målen?

  • Har de kontroller som identifierats i beskrivningen införts?

  • Är kompletterande kontroller för användarföretaget, om sådana finns, adekvat beskrivna? I de flesta fall är beskrivningen av kontrollmålen formulerad på ett sätt så att kontrollmålen kan uppnås om de kontroller som servicebyrån har infört fungerar. Men i vissa fall kan inte de angivna kontrollmålen i servicebyråns systembeskrivning uppnås av enbart servicebyrån eftersom uppnåendet av målen kräver att vissa kontroller införs av användarföretag. Detta kan vara fallet när kontrollmålen t.ex. är angivna av en tillsynsmyndighet. När beskrivningen innefattar kompletterande kontroller på användarföretag identifieras dessa kontroller separat i beskrivningen tillsammans med de särskilda kontrollmålen som inte kan uppnås av enbart servicebyrån?

  • Om den s.k. ”inclusive”-metoden har använts, identifierar beskrivningen separat kontroller på servicebyrån och kontroller på underservicebyrån? Om den s.k. ”carve-out”-metoden används, identifierar beskrivningen de funktioner som utförs av underservicebyrån? När den s.k. ”carve-out”-metoden används behöver inte beskrivningen beskriva den detaljerade bearbetningen eller kontroller på underservicebyrån?

ISA 315 (omarbetad) Identifiera och bedöma riskerna för väsentliga felaktigheter genom att förstå företaget och dess miljö.

A 22.Servicebyråns revisors åtgärder för att utvärdera hur rättvisande bild beskrivningen ger kan innefatta att:

  • Överväga karaktären på användarföretag och hur tjänsterna som tillhandahålls av servicebyrån sannolikt kommer att påverka dem, t.ex. om användarföretag är från en viss bransch och om de regleras av myndigheter.

  • Läsa standardavtal, eller standardvillkor i avtal, (i tillämpliga fall) med användarföretag för att skaffa sig en förståelse av servicebyråns avtalsförpliktelser.

  • Observera åtgärder som utförs av servicebyråns personal.

  • Gå igenom servicebyråns handböcker med riktlinjer och rutiner samt annan systemdokumentation, t.ex. flödesdiagram och beskrivningar.

A 23.Punkt 21 a kräver att servicebyråns revisor utvärderar om de angivna kontrollmålen i servicebyråns systembeskrivning är rimliga med hänsyn till omständigheterna. Att överväga följande frågor kan vara till hjälp när servicebyråns revisor gör sin utvärdering:

  • Har de angivna kontrollmålen utformats av servicebyrån eller av utomstående parter, t.ex. en tillsynsmyndighet, en användargrupp eller ett yrkesorgan som tillämpar en transparent förankringsprocess?

  • I de fall de angivna kontrollmålen har preciserats av servicebyrån, avser de i så fall de typer av påståenden som vanligen är förknippade med olika användarföretags finansiella rapporter som servicebyråns kontroller rimligen kan väntas avse? Även om servicebyråns revisor vanligen inte kommer att kunna avgöra hur kontroller på en servicebyrå särskilt avser de påståenden som är förknippade med enskilda användarföretags finansiella rapporter, används servicebyråns förståelse av karaktären på servicebyråns system, inklusive kontroller, och tjänster som tillhandahålls för att identifiera de typer av påståenden som dessa kontroller sannolikt avser.

  • I de fall de angivna kontrollmålen har preciserats av servicebyrån, är de fullständiga? En fullständig uppsättning kontrollmål kan ge många olika användarföretags revisorer ett ramverk för att bedöma effekten av servicebyråns kontroller på de påståenden som vanligen förknippas med användarföretags finansiella rapporter.

A 24.Servicebyråns revisors åtgärder för att avgöra om servicebyråns system har införts kan likna, och utföras tillsammans med, åtgärder för att skaffa en förståelse av systemet. De kan också innefatta att spåra poster/transaktioner, spåra poster i servicebyråns system och, i fråga om en typ 2-rapport, särskilda frågor om ändringar i kontroller som infördes under perioden. Ändringar som är betydelsefulla för användarföretag eller deras revisorer ingår i servicebyråns systembeskrivning.

Inhämta bevis avseende kontrollers utformning (se punkterna 23 och 28 b)

A 25.Ur ett användarföretags eller ett användarföretags revisors synvinkel är en kontroll lämpligt utformad om den, enskilt eller i kombination med andra kontroller, när den följs tillfredsställande, skulle ge rimlig säkerhet att väsentliga felaktigheter förhindras, eller upptäcks och rättas. Men en servicebyrå eller en servicebyrås revisor känner inte till omständigheterna hos enskilda användarföretag som skulle avgöra huruvida en felaktighet, som är följden av kontrollavvikelse, är väsentlig för dessa användarföretag. Därför, ur en servicebyrås revisors synvinkel, är en kontroll lämpligt utformad om den, enskilt eller i kombination med andra kontroller, när den följs tillfredsställande, skulle ge rimlig säkerhet att de angivna kontrollmålen i servicebyråns systembeskrivning har uppnåtts.

A 26.En servicebyrås revisor kan överväga att använda flödesdiagram, frågeformulär eller beslutstabeller för att underlätta förståelsen av kontrollernas utformning.

A 27.Kontroller kan bestå av ett antal aktiviteter med syfte att uppnå ett kontrollmål. Följden är att om servicebyråns revisor bedömer vissa aktiviteter som ineffektiva i att uppnå ett visst kontrollmål kan förekomsten av andra aktiviteter ge servicebyråns revisor möjlighet att dra slutsatsen att kontroller som avser kontrollmålet är lämpligt utformade.

Inhämta bevis avseende effektiviteten i kontrollers funktion

Bedöma effektiv funktion (se punkt 24)

A 28.Ur ett användarföretags eller ett användarföretags revisors synvinkel fungerar en kontroll effektivt om den, enskilt eller i kombination med andra kontroller, ger rimlig säkerhet att väsentliga felaktigheter, vare sig de beror på oegentligheter eller misstag, förebyggs eller upptäcks och rättas. Men en servicebyrå eller en servicebyrås revisor känner inte till omständigheterna på enskilda användarföretag som skulle avgöra om huruvida en felaktighet som är följden av en kontrollavvikelse är väsentlig. Därför, ur en servicebyrås revisors synvinkel, fungerar en kontroll effektivt om den, enskilt eller i kombination med andra kontroller, ger rimlig säkerhet att de angivna kontrollmålen i servicebyråns systembeskrivning har uppnåtts. På liknande sätt kan en servicebyrå eller en servicebyrås revisor inte avgöra om en observerad kontrollavvikelse skulle leda till en väsentlig felaktighet ur ett enskilt användarföretags synvinkel.

A 29.Att skaffa sig en tillräcklig förståelse av kontroller för att bilda sig en uppfattning om lämpligheten i deras utformning ger inte tillräckliga bevis för effektiviteten i deras funktion, såvida det inte finns automatisering som ger en jämn drift av kontrollerna enligt hur de utformades och infördes. Exempel: att skaffa sig information om införandet av en manuell kontroll vid en viss tidpunkt ger inte bevis om kontrollens funktion vid andra tidpunkter. Men på grund av att IT-bearbetningen till sin karaktär är konsekvent kan åtgärder för att fastställa utformningen av en automatiserad kontroll och om den har införts fungera som bevis på effektiviteten i den kontrollens funktion, beroende på servicebyråns revisors bedömning och granskning av andra kontroller, t.ex. över programändringar.

A 30.För att vara till nytta för användarföretags revisorer täcker en typ 2-rapport vanligen en period om minst sex månader. Om perioden är kortare än sex månader kan servicebyråns revisor anse det vara lämpligt att beskriva orsakerna till den kortare perioden i sin bestyrkanderapport. Omständigheter som kan leda till en rapport för en kortare period än sex månader innefattar när

  1. servicebyråns revisor anlitas nära det datum som rapporten om kontroller ska lämnas,

  2. servicebyrån (eller ett visst system eller program) har använts kortare tid än sex månader,

  3. betydande ändringar har gjorts i kontroller och det inte är praktiskt möjligt vare sig att vänta sex månader innan rapporten lämnas eller lämna en rapport som täcker systemet både före och efter ändringarna.

A 31.Vissa kontrollåtgärder kanske inte lämnar bevis om sin funktion som kan granskas vid ett senare datum, och därför kan servicebyråns revisor finna det nödvändigt att granska effektiviteten i funktionen hos sådana kontrollåtgärder vid olika tidpunkter under rapportperioden.

A 32.Servicebyråns revisor lämnar ett uttalande om effektiviteten i kontrollernas funktion under varje period, därför krävs tillräckliga och ändamålsenliga bevis om kontrollernas funktion under den aktuella perioden för att servicebyråns revisor ska kunna lämna detta uttalande. Men kännedom om observerade avvikelser vid tidigare uppdrag kan innebära att servicebyråns revisor ökar granskningens omfattning under den aktuella perioden.

Granskning av indirekta kontroller (se punkt 25 b)

A 33.Under vissa omständigheter kan det vara nödvändigt att inhämta bevis som styrker den effektiva funktionen hos indirekta kontroller. Exempel: när servicebyråns revisor beslutar att granska om en genomgång av avvikelserapporter som beskriver försäljning utanför godkända kreditgränser har varit effektiv, är genomgång och tillhörande uppföljning den kontroll som har direkt relevans för servicebyråns revisor. Kontroller som verifierar om informationen i rapporterna (t.ex. de allmänna IT-kontrollerna) är korrekt beskrivs som ”indirekta” kontroller.

A 34.IT-bearbetning är till sin karaktär konsekvent, vilket betyder att bevis som rör hur en automatiserad programkontroll har införts, bedömda tillsammans med bevis om hur servicebyråns allmänna kontroller fungerar (i synnerhet kontroller över ändringar), också kan utgöra faktiska bevis avseende effektiviteten i dess funktion.

Metoder för att välja poster att granska (se punkt 25 c och 27)

A 35.De metoder som servicebyråns revisor kan använda när han eller hon väljer poster att granska är:

  1. Val av alla poster (fullständig granskning)

    Detta kan vara lämpligt vid granskning av kontroller som tillämpas sällan, t.ex. kvartalsvis, eller när bevis avseende användning av kontrollen innebär att en fullständig granskning är effektiv.

  2. Val av särskilda poster

    Detta kan vara lämpligt när en fullständig granskning inte skulle vara effektiv och urval inte skulle vara ändamålsenligt. En sådan granskning av kontroller som inte utförs tillräckligt ofta för att ge en stor population för urval, t.ex. kontroller som utförs månadsvis eller veckovis.

  3. Urval

    Detta kan vara lämpligt vid granskning av kontroller som används ofta på ett enhetligt sätt och som lämnar dokumenterade bevis för att de använts.

A 36.Även om granskning av särskilda poster ofta är ett effektivt sätt att inhämta bevis på utgör det inte urval. Resultaten av åtgärder som tillämpas på poster som väljs ut på detta sätt kan inte användas för skattning av hela populationen, och därför ger inte selektiv undersökning av särskilda poster bevis rörande återstoden av populationen. Urval utformas å andra sidan för att göra det möjligt att dra slutsatser om hela populationen på grundval av en granskning av ett urval från den.

En internrevisionsavdelnings arbete

Inhämta en förståelse av internrevisionsavdelningen (se punkt 30)

A 37.En internrevisionsavdelning kan ha ansvaret för att leverera analyser, utvärderingar, bestyrkanden, rekommendationer och annan information till företagsledningen och dem som har ansvar för företagets styrning. En internrevisionsavdelning på en servicebyrå kan utföra aktiviteter avseende servicebyråns egna system för intern kontroll, eller aktiviteter avseende tjänster och system, inklusive kontroller, som servicebyrån levererar till användarföretag.

Avgöra om och i vilken utsträckning internrevisionens arbete ska användas (se punkt 33)

A 38.När servicebyråns revisor avgör hur internrevisionens arbete ska påverka karaktären på, tidpunkten för och omfattningen av servicebyråns revisors åtgärder, kan följande faktorer visa på behovet av andra eller mindre omfattande åtgärder än vad som annars skulle vara fallet:

  • Karaktären på och omfattningen av det arbete som har utförts eller som ska utföras av internrevisionen är tämligen begränsat.

  • Internrevisionens arbete avser kontroller som är mindre betydelsefulla för servicebyråns revisors slutsatser.

  • Det utförda arbetet eller det arbete som ska utföras av internrevisionen kräver inte subjektiva eller komplicerade bedömningar.

Använda internrevisionsavdelningens arbete (se punkt 34)

A 39.Karaktären på, tidpunkten för och omfattningen av servicebyråns revisors åtgärder avseende särskilt arbete som internrevisionen har utfört beror på servicebyråns revisors bedömning av betydelsen av det arbetet för hans eller hennes slutsatser (t.ex. betydelsen av de risker som de granskade kontrollerna ska minska), utvärderingen av internrevisionen och utvärderingen av internrevisionens arbete. Sådana åtgärder kan vara:

  • Granskning av poster som internrevisionen redan har granskat.

  • Granskning av andra liknande poster.

  • Observation av åtgärder som internrevisionen utför.

Påverkan på servicebyråns revisors bestyrkanderapport (se punkterna 36–37)

A 40.Oavsett hur självständig och objektiv internrevisionen är, så är den inte oberoende i förhållande till servicebyrån på samma sätt som krävs av servicebyråns revisor när han eller hon utför uppdraget. Servicebyråns revisor har ensam ansvaret för det uttalande som uttrycks i servicebyråns revisors bestyrkanderapport, och detta ansvar blir inte mindre om han eller hon använder sig av internrevisionens arbete.

A 41.Servicebyråns revisors beskrivning av arbete som internrevisionen utfört kan presenteras på olika sätt, t.ex.:

  • Genom att inkludera en introducerande text i beskrivningen av granskning av kontroller som visar att visst arbete av internrevisionen användes vid granskningen av kontroller.

  • Genom att tillskriva internrevisionen enskilda granskningar.

Skriftliga uttalanden (se punkterna 38 och 40)

A 42.De skriftliga uttalanden som krävs enligt punkt 38 är skilda från, och tillkommer till, servicebyråns uttalande, enligt definition i punkt 9 o.

A 43.Om servicebyrån inte lämnar de skriftliga uttalanden som begärs enligt punkt 38 c i denna ISAE, kan det vara ändamålsenligt att servicebyråns revisor modifierar sitt uttalande enligt punkt 55 d i denna ISAE.

Annan information (se punkt 42)

A 44.Etikkoden kräver att servicebyråns revisor inte har någon anknytning till information där servicebyråns revisor tror att informationen:

  1. innehåller ett i stora delar falskt eller vilseledande uttalande,

  2. innehåller uttalanden eller information som tillhandahållits vårdslöst,

  3. utelämnar eller döljer nödvändig information, i de fall där det skulle vara vilseledande att utelämna eller dölja den.14

Om ett dokument med servicebyråns systembeskrivning och servicebyråns revisors bestyrkanderapport även innehåller framåtriktad information som t.ex. återställnings- eller beredskapsplaner, eller planer för ändringar i systemet som hanterar identifierade avvikelser i servicebyråns revisors bestyrkanderapport, eller påstående av säljfrämjande karaktär som inte rimligen kan styrkas, måste servicebyråns revisor begära att informationen tas bort eller formuleras om.

Etikkoden, punkt R111.2.

A 45.Om servicebyrån vägrar att ta bort eller formulera om den andra informationen kan ytterligare lämpliga åtgärder vara t.ex. att:

  • begära att servicebyrån rådfrågar sin juridiska rådgivare om lämpliga åtgärder,

  • beskriva den väsentliga oförenligheten eller väsentliga felaktigheten i bestyrkanderapporten,

  • inte lämna bestyrkanderapporten förrän frågan är löst,

  • avgå från uppdraget.

Dokumentation (se punkt 51)

A 46.ISQM 1 (eller andra yrkesmässiga krav, eller krav i lagar eller andra författningar, som är minst lika höga som i ISQM 1) kräver att företag fastställer ett kvalitetsmål om att den slutliga uppdragsdokumentationen sammanställs i tid efter datumet för revisors rapport.15 En lämplig tidsgräns för färdigställandet av den slutliga uppdragsdokumentationen är normalt senast 60 dagar efter datumet för servicebyråns revisors rapport.16

ISQM 1, punkt 31 f.

ISQM 1, punkt A 83.

Upprätta servicebyråns revisors bestyrkanderapport

Innehåll i servicebyråns revisors bestyrkanderapport (se punkt 53)

A 47.Exempel på servicebyråns revisors bestyrkanderapporter och hänförliga uttalanden från servicebyråer finns i bilagorna 1 och 2.

Avsedda användare och syfte med servicebyråns revisors bestyrkanderapport (se punkt 53 e)

A 48.De kriterier som används vid uppdrag att uttala sig om kontroller på en servicebyrå är bara relevanta för att tillhandahålla information om servicebyråns system, inklusive kontroller, till dem som har en förståelse av hur systemet har använts i användarföretags finansiella rapportering. Därmed anges detta i servicebyråns revisors bestyrkanderapport. Dessutom kan servicebyråns revisor anse det vara lämpligt att ta med en formulering som särskilt begränsar spridning av bestyrkanderapporten till andra än de avsedda användarna, dess användning av andra eller dess användning för andra syften.

Beskrivning av granskning av kontroller (se punkt 54)

A 49.Vid beskrivning av karaktären på granskningen av kontrollerna i en typ 2-rapport hjälper det läsarna av servicebyråns revisors bestyrkanderapport om revisorn tar med:

  • Resultaten av alla granskningar där avvikelser har identifierats, även om andra kontroller har identifierats som innebär att servicebyråns revisor kan dra slutsatsen att det relevanta kontrollmålet har uppnåtts eller att den granskade kontrollen därefter har tagits bort från servicebyråns systembeskrivning.

  • Information om orsaksfaktorer för identifierade avvikelser, i den utsträckning servicebyråns revisor har identifierat sådana faktorer.

Modifierade uttalanden (se punkt 55)

A 50.Exempel på modifierade delar i servicebyrås revisors bestyrkanderapporter finns i bilaga 3.

A 51.Även om servicebyråns revisor har uttalat en avvikande mening eller avstått från att uttala sig, kan det vara lämpligt att i stycket som anger grunden för modifieringen beskriva skälen till eventuella andra förhållanden som servicebyråns revisor känner till och som skulle ha krävt ett modifierat uttalande, samt effekterna av dessa.

A 52.Vid ett avstående från att uttala sig på grund av begränsning av inriktning och omfattning är det vanligen inte lämpligt att identifiera åtgärderna som utfördes och inte heller att ta med rapporter som beskriver egenskaperna hos servicebyråns revisors uppdrag. Detta kan överskugga avståendet från att uttala sig.

Ansvar för annan kommunikation (se punkt 56)

A 53.Lämpliga åtgärder för att hantera de omständigheter som identifieras i punkt 56, såvida detta inte är förbjudet enligt lag eller annan författning, kan innefatta att

  • rådfråga en jurist om följderna av olika åtgärder,

  • kommunicera med dem som har ansvar för servicebyråns styrning,

  • fastställa huruvida kommunikation ska ske till externa parter (t.ex. kan lag, annan författning eller relevanta yrkesetiska krav kräva att servicebyråns revisor rapporterar till vederbördig myndighet utanför företaget eller till den externa revisorn i servicebyrån,17 eller införa ansvarsområden enligt vilka sådan rapportering kan vara lämplig med hänsyn till omständigheterna),

  • modifiera servicebyråns revisors uttalande, eller lägga till ett stycke med upplysningar av särskild betydelse,

  • avgå från uppdraget.

Se t.ex. punkterna R360.31–360.35 A1 i Etikkoden.

Bilaga 1 Exempel på servicebyrås uttalanden (se punkt A 47)

Nedanstående exempel på servicebyrås uttalanden är endast till för vägledning och är inte avsedda att vara uttömmande eller gälla alla situationer.

Exempel 1 Exempel på servicebyrås uttalande – typ 2

Uttalande av servicebyrån

Den bifogade beskrivningen har upprättats för kunder som har använt [typ eller namn på] system och deras revisorer som har en tillräcklig förståelse för att bedöma beskrivningen, tillsammans med annan information inklusive information om kontroller som kunder själva utför, vid bedömning av riskerna för väsentliga felaktigheter i kunders finansiella rapporter. [Företags namn] bekräftar att:

  1. Den bifogade beskrivningen, på sidorna [bb–cc] ger en rättvisande bild av [typ eller namn på] systemet för bearbetning av kunders transaktioner under hela perioden [datum] till [datum]. Kriterierna som har använts för att lämna detta uttalande var att den bifogade beskrivningen:

    1. Beskriver systemet som det var utformat och infört, inklusive:

      • De typer av tjänster som tillhandahålls, inklusive, i tillämpliga fall, bearbetade transaktionsslag.

      • De processer, både vad beträffar informationstekniksystem (IT) och manuella system, genom vilka dessa transaktioner har initierats, bokförts, bearbetats, i förekommande fall rättats, och överförts till de rapporter som upprättas åt kunder.

      • Tillhörande räkenskapsmaterial, underlag och särskilda konton i de finansiella rapporterna, som har använts för att initiera, registrera, bearbeta och redovisa transaktioner. I detta ingår rättelse av felaktig information och hur information överförs till de rapporter som upprättas åt kunden.

      • Hur systemet hanterar andra betydelsefulla händelser och villkor än transaktioner.

      • Den process som används för att upprätta rapporter åt kunder.

      • Relevanta kontrollmål och kontroller utformade för att uppnå dessa mål.

      • Kontroller som vi förutsatte, i utformningen av systemet, skulle införas av användarföretag, och vilka, om detta krävs för att uppnå de angivna kontrollmålen i den bifogade beskrivningen, är identifierade i beskrivningen tillsammans med de särskilda kontrollmål som vi inte kan uppnå ensamma.

      • Andra aspekter av servicebyråns kontrollmiljö, riskbedömningsprocess, informationssystem (inklusive näraliggande affärsprocesser) och kommunikation, kontrollaktiviteter och övervakningskontroller som är relevanta för bearbetning och rapportering av kunders transaktioner.

    2. Innehåller relevanta uppgifter om ändringar i servicebyråns system under perioden [datum] till [datum].

    3. Utelämnar eller förvränger inte information som är relevant för det beskrivna systemets omfattning, utan bekräftar att beskrivningen är upprättad för att tillgodose gemensamma behov hos många olika slags kunder och deras revisorer, och kanske därför inte innefattar alla aspekter av system som varje enskild kund och dess revisor kan anse vara viktiga i deras särskilda miljö.

  2. De kontroller som avser de angivna kontrollmålen i den bifogade beskrivningen var lämpligt utformade och fungerade effektivt under perioden [datum] till [datum]. Kriterierna som har använts för att lämna detta uttalande var att:

    1. riskerna för att de angivna kontrollmålen i beskrivningen inte skulle kunna uppnås identifierades,

    2. de identifierade kontrollerna skulle, om de fungerade enligt beskrivning, ge rimlig säkerhet att dessa risker inte förhindrar de angivna kontrollmålen från att uppnås,

    3. kontrollerna användes konsekvent utifrån deras utformning, inklusive att manuella kontroller hade använts av personer med lämplig kompetens och befogenhet, under hela perioden [datum] till [datum].

Exempel 2 Exempel på servicebyrås uttalande – typ 1

Den bifogade beskrivningen har upprättats för kunder som har använt [typ eller namn på] system och deras revisorer som har en tillräcklig förståelse för att bedöma beskrivningen, tillsammans med annan information inklusive information om kontroller som kunder själva utför vid inhämtande av en förståelse av kunders informationssystem som är relevanta för finansiell rapportering. [Företags namn] bekräftar att:

  1. Den bifogade beskrivningen på sidorna [bb–cc] ger en rättvisande bild av [typ eller namn på] systemet för bearbetning av kunders transaktioner per [datum]. Kriterierna som har använts för att lämna detta uttalande var att den bifogade beskrivningen:

    1. Beskriver systemet som det var utformat och infört, inklusive:

      • De typer av tjänster som tillhandahålls, inklusive, i tillämpliga fall, bearbetade transaktionsslag.

      • De processer, både vad beträffar informationstekniksystem (IT) och manuella system, genom vilka dessa transaktioner har initierats, bokförts, bearbetats, i förekommande fall rättats, och överförts till de rapporter som upprättats åt kunder.

      • Tillhörande räkenskapsmaterial, underlag och särskilda konton i de finansiella rapporterna, som har använts för att initiera, registrera, bearbeta och redovisa transaktioner. I detta ingår rättelse av felaktig information och hur information överförs till de rapporter som upprättas åt kunden.

      • Hur systemet hanterar andra betydelsefulla händelser och villkor än transaktioner.

      • Den process som används för att upprätta rapporter åt kunder.

      • Relevanta kontrollmål och kontroller utformade för att uppnå dessa mål.

      • Kontroller som vi förutsatte, i utformningen av systemet, skulle införas av användarföretag, och vilka, om det krävs för att uppnå de angivna kontrollmålen i den bifogade beskrivningen, är identifierade i beskrivningen tillsammans med de särskilda kontrollmål som vi inte kan uppnå ensamma.

      • Andra aspekter av servicebyråns kontrollmiljö, riskbedömningsprocess, informationssystem (inklusive näraliggande affärsprocesser) och kommunikation, kontrollaktiviteter och övervakningskontroller som är relevanta för bearbetning och rapportering av kunders transaktioner.

    2. Utelämnar eller förvränger inte information som är relevant för det beskrivna systemets omfattning, utan bekräftar att beskrivningen är upprättad för att tillgodose gemensamma behov hos många olika slags kunder och deras revisorer, och kanske därför inte innefattar alla aspekter av system som varje enskild kund och dess revisor kan anse vara viktiga i deras särskilda miljö.

  2. De kontroller som avser de angivna kontrollmålen i den bifogade beskrivningen var lämpligt utformade per [datum]. Kriterierna som har använts för att lämna detta uttalande var att:

    1. riskerna för att de angivna kontrollmålen i beskrivningen inte skulle uppnås identifierades, och

    2. de identifierade kontrollerna skulle, om de fungerade enligt beskrivning, ge rimlig säkerhet att dessa risker inte förhindrar de angivna kontrollmålen från att uppnås.

Bilaga 2 Exempel på bestyrkanderapporter från servicebyrås revisor (se punkt A 47)

Nedanstående exempel på rapporter är endast till för vägledning och är inte avsedda att vara uttömmande eller gälla alla situationer.

Exempel 1 Servicebyrås revisors bestyrkanderapport – typ 2-rapport

Oberoende servicebyrås revisors bestyrkanderapport om beskrivningen av kontroller, deras utformning och effektiviteten i funktionen

Till: XYZ servicebyrå

Inriktning och omfattning

Vi har fått i uppdrag att lämna en rapport om XYZ servicebyrås beskrivning på sidorna [bb–cc] i dess [typ eller namn på] system för bearbetning av kundtransaktioner under perioden [datum] till [datum] (beskrivningen) samt om utformningen av och effektiviteten i funktionen hos kontroller avseende de angivna kontrollmålen i beskrivningen.18

XYZ servicebyrås ansvar

XYZ servicebyrå har ansvaret för att upprätta beskrivning och bifogat uttalande på sidan [aa], inklusive fullständighet, exakthet och metod för presentation av beskrivningen och uttalandet, tillhandahålla de tjänster som omfattas av beskrivningen, ange kontrollmålen, utforma och implementera kontroller samt se till att de fungerar effektivt för att uppnå de angivna kontrollmålen.

Vårt oberoende och vår kvalitetsstyrning

Vi har följt krav på oberoende och andra yrkesetiska krav i International Ethics Standards Board for Accountants' International Code of Ethics for Professional Accountants (inklusive International Independence Standards) (Etikkoden), som bygger på grundläggande principer om hederlighet, objektivitet, professionell kompetens och vederbörlig omsorg, sekretess och professionellt uppträdande.

Revisionsföretaget tillämpar International Standard on Quality Management 119, som kräver att företaget utformar, implementerar och hanterar ett system för kvalitetsstyrning inklusive riktlinjer eller rutiner avseende efterlevnad av yrkesetiska krav, standarder för yrkesutövningen och tillämpliga krav i lagar och andra författningar.

Servicebyråns revisors ansvar

Vårt ansvar är att uttala oss om XYZ servicebyrås beskrivning och om utformningen på och effektiviteten i funktionen hos kontroller avseende de angivna kontrollmålen i beskrivningen, baserat på våra åtgärder. Vi utförde vårt uppdrag enligt International Standard on Assurance Engagements 3402 Bestyrkanderapporter om kontroller på en servicebyrå, som är utfärdad av International Auditing and Assurance Standards Board. Standarden kräver att vi planerar och utför våra åtgärder för att inhämta rimlig säkerhet om huruvida, i alla väsentliga avseenden, beskrivningen ger en rättvisande bild samt att kontrollerna är lämpligt utformade och fungerar effektivt.

En bestyrkanderapport för att uttala sig om beskrivningen av, utformningen av och effektiviteten i funktionen hos kontroller på en servicebyrå innefattar åtgärder för att inhämta bevis om upplysningar i servicebyråns systembeskrivning samt kontrollers utformning och effektiviteten i funktion. De valda åtgärderna beror på servicebyråns revisors bedömning, inklusive bedömningen av riskerna för att beskrivningen inte ger en rättvisande bild och att kontrollerna inte är lämpligt utformade eller fungerar effektivt. Våra åtgärder innefattade granskning av effektiviteten i funktionen hos de kontroller som vi anser vara nödvändiga för att ge rimlig säkerhet om att de angivna kontrollmålen i beskrivningen har uppnåtts. Ett bestyrkandeuppdrag av denna typ innefattar också att utvärdera den övergripande presentationen av beskrivningen, lämpligheten i de angivna målen i den samt lämpligheten i de kriterier som är angivna av servicebyrån och beskrivs på sidan [aa].

Vi anser att de bevis vi har inhämtat är tillräckliga och ändamålsenliga som grund för vårt uttalande.

Begränsningar i kontroller på en servicebyrå

XYZ servicebyrås beskrivning har upprättats för att tillgodose de gemensamma behoven hos många olika slags kunder och deras revisorer och kan därför inte innehålla alla aspekter i systemet som varje enskild kund kan betrakta som viktiga i deras särskilda miljö. Dessutom kan inte kontroller på en servicebyrå, på grund av sin karaktär, förhindra eller upptäcka alla misstag eller utelämnanden i bearbetning eller rapportering av transaktioner. Dessutom omfattas skattning av utvärdering av effektiviteten till framtida perioder av risken att kontroller på servicebyrån kan bli otillräckliga eller inte fungera.

Uttalande

Vi har bildat vår uppfattning utifrån de förhållanden som beskrivs i denna rapport. De kriterier vi har använt för att bilda oss en uppfattning beskrivs på sidan [aa]. Enligt vår uppfattning

  1. ger den bifogade beskrivningen en i alla väsentliga avseenden rättvisande bild av [typ eller namn på] hur systemet var utformat och infört under hela perioden [datum] till [datum],

  2. var de kontroller som avser de angivna kontrollmålen i beskrivningen i alla väsentliga avseenden lämpligt utformade under perioden [datum] till [datum],

  3. fungerade de testade kontrollerna, som var de som krävdes för att ge rimlig säkerhet att de angivna kontrollmålen i beskrivningen uppnåddes, effektivt under perioden från [datum] till [datum].

Beskrivning av test av kontroller

De särskilda testade kontrollerna och karaktären på, tidpunkten för och resultatet av dessa tester anges på sidorna [yy–zz].

Avsedda användare och syften

Denna rapport och beskrivningen av test av kontroller på sidorna [yy–zz] är avsedda endast för kunder som har använt XYZ servicebyrås [typ eller namn på] system och deras revisorer som har en tillräcklig förståelse för att bedöma den, tillsammans med annan information inklusive information om kontroller som kunder själva utför, vid bedömning av riskerna för väsentliga felaktigheter i kunders finansiella rapporter.

[Servicebyrås revisors underskrift]

[Datum för servicebyrås revisors bestyrkanderapport]

[Servicebyrås revisors adress]

Om vissa delar i beskrivningen inte innefattas i uppdragets inriktning och omfattning görs detta klart i bestyrkanderapporten.

ISQM 1 Kvalitetsstyrning för revisionsföretag som utför revisioner och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster.

Exempel 2 Servicebyrås revisors bestyrkanderapport – typ 1-rapport

Oberoende servicebyrås revisors bestyrkanderapport om beskrivningen av kontroller och deras utformning

Till: XYZ servicebyrå

Inriktning och omfattning

Vi har fått i uppdrag att lämna en rapport om XYZ servicebyrås beskrivning på sidorna [bb–cc] i dess [typ eller namn på] system för bearbetning av kundtransaktioner per [datum] (beskrivningen) samt om utformningen av kontroller avseende de angivna kontrollmålen i beskrivningen.20

Vi har inte utfört några åtgärder avseende effektiviteten i funktionen hos kontrollerna i beskrivningen och därmed lämnar vi inte heller något uttalande om den.

XYZ servicebyrås ansvar

XYZ servicebyrå har ansvaret för att upprätta beskrivning och bifogat uttalande på sidan [aa], inklusive fullständighet, exakthet och metod för presentation av beskrivningen och uttalandet, tillhandahålla de tjänster som omfattas av beskrivningen, ange kontrollmålen, utforma och implementera kontroller samt se till att de fungerar effektivt för att uppnå de angivna kontrollmålen.

Vårt oberoende och vår kvalitetsstyrning

Vi har följt krav på oberoende och andra yrkesetiska krav i International Ethics Standards Board for Accountants' International Code of Ethics for Professional Accountants (inklusive International Independence Standards) (Etikkoden), som bygger på grundläggande principer om hederlighet, objektivitet, professionell kompetens och vederbörlig omsorg, sekretess och professionellt uppträdande.

Revisionsföretaget tillämpar International Standard on Quality Management 121, som kräver att företaget utformar, implementerar och hanterar ett system för kvalitetsstyrning inklusive riktlinjer eller rutiner avseende efterlevnad av yrkesetiska krav, standarder för yrkesutövningen och tillämpliga krav i lagar och andra författningar.

Servicebyråns revisors ansvar

Vårt ansvar är att uttala oss om XYZ servicebyrås beskrivning och om utformningen på kontroller avseende de angivna kontrollmålen i den beskrivningen, baserat på våra åtgärder. Vi utförde vårt uppdrag enligt International Standard on Assurance Engagements 3402 Bestyrkanderapporter om kontroller på en servicebyrå som är utfärdad av International Auditing and Assurance Standards Board. Standarden kräver att vi planerar och utför våra åtgärder för att inhämta rimlig säkerhet om huruvida, i alla väsentliga avseenden, beskrivningen ger en rättvisande bild och kontrollerna är lämpligt utformade i alla väsentliga avseenden.

Ett bestyrkandeuppdrag avseende att uttala sig om beskrivningen och utformningen av kontroller på en servicebyrå innefattar åtgärder för att inhämta bevis om upplysningar i servicebyråns systembeskrivning samt kontrollers utformning. De valda åtgärderna beror på servicebyråns revisors bedömning, inklusive bedömningen att beskrivningen inte ger en rättvisande bild och att kontrollerna inte är lämpligt utformade. Ett bestyrkandeuppdrag av denna typ innefattar också att utvärdera den övergripande presentationen av beskrivningen, lämpligheten i de angivna kontrollmålen i den samt lämpligheten i de kriterier som är angivna av servicebyrån och beskrivs på sidan [aa].

Enligt vad som är angivet ovan har vi inte utfört några åtgärder avseende effektiviteten i funktionen hos kontrollerna i beskrivningen och därmed lämnar vi inte heller något uttalande om den.

Vi anser att de bevis vi har inhämtat är tillräckliga och ändamålsenliga som grund för vårt uttalande.

Begränsningar i kontroller på en servicebyrå

XYZ servicebyrås beskrivning har upprättats för att tillgodose de gemensamma behoven hos många olika slags kunder och deras revisorer och kan därför inte innehålla alla aspekter i systemet som varje enskild kund kan betrakta som viktiga i deras särskilda miljö. Dessutom kan inte kontroller på en servicebyrå, på grund av sin karaktär, förhindra eller upptäcka alla misstag eller utelämnanden i bearbetning eller rapportering av transaktioner.

Uttalande

Vi har bildat vår uppfattning utifrån de förhållanden som beskrivs i denna rapport. De kriterier vi har använt för att bilda oss en uppfattning beskrivs på sidan [aa]. Enligt vår uppfattning

  1. ger den bifogade beskrivningen en i alla väsentliga avseenden rättvisande bild av [typ eller namn på] hur systemet var utformat och infört per [datum],

  2. var de kontroller som avser de angivna kontrollmålen i beskrivningen i alla väsentliga avseenden lämpligt utformade per [datum].

Avsedda användare och syften

Denna rapport är avsedd endast för kunder som har använt XYZ servicebyrås [typ eller namn på] system och deras revisorer som har en tillräcklig förståelse för att bedöma beskrivningen, tillsammans med annan information inklusive information om kontroller som kunder själva utför, vid inhämtande av en förståelse av kunders informationssystem som är relevanta för finansiell rapportering.

[Servicebyrås revisors underskrift]

[Datum för servicebyrås revisors bestyrkanderapport]

[Servicebyrås revisors adress]

Om vissa delar i beskrivningen inte innefattas i uppdragets inriktning och omfattning görs detta klart i bestyrkanderapporten.

ISQM 1 Kvalitetsstyrning för revisionsföretag som utför revisioner och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster.

Bilaga 3 Exempel på modifierade bestyrkanderapporter från servicebyrås revisor (se punkt A 50)

Nedanstående exempel på modifierade rapporter är endast till för vägledning och är inte avsedda att vara uttömmande eller gälla alla situationer. De bygger på exemplen på rapporter i bilaga 2.

Exempel 1 Uttalande med reservation – servicebyråns systembeskrivning ger inte en i alla väsentliga avseenden rättvisande bild

– – –

Servicebyråns revisors ansvar

– – –

Vi anser att de bevis vi har inhämtat är tillräckliga och ändamålsenliga som grund för vårt uttalande med reservation.

Grund för uttalande med reservation

Den bifogade beskrivningen anger på sidan [mn] att XYZ servicebyrå använder identifikationsnummer och lösenord för att förhindra obehörig åtkomst till systemet. Baserat på våra åtgärder, som innefattar frågor till stabspersonal och observation av verksamhet, har vi fastställt att identifikationsnummer och lösenord används i tillämpning A och B men inte i tillämpning C och D.

Uttalande med reservation

Vi har bildat vår uppfattning utifrån de förhållanden som beskrivs i denna rapport. De kriterier vi har använt för att bilda oss en uppfattning beskrivs i XYZ servicebyrås uttalande på sidan [aa]. Enligt vår uppfattning, förutom för det förhållande som beskrivs i stycket ”Grund för uttalande med reservation”:

  1. – – –

Exempel 2 Uttalande med reservation – kontrollerna är inte lämpligt utformade för att ge rimlig säkerhet att de angivna kontrollmålen i servicebyråns systembeskrivning kommer att uppnås om kontrollerna fungerar effektivt

– – –

Servicebyråns revisors ansvar

Vi anser att de bevis vi har inhämtat är tillräckliga och ändamålsenliga som grund för vårt uttalande med reservation.

Grund för uttalande med reservation

Enligt diskussion på sidan [mn] i bifogade beskrivning, gör XYZ servicebyrå från tid till annan ändringar i program för att rätta fel eller för att förbättra kapaciteten. De åtgärder som har använts för att fastställa om ändringarna ska göras, vid utformning av ändringarna och vid införandet av dem, innefattar inte granskning och godkännande av personer som är oberoende i förhållande till dem som gör själva ändringarna. Det finns inte heller några specificerade krav att granska sådana ändringar eller lämna granskningsresultatet till en behörig granskare innan ändringarna införs.

Uttalande med reservation

Vi har bildat vår uppfattning utifrån de förhållanden som beskrivs i denna rapport. De kriterier vi har använt för att bilda oss en uppfattning beskrivs i XYZ servicebyrås uttalande på sidan [aa]. Enligt vår uppfattning, förutom för det förhållande som beskrivs i stycket ”Grund för uttalande med reservation”:

  1. – – –

Exempel 3 Uttalande med reservation – kontrollerna fungerade inte effektivt under hela den angivna perioden (typ 2-rapport)

– – –

Servicebyråns revisors ansvar

– – –

Vi anser att de bevis vi har inhämtat är tillräckliga och ändamålsenliga som grund för vårt uttalande med reservation.

Grund för uttalande med reservation

XYZ servicebyrå anger i sin beskrivning att de har automatiserade kontroller för att stämma av erhållna lånebetalningar mot det genererade resultatet. Men enligt vad som är angivet på sidan [mn] i beskrivningen fungerade denna kontroll inte effektivt under perioden, från dd/mm/åååå till dd/mm/åååå, på grund av ett programmeringsfel. Detta har lett till att kontrollmålet ”Kontroller ger rimlig säkerhet att erhållna lånebetalningar har bokförts korrekt” inte har uppnåtts under perioden dd/mm/åååå till dd/mm/åååå. XYZ gjorde en ändring i programmet som utför beräkningen den [datum] och våra granskningar visar att det fungerade effektivt under perioden dd/mm/åååå till dd/mm/åååå.

Uttalande med reservation

Vi har bildat vår uppfattning utifrån de förhållanden som beskrivs i denna rapport. De kriterier vi har använt för att bilda oss en uppfattning beskrivs i XYZ servicebyrås uttalande på sidan [aa]. Enligt vår uppfattning, förutom för det förhållande som beskrivs i stycket ”Grund för uttalande med reservation”:

  1. – – –

Exempel 4 Uttalande med reservation – servicebyråns revisor kan inte inhämta tillräckliga och ändamålsenliga bevis

– – –

Servicebyråns revisors ansvar

– – –

Vi anser att de bevis vi har inhämtat är tillräckliga och ändamålsenliga som grund för vårt uttalande med reservation.

Grund för uttalande med reservation

XYZ servicebyrå anger i sin beskrivning att de har automatiserade kontroller för att stämma av erhållna lånebetalningar mot det genererade resultatet. Men den elektroniska registreringen av denna avstämning avseende perioden från dd/mm/åååå till dd/mm/åååå raderades till följd av ett datorbearbetningsfel och kan därför inte granska hur denna kontroll fungerat under den perioden. Följden är att vi inte har kunnat avgöra om kontrollmålet ”Kontroller ger rimlig säkerhet att erhållna lånebetalningar har bokförts korrekt” fungerade effektivt under perioden dd/mm/åååå till dd/mm/åååå.

Uttalande med reservation

Vi har bildat vår uppfattning utifrån de förhållanden som beskrivs i denna rapport. De kriterier vi har använt för att bilda oss en uppfattning beskrivs i XYZ servicebyrås uttalande på sidan [aa]. Enligt vår uppfattning, förutom för det förhållande som beskrivs i stycket ”Grund för uttalande med reservation”:

  1. – – –