International Auditing and Assurance Standards Board ISA 402 Internasjonal revisjonsstandard

Transkript

1 International Auditing and Assurance Standards Board ISA 402 Internasjonal revisjonsstandard ISA 402 Særlige hensyn ved revisjon av en enhet som bruker en serviceorganisasjon 2009

2 2 ISA 402 International Auditing and Assurance Standards Board International Federation of Accountants 545 Fifth Avenue, 14th Floor New York, New York USA This International Standard on Auditing (ISA) 402, «Audit Considerations Relating to an Entity Using a Service Organization» was prepared by the International Auditing and Assurance Standards Board (IAASB), an independent standard-setting body within the International Federation of Accountants (IFAC). The objective of the IAASB is to serve the public interest by setting high quality auditing and assurance standards and by facilitating the convergence of international and national standards, thereby enhancing the quality and uniformity of practice throughout the world and strengthening public confidence in the global auditing and assurance profession. The original English version of this publication may be downloaded free of charge from the IFAC website: The approved text is published in the English language. The mission of IFAC is to serve the public interest, strengthen the worldwide accountancy profession and contribute to the development of strong international economies by establishing and promoting adherence to high quality professional standards, furthering the international convergence of such standards and speaking out on public interest issues where the profession s expertise is most relevant. Copyright April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Permission is granted to make copies of this work provided that such copies are for use in academic classrooms or for personal use and are not sold or disseminated and provided that each copy bears the following credit line: «Copyright April 2009 by the International Federation of Accountants (IFAC). All rights reserved. Used with permission of IFAC. Contact permissions@ifac.org for permission to reproduce, store or transmit this document.» Otherwise, written permission from IFAC is required to reproduce, store or transmit, or to make other similar uses of, this document, except as permitted by law. Contact permissions@ifac.org. ISBN: *** Internasjonal revisjonsstandard 402 Særlige hensyn ved revisjon av en enhet som bruker en serviceorganisasjon er opprinnelig utgitt på engelsk av the International Auditing and Assurance Standards Board i the International Federation of Accountants (IFAC) i April 2009, og oversatt til norsk og utgitt av Den norske Revisorforening i April 2010, med tillatelse fra IFAC. IFAC har vurdert oversettelsesprosedyren, og oversettelsen er gjort i samsvar med Policy Statement Policy for Translating and Reproducing Standards Issued by IFAC. Den godkjente teksten til de internasjonale standardene for revisjon og kvalitetskontroll er den som er utgitt på engelsk av IFAC. Engelsk utgave av internasjonal revisjonsstandard 402 Særlige hensyn ved revisjon av en enhet som bruker en serviceorganisasjon 2009 the International Federation of Accountants (IFAC). Norsk utgave av internasjonal revisjonsstandard 402 Særlige hensyn ved revisjon av en enhet som bruker en serviceorganisasjon 2010 the International Federation of Accountants (IFAC). Originalens tittel: International Standard on Auditing (ISA) 402, «Audit Considerations Relating to an Entity Using a Service Organization».

3 3 ISA 402 INTERNASJONAL REVISJONSSTANDARD 402 SÆRLIGE HENSYN VED REVISJON AV EN ENHET SOM BRUKER EN SERVICEORGANISASJON (Gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere.) INNHOLD Punkt Innledning Denne ISA-ens virkeområde... 1 Ikrafttredelsesdato... 6 Mål... 7 Definisjoner... 8 Krav Opparbeidelse av en forståelse av tjenester utført av en serviceorganisasjon, herunder intern kontroll Håndtering av anslåtte risikoer for vesentlig feilinformasjon Type 1- og type 2-rapporter som ekskluderer tjenestene til en underserviceorganisasjon Misligheter, manglende etterlevelse av lover og forskrifter samt ikke-korrigert feilinformasjon knyttet til aktiviteter hos serviceorganisasjonen Rapportering fra brukerrevisor Veiledning og utfyllende forklaringer Opparbeidelse av en forståelse av tjenester utført av en serviceorganisasjon, herunder intern kontroll... A1 A23 Håndtering av anslåtte risikoer for vesentlig feilinformasjon... A24 A39 Type 1- og type 2-rapporter som ekskluderer tjenestene til en underserviceorganisasjon... A40 Misligheter, manglende etterlevelse av lover og forskrifter samt ikke-korrigert feilinformasjon knyttet til aktiviteter hos serviceorganisasjonen... A41 Rapportering fra brukerrevisor... A42 A44 Internasjonal revisjonsstandard (ISA) 402 «Særlige hensyn ved revisjon av en enhet som bruker en serviceorganisasjon» må leses i sammenheng med ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene».

4 4 ISA 402 Innledning Denne ISA-ens virkeområde 1. Denne internasjonale revisjonsstandarden (ISA-en) omhandler brukerrevisors oppgaver og plikter knyttet til innhenting av tilstrekkelig og hensiktsmessig revisjonsbevis når brukerenheten benytter seg av tjenestene til en eller flere serviceorganisasjoner. Den utdyper særlig hvordan brukerrevisor anvender ISA og ISA for å opparbeide seg en forståelse av brukerenheten, herunder intern kontroll som er relevant for revisjonen, som er tilstrekkelig til å identifisere og vurdere risikoene for vesentlig feilfinformasjon, og for å utforme og utføre videre revisjonshandlinger for å håndtere disse risikoene. 2. Mange enheter setter ut deler av sin virksomhet til organisasjoner som tilbyr tjenester som spenner fra å utføre en bestemt oppgave under ledelse av enheten til å erstatte enhetens virksomhetsområde eller funksjon, for eksempel en skattejuridisk avdeling. Mange av tjenestene utført av slike organisasjoner er en integrert del av enhetens forretningsvirksomhet, men ikke alle disse tjenestene er relevante for revisjonen. 3. Tjenester utført av en serviceorganisasjon er relevante for revisjonen av en brukerenhets regnskap når disse tjenestene, og tilhørende kontroller, er en del av brukerenhetens informasjonssystem, herunder relaterte forretningsprosesser, knyttet til finansiell rapportering. Selv om det er sannsynlig at de fleste kontroller hos serviceorganisasjonen vil være knyttet til finansiell rapportering, kan det finnes andre kontroller som også er relevante for revisjonen, for eksempel kontroller knyttet til sikring av eiendeler. En serviceorganisasjons tjenester er en del av brukerenhetens informasjonssystem, herunder relaterte forretningsprosesser, knyttet til finansiell rapportering dersom disse tjenestene påvirker et eller flere av de følgende punktene: (c) (d) (e) (f) De transaksjonsklassene i brukerenhetens virksomhet som er vesentlige for brukerenhetens regnskap; De prosedyrene innenfor både IT-systemer og manuelle systemer som initierer, registrerer, prosesserer og eventuelt korrigerer brukerenhetens transaksjoner, og overfører dem til hovedboken og rapporterer dem i regnskapet; Det tilknyttede regnskapsmaterialet, enten i elektronisk eller manuell form, den underbyggende informasjonen og de spesifikke kontoene i brukerenhetens regnskap som brukes til å initiere, registrere, prosessere og rapportere brukerenhetens transaksjoner, herunder korrigering av feilaktig informasjon og hvordan informasjon overføres til hovedboken; Hvordan brukerenhetens informasjonssystem fanger opp hendelser og forhold, utover transaksjoner, som er vesentlige for regnskapet; Den finansielle rapporteringsprosessen som anvendes for å utarbeide brukerenhetens regnskap, herunder vesentlige regnskapsestimater og tilleggsopplysninger; og Kontroller knyttet til posteringer, herunder ikke-standard posteringer som benyttes for å registrere transaksjoner som ikke utføres regelmessig, uvanlige transaksjoner eller justeringer. 4. Typen og omfanget av arbeid som skal utføres av brukerrevisor i forhold til tjenestene utført av en serviceorganisasjon, avhenger av typen og betydningen av disse tjenestene for brukerenheten og relevansen av disse tjenestene for revisjonen. 1 2 ISA 315 (revidert) «Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser». ISA 330 «Revisors håndtering av anslåtte risikoer».

5 5 ISA Denne ISA-en gjelder ikke for tjenester utført av finansinstitusjoner som begrenser seg til å prosessere, for en konto som enheten har hos finansinstitusjonen, transaksjoner som er spesifikt godkjent av enheten, for eksempel en banks prosessering av kontotransaksjoner eller en meglers prosessering av verdipapirtransaksjoner. Denne ISA-en gjelder dessuten ikke ved revisjon av transaksjoner som oppstår som følge av økonomiske eierinteresser i andre enheter, for eksempel partnerskap, aksjeselskaper og felleskontrollert virksomhet, når eierinteressene er redegjort for og rapportert til innehaverne. Ikrafttredelsesdato 6. Denne ISA-en gjelder for revisjon av regnskaper for perioder som begynner 1. januar 2010 eller senere. Mål 7. Når brukerenheten benytter seg av tjenestene til en serviceorganisasjon er det brukerrevisors mål å: Definisjoner Opparbeide seg en forståelse av typen og betydningen av tjenestene utført av serviceorganisasjonen og deres virkning på brukerenhetens interne kontroll som er relevant for revisjonen, som er tilstrekkelig til å identifisere og vurdere risikoene for vesentlig feilinformasjon; og Utforme og utføre revisjonshandlinger for å håndtere disse risikoene. 8. For ISA-enes formål har følgende begreper den betydning som er beskrevet nedenfor: Komplementære brukerenhetskontroller Kontroller som serviceorganisasjonen ved utformingen av sin tjeneste forventer vil bli implementert av brukerenheter, og som, dersom det anses nødvendig for å nå kontrollmål, identifiseres i beskrivelsen av dens system. Rapport om beskrivelsen og utformingen av kontroller hos en serviceorganisasjon (i denne ISA-en kalt type 1-rapporter) En rapport som omfatter: (i) En beskrivelse, utarbeidet av ledelsen i serviceorganisasjonen, av serviceorganisasjonens system, kontrollmål og tilhørende kontroller som er blitt utformet og implementert per en spesifisert dato; og (c) (ii) En rapport avgitt av revisor engasjert av serviceorganisasjonen med det formål å gi rimelig sikkerhet, som inneholder revisors mening om beskrivelsen av serviceorganisasjonens system, kontrollmål og tilhørende kontroller samt egnetheten av de utformede kontrollene for å nå de spesifiserte kontrollmålene. Rapport om beskrivelsen og utformingen av kontroller hos en serviceorganisasjon og hvorvidt de fungerer måleffektivt (i denne ISA-en kalt type 2-rapporter) En rapport som omfatter: (i) En beskrivelse, utarbeidet av ledelsen i serviceorganisasjonen, av serviceorganisasjonens system, kontrollmål og tilhørende kontroller, deres utforming og implementering per en spesifisert dato eller i en spesifisert periode og, i noen tilfeller, deres effektivitet i en spesifisert periode; og

6 6 ISA 402 (d) (e) (f) (g) (h) (i) (ii) En rapport avgitt av revisor engasjert av serviceorganisasjonen med det formål å gi rimelig sikkerhet, som inneholder: a. revisors mening om beskrivelsen av serviceorganisasjonens system, kontrollmål og tilhørende kontroller, egnetheten av de utformede kontrollene for å nå de spesifiserte kontrollmålene og effektiviteten av kontrollene; og b. en beskrivelse av revisors tester av kontroller og resultatene av disse. Revisor engasjert av serviceorganisasjonen En revisor som på anmodning fra serviceorganisasjonen avgir en attestasjonsuttalelse om kontrollene hos en serviceorganisasjon. Serviceorganisasjon En tredjepart organisasjon (eller et segment i en tredjepart organisasjon) som utfører tjenester for brukerenheter som er en del av brukerenhetenes informasjonssystemer knyttet til finansiell rapportering. Serviceorganisasjonens system De policyene og prosedyrene som er utformet, implementert og vedlikeholdt av serviceorganisasjonen for å utføre de tjenestene for brukerenheter som dekkes av rapporten avgitt av revisor engasjert av serviceorganisasjonen. Underserviceorganisasjon En serviceorganisasjon som brukes av en annen serviceorganisasjon for å utføre noen av de tjenestene for brukerenheter som er en del av brukerenhetenes informasjonssystemer knyttet til finansiell rapportering. Brukerrevisor En revisor som reviderer og avgir beretning til regnskapet til en brukerenhet. Brukerenhet En enhet som bruker en serviceorganisasjon og hvis regnskap blir revidert. Krav Opparbeidelse av en forståelse av tjenestene utført av en serviceorganisasjon, herunder intern kontroll 9. Ved opparbeidelse av en forståelse av brukerenheten i samsvar med ISA 315, 3 skal brukerrevisor opparbeide seg en forståelse av hvordan en brukerenhet benytter seg av tjenestene til en serviceorganisasjon i brukerenhetens virksomhet, herunder: (Jf. punkt A1 A2) (c) (d) Typen tjenester utført av serviceorganisasjonen og betydningen av disse tjenestene for brukerenheten, herunder virkningen av dem på brukerenhetens interne kontroll; (Jf. punkt A3 A5) Typen og vesentligheten av transaksjonene som behandles av eller kontoene eller de finansielle rapporteringsprosessene som påvirkes av serviceorganisasjonen; (Jf. punkt A6) Graden av interaksjon mellom aktivitetene til serviceorganisasjonen og aktivitetene til brukerenheten; og (Jf. punkt A7) Typen relasjon mellom brukerenheten og serviceorganisasjonen, herunder de relevante kontraktsvilkårene for aktivitetene som serviceorganisasjonen har påtatt seg. (Jf. punkt A8 A11) 10. Ved opparbeidelse av en forståelse av den interne kontrollen som er relevant for revisjonen i samsvar med ISA 315, 4 skal brukerrevisor evaluere utformingen og implementeringen av relevante 3 ISA 315 punkt 11.

7 7 ISA 402 kontroller hos brukerenheten som er knyttet til tjenestene utført av serviceorganisasjonen, herunder de som er anvendt på transaksjonene som er behandlet av serviceorganisasjonen. (Jf. punkt A12 A14) 11. Brukerrevisor skal fastslå hvorvidt den opparbeidede forståelsen av typen og betydningen av tjenestene utført av serviceorganisasjonen og deres virkning på brukerenhetens interne kontroll som er relevant for revisjonen, er tilstrekkelig til å identifisere og vurdere risikoer for vesentlig feilinformasjon. 12. Dersom brukerrevisor ikke er i stand til å opparbeide seg en tilstrekkelig forståelse gjennom brukerenheten, skal brukerrevisor opparbeide seg denne forståelsen ved å utføre en eller flere av de følgende handlingene: (Jf. punkt A15 A20) (c) (d) Innhente en type 1- eller en type 2-rapport, dersom en slik foreligger; Kontakte serviceorganisasjonen, gjennom brukerenheten, for å innhente spesifikke opplysninger; Besøke serviceorganisasjonen og utføre handlinger som vil gi de nødvendige opplysningene om de relevante kontrollene hos serviceorganisasjonen; eller Bruke en annen revisor til å utføre handlinger som vil gi de nødvendige opplysningene om de relevante kontrollene hos serviceorganisasjonen. Bruk av en type 1- eller type 2-rapport for å støtte brukerrevisors forståelse av serviceorganisasjonen 13. Ved fastslåelse av tilstrekkeligheten og hensiktsmessigheten av revisjonsbeviset som gis av en type 1- eller type 2-rapport, skal brukerrevisor forsikre seg om: (Jf. punkt A21) Revisor engasjert av serviceorganisasjonens faglige kompetanse og uavhengighet fra serviceorganisasjonen; og Adekvansen av standardene som type 1- eller type 2-rapporten bygger på. 14. Dersom brukerrevisor planlegger å bruke en type 1- eller type 2-rapport som revisjonsbevis for å støtte brukerrevisors forståelse av utformingen og implementeringen av kontroller hos serviceorganisasjonen, skal brukerrevisor: (Jf. punkt A22 A23) Evaluere hvorvidt beskrivelsen og utformingen av kontroller hos serviceorganisasjonen er per en dato eller for en periode som er hensiktsmessig ut fra brukerrevisors formål; Evaluere tilstrekkeligheten og hensiktsmessigheten av beviset som gis av rapporten for forståelsen av brukerenhetens interne kontroll som er relevant for revisjonen; og (c) Fastslå hvorvidt komplementære brukerenhetskontroller identifisert av serviceorganisasjonen er relevante for brukerenheten og, i så fall, opparbeide seg en forståelse av hvorvidt brukerenheten har utformet og implementert slike kontroller. Håndtering av anslåtte risikoer for vesentlig feilinformasjon 15. Ved håndtering av anslåtte risikoer i samsvar med ISA 330 skal brukerrevisor: (Jf. punkt A24 A28) Fastslå hvorvidt regnskapsmaterialet som oppbevares av brukerenheten gir tilstrekkelig og hensiktsmessig revisjonsbevis for de relevante regnskapspåstandene; og, hvis ikke, 4 ISA 315 punkt 12.

8 8 ISA 402 Utføre videre revisjonshandlinger for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis eller bruke en annen revisor til å utføre disse handlingene hos serviceorganisasjonen på vegne av brukerrevisor. Tester av kontroller 16. Når brukerrevisors risikovurdering innebærer en forventning om at kontroller hos serviceorganisasjonen fungerer effektivt, skal brukerrevisor innhente revisjonsbevis for effektiviteten av disse kontrollene ved å utføre en eller flere av de følgende handlingene: (Jf. punkt A29 A30) (c) Innhente en type 2-rapport, dersom en slik foreligger; Utføre hensiktsmessige tester av kontroller hos serviceorganisasjonen; eller Bruke en annen revisor til å utføre tester av kontroller hos serviceorganisasjonen på vegne av brukerrevisor. Bruk av en type 2-rapport som revisjonsbevis for at kontroller hos serviceorganisasjonen fungerer effektivt 17. Dersom brukerrevisor, i samsvar med punkt 16, planlegger å bruke en type 2-rapport som revisjonsbevis for at kontroller hos serviceorganisasjonen fungerer effektivt, skal brukerrevisor fastsette hvorvidt rapporten avgitt av revisor engasjert av serviceorganisasjonen gir tilstrekkelig og hensiktsmessig revisjonsbevis for effektiviteten av kontrollene til å underbygge brukerrevisors risikovurdering ved å: (Jf. punkt A31 A39) (c) (d) Evaluere hvorvidt beskrivelsen, utformingen og effektiviteten av kontroller hos serviceorganisasjonen er per en dato eller for en periode som er hensiktsmessig ut fra brukerrevisors formål; Fastslå hvorvidt komplementære brukerenhetskontroller identifisert av serviceorganisasjonen er relevante for brukerenheten og, i så fall, opparbeide seg en forståelse av hvorvidt brukerenheten har utformet og implementert slike kontroller og, i så fall, teste deres effektivitet. Evaluere tilstrekkeligheten av perioden som dekkes av testene av kontroller og hvor lenge det er siden testene av kontroller ble utført; og Evaluere hvorvidt testene av kontroller utført av revisor engasjert av serviceorganisasjonen og resultatene av disse, som beskrevet i revisors rapport, er relevante for påstandene i brukerenhetens regnskap og gir tilstrekkelig og hensiktsmessig revisjonsbevis til å underbygge brukerrevisors risikovurdering. Type 1- og type 2-rapporter som ekskluderer tjenestene til en underserviceorganisasjon 18. Dersom brukerrevisor planlegger å bruke en type 1- eller en type 2-rapport som ekskluderer tjenestene utført av en underserviceorganisasjon og disse tjenestene er relevante for revisjonen av brukerenhetens regnskap, skal brukerrevisor anvende kravene i denne ISA-en med hensyn til tjenestene utført av underserviceorganisasjonen. (Jf. punkt A40) Misligheter, manglende etterlevelse av lover og forskrifter samt ikke-korrigert feilinformasjon knyttet til aktiviteter hos serviceorganisasjonen 19. Brukerrevisor skal rette en forespørsel til brukerenhetens ledelse om serviceorganisasjonen har rapportert til brukerenheten, eller om brukerenheten på annet vis er kjent med, eventuelle misligheter, manglende etterlevelse av lover og forskrifter eller ikke-korrigert feilinformasjon som påvirker brukerenhetens regnskap. Brukerrevisor skal evaluere hvordan slike forhold påvirker typen, tidspunktet og omfanget av brukerrevisors videre revisjonshandlinger, herunder virkningen på brukerrevisors konklusjoner og brukerrevisors revisjonsberetning. (Jf. punkt A41)

9 9 ISA 402 Rapportering fra brukerrevisor 20. Brukerrevisor skal modifisere konklusjonen i brukerrevisors revisjonsberetning i samsvar med ISA dersom brukerrevisor ikke er i stand til å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for de tjenestene utført av serviceorganisasjonen som er relevante for revisjonen av brukerenhetens regnskap. (Jf. punkt A42) 21. Brukerrevisor skal ikke henvise til arbeidet utført av en revisor engasjert av serviceorganisasjonen i en revisjonsberetning som inneholder en ikke-modifisert konklusjon med mindre lov eller forskrift pålegger brukerrevisor å gjøre det. Dersom slik henvisning er pålagt ved lov eller forskrift, skal brukerrevisors revisjonsberetning angi at henvisningen ikke reduserer brukerrevisors ansvar for konklusjonen i brukerrevisors revisjonsberetning. (Jf. punkt A43) 22. Dersom henvisning til arbeidet utført av en revisor engasjert av serviceorganisasjonen er relevant for å forstå en modifikasjon i brukerrevisors konklusjon, skal brukerrevisors revisjonsberetning angi at slik henvisning ikke reduserer brukerrevisors ansvar for konklusjonen. (Jf. punkt A44) Veiledning og utfyllende forklaringer *** Opparbeidelse av en forståelse av tjenestene utført av en serviceorganisasjon, herunder intern kontroll Informasjonskilder (Jf. punkt 9) A1. Informasjon om typen tjenester som utføres av en serviceorganisasjon kan fås fra en rekke forskjellige kilder, for eksempel: Brukerhåndbøker. Systemoversikter. Tekniske håndbøker. Kontrakten eller servicenivåavtalen mellom brukerenheten og serviceorganisasjonen. Uttalelser fra serviceorganisasjoner, internrevisjonsfunksjonen eller tilsynsmyndigheter om kontroller hos serviceorganisasjonen. Uttalelser fra revisor engasjert av serviceorganisasjonen, herunder skriftlige uttalelser fra ledelsen, dersom slike foreligger. A2. Kunnskap som brukerrevisor har opparbeidet seg gjennom erfaring med serviceorganisasjonen, for eksempel gjennom erfaring med andre revisjonsoppdrag, kan også være til hjelp ved opparbeidelse av en forståelse av typen tjenester som utføres av serviceorganisasjonen. Dette kan være spesielt nyttig dersom tjenestene og kontrollene knyttet til disse tjenestene hos serviceorganisasjonen i stor grad er standardiserte. Typen tjenester utført av serviceorganisasjonen (Jf. punkt 9) A3. En brukerenhet kan bruke en serviceorganisasjon som utfører transaksjoner og påtar seg det tilhørende rapporteringsansvar, eller en som registrerer transaksjoner og behandler relaterte data. Serviceorganisasjoner som utfører slike tjenester omfatter for eksempel bankers fondsavdelinger som investerer og forvalter eiendeler for ansattes pensjonsplaner eller for andre; banker som forvalter pantelån for andre; og leverandører av datatjenester som tilbyr programvarepakker og et teknologimiljø som gjør det mulig for kunder å utføre finansielle og driftsmessige transaksjoner. 5 ISA 705 «Modifikasjoner i konklusjonen i uavhengig revisors beretning» punkt 6.

10 10 ISA 402 A4. Eksempler på serviceorganisasjonstjenester som er relevante for revisjonen omfatter: Vedlikehold av brukerenhetens regnskapsmateriale. Forvaltning av eiendeler. Initiering, registrering eller prosessering av transaksjoner på vegne av brukerenheten. Særlige hensyn knyttet til mindre enheter A5. Mindre enheter kan bruke eksterne regnskapstjenester som spenner fra utførelse av visse transaksjoner (for eksempel betaling av skattetrekk) og vedlikehold av regnskapsmateriale til utarbeidelse av regnskap. Bruken av en slik serviceorganisasjon til utarbeidelse av regnskapet fritar ikke ledelsen i den mindre enheten og, der det er relevant, dem som har overordnet ansvar for styring av kontroll, for sine oppgaver og plikter knyttet til regnskapet. 6 Typen og vesentligheten av transaksjoner utført av serviceorganisasjonen (Jf. punkt 9) A6. En serviceorganisasjon kan etablere retningslinjer og rutiner som påvirker brukerenhetens interne kontroll. Disse retningslinjene og rutinene er som et minimum delvis fysisk og operasjonelt atskilt fra brukerenheten. Betydningen av kontrollene til serviceorganisasjonen for kontrollene til brukerenheten avhenger av typen tjenester som utføres av serviceorganisasjonen, herunder typen og vesentligheten av transaksjonene som utføres for brukerenheten. I visse situasjoner vil ikke nødvendigvis transaksjonene som utføres og kontoene som påvirkes av serviceorganisasjonen fremstå som vesentlige for brukerenhetens regnskap, men typen transaksjoner som utføres kan være av betydning og brukerrevisor kan fastsette at en forståelse av disse kontrollene er nødvendig ut fra omstendighetene. Graden av interaksjon mellom aktivitetene hos serviceorganisasjonen og brukerenheten (Jf. punkt 9(c)) A7. Betydningene av kontrollene til serviceorganisasjonen for kontrollene til brukerenheten avhenger også av graden av interaksjon mellom serviceorganisasjonens aktiviteter og brukerenhetens aktiviteter. Graden av interaksjon viser til i hvilket omfang en brukerenhet er i stand til og velger å implementere effektive kontroller knyttet til prosesseringen utført av serviceorganisasjonen. Det eksisterer for eksempel en høy grad av interaksjon mellom brukerenhetens aktiviteter og serviceorganisasjonens aktiviteter når brukerenheten godkjenner transaksjoner og serviceorganisasjonen prosesserer og regnskapsfører disse transaksjonene. I slike tilfeller kan det være nyttig for brukerenheten å implementere effektive kontroller knyttet til disse transaksjonene. På den annen side, når serviceorganisasjonen initierer eller innledningsvis registrerer, prosesserer og regnskapsfører brukerenhetens transaksjoner, er det en lavere grad av interaksjon mellom de to organisasjonene. I slike tilfeller kan brukerenheten være ute av stand til eller kan velge ikke å implementere effektive kontroller av disse transaksjonene hos brukerenheten, og kan basere seg på kontroller hos serviceorganisasjonen. Typen relasjon mellom brukerenheten og serviceorganisasjonen (Jf. punkt 9(d)) A8. Kontrakten eller servicenivåavtalen mellom brukerenheten og serviceorganisasjonen kan angi forhold som for eksempel: Informasjonen som skal gis til brukerenheten og ansvar vedrørende initiering av transaksjoner knyttet til aktivitetene som serviceorganisasjonen har påtatt seg; Anvendelsen av tilsynsmyndigheters krav vedrørende formen på regnskapsmateriale som skal vedlikeholdes, eller tilgang til det; Eventuell kompensasjon som skal gis til brukerenheten ved manglende utførelse; 6 ISA 200 «Overordnede mål for den uavhengige revisor og gjennomføringen av en revisjon i samsvar med de internasjonale revisjonsstandardene» punkt 4 og A2 A3.

11 11 ISA 402 Hvorvidt serviceorganisasjonen skal avgi en rapport om sine kontroller og, i så fall, hvorvidt en slik rapport skal være en type 1- eller type 2-rapport; Hvorvidt brukerrevisor har krav på tilgang til brukerenhetens regnskapsmateriale som vedlikeholdes av serviceorganisasjonen og annen informasjon som er nødvendig for gjennomføringen av revisjonen; og Hvorvidt avtalen tillater direkte kommunikasjon mellom brukerrevisor og revisor engasjert av serviceorganisasjonen. A9. Det er direkte relasjon mellom serviceorganisasjonen og brukerenheten, og mellom serviceorganisasjonen og revisor engasjert av serviceorganisasjonen. Disse relasjonene skaper ikke nødvendigvis direkte relasjon mellom brukerrevisor og revisor engasjert av serviceorganisasjonen. Når det ikke er direkte relasjon mellom brukerrevisor og revisor engasjert av serviceorganisasjonen, vil kommunikasjon mellom brukerrevisor og revisor engasjert av serviceorganisasjonen vanligvis gå gjennom brukerenheten og serviceorganisasjonen. Det kan også åpnes for direkte relasjon mellom brukerrevisor og revisor engasjert av serviceorganisasjonen, under hensyn til relevante etiske og konfidensialitetshensyn. Brukerrevisor kan for eksempel bruke revisor engasjert av serviceorganisasjonen til å utføre handlinger på vegne av brukerrevisor, for eksempel: Tester av kontroller hos serviceorganisasjonen; eller Substanshandlinger på brukerenhetens regnskapstransaksjoner og saldoer som vedlikeholdes av en serviceorganisasjon. Særlige hensyn knyttet til enheter i offentlig sektor A10. Revisorer i offentlig sektor har vanligvis vide tilgangsrettigheter fastsatt i lov. Det kan imidlertid være tilfeller hvor slike tilgangsrettigheter ikke er tilgjengelige, for eksempel når serviceorganisasjonen befinner seg i en annen jurisdiksjon. I så fall kan revisor i offentlig sektor være nødt til å opparbeide seg en forståelse av lovgivningen som gjelder i den andre jurisdiksjonen for å fastsette hvorvidt revisor kan få de nødvendige tilgangsrettighetene. En revisor i offentlig sektor kan også få eller be brukerenheten om å nedfelle tilgangsrettigheter i en kontrakt inngått mellom brukerenheten og serviceorganisasjonen. A11. Revisorer i offentlig sektor kan også bruke en annen revisor til å utføre tester av kontroller eller substanshandlinger for å etterleve lov, forskrift eller andre myndighetskrav. Forståelse av kontrollene knyttet til tjenester utført av serviceorganisasjonen (Jf. punkt 10) A12. Brukerenheten kan etablere kontroller knyttet til serviceorganisasjonens tjenester som kan testes av brukerrevisor og gjøre det mulig for brukerrevisor å konkludere med at brukerenhetens kontroller fungerer effektivt for noen av eller alle de relaterte påstandene, uavhengig av de eksisterende kontrollene hos serviceorganisasjonen. Dersom en brukerenhet for eksempel bruker en serviceorganisasjon til å utføre sine lønnstransaksjoner, kan brukerenheten etablere kontroller knyttet til oversending og mottakelse av lønnsinformasjon som kan forebygge eller avdekke vesentlig feilinformasjon. Disse kontrollene kan omfatte: Sammenligning av data oversendt til serviceorganisasjonen med informasjonsrapporter mottatt fra serviceorganisasjonen etter at dataene er blitt prosessert. Kontrollberegning av et utvalg av lønnsbeløpene med sikte på registreringsnøyaktighet og gjennomgåelse av det totale lønnsbeløpet med sikte på rimelighet. A13. I dette tilfellet kan brukerrevisor utføre tester av brukerenhetens kontroller knyttet til lønnsprosessering, som vil gjøre det mulig for brukerrevisor å fastsette hvorvidt brukerenhetens kontroller fungerer effektivt for de påstandene som er knyttet til lønnstransaksjoner.

12 12 ISA 402 A14. Som angitt i ISA kan brukerrevisor, med hensyn til visse risikoer, vurdere at det ikke er mulig eller praktisk gjennomførbart å innhente tilstrekkelig og hensiktsmessig revisjonsbevis utelukkende gjennom substanshandlinger. Slike risikoer kan være knyttet til unøyaktig eller ufullstendig registrering av rutinemessige og vesentlige transaksjonsklasser og kontosaldoer, hvis karakteristiske egenskaper ofte tillater høy automatisert prosessering med liten eller ingen manuell inngripen. Denne typen automatiserte prosesseringsegenskaper kan i særlig grad forekomme når brukerenheten bruker serviceorganisasjoner. I så fall er brukerenhetens kontroller knyttet til slike risikoer relevante for revisjonen, og brukerrevisor er pålagt å opparbeide seg en forståelse av, og å evaluere, slike kontroller i samsvar med punkt 9 og 10 i denne ISA-en. Videre handlinger når det ikke er mulig å opparbeide seg en tilstrekkelig forståelse gjennom brukerenheten (Jf. punkt 12) A15. Brukerrevisors beslutning om hvilke handlinger, enkeltvis eller i kombinasjon, i punkt 12 som skal utføres for å innhente de opplysningene som er nødvendige for å identifisere og vurdere risikoene for vesentlig feilinformasjon knyttet til brukerenhetens bruk av serviceorganisasjonen, kan blant annet påvirkes av forhold som: Størrelsen på både brukerenheten og serviceorganisasjonen; Kompleksiteten av transaksjonene hos brukerenheten og kompleksiteten av tjenestene utført av serviceorganisasjonen; Serviceorganisasjonens lokalisering (brukerrevisor kan for eksempel velge å bruke en annen revisor til å utføre handlinger hos serviceorganisasjonen på vegne av brukerrevisor dersom serviceorganisasjonen ligger langt borte); Hvorvidt handlingen(e) effektivt forventes å gi brukerrevisor tilstrekkelig og hensiktsmessig revisjonsbevis; og Typen relasjon mellom brukerenheten og serviceorganisasjonen. A16. En serviceorganisasjon kan engasjere en revisor til å avgi en rapport om beskrivelsen og utformingen av sine kontroller (type 1-rapport) eller om beskrivelsen og utformingen av sine kontroller og deres effektivitet (type 2-rapport). Type 1- eller type 2-rapporter kan avgis i henhold til standard for attestasjonsoppdrag (ISAE) eller i henhold til standarder etablert av en godkjent eller anerkjent standardsettende organisasjon (som kan identifisere dem med andre navn, for eksempel type A- eller type B-rapporter). A17. Tilgjengeligheten av en type 1- eller type 2-rapport vil vanligvis avhenge av hvorvidt kontrakten mellom en serviceorganisasjon og en brukerenhet inkluderer en slik rapport fra serviceorganisasjonen. En serviceorganisasjon kan også velge å gjøre en type 1- eller type 2-rapport tilgjengelig for brukerenheter av praktiske årsaker. En slik type 1- eller type 2-rapport vil imidlertid ikke alltid være tilgjengelig for brukerenheter. A18. Under enkelte omstendigheter kan en brukerenhet sette ut en eller flere viktige forretningsenheter eller -funksjoner, for eksempel enhetens oppgaver på skatteområdet, eller finans- og regnskapsfunksjon eller kontrollerfunksjon, til en eller flere serviceorganisasjoner. Siden en rapport om kontroller hos serviceorganisasjonen ikke alltid vil være tilgjengelig under disse omstendighetene, kan et besøk hos serviceorganisasjonen være den mest effektive handlingen som brukerrevisor kan utføre for å opparbeide seg en forståelse av kontroller hos serviceorganisasjonen, ettersom sannsynligheten er stor for at det vil være direkte interaksjon mellom brukerenhetens ledelse og serviceorganisasjonens ledelse. A19. En annen revisor kan brukes til å utføre handlinger som vil gi de nødvendige opplysningene om de relevante kontrollene hos serviceorganisasjonen. Dersom det er avgitt en type 1- eller type 2- rapport, kan brukerrevisor bruke revisor engasjert av serviceorganisasjonen til å utføre disse 7 8 ISA 315 punkt 30. ISAE 3402 «Attestasjonsuttalelser om kontroller hos en tredjepart serviceorganisasjon».

13 13 ISA 402 handlingene ettersom sistnevnte er i relasjon med serviceorganisasjonen. En brukerrevisor som bruker arbeidet til en annen revisor kan finne veiledningen i ISA nyttig, ettersom den omhandler forhold knyttet til forståelse av en annen revisor (herunder revisors uavhengighet og faglige kompetanse), medvirkning i arbeidet til en annen revisor ved planlegging av typen, omfanget og tidspunktet for slikt arbeid, og evaluering av tilstrekkeligheten og hensiktsmessigheten av revisjonsbeviset som er innhentet. A20. En brukerenhet kan bruke en serviceorganisasjon som igjen bruker en underserviceorganisasjon til å utføre noen av de tjenestene for en brukerenhet som er en del av brukerenhetens informasjonssystem knyttet til finansiell rapportering. Underserviceorganisasjonen kan være en enhet som er atskilt fra serviceorganisasjonen eller den kan være knyttet til serviceorganisasjonen. Brukerrevisor kan finne det nødvendig å vurdere kontroller hos underserviceorganisasjonen. I situasjoner hvor det brukes en eller flere underserviceorganisasjoner, vil interaksjonen mellom brukerenhetens aktiviteter og serviceorganisasjonens aktiviteter utvides til også å omfatte interaksjonen mellom brukerenheten, serviceorganisasjonen og underserviceorganisasjonene. Graden av interaksjon, så vel som typen og vesentligheten av transaksjonene prosessert av serviceorganisasjonen og underserviceorganisasjonene, er de viktigste faktorene som brukerrevisor vurderer ved fastsettelse av betydningen av serviceorganisasjonens og underserviceorganisasjonens kontroller for brukerenhetens kontroller. Bruk av en type 1- eller type 2-rapport for å støtte brukerrevisors forståelse av serviceorganisasjonen (Jf. punkt 13 14) A21. Brukerrevisor kan rette forespørsler om revisor engasjert av serviceorganisasjonen til sistnevntes faglige organisasjon eller andre praktiserende revisorer og be om å få opplyst om revisor engasjert av serviceorganisasjonen er underlagt tilsyn. Revisor engasjert av serviceorganisasjonen kan praktisere i en jurisdiksjon som følger andre standarder med hensyn til uttalelser om kontroller hos en serviceorganisasjon, og brukerrevisor kan innhente informasjon om standardene som brukes av revisor engasjert av serviceorganisasjonen hos den standardsettende organisasjonen. A22. En type 1- eller type 2-rapport, kombinert med informasjon om brukerenheten, kan hjelpe brukerrevisor med å opparbeide seg en forståelse av: (c) (d) Hvilke aspekter ved kontroller hos serviceorganisasjonen som kan påvirke utførelsen av brukerenhetens transaksjoner, herunder bruken av underserviceorganisasjoner; Flyten av vesentlige transaksjoner gjennom serviceorganisasjonen for å fastsette punkter i transaksjonsflyten hvor det kan oppstå vesentlig feilinformasjon i brukerenhetens regnskap; Hvilke kontrollmål hos serviceorganisasjonen som er relevante for brukerenhetens regnskapspåstander; og Hvorvidt kontroller hos serviceorganisasjonen er hensiktsmessig utformet og implementert for å forebygge eller avdekke behandlingsfeil som kan føre til vesentlig feilinformasjon i brukerenhetens regnskap. En type 1- eller type 2-rapport kan hjelpe brukerrevisor med å opparbeide seg tilstrekkelig forståelse til å identifisere og vurdere risikoene for vesentlig feilinformasjon. En type 1-rapport gir imidlertid ikke noe bevis for effektiviteten av de relevante kontrollene. A23. En type 1- eller type 2-rapport som er per en dato eller for en periode som ligger utenfor rapporteringsperioden til en brukerenhet, kan hjelpe brukerrevisor med å opparbeide seg en innledende forståelse av kontrollene som er implementert hos serviceorganisasjonen dersom 9 ISA 600 punkt 2 sier: «En revisor kan finne denne ISA-en, med nødvendige tilpasninger etter rådende omstendigheter, nyttig når revisor involverer andre revisorer i revisjonen av regnskaper som ikke er». Se også punkt 19 i ISA 600.

14 14 ISA 402 rapporten suppleres av ytterligere oppdaterte opplysninger fra andre kilder. Dersom serviceorganisasjonens beskrivelse av kontroller er per en dato eller for en periode som kommer før perioden som revideres, kan brukerrevisor utføre handlinger for å oppdatere opplysningene i en type 1- eller type 2-rapport, slik som å: Diskutere endringene hos serviceorganisasjonen med medarbeidere i brukerenheten som kjenner til disse endringene; Gjennomgå oppdatert dokumentasjon og korrespondanse fra serviceorganisasjonen; eller Diskutere endringene med medarbeidere i serviceorganisasjonen. Håndtering av anslåtte risikoer for vesentlig feilinformasjon (Jf. punkt 15) A24. Hvorvidt bruken av en serviceorganisasjon bidrar til å øke en brukerenhets risiko for vesentlig feilinformasjon avhenger av typen tjenester som utføres og kontrollene knyttet til disse tjenestene. I noen tilfeller kan bruken av en serviceorganisasjon redusere en brukerenhets risiko for vesentlig feilinformasjon, særlig dersom brukerenheten selv ikke har den nødvendige ekspertisen til å utføre visse aktiviteter, for eksempel initiering, prosessering og registrering av transaksjoner, eller ikke har tilstrekkelige ressurser (for eksempel et IT-system). A25. Når serviceorganisasjonen vedlikeholder vesentlige elementer i regnskapsmaterialet til brukerenheten, kan direkte tilgang til dette materialet være nødvendig for at brukerrevisor skal kunne innhente tilstrekkelig og hensiktsmessig revisjonsbevis for gjennomføringen av kontroller knyttet til regnskapsmaterialet eller til viktige transaksjoner og saldoer registrert i det, eller begge. Slik tilgang kan innebære enten fysisk inspeksjon av regnskapsmaterialet i serviceorganisasjonens lokaler eller undersøkelse av elektronisk lagret regnskapsmateriale fra brukerenheten eller et annet sted, eller begge. Når det gis direkte elektronisk tilgang, kan brukerrevisor innhente bevis for adekvansen av kontroller gjennomført av serviceorganisasjonen knyttet til fullstendigheten og integriteten av brukerenhetens data som serviceorganisasjonen er ansvarlig for. A26. Ved fastsettelse av typen og omfanget av revisjonsbevis som skal innhentes for saldoer vedrørende eiendeler som oppbevares eller transaksjoner som utføres av en serviceorganisasjon på vegne av brukerenheten, kan følgende handlinger vurderes av brukerrevisor: (c) Inspeksjon av regnskapsmateriale og dokumenter som oppbevares av brukerenheten: Påliteligheten av denne beviskilden fastsettes av typen og omfanget av regnskapsmaterialet og underbyggende dokumentasjon som oppbevares av brukerenheten. I enkelte tilfeller oppbevarer ikke brukerenheten uavhengig detaljert regnskapsmateriale eller dokumentasjon av spesifikke transaksjoner utført på brukerenhetens vegne. Inspeksjon av regnskapsmateriale og dokumenter som oppbevares av serviceorganisasjonen: Brukerrevisors tilgang til regnskapsmaterialet hos serviceorganisasjonen kan nedfelles i kontraktsbestemmelsene mellom brukerenheten og serviceorganisasjonen. Brukerrevisor kan også bruke en annen revisor for å få tilgang til brukerenhetens regnskapsmateriale som oppbevares av serviceorganisasjonen. Innhenting av bekreftelser på saldoer og transaksjoner fra serviceorganisasjonen: Når brukerenheten oppbevarer uavhengige regnskapsopplysninger om saldoer og transaksjoner, kan bekreftelse fra serviceorganisasjonen som underbygger brukerenhetens regnskapsopplysninger utgjøre pålitelig revisjonsbevis for eksistensen av de aktuelle transaksjonene og eiendelene. For eksempel, dersom det brukes flere serviceorganisasjoner, for eksempel en investeringsforvalter eller en depotmottaker, og disse serviceorganisasjonene oppbevarer uavhengige regnskapsopplysninger, kan brukerrevisor få bekreftet saldoer hos disse organisasjonene for å sammenligne disse opplysningene med brukerenhetens uavhengige regnskapsopplysninger. Dersom brukerenheten ikke oppbevarer uavhengige regnskapsopplysninger, er informasjon innhentet gjennom bekreftelser fra serviceorganisasjoner kun en rede-

15 15 ISA 402 (d) gjørelse for det som gjenspeiles i regnskapsopplysningene som oppbevares hos serviceorganisasjonen. Slike bekreftelser utgjør således alene ikke pålitelig revisjonsbevis. Under slike omstendigheter kan brukerrevisor vurdere hvorvidt det er mulig å identifisere en alternativ kilde til uavhengig bevis. Utførelse av analytiske handlinger på regnskapsopplysningene som oppbevares av brukerenheten eller på rapportene som mottas fra serviceorganisasjonen: Effektiviteten av analytiske handlinger varierer ofte etter påstand og påvirkes av omfanget av og detaljnivået i tilgjengelig informasjon. A27. En annen revisor kan utføre handlinger av substansiell karakter på vegne av brukerrevisorer. Et slikt oppdrag kan innebære at en annen revisor utfører handlinger som er avtalt mellom brukerenheten og dennes brukerrevisor og av serviceorganisasjonen og dennes engasjerte revisor. Funnene som følger av handlingene utført av en annen revisor, gjennomgås av brukerrevisor for å fastslå hvorvidt de utgjør tilstrekkelig og hensiktsmessig revisjonsbevis. I tillegg kan det foreligge krav fra statlige myndigheter eller gjennom kontraktsbestemmelser om at revisor engasjert av serviceorganisasjonen skal utføre spesifiserte handlinger av substansiell karakter. Resultatene av anvendelsen av de pålagte handlingene på saldoer og transaksjoner behandlet av serviceorganisasjonen kan brukes av brukerrevisorer som en del av det beviset som er nødvendig for å underbygge deres konklusjoner. Under slike omstendigheter kan det være nyttig for brukerrevisor og revisor engasjert av serviceorganisasjonen å bli enig om, før utførelsen av handlingene, hvilken revisjonsdokumentasjon eller tilgang til revisjonsdokumentasjon som vil bli gitt til brukerrevisor. A28. I visse tilfeller, særlig når en brukerenhet setter ut deler av eller hele sin finansfunksjon til en serviceorganisasjon, kan brukerrevisor stå overfor en situasjon hvor en betydelig del av revisjonsbeviset oppbevares hos serviceorganisasjonen. Brukerrevisor eller en annen revisor kan da ha behov for å utføre substanshandlinger hos serviceorganisasjonen. En revisor engasjert av serviceorganisasjonen kan avgi en type 2-rapport og, i tillegg, utføre substanshandlinger på vegne av brukerrevisor. Deltakelsen av en annen revisor endrer ikke brukerrevisors ansvar for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis som gir et rimelig grunnlag for brukerrevisors konklusjon. Følgelig vil brukerrevisors vurdering av hvorvidt det er innhentet tilstrekkelig og hensiktsmessig revisjonsbevis og hvorvidt brukerrevisor må utføre videre substanshandlinger omfatte brukerrevisors medvirkning i, eller bevis for, styringen, oppfølgingen og utførelsen av substanshandlingene utført av en annen revisor. Tester av kontroller (Jf. punkt 16) A29. Brukerrevisor er i ISA pålagt å utforme og utføre tester av kontroller for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for effektiviteten av relevante kontroller under gitte omstendigheter. I forbindelse med en serviceorganisasjon gjelder dette kravet når: Brukerrevisors vurdering av risikoer for vesentlig feilinformasjon innebærer en forventning om at kontrollene hos serviceorganisasjonen fungerer effektivt (det vil si at brukerrevisor planlegger å bygge på effektiviteten av kontroller hos serviceorganisasjonen ved fastsettelse av typen, tidspunkt og omfang av substanshandlinger); eller Substanshandlinger alene, eller i kombinasjon med tester av effektiviteten av kontroller hos brukerenheten, ikke kan gi tilstrekkelig og hensiktsmessig revisjonsbevis på påstandsnivå. A30. Dersom en type 2-rapport ikke er tilgjengelig, kan brukerrevisor kontakte serviceorganisasjonen, gjennom brukerenheten, for å be serviceorganisasjonen engasjere en revisor til å avgi en type 2- rapport som omfatter tester av effektiviteten av de relevante kontrollene, eller brukerrevisor kan bruke en annen revisor til å utføre handlinger hos serviceorganisasjonen som tester effektiviteten 10 ISA 330 punkt 8.

16 16 ISA 402 av disse kontrollene. En brukerrevisor kan også besøke serviceorganisasjonen og utføre tester av relevante kontroller dersom serviceorganisasjonen sier seg enig i det. Brukerrevisors risikovurderinger baserer seg på kombinasjon av bevis innhentet gjennom arbeidet til en annen revisor og brukerrevisors egne handlinger. Bruk av en type 2-rapport som revisjonsbevis for at kontroller hos serviceorganisasjonen fungerer effektivt (Jf. punkt 17) A31. En type 2-rapport kan være beregnet på å oppfylle behovet til flere forskjellige brukerrevisorer, og tester av kontroller og resultater beskrevet i rapporten til revisor engasjert av serviceorganisasjonen vil derfor ikke alltid være relevante for påstander som er vesentlige i brukerenhetens regnskap. De relevante testene av kontroller og resultatene evalueres for å fastsette hvorvidt rapporten fra revisor engasjert av serviceorganisasjonen gir tilstrekkelig og hensiktsmessige revisjonsbevis for effektiviteten av kontrollene til å underbygge brukerrevisors risikovurdering. I den forbindelse kan brukerrevisor vurdere følgende faktorer: (c) Tidsperioden som dekkes av testene av kontroller og hvor lenge det er siden testene av kontroller ble utført; Omfanget av arbeidet til revisor engasjert av serviceorganisasjonen og tjenestene og prosessene som dekkes, kontrollene som er testet og testene som er utført, og måten testede kontroller er knyttet til brukerenhetens kontroller; og Resultatene av disse testene av kontroller og konklusjonen til revisor engasjert av serviceorganisasjonen om effektiviteten av kontrollene. A32. For visse påstander gjelder at jo kortere periode som dekkes av en spesifikk test og jo lengre det er siden testen ble utført, desto mindre revisjonsbevis gir testen. Ved å sammenligne perioden som dekkes av type 2-rapporten med brukerenhetens finansielle rapporteringsperiode, kan brukerrevisor konkludere med at type 2-rapporten gir mindre revisjonsbevis dersom det er liten overlapping mellom perioden som dekkes av type 2-rapporten og perioden som brukerrevisor har til hensikt å bygge på rapporten. Dersom dette er tilfellet, kan en type 2-rapport som dekker en tidligere eller etterfølgende periode gi ytterligere revisjonsbevis. I andre tilfeller kan brukerrevisor finne det nødvendig å utføre, eller få en annen revisor til å utføre, tester av kontroller hos serviceorganisasjonen for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for effektiviteten av disse kontrollene. A33. Det kan også være nødvendig for brukerrevisor å innhente ytterligere bevis for viktige endringer i de relevante kontrollene hos serviceorganisasjonen utenfor perioden som dekkes av type 2- rapporten, eller å fastsette at det skal utføres ytterligere revisjonshandlinger. Relevante faktorer ved fastsettelse av hvilket ytterligere revisjonsbevis som skal innhentes for kontroller hos serviceorganisasjonen som ble gjennomført utenfor perioden som dekkes av rapporten til revisor engasjert av serviceorganisasjonen, kan omfatte: Betydningen av de anslåtte risikoene for vesentlig feilinformasjon på påstandsnivå; De spesifikke kontrollene som ble testet under interimsperioden, og viktige endringer i dem etter at de ble testet, herunder endringer i informasjonssystemet, prosesser og medarbeidere; I hvilken grad det ble innhentet revisjonsbevis for effektiviteten av disse kontrollene; Lengden på den gjenværende perioden; I hvilken grad brukerrevisor planlegger å redusere videre substanshandlinger for å bygge på kontroller; og Effektiviteten av kontrollmiljøet og overvåking av kontroller hos brukerenheten. A34. Ytterligere revisjonsbevis kan for eksempel innhentes ved å utvide tester av kontroller i den resterende perioden eller ved å teste brukerenhetens overvåking av kontroller. A35. Dersom testperioden til revisor engasjert av serviceorganisasjonen er helt utenfor brukerenhetens finansielle rapporteringsperiode, vil ikke brukerrevisor være i stand til å bygge på slike tester for å fastsette hvorvidt brukerenhetens kontroller fungerer effektivt fordi de ikke gir

17 17 ISA 402 revisjonsbevis for effektiviteten av kontrollene i inneværende periode, med mindre det utføres andre handlinger. A36. Under enkelte omstendigheter kan en tjeneste utført av serviceorganisasjonen være utformet med den forutsetningen at visse kontroller vil bli implementert av brukerenheten. Tjenesten kan for eksempel være utformet med den forutsetningen at brukerenheten vil ha kontroller på plass for godkjenning av transaksjoner før de sendes til serviceorganisasjonen for prosessering. I en slik situasjon kan serviceorganisasjonens beskrivelse av kontroller omfatte en beskrivelse av disse komplementære brukerenhetskontrollene. Brukerrevisor vurderer hvorvidt disse komplementære brukerenhetskontrollene er relevante for tjenesten som utføres for brukerenheten. A37. Dersom brukerrevisor mener at rapporten avgitt av revisor engasjert av serviceorganisasjonen ikke gir tilstrekkelig og hensiktsmessig revisjonsbevis, for eksempel dersom en slik rapport ikke inneholder en beskrivelse av revisors tester av kontroller og resultatene av disse, kan brukerrevisor supplere forståelsen av handlingene og konklusjonene til revisor engasjert av serviceorganisasjonen ved å kontakte serviceorganisasjonen, gjennom brukerenheten, for å be om en samtale med revisor engasjert av serviceorganisasjonen om omfanget og resultatene av revisors arbeid. Videre, dersom brukerrevisor finner det nødvendig, kan brukerrevisor kontakte serviceorganisasjonen, gjennom brukerenheten, for å be revisor engasjert av serviceorganisasjonen om å utføre handlinger hos serviceorganisasjonen. Alternativt kan brukerrevisor, eller en annen revisor forespurt av brukerrevisor, utføre slike handlinger. A38. Type 2-rapporten avgitt av revisor engasjert av serviceorganisasjonen identifiserer resultater av tester, herunder avvik og andre opplysninger som kan påvirke brukerrevisors konklusjoner. Avvik registrert av revisor engasjert av serviceorganisasjonen eller en modifisert konklusjon i type 2-rapporten avgitt av nevnte revisor betyr ikke nødvendigvis at type 2-rapporten ikke vil være nyttig for revisjonen av brukerenhetens regnskap ved vurdering av risikoene for vesentlig feilinformasjon. Avvikene og forholdet som ligger til grunn for en modifisert konklusjon i type 2-rapporten avgitt av revisor engasjert av serviceorganisasjonen tas således i betraktning når brukerrevisor vurderer testene av kontroller utført av revisor engasjert av serviceorganisasjonen. I forbindelse med vurderingen av avvikene og forholdene som ligger til grunn for en modifisert konklusjon, kan brukerrevisor diskutere disse forholdene med revisor engasjert av serviceorganisasjonen. Slik kommunikasjon avhenger av at brukerenheten kontakter serviceorganisasjonen og innhenter serviceorganisasjonens tillatelse til at kommunikasjonen kan finne sted. Kommunikasjon av mangler i intern kontroll identifisert under revisjonen A39. Brukerrevisor er pålagt å kommunisere vesentlige mangler identifisert under revisjonen skriftlig til både ledelsen og dem som har overordnet ansvar for styring og kontroll rettidig. 11 Brukerrevisor er også pålagt å kommunisere rettidig til ledelsen på hensiktsmessig nivå andre mangler i intern kontroll identifisert under revisjonen som, etter brukerrevisors profesjonelle skjønn, er av tilstrekkelig viktige til at de fortjener ledelsens oppmerksomhet. 12 Forhold som brukerrevisor kan identifisere under revisjonen og kan kommunisere til ledelsen og dem som har overordnet ansvar for styring og kontroll, omfatter: Eventuell overvåking av kontroller som kan bli implementert av brukerenheten, herunder de som er identifisert som følge av innhentingen av en type 1- eller type 2- rapport; Tilfeller hvor komplementære brukerenhetskontroller er registrert i type 1- eller type 2- rapporten og ikke er implementert hos brukerenheten; og Kontroller som kan være nødvendige hos serviceorganisasjonen, men som ikke kan ses å være implementert eller som ikke spesifikt dekkes av en type 2-rapport ISA 265 «Kommunikasjon av mangler i intern kontroll til dem som har overordnet ansvar for styring og kontroll samt ledelsen» punkt ISA 265 punkt 10.

18 18 ISA 402 Type 1- og type 2-rapporter som ekskluderer tjenestene til en underserviceorganisasjon (Jf. punkt 18) A40. Dersom en serviceorganisasjon bruker en underserviceorganisasjon, kan rapporten fra revisor engasjert av serviceorganisasjonen enten inkludere eller ekskludere underserviceorganisasjonens relevante kontrollmål og tilhørende kontroller i serviceorganisasjonens beskrivelse av sitt system og i omfanget av oppdraget til revisor engasjert av serviceorganisasjonen. Disse to rapporteringsmetodene er kjent som henholdsvis den inkluderende metoden og ekskluderende metoden. Dersom type 1- eller type 2-rapporten ekskluderer kontrollene hos en underserviceorganisasjon, og tjenestene som utføres av underserviceorganisasjonen er relevante for revisjonen av brukerenhetens regnskap, er brukerrevisor pålagt å anvende kravene i denne ISA-en med hensyn til underserviceorganisasjonen. Typen og omfanget av arbeid som skal utføres av brukerrevisor i forhold til tjenestene utført av en underserviceorganisasjon, avhenger av typen og betydningen av disse tjenestene for brukerenheten og relevansen av disse tjenestene for revisjonen. Anvendelsen av kravet i punkt 9 hjelper brukerrevisor med å fastsette effekten av underserviceorganisasjonen og typen og omfanget av arbeid som skal utføres. Misligheter, manglende etterlevelse av lover og forskrifter samt ikke-korrigert feilinformasjon knyttet til aktiviteter hos serviceorganisasjonen (Jf. punkt 19) A41. En serviceorganisasjon kan i henhold til vilkårene i kontrakten med brukerenheter være pålagt å informere berørte brukerenheter om eventuelle misligheter, manglende etterlevelse av lover og forskrifter samt ikke-korrigert feilinformasjon som kan henføres til serviceorganisasjonens ledelse eller ansatte. Som fastsatt i punkt 19, retter brukerrevisor forespørsler til brukerenhetens ledelse om hvorvidt serviceorganisasjonen har rapportert noen slike forhold og evaluerer hvorvidt eventuelle forhold rapportert av serviceorganisasjonen påvirker typen, tidspunktet og omfanget av brukerrevisors videre revisjonshandlinger. Under visse omstendigheter kan brukerrevisor ha behov for ytterligere opplysninger for å gjennomføre denne evalueringen og kan be brukerenheten kontakte serviceorganisasjonen for å innhente de nødvendige opplysningene. Rapportering fra brukerrevisor (Jf. punkt 20) A42. Når brukerrevisor ikke er i stand til å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for de tjenestene utført av serviceorganisasjonen som er relevante for revisjonen av brukerenhetens regnskap, foreligger det en begrensning av innholdet i revisjonen. Dette kan være tilfellet når: Brukerrevisor ikke er i stand til å opparbeide seg en tilstrekkelig forståelse av tjenestene utført av serviceorganisasjonen og ikke har grunnlag for å identifisere og vurdere risikoene for vesentlig feilinformasjon; Brukerrevisors risikovurdering innebærer en forventning om at kontroller hos serviceorganisasjonen fungerer effektivt og brukerrevisor ikke er i stand til å innhente tilstrekkelig og hensiktsmessig revisjonsbevis for effektiviteten av disse kontrollene; eller Tilstrekkelig og hensiktsmessig revisjonsbevis kun er tilgjengelig i regnskapsopplysninger som oppbevares hos serviceorganisasjonen og brukerrevisor ikke er i stand til å få direkte tilgang til disse regnskapsopplysningene. Hvorvidt brukerrevisor gir uttrykk for en konklusjon med forbehold eller en konklusjon om at revisor ikke kan uttale seg om regnskapet avhenger av brukerrevisors vurdering av hvorvidt den mulige innvirkningen på regnskapet er vesentlig eller gjennomgripende. Henvisning til arbeidet utført av revisor engasjert av serviceorganisasjonen (Jf. punkt 21 22) A43. I noen tilfeller kan lov eller forskrift kreve at det henvises til arbeidet utført av revisor engasjert av serviceorganisasjonen, for eksempel i forbindelse med transparens i offentlig sektor. I slike

19 19 ISA 402 tilfeller kan det være nødvendig å få tillatelse fra revisor engasjert av serviceorganisasjonen før brukerrevisor foretar en slik henvisning. A44. Det faktum at en brukerenhet bruker en serviceorganisasjon endrer ikke brukerrevisors ansvar i henhold til ISA-ene for å innhente tilstrekkelig og hensiktsmessig revisjonsbevis som gir et rimelig grunnlag for brukerrevisors konklusjon. Brukerrevisor henviser derfor ikke til rapporten avgitt av revisor engasjert av serviceorganisasjonen i grunnlaget for brukerrevisors konklusjon om brukerenhetens regnskap. Når brukerrevisor gir uttrykk for en modifisert konklusjon på grunn av en modifisert konklusjon i rapporten avgitt av revisor engasjert av serviceorganisasjonen, er brukerrevisor imidlertid ikke forhindret fra å henvise til rapporten avgitt av revisor engasjert av serviceorganisasjonen dersom slik henvisning bidrar til å forklare årsaken til brukerrevisors modifiserte konklusjon. I slike tilfeller kan det være nødvendig å få tillatelse fra revisor engasjert av serviceorganisasjonen før brukerrevisor foretar en slik henvisning.