Kategori: Försäkran

Outsourcing genom historien

Outsourcing genom historien

Stordriftsfördelar

Sedan den industriella revolutionen har organisationer funderat på hur de kan utnyttja sina konkurrensfördelar för att expandera marknader och öka vinsterna. Den dominerande modellen under 1800- och 1900-talen var den stora integrerade organisationen. Under 1950- och 1960-talen breddade företagen sina baser för att dra nytta av stordriftsfördelar.

Den stora integrerade organisationen diversifierade sitt produktsortiment, vilket krävde fler ledningsnivåer för expansioner. Tekniska framsteg som internet under 1980- och 1990-talen tvingade organisationer att globalisera mer och hindrades av oflexibilitet på grund av uppblåsta ledningsstrukturer. För att öka flexibiliteten har många stora organisationer utvecklat en strategi som fokuserar på deras kärnverksamhet och kärnprocesser.

Principal-agent-problem

Fokuseringen på kärnprocesserna ledde till diskussioner om vilka processer som var väsentliga och avgörande för kontinuiteten i verksamheten och vilka som kunde läggas ut på externa tjänsteleverantörer. Processer eller funktioner som saknade interna resurser lades ut på specialiserade byråer eller tjänsteleverantörer. Följaktligen utvecklades principal-agent-problemet mellan användarorganisationer och serviceorganisationer, och principal-agent-teorin och relaterad informationsasymmetri fick ökad betydelse i takt med outsourcingens tillväxt.

Informationsasymmetri

Det vanligaste agentförhållandet inom den finansiella sektorn uppstår mellan investerare (eller aktieägare) och ledningen för ett företag. Huvudmannen kanske inte känner till agentens verksamhet eller så kan agenten förbjuda honom eller henne att inhämta information. Resultatet blir en informationsasymmetri mellan uppdragsgivaren och agenten. Exempelvis kan ledningen vilja investera i tillväxtekonomier samtidigt som huvudmannens risktolerans är ogynnsam. Denna förvaltningsstrategi kan komma att gå ut över den kortsiktiga lönsamheten, öka bolagets risker och potentiellt leda till högre avkastning i framtiden. Investerare som söker hög löpande kapitalavkastning med låg risk kanske inte känner till dessa förvaltningsplaner. Om konsekvensen av denna förvaltningsstrategi leder till vissa förluster kan ledningen vara benägen att inte lämna ut denna information till aktieägarna. Utvecklingen av redovisningsyrket var en viktig global utveckling för att mildra agentproblemet.

Risk- och resursplanering

Som framgår ovan kan det uppstå situationer där ombudet avser att allokera vissa av investerarnas resurser till högriskinvesteringar. Agenten är beslutsfattaren och bär liten eller ingen risk eftersom alla förluster bärs av huvudmannen. Denna situation kan uppstå när aktieägare bidrar med finansiellt stöd till ett företag som ledningen använder efter eget gottfinnande. Ombudet kan ha en annan risktolerans än investerarna på grund av ojämn riskfördelning. Alternativt kan medarbetarna välja att investera sin energi i ett projekt som inte har några långsiktiga fördelar för organisationen. Ledningen är ansvarig för organisationens finansiella situation och kan vara omedveten om att medarbetarna fokuserar på fel mål.

Finansiella konsekvenser

Om huvudmannen är en investerare eller aktieägare i en organisation är huvudmannens intressen inriktade på att optimera avkastningen på investeringarna. Avkastningen från investeringar delas ut som utdelningar till investerare på kort eller lång sikt. Principerna är inriktade på att optimera den (långsiktiga) direktavkastningen. Att betala höga utdelningar till huvudmännen begränsar investeringsmöjligheterna eller kan orsaka kassaflödesproblem för organisationens ledning. Huvudmän och ombud har motstående ekonomiska intressen i detta avseende.

Agentteorin är också relevant i förhållandet mellan ledning och medarbetare. Medarbetarna har ett intresse av att öka sin personliga lön och sin personliga tillfredsställelse med minimal ansträngning. Ledningen strävar efter att optimera produktions- eller försäljningsvolymerna till lägsta möjliga arbetskostnad. I detta sammanhang förekommer även informationsasymmetri i form av att ledningen inte har fullständig förståelse för medarbetarnas dagliga arbete. Ledningen kommer sannolikt att implementera budgeteringsmekanismer och kontroller för att optimera de anställdas aktiviteter för organisationens syfte. Agentteorin är också relevant i outsourcing-situationer.

Agentteori inom outsourcing

I allmänna termer avser agentteorin alla relationer mellan två parter där den ena parten är huvudmannen och den andra är agenten som representerar huvudmannen i transaktioner med tredje part. Agentförhållanden uppstår när uppdragsgivare anlitar agenter för att utföra en tjänst för uppdragsgivarens räkning. Huvudmännen delegerar vanligtvis beslutanderätten till agenter. Eftersom avtal och beslut med tredje part fattas av agenten på uppdrag av huvudmannen kan agentproblem uppstå.

I en situation där aktiviteter outsourcas från en användarorganisation till en serviceorganisation är agentteorin relevant för alla de aspekter som beskrivs; informationsasymmetri, risktolerans och engagerade resurser. Ett finansinstitut outsourcar till exempel IT-tjänster till en leverantör av managed services. Leverantören av managed services saknar insikt i institutets risktolerans och kan besluta att säkerhetskopiering varje vecka är acceptabelt eller att lagring av data utanför EU är acceptabelt. Tjänsteleverantören kanske inte informerar organisationen om driftstopp för vissa servrar om detta nätverksavbrott inte identifieras av finansinstitutet. Serviceorganisationen kan också vara benägen att minimera resurserna för att utföra aktiviteter och samtidigt försöka öka de erhållna avgifterna. En serviceorganisation kan ha en annan tolerans för bedrägerier eller kan själv ägna sig åt bedrägerier. Inom pensionssektorn kan kapitalförvaltare tjäna på att fronta transaktioner från pensionsfonder. Detta leder till det principal-agent-problem som beskrivs ovan.

Vad passar bäst? An SOC 1 or an SOC 2?

Vad passar bäst?

En SOC 1 eller en SOC 2?

Den allmänna termen för tredjepartsriskrapportering från serviceorganisationer till användarorganisationer är Systems and Organization Control Report eller SOC-rapport. Denna term kommer från American Institute of Certified Public Accountants (AICPA) som en ersättning för SAS70-ramverket.

Dessa kallades tidigare för Service Organization Control-rapporter. SOC är en serie rapporter som har sitt ursprung i USA. ISAE 3402 är anpassad till den amerikanska standarden Statement on Standards for Attestation Engagements (SSAE) 18. En ISAE 3402-rapport ger en försäkran om beskrivningen av en serviceorganisations system och lämpligheten i utformningen och driften av dess interna kontrollåtgärder genom en servicerevisionsrapport.

ISAE 3402 | SOC 1

I en ISAE 3402 | SOC 1-rapport definierar organisationer sina egna kontrollmål och kontroller och anpassar dem till kundernas behov. Omfattningen av en ISAE 3402 inkluderar vanligtvis alla operativa och finansiella kontroller som påverkar de finansiella rapporterna och allmänna IT-kontroller (t.ex. säkerhetshantering, fysisk och logisk säkerhet, ändringshantering, incidenthantering och systemövervakning). Med andra ord, om en organisation är värd för finansiell information som kan påverka kundens finansiella rapportering, är en ISAE 3402 | SOC 1-revisionsrapport det mest logiska för en organisation att sträva efter och kommer sannolikt att begäras. ITGC:er, operativa kontroller och finansiella kontroller granskas enligt ISAE 3402 | SOC 1-ramverket.

I en SOC 1-revision måste kontroller, som används för att korrekt representera intern kontroll över finansiell rapportering (ICOFR), inkluderas om organisationen är föremål för SEC-registreringar i USA.

Eftersom de viktigaste leverantörerna till finansinstitut var IT-tjänsteleverantörer och, i ett senare skede, leverantörer av molntjänster och leverantörer av datacenter/hosting har vunnit mark i IT-branschen, har SAS70, SSAE 18 SOC 1 och ISAE 3402 blivit den mest omfattande och transparenta standarden för IT-outsourcing och riskkompetens. Organisationer som kräver en ISAE 3402 | SOC 1-rapport överväger ofta ISAE 3000 | SOC 2-rapporter.

ISAE 3000 | SOC 2

ISAE 3000 och SOC 2-rapporter tillämpar principerna och kriterierna för förtroendetjänster (TSP). TSP:erna är en uppsättning specifika krav som utvecklats av AICPA och Canadian Institute of Chartered Accountants (CICA) för att ge försäkran om säkerhet, tillgänglighet, konfidentialitet, processintegritet och sekretess. En organisation kan välja de olika aspekter som är relevanta för kundens behov. En ISAE 3000- eller SOC 2-rapport kan omfatta en eller flera principer. Om din organisation är värd för eller behandlar andra typer av information för dina kunder som inte påverkar deras finansiella rapportering, är en ISAE 3000 | SOC 2 mer relevant. I det här fallet är dina kunder sannolikt oroliga för om du hanterar deras uppgifter på ett säkert sätt och om de är tillgängliga för dem enligt överenskommelse. En SOC 2-rapport utvärderar, i likhet med en SOC 1-rapport, interna kontroller, policyer och rutiner.

SOC 1 ELLER SOC 2?

Organisationer som bearbetar, hostar eller hanterar system eller information som påverkar den finansiella rapporteringen måste alltid tillhandahålla en ISAE 3402 | SOC 1. ISAE 3000 | SOC 2 gäller när alla system och processer inte är relaterade till finansiell rapportering. Leverantörer av datacenter, IaaS, PaaS rapporterar vanligtvis hybrid, med både ISAE 3402 | SOC 1 för finansiella processer och system och ISAE 3000 | SOC 2 för icke-relaterade processer och system. Innehållet i de båda rapporterna kommer att vara identiskt.

Expansion erhåller ISAE 3402 typ II-utlåtande

Vid expansion erhålls

ISAE 3402 Typ II Uttalande

Utrecht, 25 april 2019 – DMS-leverantören Expansion erhöll ISAE 3402 Type II-utlåtandet i januari 2019. Med hjälp av Securance får Expansions kunder en objektiv bekräftelse på att deras serviceprocesser är tillförlitliga. Avsluta Revisorer har utfört revisionen.

Digital arkivering och dokumenthantering

Expansion är en ledande leverantör av lösningar för digital arkivering och dokumenthantering. De erbjuder i allt högre grad sina lösningar i molnet. Expansion gör det möjligt för organisationer att helt lägga ut hanteringen av sin kritiska affärsinformation på entreprenad. För att försäkra kunderna och deras revisorer om att vi uppfyller de högsta standarderna för informationssäkerhet beslutade Expansion att skaffa ett ISAE 3402 Type II-utlåtande.

Implementering & revision

Securance och Conclude Accountants stödde Expansion under andra halvåret 2018 med implementeringen av ISAE 3402-rapporten och granskade olika aspekter: Är serviceorganisationens beskrivning korrekt? Är de definierade kontrollåtgärderna tillräckligt utformade? Uppnår kontrollåtgärderna Expansions mål på ett effektivt sätt? Slutsats Revisorerna fick bekräftelse på dessa aspekter under revisionen, vilket möjliggjorde utfärdandet av ISAE 3402 typ II-uttalandet.

Omfattande urval

Expansion valde Securance och Conclude Accountants för att leda processen, främst på grund av deras långa erfarenhet inom detta område.

Kontinuerlig process
Expansion upplevde samarbetet som mycket konstruktivt och bidrog till att lyfta företagets tjänster till ännu högre och mer konsekventa nivåer. Att erhålla ISAE 3402 Type II-utlåtandet är inte slutet för Expansion utan en del av en pågående förbättringsprocess, där Securance kommer att fortsätta att bidra. De första förberedelserna inför den kommande revisionen har redan gjorts.

Om expansion

Med standard DMS Xtendis är Expansion en av marknadsledarna i Nederländerna inom digital arkivering och dokumenthantering. Xtendis används allt oftare som en molntjänst. Xtendis används i Nederländerna av mer än 650 organisationer för olika tillämpningar, bland annat digitala personalakter, orderakter, fakturahantering, kundakter och posthantering. Xtendis låser upp totalt över 2,6 miljarder dokument för mer än 4 miljoner användare.

COSO Enterprise Risk Management

COSO Enterprise Risk Management

När en organisation strävar efter att uppnå sina mål måste den ta itu med risker som hotar dessa mål och hantera dem. För detta ändamål har COSO definierat olika delar av ett internt kontrollsystem. COSO-modellen beskriver det direkta sambandet mellan:

  1. Organisatoriska mål;
  2. Kontrollkomponenter;
  3. De aktiviteter/avdelningar som kräver intern kontroll.
  4. COSO identifierar sambanden mellan företagets risker och det interna kontrollsystemet. COSO verkar med utgångspunkten att intern kontroll är en process som syftar till att säkerställa att mål inom följande kategorier uppnås:
  5. Uppnå strategiska mål (Strategi);
  6. Effektivitet och ändamålsenlighet i verksamhetsprocesserna (Verksamhet);
  7. Tillförlitligheten i den finansiella rapporteringen (Rapportering);
  8. Efterlevnad av relevanta lagar och förordningar (Compliance).

Vidare måste organisationer visa för investerare och andra intressenter att de hanterar osäkerheter på ett korrekt sätt (Code Tabaksblat och Sarbanes-Oxley Act). I Risklane-metoden för Enterprise Risk Management (ERM) identifieras risker och deras konsekvenser beskrivs i detalj. Risklane använder de senaste standarderna, metoderna och teknikerna inom riskhantering för detta ändamål.