News

Bristande insyn och kontroll vid outsourcing

June 10, 2019

Som ett resultat av det kontinuerliga kostnadstrycket väljer många företag att outsourca delar av verksamheten. Förutom att sänka kostnaderna skapar outsourcing även andra fördelar; dels genom att det frigör tid så att ledningen kan fokusera på andra processer och affärsverksamheter och dels ett förbättrat resultat - genom sänkta kostnader och sparad tid kan dessa medel läggas på inkomstökande aktiviteter. Det finns dock ett antal risker förknippade med outsourcing. Den kanske mest allvarliga risken är begränsad insyn och kontroll i den outsourcade processen. Kommunikationen är begränsad och ledningen är ofta långt ifrån den outsourcade processen. Som ett resultat av bristande insyn och kontroll finns risken att eventuella bristfälliga kontroller och kvalitetsproblem hos outsourcingleverantören inte kommuniceras. Kvalitetsproblem kan för användarföretaget få förödande konsekvenser, dels ryktesmässig men även kostnadsmässigt.

Hur kan ett företag få bättre insyn och kontroll i den outsourcade processen?

Hur skall ett företag hantera den minskade insynen vid outsourcing? Ett sätt är att kräva att din outsourcingpartner, alternativt uttryckt servicebyrå,  tillhandahåller ett så kallat tredjepartsintyg. Vad är då ett tredjepartsintyg? Det är ett intyg som består av två huvudsakliga sektioner. I den första sektionen beskriver servicebyrån sin internkontrollmiljö och de väsentliga kontroller som utförs. I den andra sektionen återfinns en oberoende revisors redogörelse för tillförlitligheten i de kontroller som servicebyrån utför.

Ändamålet bestämmer valet av intyg

Det finns ett antal standarder som reglerar tredjepartsintygets format och syfte. Historiskt sett har den vanligaste typen av intyg syftat till att ge en bild av den interna kontrollen över den finansiella rapporteringen. Standarder som stödjer detta syfte är ISAE3402, SSAE 18 och SOC1. I takt med att cyberhoten ökar och att det tillkommer mer regleringar kopplat till informationssäkerhet etc. så har det lett till ökande behov av tredjepartsintyg som syftar till att ge försäkran med avseende på den behandlade informationens tillgänglighet, integritet, sekretess och spårbarhet. Standarder som kan täcka dessa områden är ISAE 3000 och SOC2.

Fördelar med tredjepartsintyg

Som servicebyrå finns det flera fördelar med att ha ett tredjepartsintyg:

  • Operativ effektivitet – genom att ha en oberoende revisor som en gång per år granskar internkontrollen minskar tidsåtgången som säljorganisation och ledning löpande behöver lägga på att svara på klient- och / eller revisorsfrågor.
  • Konkurrensfördel och en bild av öppenhet/transparens – vid anbudsförfaranden ger intyget ett konkret stöd till affärsförslaget och det påvisar även en transparens gentemot kunder.
  • Förbättrad kommunikation – genom att tillhandahålla ett tredjepartsintyg informeras kunderna om de kritiska processer som påverkar kvaliteten på de levererade tjänsterna.

De största fördelarna finns dock naturligtvis hos kunderna/användarföretagen eftersom intyget är utformat för att tillfredsställa deras behov. För de som nyttjar tjänsten ger ett tredjepartsintyg följande:

  • En detaljerad beskrivning av serviceorganisationens levererade tjänst och dess kontrollramverk
  • En oberoende revisors bedömning av huruvida kontrollerna var lämpligt utformade och effektivt fungerande

Eftersom tredjepartsintygen är standardiserade rapporter är detta ofta ett mer kostnadseffektivt alternativ både för servicebyrån och bolagen som nyttjar tjänsten, jämfört med att genomföra olika skräddarsydda granskningar av den levererade tjänsten.

Skriven av Claes Mårtensson

Related news