Som ett resultat av det kontinuerliga kostnadstrycket väljer många företag att outsourca delar av verksamheten. Förutom att sänka kostnaderna skapar outsourcing även andra fördelar; dels genom att det frigör tid så att ledningen kan fokusera på andra processer och affärsverksamheter och dels ett förbättrat resultat - genom sänkta kostnader och sparad tid kan dessa medel läggas på inkomstökande aktiviteter. Det finns dock ett antal risker förknippade med outsourcing. Den kanske mest allvarliga risken är begränsad insyn och kontroll i den outsourcade processen. Kommunikationen är begränsad och ledningen är ofta långt ifrån den outsourcade processen. Som ett resultat av bristande insyn och kontroll finns risken att eventuella bristfälliga kontroller och kvalitetsproblem hos outsourcingleverantören inte kommuniceras. Kvalitetsproblem kan för användarföretaget få förödande konsekvenser, dels ryktesmässig men även kostnadsmässigt.
Hur skall ett företag hantera den minskade insynen vid outsourcing? Ett sätt är att kräva att din outsourcingpartner, alternativt uttryckt servicebyrå, tillhandahåller ett så kallat tredjepartsintyg. Vad är då ett tredjepartsintyg? Det är ett intyg som består av två huvudsakliga sektioner. I den första sektionen beskriver servicebyrån sin internkontrollmiljö och de väsentliga kontroller som utförs. I den andra sektionen återfinns en oberoende revisors redogörelse för tillförlitligheten i de kontroller som servicebyrån utför.
Det finns ett antal standarder som reglerar tredjepartsintygets format och syfte. Historiskt sett har den vanligaste typen av intyg syftat till att ge en bild av den interna kontrollen över den finansiella rapporteringen. Standarder som stödjer detta syfte är ISAE3402, SSAE 18 och SOC1. I takt med att cyberhoten ökar och att det tillkommer mer regleringar kopplat till informationssäkerhet etc. så har det lett till ökande behov av tredjepartsintyg som syftar till att ge försäkran med avseende på den behandlade informationens tillgänglighet, integritet, sekretess och spårbarhet. Standarder som kan täcka dessa områden är ISAE 3000 och SOC2.
Som servicebyrå finns det flera fördelar med att ha ett tredjepartsintyg:
De största fördelarna finns dock naturligtvis hos kunderna/användarföretagen eftersom intyget är utformat för att tillfredsställa deras behov. För de som nyttjar tjänsten ger ett tredjepartsintyg följande:
Eftersom tredjepartsintygen är standardiserade rapporter är detta ofta ett mer kostnadseffektivt alternativ både för servicebyrån och bolagen som nyttjar tjänsten, jämfört med att genomföra olika skräddarsydda granskningar av den levererade tjänsten.
Skriven av Claes Mårtensson