Leeuwarden – Op donderdag 14 juli jl. stond de uitreiking van de bachelorgetuigschriften Accountancy op de jaarplanning van de Noordelijke Hogeschool Leeuwarden. Na het vorig jaar behalen van de bachelor Bedrijfseconomie mocht Jan-Tjalling Westendorp op deze dag ook zijn bachelor Accountancy in ontvangst nemen. Door dit behaalde resultaat kan Jan-Tjalling vanaf 1 september rechtsreeks doorstromen tot de MSc Accountancy and Controlling aan de Rijksuniversiteit Groningen.
dinsdag 19 juli 2011
Bachelor Accountancy behaald
Leeuwarden – Op donderdag 14 juli jl. stond de uitreiking van de bachelorgetuigschriften Accountancy op de jaarplanning van de Noordelijke Hogeschool Leeuwarden. Na het vorig jaar behalen van de bachelor Bedrijfseconomie mocht Jan-Tjalling Westendorp op deze dag ook zijn bachelor Accountancy in ontvangst nemen. Door dit behaalde resultaat kan Jan-Tjalling vanaf 1 september rechtsreeks doorstromen tot de MSc Accountancy and Controlling aan de Rijksuniversiteit Groningen.
zondag 22 mei 2011
SAS70 vervangen door ISAE 3402
In het recente bericht van 6 mei is reeds vermeld dat een SAS70-rapportage wereldwijd een gemeengoed is voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Voor de serviceorganisatie heeft een certificering op basis van SAS70 onder andere de volgende voordelen:
Ten eerste gaat de huidige SAS70 niet uit van een risicobenadering, zoals dat de laatste jaren gebruikelijk is bij de controle van de jaarrekening. SAS70 gaat uit van de volledige set van interne beheersdoelstellingen en –maatregelen zonder afwegingen te maken ten aanzien van risico’s of materialiteit van de financiële informatie. De consequentie hiervan is zeer complete SAS70-beschrijvingen en veel inzicht in de bedrijfsprocessen en interne beheersing. Een beschrijving van het risicoanalyseproces is de basis onder het vernieuwde ISAE 3402-rapport, waardoor een risicoanalyse verplicht is gesteld. Echter behoeven organisaties minder belangrijke bedrijfsprocessen en beheersmaatregelen, mits voldoende toegelicht, niet in het rapport op te nemen. Hierdoor worden de accountantskosten gereduceerd.
Een tweede reden dat SAS70 wordt vervangen is dat de COSO-doelstellingen ‘naleving van wet- en regelgeving’ en ‘efficiëntie en effectiviteit van de bedrijfsvoering’ geen deel uitmaken van de reikwijdte. Het niet voldoen aan wet- en regelgeving kan leiden tot reputatieschade voor de gebruikersorganisatie. Dit is met name voor toezichthouders in de financiële wereld een reden geweest om aanvullende eisen te stellen. Ten aanzien van het tweede aspect is het van belang dat de serviceorganisatie voldoet aan het overeengekomen serviceniveau, daar deze relevant is voor de vergoeding.
Het derde verschil met de huidige standaard is dat onder ISAE 3402 het management van de serviceorganisatie expliciet wordt gevraagd om een verklaring over de interne beheersing binnen haar organisatie af te geven. Deze zogenaamde ‘assertion’ wordt naast het assurancerapport van de externe accountant toegevoegd aan het rapport. In deze verklaring doet het management een bewering over de opzet, het bestaan en de werking van de beschreven interne controlemaatregelen en neemt het de verantwoordelijkheid voor de beheersing van de aan haar uitbestede processen en de inhoud van het rapport. De onderliggende gedachte hierbij is dat het management van de serviceorganisatie dient te beschikken over voldoende beheersmaatregelen om een dergelijke bewering te kunnen doen. Dit betekent wellicht voor een aantal organisaties dat ze extra beheersmaatregelen moeten beschrijven en implementeren.
- Het biedt transparantie van de interne beheersomgeving en meer inzicht in de huidige interne beheersmaatregelen;
- Gestructureerde mogelijkheid om interne controle te definiëren en procesverbeteringen door te voeren;
- De jaarlijks terugkerende audit vraagt om discipline in de naleving van de procedures;
- Hulpmiddel om organisatieveranderingen door te voeren;
- Voldoen aan wet- en regelgeving;
- Het wordt gezien als een kwaliteitskeurmerk voor zowel huidige cliënten als potentiële cliënten;
- Na het verkrijgen van de certificering kan de accountantscontrole sneller en efficiënter.
De controlestandaard is eind jaren ’70 ontworpen en anno 2011 om een aantal redenen toe aan vervanging. Met ingang van 15 juni 2011 maakt SAS70 definitief plaats voor de nieuwe controlestandaard International Standard on Assurance Engagements (ISAE) 3402. De ISAE 3402 moet het internationale equivalent van SAS70 worden. Maar welke gevolgen heeft deze verandering nu in de praktijk?
Ten eerste gaat de huidige SAS70 niet uit van een risicobenadering, zoals dat de laatste jaren gebruikelijk is bij de controle van de jaarrekening. SAS70 gaat uit van de volledige set van interne beheersdoelstellingen en –maatregelen zonder afwegingen te maken ten aanzien van risico’s of materialiteit van de financiële informatie. De consequentie hiervan is zeer complete SAS70-beschrijvingen en veel inzicht in de bedrijfsprocessen en interne beheersing. Een beschrijving van het risicoanalyseproces is de basis onder het vernieuwde ISAE 3402-rapport, waardoor een risicoanalyse verplicht is gesteld. Echter behoeven organisaties minder belangrijke bedrijfsprocessen en beheersmaatregelen, mits voldoende toegelicht, niet in het rapport op te nemen. Hierdoor worden de accountantskosten gereduceerd.
Een tweede reden dat SAS70 wordt vervangen is dat de COSO-doelstellingen ‘naleving van wet- en regelgeving’ en ‘efficiëntie en effectiviteit van de bedrijfsvoering’ geen deel uitmaken van de reikwijdte. Het niet voldoen aan wet- en regelgeving kan leiden tot reputatieschade voor de gebruikersorganisatie. Dit is met name voor toezichthouders in de financiële wereld een reden geweest om aanvullende eisen te stellen. Ten aanzien van het tweede aspect is het van belang dat de serviceorganisatie voldoet aan het overeengekomen serviceniveau, daar deze relevant is voor de vergoeding.
Het derde verschil met de huidige standaard is dat onder ISAE 3402 het management van de serviceorganisatie expliciet wordt gevraagd om een verklaring over de interne beheersing binnen haar organisatie af te geven. Deze zogenaamde ‘assertion’ wordt naast het assurancerapport van de externe accountant toegevoegd aan het rapport. In deze verklaring doet het management een bewering over de opzet, het bestaan en de werking van de beschreven interne controlemaatregelen en neemt het de verantwoordelijkheid voor de beheersing van de aan haar uitbestede processen en de inhoud van het rapport. De onderliggende gedachte hierbij is dat het management van de serviceorganisatie dient te beschikken over voldoende beheersmaatregelen om een dergelijke bewering te kunnen doen. Dit betekent wellicht voor een aantal organisaties dat ze extra beheersmaatregelen moeten beschrijven en implementeren.
vrijdag 6 mei 2011
SAS70: Algemeen geaccepteerde audit standaard
De laatste jaren besteden steeds meer organisaties expliciete aandacht aan het ‘in control’ zijn. Organisaties moeten aan de buitenwereld kunnen aantonen dat haar bedrijfsprocessen worden beheerst door adequate interne controlemaatregelen. Dit proces wordt versterkt door externe wet- en regelgeving zoals Sarbanes Oxley (SOx) 404 en de code-Tabaksblatt.
Een andere trend die de laatste jaren zichtbaar is betreft de focus op kernactiviteiten. Als gevolg hiervan worden specifieke werkzaamheden uitbesteed die niet tot de primaire activiteiten behoren of werkzaamheden waarvan de kennis en/of capaciteit binnen de eigen organisatie onvoldoende aanwezig is.
Outsourcing in de financiële sector heeft ertoe geleid dat de toezichthouder wil dat de uitbestedende organisatie aantoont ‘in control’ te zijn over de uitbestede processen. De uitbestedende organisatie legt deze eis inzake de aantoonbaarheid van het ‘in control’ zijn neer bij de partij waaraan is uitbesteed. Er wordt kortweg een SAS70-verklaring van de dienstverlener gevraagd.
Maar wat houdt deze SAS70-verklaring nu eigenlijk in?
SAS70 staat voor ‘Statement on Auditing Standards No.70’ ontwikkelt door het American Institute of Certified Public Accountants (AICPA) en is de algemeen geaccepteerde audit standaard voor interne beheersingsrapportages van serviceorganisaties, primair gericht op de betrouwbaarheid van de financiële verslaggeving.
Volgens de principes van corporate governance blijft een organisatie die haar processen (deels) uitbesteed verantwoordelijk voor de wijze waarop deze processen worden beheerst. Om invulling te geven aan deze verantwoordelijkheid kan een gebruikersorganisatie kiezen voor een direct toezicht op de serviceorganisatie. Echter uit het oogpunt van efficiency maken gebruikersorganisaties meestal gebruik van een SAS70-rapport: de managementrapportages die afkomstig zijn van de serviceorganisatie. Om de betrouwbaarheid van deze verantwoordingsrapportage te vergroten, kan de gebruikersorganisatie een onafhankelijke partij verzoeken om de informatie te toetsen en de bevindingen te rapporteren in een Third Party Assurance- rapport.
In het verlengde van de eis van de uitbestedende organisaties gebruiken organisaties een SAS70- rapport vaak ook als marketinginstrument om aan te geven dat zij ‘in control’ zijn. SAS70 is voor dienstverlenende organisaties een kwaliteitskeurmerk omdat het een waarborg verschaft voor de juistheid, volledigheid, tijdigheid en betrouwbaarheid van de financieel- administratieve processen en interne beheersmaatregelen.
Hoe ziet de inhoud van een SAS70- rapport eruit?
Een SAS70-rapport is opgebouwd uit een Assurance-rapport van een externe accountant, een beschrijving van de COSO-onderdelen van interne beheersing op organisatieniveau en een sectie met gedetailleerde beschrijvingen van de controlemaatregelen, gekoppeld aan interne controledoelstellingen.
In een SAS70-rapport wordt op basis van het control framework van COSO de control environment beschreven. In dit raamwerk worden de aanwezige beheersmaatregelen beschreven. De externe accountant dient hierbij aan te geven of deze beheersmaatregelen in opzet toereikend zijn en bestaan dan wel gedurende een periode van zes maanden hebben gewerkt. Bovendien moet de externe accountant vaststellen of de aanwezige beheersmaatregelen de door het management gedefinieerde beheersdoelstellingen afdekken.
Er zijn twee typen SAS70-rapportages:
De SAS70 type I rapport bevat het oordeel van een externe accountant over de opzet en het bestaan van de beheersmaatregelen van een serviceorganisatie op één bepaald meetmoment. De externe account rapporteert over de toereikendheid van de beheersmaatregelen om de beheersdoelstellingen te realiseren (opzet) en of deze op de specifiek genoemde datum daadwerkelijke zijn geïmplementeerd (bestaan).
De SAS70 type II rapport geeft het oordeel over de inzet gedurende langere tijd en de effectiviteit van de interne controlemaatregelen. Gedurende een vooraf gedefinieerde periode van minimaal zes maanden wordt gecontroleerd of de processen en controles conform de voorschriften worden uitgevoerd.
Volgend bericht: SAS70 vervangen door ISAE 3402
Abonneren op:
Posts (Atom)