SAS70 vervangen door ISAE 3402

In het recente bericht van 6 mei is reeds vermeld dat een SAS70-rapportage wereldwijd een gemeengoed is voor serviceorganisaties om verantwoording af te leggen over de interne beheersing.  Voor de serviceorganisatie heeft een certificering op basis van SAS70 onder andere de volgende voordelen:

• Het biedt transparantie van de interne beheersomgeving en meer inzicht in de huidige interne beheersmaatregelen;
• Gestructureerde mogelijkheid om interne controle te definiëren en procesverbeteringen door te voeren;
• De jaarlijks terugkerende audit vraagt om discipline in de naleving van de procedures;
• Hulpmiddel om organisatieveranderingen door te voeren;
• Voldoen aan wet- en regelgeving;
• Het wordt gezien als een kwaliteitskeurmerk voor zowel huidige cliënten als potentiële cliënten;
• Na het verkrijgen van de certificering kan de accountantscontrole sneller en efficiënter.

De controlestandaard is eind jaren ’70 ontworpen en anno 2011 om een aantal redenen toe aan vervanging. Met ingang van 15 juni 2011 maakt SAS70 definitief plaats voor de nieuwe controlestandaard International Standard on Assurance Engagements (ISAE) 3402. De ISAE 3402 moet het internationale equivalent van SAS70 worden. Maar welke gevolgen heeft deze verandering nu in de praktijk?

Ten eerste gaat de huidige SAS70 niet uit van een risicobenadering, zoals dat de laatste jaren gebruikelijk is bij de controle van de jaarrekening. SAS70 gaat uit van de volledige set van interne beheersdoelstellingen en –maatregelen zonder afwegingen te maken ten aanzien van risico’s of materialiteit van de financiële informatie.  De consequentie hiervan is zeer complete SAS70-beschrijvingen en veel inzicht in de bedrijfsprocessen en interne beheersing. Een beschrijving van het risicoanalyseproces is de basis onder het vernieuwde ISAE 3402-rapport, waardoor een risicoanalyse verplicht is gesteld. Echter behoeven organisaties minder belangrijke bedrijfsprocessen en beheersmaatregelen, mits voldoende toegelicht, niet in het rapport op te nemen. Hierdoor worden de accountantskosten gereduceerd.

Een tweede reden dat SAS70 wordt vervangen is dat de COSO-doelstellingen ‘naleving van wet- en regelgeving’ en ‘efficiëntie en effectiviteit van de bedrijfsvoering’ geen deel uitmaken van de reikwijdte. Het niet voldoen aan wet- en regelgeving kan leiden tot reputatieschade voor de gebruikersorganisatie. Dit is met name voor toezichthouders in de financiële wereld een reden geweest om aanvullende eisen te stellen. Ten aanzien van het tweede aspect is het van belang dat de serviceorganisatie voldoet aan het overeengekomen serviceniveau, daar deze relevant is voor de vergoeding.

Het derde verschil met de huidige standaard is dat onder ISAE 3402 het management van de serviceorganisatie expliciet wordt gevraagd om een verklaring over de interne beheersing binnen haar organisatie af te geven. Deze zogenaamde ‘assertion’ wordt naast het assurancerapport van de externe accountant toegevoegd aan het rapport. In deze verklaring doet het management een bewering over de opzet, het bestaan en de werking van de beschreven interne controlemaatregelen en neemt het de verantwoordelijkheid voor de beheersing van de aan haar uitbestede processen en de inhoud van het rapport. De onderliggende gedachte hierbij is dat het management van de serviceorganisatie dient te beschikken over voldoende beheersmaatregelen om een dergelijke bewering te kunnen doen. Dit betekent wellicht voor een aantal organisaties dat ze extra beheersmaatregelen moeten beschrijven en implementeren.

SAS70: Algemeen geaccepteerde audit standaard

De laatste jaren besteden steeds meer organisaties expliciete aandacht aan het ‘in control’ zijn. Organisaties moeten aan de buitenwereld kunnen aantonen dat haar bedrijfsprocessen worden beheerst door adequate interne controlemaatregelen. Dit proces wordt versterkt door externe wet- en regelgeving zoals Sarbanes Oxley (SOx) 404 en de code-Tabaksblatt.

Een andere trend die de laatste jaren zichtbaar is betreft de focus op kernactiviteiten. Als gevolg hiervan worden specifieke werkzaamheden uitbesteed die niet tot de primaire activiteiten behoren of werkzaamheden waarvan de kennis en/of capaciteit binnen de eigen organisatie onvoldoende aanwezig is.

Outsourcing in de financiële sector heeft ertoe geleid dat de toezichthouder wil dat de uitbestedende organisatie aantoont ‘in control’ te zijn over de uitbestede processen. De uitbestedende organisatie legt deze eis inzake de aantoonbaarheid van het ‘in control’ zijn neer bij de partij waaraan is uitbesteed. Er wordt kortweg een SAS70-verklaring van de dienstverlener gevraagd.

Maar wat houdt deze SAS70-verklaring nu eigenlijk in?

SAS70 staat voor ‘Statement on Auditing Standards No.70’ ontwikkelt door het American Institute of Certified Public Accountants (AICPA) en is de algemeen geaccepteerde audit standaard voor interne beheersingsrapportages van serviceorganisaties, primair gericht op de betrouwbaarheid van de financiële verslaggeving.

Volgens de principes van corporate governance blijft een organisatie die haar processen (deels) uitbesteed verantwoordelijk voor de wijze waarop deze processen worden beheerst. Om invulling te geven aan deze  verantwoordelijkheid kan een gebruikersorganisatie kiezen voor een direct toezicht op de serviceorganisatie. Echter uit het oogpunt van efficiency maken gebruikersorganisaties meestal gebruik van een SAS70-rapport: de managementrapportages die afkomstig zijn van de serviceorganisatie. Om de betrouwbaarheid van deze verantwoordingsrapportage te vergroten, kan de gebruikersorganisatie een onafhankelijke partij verzoeken om de informatie te toetsen en de bevindingen te rapporteren in een Third Party Assurance- rapport.

In het verlengde van de eis van de uitbestedende organisaties gebruiken organisaties een SAS70- rapport vaak ook als marketinginstrument om aan te geven dat zij ‘in control’ zijn. SAS70 is voor dienstverlenende organisaties een kwaliteitskeurmerk omdat het een waarborg verschaft voor de juistheid, volledigheid, tijdigheid en betrouwbaarheid van de financieel- administratieve processen en interne beheersmaatregelen.

Hoe ziet de inhoud van een SAS70- rapport eruit?

Een SAS70-rapport is opgebouwd uit een Assurance-rapport van een externe accountant, een beschrijving van de COSO-onderdelen van interne beheersing op organisatieniveau en een sectie met gedetailleerde beschrijvingen van de controlemaatregelen, gekoppeld aan interne controledoelstellingen.

In een SAS70-rapport wordt op basis van het control framework van COSO de control environment beschreven. In dit raamwerk worden de aanwezige beheersmaatregelen beschreven. De externe accountant dient hierbij aan te geven of deze beheersmaatregelen in opzet toereikend zijn en bestaan dan wel gedurende een periode van zes maanden hebben gewerkt. Bovendien moet de externe accountant vaststellen of de aanwezige beheersmaatregelen de door het management gedefinieerde beheersdoelstellingen afdekken.

Er zijn twee typen SAS70-rapportages:

De SAS70 type I rapport bevat het oordeel van een externe accountant over de opzet en het bestaan van de beheersmaatregelen van een serviceorganisatie op één bepaald meetmoment. De externe account rapporteert over de toereikendheid van de beheersmaatregelen om de beheersdoelstellingen te realiseren (opzet) en of deze op de specifiek genoemde datum daadwerkelijke zijn geïmplementeerd (bestaan).

De SAS70 type II rapport geeft het oordeel over de inzet gedurende langere tijd en de effectiviteit van de interne controlemaatregelen. Gedurende een vooraf gedefinieerde periode van minimaal zes maanden wordt gecontroleerd of de processen en controles conform de voorschriften worden uitgevoerd.

Volgend bericht: SAS70 vervangen door ISAE 3402

Het belang van procesbeschrijvingen

Het doel van procesbeschrijvingen is tweeërlei. Enerzijds bestaat er de vraag vanuit accountantsorganisaties over de beschikbaarheid van een handboek AO/IB waarop tijdens de accountantscontrole gesteund kan worden. Anderzijds zijn procesbeschrijvingen een middel om de organisatie verder te professionaliseren en processen te structureren en standaardiseren.

Voor het eerstgenoemde doel dient vastgesteld te worden wanneer het wettelijk verplicht is dat een accountantsorganisatie een oordeel moet vormen of de jaarrekening een getrouw beeld geeft van de werkelijkheid. Een onderneming is volgens artikel 393 BW 2 wettelijk controleplichtig indien eenonderneming twee boekjaren voldoet aan 2 van de 3 onderstaande criteria:

ü  een netto-omzet van meer dan 8,8 miljoen euro;

ü  een balanstotaal van meer dan 4,4 miljoen euro;

ü  meer dan 50 personeelsleden.

Overigens kan de organisatieleiding ook besluiten tot een vrijwillige accountantscontrole. Bij dergelijke verzoeken tot het opstellen van een handboek AO/IB dient voorkomen te worden dat er een papieren tijger tot stand komt welke eens per jaar wordt ontdaan van een dikke laag stof. In dat geval wordt niet voldaan aan het tweede, wellicht het belangrijkste doel van procesbeschrijvingen.

Een analyse van de administratieve organisatie verhoogt het controlebewustzijn in de organisatie en creëert nieuwe mogelijkheden welke de kwaliteit van de bedrijfsvoering ten goede komt. Het schriftelijk vastleggen van bedrijfsprocessen en procedures zorgt ook voor transparantie binnen de organisatie. De procedures geven aan welke activiteiten achtereenvolgens door welke functionaris moeten worden ondernomen om tot een bepaald doel te komen. Door vervolgens ervoor te zorgen dat het handboek AO/IB toegankelijk wordt voor alle geledingen binnen de organisatie krijgen de medewerkers een beter inzicht in de (onderlinge) werkzaamheden en de samenhang tussen de bedrijfsprocessen.  

Echter het grootste voordeel van een onderzoek naar de AO/IB is wellicht dat tekortkomingen in de huidige administratieve organisatie worden onderkend en geanalyseerd. Het vermoeden van de organisatieleiding dat bepaalde processen inefficiënt verlopen kan door het vastleggen van de AO/IB worden bekrachtigd. Geconstateerde risico’s in de huidige bedrijfsvoering kunnen door nieuwe of aangescherpte interne beheersmaatregelen worden beheerst, waardoor de effectiviteit en efficiëntie van de bedrijfsvoering wordt verbeterd. Een betrouwbare administratieve organisatie is essentieel om op de juiste wijze financiële verantwoording te kunnen afleggen en daardoor ook een goedkeurende (vrijwillige) controleverklaring te verkrijgen.  

WePo Bedrijfsadvies gelanceerd!

Dergelijke kreten hoor je normaliter alleen indien er weer één of andere gadget is ontwikkeld waarvan wereldwijd een grote mensenmassa de lentekriebels krijgt. Toch zal het gevoel niet veel anders zijn dan bij de oprichters van WePo Bedrijfsadvies. Ik heb zelf nooit de behoefte gehad om in een slaapzak voor een Apple winkel te gaan liggen en als één van de eerste de nieuwe gadget te ontvangen. Echter giert er sinds februari een gezonde stroom van spanning en enthousiasme door mij heen om van WePo Bedrijfsadvies een succes te maken.

Van deze blog wordt gebruik gemaakt om belangstellenden te informeren over het reilen en zeilen van dit kersverse adviesbureau. Wij hebben het streven om frequent te publiceren in het bijzonder over de ontwikkelingen op het gebied van administratieve organisatie en interne beheersing (AO/IB) en overige gerelateerde vakgebieden. Daarnaast hopen wij lezers te prikkelen met persoonlijke interesses, meningen en stellingen waardoor mogelijkerwijs goede discussies worden opgewekt.