De laatste jaren besteden steeds meer organisaties expliciete aandacht aan het ‘in control’ zijn. Organisaties moeten aan de buitenwereld kunnen aantonen dat haar bedrijfsprocessen worden beheerst door adequate interne controlemaatregelen. Dit proces wordt versterkt door externe wet- en regelgeving zoals Sarbanes Oxley (SOx) 404 en de code-Tabaksblatt.
Een andere trend die de laatste jaren zichtbaar is betreft de focus op kernactiviteiten. Als gevolg hiervan worden specifieke werkzaamheden uitbesteed die niet tot de primaire activiteiten behoren of werkzaamheden waarvan de kennis en/of capaciteit binnen de eigen organisatie onvoldoende aanwezig is.
Outsourcing in de financiële sector heeft ertoe geleid dat de toezichthouder wil dat de uitbestedende organisatie aantoont ‘in control’ te zijn over de uitbestede processen. De uitbestedende organisatie legt deze eis inzake de aantoonbaarheid van het ‘in control’ zijn neer bij de partij waaraan is uitbesteed. Er wordt kortweg een SAS70-verklaring van de dienstverlener gevraagd.
Maar wat houdt deze SAS70-verklaring nu eigenlijk in?
SAS70 staat voor ‘Statement on Auditing Standards No.70’ ontwikkelt door het American Institute of Certified Public Accountants (AICPA) en is de algemeen geaccepteerde audit standaard voor interne beheersingsrapportages van serviceorganisaties, primair gericht op de betrouwbaarheid van de financiële verslaggeving.
Volgens de principes van corporate governance blijft een organisatie die haar processen (deels) uitbesteed verantwoordelijk voor de wijze waarop deze processen worden beheerst. Om invulling te geven aan deze verantwoordelijkheid kan een gebruikersorganisatie kiezen voor een direct toezicht op de serviceorganisatie. Echter uit het oogpunt van efficiency maken gebruikersorganisaties meestal gebruik van een SAS70-rapport: de managementrapportages die afkomstig zijn van de serviceorganisatie. Om de betrouwbaarheid van deze verantwoordingsrapportage te vergroten, kan de gebruikersorganisatie een onafhankelijke partij verzoeken om de informatie te toetsen en de bevindingen te rapporteren in een Third Party Assurance- rapport.
In het verlengde van de eis van de uitbestedende organisaties gebruiken organisaties een SAS70- rapport vaak ook als marketinginstrument om aan te geven dat zij ‘in control’ zijn. SAS70 is voor dienstverlenende organisaties een kwaliteitskeurmerk omdat het een waarborg verschaft voor de juistheid, volledigheid, tijdigheid en betrouwbaarheid van de financieel- administratieve processen en interne beheersmaatregelen.
Hoe ziet de inhoud van een SAS70- rapport eruit?
Een SAS70-rapport is opgebouwd uit een Assurance-rapport van een externe accountant, een beschrijving van de COSO-onderdelen van interne beheersing op organisatieniveau en een sectie met gedetailleerde beschrijvingen van de controlemaatregelen, gekoppeld aan interne controledoelstellingen.
In een SAS70-rapport wordt op basis van het control framework van COSO de control environment beschreven. In dit raamwerk worden de aanwezige beheersmaatregelen beschreven. De externe accountant dient hierbij aan te geven of deze beheersmaatregelen in opzet toereikend zijn en bestaan dan wel gedurende een periode van zes maanden hebben gewerkt. Bovendien moet de externe accountant vaststellen of de aanwezige beheersmaatregelen de door het management gedefinieerde beheersdoelstellingen afdekken.
Er zijn twee typen SAS70-rapportages:
De SAS70 type I rapport bevat het oordeel van een externe accountant over de opzet en het bestaan van de beheersmaatregelen van een serviceorganisatie op één bepaald meetmoment. De externe account rapporteert over de toereikendheid van de beheersmaatregelen om de beheersdoelstellingen te realiseren (opzet) en of deze op de specifiek genoemde datum daadwerkelijke zijn geïmplementeerd (bestaan).
De SAS70 type II rapport geeft het oordeel over de inzet gedurende langere tijd en de effectiviteit van de interne controlemaatregelen. Gedurende een vooraf gedefinieerde periode van minimaal zes maanden wordt gecontroleerd of de processen en controles conform de voorschriften worden uitgevoerd.
Volgend bericht: SAS70 vervangen door ISAE 3402
Geen opmerkingen:
Een reactie posten