- Het biedt transparantie van de interne beheersomgeving en meer inzicht in de huidige interne beheersmaatregelen;
- Gestructureerde mogelijkheid om interne controle te definiëren en procesverbeteringen door te voeren;
- De jaarlijks terugkerende audit vraagt om discipline in de naleving van de procedures;
- Hulpmiddel om organisatieveranderingen door te voeren;
- Voldoen aan wet- en regelgeving;
- Het wordt gezien als een kwaliteitskeurmerk voor zowel huidige cliënten als potentiële cliënten;
- Na het verkrijgen van de certificering kan de accountantscontrole sneller en efficiënter.
De controlestandaard is eind jaren ’70 ontworpen en anno 2011 om een aantal redenen toe aan vervanging. Met ingang van 15 juni 2011 maakt SAS70 definitief plaats voor de nieuwe controlestandaard International Standard on Assurance Engagements (ISAE) 3402. De ISAE 3402 moet het internationale equivalent van SAS70 worden. Maar welke gevolgen heeft deze verandering nu in de praktijk?
Ten eerste gaat de huidige SAS70 niet uit van een risicobenadering, zoals dat de laatste jaren gebruikelijk is bij de controle van de jaarrekening. SAS70 gaat uit van de volledige set van interne beheersdoelstellingen en –maatregelen zonder afwegingen te maken ten aanzien van risico’s of materialiteit van de financiële informatie. De consequentie hiervan is zeer complete SAS70-beschrijvingen en veel inzicht in de bedrijfsprocessen en interne beheersing. Een beschrijving van het risicoanalyseproces is de basis onder het vernieuwde ISAE 3402-rapport, waardoor een risicoanalyse verplicht is gesteld. Echter behoeven organisaties minder belangrijke bedrijfsprocessen en beheersmaatregelen, mits voldoende toegelicht, niet in het rapport op te nemen. Hierdoor worden de accountantskosten gereduceerd.
Een tweede reden dat SAS70 wordt vervangen is dat de COSO-doelstellingen ‘naleving van wet- en regelgeving’ en ‘efficiëntie en effectiviteit van de bedrijfsvoering’ geen deel uitmaken van de reikwijdte. Het niet voldoen aan wet- en regelgeving kan leiden tot reputatieschade voor de gebruikersorganisatie. Dit is met name voor toezichthouders in de financiële wereld een reden geweest om aanvullende eisen te stellen. Ten aanzien van het tweede aspect is het van belang dat de serviceorganisatie voldoet aan het overeengekomen serviceniveau, daar deze relevant is voor de vergoeding.
Het derde verschil met de huidige standaard is dat onder ISAE 3402 het management van de serviceorganisatie expliciet wordt gevraagd om een verklaring over de interne beheersing binnen haar organisatie af te geven. Deze zogenaamde ‘assertion’ wordt naast het assurancerapport van de externe accountant toegevoegd aan het rapport. In deze verklaring doet het management een bewering over de opzet, het bestaan en de werking van de beschreven interne controlemaatregelen en neemt het de verantwoordelijkheid voor de beheersing van de aan haar uitbestede processen en de inhoud van het rapport. De onderliggende gedachte hierbij is dat het management van de serviceorganisatie dient te beschikken over voldoende beheersmaatregelen om een dergelijke bewering te kunnen doen. Dit betekent wellicht voor een aantal organisaties dat ze extra beheersmaatregelen moeten beschrijven en implementeren.
Geen opmerkingen:
Een reactie posten