SAS-70

Veel professionele dienstverleners zullen de komende maanden te maken krijgen met een tot nu toe relatief onbekende term: Statement on Auditing Standard number 70 (SAS- 70) type 2-mededeling. SAS-70 is de Amerikaanse controlestandaard die richtlijnen geeft voor het controleren van zogenaamde "service organisations". Het is de naam van een 'certificering' waarvan opdrachtgevers van externe dienstverleners binnenkort tot de conclusie zullen komen dat al hun externe dienstverleners eraan moeten voldoen. Omdat SAS-70 zal uitgroeien tot een keurmerk, zullen dienstverleners die zich niet aan deze certificering onderwerpen snel buiten de boot vallen en marktaandeel verliezen. Door drs Remco M.F. Misset, Steens & Partners Consultants

Het SAS-70 rapport
Op basis van de Sarbanes-Oxley
wet moeten Amerikaanse beursgenoteerde
bedrijven kunnen
aantonen dat zij beschikken over
effectieve controlemaatregelen- en
processen. Het outsourcen van
bedrijfsprocessen aan partijen,
zoals salarisverwerkingsbedrijven,
pensioenfondsen, vermogensbeheerders
en banken, ontslaat
beursgenoteerde ondernemingen
niet van deze verantwoordelijkheid.
Immers eist ook de Autoriteit
Financiële Markt (AFM) van
bedrijven die te maken hebben
t Europese aanbestedingen, een
zogeheten Third Party Message
(TPM).
Voor het verkrijgen van een SAS-
70 certificering worden een aantal
stappen doorlopen. De externe
dienstverlener stelt een SAS-70
rapport op waarin haar interne
beheersingsorganisatie op hoofdlijnen
is beschreven alsmede de
specifieke beheersdoelstellingen
(control objectives) die worden
getoetst. Vervolgens wordt door
een externe accountant een SAS-
70 onderzoek uitgevoerd dat zich
richt op de interne processen en
beheersingsmaatregelen, alsmede
op de specifieke control objectives.
Het onderzoek van een externe
accountant naar de beheersorganisatie
leidt tot een verklaring
vergezeld van een opsomming van
bevindingen waaruit blijkt dat de
uitvoeringsorganisatie ‘in control’
is. Een dergelijk proces kan al snel
een jaar duren.

Voorbij aan ISO
SAS-70 gaat verder waar ISOcertificering
ophoudt. Was de
ISO-certificering vooral bedoeld
om de opzet van systemen in kaart
te brengen, bij SAS 70 draait het
ook om het meten van de feitelijke
werking van de systemen. Wanneer
opdrachtgevers van de externe
dienstverleners hun financiële
processen aan een audit moeten
onderwerpen, dan is het deel bij de
externe dienstverlener al afgedekt.
Zo’n 100 ondernemingen – met in
totaal 40.000 medewerkers – vroegen
de afgelopen maanden om
een SAS-70 type 2 -verklaring en
zullen het rapport binnenkort ontvangen.
Hun aantal zal de komende
tijd nog behoorlijk toenemen,
zo is de verwachting.

De zaak op orde
Niet iedere externe dienstverlener
kan zomaar aan de slag met
SAS-70. De zaken moeten intern
op orde zijn en de organisatie
moet stabiel zijn. Processen
moeten goed verlopen en intern
beschreven zijn. Elke afwijking
wordt namelijk gerapporteerd.
Bovendien trekt het een wissel op
de organisatie, met name de audit
& control afdeling.

Dit artikel is gepubliceerd in de Kwartaalnieuwsbrief Q3-2005 van Steens & Partners Consultants.

Gerelateerde artikelen