SAS 70 en ISAE 3402 maken outsourcing transparant

Organisaties en hun management dragen de volle verantwoordelijkheid voor de producten of diensten die ze leveren. Ook als een deel van het primaire of de ondersteunende processen zijn uitbesteed. Die verantwoordelijkheid voor werkzaamheden die buiten het zicht van de organisatie worden verricht en de behoefte aan transparantie kunnen de doorslag geven in de beslissing om activiteiten wel of niet uit te besteden. Zelfs met een goede service level agreement is het niet altijd gemakkelijk om goed zicht te houden op het uitbestede werk.  De eerder genoemde standaarden zijn mede ontwikkeld om die onzekerheid weg te nemen.

SAS staat voor Statement on Auditing Standards en 70 is het rapport voor service organisaties. Het rapport helpt service organisaties om de gebruikersorganisatie (afnemer van outsourcing diensten) op een gestandaardiseerde manier te laten zien hoe de interne beheersing rondom het uitbestede werk functioneert. In essentie geeft dit rapport de gebruikersorganisatie het inzicht bij de service organisatie hoe de interne processen worden beheerst. Doelstelling van deze beheersing is om fouten te voorkomen en, als dat nodig is, snel in te grijpen om fouten te herstellen en verdere schade te beperken. De interne beheersing kan er bovendien aan bijdragen dat dezelfde fout niet nog een keer voorkomt.

SAS 70 is een algemeen geaccepteerde auditstandaard die is ontwikkeld door het American Institute of Certified Public Accountants (AICPA), te vergelijken met de Nederlandse NIvRA. De standaard is eind jaren zeventig ontwikkeld en is in de Nederlandse markt voornamelijk bekend bij beursgenoteerde bedrijven. Een recente ontwikkeling betreft de uitrol van de nieuwe ISAE 3402 standaard, waarop we later in dit artikel ingaan.

Waar komt deze behoefte aan transparantie en verantwoording vandaan
Na diverse beursschandalen in Amerika maar ook in Nederland werd het duidelijk dat bedrijven hun aandeelhouders wisten te misleiden. Het antwoord van de Amerikaanse overheid is bekend geworden via de namen van twee Amerikaanse senatoren, te weten Sarbanes en Oxley. Deze senatoren ontwikkelden nieuwe wetgeving (bekend onder de naam Sarbanes Oxley act en SOx) met eisen aan de manier waarop bedrijven de risico’s in de processen rondom de financiële administratie en rapportage moeten beheersen en hierover dienen te rapporteren. Uiteindelijk benadrukte SOx alleen maar de brede behoefte (ook bij niet-beursgenoteerde bedrijven) die bestaat aan transparantie en verantwoording.

Ook als organisaties een gedeelte van de bedrijfsprocessen of het beheer van ICT-systemen bij een service organisatie hebben ondergebracht, blijft de organisatie zelf verantwoordelijk voor de verantwoording hierover. Vanuit deze verantwoordelijkheid is het net als bij delegeren belangrijk zicht te houden op de processen van de organisatie waar activiteiten aan worden uitbesteed. Vooral door de sterk gegroeide behoefte aan transparantie en verantwoording kwam de populariteit van SAS 70 in een stroomversnelling, echter tegelijkertijd ontstond door SOx ook het onterechte idee dat een SAS 70 alleen relevant is voor grote en beursgenoteerde organisaties.

Er zijn twee soorten SAS 70 rapporten (net zoals er twee soorten ISAE 3402 rapporten zijn), Type I en Type II. Een SAS 70 Type I rapport zegt iets over de opzet en het bestaan van de controles, waarbij een SAS 70 Type II een aanvullend oordeel bevat over de werking van deze controles, meestal over een periode van zes maanden tot één jaar.

Met andere woorden: een Type I rapport bevat een foto van de interne beheersing en een Type II rapport een film. Voor beide rapporten geldt dat de accountant van de gebruikersorganisatie voor de jaarrekeningcontrole gebruik kan maken van het SAS 70 rapport bij de beoordeling van het uitbestede werk. Bij een Type II rapport kan in de meeste gevallen zelfs volledig worden gesteund op het SAS 70 rapport.

Nieuwe ontwikkelingen
Zoals er ontwikkelingen zijn op het gebied van outsourcing zo ook op het gebied van transparantie en verantwoording over outsourcing. Dit heeft er voor gezorgd dat de SAS 70-standaard momenteel wordt herzien door de AICPA (dit zal leiden tot een nieuwe SSAE standaard). Uitgangspunt hierbij is onder andere om meer uit te kunnen gaan van een risicobenadering, de reikwijdte breder neer te zetten dan de betrouwbaarheid van financiële rapportages en tevens verantwoording over business continuïteit mee te kunnen meenemen.

Naast de herziening van deze standaard heeft de International Auditing and Assurance Standards Board (IASB) een nieuwe standaard ontwikkeld, de ISAE 3402. Dit is een internationale standaard waarmee niet alleen gekeken wordt vanuit een perspectief van betrouwbaarheid van financiële rapportages, maar waarin interne beheersing omtrent naleving van wet- en regelgeving, en efficiëntie en effectiviteit van de bedrijfsvoering ook kunnen worden meegenomen. De overgang van SAS 70 naar ISAE 3402 is vanaf 2011 onvermijdelijk, maar kan al eerder en vraagt geen dramatische aanpassingen. Deze transitie is een uitstekende gelegenheid om de verantwoording tussen service organisaties aan gebruikersorganisaties nog eens tegen het licht te houden.

Vertrouwen is goed, meten is beter
Wanneer een service organisatie een SAS 70 (of ISAE 3402) rapport voor zijn diensten wil hebben, volgt een audit. De service organisatie is verantwoordelijk voor het in kaart brengen van de aanwezige controles. De opzet, bestaan en werking (alleen bij een Type II rapport) van deze controles zal door de auditor getoetst worden om uiteindelijk tot een verklaring te komen.

In de nadruk op kwaliteitscontrole ligt de toegevoegde waarde van SAS 70 en ISAE 3402 boven de periodieke service level rapportages (SLRs). Een SLR zegt voornamelijk iets over de vraag of afgesproken service levels gehaald worden, maar kijkt niet naar hoe de interne beheersing omtrent de onderliggende processen is geregeld.  

Een bijkomend voordeel is dat deze rapporten algemeen worden geaccepteerd door accountants bij de controle van de jaarrekening. De service organisatie hoeft dus niet apart doorgelicht te worden door de accountant van de outsourcer. Dit bespaart zowel de gebruikersorganisatie als de service organisatie veel tijd en geld.

Daarnaast gebruiken steeds meer organisaties SAS 70 om zekerheid te hebben of hun service organisaties wel voldoen aan de door hun gestelde minimum standaard en om zekerheid te krijgen over de vraag of voldaan wordt aan de strenger wordende eisen die de maatschappij en overheden stellen aan transparantie en compliance.

SAS 70 in de praktijk
Multrix is een bedrijf dat ICT-taken (onder andere via SaaS, hosting en outsourcing diensten) overneemt van andere bedrijven en instellingen. Vanuit organisaties die hun ICT-taken aan Multrix uitbesteden, werd de vraag om verantwoording en transparantie processen steeds groter. Dit heeft Multrix doen besluiten om een SAS 70 Type II rapport te gaan opstellen. Het uiteindelijke voordeel hiervan voor Multrix is tweeledig; het straalt vertrouwen en professionaliteit uit, aanvullend leidt het tot een beter geleide organisatie die minder fouten maakt en uiteindelijk efficiënter is. Dit kost wel enige tijd omdat de implementatie een behoorlijke investering vraagt.

PricewaterhouseCoopers is door Multrix gevraagd om de SAS 70 audit uit te voeren. Om Multrix voor te bereiden op de audit zijn aan de organisatie de volgende vragen gesteld:
•    Zijn alle relevante risico’s binnen de belangrijkste processen in kaart gebracht?
•    Is aan elk risico een beheersdoelstelling gekoppeld en is deze helder geformuleerd?
•    In hoeverre dragen de aanwezige controles bij aan het behalen van de beheersdoelstellingen?
•    Zijn deze controles SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden) geformuleerd, zodat duidelijk is welke verantwoordelijke functionaris welke activiteit verricht en met welke frequentie?
•    Zijn de proceseigenaren bekend met hun verantwoordelijkheid voor de tijdige en correcte uitvoering van de controles?

Multrix is zeer tevreden met het gebruik van het SAS 70 rapport. Het geeft de organisatie inzicht in het eigen functioneren en biedt zo de mogelijkheid om verbeteringen of veranderingen door te voeren en de resultaten daarvan te monitoren. Op die manier kan het rapport gezien worden als kwaliteitskeurmerk waaraan klanten kunnen zien dat Multrix haar werk serieus neemt en op welke wijze Multrix haar zaken op orde heeft.

Ir. Bram van Tiel RE is senior manager binnen de afdeling Systems & Process Assurance van PricewaterhouseCoopers.