SAS 70 verdwijnt en wordt opgevolgd door nieuwe standaarden

SAS 70 (de 'Statement on Auditing Standards No. 70'), is een algemeen geaccepteerde standaard en uitgegroeid tot dé internationale standaard op het gebied van procesbeheersing. Vanaf 15 juni 2011 wordt deze standaard vervangen door de nieuwe standaarden ISAE3402 en SSAE16.

Hierover bericht Grant Thornton. Met een SAS 70-verklaring toont een serviceorganisatie (bijvoorbeeld een salarisverwerker) richting haar gebruikersorganisaties (u die de salarisverwerking door de serviceorganisatie laat uitvoeren) aan dat het uitbestede proces wordt beheerst.

Feiteijk zegt de salarisverwerker met een SAS 70-verklaring tegen u dat ze het proces om salarissen te verwerken volledig in de greep hebben en dat tonen ze aan met deze SAS 70-verklaring. Een voordeel is dat u niet meer zelf het proces bij de serviceorganisatie hoeft te beoordelen, maar kunt steunen op de SAS 70-verklaring. Voor zowel de serviceorganisatie en u als gebruikersorganisatie betekent dit een enorme verlichting.

2 vormen SAS 70
Een SAS 70-verklaring kent 2 vormen:
• SAS 70 Type I. Een stelsel van maatregelen zorgt ervoor dat het proces juist verloopt (opzet). Het stelsel van maatregelen en de implementatie van de maatregelen wordt door de auditor beoordeeld (bestaan).
• SAS 70 Type II. Type II borduurt voort op Type I. De auditor toetst of het stelsel van maatregelen gedurende een periode van minimaal een half jaar heeft gewerkt (werking).
 
ISAE3402 of SSAE16?
Zoals gezegd houdt SAS 70 vanaf 15 juni 2011 op te bestaan. De vervangers worden ISAE3402 en SSAE16. Heeft de serviceorganisatie gebruikersorganisaties in Amerika? Dan kiest de serviceorganisatie voor een SSAE16-verklaring. Heeft een serviceorganisatie alleen Europese gebruikersorganisaties? Dan kunnen zij kiezen voor een ISAE3402-verklaring.

Verschillen tussen SAS 70 en de nieuwe standaarden
Evenals de SAS 70 hebben de nieuwe standaarden ook 2 vormen. Wil een serviceorganisatie zich vanaf 15 juni 2011 certificeren voor de ‘nieuwe’ Type II verklaring dan dient het proces uiterlijk op 15 december 2010 conform de nieuwe standaard te zijn ingericht. Een drietal belangrijke verschillen tussen SAS 70 en de nieuwe standaarden zijn:
• Het stelsel van maatregelen die ervoor zorgen dat een proces juist verloopt dient op basis van een risicoanalyse tot stand te zijn gekomen.
• Er dient sprake te zijn van management assertion. Hierbij dient het management van de serviceorganisatie te onderschrijven en te onderzoeken dat het stelsel van maatregelen juist heeft gewerkt.
• Een serviceorganisatie kan werkzaamheden uitbesteden aan een andere serviceorganisatie. Binnen de SAS 70-standaard mogen de maatregelen die daarmee worden uitbesteed buiten beschouwing worden gelaten. Bij de nieuwe standaarden is het buiten beschouwing laten niet toegestaan.

 

Gerelateerde artikelen