Hoe blijf ik in control!

Op 30 juli 2002 heeft de Amerikaanse president George W. Bush de Sarbanes-Oxley Act 2002 bekrachtigd. Deze wet (vernoemd naar de initiatiefnemers, senator Paul Sarbanes en congreslid Michael Oxley) is geldig voor alle beursgenoteerde Amerikaanse ondernemingen, hun dochtermaatschappijen en alle buitenlandse, aan een van de Amerikaanse effectenbeurzen genoteerde ondernemingen. Ingangsdatum is 1 november 2004 voor de Amerikaanse bedrijven, terwijl de buitenlandse bedrijven (de zogenaamde foreign filers) uitstel hebben gekregen tot 15 juli 2006.

De SOx-Act gaat in op de verantwoordelijkheden van het bestuur van een (beursgenoteerde) onderneming, de verantwoordelijkheden van de raad van commissarissen, en van de controlerend accountant.

Essentie van de SOx-Act is het geven van transparantie en betrouwbaarheid over het financiële proces van ondernemingen, teneinde investeerders en publiek te beschermen tegen mismanagement. Hierbij is artikel 404 het meest in het oog springend: dat artikel stelt directieleden persoonlijk verantwoordelijk voor het instellen en actueel houden van procedures ten behoeve van internal control. Internal control (niet te verwarren met interne controle) bestaat uit een vijftal componenten gericht op de beheersing van een onderneming en haar processen: het beheersingskader, informatie & communicatie, risicobeoordeling, monitoring, en maatregelen van internal control (COSO, 1992). De directieleden zijn hiervoor dus persoonlijk verantwoordelijk, waarbij een eventuele overtreding kan leiden tot een straf van maximaal vijf miljoen dollar of twintig jaar hechtenis.

SOx en outsourcing
Uit een recent onderzoek van KPMG blijkt dat 60 procent van de bedrijven in Nederland administratieve diensten uitbesteedt. Dit is vaak salarisverwerking, maar ook de markt voor overige niet-core activiteiten (ICT, uitvoer pensioenregeling, procurement) is omvangrijk en nog steeds groeiende.
Door uit te besteden kunnen veel werkzaamheden naar de serviceorganisatie worden overgedragen. Echter de onderneming blijft verantwoordelijk voor de beheersing van deze activiteiten. Het is dus van essentieel belang dat de uitbestedende partij er op kan vertrouwen dat de serviceorganisatie haar zaken goed op orde heeft. En hoewel 75 procent van de ondernemingen die uitbesteden dit onderkent en aangeeft een kwaliteitstoetsing van de uitbestede werkzaamheden zeer belangrijk te vinden, blijkt die toetsing nog nauwelijks plaats te vinden.

Echter, onder de SOx-Act moét aan de Amerikaanse wetgever daadwerkelijk worden aangetoond dat de serviceorganisatie een auditcertificaat heeft, uitgegeven door een onafhankelijke, gecertificeerde auditor. Een verklaring die hiervoor in Amerika geaccepteerd wordt, is de SAS70-verklaring.

SAS70
SAS70 staat voor ‘Statement on Audit Standards Nr. 70’. Het is een internationaal erkende auditstandaard, ontwikkeld door de American Institute of Certified Public Accountants (AICPA) voor het documenteren van het geheel van beheersingsmaatregelen die genomen zijn ten behoeve van interne processen. In de SAS70-verklaring staat een beschrijving van de organisatie, haar controlemaatregelen en een verklaring van de auditor waarin hij de genomen maatregelen op hun toereikendheid toetst. De audit richt zich op het meten van de volledigheid, accuratesse en tijdigheid van de controleactiviteiten en processen.

Er bestaan twee type SAS70-verklaringen: type I beschrijft de beheersingsmaatregelen zoals die getroffen zijn op een bepaald moment (de zogenoemde opzet en bestaan), terwijl de type-II-verklaring dit meet over een periode van minimaal zes maanden (de zogenoemde werking). Deze laatste verklaring wordt geaccepteerd binnen de SOx-Act.

Inhoud SAS70
De daadwerkelijke inhoud van de SAS70-verklaring is afhankelijk van het type serviceorganisatie die het betreft. Over het algemeen zullen dit ICT-serviceorganisaties zijn die zorgdragen voor ontwikkeling en beheer van bijvoorbeeld een gedeelte van uw applicaties. Hun SAS70-verklaring zal dan betrekking hebben op bijvoorbeeld de werking van ITIL-processen als incident-, change en configuratie-management. Daarbij worden de controledoelstellingen geselecteerd uit het CobiT (Control Objectives for Information and related Technology) framework, een internationaal erkend referentiekader voor ICT-gerelateerde beheersingsprocessen.

Daarnaast is er de SAS70-verklaring van serviceorganisaties die zich op specifieke processen hebben toegelegd. Zo heeft LogicaCMG voor haar salarisverwerking ook een SAS70-verklaring waarmee zij aantoont dat haar interne processen hiertoe op orde zijn.

Onderstaand wordt ingegaan op enkele aandachtspunten in relatie tot de serviceorganisatie en de SAS70-verklaring.

Stel scope SAS70 vast
De serviceorganisatie mag dan al een SAS70-verklaring kunnen overleggen, het is maar de vraag of deze verklaring voldoende is. Het is daarom voor als uitbestedende partij van belang om in een zo vroeg mogelijk stadium inzicht te krijgen in de controledoelstellingen en de genomen maatregelen van de serviceorganisatie. Deze zal namelijk uitgaan van de voor haar dienstverlening relevante processen en daarbij een zo algemeen mogelijke scope opstellen, waarmee het grootste deel van de klanten geholpen is.

Echter, het kan zijn dat dit niet synchroon loopt met eigen gewenste controledoelstellingen. Als de organisatie bijvoorbeeld een bank is, dan zal de nadruk sterk worden gelegd op vertrouwelijkheid, integriteit en beschikbaarheid van de data. De organisatie zal dan willen dat er afdoende maatregelen op het gebied van bijvoorbeeld security worden genomen. Het kan dan zijn dat de maatregelen van de serviceorganisatie op specifieke onderdelen niet ver genoeg gaan. Dan zal er overlegd moeten worden met de serviceorganisatie om de gewenste maatregelen alsnog te laten implementeren.

De serviceorganisatie kan besluiten om de extra maatregelen alleen voor dit specifieke bedrijf te implementeren of generiek voor alle klanten. Dat hiervoor extra kosten gemaakt worden door de serviceorganisatie moge duidelijk zijn en het is dan een kwestie van uitonderhandelen wie daarvoor zal opdraaien.

Doorlooptijd
Ook dient rekening gehouden te worden met de doorlooptijd van het implementeren van de extra, gewenste, maatregelen en het beoordelen daarvan op hun effectiviteit. Sommige maatregelen, zeker op securitygebied, vergen al gauw enkele weken om te implementeren binnen een organisatie. Denk hierbij aan een specifiek toegangssysteem met uitgebreide controlemogelijkheden, maar ook het opzetten van een nieuwe, interne verantwoordings- en rapportagelijn binnen bestaande operationele en managementniveaus.
Vervolgens moeten ze, na implementatie, nog gedurende een periode door de SAS70-auditor op hun werking gecontroleerd kunnen worden.

Oplevering verklaring
Spreek duidelijk af op welke momenten in de toekomst de SAS70-verklaring wordt opgeleverd. Hoe raar het ook klinkt, op het moment dat de verklaring wordt afgegeven is deze al weer verouderd. Het is namelijk een verklaring over de (achterliggende) periode die geaudit is, en eindigt dus op moment van afgifte. Voor het financiële jaarverslag is er echter ieder jaar zo’n SAS70-verklaring nodig, afgegeven over een recente periode. Leg daarom vast in het contract met de serviceorganisatie op welk moment de verklaring wordt verwacht (zeker als het een gebroken boekjaar betreft).
De verwachting is overigens dat de meeste serviceorganisaties de audit over het gehele jaar zullen laten lopen. In de praktijk komt dit er dan op neer dat ze drie keer per jaar geaudit worden en aan het eind van het jaar de SAS70-verklaring opgeleverd krijgen.

Audit op de audit
Als de serviceorganisatie nog bezig is met het verkrijgen van het SAS70-verklaring, is het verstandig om af te spreken tussentijds verslag te krijgen van de status en vorderingen. Eventueel kan er worden afgesproken dat de interne auditafdeling (of desnoods de externe auditor c.q. accountant) een tussentijdse audit uitvoert op het project. Het biedt extra zekerheid en zelfs de mogelijkheid om tussentijds bij te sturen, dan wel te ondersteunen. Uiteindelijk zijn beide partijen gebaat bij een tijdige oplevering van de verklaring.

Keuze van de auditor
De serviceorganisatie is verantwoordelijk voor het verkrijgen van de SAS70-verklaring. Zij zal dus de auditor selecteren, vaak een bedrijf waar het al eerder zaken mee heeft gedaan. Het staat bedrijven natuurlijk vrij om op eigen kosten zelf een externe auditor in te huren en deze een SAS70-audit te laten uitvoeren bij de serviceorganisatie. Het biedt misschien meer zekerheid die specifiek op de gewenste controlemaatregelen getest zal worden.

Conclusie
Zonder enige twijfel is de Sarbanes-Oxley Act voor in Amerika beursgenoteerde bedrijven de meest ingrijpende wet sinds de Tweede Wereldoorlog. Gezien de nog steeds toenemende trend van outsourcing wordt de SAS7-verklaring steeds belangrijker en wordt het voor de CIO dus meer en meer zaak om hier tijdig maatregelen voor te plannen om te zorgen dat hij/zij ‘in control komt, in control is en in control blijft’!