SAS-70

Veel professionele dienstverleners zullen de komende maanden te maken krijgen met een tot nu toe relatief onbekende term: Statement on Auditing Standard number 70 (SAS- 70) type 2-mededeling. SAS-70 is de Amerikaanse controlestandaard die richtlijnen geeft voor het controleren van zogenaamde "service organisations". Het is de naam van een 'certificering' waarvan opdrachtgevers van externe dienstverleners binnenkort tot de conclusie zullen komen dat al hun externe dienstverleners eraan moeten voldoen. Omdat SAS-70 zal uitgroeien tot een keurmerk, zullen dienstverleners die zich niet aan deze certificering onderwerpen snel buiten de boot vallen en marktaandeel verliezen. Door drs Remco M.F. Misset, Steens & Partners Consultants

Het SAS-70 rapport Op basis van de Sarbanes-Oxley wet moeten Amerikaanse beursgenoteerde bedrijven kunnen aantonen dat zij beschikken over effectieve controlemaatregelen- en processen. Het outsourcen van bedrijfsprocessen aan partijen, zoals salarisverwerkingsbedrijven, pensioenfondsen, vermogensbeheerders en banken, ontslaat beursgenoteerde ondernemingen niet van deze verantwoordelijkheid. Immers eist ook de Autoriteit Financiële Markt (AFM) van bedrijven die te maken hebben t Europese aanbestedingen, een zogeheten Third Party Message (TPM). Voor het verkrijgen van een SAS- 70 certificering worden een aantal stappen doorlopen. De externe dienstverlener stelt een SAS-70 rapport op waarin haar interne beheersingsorganisatie op hoofdlijnen is beschreven alsmede de specifieke beheersdoelstellingen (control objectives) die worden getoetst. Vervolgens wordt door een externe accountant een SAS- 70 onderzoek uitgevoerd dat zich richt op de interne processen en beheersingsmaatregelen, alsmede op de specifieke control objectives. Het onderzoek van een externe accountant naar de beheersorganisatie leidt tot een verklaring vergezeld van een opsomming van bevindingen waaruit blijkt dat de uitvoeringsorganisatie 'in control' is. Een dergelijk proces kan al snel een jaar duren. Voorbij aan ISO SAS-70 gaat verder waar ISOcertificering ophoudt. Was de ISO-certificering vooral bedoeld om de opzet van systemen in kaart te brengen, bij SAS 70 draait het ook om het meten van de feitelijke werking van de systemen. Wanneer opdrachtgevers van de externe dienstverleners hun financiële processen aan een audit moeten onderwerpen, dan is het deel bij de externe dienstverlener al afgedekt. Zo'n 100 ondernemingen - met in totaal 40.000 medewerkers - vroegen de afgelopen maanden om een SAS-70 type 2 -verklaring en zullen het rapport binnenkort ontvangen. Hun aantal zal de komende tijd nog behoorlijk toenemen, zo is de verwachting. De zaak op orde Niet iedere externe dienstverlener kan zomaar aan de slag met SAS-70. De zaken moeten intern op orde zijn en de organisatie moet stabiel zijn. Processen moeten goed verlopen en intern beschreven zijn. Elke afwijking wordt namelijk gerapporteerd. Bovendien trekt het een wissel op de organisatie, met name de audit & control afdeling. Dit artikel is gepubliceerd in de Kwartaalnieuwsbrief Q3-2005 van Steens & Partners Consultants.