Volgend jaar geen SAS 70 meer?

Deze standaard (ISAE 3402) treedt in 2009 in werking. De nieuwe standaard heeft een groot aantal eigenschappen van de al veel gebruikte SAS 70-standaard overgenomen. Daarnaast is een aantal aspecten toegevoegd waardoor deze standaard breder, meer dan alleen gericht op financiële processen, kan worden toegepast.

ISAE 3402 wordt de wereldwijde standaard voor het controleren van serviceorganisaties en vervangt de SAS 70-standaard. Behalve terminologie zijn er tussen de ISAE 3402 en SAS 70-standaard een aantal verschillen: 1 Verklaring management: onderdeel van de ISAE 3402-rapportage is een verklaring van het management van de organisatie over de opzet, bestaan en werking van de controles.

In een SAS 70-rapportage is alleen de verklaring van de auditor over de beheersingsmaatregelen opgenomen. 2 Verklaring auditor: eventuele afwijkingen ten aanzien van de opzet, bestaan en werking van de beheersingsmaatregelen worden in de verklaring van de auditor gecombineerd vermeld.

In een SAS 70-rapportage wordt hierover afzonderlijk gerapporteerd. 3 Beoordeling controle raamwerk: onder ISAE 3402 is de service auditor verplicht om te beoordelen of het controle raamwerk voldoet aan een minimaal aantal criteria (suitable criteria). Onder SAS 70 had de auditor deze verplichting niet.

4 Verspreiding rapportage: de rapportage is een rapportage waarin precies vermeld staat voor wie het rapport is bestemd. Anders dan in een SAS 70-rapport worden expliciet eisen gesteld aan de auditors van de gebruikersorganisatie.

Deze dienen over voldoende organisatiekennis te beschikken om de mogelijke effecten van de uitkomsten van de rapportage op de onderneming goed in te schatten.

Bron: Tijdschrift Financieel Management: ICT Update i.s.m Ernst & Young