SAS 70 / ISAE 3402

SAS 70 staat voor Statement on Auditing Standards number 70 en is een kwaliteitskeurmerk voor dienstverlenende organisaties. SAS 70 verschaft een waarborg voor de juistheid, volledigheid, tijdigheid en betrouwbaarheid van processen en controlemaatregelen. SAS 70 is ontwikkeld door de Amerikaanse beroepsorganisatie van accountants. Het is een internationaal erkende auditing standaard.

De SAS 70 norm is, hoewel internationaal geaccepteerd, Amerikaans. Om een internationaal alternatief te bieden is recentelijk de International Standard on Assurance Engagements 3402 (ISAE 3402) ontwikkeld. Deze norm is breder toepasbaar en beperkt de scope niet tot de financiële rapportage.

SAS 70 rapport

In het SAS 70 rapport zijn de interne beheersmaatregelen van een dienstverlenende organisatie beschreven. Ook de methode van auditing wordt vastgelegd om de maatregelen te beoordelen en de feitelijke werking vast te stellen. De audit dient door een externe accountant te worden uitgevoerd. Een SAS 70 rapportage is ten opzichte van een ISO-certificering veel transparanter omdat het een uitgebreide rapportage omvat met daarin de bevindingen van de externe accountant.

SAS 70 verklaring

Een SAS 70 verklaring is de door de externe accountant afgegeven beoordeling van de interne beheersmaatregelen. De SAS 70 verklaring wordt gevraagd door de klant van een serviceorganisatie ter beoordeling van de kwaliteit van de uitbestede processen en effectiviteit van de controlemaatregelen. Hierdoor kunnen zij erop vertrouwen dat de serviceorganisatie de uitbestede activiteit goed beheerst en controleert. Een SAS 70 verklaring gaat daarom veel verder dan een Service Level Agreement. De serviceorganisatie verklaart niet alleen haar opleveringen juist, tijdig en volledig te doen, maar geeft ook inzicht in de wijze waarop zij haar processen inricht, beheerst en controleert. Een SAS 70 verklaring geeft aan dat de uitbestede processen ‘in control’ zijn.

SAS 70 type I en II

Er zijn twee typen SAS 70-verklaringen. De SAS 70 type I verklaring beschrijft de interne controles van de dienstverlenende organisatie. Een externe accountant toetst of de controles daadwerkelijk bestaan en worden nageleefd om de kwaliteit van de dienstverlening te waarborgen. De SAS 70 type II verklaring geeft het oordeel over de inzet gedurende langere tijd en de effectiviteit van de interne controlemaatregelen. Gedurende een periode van minimaal zes maanden wordt gecontroleerd of de processen en controles conform de voorschriften worden uitgevoerd. Daarbij wordt gekeken naar zowel de administratieve organisatie, als de ondersteunende geautomatiseerde systemen.

ISAE 3402 managementverklaring

Ook ISAE 3402 is gebaseerd op een accountantsverklaring en ook hier komen twee typen voor: Type A en Type B, vergelijkbaar met SAS 70 type I, respectievelijk type II.

Een wezenlijk verschil met SAS 70 zit in de verklaring van de serviceorganisatie, waarin het management moet aangeven verantwoordelijk te zijn voor de genoemde beheersmaatregelen.

Voordelen van SAS 70 / ISAE 3402 verklaring

De implementatie van SAS 70 of ISAE 3402 brengt voor een serviceorganisatie de volgende voordelen met zich mee:

• Processen en beheersmaatregelen zijn effectiever;
• Voldoen aan vereisten van andere wet- en regelgeving (bijvoorbeeld SOx);
• Risicomanagement is effectiever;
• Meer inzicht in beheersmaatregelen;
• Minder kosten door een uniforme invulling van controleverzoeken door klanten van serviceorganisaties;
• De verklaring is het argument voor organisaties om bestaande klanten te behouden en nieuwe klanten te werven;
• Accountantscontrole kan na het verkrijgen van een verklaring sneller en goedkoper.

Uiteindelijk doel van een SAS 70 / ISAE 3402 traject is een organisatie waarin: 

• haar interne beheersing op een effectieve en efficiënte manier is ingericht;
• het management met een gerust hart tekent voor de verantwoordelijkheid voor de genomen beheersmaatregelen;
• een bezoek van de externe accountant met een goed gevoel tegemoet kan worden gezien.

Wat kan Molenaar & Lok Consultancy voor u betekenen?