SAS 70 en ISAE 3402 audits

Veel organisaties besteden bedrijfsprocessen uit aan derden (serviceorganisaties). Voorbeelden zijn de uitbesteding van salaris- en personeeladministraties of pensioenberekeningen. Het management van deze organisaties blijft echter eindverantwoordelijk voor de uitbestede processen. Hierdoor is het van cruciaal belang om te weten of de serviceorganisatie de uitbestede processen goed in de greep heeft.

Een SAS 70 (Statement on Auditing Standards, No. 70), ISAE 3402 (International Standard on Assurance Engagements, no. 3402) of SSAE 16 (Statement on Standards for Attestation Engagements No. 16) audit kan hierin zekerheid verschaffen.

Toepassing
Een SAS 70, ISAE 3402 of SSAE 16 worden toegepast om zekerheid te verkrijgen over de kwaliteit van de interne beheersing van de bedrijfsprocessen die, voor een deel, zijn uitbesteed aan serviceorganisaties. Aan de hand van interviews met functionarissen, de beoordeling van relevante documentatie en door middel van observaties wordt hiervan een beeld gevormd. Indien gewenst worden eveneens lijncontroles uitgevoerd. Aansluitend vindt (steekproefsgewijs) beoordeling plaats van de werking van de risicobeheersingsmaatregelen die zowel binnen de eigen organisatie, als binnen de serviceorganisatie zijn ingericht.

Een SAS 70, ISAE 3402 of SSAE 16 audit voorziet, na positieve beoordeling van de situatie, in een verklaring dat zekerheid kan worden verschaft over het correct functioneren van de uitbestede bedrijfsprocessen en dat ten behoeve van de inrichting en werking afdoende risicobeheersingsmaatregelen zijn genomen om incorrecte werking te detecteren en de daarmee gepaard gaande risico’s te mitigeren.

ISAE 3402 of SSAE 16
Voor rapportageperioden die eindigen na 15 juni 2011 worden de SAS 70 verklaringen vervangen door de ISAE 3402 of de SSAE 16 verklaringen. Welke van deze twee nieuwe standaarden op uw organisaties van toepassing is, is afhankelijk van de partijen waarmee u samenwerkt op het terrein van uitbesteding van bedrijfsprocessen.

Partijen die opereren onder de regels van de overkoepelende Europese accountantsorganisatie IFAC zijn namelijk gehouden aan de ISAE 3402 en partijen die gelieerd zijn aan de Amerikaanse accountantsorganisatie AICPA zijn gehouden aan de SSAE 16.

Overeenkomsten en verschillen
In navolging van een SAS 70 onderzoek, wordt binnen de nieuwe standaarden eveneens een onderscheid gemaakt tussen een type I en type II onderzoek cq. verklaring. Een type I onderzoek is gericht op de maatregelen van administratieve organisatie en interne beheersing die op een bepaald moment door de serviceorganisatie zijn getroffen.

Een type II onderzoek daarentegen gaat een stap verder en geeft niet uitsluitend een oordeel over de opzet en het bestaan van de maatregelen van administratieve organisatie en interne beheersing, maar beoordeelt eveneens de effectieve werking van deze maatregelen over een periode van minimaal 6 maanden. In vergelijking met een type I verklaring, geeft een type II verklaring derhalve meer zekerheid.

Beide standaarden zien toe op een beschrijving van de serviceorganisatie en de wijze waarop de getroffen risicobeheersingsmaatregelen zijn vormgegeven en worden beheerd.

De nieuwe standaarden bevatten, in aanvulling op een SAS 70 verklaring, eveneens een verklaring van het management van de serviceorganisatie waarin de opzet, het bestaan en de werking van de beheerorganisatie uiteen gezet wordt.

Een ander verschil tussen de genoemde standaarden is dat de SAS 70 verklaring hoofdzakelijk focust op financiële verantwoordingsinformatie. Binnen de nieuwe standaarden is het tevens mogelijk de reikwijdte van het onderzoek te verruimen met een compliance component, waarbij de naleving van wet- en regelgeving en de effectiviteit en efficiëntie van de bedrijfsvoering object van onderzoek is.

Duthler Associates
De ervaring die de professionals van Duthler Associates hebben verworven omtrent het inrichten en beoordelingen van risicobeheersingsmaatregelen binnen administratieve organisaties is vertaald naar een effectieve en efficiënte audit methodiek ten behoeve van SAS 70 en gerelateerde audits.

Graag zijn wij bereid vrijblijvend met u in contact te treden en onze kennis en ervaringen te delen bij het formuleren van de doelen en uitgangspunten voor een audit of een adviestraject.