Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.
Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.
Inleiding
Diverse ondernemingen hebben bepaalde activiteiten uitbesteed aan een serviceorganisatie, zoals een Application Service Provider, een fund-administratiekantoor of een vermogensbeheerder. Indien de uitbesteding van materiële invloed is op de financiële verslaggeving, zal de accountant die belast is met de jaarrekeningcontrole van de uitbestedende onderneming, controlezekerheid moeten krijgen over de interne beheersingsstructuur bij de serviceorganisatie.
Het American Institute of Certified Public Accountants (AICPA) heeft hiertoe de ‘Statement on Auditing Standards’ (SAS) nummer 70, ‘Reports on the processing of Transactions by Service Organisations’ ontwikkeld. Deze richtlijn maakt deel uit van AU section 324 ‘Service Organisations’. SAS 70 is een algemeen geaccepteerde richtlijn, die erop neerkomt dat een serviceorganisatie haar interne beheersingsstructuur laat beoordelen door een onafhankelijke auditor. Deze beoordeling kan eveneens vanuit het perspectief van de userorganisatie worden toegepast. SAS 70 stelt de serviceorganisatie in staat het niveau van de interne beheersing te tonen; niet alleen aan de controlerend accountant van de organisatie die uitbesteedt, maar ook aan (potentiële) klanten.
Betrokken partijen
In een SAS 70-audit zijn de volgende partijen betrokken: ‘userorganisatie’ en haar ‘userauditor’ ten opzichte van de ‘serviceorganisatie’ en haar ‘serviceauditor’. Het SAS 70-onderzoek, en hiermee vergelijkbare onderzoeken, worden binnen Nederland relatief veel toegepast in de financiële dienstverleningssector. De serviceauditor is de partij die uiteindelijk een ‘audit opinion’ afgeeft bij het, door het management opgestelde, SAS 70-achtige rapport, waarin de interne beheersingsstructuur op een gedetailleerde wijze is beschreven. Doorgaans wordt het rapport, inclusief de verklaring, beschikbaar gesteld aan mogelijke ‘prospects’. In onderling overleg tussen de userorganisatie en de serviceorganisatie worden de rapporten, in de Nederlandse situatie, beschikbaar gesteld aan de toezichthouder(s).
De opdracht voor het SAS 70-onderzoek kan worden verstrekt door de userorganisatie of de serviceorganisatie. De userorganisatie kan de opdracht geven aan de serviceorganisatie om een dergelijk onderzoek te laten uitvoeren, gezien haar eindverantwoordelijkheid voor de betreffende transacties. Daarnaast is er, met de komst van de Sarbanes-Oxley regelgeving, corporate governance-regels en regelgeving door toezichthouders (Richtlijn Organisatie en Beheer van DNB, uitbestedingsrichtlijn van de PVK), sprake van een verhoogde behoefte om zekerheid te verkrijgen inzake de betrouwbaarheid van de uitbestede activiteiten.
Onderzoek
SAS 70 is van toepassing op onderzoeken in het kader van een financial audit, die worden uitgevoerd ten behoeve van de accountant van een userorganisatie. Deze accountant heeft als object van onderzoek de jaarrekening van de userorganisatie en zal willen weten wat de controlerisico’s zijn inzake de beheersing van de relevante processen door de serviceorganisatie.
Opzet, bestaan en werking
Het SAS 70-onderzoek richt zich op de opzet en het bestaan van de betreffende beheersingsmaatregelen van de serviceorganisatie, maar kan tevens gericht zijn op de werking. In SAS 70 worden twee soorten van onderzoek beschreven:
- Policies and procedures placed in operation (Type I-onderzoeken).
Dit type onderzoek geeft de gebruiker inzicht in de opzet en het bestaan van de beheersingsmaatregelen bij de serviceorganisatie, maar geeft geen evidence over de werking van de beheersingsmaatregelen. - Policies and procedures placed in operation and tests of operating effectiveness (Type II-onderzoeken).
Bij dit type onderzoek wordt tevens de voldoende effectieve werking van gedefinieerde maatregelen getest, uitgaande van een hoge mate van zekerheid
Normen
De SAS 70-richtlijn geeft geen kwaliteitseisen; het is aan de opdrachtgever om in samenspraak met de serviceorganisatie en de auditor de gepaste normenset op te stellen. De normen zelf kunnen afkomstig zijn van de organisatie die wordt beoordeeld, de serviceorganisatie of de auditor waarvoor de audit plaatsvindt, een toezichthoudende instantie of een andere bron. Voor het beoordelen c.q. vaststellen van de normen zijn diverse normenkaders voorhanden, zoals:
- Code voor Informatiebeveiliging van het Nederlands Normalisatie Instituut (NNI);
- Information Technology Infrastructure Library van de Central Computer & Telecommunications Agency (CCTA);
- ISO 9000-9004 van de International Organization for Standardization (ISO).
Het SAS 70-onderzoek zal meermalen per jaar kunnen worden uitgevoerd, afhankelijk van de benodigde diepgang van het onderzoek en de specifieke situatie bij de serviceorganisatie.
Rapportage
SAS 70 geeft gedetailleerde voorschriften voor de inrichting en bewoordingen van de verklaring van de serviceauditor. Zo verklaart hij, met een redelijke mate van zekerheid en rekening houdend met de materialiteit, dat de beschreven beheersingsmaatregelen (‘uit de bijlage’) de relevante aspecten afdekken voor de beheersingsorganisatie van een userorganisatie. Daarnaast geeft hij aan dat de beheersingsmaatregelen in opzet geschikt zijn om, met een redelijke mate van zekerheid, de specifieke controledoelstellingen te realiseren, indien de beschreven beheersingsmaatregelen (‘uit de bijlage’) worden nageleefd. Indien tevens de werking wordt beoordeeld, zal de serviceauditor aangeven welke tests zijn uitgevoerd in relatie tot de controledoelstellingen en wat de uitkomsten hiervan waren.
De uitkomsten van de audit zijn vastgelegd in de bijlage, in de vorm van een onderzoeksmatrix. Per kwaliteitseis en daarbinnen per beheersingsmaatregel is aangegeven met welke diepgang en frequentie de beheersingsmaatregel is getoetst en wat de bevindingen naar aanleiding van de toetsing zijn. De rapportage is in principe voor alle gebruikers dezelfde.
Richtprijs en toegevoegde waarde
SAS 70 laat zeer weinig ruimte om een beperkte audit uit te voeren. Er zal een full scope audit moeten worden uitgevoerd, die vaak kostbaar is. Echter, voor de serviceorganisatie zijn significante voordelen te behalen doordat zij niet meer wordt belast met een veelheid van userauditors. Een serviceorganisatie heeft te maken met een veelheid van userauditors met elk hun eigen wens om zekerheid te verkrijgen over de effectiviteit bij de serviceorganisatie. Zonder een dergelijk rapport zou een serviceorganisatie al deze userauditors langs krijgen, hetgeen een kostbare zaak is. Richting de klanten van een serviceorganisatie kan ook veel waarde worden toegevoegd door aan te tonen dat de interne beheersing adequaat is. Een klant en diens accountant kunnen zekerheid c.q. vertrouwen ontlenen aan het rapport.
Ook aan de kant van de userorganisatie is voordeel te behalen doordat de userauditor geen additionele werkzaamheden hoeft uit te voeren.