Verschillen en overeenkomsten tussen SOx en SAS 70

Vergelijkbare documenten
Integrated audit: SAS 70: het verlengstuk van internal control over financial reporting

Praktijkervaringen binnen SAS70-trajecten

2014 KPMG Advisory N.V

Nut en noodzaak van SAS 70

MKB Cloudpartner Informatie TPM & ISAE

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

SAS 70 maakt plaats voor ISAE 3402

SAS 70 en daarna: controls reporting in een breder kader

De mogelijke rollen van de internal auditor in een ISAE 3402-traject

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Nuttige bescherming voor beleggers?

Integrated audit: een uitdaging voor de auditor?

Verbetermogelijkheden. SAS 70-rapport. Compact_ 2008_1 43. Introductie

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Ronald van der Wal Enterprise Risk Services

SAS70 en de internal auditor

SAS70 en de internal auditor

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

SOx en ORM: twee verschillende werelden?

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

Controleverklaring van de onafhankelijke accountant

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Assurancerapport van de onafhankelijke IT-auditor

Verantwoording en Assurance inzake In Control

De spreadsheet van het strafbankje

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

SAS 70 in een ICT-fabriek Accessoire, fabrieksoptie of onderdeel van de standaard?

Werking en gevolgen van SOx

Controleverklaring van de onafhankelijke accountant

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

ISAE 3402 en de internal auditor

Toepassing van de monitoring - component van het COSO-raamwerk

II. VOORSTELLEN VOOR HERZIENING

SOX 404 business en tool alignment

Grip op fiscale risico s

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

SOX ING: de aanpak van ING in het kader van de Sarbanes-Oxley Act

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

Controleverklaring van de onafhankelijke accountant

ISA 510, INITIËLE CONTROLEOPDRACHTEN - BEGINSALDI

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

GENERIEK OF MAATWERK. ISO 9001-certificatie is nog steeds uiterst actueel als manier. achtergrond. SAS 70 als alternatief voor ISO 9001-certificatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

ISAE 3402: een nieuw hoofdstuk voor de IT-auditor

CobiT en rapporteren over IT Governance

LANDELIJK EXAMEN OAT

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

VERSLAG (2016/C 449/29)

Prof dr Philip Wallage 2 JUNI 2010 AMSTERDAM SEMINAR EUMEDION, NIVRA EN VBA

ISA 402, Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie

Governance, Risk and Compliance (GRC) tools

INTERNATIONAL STANDARD ON AUDITING (ISA)

VERSLAG (2016/C 449/18)

Concept Praktijkhandreiking 1119 Nadere toelichtingen in de goedkeurende controleverklaring

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Invloed SOX op de rol van de IT-auditor

Praktijkhandreiking 1119 Nadere toelichtingen in de controleverklaring 24 april 2012

Ons oordeel Wij hebben de jaarrekening 2016 van Lavide Holding N.V. te Alkmaar gecontroleerd.

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

ISA 710, TER VERGELIJKING OPGENOMEN INFORMATIE - OVEREENKOMSTIGE CIJFERS EN VERGELIJKENDE FINANCIELE OVERZICHTEN

Het effect van GRC-software op de jaarrekening controle

INTERNATIONAL STANDARD ON AUDITING (ISA)

Assurance rapport van de onafhankelijke accountant

De logica achter de ISA s en het interne controlesysteem

ADVISORY. Praktijkgids 4. Service Organisatie Control-rapport, ISAE kpmg.nl

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

STAP 2: Documenteer Maatregelen Documentatie van de maatregelen van interne controle is een eerste voorwaarde om te komen tot een aantoonbare

ENSIA guidance DigiD-assessments

Copro 18053B. Rijksdienst voor Ondernemend Nederland. Mededeling GMO Groenten en fruit : WAP 2016 bijlage III

De controle van de groepsjaarrekening

Copro 16105C. Rijksdienst voor Ondernemend Nederland. Mededeling GMO Groenten en fruit : WAP 2014 bijlage III

Controleprotocol verantwoording van subsidies vanaf ,- provincie Utrecht mei 2017

Embedded testing binnen IT General Controls

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant

Het meten van de effectiviteit van internecontrolemaatregelen

Beoordelingskader Informatiebeveiliging DNB

BUREAU FINANCIEEL TOEZICHT. Geachte mevrouw, heer, Hierbij ontvangt u de Circulaire gerechtsdeurwaarders 2019 ( circulaire ). In deze circulaire

Inleiding / Doel van de vraag om advies. Belangrijkste gegevens van het dossier ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS

INTERNATIONAL STANDARD ON AUDITING (ISA)

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

User control considerations voor ISAE3402- assurancerapportages

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

Sarbanes-Oxley wet sectie 404

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Betreft: Reactie discussienota "Aanpakken en Bestrijden van Fraude."

Mw. B. Beugelaar RE RA. Compact 2005/2

Controleverklaring van de onafhankelijke accountant

DOORSTAAT UW RISICOMANAGEMENT DE APK?

INTERNATIONAL STANDARD ON AUDITING (ISA)

Transcriptie:

Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur, opdat dergelijke schandalen in de toekomst worden voorkomen. SAS 70 en SOx zijn twee instrumenten om aan de buitenwereld aan te kunnen tonen dat de interne beheersing op orde is. Maar wat zijn de overeenkomsten tussen SOx en SAS 70 en wat zijn de verschillen? Dit artikel geeft een overzicht van beide. Inleiding De laatste jaren is er vanuit de regelgeving veel aandacht voor interne beheersing en goed ondernemingsbestuur. Doel hiervan is onder meer de interne beheersing binnen organisaties te verbeteren én aan de buitenwereld aan te tonen dat interne beheersingsmaatregelen ook daadwerkelijk effectief zijn. Een bekend voorbeeld hiervan is de Amerikaanse Sarbanes-Oxley Act van 2002 (SOx). Deze wet verplicht ondernemingen een verklaring uit te brengen over hun interne beheersingsmaatregelen. Daarnaast bestaat sinds 1992 de zogenaamde Statement on Auditing Standard No. 70 Service Organizations (SAS 70) ([AICP06]). SAS 70 is een Amerikaanse verslaggevingsstandaard van toepassing op serviceorganisaties die diensten verlenen aan organisaties die delen van bedrijfsprocessen hebben uitbesteed. Door middel van een SAS 70-rapport geeft een serviceorganisatie haar klanten inzicht in de interne beheersingsmaatregelen en geeft een externe accountant hierover een oordeel. Niet alleen qua doelstelling hebben SOx en SAS 70 daarmee overeenkomsten, maar ook op andere aspecten lijken de twee op elkaar. Dat er overeenkomsten zijn is niet zo vreemd: SOx is voor een deel afgeleid van SAS 70. Er is echter ook een aantal significante verschillen. Hieronder worden deze overeenkomsten en verschillen uiteengezet. Drs. J.H.L. Groosman RE is manager bij KPMG IT Advisory Financial Services en is gespecialiseerd in risk- en compliancevraagstukken. groosman.joost@kpmg.nl SAS 70 en SOx Sectie 404 van de Sarbanes-Oxley wetgeving eist dat ondernemingen de interne beheersing rondom hun financiële verslaggeving op een dusdanige manier hebben ingericht dat materiële onjuistheden in de jaarrekening voorkomen of gedetecteerd kunnen worden. Om dit te realiseren moet een onderneming haar systeem van interne beheersing hebben ingericht volgens een algemeen geaccepteerd intern beheersingska- 59

Drs. J.H.L. Groosman RE Figuur 1. Het oorspronkelijke doel van SAS 70. der. Het COSO-model wordt als geschikt beschouwd. Bovendien moet het management opzet, bestaan en werking van het systeem van interne beheersing jaarlijks evalueren. De externe accountant die de jaarrekening van de onderneming controleert dient zelfstandig werkzaamheden te verrichten om opzet, bestaan en werking van de interne beheersing vast te stellen ([PCAO07]). Volgens de regelgeving dient zowel het management als de accountant daarbij het gehele verwerkingsproces dat relevant is voor de financiële verslaggeving te beoordelen, dus inclusief een eventueel uitbesteed deel. de jaarrekening te komen (zie figuur 1). Natuurlijk moest de SAS 70-mededeling door een publieke accountant worden afgegeven, meestal de externe accountant van de serviceorganisatie. Daarmee was de SAS 70 dus een rapportage bedoeld voor de externe accountants van de klanten van de serviceorganisatie. Het management van de uitbestedende partij, organisatie A in figuur 1, had niet zo n behoefte aan de SAS 70-rapportage, omdat het veelal toereikende operationele informatie kreeg in de vorm van bijvoorbeeld service level rapportages of zelf de kwaliteit van de geleverde diensten kon beoordelen. Processen relevant voor de financiële jaarrekening van organisatie A Processen in huis organisatie A Controles externe accountant A uitbesteed SAS 70 door accountant van de service provider Verklaring bij de jaarrekening door accountant A Processen in huis Controles externe accountant A Processen relevant voor de financiële jaarrekening van organisatie A Processen in huis organisatie A Interne toetsing Integrated audit accountant Figuur 2. Bij SOx is SAS 70 relevant voor de externe accountant en het management. Scope integrated audit accountant Interne SOx-scope uitbesteed SAS 70 Processen in huis Interne toetsing Integrated audit accountant SAS 70 heeft (alleen) betrekking op de interne beheersing van de diensten die een serviceorganisatie verleent aan haar klanten. De reikwijdte van SAS 70 beperkt zich tot die diensten van de serviceorganisatie waarvan de klanten voor hun jaarrekening afhankelijk zijn. De (accountants van die) klanten steunen voor de betrouwbaarheid van hun financiële verslaggeving op de effectiviteit van interne beheersing bij de serviceorganisatie. Oorspronkelijk is SAS 70 met name bedoeld om de externe accountant zekerheid te geven over de kwaliteit van de uitbestede processen en/of gegevens, zodat de accountant samen met zijn eigen werkzaamheden voldoende inzicht had om tot de verklaring bij Na de invoering van SOx, waarbij ook het management verplicht werd interne toetsen op de kwaliteit van het stelsel van interne controle uit te voeren, zag het management zich gedwongen om ook een gefundeerd oordeel te hebben over het uitbestede deel. En natuurlijk was de link met SAS 70 snel gevonden. Was de behoefte aan een SAS 70 vóór het SOx-tijdperk nog beperkt de accountant kon vaak via cijferverbanden en -analyses om de uitbesteding heen controleren, na de invoering van SOx staat de kwaliteit van de beheersingsmaatregelen als zodanig mede op de voorgrond en wil ook het management van de serviceorganisatie een SAS 70-rapportage ter ondersteuning van haar interne beheersing. Dit is in figuur 2 weergegeven. Om een schone SAS 70-rapportage te verkrijgen dient de onderneming haar stelsel van interne beheersing effectief te hebben ingericht. De SAS 70-standaard verwijst hiervoor eveneens naar het COSO-model. Voor de relevante diensten die een serviceorganisatie verleent zal de uitbestedende partij beheersingsdoelstellingen ( control objectives ) hebben gedefinieerd en al dan niet via de service level agreement aan de provider hebben opgelegd. Om deze beheersingsdoelstellingen te realiseren moet de serviceorganisatie één of meer beheersingsmaatregelen ( controls ) hebben geïmplementeerd. Een externe accountant stelt vervolgens bij de serviceorganisatie vast of de beheersingsmaatregelen de beheersingsdoelstellingen realiseren. Afhankelijk van het type SAS 70-rapport (type 1 of type 2) toetst de accountant opzet en bestaan (type 1) van de maatregelen of opzet, bestaan én werking (type 2) van de maatregelen. De serviceorganisatie rapporteert over de interne beheersing door een SAS 70-rapport uit te geven met hierin een SAS 70-mededeling van een externe accountant. Het SAS 70-rapport is bestemd voor de klanten van de serviceorganisatie en voor de externe accountants van deze klanten. Verschillen en overeenkomsten tussen SAS 70 en SOx Uit het bovenstaande blijkt al dat er overeenkomsten zijn tussen SOx en SAS 70. Zowel SOx als SAS 70 heeft bijvoorbeeld als doelstelling derden inzicht te geven in 60

Verschillen en overeenkomsten tussen SOx en SAS 70 Compact 2007/3 de interne beheersingsmaatregelen van een onderneming door middel van een uiting. Voor SOx is de doelgroep van deze uiting echter breder dan bij SAS 70. Een SAS 70-rapport is in eerste instantie bestemd voor de accountant van de klanten ( user organizations ) en in tweede instantie voor de klanten zelf. Het SAS 70- rapport kent derhalve een beperkte gesloten verspreidingskring. De externe accountant kan op de SAS 70- rapportage steunen bij het controleren van de jaarrekening van de gebruikersorganisatie. Een SOxverklaring is daarentegen bestemd voor alle belanghebbenden van een onderneming en is daarom openbaar beschikbaar als onderdeel van het jaarverslag van een onderneming. Een ander verschil is dat SOx een wet is, waaraan alle onder toezicht van de Securities and Exchange Commission (SEC) staande ondernemingen verplicht zijn te voldoen. De Public Company Accounting Oversight Board (PCAOB) is het orgaan dat de wetgeving heeft uitgewerkt in verschillende audit standards en toezicht houdt op de accountantskantoren. De audit standards zijn voorschrijvend van aard en geven gedetailleerde richtlijnen over hoe het management en een accountant hun evaluatie van de interne beheersing moeten uitvoeren. Tot voor kort golden deze standaarden indirect ook voor het management. Voor 2007 heeft de SEC afzonderlijke (concept-) richtlijnen voor het management opgesteld ([SEC06]). Het afgeven van een SAS 70-rapport is daarentegen een keuze van het management van de serviceorganisatie en is daarmee in tegenstelling tot SOx dus niet verplicht. Wel kan het natuurlijk zijn dat een aantal belangrijke klanten van de serviceorganisatie een SAS 70-rapport afdwingt, waardoor SAS 70 toch een plichtmatig karakter krijgt. Het eisen van een SAS 70- rapport (type 2) van een serviceorganisatie is min of meer verplicht voor organisaties die zelf aan SOx moeten voldoen en vanuit de eigen organisatie onvoldoende inzicht hebben in de effectiviteit van de interne beheersing van de voor SOx relevante activiteiten die zijn uitbesteed (zie ook [Bigg06]). SAS 70 is een standaard die door het American Institute of Certified Public Accountants (AICPA) is ontwikkeld en die is uitgewerkt in de Audit Guide Service organizations: Applying SAS No. 70 ([AICP06]). De standaard is minder gedetailleerd en minder voorschrijvend van karakter dan de audit standards van de PCAOB. Zowel SOx en SAS 70 beperkt zich tot die interne beheersingsmaatregelen rondom de activiteiten die gevolgen kunnen hebben voor de jaarrekening. Bij SOx betreft het de jaarrekening van de onderneming die de SOx-verklaring afgeeft. Bij SAS 70 betreft het de jaarrekening van de onderneming waaraan het SAS 70- rapport wordt verstrekt. De reikwijdte van SAS 70 betreft daarom de interne beheersingsmaatregelen rondom de diensten die impact hebben op de jaarrekening van de gebruikersorganisatie waarvoor een serviceorganisatie haar diensten verricht. In beginsel zal de gebruikersorganisatie de te verantwoorden beheersingsdoelstellingen aan de serviceorganisatie opleggen. Dat maakt de SAS 70 tot maatwerk. Het zal duidelijk zijn dat indien een service provider voor meer klanten een SAS 70 moet afgeven, de service provider zal proberen de gevraagde beheersingsdoelstellingen op elkaar af te stemmen. Daardoor kan de situatie ontstaan dat de serviceorganisatie min of meer zelf bepaalt welke diensten en beheersingsmaatregelen deel uitmaken van het SAS 70-rapport. De reikwijdte van een SAS 70-rapport wordt daardoor breder dan alleen die beheersingsdoelstellingen die gericht zijn op de jaarrekening (van de gebruikersorganisatie), en derhalve wordt het rapport gebruikt als een soort kwaliteitsstempel op de algehele dienstverlening van de serviceorganisatie. De reikwijdte van een SOx-verklaring omvat de interne beheersingsmaatregelen rondom de activiteiten die de financiële verslaggeving van de onderneming kunnen beïnvloeden. Activiteiten die de (eigen) jaarrekening niet raken, vallen daarom buiten de reikwijdte van SOx. Voor zowel SOx als SAS 70 wordt geadviseerd dat een onderneming interne beheersingsmaatregelen implementeert die de volgende vijf componenten uit het COSO-raamwerk in voldoende mate afdekken: control Het afgeven van een SAS 70-rapport is in tegenstelling tot SOx niet verplicht environment, risk assessment, control activities, information and communication en monitoring. Om dit te realiseren moeten ondernemingen de relevante maatregelen identificeren, mogelijk verbeteren en documenteren. Belangrijk daarbij is dat achteraf moet kunnen worden aangetoond dat de gedocumenteerde beheersingsmaatregelen effectief zijn geweest. Voor zowel SOx als SAS 70 stelt dit eisen aan de vastlegging van de uitvoering van de beheersingsmaatregelen. Ook vereisen beide dat een onderneming inzicht heeft in haar processen en deze heeft vastgelegd, waarbij het bij SOx alleen die processen dient te betreffen die gevolgen hebben voor de externe verantwoording over de financiële verslaggeving. Bij SAS 70 gaat het om de processen die door de serviceorganisatie worden uitgevoerd ten behoeve van de gebruikersorganisatie. SOx vereist dat een onderneming inzicht heeft in de effectiviteit van de maatregelen om te voorkomen dat de jaarrekening materiële onjuistheden bevat. Daarbij dienen alle relevante assertions van de significante posten in de jaarrekening te worden afgedekt. Aangezien het bij SAS 70 uiteindelijk niet om de jaarrekening van de serviceorganisatie zelf gaat, maar om de jaar- 61

Drs. J.H.L. Groosman RE rekening van de gebruikersorganisatie, mist de serviceorganisatie het beeld van de materialiteit en assertions van de gebruikersorganisatie en vereist SAS 70 daarom dat een serviceorganisatie beheersingsdoelstellingen definieert. Met deze doelstellingen moet de user auditor kunnen bepalen hoe de beheersingsmaatregelen van de serviceorganisatie de jaarrekening van de gebruikersorganisatie beïnvloeden. Zoals hiervoor al gemeld, is de serviceorganisatie echter min of meer vrij in het bepalen van de beheersingsdoelstellingen en er bestaat (dus) geen directe een-op-eenrelatie met de assertions van de jaarrekeningposten van de gebruikersorganisatie. Het SAS 70-rapport zegt in principe niets over het totale niveau van interne beheersing SOx vereist dat een onderneming maatregelen treft om materiële onjuistheden in de jaarrekening te voorkomen en te detecteren. SAS 70 vereist dat de serviceorganisatie maatregelen treft om de gedefinieerde beheersingsdoelstellingen te realiseren. Zowel organisaties die onder de SOx-regelgeving vallen als organisaties die een SAS 70-rapport uitbrengen, dienen hun interne beheersingsmaatregelen te laten evalueren door een externe accountant. Voor SOx geldt bovendien dat zowel het management van de organisatie als de externe accountant de interne beheersingsmaatregelen dient te evalueren. Daarbij geldt tevens dat een en dezelfde accountant zowel de financiële verantwoording als de interne beheersingsmaatregelen moet controleren. Voor SAS 70 gelden deze eisen niet: SAS 70 vereist slechts dat een externe accountant de maatregelen toetst. Bij SOx is de jaarrekening uiteindelijk maatgevend voor het bepalen van de interne beheersingsmaatregelen die geëvalueerd moeten worden. Bij SAS 70 bepalen de door de serviceorganisatie gedefinieerde beheersingsdoelstellingen welke beheersingsmaatregelen door de accountant getoetst worden. In tegenstelling tot SOx kan een serviceorganisatie die een SAS 70-rapport wil uitgeven dus grotendeels zelf bepalen welke onderdelen worden getoetst. Bij SOx dienen het management en de externe accountant altijd zowel opzet, bestaan als werking van de beheersingsmaatregelen te toetsen per het einde van het boekjaar waarop de jaarrekening betrekking heeft. Bij SAS 70 worden, afhankelijk van het type SAS 70- mededeling, opzet en bestaan (type 1) of opzet, bestaan en werking (type 2) getoetst. Bovendien bepaalt de serviceorganisatie bij een type 2-mededeling over welke periode de mededeling van toepassing is, zolang deze maar minimaal zes maanden beslaat. Een SAS 70-rapport bestaat uit een mededeling van de externe accountant over opzet en bestaan (type 1) of over opzet, bestaan en werking (type 2) van de interne beheersingsmaatregelen. Bovendien geeft het rapport de gebruikersorganisatie en haar accountant een behoorlijk gedetailleerd inzicht in de interne beheersingsmaatregelen en de wijze waarop de serviceorganisatie deze heeft geïmplementeerd om aan de beheersingsdoelstellingen te voldoen. Tevens geeft het rapport inzicht in de testwerkzaamheden die de externe accountant per maatregel heeft uitgevoerd om de SAS 70-mededeling af te kunnen geven. Maar omgekeerd zegt het SAS 70-rapport in principe niets over het totale niveau van interne beheersing. Strikt genomen kan een serviceorganisatie weinig controledoelstellingen definiëren, of weinig controlemaatregelen per controledoelstelling opnemen. Hoewel niet formeel geregeld is het de taak van de externe accountant erop toezien dat het rapport geen ongerechtvaardigde verwachtingen oproept bij de gebruikersorganisatie. Bij SOx wordt dit gedetailleerde inzicht in de beheersingsmaatregelen en testwerkzaamheden niet verschaft aan externe partijen, maar moeten de maatregelen wel geheel dekkend zijn. De uiting die een organisatie aan de buitenwereld doet, bestaat alleen uit een verklaring van zowel het management als de externe accountant. In tegenstelling tot SAS 70 betreft een SOx-verklaring altijd opzet, bestaan en werking van de interne beheersingsmaatregelen; een verklaring over alleen bestaan is bij SOx niet van toepassing. De inhoud van deze paragraaf is samengevat in tabel 1. Te n s l o t t e Dit artikel beschrijft de verschillen en overeenkomsten tussen SAS 70 en SOx op een aantal aspecten. Behalve het feit dat SOx verplicht is voor ondernemingen die onder toezicht staan van de SEC en SAS 70 een keuze is van het management, is het belangrijkste verschil tussen de twee voornamelijk gelegen in de reikwijdte van de interne beheersingsmaatregelen waarover wordt gerapporteerd. Met een SOx-verklaring geven de onderneming en haar externe accountant een oordeel over de effectiviteit van de interne beheersingsmaatregelen rondom de financiële verslaggeving. Bij SAS 70 gaat het om de effectiviteit van de interne beheersingsmaatregelen rondom de dienstverlening aan derden, voor zover deze derden voor hun financiële verslaggeving afhankelijk zijn van de effectiviteit van de interne beheersingsmaatregelen bij deze dienstverlener. 62

Verschillen en overeenkomsten tussen SOx en SAS 70 Compact 2007/3 SOx SAS 70 Doelstelling Derden een verklaring geven over de effectiviteit van de interne beheersingsmaatregelen die materiële onjuistheden in de jaarrekening voorkomen of detecteren. Door middel van een rapport derden inzicht geven in de manier waarop processen worden beheerst en de effectiviteit van de interne beheersingsmaatregelen. Verplicht? Ja, SOx is een wettelijke verplichting voor ondernemingen die onder toezicht van de SEC staan. Nee, SAS 70 is een keuze van het management. Doelgroep Een SOx-verklaring is bestemd voor alle belanghebbenden van een onderneming en de SOx-verklaring is openbaar beschikbaar. Een SAS 70-rapport is bestemd voor klanten van een onderneming (serviceorganisatie) en kent daarmee een beperkte gesloten verspreidingskring. Reikwijdte Interne beheersing van de activiteiten die gevolgen hebben voor de jaarrekening van de onderneming. De activiteiten waarop het SAS 70-rapport betrekking heeft, zijn min of meer vrij te bepalen door de serviceorganisatie zelf. Raamwerk voor interne beheersing Onderneming dient beheersingsmaatregelen te inventariseren en te documenteren. Het gehanteerde raamwerk voor interne beheersing is praktisch altijd in overeenstemming met het COSO-model. Onderneming dient beheersingsmaatregelen te inventariseren en te documenteren. Het gehanteerde raamwerk voor interne beheersing is praktisch altijd in overeenstemming met het COSO-model. Beheersingsmaatregelen ( control activities ) zijn gekoppeld aan assertions van posten op de jaarrekening. Beheersingsmaatregelen ( control activities ) zijn gekoppeld aan beheersingsdoelstellingen die relevant zijn voor de jaarrekening van de klanten van de serviceorganisatie. Naast control activities dienen de maatregelen m.b.t. de overige componenten van het COSO-model (zoals control environment) te worden vastgesteld. Naast control activities dienen de maatregelen m.b.t. de overige componenten van het COSO-model (zoals control environment) te worden vastgesteld. Evaluatie van de interne beheersingsmaatregelen Het management dient aan te kunnen tonen dat de beheersingsmaatregelen effectief zijn geweest. Evaluatie van de interne beheersingsmaatregelen dient te worden uitgevoerd door het management én de externe accountant. Het management hoeft niet aan te kunnen tonen dat de beheersingsmaatregelen effectief zijn geweest. Evaluatie van de interne beheersingsmaatregelen dient te worden uitgevoerd door een externe accountant waarbij wel in zekere mate gesteund mag worden op internecontrolemaatregelen. Evaluatie van zowel opzet, bestaan als werking van de maatregelen. Keuze van het management: opzet en bestaan (type 1) óf opzet, bestaan en werking (type 2). De werking van maatregelen moet elk jaar opnieuw worden geëvalueerd. Het management bepaalt hoe vaak de werking van maatregelen wordt geëvalueerd. De evaluatie dient betrekking te hebben op het (gehele) financiële boekjaar. De evaluatie dient betrekking te hebben op een periode van minimaal een halfjaar. Tekortkomingen in de onderzochte periode die voor het periode-einde zijn hersteld, worden niet als tekortkomingen behandeld. Tekortkomingen in de onderzochte periode die voor het periode-einde zijn hersteld, worden als tekortkomingen in die eerste periode gemeld. Externe rapportage Verklaring van de externe accountant over werking van de beheersingsmaatregelen. De beheersingsmaatregelen zelf worden niet inzichtelijk gemaakt. Een SAS 70-rapport waarin een serviceorganisatie beschrijft hoe deze haar processen beheerst. In het rapport worden beheersingsdoelstellingen gedefinieerd en wordt het geheel aan getroffen maatregelen om die doelstellingen te realiseren beschreven. Aan het SAS 70-rapport voegt de externe accountant een mededeling toe met daarin de door hem uitgevoerde werkzaamheden en een oordeel over opzet en bestaan van de maatregelen (type 1) of over opzet, bestaan en werking van de maatregelen (type 2). Tabel 1. Overeenkomsten en verschillen tussen SOx en SAS 70. Literatuur [AICP06] America Institute of Certified Public Accountants, Service Organizations: Applying SAS No. 70, as Amended with Conforming Changes as of May 1, 2006, mei 2006. [Bigg06] Drs. ing. S.R.M. van den Biggelaar RE, drs. S. Janssen RE en drs. G.J.L. Lamberiks, Integrated audit: SAS 70: het verlengstuk van internal control over financial reporting, Compact 2006/3. [PCAO07] Public Company Accounting Oversight Board, Auditing Standard No. 5 An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, mei 2007. [SEC06], Securities Exchange Commission, Management s report on internal control over financial reporting, Proposal, December 2006. 63

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback