Achtergrond SAS70

De Statement on Auditing Standard 70 werd ook wel afgekort als SAS70. De SAS70 standaard is in april 1992 uitgevaardigd door de AICPA. De SAS70 standaard beschreef op welke wijze een accountantsorganisatie om moest gaan met uitbesteding van processen naar een service organisatie door een controleklant. In de praktijk werd de standaard in de VS oorspronkelijk gebruikt voor voornamelijk payrolling bedrijven; een organisatie besteedt de salarisverwerking uit aan een serviceorganisatie. Het payrolling bedrijf gaf dan een rapport uit (een Service Organization Control-rapport) waarin opgenomen was op welke wijze processen beheerst werden. Door de groei van de financiële sector en de vermogensbeheer industrie eind jaren 90, is de SAS70 standaard steeds meer gevraagd en van toepassing geworden op vermogensbeheer en andere financiële partijen, zoals pensioenuitvoerders.

ISAE 3402 en SAS70

Per 15 juni 2011 is de Amerikaans SAS70 standaard van de AICPA vervangen door ISAE 3402. Feitelijk is deze niet vervangen, maar is er een internationale standaard ontwikkeld door de IFAC die normen geeft aan nationale accountantsorganisatie (in Nederland de NBA, voorheen Nivra) voor het verstrekken van assurance rapporten door accountants bij service organisaties. In Nederland is de ISAE 3402 standaard vertaald naar Standaard 3402 van de NBA. In Nederland is de Engelstalige tekst letterlijk vertaald, zonder inhoudelijke aanpassingen. Het belangrijkste verschil tussen ISAE 3402 en SAS70 is dat er een management verklaring is opgenomen, waarin het management verklaard dat zij haar verantwoordelijkheid neemt voor het ISAE 3402-rapport.

Lees meer over Risklane en ISAE 3402.

SSAE16 infographic

Sarbanes Oxley

Vanaf 2002 is Sarbanes Oxley verplicht gesteld voor alle beurs genoteerde bedrijven in de Verenigde Staten. SAS70 werd door de Security and Exchanges Commission (SEC) en PCAOB erkend als 'sound and good practice' voor rapportage over uitbesteding. Deze erkenning en ontwikkeling van de ICT sector hebben ertoe geleid dat de vraag naar SAS70 een belangrijke vlucht heeft genomen in de Verenigde Staten.

ISAE3402 infographic

SAS70 in Nederland

Mede door de ontwikkelingen in de Verenigde Staten zijn in eerste instantie Amerikaanse vermogensbeheerders die actief waren in Nederland, SAS70 gecertificeerd. De eerste Nederlandse vermogensbeheerder die gecertificeerd was, is Robeco Groep in 2002. De oprichter van SASconsult was in die periode reeds betrokken als lead auditor van Robeco Groep bij deze SAS70 certificering. Vanaf 17 januari 2004 werd de beleidsregel uitbesteding van toepassing. Door deze beleidsregel werden pensioenfondsen verplicht gesteld om in het geval van uitbesteding aan te kunnen tonen dat deze uitbesteding daadwerkelijk beheerst wordt door het pensioenfonds. Vanaf 2004 is de rechtsvoorganger van Risklane (SASconsult) als professionele adviseur betrokken geweest bij de SAS70 implementatie van diverse onderdelen van Achmea Groep, zoals PVF Achmea pensioen uitvoering, PVF Hypotheken en Achmea Vastgoed. Achmea Vastgoed was als eerste vastgoed vermogensbeheerder SAS70 gecertificeerd in Nederland.

SAS70 juridisch

Een belangrijk issue ten aanzien van SAS70 was dat SAS70 feitelijk Amerikaanse wetgeving is. Dit had tot gevolg dat indien er een juridisch geschil zou komen tussen een gebruiker van een SAS70 rapport (bijvoorbeeld een institutionele beleggingsinstelling) en bijvoorbeeld de certificerende service auditor, dat de betreffende rechter de zaak onder Amerikaanse wetgeving zou kunnen laten berechten. Dit en het feit dat er geen goed internationaal alternatief was, heeft ertoe geleid dat de International Federation of Accountants (IFAC) een internationale standaard heeft uitgegeven; de ISAE 3402 standaard.

ISAE 3402 standaard

De SAS70 standaard is internationaal vervangen door ISAE 3402, waarbij de belangrijkste onderdelen zijn overgenomen, zoals de verschillende COSO componenten. Er wordt in de ISAE 3402 standaard niet meer verwezen naar COSO, zoals dat in de SAS70 standaard wel werd gedaan. De verantwoordelijkheid van het management en de focus op risicobeheersing zijn explicieter opgenomen. Veel adviseurs en accountants hebben de wijziging van SAS70 naar ISAE 3402 aangegrepen om de eisen tijdens de audit aan te scherpen of hun opdrachtgevers aanvullend te adviseren over ISAE 3402 en interne beheersing. Vanuit SASconsult hebben wij al onze opdrachtgevers kosteloos ondersteund bij deze overgang.

ISAE 3402 register

In 2007 heeft SASconsult de inrichting van het ISAE 3402 register op isae3402.nl geïnitieerd. Dit register is ondergebracht in een separate stichting; de Stichting Corporate Governace, die als doelstelling heeft de transparantie in de financiële sector te bevorderen. Het is de intentie van de Stichting Corporate Governance om de komende jaren de eisen aan registratie aan te scherpen om op deze wijze zorg te dragen dat de transparantie en kwaliteit van rapporten continu verbeterd. Het is in het beleid van de stichting opgenomen dat zoveel mogelijk belanghebbenden onderdeel uitmaken van het bestuur van de stichting.