SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd en wordt deze in de US vervangen. Voor landen buiten de US komt er een nieuwe standaard: ISAE 3402. Stefan Verweij, Assurance
1. Inleiding De huidige SAS 70-standaard is een Amerikaanse controlestandaard die zich richt op de interne beheersing bij serviceorganisaties voor de jaarrekeningcontrole van een gebruikersorganisatie. Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. De SAS 70-standaard is eind jaren 70 ontworpen en is nu om een aantal redenen aan vervanging toe. Zo gaat de standaard niet uit van een risicobenadering, is de reikwijdte beperkt tot de betrouwbaarheid van financiële rapportages en kunnen shared service centers er geen gebruik van maken. Deze zaken gaan veranderen in de aankomende opvolger die langs twee parallelle initiatieven voor de markt beschikbaar komt. De IAASB (International Auditing and Assurance Standards Board) heeft na ISAE 3000, de ISAE 3402 ontwikkeld, een standaard voor non-financial assurance engagements, met de titel ‘Assurance Reports on Controls at a Third Party Service Organisation’. In zekere zin is dit een optelling van ISAE 3000 en ISA 402 ‘Audit Considerations Relating to Entities Using Service Organisations’. ISAE 3402 moet het internationale equivalent worden van de huidige SAS 70-standaard.
52
Parallel hieraan werkt het AICPA (American Institute for Certified Public Accountants) op dit moment aan een nieuwe standaard, de SSAE, die voor de Amerikaanse markt de huidige SAS 70-standaard zal vervangen. Om consistentie en onderlinge uitwisselbaarheid te waarborgen, vindt frequent afstemming plaats tussen beide accountantsorganisaties. In de meeste landen worden accountants geacht de ISA’s (International Standards on Auditing) te volgen, die in Nederland zijn vertaald in de COS (Controle- en overige standaarden). De term SAS 70 is hier niet in terug te vinden. In de Nederlandse markt zal het begrip SAS 70 dan ook betrekkelijk snel verdwijnen. Hierbij helpt het dat ook in de Verenigde Staten SAS 70 wordt vervangen. Naar verwachting zal de IAASB de ISAE 3402-standaard in september 2009 goedkeuren, met juni 2011 als ingangsdatum. Toepassing van de nieuwe ISA-standaard is echter al mogelijk vanaf eind 2009, omdat nu al duidelijk is dat de IAASB zogenoemde ’early adoption’ toestaat. Dit kan omdat er nu geen vergelijkbare standaard bestaat die een transitieperiode noodzakelijk zou maken. In de Verenigde Staten houdt men rekening met een implementatie eind 2011. Aangezien SAS 70 geen geldigheid heeft buiten de Verenigde Staten, is dit voor de rest van de wereld strikt genomen eigenlijk niet relevant.
PricewaterhouseCoopers
2. Wat gaat er veranderen Naast kleine wijzigingen in de naamgeving van de rapporten bestaan ook meer fundamentele verschillen tussen de oude en de nieuwe standaarden. Deze vragen om een response van de serviceorganisaties, wat al op korte termijn om aandacht vraagt. De beschreven wijzigingen zullen zowel in ISAE 3402 als in de Amerikaanse SSAE worden opgenomen, zodat op deze punten harmonisatie van de standaarden is gewaarborgd.
3. Doel van de rapportage Doelstelling van een ISAE 3402-assurancerapport is zekerheid geven omtrent de kwaliteit van de interne beheersing met betrekking tot de betrouwbaarheid van financiële rapportages. Gebruikers hechten echter ook aan de andere twee COSO aspecten van interne beheersing, te weten naleving van wet- en regelgeving, en efficiëntie & effectiviteit van de bedrijfsvoering.
Betrouwbaarheid financiële rapportages versus betrouwbaarheid dienstverlening Ieder stuk gereedschap kent zijn specifieke doel. Zo is een beitel soms effectief te gebruiken als schroevendraaier, maar succes is niet gegarandeerd, met het risico de schroef dan wel de beitel te beschadigen. Hetzelfde geldt voor een ISAE 3402-assurancerapport van een externe accountant, dat primair bedoeld is voor de ondersteuning van de jaarrekeningcontrole van de gebruikersorganisatie. Tot op zekere hoogte kan men aan de hand van dit rapport zekerheid ontlenen over de kwaliteit van de dienstverlening als geheel. De gebruiker moet zich dan wel goed bewust zijn van de oorspronkelijke doelstelling van het assurancerapport. Anders gezegd, de gebruiker dient bewust te zijn van het feit dat de beitel voor een ander doel wordt aangewend dan waarvoor hij gemaakt is. Daar waar een schroevendraaier toch noodzakelijk is, dus indien het doel veel breder dient te zijn dan de ondersteuning van de jaarrekeningcontrole, dient het rapport en de testwerkzaamheden hierop te worden aangepast. Het is aan de serviceorganisatie en de accountant om de gebruiker goed te informeren over het doel van de rapportage ter voorkoming van onterechte conclusies op basis van het rapport. Vaak zal een aanpassing van het doel om aanpassing van de reikwijdte van de rapportage vragen.
Spotlight Jaargang 16 - 2009 | Uitgave 3
Samenvatting In dit artikel wordt stilgestaan bij de aanstaande uitfasering van de Amerikaanse SAS 70-standaard, die buiten de Verenigde Staten wordt vervangen door de internationale standaard ISAE 3402. Het rapportageconcept verandert niet wezenlijk, maar er zijn wel enkele wijzigingen waar organisaties op korte termijn aandacht aan moeten besteden, willen ze tijdig klaar zijn voor de transitie van SAS 70 naar ISAE 3402.
4. Reikwijdte van de rapportage Ofschoon ISAE 3402 primair is bedoeld om verantwoording af te leggen over de interne beheersing die gericht is op de betrouwbaarheid van financiële rapportages, is de expliciete uitsluiting van andere controlemaatregelen niet langer van toepassing. Hierdoor is het mogelijk de reikwijdte van het rapport uit te breiden naar de twee andere COSOdoelstellingen van interne beheersing, naleving van wet- en regelgeving en efficiëntie en effectiviteit van de bedrijfsvoering. Daar is op zich geen bezwaar tegen, mits alle partijen zich goed bewust zijn van de doelstellingen en daarmee de beperkingen van de rapportage. In voorkomende gevallen kan het zelfs noodzakelijk zijn hier schriftelijk overeenstemming over te bereiken, voordat het rapport aan de gebruiker wordt verstrekt. Dit op zich zal al om de nodige afstemming vragen, iets om in een vroegtijdig stadium aandacht aan te besteden. Wij adviseren de accountant in dit proces te betrekken; in eerste instantie om gebruik te maken van zijn expertise, daarnaast is het van belang dat hij zich vanuit zijn vaktechnische verantwoordelijkheid kan vinden in de afgesproken doelstelling van het rapport. In het accountantsvak zijn de controledoelstellingen en daarmee het normenkader gericht op de betrouwbaarheid van financiële rapportages redelijk uitgekristalliseerd. Uiteraard kunnen concrete gevallen tot de nodige discussie leiden, maar over het geheel genomen is het risico van serieuze misverstanden beperkt. Maar, wat te doen met de andere twee COSO-doelstellingen van interne beheersing, naleving van wet- en regelgeving en efficiëntie en effectiviteit van de bedrijfsvoering? Wat zijn praktische controledoelstellingen voor een serviceorganisatie om te waarborgen dat voldaan wordt aan alle relevante wet- en regelgeving? En welke beheersmaatregelen horen daarbij? Dezelfde vragen kan men stellen voor efficiëntie en effectiviteit. Wie bepaalt wat efficiënt en effectief is?
53
Tot slot is de beperking die onder SAS 70 geldt voor controledoelstellingen gericht op de continuïteit van de bedrijfsvoering, niet langer van toepassing. Ook hier rijst de vraag hoe een organisatie met redelijke mate van zekerheid de continuïteit van de bedrijfsvoering garandeert. Normenkader Een auditor heeft een normenkader nodig om zijn werk te kunnen doen. Als de serviceorganisatie en gebruiker zelf niet eenduidig kunnen formuleren wat ‘goed’ is, hoe kan een auditor dan met redelijke mate van zekerheid verklaren dat aan de controledoelstellingen wordt voldaan? ISAE 3402 staat overigens niet toe om beperkte mate van zekerheid te geven (‘ons is niet gebleken dat…’). Dit betekent dat de auditor zijn risico op een foutief oordeel niet kan beperken door zich te verstoppen achter een dubbele ontkenning met een dubbele bodem. De IAASB was terecht van mening dat dit slechts tot schijnzekerheid zou leiden waar niemand bij gebaat is. Voor zover een bruikbaar normenkader ontbreekt, dient de serviceorganisatie dit op te stellen, wat een zeer lastige opgave kan zijn. In het stramien voor assuranceopdrachten zijn de vijf algemene richtlijnen opgenomen waar een normenkader aan dient te voldoen, te weten relevantie, volledigheid, betrouwbaarheid, neutraliteit en begrijpelijkheid. Bij het uitbrengen van assurancerapporten conform ISAE 3000, die al langer beschikbaar is, is al gebleken dat het formuleren van een realistisch normenkader, dat goed aansluit op de behoeften van een (derde) gebruiker, bijzonder complex kan zijn. Afstemming met de gebruiker lijkt ook hier het sleutelwoord om verrassingen te voorkomen.
Een normenkader dient aan deze vijf algemene richtlijnen te voldoen: • relevantie; • volledigheid; • betrouwbaarheid; • neutraliteit; en • begrijpelijkheid.
5. Risicobenadering In tegenstelling tot SAS 70 gaat ISAE 3402 uit van een risicobenadering zoals de laatste jaren ook gebruikelijk
54
is bij de accountantscontrole van de jaarrekening. Dit betekent dat een organisatie onder ISAE 3402 op basis van een risicoanalyse een selectie mag maken van de meest relevante processen en beheersmaatregelen waarover zij wenst te rapporteren. Organisaties waren volgens de SAS 70-standaard al verplicht een beschrijving te geven van hun risicoanalyseproces, maar de diepgang van de risicoanalyse varieerde per organisatie. De risicoanalyse was in veel gevallen in ieder geval niet de basis onder het SAS 70-rapport, wat onder ISAE 3402 wel verplicht is. Hier staat tegenover dat organisaties, mits goed beargumenteerd, minder belangrijke processen en beheersmaatregelen uit het rapport kunnen verwijderen. Dit reduceert de controlebelasting voor de organisatie en de bijbehorende accountantskosten aan beheersmaatregelen die volgens alle partijen eigenlijk weinig relevant zijn. Ander punt is de introductie van het begrip materialiteit, dat onder SAS 70 niet expliciet werd gehanteerd. Materialiteit is in de jaarrekeningcontrole een algemeen aanvaard begrip waar evenwel veel discussie over kan ontstaan. In het kader is de definitie opgenomen van ‘materieel belang’ zoals het Stramien van de Controle- en overige standaarden dit hanteert.
Definitie ‘materieel belang’ Informatie is materieel indien het weglaten, of het onjuist weergeven daarvan, de economische beslissing die de gebruikers op basis van de financiële overzichten nemen, zou kunnen beïnvloeden.
Wijzig in deze definitie de term ‘financieel overzicht’ in ‘verantwoording’ en dit begrip is in een veel breder kader toepasbaar. In de discussie of controledoelstellingen wel of niet worden behaald als gevolg van onvoldoende naleving van bepaalde beheersmaatregelen, is een goed doordachte risicoanalyse een krachtig instrument. Als de organisatie haar risico’s vooraf goed in beeld heeft en deze op eenduidige wijze aan de accountant kan communiceren, is het
De risicoanalyse en afwegingen ten aanzien van falende beheersmaatregelen worden overigens niet opgenomen in het rapport of op een andere wijze met de gebruiker gedeeld. Uiteraard is het wel toegestaan in een gesprek zaken in hun context te plaatsen.
PricewaterhouseCoopers
veel gemakkelijker om te kunnen beargumenteren waarom, ondanks het falen van individuele beheersmaatregelen, nog steeds sprake is van een beheerst proces. Het is immers onwaarschijnlijk dat minimale risico’s de economische beslissing van de gebruiker zullen beïnvloeden.
6 Assertion based Onder ISAE 3402 geeft de externe accountant van de serviceorganisatie een assurancerapport af voor de opzet, het bestaan en de werking (laatste is optioneel) van een beheersingsraamwerk. Naast de verklaring van de externe accountant voegt ook het management van de serviceorganisatie een verklaring toe aan het rapport, een zogenoemde assertion. In deze verklaring doet het management, overeenkomstig een Sox 404-rapport, een bewering over de opzet, het bestaan en de werking van het beschreven beheersingsraamwerk. Hiermee neemt het management van de serviceorganisatie expliciet de verantwoordelijkheid voor de beheersing van de aan haar uitbestede processen en de inhoud van het rapport. Net zoals de getrouwheid van de jaarrekening primair de verantwoordelijkheid is van het management, geldt dit ook voor de getrouwheid van een verantwoording over de interne beheersing. Een assurancerapport is bedoeld om hier additionele zekerheid over te verstrekken, niet om een deel van de verantwoordelijkheid af te schuiven. Om een dergelijke bewering te kunnen doen, dient het management van de serviceorganisatie te beschikken over voldoende maatregelen om de werking van beheersingsmaatregelen effectief te bewaken. Waar het voorheen al aanbevelenswaardig was dergelijke beheersmaatregelen te implementeren, wordt dit nu een verplichting om voldoende onderbouwing te krijgen voor de vereiste managementbewering. Voor een aantal organisaties zal dit betekenen dat ze extra beheersmaatregelen moet beschrijven en wellicht ook implementeren. Overigens is voor het assurancerapport van de externe accountant gekozen voor een zogenoemd ‘direct report’ dat niet handelt over de bewering van het management, maar zich richt op de feitelijke situatie. Dit om onduidelijkheid bij de gebruiker te voorkomen die uiteindelijk alleen belang heeft bij die feitelijke situatie.
Spotlight Jaargang 16 - 2009 | Uitgave 3
7. Service level agreements, key performance indicatoren en interne beheersing De bredere reikwijdte en daarmee doelstelling van het ISAE 3402-rapport zorgen voor een aantal uitdagingen, maar bieden ook kansen. Gebruikers hebben nu eenmaal behoefte aan onafhankelijke toetsing van de prestatie van een serviceorganisatie omdat zij zich in een afhankelijke positie bevinden terwijl de serviceorganisatie een informatievoorsprong heeft. De geschetste risico’s met betrekking tot misinterpretaties van de doelstelling van het rapport en het normenkader, kunnen worden ondervangen door aansluiting te zoeken bij service level agreements. Deze zijn over het algemeen opgesteld op basis van de key (non-financial) performance indicators van de service- en gebruikersorganisatie. Hierbij is het van belang dat de afspraken realistisch zijn en met een redelijke inspanning zijn te controleren. Een gebruikersorganisatie die een garantie wil op 100 procent foutloze verwerking van transacties heeft niets aan een rapport over interne beheersing dat op deelwaarnemingen is gebaseerd. Om aan die eis te voldoen, zou de externe accountant namelijk alle transacties moeten controleren. Terwijl een inhoudelijke discussie in het kader van dit artikel te ver voert, is het wel aantrekkelijk het moment te gebruiken om bij het zoeken naar een geschikt normenkader, de service level agreement opnieuw onder de loep te nemen. Terwijl volledig heronderhandelen lastig zal zijn, is het in het kader van een heroriëntatie op de verantwoording over de interne beheersing, raadzaam de uitgangspunten van de dienstverlening opnieuw te evalueren. Welke aspecten zijn nu van wezenlijk belang voor de gebruikersorganisatie, waarover men dus geïnformeerd wil worden. In eerste instantie door de serviceorganisatie zelf, gevolgd door een onafhankelijke toets van de externe accountant. Dit heeft voor serviceorganisaties het voordeel dat het management zich via haar monitoring controls kan concentreren op die processen die voor haar cliënten het meest relevant zijn. Ook voor hen geldt dat een versnipperde focus nooit tot het gewenste resultaat leidt, niet voor de serviceorganisatie, noch voor haar cliënten. Samenvattend hebben serviceorganisaties en hun cliënten ieder een taak om gezamenlijk in te spelen op de veranderende situatie.
55
8. Checklist To do voor de serviceorganisatie • Bepaal of de reikwijdte van de huidige rapporten nog toereikend is. • Heroverweeg de doelstellingen van de huidige SAS 70-rapporten. • Neem initiatief voor de afstemming van doelstellingen en normenkaders met cliënten. • Ga na in hoeverre aanvullende bewakingscontroles noodzakelijk zijn om voldoende basis te verkrijgen voor de verklaring van het management.
om de verantwoording aan gebruikersorganisaties nog eens tegen het licht te houden. Nederlandse serviceorganisaties zijn vanaf 2011 verplicht hun SAS 70-rapporten om te zetten naar ISAE 3402-rapporten, maar kunnen al eerder overstappen. Rekening houdend met de benodigde doorlooptijd om wijzigingen door te voeren, zouden serviceorganisaties nu na moeten gaan wat de impact is op hun rapport.
To do voor gebruikersorganisaties • Bepaal of de reikwijdte van de huidige rapporten nog toereikend is. • Heroverweeg de doelstellingen van de huidige SAS 70-rapporten. • Denk mee over de formulering van de controledoelstellingen, vooral wanneer de doelstellingen of de reikwijdte van de rapporten gewijzigd wordt. De overgang van SAS 70 naar ISAE 3402 is vanaf 2011 onvermijdelijk, maar kan al eerder en vraagt geen dramatische aanpassingen, maar het is wel een goede gelegenheid
56
PricewaterhouseCoopers
