Frequently Asked Questions

SAS70 (Statement on Auditing Standards number 70. Service Organisations) is ontwikkeld door het American Institute of Certified Public Accountants (AICPA), de Amerikaanse beroepsorganisatie van accountants. Het is een internationaal erkende auditing standaard en wordt steeds meer beschouwd als een kwaliteitskeurmerk. In het SAS70 Rapport staat beschreven hoe de interne beheersingsmaatregelen van een dienstverlenende organisatie zijn opgezet alsmede hoe geaudit wordt om de toereikendheid van de maatregelen te beoordelen en om de feitelijke werking vast te stellen.

De SAS70 type-I-verklaring beschrijft de interne controles van de dienstverlenende organisatie. Een externe accountant toetst of de controles daadwerkelijk bestaan en worden nageleefd teneinde de kwaliteit van de dienstverlening te waarborgen. De SAS70 type-II-verklaring geeft een oordeel over de effectieve en werking van de interne controle maatregelen. Er wordt gedurende tenminste zes maanden gecontroleerd of alle processen en controles conform de voorschriften worden uitgevoerd. Daarbij wordt niet alleen de aandacht gericht op de administratieve organisatie, maar ook de ondersteunende geautomatiseerde systemen zijn een belangrijk onderdeel.

Een exemplaar van de SAS70 standaard kunt u verkrijgen via de onderstaande link: SAS70 standaard

Voor informatie over SAS70 en controledoelstellingen kunt u contact opnemen met SASconsult. Contactgegevens SASconsult

Regelgeving is vergelijkbaar met COS402 uitgevaardigd door het NIVRA. Regelgeving van de AICPA is gedetailleerder dan COS402 regelgeving van het Nivra.

SAS70 rapportage kan behulpzaam zijn voor serviceorganisaties waarvan de uitbestede activiteiten significant zijn voor de jaarrekening van de gebruikersorganisaties. Hierbij zijn uitsluitend transacties van belang die effect hebben op de interne controle van de gebruikersorganisatie in het kader van de controle van de jaarrekening, wanneer deze transacties van een organisatie worden geïnitieerd, verwerkt of gerapporteerd door middel van processen die uitgevoerd worden door een serviceorganisatie.

Wij zien in de markt dat een SAS 70 certificering niet meer een 'nice to have' is, maar een 'must have'. Pensioenfondsen eisen van vermogensbeheerders dat uitbestede processen beheerst worden. Vermogensbeheerders eisen van vastgoedbeheerders hetzelfde. Daarnaast is SAS70 de meest effectieve manier om het aantal audits door de gebruikersorganisatie te minimaliseren en heeft SAS70 de voorkeur van marktpartijen om een outsourcing assurance te verkrijgen.Wij kunnen u ondersteunen bij het verkrijgen van zowel een SAS 70 type I als type II certificering. Onze dienstverlening op het gebied van SAS 70 varieert van advies over de implementatie tot uitgebreide ondersteuning bij het projectmanagement leidend tot de SAS 70 certificering.

De serviceorganisatie is uiteindelijk verantwoordelijk voor het opstellen van de scope voor de SAS70 rapportage. Zij beschrijft haar beheersmaatregelen, waarborgt de juistheid en volledigheid van deze beheersmaatregelen en bepaalt welke services, business units, applicaties en functies in het SAS70 rapport worden opgenomen. Bovendien ligt de keuze voor een SAS70 Type I of Type II verklaring geheel bij de serviceorganisatie.

Een SAS70 rapportage kan worden ingedeeld in vier secties; 
Sectie I: rapportage van de externe accountant
Sectie II: beschrijving van de beheersmaatregelen.
Sectie III: informatie van de externe accountant
Sectie IV: overige informatie van de serviceorganisatie

In de praktijk zijn secties II en II meestal geïntegreerd en ligt de nadruk op sectie II, waarin de controlmatrices zijn opgenomen. Deze indeling is niet verplicht gesteld, maar heeft wel de voorkeur van marktpartijen.

Een SAS70 verklaring bevat vertrouwelijke informatie, welke te allen tijde eigendom blijft van de serviceorganisatie over wie de SAS70 Verklaring is beschreven. Bovendien zal alleen door de gebruikersorganisaties aan wie deze informatie rechtstreeks door de betreffende serviceorganisatie ter hand is gesteld en hun onafhankelijke accountants worden gebruikt voor het beoordelen van de bekwaamheid van de serviceorganisatie. Het is de gebruikersorganisatie en/of haar onafhankelijke accountants verboden de vertrouwelijke informatie te kopiëren, reproduceren, verkopen, overdragen of op andere wijze van de hand doen, dan wel op andere wijze aan een persoon, instelling of onderneming ter beschikking stellen.

De wijze waarop een serviceorganisatie haar controls kan toelichten of beschrijven kan middels een standaard oplossing die op een efficiënte wijze ondersteunt bij de implementatie van SAS70. Deze standaard kan worden aangeleverd door SASConsult.Contactgegevens SASconsult

Een proces dat betrekking heeft op de interne beheersing (van een serviceorganisatie) ten behoeve van de userorganisatie die effect heeft op de jaarrekening van de userorganisatie, dat (nog) niet operationeel is wordt niet meegenomen bij de implementatie van SAS70. Echter, de scope van een SAS70 rapportage kan herhaaldelijk verbreed worden, zodra hiervoor genoemde processen operationeel zijn.

De auditor dient volgens de SAS70 standaard en PCAOB standaard alle IT Controls in de SAS70 rapportage mee te nemen die betrokken zijn bij de financiële verantwoordingsprocessen van de serviceorganisatie met betrekking op de interne controle van de gebruikersorganisatie in het kader van de controle van de jaarrekening. De General IT Controls betreffen alle maatregelen gericht op een betrouwbare gegevensverwerking en omvatten:

1. Informatiebeveiligingsbeleid
2. Back-up en recovery procedures
3. Beveiliging netwerk (firewalls, user/password controls)
4. Change management
5. Fysieke toegangsbeveiliging
6. Hoe lang duurt het opstellen van een SAS 70 rapport?
7. De SAS70 type-I-rapportage wordt binnen een periode van 1 tot 3 maanden opgesteld en beschrijft de interne controles van de dienstverlenende organisatie. Een externe accountant toetst of de controles daadwerkelijk bestaan en worden nageleefd teneinde de kwaliteit van de dienstverlening te waarborgen.

De SAS70 type-II-verklaring geeft een oordeel over de effectieve en langdurige werking van de interne controle maatregelen. Er wordtgedurende tenminste zes maanden gecontroleerd of alle processen en controles conform de voorschriften worden uitgevoerd. Daarbij wordt niet alleen de aandacht gericht op de administratieve organisatie, maar ook de ondersteunende geautomatiseerde systemen zijn een belangrijk onderdeel.

Er bestaat een mogelijkheid om een periode korter dan 6 maanden te beschouwen. Redenen hiervoor kunnen zijn: een nieuwe applicatie, nieuwe producten of een besluit voor een SAS70 opdracht dat laat in de te beschouwen periode is genomen. 

De kosten van een SAS70 implementatie variëren. Deze zijn afhankelijk van een aantal factoren, waaronder de keuze voor een Type I of een Type II rapportage en de door de serviceorganisatie gekozen scope. Voor de kosten van een SAS70 type I en/of type II implementatie kunt u contact opnemen met dhr. drs. J.E. Ten Hoor RA.Contactgegevens SASconsult

Ja, in Nederland is de Stichting Corporate Governance de initiatiefnemer van het SASregister. Het SASregister is een openbaar gegevensbestand waarin organisaties, die SAS70 gecertificeerd zijn, opgenomen zijn. Het SASregister geeft aandacht aan betrouwbare samenwerkingspartners, biedt een platform aan bedrijven waar zij zich kunnen profileren met een SAS70 certificering en bevordert kennisverspreiding en -ontwikkeling op het gebied van SAS70.

Het SAS70 logo is in eigendom van de stichting Corporate Governance. Dit logo mag onder voorwaarden gebruikt worden voor publicatie doeleinden.

Een onafhankelijke service auditor kan de SAS70 audit uitvoeren. Bij een SAS70 Type I verklaring onderzoekt de serviceauditor of de beheersmaatregelen daadwerkelijk bestaan en of zij op de juiste wijze zijn ingericht om controledoelstellingen te bereiken. Bij een SAS70 Type II wordt ook daadwerkelijk de werking van de beheersmaatregelen onderzocht.

Nee, alleen die processen binnen een organisatie worden geaudit die zijn meegenomen in de scope van de SAS70 rapportage, zoals vastgesteld door de serviceorganisatie. Bovendien betreft dit enkel de processen die betrekking hebben op de interne beheersing (van de serviceorganisatie) ten behoeve van de userorganisatie die effect heeft op de jaarrekening van de userorganisatie.

Ja, een SAS70 audit kan ook buiten de Verenigde Staten worden uitgevoerd. Een SAS70 audit bij een serviceorganisatie dient door een onafhankelijke serviceauditor volgens de richtlijnen van de American Institute of Certified Public Accountants (AICPA) te worden uitgevoerd.

Een belangrijke stap in het SAS70 audit proces die de serviceorganisatie zelf ter voorbereiding kan nemen is het definiëren van de controledoelstellingen en het identificeren van de daaraan gerelateerde controleactiviteiten voor de processen die in de scope van de SAS70 rapportage worden meegenomen. Dit betreft enkel de processen die betrekking hebben op de interne beheersing (van de serviceorganisatie) ten behoeve van de userorganisatie die effect heeft op de jaarrekening van de userorganisatie. SASConsult kan uw organisatie hier geheel in ondersteunen. Voor meer informatie over de voorbereiding op een SAS70 audit kunt u contact opnemen met SASconsult. Contactgegevens SASconsult.

SAS70 regelgeving is ontworpen in 1992, Sarbanes- Oxley (SOx) 404 is van kracht sinds 2002. Deze SOx regelgeving ( audit guideline no.5) staat gebruikmaking van de SAS70 regelgeving toe en wordt door de ‘Big Four’ gebruikt als regelgeving voor onder andere sample size. Elementen van het COSO Enterprise Risk Management raamwerk worden gebruikt voor beide standaarden. Een aantal verschillen zijn aan te wijzen op het gebied van gebruikers, de scope, de periode waarover de verklaring wordt afgegeven. Zo vallen onder de gebruikers van de SAS70 rapportage alleen de gebruikersorganisaties aan wie deze informatie rechtstreeks door de betreffende serviceorganisatie ter hand is gesteld en hun onafhankelijke accountants voor het beoordelen van de bekwaamheid van de serviceorganisatie.

SAS70 is een standaard die internationaal veelvuldig wordt toegepast en in toenemende mate ook in Nederland. De redenen hiervoor zijn de invoering van de Beleidsregel ‘Uitbesteding Pensioenfondsen’ (besluit uitgegeven door DNB/PVK per 22 januari 2004) en de internationalisering van de financiële markten.

Ja, SAS70 zal vervangen worden door een nieuwe standaard voor rapportage over serviceorganisaties. Deze nieuwe standaard heet deStatement on Standards for Attestation Engagements (SSAE) No. 16, Reporting on Controls at a Service Organization. uitgebracht door de American Institute of Certified Public Accountants (AICPA), de Amerikaanse beroepsorganisatie van accountants, in januari 2010. Verwacht wordt dat deze nieuwe standaard in werking zal treden in juni 2011. De SSAE No. 16 is ontworpen met de intentie om de Amerikaanse standaard voor rapportage over serviceorganisaties te vernieuwen, zodat het zich kan spiegelen aan de nieuwe internationale standaard ISAE 3402. De International Standard on Assurance Engagements (ISAE) No. 3402, Assurance Reports on Controls at a Service Organization, is in December 2009 uitgebracht door de International Auditing and Assurance Standards Board (IAASB), onderdeel van de International Federation of Accountants (IFAC). De ISAE 3402 standaard is een internationale assurance standaard.