Inleiding

Serviceproviders die thans gebruikmaken van SAS 70-rapportages krijgen vanaf medio 2011 te maken met een overgang naar een nieuwe standaard voor rapportage over interne beheersing ten behoeve van derden. Deze nieuwe standaard – op basis van de nu geratificeerde ISAE 3402-standaard – zal in de praktijk de huidige SAS 70-standaard vervangen en krijgt daarmee een internationale basis, gedragen door het IFAC (International Federation of Accountants) en de ASB (Auditing Standards Board, US). In Nederland zal deze standaard worden opgenomen in de COS-standaarden. De US-uitwerking zal naar verwachting niet veel verschillen van de IFAC-standaard. De vraag is in hoeverre deze nieuwe standaard inhoudelijk afwijkt van de SAS 70-standaard en wat dit betekent voor de serviceproviders. Zijn er aanpassingen noodzakelijk in en wat zijn de beperkingen en uitdagingen van de nieuwe standaard? Wat zijn alternatieven indien de ISAE 3402 op onderdelen niet voldoet aan de behoeften van de gebruikers?

Achtergrond internationale standaard

Tal van serviceproviders geven met een SAS 70-rapport (Statement on Auditing Standards No. 70) inzicht in hoe zij hun processen intern beheersen. SAS 70 is al jaren dé standaard voor het rapporteren over het internal control framework van een serviceorganisatie.[Officieel bestaat SAS 70 al geruime tijd niet meer: de werkelijk van toepassing zijnde standaard (nu feitelijk de regelgeving) is de AU 324 (Professional Standards, vol. I, AU SEC 324). Toch spreekt men niet over AU 324, omdat de term SAS 70 inmiddels is ingeburgerd.] Hoewel deze standaard specifiek bedoeld is om te rapporteren over interne beheersingsmaatregelen van een serviceorganisatie voor zover van belang bij de jaarrekeningcontrole van een gebruikersorganisatie, zien we in de praktijk dat de standaard breder wordt toegepast en eigenlijk verder gaat dan dat SAS 70 aan mogelijkheden biedt.

Wegens het gebrek aan één wereldwijde standaard hebben diverse landen reeds op basis van de standaarden die ten grondslag hebben gelegen aan ISAE 3000 hun eigen standaarden ontwikkeld (zie tabel 1) ([Bell09]).

Tabel 1. Landspecifieke en wereldwijde standaarden voor internecontrolerapportages.

De International Auditing and Assurance Standards Board (IAASB) wilde graag toe naar één wereldwijde standaard voor de rapportering over beheersingsprocessen als onderdeel van uitbestede processen. IAASB heeft een nieuwe standaard ontwikkeld, te weten de International Standard on Assurance Engagements (ISAE) 3402. Betrokkenen konden tot mei 2008 reageren op de eerste concepttekst[De reacties zijn te vinden op: http://www.ifac.org/IAASB/ExposureDrafts.php.] en de IAASB publiceerde vervolgens in juni 2009 een tweede concepttekst. In september 2009 heeft de IAASB de standaard goedgekeurd. De standaard zal op basis van de huidige verwachtingen rond medio 2011 als dé standaard voor rapportage over beheersingsmaatregelen bij uitbesteding van processen met betrekking tot de financiële verantwoording gelden, maar mag reeds ook eerder gehanteerd worden (early adaption). Strikt genomen ligt er nu een internationale template die door de landenorganisaties, al dan niet aangepast, zal worden overgenomen. Naar verwachting zal de US-standaard die SAS 70 gaat vervangen in januari 2010 worden geaccordeerd. Ook in Nederland zijn NIVRA en NOREA begonnen met de voorbereidingen om de ISAE 3402 over te nemen. Bij het NIVRA gaat het daarbij om COS 3402 en bij NOREA om richtlijn 3402.

ISAE 3402: belangrijkste wijzigingen

Na vele jaren van vergaderen is er één internationale standaard als basis. Toch vallen de vernieuwingen voor de gebruikers van het servicerapport wat tegen. Zo blijft de ISAE 3402 voorbehouden voor de beheersing die betrekking heeft op (een gedeelte van) de financiële verantwoording van de gebruiker. In de standaard wordt voor de overige processen verwezen naar ISAE 3000. De nieuwe standaarden staan het gebruik voor rapportage over beheersingsmaatregelen voor niet-financiële processen niet toe, ook niet voor een combinatie van financiële en niet-financiële processen. Het framework en de guidance vanuit de standaard kunnen uiteraard bruikbaar zijn voor rapportages over beheersingsmaatregelen buiten de scope van de financiële verantwoording, maar bij de toepassing moeten de serviceorganisatie en de auditor zich bewust zijn van de mogelijk (aanzienlijke) verschillen op het gebied van suitable criteria, toepassing van het materialiteitsbegrip, gebruik, etc. Wij concluderen dat de inhoud en de vorm van het rapport beperkt zullen veranderen en het toepassingsgebied in zijn geheel niet, ondanks dat de naam mogelijk wel verandert. De naam SAS 70 zal verdwijnen en wordt internationaal mogelijk vervangen door het SAR, het Service Auditors Report. Wij komen later in het artikel terug op het gebruik van ISAE 3000 voor de overige processen.

De belangrijkste verschillen tussen de SAS 70- en de ISAE 3402-standaard zijn:

• SAS 70 is een auditingstandaard. De nieuwe standaard is een ‘assurance’ standaard (een ‘attestation’ standaard in de Verenigde Staten). De belangrijkste wijzigingen daarbij zijn dat het management een verklaring over de werking van de beheersingsmaatregelen in het rapport dient op te nemen. Op deze wijze wordt de verantwoordelijkheid van het management voor het vastleggen van het stelsel van beheersingsmaatregelen benadrukt. Het is niet de bedoeling dat op grond van de nieuwe standaard het management een aparte functie instelt voor het documenteren en evalueren van de controls. Wel dient de service-auditor in staat te zijn te concluderen dat het management een redelijke basis heeft om zijn conclusie te onderbouwen. Het auditors report zal ‘direct reporting’ zijn en niet voortbouwen op de managementverklaring.
  
  Verder zijn de onderzoekscriteria (suitable criteria) op basis waarvan het management en de auditor de interne beheersing beoordelen, opgenomen in de ISAE 3402-standaard waar dit bij SAS 70 niet het geval was. In het kader worden de suitable criteria (Fairness of Presentation, Suitability of Design, and Operating Effectiveness) verder toegelicht. De standaard geeft dus een minimale set van criteria waaraan het controleframework van de serviceorganisatie moet voldoen. De service-auditor dient ook een beoordeling uit te voeren op de toereikendheid daarvan. Het effect van deze wijziging moet in de praktijk gaan blijken. Verwacht mag worden dat de criteria meer expliciet aandacht krijgen en de vrijheidsgraad in het formuleren van controls iets zal afnemen, aangezien de criteria duidelijk moeten worden genoemd in de controledoelstellingen. De auteurs verwachten dat het leggen van de relatie tussen de controls en de criteria complex zal blijven en een zaak van professional judgement.
• Het oordeel van de auditor lijkt oppervlakkig bezien enigszins te gaan veranderen zoals hierna wordt toegelicht. Feitelijk blijven inhoudelijk de verschillen klein met twee opmerkelijke verschillen. In de nieuwe standaard geeft de auditor één oordeel over de beoordeling van drie aspecten uit de criteria. Verder zal voor een Type II-rapport het oordeel betrekking hebben op alle drie aspecten over de gehele periode. Voor een Type II voor een SAS 70 werden alleen de control activities (hoofdstuk III) op hun werking getoetst, onder de nieuwe standaard moeten alle COSO-elementen, zoals monitoring, information & communication, etc., op werking worden getoetst voor zover relevant (dus ook het huidige hoofdstuk ll). Dit zal in de praktijk meer werk kunnen betekenen, afhankelijk van de reeds aanwezige relevantie van hoofdstuk II in relatie tot de beheersingsmaatregelen uit hoofdstuk III.

Verder blijven er twee typen van rapportage mogelijk (Type I voor opzet en bestaan beheersingsmaatregelen, en Type II voor werking), moet het rapport minimaal zes maanden bestrijken en moeten de testwerkzaamheden zijn opgenomen in de rapportage, inclusief de gebruikte ‘sample sizes’ bij eventuele relevante afwijkingen. In de huidige SAS 70-standaard is de verspreidingskring van de rapportages beperkt. De nieuwe standaard 3402 vereist dat de auditor de gebruikers en het beoogde gebruik expliciet vermeldt bij zijn oordeel. De auditor kan overwegen om additionele bewoordingen op te nemen ten aanzien van de beperking van de verspreidingskring.

Alternatief voor niet-financiële processen: ISAE 3000

Een aantal praktische bezwaren van de reeds bestaande SAS 70 blijft overeind. Zo heeft de ISAE 3402 alleen betrekking op de processen die zijn gerelateerd aan de financiële verantwoording, conform de scope van SAS 70. De huidige praktijk laat echter zien dat serviceproviders graag een bredere scope zouden hanteren. Zij willen eveneens onafhankelijke zekerheid over de uitbesteding van niet-financieel gerelateerde onderdelen, zoals:

• de continuïteit van de uitvoerder,
• de naleving van de SLA-afspraken,
• de accuraatheid van de informatiestromen tussen (bijvoorbeeld) pensioenuitvoerder en bestuur, of
• de communicatie aan belanghebbenden (governance).

In de praktijk wordt deze uitbreiding van de SAS 70-scope veelal meegenomen in sectie lV van het rapport en wordt zij zodoende niet meegenomen in het oordeel van het service auditors report.

ISAE 3402 is niet bedoeld voor de genoemde uitbreiding, hiervoor is een goed alternatief voorhanden, te weten de ISAE 3000. Deze standaard bestaat reeds en is door het NIVRA opgenomen in COS 3000 en NOREA heeft hier de NOREA-richtlijn 3000 voor. De standaard is, anders dan de ISAE 3402, meer ‘vormvrij’, zolang een aantal verplichte onderdelen maar wordt behandeld. Het gaat hierbij om de definitie van het onderzoeksobject – de geïmplementeerde beheersingsmaatregelen op een bepaald moment of over een periode – en om de kwaliteitsaspecten, zoals betrouwbaarheid, exclusiviteit en continuïteit. De auditor zal in voorkomende gevallen zelf de toepasbaarheid van de kwaliteitscriteria moeten beoordelen. Dit om te voorkomen dat er – in overdrachtelijke zin – een niet-rationele opdracht wordt geaccepteerd. De assurancerapportage kan vrijwel identiek aan de SAS 70-rapportage worden opgesteld, maar dat hoeft niet. Er kan ook worden gekozen voor een ‘korte’ variant ten opzichte van de verplichte SAS 70-onderdelen, waarbij naast het oordeel ook de onderzoeksdoelstellingen en beheersingsmaatregelen worden opgenomen in de bijlage. Het rapport bestaat feitelijk uit de verklaring, waarin wordt verwezen naar de relevante controledoelstellingen en beheersingsmaatregelen in de bijlage. Dit lijkt sterk op de TPM’s (Third-Party Mededeling) die in het verleden meer werden gebruikt.

Deze ‘korte’ variant is ook een alternatief voor die gevallen waarin een intern servicecenter zekerheid verschaft aan de interne gebruikers van zijn diensten. Dit komt veelvuldig voor in die situatie waarin een rekencentrum de ICT- (infrastructurele) diensten verzorgt ten behoeve van diverse divisies. Dit wordt in figuur 1 weergegeven. De auditors van het rekencentrum geven een IT-auditrapport (geen assurance) aan de divisies af ten behoeve van de SAS 70-rapportage die de divisies aan hun klanten verstrekken.

Figuur 1. Interne Assurance, intern en extern.

Strikt genomen kan een SAS 70 niet intern worden gebruikt, ook een ISAE 3000 niet. In figuur 1 wordt om die reden ook gesproken over een IT-auditrapport.

Een SAS 70 is veelal omvangrijker en kan daarmee duurder zijn dan een ISAE 3000-rapportage. Bij de ISAE 3000-rapportage, die dezelfde zekerheid verschaft, kan de bijlage bij de verklaring worden beperkt tot de onderzoeksdoelstellingen en beheersingsmaatregelen, en kan sectie ll (van de SAS 70) achterwege worden gelaten, indien gewenst. De testwerkzaamheden voor de auditor kunnen nog wel gelijk zijn, maar deze hoeven niet te worden opgeschreven in het assurancerapport. Zoals gezegd, de ISAE 3000 is vormvrij.

Naast de eerdergenoemde voorbeelden van het gebruik van ISAE 3000 kan ook binnen deze structuur worden gedacht aan nieuwe/andere gebieden waarover zekerheid wordt verschaft, zoals verklaringen omtrent vertrouwelijkheid, privacy, governance en soft controls. In de praktijk is er een toenemende behoefte aan zekerheid op deze gebieden.

De ontwikkelingen rond de nieuwe ISAE 3402-standaard zetten eigenlijk de ISAE 3000 als alternatief opnieuw in het zonnetje. Voor (IT-) serviceorganisaties die meer willen dan standaard wordt toegestaan door de huidige (SAS 70) en de nieuwe (ISAE 3402-) standaard, is daarmee reeds een aanvaardbaar alternatief voorhanden.

Verstandige keuzen voor de serviceorganisatie

Serviceorganisaties staan nu voor de keuze welke standaard het beste voorziet in de behoefte, gebaseerd op de uitwerking van ISAE 3402 of 3000 in de nationale richtlijnen. Indien het rapport overwegend financiële processen relevant voor de jaarrekeningcontrole bevat, is een van ISAE 3402 afgeleide standaard de meest geschikte. In alle andere gevallen verdient het hanteren van de ISAE 3000-standaard de voorkeur, waarbij dezelfde zekerheid en structuur kunnen worden gehanteerd als bij de ISAE 3402.

Indien besloten wordt over te gaan naar de nieuwe standaard zijn de belangrijkste activiteiten voor de serviceorganisatie:

• Begrijpen van de veranderingen. Dit betreft met name de noodzaak om een managementverklaring in het rapport op te nemen.
• Overleg met de service-auditor. Het gaat daarbij met name om de verwachte impact op het rapport van de service-auditor, zijn werkzaamheden en de impact op eventuele sub-serviceorganisaties. De nieuwe standaard 3402 stelt dat bij een inclusive rapportage niet alleen de controles van de sub-serviceorganisatie moeten worden beschreven en getest, maar ook de organisatiebrede beheersingsmaatregelen (hoofdstuk II). Daarmee zijn alle voordelen van een inclusive rapportage weg en is het handiger dat een sub-serviceorganisatie haar eigen rapport opstelt. Gericht op de gebruikers van de rapporten is het goed om tijdig de behoefte en consequenties van early adaption te bespreken.
• Plannen van de transitie. Dit omvat het opzetten van interne training, coördinatie met de eventuele juridische afdeling, het opstellen van een communicatieplan en het reviewen van de huidige rapporten en processen om vast te stellen hoe aan de nieuwe criteria voldaan gaat worden. In ieder geval dient aandacht te worden besteed aan de vraag of er een voldoende onderbouwing aanwezig is waarop de nieuwe management assertion gebaseerd gaat worden. Het is daarbij niet zoals bij SOx 404 dat het verplicht is dat alle management controls door het management eerst worden getest, voordat de auditor dit doet.

Conclusie

De nieuwe ISAE 3402 wordt dé standaard voor rapportage over de beheersing van uitbestede processen die van invloed zijn op beweringen in de financiële verslaglegging van de uitbestedende partij. Deze nieuwe standaard zal nauwelijks afwijken van de SAS 70-standaard, waardoor de serviceorganisatie geen wezenlijke aanpassingen hoeft door te voeren. Indien de serviceorganisatie inzicht en zekerheid wil geven over de niet-financiële processen, kan men beter voor de ISAE 3000-standaard kiezen. Hetgeen overigens een alternatief is dat al bestaat! Naar de mening van de auteurs liggen hier de uitdagingen om serviceorganisaties meer mogelijkheden te geven om over hun dienstverlening verantwoording af te leggen tegen de gewenste zekerheid.