Inleiding

De laatste jaren is er vanuit de regelgeving veel aandacht voor interne beheersing en goed ondernemingsbestuur. Doel hiervan is onder meer de interne beheersing binnen organisaties te verbeteren én aan de buitenwereld aan te tonen dat interne beheersingsmaatregelen ook daadwerkelijk effectief zijn. Een bekend voorbeeld hiervan is de Amerikaanse Sarbanes-Oxley Act van 2002 (SOx). Deze wet verplicht ondernemingen een verklaring uit te brengen over hun interne beheersingsmaatregelen. Daarnaast bestaat sinds 1992 de zogenaamde ‘Statement on Auditing Standard No. 70 Service Organizations’ (SAS 70) ([AICP06]). SAS 70 is een Amerikaanse verslaggevingsstandaard van toepassing op serviceorganisaties die diensten verlenen aan organisaties die delen van bedrijfsprocessen hebben uitbesteed. Door middel van een SAS 70-rapport geeft een serviceorganisatie haar klanten inzicht in de interne beheersingsmaatregelen en geeft een externe accountant hierover een oordeel. Niet alleen qua doelstelling hebben SOx en SAS 70 daarmee overeenkomsten, maar ook op andere aspecten lijken de twee op elkaar. Dat er overeenkomsten zijn is niet zo vreemd: SOx is voor een deel afgeleid van SAS 70. Er is echter ook een aantal significante verschillen. Hieronder worden deze overeenkomsten en verschillen uiteengezet.

SAS 70 en SOx

Sectie 404 van de Sarbanes-Oxley wetgeving eist dat ondernemingen de interne beheersing rondom hun financiële verslaggeving op een dusdanige manier hebben ingericht dat materiële onjuistheden in de jaarrekening voorkomen of gedetecteerd kunnen worden. Om dit te realiseren moet een onderneming haar systeem van interne beheersing hebben ingericht volgens een algemeen geaccepteerd intern beheersingskader. Het COSO-model wordt als geschikt beschouwd. Bovendien moet het management opzet, bestaan en werking van het systeem van interne beheersing jaarlijks evalueren. De externe accountant die de jaarrekening van de onderneming controleert dient zelfstandig werkzaamheden te verrichten om opzet, bestaan en werking van de interne beheersing vast te stellen ([PCAO07]). Volgens de regelgeving dient zowel het management als de accountant daarbij het gehele verwerkingsproces dat relevant is voor de financiële verslaggeving te beoordelen, dus inclusief een eventueel uitbesteed deel.

SAS 70 heeft (alleen) betrekking op de interne beheersing van de diensten die een serviceorganisatie verleent aan haar klanten. De reikwijdte van SAS 70 beperkt zich tot die diensten van de serviceorganisatie waarvan de klanten voor hun jaarrekening afhankelijk zijn. De (accountants van die) klanten steunen voor de betrouwbaarheid van hun financiële verslaggeving op de effectiviteit van interne beheersing bij de serviceorganisatie. Oorspronkelijk is SAS 70 met name bedoeld om de externe accountant zekerheid te geven over de kwaliteit van de uitbestede processen en/of gegevens, zodat de accountant samen met zijn eigen werkzaamheden voldoende inzicht had om tot de verklaring bij de jaarrekening te komen (zie figuur 1). Natuurlijk moest de SAS 70-mededeling door een publieke accountant worden afgegeven, meestal de externe accountant van de serviceorganisatie. Daarmee was de SAS 70 dus een rapportage bedoeld voor de externe accountants van de klanten van de serviceorganisatie. Het management van de uitbestedende partij, organisatie A in figuur 1, had niet zo’n behoefte aan de SAS 70-rapportage, omdat het veelal toereikende operationele informatie kreeg in de vorm van bijvoorbeeld service level rapportages of zelf de kwaliteit van de geleverde diensten kon beoordelen.

Figuur 1. Het oorspronkelijke doel van SAS 70.

Na de invoering van SOx, waarbij ook het management verplicht werd interne toetsen op de kwaliteit van het stelsel van interne controle uit te voeren, zag het management zich gedwongen om ook een gefundeerd oordeel te hebben over het uitbestede deel. En natuurlijk was de link met SAS 70 snel gevonden. Was de behoefte aan een SAS 70 vóór het SOx-tijdperk nog beperkt – de accountant kon vaak via cijferverbanden en -analyses ‘om de uitbesteding heen controleren’ –, na de invoering van SOx staat de kwaliteit van de beheersingsmaatregelen als zodanig mede op de voorgrond en wil ook het management van de serviceorganisatie een SAS 70-rapportage ter ondersteuning van haar interne beheersing. Dit is in figuur 2 weergegeven.

Figuur 2. Bij SOx is SAS 70 relevant voor de externe accountant en het management.

Om een ‘schone’ SAS 70-rapportage te verkrijgen dient de onderneming haar stelsel van interne beheersing effectief te hebben ingericht. De SAS 70-standaard verwijst hiervoor eveneens naar het COSO-model. Voor de relevante diensten die een serviceorganisatie verleent zal de uitbestedende partij beheersingsdoelstellingen (‘control objectives’) hebben gedefinieerd en al dan niet via de service level agreement aan de provider hebben opgelegd. Om deze beheersingsdoelstellingen te realiseren moet de serviceorganisatie één of meer beheersingsmaatregelen (‘controls’) hebben geïmplementeerd. Een externe accountant stelt vervolgens bij de serviceorganisatie vast of de beheersingsmaatregelen de beheersingsdoelstellingen realiseren. Afhankelijk van het type SAS 70-rapport (type 1 of type 2) toetst de accountant opzet en bestaan (type 1) van de maatregelen of opzet, bestaan én werking (type 2) van de maatregelen. De serviceorganisatie rapporteert over de interne beheersing door een SAS 70-rapport uit te geven met hierin een SAS 70-mededeling van een externe accountant. Het SAS 70-rapport is bestemd voor de klanten van de serviceorganisatie en voor de externe accountants van deze klanten.

Verschillen en overeenkomsten tussen SAS 70 en SOx

Uit het bovenstaande blijkt al dat er overeenkomsten zijn tussen SOx en SAS 70. Zowel SOx als SAS 70 heeft bijvoorbeeld als doelstelling derden inzicht te geven in de interne beheersingsmaatregelen van een onderneming door middel van een uiting. Voor SOx is de doelgroep van deze uiting echter breder dan bij SAS 70. Een SAS 70-rapport is in eerste instantie bestemd voor de accountant van de klanten (‘user organizations’) en in tweede instantie voor de klanten zelf. Het SAS 70-rapport kent derhalve een beperkte gesloten verspreidingskring. De externe accountant kan op de SAS 70-rapportage steunen bij het controleren van de jaarrekening van de gebruikersorganisatie. Een SOx-verklaring is daarentegen bestemd voor alle belanghebbenden van een onderneming en is daarom openbaar beschikbaar als onderdeel van het jaarverslag van een onderneming.

Een ander verschil is dat SOx een wet is, waaraan alle onder toezicht van de Securities and Exchange Commission (SEC) staande ondernemingen verplicht zijn te voldoen. De Public Company Accounting Oversight Board (PCAOB) is het orgaan dat de wetgeving heeft uitgewerkt in verschillende ‘audit standards’ en toezicht houdt op de accountantskantoren. De audit standards zijn voorschrijvend van aard en geven gedetailleerde richtlijnen over hoe het management en een accountant hun evaluatie van de interne beheersing moeten uitvoeren. Tot voor kort golden deze standaarden indirect ook voor het management. Voor 2007 heeft de SEC afzonderlijke (concept-) richtlijnen voor het management opgesteld ([SEC06]).

Het afgeven van een SAS 70-rapport is daarentegen een keuze van het management van de serviceorganisatie en is daarmee in tegenstelling tot SOx dus niet verplicht. Wel kan het natuurlijk zijn dat een aantal belangrijke klanten van de serviceorganisatie een SAS 70-rapport afdwingt, waardoor SAS 70 toch een plichtmatig karakter krijgt. Het eisen van een SAS 70-rapport (type 2) van een serviceorganisatie is min of meer verplicht voor organisaties die zelf aan SOx moeten voldoen en vanuit de eigen organisatie onvoldoende inzicht hebben in de effectiviteit van de interne beheersing van de voor SOx relevante activiteiten die zijn uitbesteed (zie ook [Bigg06]). SAS 70 is een standaard die door het American Institute of Certified Public Accountants (AICPA) is ontwikkeld en die is uitgewerkt in de Audit Guide Service organizations: Applying SAS No. 70 ([AICP06]). De standaard is minder gedetailleerd en minder voorschrijvend van karakter dan de audit standards van de PCAOB.

Zowel SOx en SAS 70 beperkt zich tot die interne beheersingsmaatregelen rondom de activiteiten die gevolgen kunnen hebben voor de jaarrekening. Bij SOx betreft het de jaarrekening van de onderneming die de SOx-verklaring afgeeft. Bij SAS 70 betreft het de jaarrekening van de onderneming waaraan het SAS 70-rapport wordt verstrekt. De reikwijdte van SAS 70 betreft daarom de interne beheersingsmaatregelen rondom de diensten die impact hebben op de jaarrekening van de gebruikersorganisatie waarvoor een serviceorganisatie haar diensten verricht. In beginsel zal de gebruikersorganisatie de te verantwoorden beheersingsdoelstellingen aan de serviceorganisatie opleggen. Dat maakt de SAS 70 tot maatwerk. Het zal duidelijk zijn dat indien een service provider voor meer klanten een SAS 70 moet afgeven, de service provider zal proberen de gevraagde beheersingsdoelstellingen op elkaar af te stemmen. Daardoor kan de situatie ontstaan dat de serviceorganisatie min of meer zelf bepaalt welke diensten en beheersingsmaatregelen deel uitmaken van het SAS 70-rapport. De reikwijdte van een SAS 70-rapport wordt daardoor breder dan alleen die beheersingsdoelstellingen die gericht zijn op de jaarrekening (van de gebruikersorganisatie), en derhalve wordt het rapport gebruikt als een soort kwaliteitsstempel op de algehele dienstverlening van de serviceorganisatie. De reikwijdte van een SOx-verklaring omvat de interne beheersingsmaatregelen rondom de activiteiten die de financiële verslaggeving van de onderneming kunnen beïnvloeden. Activiteiten die de (eigen) jaarrekening niet raken, vallen daarom buiten de reikwijdte van SOx.

Voor zowel SOx als SAS 70 wordt geadviseerd dat een onderneming interne beheersingsmaatregelen implementeert die de volgende vijf componenten uit het COSO-raamwerk in voldoende mate afdekken: ‘control environment’, ‘risk assessment’, ´control activities’, ‘information and communication’ en ‘monitoring’. Om dit te realiseren moeten ondernemingen de relevante maatregelen identificeren, mogelijk verbeteren en documenteren. Belangrijk daarbij is dat achteraf moet kunnen worden aangetoond dat de gedocumenteerde beheersingsmaatregelen effectief zijn geweest. Voor zowel SOx als SAS 70 stelt dit eisen aan de vastlegging van de uitvoering van de beheersingsmaatregelen. Ook vereisen beide dat een onderneming inzicht heeft in haar processen en deze heeft vastgelegd, waarbij het bij SOx alleen die processen dient te betreffen die gevolgen hebben voor de externe verantwoording over de financiële verslaggeving. Bij SAS 70 gaat het om de processen die door de serviceorganisatie worden uitgevoerd ten behoeve van de gebruikersorganisatie.

SOx vereist dat een onderneming inzicht heeft in de effectiviteit van de maatregelen om te voorkomen dat de jaarrekening materiële onjuistheden bevat. Daarbij dienen alle relevante ‘assertions’ van de significante posten in de jaarrekening te worden afgedekt. Aangezien het bij SAS 70 uiteindelijk niet om de jaarrekening van de serviceorganisatie zelf gaat, maar om de jaarrekening van de gebruikersorganisatie, mist de serviceorganisatie het beeld van de materialiteit en assertions van de gebruikersorganisatie en vereist SAS 70 daarom dat een serviceorganisatie beheersingsdoelstellingen definieert. Met deze doelstellingen moet de user auditor kunnen bepalen hoe de beheersingsmaatregelen van de serviceorganisatie de jaarrekening van de gebruikersorganisatie beïnvloeden. Zoals hiervoor al gemeld, is de serviceorganisatie echter min of meer vrij in het bepalen van de beheersingsdoelstellingen en er bestaat (dus) geen directe een-op-eenrelatie met de ‘assertions’ van de jaarrekeningposten van de gebruikersorganisatie.

SOx vereist dat een onderneming maatregelen treft om materiële onjuistheden in de jaarrekening te voorkomen en te detecteren. SAS 70 vereist dat de serviceorganisatie maatregelen treft om de gedefinieerde beheersingsdoelstellingen te realiseren. Zowel organisaties die onder de SOx-regelgeving vallen als organisaties die een SAS 70-rapport uitbrengen, dienen hun interne beheersingsmaatregelen te laten evalueren door een externe accountant.

Voor SOx geldt bovendien dat zowel het management van de organisatie als de externe accountant de interne beheersingsmaatregelen dient te evalueren. Daarbij geldt tevens dat een en dezelfde accountant zowel de financiële verantwoording als de interne beheersingsmaatregelen moet controleren. Voor SAS 70 gelden deze eisen niet: SAS 70 vereist slechts dat een externe accountant de maatregelen toetst.

Bij SOx is de jaarrekening uiteindelijk maatgevend voor het bepalen van de interne beheersingsmaatregelen die geëvalueerd moeten worden. Bij SAS 70 bepalen de door de serviceorganisatie gedefinieerde beheersingsdoelstellingen welke beheersingsmaatregelen door de accountant getoetst worden. In tegenstelling tot SOx kan een serviceorganisatie die een SAS 70-rapport wil uitgeven dus grotendeels zelf bepalen welke onderdelen worden getoetst.

Bij SOx dienen het management en de externe accountant altijd zowel opzet, bestaan als werking van de beheersingsmaatregelen te toetsen per het einde van het boekjaar waarop de jaarrekening betrekking heeft. Bij SAS 70 worden, afhankelijk van het type SAS 70-mededeling, ‘opzet en bestaan’ (type 1) of ‘opzet, bestaan en werking’ (type 2) getoetst. Bovendien bepaalt de serviceorganisatie bij een type 2-mededeling over welke periode de mededeling van toepassing is, zolang deze maar minimaal zes maanden beslaat.

Een SAS 70-rapport bestaat uit een mededeling van de externe accountant over opzet en bestaan (type 1) of over opzet, bestaan en werking (type 2) van de interne beheersingsmaatregelen. Bovendien geeft het rapport de gebruikersorganisatie en haar accountant een behoorlijk gedetailleerd inzicht in de interne beheersingsmaatregelen en de wijze waarop de serviceorganisatie deze heeft geïmplementeerd om aan de beheersingsdoelstellingen te voldoen. Tevens geeft het rapport inzicht in de testwerkzaamheden die de externe accountant per maatregel heeft uitgevoerd om de SAS 70-mededeling af te kunnen geven. Maar omgekeerd zegt het SAS 70-rapport in principe niets over het totale niveau van interne beheersing. Strikt genomen kan een serviceorganisatie weinig controledoelstellingen definiëren, of weinig controlemaatregelen per controledoelstelling opnemen. Hoewel niet formeel geregeld is het de taak van de externe accountant erop toezien dat het rapport geen ongerechtvaardigde verwachtingen oproept bij de gebruikersorganisatie.

Bij SOx wordt dit gedetailleerde inzicht in de beheersingsmaatregelen en testwerkzaamheden niet verschaft aan externe partijen, maar moeten de maatregelen wel geheel dekkend zijn. De uiting die een organisatie aan de buitenwereld doet, bestaat alleen uit een verklaring van zowel het management als de externe accountant. In tegenstelling tot SAS 70 betreft een SOx-verklaring altijd opzet, bestaan en werking van de interne beheersingsmaatregelen; een verklaring over alleen bestaan is bij SOx niet van toepassing.

De inhoud van deze paragraaf is samengevat in tabel 1.

Tabel 1. Overeenkomsten en verschillen tussen SOx en SAS 70. [Klik hier voor grotere afbeelding]

Ten slotte

Dit artikel beschrijft de verschillen en overeenkomsten tussen SAS 70 en SOx op een aantal aspecten. Behalve het feit dat SOx verplicht is voor ondernemingen die onder toezicht staan van de SEC en SAS 70 een keuze is van het management, is het belangrijkste verschil tussen de twee voornamelijk gelegen in de reikwijdte van de interne beheersingsmaatregelen waarover wordt gerapporteerd. Met een SOx-verklaring geven de onderneming en haar externe accountant een oordeel over de effectiviteit van de interne beheersingsmaatregelen rondom de financiële verslaggeving. Bij SAS 70 gaat het om de effectiviteit van de interne beheersingsmaatregelen rondom de dienstverlening aan derden, voor zover deze derden voor hun financiële verslaggeving afhankelijk zijn van de effectiviteit van de interne beheersingsmaatregelen bij deze dienstverlener.