KPMG
SAS 70 steeds belangrijker bij uitbesteding van diensten
3 juli 2007
03|07|07 - Bedrijven die activiteiten uitbesteden, willen in
toenemende mate zekerheid over de mate waarin de uitvoerder zijn
systeem van interne beheersing op orde heeft.
Het bezit van een SAS 70-rapport wordt hierbij steeds vaker als een
onderscheidende factor gezien. Veel bedrijven zijn echter onbekend met
de betekenis en impact van SAS70, terwijl het bezit van een dergelijk
rapport bij het afsluiten van uitbestedingscontracten steeds
belangrijker wordt. Een pensioenfonds dat een uitvoerder voor haar
regeling of een beheerder van haar vermogen zoekt, zal bij vernieuwing
van een contract het beschikbaar hebben van het SAS 70-rapport steeds
meer gaan zien als need to have in plaats van nice to have,
constateert Han Boer, partner bij KPMG IT Advisory.
Organisaties die geen gecontroleerd SAS 70-rapport kunnen overleggen
vallen volgens Boer onmiddellijk van de long list. Boer: De toegenomen
afhankelijkheid tussen gebruikersorganisatie en service-organisatie,
met name waar het gaat om de vraag of de leverancier voor wat betreft
de opzet, bestaan en werking van haar bedrijfsprocessen wel in
control is, willen ondernemingen geborgd zien in een keurmerk, een
gedetailleerd rapport dat vergezeld wordt door een SAS 70 verklaring
van een externe accountant.
SAS 70 is een internationaal geaccepteerde auditing standaard van het
American Institute of Certified Public Accountants (AICPA) en stelt
service organisaties in staat om informatie over haar
beheersmaatregelen en processen op een uniforme wijze te rapporteren
naar haar klanten. Boer: Een bijkomend voordeel is dat de
service-organisatie slechts één rapport hoeft te maken die zij kan
gebruiken voor al haar klanten.
De kosten van het onderzoek om het SAS 70-rapport te schrijven, kunnen
zo uitgesmeerd worden over alle klanten. Zonder dit rapport zal de
service organisatie van al haar klanten en hun accountants één op één
verzoeken ontvangen om een audit uit te mogen voeren op het stelsel
van beheersmaatregelen. Dit impliceert dat steeds weer nieuwe externe
professionals over de vloer komen met ongeveer dezelfde vragen. Het
SAS 70-rapport geeft dezelfde informatie en leidt er over het algemeen
toe dat de druk op de service organisatie substantieel afneemt.
De groeiende behoefte aan gecertificeerde SAS 70 rapporten is volgens
Boer begrijpelijk omdat een formeel SAS 70-rapport een gedetailleerd
inzicht geeft in de beheersmaatregelen en de processen van de
organisatie van wie de opdrachtgever zo afhankelijk is geworden. Boer:
En uiteraard dat de deugdelijkheid daarvan ook nog eens wordt
bevestigd door een bijgevoegde SAS 70 verklaring van een externe
accountant. Wordt het rapport door de klant goed bestudeerd en de
inhoud en reikwijdte van de SAS70 verklaring begrepen, dan wordt de
samenwerkingsrelatie transparanter en neemt het onderlinge vertrouwen
toe, vertrouwen dat zo essentieel is voor succesvolle outsourcing.
Voor nadere informatie: Andy Bellm, telefoon (020) 656 7039
© 2007 KPMG Holding N.V., registered with the trade register in the
Netherlands under number 34153857 and a Dutch limited liability
company and a member firm of the KPMG network of independent member
firms affiliated with KPMG International, a Swiss cooperative. All
rights reserved.