Door Suzanne Keijl en Peter Eimers

Het huidige economische klimaat vraagt om belangrijke keuzes van ondernemingen. Stroomlijning van processen en activiteiten gericht op het behalen van kostenreductie is hierin een belangrijk aspect. Uitbesteding van activiteiten staat steeds vaker op de agenda. Zo neemt uitbesteding van ICT en websitebeheer alsmaar toe. En veel pensioenfondsen brengen de administratie en uitvoering van de pensioenregelingen onder bij gespecialiseerde serviceorganisaties en het vermogensbeheer bij grote externe vermogensbeheerders.

In het kader van goed ondernemingsbestuur moet een organisatie greep houden op de beheersing van de risico’s in de processen die zijn uitbesteed en de betrouwbaarheid van informatie die door andere partijen wordt aangeleverd. Ook de externe accountant van een uitbestedende organisatie heeft zekerheid nodig over de betrouwbaarheid van de financiële informatie die wordt aangeleverd door service organisaties.

Transparantie 

Als gevolg van de huidige netwerkeconomie zien we ook steeds meer onderlinge afhankelijkheid van de informatiestromen van verschillende organisaties in een keten. Partijen hebben behoefte aan transparantie over de uitvoering, maar hoe wordt geborgd dat deze rapportages ook betrouwbaar zijn? De nieuwe internationale assurance standaard die beschikbaar komt voor accountants geeft invulling aan deze toenemende behoefte aan zekerheid over de uitbestede processen. Gecertificeerde interne controlerapportages versterken het vertrouwen tussen business partners, waardoor de efficiency in een hele keten kan worden verbeterd. Een voorbeeld hiervan is de toepassing van digitale informatie-uitwisseling, zoals elektronisch factureren.

Tot nu toe was de enige beschikbare standaard voor certificering van interne controlerapportages de Amerikaanse SAS 70-standaard. Een SAS 70-verklaring is een begrip geworden, maar velen weten niet wat het nu wel en niet inhoudt. Zo bevestigt de accountant onder SAS 70 dat de door de ondernemer aangemerkte processen daadwerkelijk aanwezig zijn en ook effectief werken zoals de ondernemer heeft beschreven, maar beperkt zich tot de risico’s voor de jaarrekening van uitbestedende organisaties. Dit kan leiden tot een verwachtingskloof omdat de operationele eisen aan bedrijfsprocessen worden gesteld veel strenger zullen zijn dan de betrouwbaarheid van de jaarrekening.

Reikwijdte 

Dit is in de nieuwe standaard opgelost, omdat de reikwijdte breder kan zijn dan alleen de interne beheersing die van toepassing is op de financiële verantwoordingsinformatie.  Daardoor kan ook het voldoen aan wet- en regelgeving of aan kwalitatieve normen die zijn opgenomen in service level agreement-rapportages worden meegenomen. Mits er sprake is van mogelijke financiële impact, ook al is dat indirect.

Met name in de financiële dienstverlening is het aantoonbaar voldoen aan wet- en regelgeving een belangrijke vereiste. Een ander belangrijk verschil ten opzichte van SAS 70 is dat het management van serviceorganisaties expliciet zijn verantwoordelijkheid in de rapportage opneemt. Dit betekent dat de organisatie zelf testwerkzaamheden uit moet voeren om voldoende basis te hebben voor de uitspraak dat interne beheersing functioneert zoals beschreven. Dat op zichzelf zal de naleving van interne procedures al bevorderen.

Geen optie 

Met deze nieuwe standaard verdwijnt een bekende naam SAS 70, die toch een soort keurmerk was geworden. Het blijven toepassen van de SAS70-standaard is echter geen optie omdat het Amerikaanse instituut van accountants ook de naam van die standaard binnenkort gaat aanpassen. Even wennen dus, maar het gaat niet om naamgeving. Het gaat om het versterken van het onderling vertrouwen bij uitbesteding.

Suzanne Keijl en Peter Eimers zijn partner bij PricewaterhouseCoopers. Peter Eimers is tevens hoogleraar Auditing aan de Vrije Universiteit te Amsterdam.