Bij Compliancy of gewoonweg voldoen aan wet en regelgeving zoals aan de Sarbanes – Oxley act, populair ook wel SOx genoemd, brengt een heleboel bureaucratie en documentenbomen met zich mee. Daarmee worden dergelijke reglementen al snel als een noodzakelijk kwaad betiteld. Maar is dat terecht of lijkt dat alleen maar zo?
Opeens moeten toeleveranciers of outsourcingpartners kunnen overleggen dat ze hun werk op een verantwoordelijke wijze uitvoeren en dat zij hun administratieve organisatie op orde hebben omdat de hoofdaannemer of opdrachtgever hiervoor aansprakelijk gesteld kan worden. Er moet sprake zijn van een zogenaamde 'trusted third party' en om deze titulatuur te verkrijgen moet een bedrijf een 'Statement on Auditing Standards number 70' of te wel een SAS70 rapport kunnen overleggen. Is het nu echt weer een extra bureaucratische regel of kunnen we het juist in ons voordeel gebruiken?
Wat is nu eigenlijk deze statement on auditing standards number 70? In 1993 is de SAS70 voor het eerst geïntroduceerd door de Amerikaanse vakvereniging van accountants (AICPA). Het rapport is gebaseerd op de control objectives uit COSO en laat zien dat een bedrijf 'in control' is over haar bedrijfsprocessen. Als een bedrijf is geaccrediteerd krijgen ze een zogenaamde Third Party Message toebedeeld waarmee ze kunnen aantonen dat de kwaliteit van de bedrijfsprocessen is geborgd.
Om het allemaal eenvoudiger te maken bestaat SAS70 uit twee typen. Bij een type I audit wordt gekeken of alle controle processen op dat moment zijn ingericht en of er voldoende maatregelen zijn getroffen om ze te borgen. Het wil dus zeggen dat een onafhankelijke auditor heeft geconstateerd dat, ten tijde van de audit, alle instrumenten aanwezig zijn om een goede kwaliteit van de dienstverlening te kunnen garanderen. de Type II audit doet hetzelfde maar volgt de bedrijfsprocessen ook nog eens, minimaal over een periode van 6 maanden, om te controleren of de controlemaatregelen ook daadwerkelijk in de praktijk uitgevoerd worden en ook werken. Het spreekt voor zich dat aan een type II rapport meer waarde wordt gehecht dan aan een type I rapport.
SOx
Vijf jaar geleden is in de Verenigde Staten door president Bush een handtekening gezet onder de wetgeving die door de senatoren Paul Sarbanes en Micheal Oxley was opgesteld. In eerste instantie hadden de beide senatoren, ieder afzonderlijk, eisen en richtlijnen opgesteld ten aanzien van deugdelijk bestuur van beursgenoteerde ondernemingen. De aanvankelijke scepsis en terughoudendheid in de Amerikaanse senaat veranderde snel na het openbaar worden van de eerste grote boekhoudschandalen bij o.a. Enron en WorldCom. De voorstellen van de democraat en de republikein werden daarop samengevoegd en in een record tempo bekrachtigd als de Sarbanes – Oxley act.
De SOx wetgeving stelt eisen aan bedrijven die aan Wallstreet genoteerd staan. Het is dus van invloed op Nederlandse bedrijven met een Wallstreet notering én Nederlandse bedrijven die zaken doen met bedrijven die een dergelijke notering bezitten. De bedrijven moeten o.a. kunnen aantonen dat hun controle maatregelen over de administratieve en ict processen en over de financiële verslaglegging effectief ingericht zijn. Het uitbesteden van deze processen aan een dienstverlener betekend niet dat daarmee de verantwoordelijkheid er over ook uitbesteed is. Het bedrijf blijft vanuit het oogpunt van deze wetgeving altijd verantwoordelijk voor een juiste documentatie en een juiste toepassing. Controlemaatregelen, processen en risico's van de bedrijfsprocessen moeten zijn gecontroleerd door een onafhankelijke auditor. In het geval van een uitbesteding van deze processen moet de dienstverlener een SAS70 rapportage laten opstellen. Door een accountant kan dan een Third Party Message opgesteld worden die de opdrachtgever garandeert dat de dienstverlener zijn interne beheersingsmaatregelen op orde heeft. De SAS70 rapportage is de enige controle en rapportage methode die volledig voldoet aan de strenge SOx wetgeving.
Op zich is het natuurlijk voor de directie of raad van bestuur van een organisatie een geruststellende gedachte dat je zakenpartners of outsourcingpartners hun interne controlemaatregelen op orde hebben en dat dit hen vrijwaard van onaangename verassingen, maar het uiteindelijke doel is dat je dit ook kunt reflecteren naar je klanten en opdrachtgevers. Aangezien bedrijven in Nederland veelal alleen nog maar dingen willen doen waar ze goed in zijn en dus de bedrijfsprocessen ondersteunende processen zoals automatisering geoutsourced worden is het meer en meer van belang om dergelijke statements als SAS70 te verlangen van je partners. Het vertrouwen op reputatie, historie en mooie blauwe ogen is al menig bedrijf fataal geworden. Een noodzakelijk kwaad dus? Ja, maar wel een die ten goede van de eigen organisatie gebruikt kan worden. Eigenlijk verdient het aanbeveling, ook voor bedrijven die geen zaken doen in de VS of met multinationals, om hun afhankelijkheden af te dekken door een 'third party message (TPM) te eisen.