« Weinig tijd om te sch… | Home | Google Wave »

SAS 70

SAS 70 staat voor “Statement on Auditing Standards number 70”. Het is een norm voor de certificering van procesbeheersing.

SAS 70 (uit 1993) beschrijft hoe externe auditors de interne (proces)besturing kunnen beoordelen van een outsourcing partij.

SAS 70 is opgesteld door het American Institute of Certified Public Accountants (AICPA). Er zijn tientallen SAS normen. SAS 70 wordt steeds vaker gevraagd door bedrijven die willen outsourcen. Vooral financiële instellingen zijn erop gespitst.

Met het SAS 70 rapport kan een organisatie aantonen dat men de (beheer)processen in een datacenter onder controle heeft. Er zijn twee soorten SAS 70 rapporten:

1. Type I  = Report on Controls Placed in Operation. Dit betreft de opzet en het bestaan van beheersmaatregen en of deze afdoende zijn om vastgestelde doeleinden te bereiken.
2. Type II = Report on Controls Placed in Operation and Test of Operating Effectiveness. Bevat Type I en bekijkt of de processen ook daadwerkelijk in de praktijk worden toegepast.

De basis van een SAS 70 rapport is vaak een set goed ingerichte ITIL processen. SAS 70 schrijft geen processen voor, maar controleert of de processen daadwerkelijk zijn ingeregeld in de organisatie en of ze dus worden nageleefd.

Een SAS 70 rapport wordt meestal jaarlijks opgesteld door een externe auditor (meestal een accountant), net zoals jaarlijks een financieel jaarrapport wordt opgesteld.

SAS 70 kan helpen om invulling te geven aan de wet- en regelgeving (zoals de Sarbanes-Oxley Act - SOX, de Regeling uitbesteding verzekeraars en de Wet toezicht beleggingsinstellingen). Het rapport geeft al de klanten van de uitbestedende partij de zekerheid dan de processen op orde zijn.

: