SAS 70
SAS 70 הוא תקן ביקורת בינלאומי שפותח על ידי ארגון רואי החשבון האמריקאים (AICPA), ועוסק בנושאי ביקורת חשבונות, ביקורת מערכות מידע וביקורת פנימית. שם התקן משקף את שמו המלא (Statement on Auditing Standards) ומספרו. התקן פורסם לראשונה באפריל 1992 ומתייחס לארגונים נותני שירות, כאלה שפעילותם, בצורה כלשהי של מיקור חוץ, משפיעה על הבקרה הכספית של לקוחותיהם, ולכן הלקוחות נדרשים לבקרה על אמינותם של נותני שירות אלה במסגרת הבקרה הפנימית של הלקוחות. נותני שירות כאלה הם חברות ביטוח, חברות אשראי, לשכות שירות למחשבים ודומה.
SAS 70 מעניק ללקוחות ולמבקרים את הבטחון כי נותן שרות מיישם עקרונות נאותים של ביקורת פנימית.
החל משנת 2011 החליף תקן חדש נרחב יותר בשם SSAE 16 (Statement of Standards for Attestation Engagements No. 16) את SAS 70.[1]
שיטות
ביקורת SAS 70 נעשית על ידי רואי חשבון, המסתייעים במומחים נוספים, כגון מבקרי מערכות מידע. המבקרים נדרשים להצמד לתקנים מקצועיים שהוכנסו לשימוש על ידי AICPA. תאגידים רב-לאומיים נדרשים לתקן זה בכל מדינות פעילותם, וחברות הנסחרות בבורסות ארצות הברית חייבות אף הן בתקן זה, גם כאשר מרכזן נמצא מחוץ לארצות הברית. תקני דיווח דומים קיימים במדינות אחרות, כגון תקן FRAG 21 בבריטניה.
את הביקורת נוהגים מרבית הארגונים לבצע באופן חלקי או מלא בכל סוף שנה פיסקלית כהכנה לקראת הביקורת השנתית.
דו"ח ביקורת
תוצאות ביקורות SAS 70 מוצגות בדוח רשמי הקרוי SAR (Service Auditor's Report). מאז שנת 2006 ישנם שני סוגי דוחות, הקרויים לרוב Type I ו-Type II.
דו"ח Type I מעניק תיאור של הבקרה והפיקוח בארגון נותן שירות בנקודת זמן מסוימת. דו"ח Type II מקיף יותר, ועוסק בניתוח היעילות הארגונית בתחום הבקרה והפיקוח בתקופה מסוימת.
את הליכי הבדיקות בדו"ח Type II יש לבצע עבור תקופה הארוכה משישה חודשים.
דו"ח הביקורת כולל את המידע הבא:
- חוות דעת בלתי תלויה של רואה חשבון (סוג של תמצית מנהלים הנותנת חוות דעת כללית)
- תיאור של הבקרות והפיקוח בארגון נותן השירות כפי שנמצא במהלך הסקירה
- מידע שמקורו מרואה החשבון; בדו"ח Type II כלול תיאור של תוצאות ניתוח היעילות באמצעות הליכי הבדיקות
- מידע נוסף, כגון מונחון (במידת הצורך)
בנוסף, על הדו"ח לאמוד ארבע נקודות ראשיות:
- האם תיאור הבקרה והפיקוח בארגון נותן השירות מוצג באופן הוגן.
- האם הבקרה והפיקוח בארגון נותן השירות מעוצבים בצורה יעילה.
- האם הארגון נותן השירות מיישם את הבקרה הפנימית שלו, נכון לתאריך מסוים.
- האם פועל הארגון נותן השירות ביעילות תפעולית במהלך תקופה מסוימת. (עבור דוח Type II בלבד)
אובייקטיביות
אף שארגונים רבים בעולם מבצעים ביקורת SAS 70 באופן שגרתי, האובייקטיביות של הדו"ח שנויה במחלוקת. בביקורת זו בוחן הארגון את הבקרה והפיקוח שלו עצמו, ובודק האם הבקרה יעילה והאם אכן מבוצעת בפועל. אולם, אין הביקורת מעידה על מדיניות יעילה (לעומת ביצוע יעיל של מדיניות קיימת) בתחומים מסוימים, דבר שאינו משפיע לרעה על הביקורת. לדוגמה, אם לארגון אין מדיניות אבטחה המכסה תחומים מסוימים, או אם יש לו מדיניות מקלה (כגון ארגון שאין לו מדיניות המונעת פריסת מחשבים עם הגדרות ברירת מחדל וסיסמאות ברירת מחדל), דו"ח ביקורת SAS 70 יכלול חוות דעת אוהדת כיוון שפעילות הפיקוח והבקרה (אין) תואמת למדיניות הבקרה (אין).
SAS 70 וחוק סרבנס-אוקסלי
הדרישות ב-SAS 70 הפכו למעט מיושנות עם הצגתו של חוק סרבנס-אוקסלי ובפרט סעיף 404 (גילוי ביקורת הפנימית - Internal Control Disclosure) לחוק זה, כיוון שחוק חזק מאשר הנחיה. עם זאת, ביקורות SAS 70 עדיין מהוות מוקד לעניין מאחר שהן מתייחסות באופן ספציפי לארגונים נותני שירות, בעוד המסגרת של SOX404 כללית יותר.
קישורים חיצוניים
- אגרת ינואר 2006 של פירמת רואי החשבון PricewaterhouseCoopers (קלסמן וקלסמן רואי חשבון בישראל)
הערות שוליים
22263965SAS 70