SAS-70 מפנה את מקומו לתקן SSAE-16 - כרוניקה של גלובליזציה
מאת: עידן פלג, רו"ח- יועץ SOX בטוליפ מערכות מידע
אוגוסט 2011
רקע
תקן SSAE-16 (Standards for Attestation Engagements) הוא תקן חדש של לשכת רואי החשבון האמריקאית שמחליף את SAS-70 החל מיוני 2011.
השתלשלות האירועים שהובילה לפרסום התקן החדש מתחילה דווקא מחוץ לתקינה האמריקאית כאשר בחודש דצמבר 2009 פרסמה ה-IAASB (International Auditing and Assurance Standards Board) את ISAE 3402 ובכך למעשה הביאה בפעם הראשונה לפרסום תקן ביקורת של גוף בינלאומי (ולא אמריקאי) שמתייחס לפיקוח על הבקרות הפנימיות של לשכות שירות.
השתלשלות האירועים בתקינה על פיקוח בקרות פנימיות בלשכות שירות
SAS-70 תקן אמריקאי, תקף החל מ-1992
|
ISAE-3402 תקן בינלאומי, תקף החל מדצמבר 2009
|
SSAE-16 תקן אמריקאי, תקף החל מיוני 2011
|
למה צריך את זה?
כאשר ארגון עושה שימוש בלשכת שירות חיצונית חלק מהנתונים הכספיים שלו מושפעים בצורה ישירה מאותה לשכת שירות. זה יכול להיות חישובי השכר בארגון או חישוב תוכניות הטבה לעובדים אך מכיוון שהתהליך לא מבוצע בארגון עצמו קיים קושי לרואי החשבון המבקרים של הארגון להניח את דעתם בצורה מספקת שהתהליך שהוביל לרישום הוצאות השכר (לדוגמא) כלל בקרות פנימיות מספקות.
דוח SAS-70 הפך לתקן איכות של לשכות שירות שלמעשה אומר שהבקרות הפנימיות בלשכת השירות עונות על הסיכונים ואפקטיביות במניעתם.
כן אבל למה צריך עוד אחד?
ראשית יש לציין כי בין ה- ISAE-3402הבינלאומי ל- SSAE-16האמריקאי אין הבדלים מהותיים כיוון שמטרת SSAE-16 היא לישר קו עם התקן הבינלאומי ותו לא. אבל מה הבשורה בתקנים האלו לעומת ה-SAS-70 הישן והטוב?
SAS-70 הוא תקן אמריקאי אבל מה לגבי חברות שנסחרות בשאר העולם? מה שקרה בפועל היה שהתקן היווה סטנדרט גם לחברות מחוץ לאמריקה אבל בדצמבר 2009 (17 שנה אחרי!!!) ניאותו ה-IAASB להוציא תקן בינלאומי ועל הדרך אפילו שידרגו אותו מעט. התקן החדש מקדם את SAS-70 לסטנדרטים המותאמים לתקינה הבינלאומית, וכן מעבה את תחולת התקן ודרישותיו. SSAE-16 מחיל דרישות להעמקת תיעוד הבקרות בארגון, הצגה מורחבת בדוח של התהליכים הנתמכים על ידי לשכת השירות, אופן הטיפול והעיבוד של תהליכים אלו, הצגת שינויים בבקרות בלשכת השירות לאורך תקופת הדוח. משמע, SSAE-16 מחייב את הארגון לעדכן ולדווח על כל התפתחות לאורך התקופה הנבדקת ולא רק להציג את הבקרות כפי שהיו בסיום התקופה.
אתה יכול להיות יותר ספציפי?
כן.
אם עד עכשיו SAS-70 דרש הצגת חוות דעת של מבצע הביקורת על התהליכים הנבדקים התקנים החדשים דורשים בנוסף, הצהרה בדבר נאותות תכנון ואפקטיביות הבקרות בשירות הניתן ע"י לשכת השירות, מצד הנהלת לשכת השירות עצמה. משהו שמזכיר את הצהרת ההנהלה הנדרשת לפי תקנות גושן. בפועל זה אומר יותר אחריות של ההנהלה וכתוצאה ישירה מכך- הגדלת הפיקוח באופן משמעותי והקטנת הסיכון לטעות בדוחות הכספיים.
שינוי נוסף נוגע בתחולת הבדיקות. תקן SAS-70 הפנה לטיפול בבקרות הרלוונטיות לדיווח הכספי, תקן SSAE 16 מאפשר לבחון בקרות נוספות שאינן משפיעות באופן ישיר על הדיווח הכספי ובכך נותן פתח ללקוחות לשכת השירות לבחון באופן מדוקדק יותר את התשובה לשאלה האם מסגרת הבקרה של לשכת השירות מספקת ולשפוך אור על איכות תפקוד לשכת השירות.
תיאור הבקרות לעומת תיאור ה-"מערכת"
תקן SAS-70 דרש תיאור הבקרות של לשכת השירות ולא תיאור של המערכת עצמה- דרישה תלושה מעט בהתחשב בעובדה שקורא של דוח SAS-70 מתקשה לגבש תמונה סבירה של המערכת עצמה ולכן גם הבנתו לגבי בקרות המערכת היא מוגבלת ושטחית. התקנים החדשים דורשים תיאור של השירות שניתן על ידי לשכת השירות, תיאור התהליכים שעומדים בבסיס השירות שניתן, נהלים, כוח אדם ובמילים אחרות מדובר על היכרות מעמיקה יותר של הלשכה. הדיווח החדש יוביל ללא ספק להשקעת משאבים גדולה יותר של הגוף המבוקר.