SAS 70
מתוך ויקיפדיה, האנציקלופדיה החופשית
בבחינת ביקורת חשבונות, ביקורת מערכות מידע וביקורת פנימית, SAS 70 הוא תקן חשבונאי בינלאומי שפותח על ידי ארגון העל של רואי החשבון האמריקאים (AICPA). מקור שמו של התקן טמון בשמו המלא (Statement on Auditing Standards) ובמספר התקן. התקן פורסם לראשונה באפריל 1992 ומתייחס לארגונים נותני שירות (ארגונים הנדרשים לדווח בדוחותיהם הכספיים על עסקאות אשר טופלו בידי צד ג'), להבדיל מספקים (שאינם נדרשים לדווח על עסקאות אלו).
בשונה מתקני בקרה ופיקוח פנימיים אחרים, SAS 70 מעניק לארגון ולמבקרים את הביטחון כי הארגון נותן שרות מיישם וחושף את הביקורת הפנימית של הארגון.
תוכן עניינים |
[עריכה] שיטות
ביקורת SAS 70 נעשית על ידי רואה חשבון מוסמך או חברת ראיית חשבונות מוסמכת בלבד. חברות אלו נדרשות להצמד לתקנים מקצועיים מסוימים שהוכנסו לשימוש על ידי AICPA. את הביקורת חובה לבצע בכל העולם אם הארגון היא חברה רב-לאומית. תקני דיווח דומים קיימים במדינות אחרות, כגון תקן FRAG 21 בבריטניה.
את הביקורת נוהגים מרבית הארגונים לבצע באופן חלקי או מלא בכל סוף שנה פיסקלית כהכנה לקראת הביקורת השנתית.
[עריכה] דו"ח ביקורת
תוצאות ביקרות SAS 70 מוצגות בדוח רשמי הקרוי SAR (Service Auditor's Report). מאז שנת 2006 ישנם שני סוגי דוחות, הקרויים לרוב 'דו"ח סוג אחד' ו-'דו"ח סוג שני'.
דו"ח סוג אחד מעניק תיאור של הבקה והפיקוח בארגון נותן שירות בנקודת זמן מסוימת. לעומתו, דו"ח סוג שני מעניק ביטחון לניתוח היעילות הארגונית בתחום הבקרה והפיקוח עבור תקופה מסוימת.
את הליכי הבדיקות בדוח סוג שני יש לבצע עבור תקופה הארוכה משישה חודשים.
דו"ח הביקורת כולל את המידע הבא:
- חוות דעת בלתי תלויה של רואה חשבון (מן תמצית מנהלים הנותן חוות דעת כללית)
- תיאור של הבקרות והפיקוח בארגון נותן השרות כפי שנמצא במהלך הסקירה
- מידע שמקורו מרואה החשבון; בדו"ח סוג שני כלול תיאור של תוצאות ניתוח היעילות באמצעות הליכי הבדיקות
- מיד נוסף (כגון מונחון) (במידת הצורך)
בנוסף, על הדו"ח לאמוד ארבעה נקודות ראשיות:
- האם תיאור הבקרה והפיקוח בארגון נותן השירות מוצג באופן הוגן.
- האם הבקרה והפיקוח בארגון נותן השירות מעוצבים בצורה יעילה.
- האם מיישמת ארגון נותן השירות את הבקרה הפנימית שלה, נכון לתאריך מסוים.
- האם פועלת ארגון נותן השירות ביעילות תפעולית במהלך תקופה מסוימת. (עבור דוח סוג שני בלבד)
[עריכה] אובייקטיביות
אף שארגונים רבים בעולם, בהם חברת טבע הישראלית מבצעות ביקורת SAS 70 באופן שגרתי, האובייקטיביות של הדו"ח שנויה במחלוקת. בביקורת זו בוחנת הארגון את הבקרה והפיקוח שלה עצמה, ובודקת האם הבקרה יעילה והאם אכן מבוצעת בפועל. אולם, אין הביקורת מעידה על מדיניות יעילה (לעומת ביצוע יעיל של מדיניות קיימת) בתחומים מסוימים, דבר אשר אינו משפיע לרעה על הביקורת. לדוגמה, אם לארגון אין מדיניות אבטחה המכסה תחומים מסוימים, או אם יש לה מדיניות מקלה (כגון ארגון שאין לו מדיניות המונעת פריסת מחשבים עם הגדרות ברירת מחדל וסיסמאות ברירת מחדל), דו"ח ביקורת SAS 70 יכלול חוות דעת אוהדת כיוון שפעילות הפיקוח והבקרה (אין) תואמת למדיניות הבקרה (אין).
[עריכה] Sarbanes-Oxley Act ו-SAS 70
הדרישות ב-SAS 70 הפכו למעט מיושנים עם הצגתו של חוק Sarbanes-Oxley Act וסעיף 404 (גילוי ביקורת הפנימית - Internal Control Disclosure) לחוק זה, כיוון שחוק תמיד יהא חזק יותר מהנחיה סמכותית. יחד עם זאת, ביקורות SAS 70 עדיין מהוות מוקד לעניין מאחר שהן מתייחסות באופן ספציפי לארגונים נותני שירות, בעוד המסגרת של SOX 404 כללית יותר.
[עריכה] קישורים חיצוניים
- ערך מוסף 77 של חברת ראיית החשבונות Deloitte (PDF)
- אגרת ינואר 2006 של חברת ראיית החשבונות PriceWaterhouseCoopers (קלסמן וקלסמן רואי חשבון בישראל) (PDF)

