SAS 70

SAS 70 הוא תקן ביקורת שפותח על ידי AICPA (American Institute of CPAs - ארגון רואי החשבון האמריקאים). התקן, שפורסם לראשונה באפריל 1992, מתמקד בבקרות פנימיות של ארגונים נותני שירות. נותני שירות הם חברות שמבצעות עבודה עבור חברות אחרות, לעתים באמצעות מיקור חוץ (outsourcing, העברת פעילות לחברה חיצונית).

SAS 70 נותן ללקוחות ולמבקרים ביטחון בכך שנותן השירות מיישם עקרונות נאותים של בקרה פנימית. החל מ-2011 הוחלף SAS 70 בתקנים חדשים, בעיקר SSAE 16 (תקן הערכה שנועד להחליף את SAS 70).

ביקורת לפי SAS 70 מבצעים רואי חשבון, לעיתים בעזרת מומחי מערכות מידע. הבודקים פועלים לפי תקנים מקצועיים של AICPA. חברות רב-לאומיות וחברות הנסחרות בבורסות ארה"ב מחויבות לעיתים לעמידה בתקנים אלה. בארגונים רבים הביקורת מבוצעת בסוף השנה הפיסקלית כהכנה לבדיקה השנתית.

תוצאות הביקורת מתפרסמות בדו"ח שנקרא SAR (Service Auditor's Report). מאז 2006 קיימים שני סוגי דוחות עיקריים: Type I ו-Type II. דו"ח Type I מתאר את מערכות הבקרה בנקודת זמן מסוימת. דו"ח Type II בודק גם את היעילות של אותן בקרים לאורך זמן, ולרוב דורש בדיקות לתקופה הארוכה מ-6 חודשים. הדו"ח כולל מידע על הבקרה ועל הערכות לגבי נקודות חשובות בתהליכים.

אובייקטיביות הדו"ח שנויה במחלוקת. פעמים רבות הארגון מעריך את הבקרה שלו עצמו, וזה עלול להניב חוות דעת אוהדת. לדוגמה, אם לארגון אין מדיניות אבטחה רחבה, או שהוא מאפשר התקנת תוכנות עם סיסמאות ברירת מחדל, הדו"ח עלול עדיין להיראות חיובי, כי הפעולות שבוצעו מתאימות למדיניות הקיימת (אפילו אם היא דלה).

הצגת חוק סרבנס-אוקסלי (Sarbanes-Oxley) ובייחוד סעיף 404 שינתה את המסגרת החוקית. SOX404 דורש גילוי ובחינה של בקרות פנימיות. לכן חלק מהדרישות ב-SAS 70 הפכו לפחות מרכזיות. עם זאת, SAS 70 נשאר חשוב כי הוא מתמקד במיוחד בארגונים שנותנים שירותים לאחרים.

מילות מפתח: SAS 70 AICPA בקרות פנימיות נותני שירות SSAE 16 SAR Type I Type II

SAS 70 הוא כלל לדיווח ובדיקה של בקרים בארגונים. AICPA הוא ארגון רואי חשבון אמריקאי. התקן יצא ב-1992.

התקן עוסק בעיקר בחברות שנותנות שירות לחברות אחרות. מיקור חוץ פירושו: חברה חיצונית עושה עבודה במקום הלקוח.

SAS 70 עוזר ללקוחות להבין אם נותן השירות שומר על סדרים ובקרה פנימית. ב-2011 הוחלף חלקו על ידי תקן חדש בשם SSAE 16.

את הביקורת עושים רואי חשבון ולעיתים גם מומחי מחשבים. חברות שמופעלות במדינות רבות או נסחרות בארה"ב נדרשות לעמוד בסטנדרטים.

התוצאות מופיעות בדו"ח שנקרא SAR. יש שני סוגי דו"חות: Type I ו-Type II. Type I מתאר מצב בנקודת זמן. Type II בודק אם הבקרים עבדו לאורך זמן. Type II דורש בדיקות ליותר משישה חודשים.

לפעמים קשה להיות נייטרלי. הארגון עשוי לבדוק את עצמו. אם אין כללי אבטחה, הדו"ח עדיין עלול להראות טוב, כי הוא משקף את מה שקיים.

חוק סרבנס-אוקסלי בארה"ב דרש בדיקות בקרה רחבות יותר. בגלל זה חלק מהדרישות השתנו. עם זאת, התקן עדיין חשוב לחברות נותנות שירות.

מילות מפתח: SAS 70 AICPA נותני שירות בקרה פנימית SAR Type II

תגובות גולשים

עדיין אין תגובות. היה הראשון להגיב!

תגובות גולשים

סטטיסטיקות מאמר

מאמרים קשורים