SAS70 en de internal auditor, IIA practice advisory,
Wet- en regelgeving eisen in toenemende mate van ondernemingen dat zij
aantoonbaar in control zijn. Voor service providers geldt deze eis sec, maar ook dat zij gebruikers organisaties ervan moeten overtuigen dat zij "In Control" zijn. Bij het onderling vragen en afleggen van verantwoording over de kwaliteit van het “in control” zijn, is het SAS70 rapport (inmiddels omgenummerd naar AU Section 324:
Service Organizations) nieuw leven ingeblazen. Van oorsprong strikt gekoppeld aan de jaarrekeningcontrole, wordt het SAS70 rapport tegenwoordig ook gebruikt wanneer de relatie met de jaarrekening beperkt is en in uiterste gevallen gebruikt of
“misbruikt” als kwaliteitscertificaat.
Kennis van de (on)mogelijkheden van het gebruik van een SAS70 rapport, kennis van de organisatie en zijn/haar vaktechnische achtergrond maken de internal auditor de aangewezen partij om het management van zowel de gebruikersorganisatie als de service provider te ondersteunen in een SAS70 traject.
In de practice advisory worden de verschillende rollen beschreven waar aan de internal auditor invulling kan geven, bij zowel de gebruikersorganisatie als de service provider.
De practice advisory is bedoeld voor een brede kring van internal auditors: voor de beginnende auditors een handzame introductie op het gebied van SAS70, de
(enigzins) ervaren internal auditors zullen de praktische vraagstukken en uitdagingen herkennen.
De practice advisory "SAS70 en de internal auditor" is het resultaat van een
vaktechnisch project onder de verantwoordelijkheid van de Commissie Vaktechniek van het IIA Nederland en tot stand gekomen door onderzoek en afstemming van kennis en visie met beroepsgenoten.