SAS 70

SAS 70 הוא תקן חשבונאי בינלאומי שפותח על ידי ארגון רואי החשבון האמריקאים (AICPA), ועוסק בנושאי ביקורת חשבונות, ביקורת מערכות מידע וביקורת פנימית. שם התקן משקף את שמו המלא (Statement on Auditing Standards) ומספרו. התקן פורסם לראשונה באפריל 1992 ומתייחס לארגונים נותני שירות, כאלה שפעילותם, בצורה כלשהי של מיקור חוץ, משפיעה על הבקרה הכספית של לקוחותיהם, ולכן הלקוחות נדרשים לבקרה על אמינותם של נותני שירות אלה במסגרת הבקרה הפנימית של הלקוחות. נותני שירות כאלה הם חברות ביטוח, חברות אשראי, לשכות שירות למחשבים ודומה.

SAS 70 מעניק ללקוחות ולמבקרים את הביטחון כי נותן שרות מיישם עקרונות נאותים של ביקורת פנימית.

החל משנת 2011 החליף תקן חדש נרחב יותר בשם SSAE 16‏ (Statement of Standards for Attestation Engagements No. 16) את SAS 70.[1]

שיטות

ביקורת SAS 70 נעשית על ידי רואי חשבון, המסתייעים במומחים נוספים, כגון מבקרי מערכות מידע. המבקרים נדרשים להצמד לתקנים מקצועיים שהוכנסו לשימוש על ידי AICPA. תאגידים רב-לאומיים נדרשים לתקן זה בכל מדינות פעילותם, וחברות הנסחרות בבורסות ארצות הברית חייבות אף הן בתקן זה, גם כאשר מרכזן נמצא מחוץ לארצות הברית. תקני דיווח דומים קיימים במדינות אחרות, כגון תקן FRAG 21 בבריטניה.

את הביקורת נוהגים מרבית הארגונים לבצע באופן חלקי או מלא בכל סוף שנה פיסקלית כהכנה לקראת הביקורת השנתית.