Na początku lat dziewięćdziesiątych ubiegłego stulecia w Stanach Zjednoczonych rozpoczęto debatę na temat bezpieczeństwa outsourcingu oraz sposobów zapewnienia, że wydzielone funkcje biznesowe są odpowiednio kontrolowane przez zewnętrznego dostawcę. Była ona odpowiedzią na szybki rozwój outsourcingu, czemu sprzyjały postępujące trendy globalizacyjne, dążenie do koncentracji na podstawowej działalności oraz presja na redukcję kosztów i centralizację funkcji biznesowych. W rezultacie amerykański instytut audytorów (AICPA – American Institute of Certified Public Accountants) opublikował standard SAS 70.

Raport SAS 70 zawiera opis środowiska kontroli wewnętrznej, zarządzania ryzykiem, kluczowe mechanizmy kontrolne, opis systemów i zakresu świadczonych usług. Już te informacje są niezwykle cenne dla klientów, bowiem dają zrozumienie i pozwalają ocenić jakość oraz poziom dojrzałości organizacji świadczącej usługi outsourcingowe. Dodatkowo informacje zawarte w raporcie oraz skuteczność wdrożonych mechanizmów kontroli wewnętrznej i zarządzania ryzykiem podlegają badaniu przez niezależnego audytora, który wydaje opinię na temat rzetelności opisu procesów i kontroli w centrum usług, ich wdrożenia na określoną datę oraz czy mechanizmy kontrolne i czynności zarządzania ryzykiem działały skutecznie w badanym okresie.

Obecnie raport SAS 70 jest najbardziej znanym standardem na świecie regulującym kwestie raportowania i komunikacji o tym, że kontrole wewnętrzne nad procesami i systemami są odpowiednio zaprojektowane i działają efektywnie w dobrze kontrolowanym środowisku. Raport jest wykorzystywany zarówno przez kierownictwo jednostek świadczących usługi (takich jak usługi centrum danych, rozwoju i utrzymania aplikacji IT, finansowo-księgowe, agenta transferowego, depozytariusza, kadrowo-płacowe, zarządzania łańcuchem dostaw i inne), jak też przez klientów korzystających z zewnętrznych usług.

 

Na rynku polskim zainteresowanie raportem SAS 70 ciągle rośnie. Pojawia się wiele zapytań o raport SAS 70 od spółek zajmujących się outsourcingiem płac. Motywowane było to faktem, że jednym z wymagań zapytań ofertowych od polskiego oddziału międzynarodowej korporacji o usługi dotyczące naliczania płac było posiadanie raportu SAS 70. Kolejna historia to przykład spółki zajmującej się m.in. outsourcingiem procesów finansowo-księgowych. Podczas wielu rozmów o SAS 70 kierownictwo nie widziało potrzeby przeprowadzania takiego audytu. I tutaj zdarzył się ciekawy przypadek – pojawiło się pytanie od klienta tej organizacji o termin dostarczenia raportu SAS 70, co jak się później okazało, było wymogiem podpisanej już umowy na świadczenie usług. Innym przykładem jest historia dwóch spółek z branży logistycznej, zarządzających częścią łańcucha dostaw swoich klientów. Spotkały się one również, zupełnie niezależnie, z pytaniami o posiadanie raportu SAS 70 od potencjalnych klientów, którzy jako warunek konieczny do udziału w przetargu wskazali posiadanie raportu SAS 70.

Trzeba sobie jednak powiedzieć otwarcie, że z raportu SAS 70 korzystają w naszym kraju przede wszystkim spółki najbardziej świadome korzyści i organizacje międzynarodowe. Postawa polskich organizacji jest w dużej mierze pasywna. Reagują one często jedynie w przypadku pojawienia się bodźców zewnętrznych. Tymczasem przygotowanie do przeprowadzenia audytu SAS 70 z wynikiem pozytywnym wymaga istotnego zaangażowania czasowego i jest najbardziej efektywne, gdy rozpoczyna się w momencie podjęcia przez klienta decyzji o outsourcingu.

Wśród najczęściej obserwowanych powodów zainteresowania raportem SAS 70 na polskim rynku ze strony dostawców usług są przede wszystkim wymagania ich klientów lub potencjalnych klientów. Na etapie zbierania ofert pytają oni, czy potencjalny dostawca ma taki raport lub zobowiązuje się do jego okresowego dostarczania. Ponadto w niektórych sektorach posiadanie raportu SAS 70 zaczyna być standardem i swego rodzaju normą, a jego brak jest postrzegany jako słabość danej organizacji w porównaniu z konkurencją, zwłaszcza tą międzynarodową. Coraz częściej obserwujemy również – i jest to bardzo pozytywny sygnał – że zainteresowanie raportem SAS 70 wynika z troski o stan środowiska, kontroli wewnętrznej i dążenia do jego uporządkowania w okresie dynamicznego wzrostu organizacji.