“SAS70认证验证了Sabrix公司作为可信赖的注册税务服务外包机构，其运营控制严格遵循萨班斯法案。”

至本文截稿时，这段声明仍然保留在Sabrix（税务管理软件运营商）公司的网站上，这也是软件运营商和其他第三方服务机构的典型托词。他们以此来强调SAS70审计报告的重要性。

然而审计人员和准则制定机构都发出警告：这样的描述曲解了SAS70审计准则。当商人们习惯性地夸大各种外部认证的价值时（从十佳汽车到最佳雇主的各种认证），企业IT业务的决策者必须弄清第三方服务提供商的真实运营能力。随着软件运营商和云计算服务的加速发展，这点显得越来越重要。

“SAS70审计”检查的是服务机构对业务流程和运营系统的内部控制，这对于客户财务报告的准确性有重大影响。越来越多的服务机构宣扬自己获得了标准SAS70审计报告，审计机构和美国注册会计师协会（AICPA）为此深表担忧：这种对SAS70及审计报告的误解会让审计过失背负SAS70准则范围之外的指责与诉讼。

作为哈比夫?阿欧盖提?温妮会计公司（注）的合伙人和美国注册会计师协会信息技术执行委员会的主席，丹?司考瑞德（Dan Schroeder）说，服务机构的做法是严重的过度包装。

正常的SAS70审计报告有两种形式，其一是仅描述所提供的服务，以及相应的财务控制。其二，除了上述描述，还应加上一个审计意见：是否可以合理地保证内部控制在确定的期间内有效运行。这正是目前争论的焦点所在。除上述两点之外，任何对于SAS70审计的夸大都是无效的。

SAS70审计报告只在接受软件运营服务的客户和该客户的审计师之间使用，供他们去评价业务外包职能的控制。软件运营商则试图证明SAS70审计报告对于潜在客户也具有同样的价值。美国注册会计师协会执业准则与服务部门的副主管昌卡?兰德斯（Chuck Landes）认为，这种证明根本站不住脚。

审计师的担心

尤其令审计师担心的是“SAS70认证”或“遵循SAS70”等词汇的滥用。某服务运营机构自愿进行SAS70审计，但对于具体内容却没有任何标准。昌卡?兰德斯如此评价：当某人说通过了SAS70认证，他们都不知所谓。

关于这种语言表述的争议，Sabrix公司认为，他们所说的“SAS70审计”意思是保证有审计机构进行内控检查。业内还同时存在着多种类似的表述。作为最大和最成功的财务软件运营商之一的NETSUITE公司，七月份在其网站将“SAS70认证”解释为被审计的服务性机构“IT技术与业务流程的控制通过严格的审计”，客户的数据“永续备份并安全储存”，并且“现在和将来”都提供可靠的服务。

即使以上有关审计的结论都是真实的，丹?司考瑞德注意到结论仍然夸大了“SAS70审计”的实质意义：仅仅拥有一份审计报告并不能反向推断过去的审计是被严格执行的，审计师不会使用“所有”和“永远”这类词汇（其中隐含了保证的意思），并且SAS70审计意见书明确了审计师不会作任何前瞻性的表述。

当《CFO》杂志就此展开调查时，NetSuite公司公司很快改变言论，并将其表述为“通过了控制环境的独立审计”。丹?司考瑞德对此表态：他们说对了！而NetSuite公司的营销总监戴维?唐宁（David Downing）表示，公司会对不当表述进行更正，同时也希望美国注册会计师协会就如何理解与执行SAS70审计准则提供指导。

狂热的市场

实际上审计行业也需要承担SAS70被误用的部分责任。云安全协会（Cloud Security Alliance）的执行长吉姆瑞维斯（Jim Reavis）认为，审计师在默许这一切的发生。审计师其实明白云计算提供商的如意算盘，而审计师自身的商业机会也有待拓展，这种合谋备受指责。

事实上，经常有服务业客户要求丹?司考瑞德出具超出SAS70范围的审计报告。甚至那些提供的服务根本不会影响客户财务报告的服务性机构，如人力资源外包服务和通讯软件服务机构，也尝试甚至成功地获得了SAS70审计报告。丹?司考瑞德认为出具审计报告的审计师没有尽到职业责任。

SAS70准则可以追溯到1993年，但是它如此炙手可热还是自2002年萨班斯法案出台以后。自此，SAS70审计成为公司合理证明为其提供财务数据服务的机构具备有效的内部控制的方式之一，这使得多数公司将通过SAS70审计列入其对服务提供商的检查清单。

随着软件服务运营商和云计算提供商的迅速增长，人们开始更多地关注SAS70审计报告内外的事情。不仅是服务机构和审计师应该认识到这一点，客户更应该如此。

AICPA高级技术推广部门的副主席乔尔?兰斯（Joel Lanz）是一位给银行提供技术风险管理、IT审计、数据安全服务的注册会计师。他认为SAS70不应该取代过去行之有效的尽职调查，CFO们应该明确知道这点。但是多数公司尤其是小型公司，没有对服务提供商进行有效的尽职调查，而是采取更为简便的措施。

乔尔?兰斯强调，尽职调查已经超出了SAS70审计所涵盖的财务内部控制检查的范围。即使SAS70审计得到正确执行，其审计范围仍然没有包括公司敏感信息的安全性和顾客数据的隐私性。尽管服务机构会做这样那样的宣传或暗示，顾客隐私的控制仍然不属于SAS70审计的范围。

针对以下范围的内部控制，如数据安全、流程健全、客户隐私、机密信息、确保系统不会影响服务使用者财务报告准确性的能力，这些由称为“信任服务”（Trust Services）鉴证的方式来检查更为正确。美国注册会计师协会的昌卡?兰德斯说，自从2003年可信任服务鉴证变得具备实际操作性以来，只有极少的美国服务性机构选择这项鉴证服务。美国注册会计师协会期望在下一年度采取切实措施，以减少SAS70审计实务领域的混乱。详情见下文。

SOC的出现

让我们忘记市场推广者的夸夸其谈，服务性机构会很快停止谈论SAS70审计，因为SAS70将于明年6月被SSAE16准则所取代。即鉴证服务审计准则第16项，服务性机构控制鉴证报告。(SSAE16，Statementon Standards for Attestation Engagements No.16，Reporting on Controls at a Service Organization)

SSAE16将部分业务从SAS70中区分出来，但它的关注范围仍然是服务性机构的系统与流程所应有的内部控制，这些控制会影响到客户财务报告准确性。

此项改变主要是受到美国与国际会计审计准则趋同工作的推动，而AICPA也期望能借此消除此类审计中的混乱。

美国注册会计师协会审计标准委员会制订了新的体系，称为服务性机构控制体系鉴证（SOC，Service Organization Controls），这一体系包括了三种类型的报告：

SOC1，与SSAE16相同，由服务性机构提供详尽的内部控制描述（与财务相关部分），审计师对此进行鉴证。与SAS70一样，SOC1鉴证报告也是严格限制使用范围的报告：仅供服务性机构的客户与这些客户的审计师使用。

SOC2，这部分还在发展完善中。它是关于服务机构对其数据安全、客户隐私、机密信息、可实现性、流程健全的控制措施的详细检查。审计师可以决定是否限定审计报告的使用范围，这取决于审计报告是否与社会公众或现有客户息息相关。

SOC3，就是极为少见的信任服务（Trust Services）鉴证，它同样包括SOC2中的五项非财务类控制。但是SOC3不再基于详细的管理鉴证，审计师更加关注服务性机构是否符合相关控制环境的通用标准。它将提供可信任性的系统保证，这非常类似于可用于市场推广目的的通用认证，审计报告也可以向社会公开。

昌卡?兰德斯认为，一旦生效，SOC将提供更多的业务选择，这将会极大地改善审计市场。

但是这些措施也不能阻止服务性机构将针对SOC1、SOC2报告进行的夸大化宣传，就象他们已经对SAS70所做的一样。

真正改善这种情况的唯一有效办法就是那些商人们深刻理解这些词汇到底意味着什么——丹?司考瑞德

SOC的执行将起到很强的示范作用，但在改变现实之前仍有大量的工作要做。——《CFO》杂志社戴维?麦凯恩（David McCann）

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。