De regels kennen en goed toepassen. Dat is vaak het verschil tussen winst en verlies. Jeroen van Schajik van BDO beantwoordt acht vragen over de assurance bij uitbesteding van IT aan serviceorganisaties.
Waarom is dit juist nu een hot item?
De verantwoordelijkheid bij uitbesteden is natuurlijk altijd hot. Maar nu is het extra actueel vanwege cloudcomputing en de wens van organisaties om de IT niet langer binnen de eigen organisatie te hosten. Wetswijzigingen in de Wet bescherming persoonsgegevens en de Meldplicht Datalekken maken het daarnaast nog belangrijker zekerheid te krijgen over uitbestede diensten.
Bij wie ligt de verantwoordelijkheid bij uitbesteding?
Als u taken uitbesteedt aan een serviceorganisatie blijft u zelf verantwoordelijk voor het toepassen van de wet- en regelgeving daaromtrent. Toezichthouders eisen van u dat u ‘in control’ bent, ook op dat punt. Als uitbestede taken een relatie hebben tot de jaarrekening, zal ook de accountant daar bij controles naar vragen. Klanten van de serviceorganisatie moeten daarom kunnen aantonen dat zij de uitbestede processen beheersen. Die zekerheid geeft de assurancerapportage.
Wat is het doel van assurancerapportages bij uitbesteding?
Assurancerapportages over uitbesteding zijn er in verschillende verschijningsvormen. De bekendste zijn de ISAE 3402 en de ISAE 3000, vaak ook aangeduid als Third Party Memoranda. Deze hebben een gezamenlijk doel: ze gaan over de interne beheersingsmaatregelen die de serviceorganisatie treft voor de dienstverlening aan klanten. Zulke rapportages geven management, accountants en toezichthouders zekerheid over de uitbesteding en geven informatie over de mate van beheersing van risico’s bij de uitbestede dienst.
Waarover gaan de verschillende rapportages?
Dat verschilt. Een ISAE 3402-rapportage, ook wel aangeduid als SOC 1 (Service Organization Control) rapportage, mag alleen rapporteren over de interne beheersing met betrekking tot de financiële verslaggeving. Denk hierbij aan salarisverwerking, pensioenuitvoerders of vastgoedbeheerders. Voor rapportages over de interne beheersing met betrekking tot andere zaken dan financiële verslaglegging kan een ISAE 3000- of een SOC 2-rapportage-uitkomst bieden. Een ISAE 3000-rapportage is vormvrij: de uitbestedende partij bepaalt in overleg met de gebruikers van de rapportage de scope waarover wordt gerapporteerd. Bijvoorbeeld bij DigiD-assessments of onafhankelijke evaluaties van MVO-verslagen. Een SOC 2-rapportage is een nieuw type rapportage dat specifiek gaat over de interne beheersing van IT en specifiek bedoeld is voor IT serviceorganisaties. En dankzij een vast kader zijn de uitkomsten onderling vergelijkbaar.
Waar komt SOC 2 vandaan?
Tot voor kort werden veel ISAE 3402-rapportages uitgebracht met een bredere scope dan de interne beheersing met betrekking tot financiële transactieverwerking. Door het ontbreken van een specifieke standaard voor IT-uitbesteding en omdat ISAE 3402 een bekende standaard was (en is), kozen veel IT-serviceorganisaties voor een ISAE 3402-rapportage in plaats van een ISAE 3000. Juist door de toename van uitbesteding van gegevensverwerking en cloudcomputing en het belang om hierover zekerheid te verkrijgen, is een internationale standaard ontwikkeld voor de rapportage over IT-outsourcing. Een eenduidige, wereldwijd aanvaarde, uniforme, makkelijk te interpreteren rapportage specifiek voor IT-serviceorganisaties: dat is een SOC 2-rapport.
Wat houdt dat ‘vastomlijnde kader’ in?
Een SOC 2-rapportage vermeldt de specifieke beheersingsdoelstellingen met betrekking tot de kwaliteitsaspecten beveiliging, beschikbaarheid, integriteit en/of vertrouwelijkheid van geautomatiseerde gegevensverwerking. Het is aan de serviceorganisatie (en uiteraard haar klanten) om te bepalen over welke van deze principes assurance wordt verleend. Klanten van een cloud-serviceprovider zullen bijvoorbeeld zekerheid vereisen over beveiliging, beschikbaarheid en vertrouwelijkheid. Een softwareleverancier die producten op basis van een licentiemodel en niet ‘in service’ aanbiedt, zal alleen zekerheid willen geven over de integriteit van de gegevensverwerking.
Dus wat is het voordeel van SOC 2?
Herkenbaarheid en vergelijkbaarheid. Dankzij het vaste kader weet elke gebruiker van het rapport wat hij ervan mag verwachten. Bovendien is de reikwijdte breder dan alleen financieel, en kent de SOC 2 een bredere verspreidingskring dan de ISAE 3402. En: op basis van de SOC 2 is het mogelijk om een verkorte versie te maken voor publieke doeleinden: de SOC 3.
Sluit de ene assurancerapportage de andere uit?
Nee, want SOC 1 en SOC 2 hebben zoals gezegd een andere scope. Het kan zijn dat een serviceorganisatie assurance wil geven over de interne beheersing van de financiële verslaggeving én over de IT-diensten in brede zin. Dan is een combinatie van beide rapportages mogelijk, waarbij beide rapportages elkaar aanvullen.
