Als u it-diensten uitbesteedt dan wilt u garanties dat de leverancier beheersmaatregelen heeft genomen om risico's te beperken. Andre Salomons geeft in zijn opinie van 13-12-2011 terecht aan dat er op dit moment weinig providers zijn die officieel gecertificeerd zijn via een SAS 70 of ISO 27001 audit. Er is nog veel onbekendheid bij klanten en leveranciers. Waar is het voor nodig, wat komt er bij kijken en hoe veel tijd en geld kost het allemaal?
Steeds meer bedrijven besteden delen van hun activiteiten uit aan leveranciers, zoals cloud computing providers. De uitvoering van de activiteiten worden uitbesteed maar het management van de gebruikersorganisatie blijft wel eindverantwoordelijk voor het resultaat. Met een SAS 70/ISAE3402 verklaring van een onafhankelijke auditor kan een leverancier aantonen dat er beheersmaatregelen genomen zijn om de risico's voor de eindgebruiker te beperken. SAS 70 is per 15 juni 2011 vervangen door de internationale standaard ISAE3402 (isae3402.com).
ISAE3402 is vrijwel gelijk van opzet aan SAS 70, met het verschil dat het management een persoonlijke verklaring afgeeft dat zij verantwoordelijk is voor de beheersmaatregelen. Bij een Type I verklaring wordt gecontroleerd of beheersmaatregelen bestaan en werken. Dit is een momentopname. Bij een Type II moet via steekproeven ook worden aangetoond dat deze over een langere periode effectief zijn geweest. Maar wat moet je als leverancier nu precies allemaal doen?
Hier volgt een kort overzicht van de verschillende stappen in dit proces op basis van eigen ervaring met het afronden van een audit voor de onlangs ingevoerde ISAE3402 Type II standaard:
1. Bepalen van de scope van de audit. Dit kan bijvoorbeeld een deelactiviteit zijn zoals 'processen rond de salarisverwerking' of meer algemeen 'development en hosting van een SaaS-platform voor facility management'.
2. Analyse van risico's die hier aan verbonden zijn voor de klant. Bijvoorbeeld het niet beschikbaar zijn van het platform, zoekraken van gegevens of niet-geauthoriseerde toegang tot gegevens.
3. Opzetten van Standaard Operating Procedures (SOPs) en it-beheerssystemen om deze risico's te beheersen. Dit kan bijvoorbeeld door gebruik te maken van standaard workflows en een ITIL-gebaseerde omgeving voor het beheren van de infrastructuur en release processen.
4. Opstellen van een rapport met beschrijving van de organisatie, services, risico's en beheersmaatregelen. Er zijn hier een aantal verplichte secties die door de leverancier vrij ingevuld kunnen worden.
5. Keuze van een gecertificeerde auditor en eventueel uitvoeren van een pre-audit en review van het concept rapport. De omschrijving van de beheersmaatregelen kunnen eventueel aangepast worden of er kunnen extra maatregelen toegevoegd worden.
6. Uitvoeren van de audit door de auditor. Afhankelijk van een Type I- or Type II-verklaring neemt dit een paar dagen tot een week in beslag. Voor elke maatregel moet bewijsmateriaal geleverd worden. Bij een Type II verklaring worden steekproeven over de afgelopen 6 maanden genomen.
7. Opstellen van een verklaring door de auditor. Indien er bevindingen zijn, bijvoorbeeld als bepaalde maatregelen niet effectief geweest zijn, worden deze in het rapport opgenomen.
Het hele proces duurt dus minstens enkele maanden en kost al snel enkele tienduizenden euro's aan interne uren, begeleiding, advieskosten en auditor kosten. Tijd en kosten zijn uiteraard afhankelijk van de scope van de audit en de reeds geimplementeerde procedures en systemen. De vraag is of deze tijd en geld niet beter besteed kan worden aan productontwikkeling en marketing. Dit is uiteindelijk een strategische beslissing en ook afhankelijk van de ontwikkelingsfase waarin een onderneming en de doelgroep zich bevinden. Voor een startup met focus op mkb of consumenten is het wellicht minder relevant. Het behalen van een certificaat heeft uiteraard ook voordelen:
1. Door het hele proces wordt je als leverancier gedwongen om alle risico's regelmatig te analyseren en procedures en systemen te reviewen en bij te stellen. Medewerkers krijgen een groter kwaliteitsbewustzijn doordat het management via certificatie aangeeft dat risciobeheersing belangrijk is voor de organisatie. Uiteindelijk verbeter je hiermee de kwaliteit van de dienstverlening.
2. Organisaties die moeten voldoen aan de Sarbanes-Oxley Act (SOX compliance) zijn verplicht om bij de leverancier zelf een evaluatie van de beheersmaatregelen uitvoeren als er geen ISAE3402 verklaring aanwezig is. Dit geldt voor alle ondernemingen die geregistreerd zijn bij de Securities and Exchange Commission (SEC). Door je als leverancier te laten certificeren verlaag je de kosten en risico's voor de klant en kun je het sales proces versnellen.
3. Klanten zullen bij de keuze tussen systemen met vergelijkbare functionaliteit waarschijnlijk de voorkeur geven aan een leverancier die gecertificeerd is. Niet alleen omdat deze leverancier zaken waarschijnlijk beter op orde heeft, maar ook om dat de beslissingnemer hiermee naar zijn management, aandeelhouders of raad van toezicht voorzichtigheid en zorgvuldigheid toont.
Uiteraard geeft een certificaat geen garantie dat er niets mis kan gaan. Er is wel garantie dat de leverancier hier in ieder geval goed over na heeft gedacht, maatregelen heeft genomen en dat een onafhankelijke derde partij met kennis van zake hier naar gekeken heeft.
Beste Maarten,
Vooral dit vond ik een interessante zin in je artikel: “De vraag is of deze tijd en geld niet beter besteed kan worden aan productontwikkeling en marketing.” Het klopt dat je een goede afweging moet maken (zeker als je als bedrijf in de opstartfase zit), maar uiteindelijk is een goede dienstverlening natuurlijk de beste marketing. Want een goede dienstverlening levert mond-tot-mond reclame op en die is gratis. Het klopt dat je door een certificering kunt aantonen dat je over alle processen goed hebt nagedacht, en tevens committeer je jezelf als bedrijf dat ook in de toekomst te doen.
Overigens is jouw datacenterleverancier sinds begin dit jaar ook ISO 9001 en 27001 gecertificeerd.
Mee eens. Het is inderdaad niet of/of maar en/en. Door het hele proces van certificatie en auditing doe je indirect ook een stuk productontwikkeling en als je een certificatie logo op je site plaatst of een press release uitstuurt is dit ook marketing.
Ik denk dat certificering op zich geen overbodige luxe is. Dit geeft de klant tot een bepaald niveau inzichtelijkheid in de werkwijze en kennis en kunde van de desbetreffende partij.
Echter moet het wel behapbaar en in zekere mate beperkt blijven. Het moet niet zo worden dat een Cloud leverancier 70% van zijn tijd bezig is met certificering en audits. Hier dient een goede balans in gevonden te worden.
Wordt dit niet gedaan dan zal dit zoals door Rick aangegeven ten koste gaan de productontwikkeling en marketing.