Uitbesteding ICT - Een zorg minder, maar niet zonder Assurance

ICT diensten of delen daarvan worden, om uiteenlopende redenen, steeds vaker uitbesteed aan derden. De hoeveelheid mogelijkheden en varianten is groot. Voorbeelden zijn Hosting, Colocatie, SAAS, PAAS, IAAS, Housing, ASP en  Cloud.  Uitbestedende organisaties en dienstverlenende organisaties, bijvoorbeeld hostingpartijen, hebben er beiden belang bij dat de kwaliteit van de diensten voldoet aan de te stellen eisen.

Uitbestedende organisatie
Door uitbesteding kunt u de focus leggen op uw kernactiviteiten. Dit betekent echter niet dat u niet (meer) verantwoordelijk bent. Als uitbestedende organisatie blijft u verantwoordelijk voor het gehele bedrijfsproces, ook voor de onderdelen die zijn uitbesteed.  

Dienstverlener
Als dienstverlenende organisatie moet u de kwaliteit en de continue beschikbaarheid van de diensten kunnen garanderen aan uw klanten. Kunt u dit niet dan bent u ‘out of business’. Naast verlies van klanten kan dit  ook financiële schade tot gevolg hebben, bijvoorbeeld bij claims.

Assurance
Om zekerheid te krijgen/geven dat wordt voldaan aan de eisen wordt steeds vaker een Assurance rapport van een onafhankelijke auditor gevraagd. Deze vraag komt zowel van uitbestedende organisaties als van dienstverleners. Bij Assurance rapporten kan op hoofdlijn een onderscheid worden gemaakt op rapportages gericht op de:

Betrouwbaarheid van de financiële verslaglegging
Assurancerapport bestemd voor de ondersteuning van de accountant bij de controle van de financiële verslaglegging van de uitbestedende organisatie. De scope zijn de processen die mogelijk relevant zijn voor de financiële verslaglegging van de afnemer van de diensten. Gericht op die aspecten die van belang zijn voor een betrouwbare financiële verslaglegging, zoals juistheid, volledigheid en tijdigheid;

- Beschikbaarheid en kwaliteit van de diensten
Assurancerapport bestemd voor klanten en andere specifiek aangeduide partijen. Scope wordt bepaald door een aantal vast gedefinieerde beheersingsdoelstellingen inzake beveiliging, vertrouwelijkheid, integriteit en beschikbaarheid en is breed toepasbaar voor IT-gerelateerde processen.


Aanpak
Zowel uitbestedende organisaties als dienstverleners zijn wij graag van dienst bij het verkrijgen van de gevraagde assurance. Onderstaand overzicht geeft in hoofdlijn de stappen weer.

Intake: Doornemen en afstemmen behoefte en doelstellingen assurance rapport Inzicht in type assurance, reikwijdte en diepgang en input voor offerte

Knowing the Business: Kennis verwerven over de organisatie, het systeem van beheersprocessen en – maatregelen. Identificatie van relevante beheersmaatregelen en eisen  beheersprocessen

Nul-meting: Toetsen van de opzet en bestaan van de bestaande beheersmaatregelen Inzicht in noodzakelijke verbeterpunten

Verbeterplan:  Opstellen verbeterplan en follow-up audit als uit de nulmeting verbeteringen naar voren zijn gekomen  Gericht plan om beheersmaatregelen en –processen op het vereiste niveau te brengen

Assurancerapport:
 Het uitvoeren van de eind meting op de ingevoerd beheersmaatregelen en het opstellen van het rapport. 

De inzet die nodig is, is van veel factoren afhankelijk. Naast het type assurance, de gevraagde scope en het huidige niveau van de beheersorganisatie zijn bijvoorbeeld omvang en complexiteit van de organisatie factoren van belang. Ook de optie tot gedeeltelijke zelfwerkzaamheid en keuzen daarin spelen een belangrijke rol. Uiteraard stemmen wij dit vooraf met u af op uw wensen en mogelijkheden.