6 aandachtsgebieden bij het uitvoeren van leveranciers audits

1. Ken je afhankelijkheden

Door gebruik te maken van een service organisatie ontstaan er vaak gezamenlijke verantwoordelijkheden ten behoeve van de veiligheid van de dienstverlening. Dan aan inloggen, als gebruikers niet uitloggen van actieve sessies en/of hun wachtwoord delen, hoe kan een service organisatie dan garanderen dat er geen ongeautoriseerde gebruikers toegang hebben tot de dienst? Als een leverancier een derdenverklaring als ISAE 3402 of SOC 2 uitgeeft staan gezamenlijke verantwoordelijkheden als common criteria benoemd, deze criteria zijn echter wel gebaseerd op het risk en control framework van de leverancier. Gedurende een audit waar de doelstellingen door de gebruikersorganisatie zijn gedefinieerd komt het vaak voor dat verwachte verantwoordelijkheden van de service organisatie gedeelde verantwoordelijkheden blijken te zijn. Het auditen van je service provider geeft transparantie en zal ervoor zorgen dat alle risico’s worden gedekt.

2. Onderzoek incidenten

Heeft je leverancier een cyber security incident gehad en wil je graag weten wat er is gebeurd bij de leverancier die jij vertrouwde? Je kan de leverancier vertrouwen op de blauwe ogen dat hij er verstandig opvolging aan heeft gegeven, maar je kan ook (laten) vaststellen dat incidenten met zorg zijn behandeld. De reden dat dienstverlening wordt geoutsourcet is om ontzorgd te worden. Het beroepen op je ‘right-to-audit’ na een impactvol incident kan je helpen om je vertrouwen terug te winnen.

3. Draag zorg voor de privacy van gegevens

Privacy is enorm belangrijk geworden, en er komt steeds meer wet- en regelgeving in het kader van de privacy van persoonsgegevens. Natuurlijk moet ieder bedrijf zelf zorgdragen dat ze voldoen aan de wet- en regelgeving, maar wat gebeurt er als een bedrijf dat niet doet? Als een leverancier (persoonlijke gegevens niet voldoende beveiligd en beschermd, zal dit niet alleen een negatief effect op de service organisatie die een boete krijgt, maar klanten zullen het ervaren als iets negatiefs van het bedrijf waar zij zaken mee doen. De impact van een incident heeft dus niet alleen betrekking op de leverancier maar ook op het bedrijf dat de diensten heeft uitbesteed. Door leveranciers te auditing op privacy krijg je meer grip op je leveranciers en weet je zeker dat je leveranciers op zijn minst de maatregelen treffen die jij voldoende vind.

4. Heb zicht op de keten

Weet jij of je leverancier gebruik maakt van andere partijen om diensten aan uit te besteden? Zijn er sub-leveranciers die niet, of juist wel, worden meegenomen in derden verklaringen als ISAE en SOC? Deels kan de keten van leveranciers worden vastgesteld door het lezen van derden verklaringen, maar wat als een sub-leverancier indirect impact heeft op de dienstverlening van jou leverancier (zoals een ticketing systeem wat uitbesteed is)? Als dat een risico kan zijn op je organisatie, dan wil je weten wat de impact kan zijn op jouw organisatie en hoe de uitbesteedde dienst wordt beheerst. Bijvoorbeeld, als je data host bij een leverancier en er wordt een support en monitoring tool gebruikt dat zij hebben uitbesteed aan hun leverancier, wat is de impact als de dienst van de sub-leverancier niet beschikbaar is? De hosting van je data gaat waarschijnlijk gewoon door, echter de monitoring opties vallen uit, die wellicht voor jou cruciaal bent als je zaken aan het testen bent.

Met een goed overzicht van de leveranciersketen kunnen risico’s van leveranciers en sub-leveranciers veel beter inzichtelijk worden gemaakt.

5. Vertrouwen krijgen op je SLA rapporten

Heb je wel eens problemen met je leverancier en/of vertrouw je hun SLA rapporten niet? Het kan handig zijn om deze rapporten te auditeren op juistheid, volledigheid en tijdigheid. Misschien heb je een website die 10% van de tijd onbereikbaar is terwijl je leverancier laat zien dat de website 100% van de tijd online was. Door het SLA rapport te laten auditeren kan je vertrouwen krijgen in de eerlijkheid van je leverancier. Het kan zijn dat er op een incorrecte wijze wordt gemonitord, zoals het monitoren van de server uptime maar niet de uptime van de connectiviteit van de webserver. Het kan ook zo zijn dat de leverancier juist meet en dat het probleem ligt bij de internetaansluiting van het kantoor of de internet provider van het kantoor. Een audit op de SLA zal duidelijk maken of je de SLA rapporten van je leverancier wel of niet kan vertrouwen.

6. Vertrouw op facturen

Factureert je leverancier op basis van specifiek gebruik of heb je een discussie over specifieke technische details? Een auditor kan helpen om de juistheid, volledigheid en tijdigheid van data te toetsen en kan de omgeving van de leverancier toetsen op gebruikelijke en wettelijk standaarden. Als je in een patstelling komt kan een audit helpen om de problemen helder te krijgen en kan duidelijkheid scheppen in de aannames en beschuldigingen.

Een interim ter ondersteuning van internal audit, de voordelen!

Het vinden van gekwalificeerd personeel is een uitdaging, en met de onzekere tijden nu met Covid-19 willen we liever nog geen langdurige contracten aangaan. Er zijn een aantal redenen om te kiezen voor interim professionals om de interne organisatie te ondersteunen. Het is niet alleen noodzakelijk door een te kort aan professionals, er zijn meer voordelen. Laten we hier even op ingaan.

De specialist voor het project

Het is haast onmogelijk om alle specialisme in huis te hebben om alle soorten audits uit te voeren. Een generalist kan intern werkzaamheden uitvoeren op vele onderwerpen, terwijl een expert maar op een beperkt gebied inzetbaar is. Om het meest uit je werknemers te halen wordt vaak gekozen voor een generalist met een focusgebied. Toch is het soms nodig om een specialist over een specifiek onderwerp te hebben voor een audit, die de risico’s en controls goed kan doorgronden. Een interim professional kan perfect ondersteuning bieden om te zorgen dat je interne audit afdeling ook de benodigde kwaliteit kan bieden op specifieke auditgebieden.

Geen fulltime personeel nodig

Bij een groeiend bedrijf zijn er functies die wel aanbevolen zijn maar welke geen voltijd werknemer nodig hebben. Ook kan het zijn dat je een bepaalde functie alleen in specifieke periodes nodig hebt. Het contracteren van een interim professional kan een schaalbare oplossing bieden. Wellicht is er alleen een jaarlijkse interne audit nodig is, ondersteuning voor de organisatie bij een externe audit of een deeltijd privacy officer. De schaalbaarheid van een interim professional geeft de mogelijk om te ontdekken waar het bedrijf daadwerkelijk behoefte aan heeft, kan meegroeien met het bedrijf of invallen voor een periode dat het bedrijf op zoek is naar de juiste mensen.

De flexibele schil

Als een bedrijf snel groeit en goed draait zijn er professionals nodig om grip te kunnen houden op interne procedures en projecten. Echter, als de economie verslechterd kan dat resulteren in tegenvallende resultaten. Met een flexibele schil van interim professionals kan er snel ingespeeld worden op wisselende marktomstandigheden. Een flexibele schil is gemakkelijk af te schalen wanneer de behoefte verminderd, en als het bedrijf weer volop groeit en bloeit kan de flexibele schil gemakkelijk weer meegroeien.

Privacy, meer dan alleen een last voor het bedrijf!

Is het jullie ook opgevallen dat steeds minder personen je nieuwsbrieven en reclame ontvangen? En heb je ook geld besteed aan consultants en tijd aan het voldoen aan de AVG? Ben je wellicht beboet of heb je een waarschuwing gekregen voor het niet voldoen aan de AVG? Privacy, het kost geld en brengt alleen maar kopzorgen met zich mee. Zijn er ook nog positieve aspecten voor bedrijven bij het voldoen aan de wet- en regelgeving?  Misschien zijn er ook wel voordelen aan het voldoen aan de privacy wetgeving.

Het bescherming van je merk!

Om eerlijk te zijn, het beschermen van je merk is zowel een positief als negatief aspect van de AVG. Diefstal van gegevens of datalekken kan je niet meer verbergen en hopen dat niemand er achter komt, je moet de betrokkenen informeren. Het gebeurde echter, voordat de AVG van kracht was, al regelmatig dat bedrijven in de media kwamen bij het ontdekken van data lekken. Met de AVG ben jij als bedrijf aan zet, en ben je ‘in charge’ van het communiceren. De communicatielijnen kan je zodoende begeleiden, in tegenstelling tot de media die ernstige verhalen creëren.

Naast communicatie over incidenten die jouw merk kunnen schaden, moet je nadenken over het verminderen van de data welke je bewaart en dit reduceren tot het noodzakelijke. Het risico dat persoonsgegevens worden gelekt neemt daarmee af. De hoeveelheid data welke je wellicht kon benutten is gekrompen; gelukkig het risico dat jouw naam wordt geschaad ook.

“3angles kan zich inmiddels wel expert noemen, we helpen veel bedrijven met voldoen aan de regelgeving. We kunnen u helpen met een nulmeting, met een check op compliance, of met implementatie van maatregelen.”

Kwalitatief en accurate data

CRM-systemen (klant relatiemanagement systemen) zitten vaak vol met oude incorrecte data, een doorn in het oog voor veel accountmanagers. In veel organisaties kan 80% van alle data geclassificeerd worden als redundant, verouderd en/of incorrect. Als je effectief marketing of data analyse wilt uitvoeren, is kwalitatief goede en juiste data van groot belang. Wil je gericht bellen naar klanten die ooit eens iets hebben gekocht omdat het niet anders kon, of focussen op klanten die veel terugkomen of waar net mee is kennisgemaakt? Is het geen verspilling van tijd en geld om mailings uit te sturen naar mensen die daar niet meer wonen en naar telefoonnummers te bellen die niet meer actief zijn? Een goede implementatie van de privacy wetgeving zal zeer waarschijnlijk een positief effect hebben op je data kwaliteit en de betrouwbaarheid ervan.

Verhoog je klanttevredenheid

Door je klanten controle te geven over hun data, kunnen klanten zich meer gewaardeerd en betrokken voelen. Ook het kunnen kiezen of je een nieuwsbrief wilt ontvangen of niet kan juist heel fijn zijn. Klanten kunnen zich namelijk irriteren aan mailingen en daarom jou bedrijf niet meer als eerste opzoeken door een negatieve ervaring. Veel winkels hebben tegenwoordig apps voor vouchers en/of andere voordelen. Het positieve gevoel om hier aan mee te doen en iets te krijgen zal veel fijner zijn dan wanneer je benaderd wordt door een bedrijf waarvan je niet eens weet dat zij over data van jou beschikken. Een doordachte strategie kan er dus voor zorgen dat je klanttevredenheid wordt verhoogt en je toch over de data beschikt die je nodig hebt voor commerciële doeleinden.

Privacy, niet alleen een doorn in het oog. Bij een goede en doordachte implementatie kan het ook zeer waardevol zijn voor je business!

Auteur: Jouke Albeda

Het belang van ‘right-to-audit’.

Een redelijk standaard onderdeel van menig contract met een leverancier is het recht op audit. Het lijkt er echter op dat het recht op audit sporadisch wordt ingezet. Grote ondernemingen lijken langzaam het belang in te zien van het inzetten van dit recht (naast het gebruik maken van ‘third party reporting’ en assurance als ISAE 3402 en SOC 2). De reden? Het ‘in-control’ zijn!

“Het belang van ‘right-to-audit’.” verder lezen