Het belang van ‘right-to-audit’.

Een redelijk standaard onderdeel van menig contract met een leverancier is het recht op audit. Het lijkt er echter op dat het recht op audit sporadisch wordt ingezet. Grote ondernemingen lijken langzaam het belang in te zien van het inzetten van dit recht (naast het gebruik maken van ’third party reporting’ en assurance als ISAE 3402 en SOC 2). De reden? Het ‘in-control’ zijn!

Right-to-audit

Verstoringen in de service

Onderzoek van het Business Continuity Institute laat zien dat meer dan de helft van de organisaties verstoringen ondervinden in de levering van diensten vanuit hun leveranciers (BCI Supply Chain Resiliency Report 2019). Verstoringen binnen de IT spelen een significante rol in de verstoringen die een impact hebben, waaronder ongepland uitval van IT of telecom (44%) en cyberaanvallen en gegevenslekken (26%). De financiële impact van alle verstoringen vanuit de leveranciers is meer dan één miljoen euro voor 10 procent van de organisaties. We kunnen stellen dat de impact van een verstoring bij een leverancier op je bedrijfsproces niet moet worden gebagatelliseerd. Het is een risico om serieus te nemen.

Monitoren van specifieke/aangepaste afspraken

Het merendeel van de leverancier snap dat derde verklaringen cruciaal zijn om een serieuze speler te zijn in de dienstverlening naar de grote organisaties. Echter, een derde verklaring geeft specifiek inzicht in de maatregelen waar een leverancier op wil rapporteren. Met de komst van de SOC 2 standaard is een meer gestandaardiseerd framework geïntroduceerd voor de audit. De maatregelen die worden getoetst dekken echter wel de meer generieke onderwerpen.

3angles is een nieuwe en onderscheidende speler in de markt van Risk, Audit & Compliance diensten.

Bij het gebruik maken van een leverancier voor specifieke diensten kan het zijn dat risico’s vanuit het risico assessment van de organisatie niet worden gedekt met de doelstellingen en maatregelen die de leverancier op heeft genomen in de derde verklaring. Ook zullen specifieke afspraken niet gedekt worden door de verklaring van de leverancier. Met dit in het achterhoofd kan het nodig zijn om een (beperkte) audit uit te voeren bij de leverancier om meer inzicht te krijgen in de uitvoering van specifieke afspraken en om meer zicht te hebben in de effectiviteit van maatregelen van de leverancier die naar voren komen in de eigen risico assessment.

Voldoen aan wet- en regelgeving (specifiek privacy)

Uiteraard is iedere organisatie zelf verantwoordelijk om te voldoen aan de wet- en regelgeving. Echter, als een bedrijf niet volledig voldoet aan wet- en regelgeving kan het mogelijk impact hebben op het merk van de organisatie. Wat gebeurt er als data wordt ontvreemd of verspreid dat is uitbesteed aan een leverancier? Zullen jou klanten jou beveiliging nog wel vertrouwen?

Om meer grip te krijgen op gegevensbescherming kan het uitvoeren van een audit bij de leverancier helpen. Naast dat het meer vertrouwen geeft in de vertrouwelijkheid, integriteit en beschikbaarheid van de data en verwerkingen die worden geoutsourcet, kan het gebruikt worden in het verwerkingsregister welke opgevraagd kan worden bij een audit van bijvoorbeeld de autoriteit persoonsgegevens.

Of er wel of geen specifieke afspraken of SLA’s zijn met de leveranciers, het gebruik maken van het recht op audit kan bevorderlijk zijn voor de organisatie. Een audit op het opzet en bestaan van procedures en/of maatregelen van de belangrijkste leverancier kan al veel inzicht geven in de beheersing van je meest kritische gegevens. Op basis van de risico’s (impact x waarschijnlijkheid) kan gekozen worden voor een diepere audit en kan ervoor worden gekozen om naast opzet en bestaan, ook de werking van procedures en maatregelen te toetsen.

Auteur: Jouke Albeda

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.