DE ASSURANCEBEHOEFTE VAN OUTSOURCERS VOOR IT-DIENSTEN

DE ASSURANCEBEHOEFTE VAN OUTSOURCERS VOOR IT-DIENSTEN

Dit artikel biedt een samenvatting van de gedetailleerde masterthesis ‘The needs for assurance in IT outsourcing. A research from the perspective of the outsourcing organization’, recent uitgevoerd door Dennis Banse, VU Amsterdam, Rijksuniversiteit Groningen en BDO IT Audit & Security ondersteund door het Platform Outsourcing Nederland.

Februari 2014

2 De assurancebehoefte van outsourcers voor IT-diensten

DE ASSURANCEBEHOEFTE VAN OUTSOURCERS VOOR IT-DIENSTEN Wanneer organisaties IT-diensten uitbesteden, blijft het management van de uitbestedende partij verantwoordelijk voor de interne beheersing rondom deze IT-diensten. Hiermee ontstaat een assurancebehoefte bij de outsourcer.De outsourcer dient passende zekerheid te verkrijgen over de kwaliteit van de uitbestede ITdiensten en de mate waarin gerelateerde risico’s worden beheerst door de serviceprovider. Daarnaast heeft de accountant van de outsourcer behoefte aan zekerheid over de risicobeheersing rondom de uitbestede IT-diensten voor zover die relevant zijn voor de jaarrekeningcontrole. Om assurance te krijgen over de effectiviteit van beheersmaatregelen die zijn ingericht door een serviceprovider, kunnen verschillende assuranceproducten worden ingezet. Maar hoe kan een outsourcer bepalen welke van deze producten het beste passen bij zijn behoefte aan zekerheid met betrekking tot de specifiek uitbestede IT-diensten? De behoefte aan zekerheid en de methoden om passende zekerheid te verkrijgen zijn beperkt beschreven in de literatuur vanuit het perspectief van outsourcers (vraagzijde). Wel zijn deze uitgebreid onderzocht vanuit het perspectief van serviceproviders en hun auditors, de partijen die zekerheid verstrekken (aanbodzijde). Dit artikel beschrijft de belangrijkste bevindingen en conclusies van het onderzoek, dat specifiek was gericht op het in kaart brengen van de assurancebehoefte van outsourcers.

Het onderzoek was gericht op het beantwoorden van de centrale vraag: “Wat is de assurancebehoefte van outsourcers voor uitbestede IT-diensten en wat is een geschikt beslismodel om in deze behoefte te kunnen voorzien?”. Om deze hoofdvraag te kunnen beantwoorden is onderzoek uitgevoerd aan de hand van deelvragen. Deze deelvragen met de resultaten zijn opgenomen in appendix 2. Als resultaat van het onderzoek is een beslismodel ontwikkeld dat kan worden gebruikt door outsourcers om te identificeren op welke aspecten een assurancebehoefte bestaat en welke beschikbare assuranceproducten hierin kunnen voorzien. Het beslismodel is voorgelegd en gevalideerd met een selectie van uitbesteders en serviceproviders in diverse branches op basis van enquêtes en interviews. De verdere onderzoeksresultaten zijn in dit artikel vertaald naar bevindingen en conclusies relevant voor de bedrijfsvoering en het management van outsourcers en omvatten de volgende onderwerpen: 1 Belangrijkste risicofactoren en assurancebehoefte in het algemeen; 2 Risicofactoren en assurancebehoefte per marktsector; 3 Vergelijking van de assurancebehoefte van outsourcers en de door serviceproviders ervaren assurancebehoefte; 4 Frequentie van assurance in relatie tot de behoefte van outsourcers.

De assurancebehoefte van outsourcers voor IT-diensten 3

BELANGRIJKSTE RISICOFACTOREN EN ASSURANCEBEHOEFTE IN HET ALGEMEEN

In deze paragraaf zijn de resultaten van de enquête samengevat volgens het systeem van Beasley waarin het uitbestedingsrisico bij serviceproviders wordt verdeeld in de volgende zes categorieën: 1 Operationeel: performance van IT en het voldoen aan SLA-afspraken; 2 Financieel: juistheid van doorbelaste IT-kosten en continuïteit van de serviceprovider; 3 HR: aannamebeleid en beschikbaarheid van gekwalificeerd personeel; 4 Informatie technologie onderverdeeld in: a Beschikbaarheid van informatie; b Integriteit van informatie; c Vertrouwelijkheid van informatie; 5 Wet- en regelgeving: voldoen aan wet- en regelgeving, fraude detectie en software licenties; 6 Reputatie: maatschappelijke verantwoordelijkheid en imago. Op basis van het onderzoek blijkt dat outsourcers een brede behoefte aan zekerheid hebben over alle categorieën die zijn opgenomen in het beslismodel. Een verklaring hiervoor kan worden gevonden in de samenstelling van de deelnemers aan het onderzoek. De onderzoeksgroep bestond uit grote organisaties met een volwassen proces voor het managen van uitbestede ITdiensten, de daarmee samenhangende risico’s en de assurance die hierbij vereist is. Als zodanig zijn deze organisaties in staat om een breed scala aan relevante risicogebieden te identificeren. Om meer betrouwbare en praktisch bruikbare resultaten te verkrijgen, is in het onderzoek de behoefte aan zekerheid onderzocht in combinatie met de bereidheid van outsourcers om hiervoor te betalen. De belangrijkste resultaten hiervan zijn samengevat in tabel 1 hieronder: # Categoriën 1 Operationeel 2 Financieel 3 HR 4a Beschikbaarheid 4b Integriteit 4c Vertrouwelijkheid 5 Wet- en regelgeving 6 Reputatie

Behoefte 4,07 4,34 3,79 4,02 4,24 4,28 4,32 3,93

Tabel 1: Assurancebehoefte van outsourcers

Betalingsbereid Product 66% 2,69 34% 1,48 30% 1,14 44% 1,77 46% 1,95 46% 1,97 42% 1,81 17% 0,67

 In de eerste kolom staan de zes categorieën van assurancebehoefte, waarbij de categorie informatietechnologie onderverdeeld is in beschikbaarheid, integriteit en vertrouwelijkheid.  De tweede kolom presenteert de uitkomsten van de eerste vraag aan outsourcers op een Likert-schaal van 1 tot 5, waarbij 1 als ondergrens betekent ‘geen behoefte aan zekerheid’ en 5 als bovengrens staat voor ‘een uitermate hoge behoefte aan zekerheid’.  De derde kolom presenteert het percentage van outsourcers dat daadwerkelijk bereid is om te betalen voor de assurancebehoefte.  Tot slot is in de vierde kolom het product genomen van de assurancebehoefte en de betalingsbereidheid van outsourcers. Uit de derde kolom van de tabel kan worden afgeleid dat outsourcers in het algemeen de hoogste assurancebehoefte hebben voor de volgende top drie risicofactoren: 1 Financieel; 2 Wet- en regelgeving; 3 Vertrouwelijkheid van informatie. Opvallend is dat wanneer wordt gevraagd of er ook een bereidheid is om voor deze assurancebehoefte te betalen, er een verschuiving optreedt in de risicofactoren die als meest belangrijk worden beoordeeld. Zo kan uit de vierde kolom van de tabel worden afgeleid dat de top 3 van risicofactoren er met het meewegen van de betalingsbereidheid als volgt uitziet: 1 Operationeel; 2 Vertrouwelijkheid van informatie; 3 Integriteit van informatie. De verklaring voor het verschil tussen de assurancebehoefte voor en na betalingsbereidheid is niet specifiek geanalyseerd binnen het onderzoek. Wat in ieder geval blijkt is dat het aspect kosten mede bepalend is en dat outsourcers op gebieden bereid zijn tot een hogere risico-acceptatie indien er kosten verbonden zijn aan het verkrijgen van assurance. Na het meewegen van de kosten, was duidelijk dat de primaire focus ligt op het beheersen van de risico’s ten aanzien van de bedrijfscontinuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking (vertrouwelijkheid en integriteit). Voor het aspect beschikbaarheid blijkt hierbij dat er impliciet vertrouwen is in de professionele dienstverlening van een serviceprovider.

4 De assurancebehoefte van outsourcers voor IT-diensten

RISICOFACTOREN EN ASSURANCEBEHOEFTE PER MARKTSECTOR

Om te onderzoeken of er verschillen bestaan in de assurancebehoefte van outsourcers per sector, is een nadere analyse gemaakt naar de assurancebehoefte per marktsector. De resultaten hiervan zijn opgenomen in figuur 1. Hierbij hebben we de marktsectoren onderverdeeld in productie, financieel, overheid en handel. Op de horizontale as staan 51 items uit de zes categorieën waarover de uitbesteder zekerheid wil ontvangen. Deze 51 items zijn te vinden in Appendix 1 met het beslismodel. Op de verticale as staan de scores van de outsourcers op een Likert-schaal van 1 tot 5, waarbij 1 als ondergrens betekent ‘geen behoefte aan zekerheid’ en 5 als bovengrens staat voor ‘een uitermate hoge behoefte aan zekerheid’. Op basis van bovenstaande analyse kan worden geconcludeerd dat in alle marktsectoren een brede behoefte bestaat aan assurance. Daarnaast is er sprake van onderlinge verschillen in de assurancebehoefte per marktsector. Deze verschillen lichten we hier onder kort toe. Handel en productie De resultaten voor de sectoren handel en productie zijn niet representatief voor vergelijking met andere sectoren omdat de onderzoekspopulatie van outsourcers in deze sectoren binnen het onderzoek te klein was. In het algemeen is voor deze sectoren aangegeven dat de grootste assurancebehoefte betrekking heeft op bedrijfscontinuïteit en het voldoen aan wet- en regelgeving. Overheid Overheidsinstanties hebben de grootste behoefte aan zekerheid op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van data. Dit komt overeen met de resultaten uit interviews waarin is aangegeven dat invulling van deze assurancebehoefte noodzakelijk is aangezien deze instanties een publiek belang dienen en het welzijn van burgers moet worden beschermd.

Figuur 1: Vergelijking van de assurancebehoefte van outsourcers per marktsector

Financiële sector De uitkomsten voor organisaties in de financiële sector zijn grotendeels in lijn met het gemiddelde resultaat. Wat opvalt is dat deze uitkomst de resultaten uit de interviews tegen lijkt te spreken. In de interviews hebben deelnemende organisaties aangegeven dat de financiële sector een grotere assurancebehoefte zou hebben dan gemiddeld. Dit vanwege een grote hoeveelheid voorschriften waaraan binnen de sector moet worden voldaan, een hoge mate van marktsupervisie en de publieke belangen die verbonden zijn aan de diensten van deze organisaties. De belangrijkste assurancebehoefte van organisaties in de financiële sector zijn gerelateerd aan het detecteren van lekken in de beveiliging of het kunnen herstellen van productiedata op basis van gemaakte back-ups. De risico’s aangaande kennis en ervaring binnen een serviceprovider, niet gebruikte maar actieve software, het voldoen aan wet- en regelgeving en reputatie worden als minder belangrijk beschouwd. Deze sterke focus op beveiliging en beschikbaarheid van data is te verklaren vanuit de directe impact die bestaat op het kunnen bieden van de dienstverlening aan klanten. Manifestatie van deze risico’s kan leiden tot een verlies van miljoenen, verlies van vertrouwen in deze organisaties of zelfs een faillissement. Hierbij werd binnen het onderzoek echter een hogere score verwacht op de risicogebieden die van minder belang worden geacht. Een mogelijke verklaring hiervoor kan zijn dat financiële organisaties in hoge mate zelf maatregelen hebben getroffen voor het direct beheersen en monitoren van deze risico’s.

De assurancebehoefte van outsourcers voor IT-diensten 5

VERGELIJKING VAN DE ASSURANCEBEHOEFTE VAN OUTSOURCERS EN DE ERVAREN ASSURANCEBEHOEFTE DOOR SERVICEPROVIDERS De uitkomsten van de afgenomen enquêtes en interviews van beide partijen, outsourcers en serviceproviders, zijn opgenomen in figuur 2. Deze figuur laat zien dat serviceproviders over het algemeen de assurancebehoefte van outsourcers lager inschatten behoeftedan outsourcers deze zelf aangeven. Een verklaring hiervoor kan zijn dat outsourcers, die deelnemen aan het onderzoek, een hoog ontwikkeld risicomanagementproces hebben en daarom meer assurance verwachten dan een gemiddelde klant. De resultaten van deze analyse wijzen erop dat er een kloof zit tussen de assurancebehoefte vanuit het perspectief van de outsourcer en hoe dat wordt waargenomen vanuit het perspectief van de serviceprovider. Dit behoeft een nader onderzoek over dit onderwerp met een groter aantal deelnemers om te bepalen of er daadwerkelijk een kloof is en hoe dit van invloed is op de scope en het doel van de huidige assuranceproducten.

Figuur 2: Assurancebehoefte van outsourcers ten opzichte van de ingeschatte behoefte door serviceproviders

6 De assurancebehoefte van outsourcers voor IT-diensten

FREQUENTIE VAN ASSURANCE IN RELATIE TOT DE BEHOEFTE VAN OUTSOURCERS Figuur 3 laat zien dat de meeste outsourcers die aan het onderzoek hebben deelgenomen, een voorkeur hebben voor het ontvangen van jaarlijkse assurance. In eerste instantie lijkt dit de informatie verkregen vanuit interviews tegen te spreken omdat de geïnterviewde organisaties aangeven dat zij juist assurance op een meer frequente basis zouden willen ontvangen. De verklaring hiervoor ligt in het feit dat de assurancebehoefte op dit moment veelal wordt ingevuld met een assuranceproduct als een ISAE 3000- of een ISAE 3402-rapportage. Deze wordt normaliter per half jaar of jaarlijks verstrekt. Outsourcers hebben geen behoefte om een dergelijke rapportage frequenter te ontvangen, wel bestaat er een behoefte om de assurance geboden in het rapport op een frequentere basis te ontvangen.

Per jaar

22% 11%

67%

Per kwartaal Per maand

Figuur 3: Gewenste frequentie van invulling van de assurancebehoefte voor outsourcers

Naast de frequentie waarin assurance wordt ontvangen, varieert de assurancebehoefte ook inhoudelijk voor de 51 onderwerpen uit het beslismodel. Outsourcers hebben geen behoefte om voor elk onderwerp jaarlijks assurance te ontvangen op basis van een ISAE 3402- of ISAE 3000-rapport. Als reden wordt aangedragen dat de assurancebehoefte veranderen gedurende de looptijd van het servicecontract en een statische jaarlijkse rapportage hiervoor geen effectieve invulling biedt. Outsourcers interpreteren assurance-informatie in een jaarlijks rapport als verouderde informatie die daarom niet geschikt is voor het dagelijks monitoren en beheersen van de uitbestede IT-diensten.

Samengevat kan op basis van het voorgaande worden geconcludeerd dat de huidige vorm waarin assurance wordt verstrekt, door serviceproviders en auditors voor de aspecten frequentie en veranderende behoefte, onvoldoende invulling geeft aan de vraag van outsourcers. Om invulling te geven aan de veranderende assurancebehoefte, richten organisaties momenteel veelal zelf directe monitoringcontroles in op cruciale elementen van de ITdienstverlening van de serviceprovider. Wanneer uitbesteders zelf directe monitoringcontroles inrichten, wordt hiermee ook veelal de assurancebehoefte ingevuld met eigen maatregelen waarmee de behoefte aan assurance vanuit de serviceprovider afneemt.

De assurancebehoefte van outsourcers voor IT-diensten 7

CONCLUSIES

Op basis van het onderzoek komt een aantal interessante resultaten naar voren waarbij de belangrijkste conclusies op basis van het onderzoek hieronder zijn samengevat.  Het aspect kosten is mede bepalend voor de feitelijke assurancebehoefte waarover outsourcers zekerheid willen ontvangen van serviceproviders. Indien kosten zijn verbonden aan het verkrijgen van de assurance, leidt dit tot een andere prioritering van de assurancebehoefte en vindt een zekere mate van risico-acceptatie plaats.  Ongeacht de marktsector bestaat er een brede behoefte aan assurance bij outsourcers. Per sector bestaan verschillen in de inhoudelijke assurancebehoefte van organisaties waardoor het noodzakelijk is dat outsourcers de eigen assurancebehoefte vaststellen op basis van risico-analyse.  Serviceproviders ervaren over het algemeen een lagere assurancebehoefte van outsourcers dan de mate waarin deze door outsourcers wordt aangegeven. Het is daarmee aannemelijk dat de traditionele en huidige scope van reeds verkregen assurancerapporten hier niet volledig op aansluit.  Outsourcers hebben op onderdelen behoefte aan frequentere assurance dan waarmee deze wordt geboden op basis van de huidige assuranceproducten. Tevens verandert de assurance behoefte gedurende de looptijd van een contract met een serviceprovider. Een geschreven en statische assurancerapportage die jaarlijks wordt verstrekt wordt niet gezien als een passend middel voor het invullen van deze behoefte. Het onderzoek toont daarmee aan dat er sprake is van een gat tussen de assurancebehoefte van outsourcers en de mate waarin deze momenteel wordt ingevuld op basis van beschikbare assuranceproducten door serviceproviders en hun auditors. De belangrijkste oorzaken die wij hiervoor zien, worden hierna toegelicht. Scope, doelstelling en insteek van de huidige assuranceproducten In de Verenigde Staten zijn nieuwe richtlijnen ontwikkeld voor assurancerapporten met betrekking tot de beheersing van ITprocessen. Het betreft Service Organisation Control (SOC 1, 2 en 3)-rapporten. Wellicht dat deze ontwikkelingen gevolgen hebben voor Nederland. Voor het onderzoek hebben we ons beperkt tot de nu gangbare producten. Voor het verkrijgen van zekerheid in relatie tot de assurancebehoefte van outsourcers bestaan in de Nederlandse markt momenteel de volgende assuranceproducten: 1 Een ISAE 3402-rapportage; 2 Een ISAE 3000-rapportage; 3 Accountantsverklaring als resultaat van de jaarrekeningcontrole.

Geen enkele van deze producten biedt op zichzelf een middel voor het afdekken van de totale assurancebehoefte van outsourcers zoals deze binnen het onderzoek zijn geïdentificeerd. Een ISAE 3402-rapport is hierbij gericht op de maatregelen die een directe relatie hebben met risico’s die relevant zijn voor de jaarrekeningcontrole van de outsourcer. Een ISAE 3000-rapport is gericht op rapportage over de maatregelen die niet gerelateerd zijn aan de jaarrekeningcontrole van de outsourcer. Tot slot bieden de accountantsverklaring en het jaarverslag van een serviceprovider nog aanvullende informatie over de continuïteit van een serviceprovider, een onderwerp dat traditioneel wordt vermeden in zowel ISAE 3402- als ISAE 3000-rapportages. Samen met de paragraaf van de auditor over de continuïteit geeft dat een indicatie van financiële soliditeit en continuïteit van de serviceprovider. De huidige assuranceproducten en onderliggende standaarden zijn daarnaast van origine opgesteld vanuit het perspectief van de aanbieders van assurance, te weten serviceproviders en haar auditors. De producten zijn niet opgesteld vanuit een perspectief om in totaliteit de assurancebehoefte van een outsourcer in te kunnen vullen. Veranderende behoefte aan assurance, statische manier van rapporteren De assurancebehoefte van outsourcers ontwikkelt zich naarmate de afhankelijkheid van IT en informatieverwerking toeneemt. De behoefte veranderen tevens met de introductie van nieuwe technologieën zoals bijvoorbeeld Cloud computing. De assurancebehoefte is daarom geen statische definitie, echter de huidige assuranceproducten betreffen primair rapportages die statisch zijn van opzet. Daarnaast zijn deze veelal gebaseerd op een vast normenkader dat is opgesteld voor een brede doelgroep. De assuranceproducten worden daarbij veelal halfjaarlijks of jaarlijks verstrekt. Outsourcers beschouwen deze informatie als gedateerd en geven tevens aan op onderdelen een behoefte te hebben aan meer frequente assurance. De huidige rapportagevormen sluiten onvoldoende aan op deze behoefte van outsourcers.

8 De assurancebehoefte van outsourcers voor IT-diensten

AANBEVELINGEN

Outsourcers, serviceproviders en hun auditors zouden de krachten moeten verenigen om de kloof tussen vraag en aanbod te dichten. Outsourcers zouden hierbij de verantwoordelijkheid moeten nemen voor het bepalen van de assurancebehoefte. De serviceproviders en haar auditors zouden zich moeten richten op het voorzien in een passende oplossing op basis van de beschikbare assuranceproducten. Om de kloof tussen de assurancebehoefte en het aanbod van assurance te dichten is dus een paradigmaverschuiving noodzakelijk naar een vraaggedreven aanpak waarbij de informatiebehoefte van de outsourcer centraal staat. Deze zou moeten worden verenigd met de assurancebehoefte van andere stakeholders, zoals bijvoorbeeld de accountant van een outsourcer die een assuranceproduct veelal gebruikt binnen de jaarrekeningcontrole. Het sturen van de vraag vereist een bepaald volwassenheidsniveau van de outsourcer. De outsourcer zal in staat moeten zijn om de assurancebehoefte te specificeren. Hierbij is een belangrijke verantwoordelijkheid weggelegd voor het bestuur om de assurancebehoefte te bepalen op strategisch, tactisch en operationeel niveau en om richtlijnen uit te vaardigen waarbinnen de benodigde assurance dient te worden verkregen. Voor een effectieve invulling van de vastgestelde assurancebehoefte, heeft het bestuur steun nodig van specialistische afdelingen binnen de organisatie zoals contractmanagement, compliance, risk-management en (interne) audit om:  Onderwerpen op basis van een risicogebaseerde aanpak te prioriteren;  De invulling van de assurancebehoefte door serviceproviders en auditors te sturen en monitoren;  Technologische ontwikkelingen en veranderende omstandigheden te monitoren en mee te kunnen wegen bij het bepalen en periodiek evalueren van de assurancebehoefte. Ook is het noodzakelijk dat vanuit de aanbodzijde wordt nagedacht over nieuwe assuranceproducten die in staat zijn om:  Assurance op een meer continue basis te kunnen bieden;  Tijdig te kunnen anticiperen op veranderende assurance behoefte. Dit is in lijn met huidige assurancetrends, Governance, Risk & Compliance-oplossingen van softwareleveranciers en de algehele consensus onder auditors waarbij continue assurance en monitoring wordt gezien als de volgende stap.

Het beslismodel dat binnen het onderzoek is ontwikkeld kan outsourcers ondersteunen bij het in kaart brengen van de assurancebehoefte en invulling hiervan met de momenteel beschikbare assuranceproducten. Vervolgonderzoek zal echter noodzakelijk zijn om de kloof tussen vraag en aanbod te kunnen overbruggen. De volgende vragen geven hierbij stof tot nadenken: 1 Wie gaat er betalen voor de extra assurancebehoefte? Op dit moment ontvangen outscourcers niet de informatie die in hun volledige assurancebehoefte voorziet, maar outsourcers zijn ook niet bereid om te betalen voor alle onderwerpen. 2 Kan er een assuranceproduct worden ontwikkeld dat voorziet in alle gevraagde assurance gezien vanuit het perspectief van een outsourcer? Hoe kunnen we omgaan met het aspect continuïteit en meer real-time assurance aangezien hier duidelijk behoefte aan is? 3 Kan een continue en veranderende behoefte aan assurance eigenlijk wel worden ingevuld op basis van een statische rapportage die halfjaarlijks of jaarlijks wordt verstrekt? Passen de huidige assuranceproducten bij de trend van continue auditing en continue monitoring of zouden hiervoor alternatieven moeten worden gevonden?

De assurancebehoefte van outsourcers voor IT-diensten 9

APPENDIX 1: HET BESLISMODEL

Gebaseerd op de resultaten van het onderzoek is onderstaand beslismodel ontworpen. Dit model bevat de belangrijkste risico’s die dienen te worden afgewogen voor het identificeren van de assurancebehoefte van een outsourcer. Het model bestaat uit acht hoofdgebieden van risico’s met daaronder in totaal 51 onderwerpen op de verticale as en de huidige beschikbare assuranceproducten die beschikbaar zijn voor het invullen hiervan op de horizontale as. Een 4 op de horizontale as achter een onderwerp geeft aan dat het assuranceproduct kan worden gebruikt om zekerheid te verkrijgen over het bijbehorende onderwerp. Een 8 geeft aan dat het product niet gebruikt kan worden. Beslismodel

1 2 3 4 5 6 7 8 9 10

ISAE 3402

ISAE 3000 Accountantsverklaring

Operational Performance 8 4 8 IT-omgeving up-to-date 8 4 8 Service level rapportage 8 4 8 Misbruik intellectueel eigendom 8 4 8 Bescherming intellectueel eigendom 8 4 8 Financieel Facturatie 8 4 8 Continuïteit 8 8 4 Controle mogelijk faillissement 4 4 8 HR (Human Resources) Kennis en ervaring 4 4 8 Screening en documentatie personeel 4 4 8

IT-risico’s Beveiliging 11 Voorkomen van hacking 4 4 8 12 Voorkomen gebruik schadelijke software 4 4 8 13 Geen toegang tot data andere klanten 4 4 8 14 Verificatie identiteit gebruikers 4 4 8 15 Functiescheiding 4 4 8 16 Personeel getraind op beveiliging 4 4 8 17 Fysieke beveiliging 4 4 8 18 Administratorrechten 4 4 8 19 Niet gebruikte software 4 4 8 20 Niet geautoriseerde software 4 4 8 21 Detectie van een beveiligingslek 4 4 8 22 Communicatie van een beveiligingslek 4 4 8 23 Audittrail 4 4 8 24 Testen op de beveiliging 4 4 8 25 Reactie op incidenten 4 4 8

Confidentiality

10 De assurancebehoefte van outsourcers voor IT-diensten

26 27 28 29 30

ISAE 3402

ISAE 3000 Accountantsverklaring

Vertrouwelijkheid Verwijderen van data 4 4 8 Beveiligde uitwisseling van data 4 4 8 Data op mobiele apparaten 4 4 8 Toegangscontrole voor bezoekers 4 4 8 Geen toegang tot andere productieomgevingen 4 4 8

Beschikbaarheid 31 Bescherming tegen omgevingsfactoren 4 4 8 32 Beschermingen tegen menselijke fouten 4 4 8 33 Herstel van calamiteiten en continuïteitsplan 4 4 8 34 Back-upprocedures 4 4 8 35 Opslag van back-ups op een andere locatie 4 4 8 36 Dubbel uitgevoerde beveiliging op andere locatie 4 4 8 37 Herstel van back-ups 4 4 8 38 Archiveringsprocedures 4 4 8 39 Vervanging van IT-infrastructuur 4 4 8 40 Documentatie 4 4 8 41 Wijzigingsbeheer 4 4 8 Wet- en regelgeving 42 Compliancy Wet bescherming persoonsgegevens 4 4 8 43 Gebruik software zonder licentie 4 4 8 44 Politiek risico 8 4 8 45 Compliancy veranderende wet- en regelgeving 8 4 8 46 Handelsafspraken 8 4 8 47 Compliancy wetgeving financiële verslaggeving 4 8 8 48 Fraude 4 4 8 Reputatie 49 Algemeen geaccepteerde werkomgeving 8 4 8 50 Richtlijnen maatschappelijk verantwoord ondernemen 8 4 8 51 Wapenhandel 8 4 8

De assurancebehoefte van outsourcers voor IT-diensten 11

APPENDIX 2: ONDERZOEKSMETHODE EN RESULTATEN Onderzoeksmethode Voor dit onderzoek zijn enquêtes gebruikt om informatie te verkrijgen van outsourcers voor het beantwoorden van de volgende vragen: ‘Wat is de assurancebehoefte van outsourcers?’ en ‘Wat zou een passend beslismodel zijn om te bepalen welke assuranceproducten er bestaan voor het invullen van deze assurancebehoefte?’. Deze vragen waren vanuit de beschikbare literatuur nog niet breed onderzocht. Er is een enquêtetraject opgezet voor het in kaart brengen van de assurancebehoefte op de geïdentificeerde risicogebieden die zijn ontleend aan (wetenschappelijke) literatuur en geldende voorschriften. Om een zeker responspercentage te verkrijgen zijn daarnaast interviews gehouden met outsourcers en serviceproviders. De enquêtes dienden als primaire methode voor datacollectie, het houden van interviews betreft een secondaire onderzoeksmethode. Reikwijdte en de deelnemers aan de enquête en interviews Het onderzoek is specifiek gericht op uitbestede IT-diensten in relatie tot housing, hosting, infrastructuur, beveiliging en ITbeheerprocessen. De outsourcers en serviceproviders die aan het onderzoek hebben deelgenomen zijn grote organisaties met een relatief hoog volwassenheidsniveau van risicomanagement:  Enquête uitgevoerd met 14 outsourcers;  Interviews uitgevoerd met 9 serviceproviders. De verkregen informatie van de enquête en interviews is gebruikt als basis voor het ontwerpen van een beslismodel voor het invullen van de geïdentificeerde assurancebehoefte. Resultaten voor deelvragen binnen het onderzoek 1 De minimumvereisten voor het kunnen gebruiken van het beslismodel Er zijn verschillende risico’s geïdentificeerd in de fase van uitbesteding waarbij IT-diensten bij een serviceprovider nog niet zijn gecontracteerd (niet-operationele fase). Deze risico’s leiden in basis tot twee minimum vereisten waaraan een outsourcer moet voldoen voor het kunnen gebruiken van het beslismodel. Een outsourcer moet: 1 Het recht hebben bedongen om clausules in het contract te kunnen controleren (‘right to audit’); 2 Een contract hebben gesloten met daarbij een control framework (‘te treffen beheersmaatregelen’) en de bijbehorende verantwoordelijkheden van de outsourcer en serviceprovider.

2 De assurancebehoefte van outsourcers Er is een brede behoefte aan assurance voor alle acht hoofdcategorieën van risico met daaronder een totaal van 51 onderwerpen. Niet alle outsourcers zijn bereid om te betalen voor alle assurancebehoeften. Als er een vergelijking wordt gemaakt van de behoefte en de bereidwilligheid om hiervoor te betalen, leidt dit tot onderstaande prioritering van assurancebehoeften: 1 2 3 4 5 6 7 8

Operationeel Vertrouwelijkheid Integriteit Financieel HR Beschikbaarheid Wet- en regelgeving Reputatie

(66%) (47%) (46%) (34%) (30%) (44%) (42%) (17%)

Tussen haakjes is het percentage van respondenten aangegeven dat bereid is om hiervoor extra te betalen. Daarnaast is onderzocht in welke mate de outsourcers op dit moment tevreden zijn over de invulling van deze assurancebehoeften: 1 2 3 4 5 6 7 8

Operationeel Vertrouwelijkheid Integriteit Financieel HR Beschikbaarheid Wet- en regelgeving Reputatie

(85%) (87%) (83%) (77%) (50%) (91%) (75%) (25%)

Tussen haakjes is het huidige tevredenheidspercentage opgenomen. 3 Beschikbare assuranceproducten voor het verkrijgen van zekerheid Er zijn momenteel in de praktijk drie gangbare assuranceproducten beschikbaar voor het verkrijgen van zekerheid over de mate waarin geïdentificeerde risico’s worden beheerst door een serviceprovider: 1 ISAE 3402-rapportage; 2 ISAE 3000-rapportage; 3 Het oordeel van de accountant inzake de jaarrekening (NV COS 700, NV COS 705N, NV COS 706N).

12 De assurancebehoefte van outsourcers voor IT-diensten

In het kort is de 3000-rapportage gericht op het verstrekken van zekerheid over onderwerpen die niet zijn gerelateerd aan de financiële verslaggeving van de outsourcer. Een 3402-rapportage focust zich juist op het verstrekken van zekerheid over onderwerpen die direct gerelateerd zijn aan de financiële verslaggeving van de outsourcer. Het oordeel van de accountant op basis van de jaarrekeningcontrole bevat naast zekerheid over de financiële positie van een serviceprovider ook informatie over de continuïteit van deze organisatie. Geen van deze producten dekt zelfstandig de totale assurancebehoefte van outsourcers, enkel een combinatie van deze assuranceproducten kan hierin voorzien. 4 Ontwikkeling van een passend beslismodel voor outsourcers De totstandkoming van het beslismodel is gebaseerd op de volgende drie activiteiten: 1 Identificatie van de risicogebieden waarover outsourcers assurance willen verkrijgen; 2 Identificatie van beschikbare assurance producten die geschikt zijn om hierover zekerheid te bieden; 3 Koppeling van de risicogebieden en bijbehorende onderwerpen aan de beschikbare assuranceproducten die zich hiervoor lenen. De frequentie waarin de meeste outscourcers zekerheid wensen te ontvangen verschilt per risicogebied en onderwerp. Om hieraan invulling te kunnen geven zouden in principe alle onderwerpen apart moeten worden geïmplementeerd en worden gekoppeld aan een assuranceproduct. De huidige assuranceproducten worden echter momenteel vaak met een vaste frequentie verstrekt, halfjaarlijks of jaarlijks, waarmee de frequentie van het aanbod van zekerheid niet aansluit op de gevraagde frequentie aan zekerheid.

De assurancebehoefte van outsourcers voor IT-diensten 13

REFERENTIES

Banse, Dennis Robert (2013) en opgenomen literatuurverwijzingen. ‘The needs for assurance in IT outsourcing. A research form the perspective of the outsourcing organization’. Master thesis, Accounting and Controlling. University of Groningen, Faculty of Economics and Business.

COLOFON Dit is een publicatie in samenwerking met: BDO IT Audit & Security Krijgsman 9 | Postbus 71730 | 1186 DM Amstelveen Telefoon 088 – 263 48 22 Internet www.bdo.nl/itaudit E-mail [email protected] Voor meer informatie kunt u contact opnemen met Marco Francken (partner) of Chris Nooijens (senior manager) van BDO IT Audit & Security. februari 2014

BDO IT Audit & Security Krijgsman 9 | Postbus 71730 | 1186 DM Amstelveen Telefoon 088 - 263 48 22 Internet www.bdo.nl/itaudit E-mail [email protected] Voor meer informatie kunt u contact opnemen Marco Francken (partner) of Chris Nooijens (senior manager) van BDO IT Audit & Security.

02/2014 – BB1416