Verantwoording in de keten

 

In een wereld waarin partijen steeds vaker in ketens samenwerken, neemt de onderlinge afhankelijkheid sterk toe. In hoeverre kan een organisatie duurzaam steunen op de interne beheersing van ketenpartners? Assurancerapportages als ISAE3402 en SOC 2 vervullen een functie op dit terrein, maar het lijkt voor velen toch ook nog wel een beetje onontgonnen gebied te zijn.

Bedrijfsprocessen

Uitbesteding van bedrijfsprocessen (veelal op IT-gebied) is vaak een logische stap, waardoor deze bijna ongemerkt wordt gezet. De uitbestedende organisatie blijft echter verantwoordelijk voor het gehele bedrijfsproces, dus ook voor de onderdelen die zijn uitbesteed. Wanneer de derde partij haar processen niet goed op orde heeft, kan dit uiteraard impact hebben op alle aspecten die de eigen bedrijfsvoering kunnen raken. Denk hierbij aan risico’s ten aanzien van de beveiliging, vertrouwelijkheid en beschikbaarheid van informatie(verwerking). En in voorkomende gevallen kan dit ook impact hebben op de financiële verantwoording van de eigen organisatie.

Assurancevraag

Om tegemoet te komen aan de wens tot onderlinge verantwoording binnen de keten zijn internationale standaarden voorhanden zoals ISAE 3402 en SOC 2. Waar ISAE 3402 zich richt op uitbestede processen met een financiële impact, richt SOC 2 zich met name op de assurancevraag met betrekking tot IT-serviceverlening. Dit door de risico’s ten aanzien van de beveiliging, vertrouwelijkheid en beschikbaarheid van informatie(verwerking) mee te nemen.

Rapportages

Beide rapportages kennen een tweetal verschijningsvormen: type I en type II. Het Type I-rapport is een momentopname, waarbij het proces en de beheersingsmaatregelen beschreven worden zoals deze op een bepaald moment geïmplementeerd zijn. Het Type II-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende een periode van meestal 6 maanden tot een jaar, hebben gewerkt.

Wilt u meer informatie over de mogelijkheden tot het geven of verkrijgen van assurancerapportages in de keten, neem dan contact op met Lucas Vousten via +31 (0)40 240 9516 of mail naar lvousten@joanknecht.nl.