Nieuwe standaard ISAE 3402 voor uitbesteding biedt grote kansen voor IT-dienstverleners


Wat is er veranderd?
Sinds 1969 was SAS 70 dé standaard voor serviceorganisaties om aan hun klanten inzicht te geven in de deugdelijkheid van hun organisatie. Doordat deze zich echter beperkte tot de processen voor de financiële rapportages (in casu de jaarrekening), paste deze standaard steeds minder bij de huidige tijd. Zo was destijds  IT van een totaal andere aard, was uitbesteding van (ICT) processen niet of nauwelijks aan de orde, en was ook de behoefte aan informatie en transparantie van een lager niveau. Dit is vandaag de dag wel anders. Uitbesteding van IT-diensten is aan de orde van de dag en de behoefte aan een meer objectieve verklaring over de deugdelijkheid van de processen, neemt met de groei van zogenaamde ‘managed services’ alleen maar toe. De markt van vandaag neemt geen genoegen meer met alleen maar financiële informatie.
Er is nu een nieuwe standaard. ISAE 3402 komt met haar interpretatie van internal control conform COSO, tegemoet aan deze behoefte. Aangegeven wordt dat ook controles op het gebied van efficiency, effectiviteit en het aansluiten bij Wet- en Regelgeving relevant kunnen zijn voor de betrouwbaarheid van alle vormen van financiële rapportages. 

 

Wat betekent dit nou?
Dit betekent onder andere dat juist IT-dienstverleners zich in de markt kunnen gaan onderscheiden met het bieden van objectieve transparantie over hun bedrijfsvoering. Zaken als het waarborgen van beschikbaarheid, service level management, continuïteit en andere voor een IT dienstverlener (en haar klanten) belangrijke processen konden niet in de SAS verklaring worden opgenomen. Althans niet in het gedeelte dat door de auditor getoetst was. Nu dat vanaf 15 juli 2011 wel het geval is, kan dit niet alleen de communicatie tussen klant en IT dienstverlener positief ondersteunen. Ook biedt het mogelijkheden voor de ‘early adopters’ zich positief te onderscheiden van concurrenten. En wat zou u doen als u moest kiezen tussen twee partijen die uw IT zouden kunnen gaan uitvoeren? Zou u kiezen voor de partij die zegt dat ze alles goed geregeld hebben, of zou u toch kiezen voor de partij die, met een verklaring van een onafhankelijke derde, kan aantonen dat alles goed is geregeld?


Wilt u meer informatie? Neemt u dan vrijblijvend contact met ons op, wij helpen u graag!