Het belang van ‘right-to-audit’

Een redelijk standaard onderdeel van menig contract met een leverancier is het recht op audit. Het lijkt er echter op dat het recht op audit sporadisch wordt ingezet. Grote ondernemingen beginnen langzaam aan het belang in te zien van het inzetten van dit recht (naast het gebruik maken van derde verklaringen als ISAE 3402 en SOC 2). De reden? Het ‘in-control’ zijn!

Verstoringen in de toeleveringsketen

Onderzoek van het Business Continuity Institute laat zien dat meer dan de helft van de organisaties verstoringen ondervinden in de levering van diensten vanuit hun leveranciers (BCI-rapport over de veerkracht van de toeleveringsketen 2019). Verstoringen binnen de IT omgeving spelen een significante rol in de verstoringen die een impact hebben op de organisatie, waaronder ongepland uitval van IT of telecom (44%) en cyberaanvallen en gegevenslekken (26%). De financiële impact van alle verstoringen vanuit de leveranciers is meer dan één miljoen euro voor 10 procent van de organisaties. We kunnen stellen dat de impact van een verstoring bij een leverancier op je bedrijfsproces niet moet worden gebagatelliseerd. Het is een risico om serieus te nemen!

Monitoren van specifieke/op-maatafspraken

DHet merendeel van de leverancier snapt dat derde verklaringen cruciaal zijn om een serieuze speler te zijn in de dienstverlening naar de grote organisaties. Echter, een derde verklaring geeft specifiek inzicht in de maatregelen waar een leverancier op wil rapporteren.  Met de komst van de SOC 2 standaard is een meer gestandaardiseerd framework geïntroduceerd voor de audit. De maatregelen die worden getoetst dekken echter alleen de meer generieke onderwerpen.

Wanneer een leverancier wordt gecontracteerd voor specifieke diensten kan het zijn dat risico’s die zijn gedefinieerd vanuit jouw organisatie niet worden gedekt door de maatregelen die de leverancier heeft opgenomen in zijn derde verklaring. Ook zullen specifieke afspraken waarschijnlijk niet gedekt worden door de verklaring van de leverancier. Met dit in het achterhoofd kan het nodig zijn om een (beperkte) audit uit te voeren bij je leverancier om meer inzicht te krijgen in de uitvoering van specifieke afspraken en om meer zicht te hebben in de afdekking van de risico’s die de jou organisatie ziet in de outsourcing.

Voldoen aan wet- en regelgeving (specifiek privacy)

Uiteraard is iedere organisatie zelf verantwoordelijk om te voldoen aan de wet- en regelgeving. Echter, als een organisatie niet volledig voldoet aan wet- en regelgeving kan het mogelijk impact hebben op het merk van jouw organisatie. Wat gebeurt er als data worden ontvreemd of verspreid dat is uitbesteed aan een leverancier? Zullen jouw klanten jouw beveiliging nog wel vertrouwen?

Om bijvoorbeeld meer grip te krijgen op gegevensbescherming kan het uitvoeren van een audit bij de leverancier helpen. Naast dat het meer vertrouwen geeft in de vertrouwelijkheid, integriteit en beschikbaarheid van de data en verwerkingen die worden geoutsourcet, kan de audit gebruikt worden in het verwerkingsregister welke opgevraagd kan worden bij een audit van bijvoorbeeld de autoriteit persoonsgegevens.

Of er wel of geen specifieke afspraken of SLA ’s zijn met jou leveranciers, het gebruik maken van het recht op audit kan bevorderlijk zijn voor de organisatie. Een audit op de opzet en het bestaan van procedures en/of maatregelen van de belangrijkste leverancier(s) kan al veel inzicht geven in de beheersing van je meest kritische gegevens.  Op basis van de risico’s (impact x waarschijnlijkheid) kan gekozen worden voor een diepere audit en kan ervoor worden gekozen om naast de opzet en het bestaan, ook de werking van procedures en maatregelen te toetsen.