Omgaan met leveranciers (sub-serviceorganisaties) in 4 stappen.
Dit artikel geeft 4 stappen om het auditproces beter te overzien en efficiënter te werken.
Stap 1. Is er een subserviceorganisatie?
De zogenaamde subserviceorganisaties vormen een speciale klasse van leveranciers. Deze worden gedefinieerd als “een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt om bepaalde diensten te verlenen aan gebruikersentiteiten die waarschijnlijk relevant zijn voor de interne controle van die gebruikersentiteiten over de financiële verslaggeving”.
Subserviceorganisaties kunnen voorkomen in een SOC 1- of SOC 2-rapport, en dit kan bepalen of het een type 1- of type 2-rapport is. De volgende providers zijn typische voorbeelden van een subserviceorganisatie:
- Datacenter
- IT-dienstverleners
- -Software als dienst van platform als serviceprovider
Stap 2. Gesplitste of inclusieve rapportage?
Als de organisatie eenmaal heeft kunnen vaststellen of er een subserviceorganisatie is, is dat eigenlijk nog maar het topje van de ijsberg. Voor het verslag moet nog worden besloten of de afsplitsingsmethode of de inclusieve methode wordt gebruikt.
Carve-out methode
Bij deze methode komt CSOCS om de hoek kijken. De controles die worden uitgevoerd door de subserviceorganisatie zijn niet opgenomen in het rapport. Alleen een overzicht van wat de subserviceorganisatie betekent voor de serviceorganisatie en hoe deze ermee interageert in combinatie met uw systeem en de verschillende verwachte controles, zodat u controledoelstellingen voor trustservices kunt bereiken.
Inclusieve methode
Met deze methode worden de relevante aspecten van de activiteiten van de subserviceorganisatie en de bijbehorende interne controlemaatregelen bij de subserviceorganisatie volledig in het rapport opgenomen. De inclusieve methode kan ook gezien worden als een samenvoeging van afzonderlijke SOC-rapporten van twee entiteiten. Wat belangrijk is, is dat hetzelfde werkniveau dat wordt gebruikt voor de serviceorganisatie ook moet worden gebruikt voor de subserviceorganisatie. Dit kan ontmoedigend werken en daarom wordt de inclusieve methode in de praktijk zelden gebruikt. Entiteiten van het type broer/zus, zoals een operationele eenheid die wordt ondersteund door een aparte IT-afdeling, beide van hetzelfde moederbedrijf, zijn een voorbeeld van wanneer inclusief zou kunnen worden gebruikt. Een ander voorbeeld is wanneer de subserviceorganisatie bijna al haar activiteiten uitvoert met een niet-gerelateerde serviceorganisatie.
Stap 3. Laat zien hoe uw organisatie de gesplitste subserviceorganisaties beheert
Nu moet je ervoor zorgen dat als er een gesplitste subserviceorganisatie is, de organisatie goed documenteert hoe deze wordt beheerd. Bij subserviceorganisaties is een typisch leveranciersbeheerprogramma waarbij je de diensten, kwaliteit, het beleid en de procedures (bijv. IT-beveiliging) en verzekeringsdekking van de leverancier evalueert, niet voldoende. Bij een subserviceorganisatie moet je als serviceorganisatie stappen ondernemen om te bepalen of de typen CSOCS die je verwacht dat de subserviceorganisatie heeft, ook daadwerkelijk aanwezig zijn. Een van de eenvoudigste manieren om dit te doen is door het SOC-rapport van de subserviceorganisatie te verkrijgen, ervan uitgaande dat ze er een hebben.
Als er geen SOC-rapport beschikbaar is, moet de organisatie informatie inwinnen bij het management van de subserviceorganisatie, andere interne rapporten lezen die de subserviceorganisatie kan opstellen en/of bezoeken ter plaatse afleggen om de vereiste CSOCS te beoordelen.
Stap 4. Aanvullende controles op gebruikersentiteiten begrijpen en naleven De laatste stap bereiken.
De meeste serviceorganisaties hebben verwachtingen van hun gebruikersentiteiten, die auditors ook wel CUEC’s noemen. CUEC staat voor “Complementary User Entity Controls”. De subserviceorganisatie verwacht ook dat de organisatie als gebruikersentiteit bepaalde soorten interne controlemaatregelen neemt. En nu is de laatste stap om te begrijpen en te bepalen hoe de organisatie hieraan voldoet.