Categorie: Advisory

Hoe kan een SOC-audit de winst verhogen?

Hoe kan een SOC-audit de winst verhogen?


Veel organisaties richten zich vooral op hun kerncompetenties en besteden de rest uit. Bekende voorbeelden zijn salarisadministratie en technologische infrastructuur. De afhankelijkheid van deze diensten neemt toe nu veel industrieën en bedrijven met elkaar verbonden raken.

Verschillende belanghebbenden onderzoeken SOC-rapporten. Wanneer een SOC-auditrapport ‘correct’ lijkt, onderscheidt het een organisatie van haar concurrenten en kan het operationele geloofwaardigheid bieden. Stakeholders kijken vooral naar de volgende variabelen:

  • Zekerheid over beveiligingsactiviteiten
  • Beschikbaarheid
  • Verwerkingsintegriteit
  • Vertrouwelijkheid
  • Privacy

Investeren in een SOC-audit biedt voordelen. Organisaties behouden niet alleen meer klanten, maar kunnen ook nieuwe klanten aantrekken. Dit kan dus leiden tot het behouden of zelfs vergroten van de winst.

Voor een succesvolle SOC-audit moet een organisatie een efficiënte operationele omgeving hebben. Hierdoor kan de organisatie effectieve controles uitvoeren. Sommige organisaties moeten misschien veel werk verzetten om een succesvolle SOC-audit te krijgen. Dit komt vaak omdat niet alleen een klein deel van de omgevingen moet worden aangepast, maar soms moeten hele omgevingen opnieuw worden ontworpen. Dit is vaak het keerpunt waarop veel organisaties hun focus verliezen. Ze vergeten de waarde die een SOC-audit kan hebben en daarom is het belangrijk dat organisaties zich blijven richten op investeringen.

Securance kan hierbij helpen. Risklane biedt diensten aan op het gebied van governance, risico en compliance. Sinds 2014 is Securance marktleider en de meest innovatieve organisatie op het gebied van ISAE 3402 implementatie en certificering. Naast ISAE 3402 bieden we ook diensten aan voor ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001 en COSO ERM.

Outsourcing trends

Outsourcing trends


Organisaties zijn voortdurend op zoek naar manieren om concurrentievoordeel te benutten om hun markten uit te breiden en hun winst te verhogen. Ze besteden steeds meer niet-kernactiviteiten uit. Desalniettemin blijft het management eindverantwoordelijk voor risicomanagement en het implementeren van een effectief controleraamwerk. Dit heeft geleid tot een grotere vraag naar assurance-standaarden zoals ISAE 3402 of ISAE 3000 voor activiteiten uitgevoerd door derden.

Geschiedenis

Gedurende een groot deel van de 20e eeuw was het meest populaire bedrijfsmodel het grote geïntegreerde bedrijf dat zijn activa rechtstreeks beheerde en controleerde en zich richtte op diversificatie om zijn zakelijke basis te verbreden en te profiteren van schaalvoordelen. Veel grote bedrijven ontwikkelden een nieuwe strategie om zich op hun kernactiviteiten te concentreren en zo hun flexibiliteit en creativiteit te vergroten. Hiervoor moesten kritieke processen worden geïdentificeerd en moest worden besloten welke processen konden worden uitbesteed.

Outsourcing

Als gevolg van globalisering, toegenomen concurrentie en kostendruk besteden organisaties steeds meer essentiële bedrijfsfuncties uit aan dienstverleners. Het uitbesteden van kernprocessen heeft een directe impact op de jaarrekening en de belangrijkste bedrijfsprocessen van een bedrijf. Het is niet langer beperkt tot routinematige back-office taken. Hoe kunnen organisaties vertrouwen krijgen in uitbestede bedrijfsprocessen? Hoe kunnen ze zorgen voor controle en zekerheid over deze uitbestede processen?

De toename in uitbesteding, vooral van cruciale bedrijfsinformatie, brengt ook verhoogde risico’s en zorgen over de beveiliging met zich mee. Organisaties kunnen te maken krijgen met operationele, financiële of zelfs reputatieschade door tekortkomingen in de beveiliging van externe dienstverleners. Een onafhankelijke beoordeling van kritieke uitbestede bedrijfsprocessen of IT-systemen helpt organisaties bij het identificeren en beheren van deze risico’s en het herwinnen van zekerheid over uitbestede processen.

De meest voorkomende redenen voor uitbesteding zijn:

  • Bedrijfskosten beheersen en verlagen
  • Meer aandacht voor kernprocessen
  • Toegang tot mogelijkheden van wereldklasse
  • Interne middelen vrijmaken voor andere doeleinden
  • De efficiëntie in specifieke functies verhogen
  • Onvoldoende interne middelen
  • Risico’s delen met andere organisaties

De huidige fase in de evolutie van outsourcing omvat strategische partnerschappen. Tot voor kort was het vanzelfsprekend dat organisaties kerncompetenties niet konden uitbesteden. Dit is veranderd en ISAE 3402/SOC1 of ISAE 3000/SOC2 is gemeengoed geworden.

 

Agency Theorie bij uitbesteding

Agentschapstheorie in uitbesteding

Schaalvoordelen

Sinds de industriële revolutie vragen organisaties zich af hoe ze hun concurrentievoordeel kunnen gebruiken om hun marktaandeel en winstgevendheid te vergroten. Het dominante model in de 19e en 20e eeuw was de grote geïntegreerde organisatie. In de jaren 1950 en 1960 breidden bedrijven hun basis uit om te profiteren van schaalvoordelen.

De grote geïntegreerde organisatie diversifieerde haar productassortiment en uitbreidingen vereisten meer managementlagen. Technologische ontwikkelingen, zoals het internet, dwongen organisaties in de jaren 1980 en 1990 om meer wereldwijd te concurreren. Ze werden gehandicapt door een gebrek aan flexibiliteit als gevolg van opgeblazen managementstructuren. Om de wendbaarheid te vergroten hebben veel grote organisaties een strategie ontwikkeld die gericht is op hun kernactiviteiten en kernprocessen.

Probleem tussen opdrachtgever en agent

De focus op kernprocessen leidde tot een discussie over welke processen essentieel en cruciaal zijn voor bedrijfscontinuïteit en welke kunnen worden uitbesteed aan externe dienstverleners. Processen of functies waarvoor intern onvoldoende middelen beschikbaar waren, werden uitbesteed aan gespecialiseerde bureaus of leveranciers. Bijgevolg ontstond het principaal-agent probleem tussen de gebruikersorganisatie en de serviceorganisatie, en de principaal-agent theorie en gerelateerde informatieasymmetrie wonnen aan belang in lijn met de groei van outsourcing.

Asymmetrie van informatie

De meest voorkomende agentschapsrelatie in het financiële domein vindt plaats tussen investeerders (of aandeelhouders) en het management van een bedrijf. Het is mogelijk dat de principaal niet op de hoogte is van de activiteiten van de agent of dat het de agent verboden is om informatie te verkrijgen. Het resultaat is informatieasymmetrie tussen de principaal en de agent. Het management kan bijvoorbeeld willen beleggen in opkomende economieën, terwijl de risicotolerantie van de opdrachtgever ongunstig is. Deze managementstrategie kan ten koste gaan van de winstgevendheid op korte termijn en de bedrijfsrisico’s verhogen, wat mogelijk leidt tot hogere toekomstige inkomsten. Beleggers die hoge lopende kapitaalinkomsten met lage risico’s wensen, zijn misschien niet op de hoogte van deze beheerplannen. Als het gevolg van deze strategie bepaalde verliezen zijn, kan het management geneigd zijn om deze informatie niet bekend te maken aan de aandeelhouders. De ontwikkeling van het accountantsberoep was een cruciale stap in het verminderen van het agency-probleem wereldwijd. In 1992 werd de SAS 70 standaard relevant voor outsourcing assurance, later vervangen door de ISAE 3402 standaard in 2011. Uitbestedingszekerheid verminderde informatieasymmetrie en verbeterde het vertrouwen tussen de gebruiker (organisaties die uitbesteden) en de serviceorganisatie (organisaties die diensten leveren aan deze organisaties).

Agentschapstheorie in uitbesteding

In het algemeen heeft de agentschapstheorie betrekking op alle relaties tussen twee partijen waarbij de ene partij de principaal is en de andere de agent die de principaal vertegenwoordigt in transacties met derden. Agentschapsrelaties ontstaan wanneer principalen agenten inhuren om een dienst uit te voeren namens de principalen. Opdrachtgevers delegeren doorgaans beslissingsbevoegdheid aan agenten. Aangezien contracten en beslissingen met derden worden genomen door de agent, met gevolgen voor de principaal, kunnen er agentschapsproblemen ontstaan.

In de situatie waarin activiteiten door een gebruikersorganisatie worden uitbesteed aan een serviceorganisatie, is de agency theorie relevant voor alle beschreven aspecten: informatieasymmetrie, risicotolerantie en betrokken middelen. Een financiële instelling besteedt bijvoorbeeld IT-diensten uit aan een managed services provider. De managed service provider is mogelijk niet op de hoogte van de risicotolerantie van de instelling en kan besluiten dat een wekelijkse back-up acceptabel is of dat gegevensopslag buiten de EU is toegestaan. De serviceprovider informeert de organisatie mogelijk niet over bepaalde serverstoringen als het netwerkprobleem niet wordt geïdentificeerd door de financiële instelling. De serviceorganisatie kan ook geneigd zijn om de middelen voor het uitvoeren van activiteiten te minimaliseren, terwijl ze probeert de ontvangen vergoedingen te maximaliseren. Een serviceorganisatie kan ook een andere tolerantie ten opzichte van fraude hebben of zelf fraude plegen. In de pensioensector kunnen vermogensbeheerders profiteren van front-running transacties van pensioenfondsen. Dit resulteert in het principaal-agent probleem dat hierboven is beschreven.

Front running staat ook bekend als “tailgating” en is de verboden praktijk om handel te drijven om te profiteren van voorafgaande, niet-openbare kennis van een grote op handen zijnde transactie die de prijs van het onderliggende effect zal beïnvloeden.

Securance adviseert TelecityGroup

Securance adviseert TelecityGroup


TelecityGroup is Europa’s grootste aanbieder van carrier-neutrale datacenters. De datacenters van TelecityGroup bieden hoge connectiviteit en veilige omgevingen voor IT- en telecomapparatuur, die de drijvende kracht achter de digitale economie vormen. Telecity heeft datacenterclusters in 12 grote Europese steden. In de datacenters van Telecity komen de netwerken die samen het internet vormen samen en worden bandbreedte-intensieve applicaties, content en informatie veilig gehost. Telecity’s nieuwste 9MW datacenter AMS 5 in Amsterdam Zuidoost biedt niet alleen een robuuste stroomvoorziening, efficiënte koeling en uitgebreide beveiliging, maar ook ongeëvenaarde connectiviteit. Naast connectiviteit zijn beveiliging en controle cruciaal voor datacenters. Hiervoor bestaan verschillende standaarden, waarvan ISAE 3402 een van de belangrijkste is.

ISAE 3402 en datacenters

Sinds december 2014 is het COSO-raamwerk vervangen door COSO2013. De Nederlandsche Bank heeft CObit 4.1 en het bijbehorende volwassenheidsmodel opgenomen in het beoordelingskader voor informatiebeveiliging. Door deze ontwikkelingen eisen multinationals naast SaaS-providers steeds vaker ISAE 3402 van hostingproviders. Deze trend wordt ondersteund door de toename van het aantal geregistreerde datacenters in het ISAE 3402-register van 3 naar 10 binnen een jaar. Securance zal Telecity ondersteunen en adviseren bij de implementatie van ISAE 3402.

Telecity en beveiliging

Emile ten Hoor is verheugd dat Securance is geselecteerd als assurance- en beveiligingsadviseur voor de Telecity Group. Binnen ons huidige portfolio van vermogensbeheerders, SaaS- en hostingproviders is de Telecity Group een welkome aanvulling. We zijn zeer gemotiveerd en enthousiast om Telecity in dit proces te ondersteunen. We ondersteunen elke stap in de richting van professionalisering en streven naar betere beveiliging en controle in de ICT-sector.