Categorie: Advisory

Outsourcing in de geschiedenis

Outsourcing in de geschiedenis

Schaalvoordelen

Sinds de industriële revolutie hebben organisaties nagedacht over het benutten van hun concurrentievoordeel om markten uit te breiden en winsten te verhogen. Het overheersende model in de 19e en 20e eeuw was de grote geïntegreerde organisatie. In de jaren 1950 en 1960 breidden bedrijven hun basis uit om te profiteren van schaalvoordelen.

De grote geïntegreerde organisatie diversifieerde haar productassortiment, waardoor meer managementlagen nodig waren voor uitbreidingen. Technologische vooruitgang zoals het internet in de jaren 1980 en 1990 dwongen organisaties om meer te globaliseren en werden gehinderd door inflexibiliteit als gevolg van opgeblazen managementstructuren. Om de wendbaarheid te vergroten, hebben veel grote organisaties een strategie ontwikkeld die gericht is op hun kernactiviteiten en kernprocessen.

Principaal-agent probleem

De focus op kernprocessen bracht discussies op gang over welke processen essentieel en cruciaal waren voor bedrijfscontinuïteit en welke konden worden uitbesteed aan externe dienstverleners. Processen of functies waarvoor intern te weinig middelen beschikbaar waren, werden uitbesteed aan gespecialiseerde bureaus of dienstverleners. Bijgevolg ontstond het principaal-agent probleem tussen gebruikersorganisaties en serviceorganisaties, en de principaal-agent theorie en gerelateerde informatieasymmetrie wonnen aan belang in lijn met de groei van outsourcing.

Informatieasymmetrie

De meest voorkomende agentschapsrelatie in het financiële domein vindt plaats tussen investeerders (of aandeelhouders) en het management van een bedrijf. Het is mogelijk dat de principaal niet op de hoogte is van de activiteiten van de agent of dat het de agent verboden is om informatie te verkrijgen. Het resultaat is een informatieasymmetrie tussen de principaal en de agent. Het management kan bijvoorbeeld willen beleggen in opkomende economieën terwijl de risicotolerantie van de opdrachtgever ongunstig is. Deze managementstrategie kan ten koste gaan van de winstgevendheid op korte termijn, de risico’s van het bedrijf vergroten en mogelijk leiden tot hogere rendementen in de toekomst. Beleggers die op zoek zijn naar hoge lopende kapitaalinkomsten met lage risico’s zijn mogelijk niet op de hoogte van deze beheerplannen. Als deze managementstrategie leidt tot bepaalde verliezen, kan het management geneigd zijn deze informatie niet bekend te maken aan aandeelhouders. De ontwikkeling van het accountantsberoep was een belangrijke wereldwijde ontwikkeling in het verminderen van het agency-probleem.

Planning van risico’s en middelen

Zoals hierboven aangegeven, kunnen zich situaties voordoen waarin de agent van plan is om bepaalde middelen van de beleggers toe te wijzen aan beleggingen met een hoog risico. De agent neemt de beslissingen en draagt weinig tot geen risico, aangezien alle verliezen door de principaal worden gedragen. Deze situatie kan zich voordoen wanneer aandeelhouders financiële steun verlenen aan een entiteit die het management naar eigen goeddunken gebruikt. De agent kan een andere risicotolerantie hebben dan de beleggers door een ongelijke risicoverdeling. Anderzijds kunnen werknemers beslissen om hun energie te steken in een project dat op lange termijn geen voordelen heeft voor de organisatie. Het management is verantwoordelijk voor de financiële situatie van de organisatie en is zich mogelijk niet bewust van werknemers die zich op de verkeerde doelen richten.

Financiële gevolgen

Als de opdrachtgever een investeerder of aandeelhouder van een organisatie is, dan zijn de belangen van de opdrachtgever gericht op het optimaliseren van het rendement op investeringen. Opbrengsten uit beleggingen worden op korte of lange termijn uitgekeerd als dividend aan beleggers. De principes zijn gericht op het optimaliseren van dividendrendementen (op lange termijn). Het uitkeren van hoge dividenden aan principals beperkt de investeringsmogelijkheden of kan cashflowproblemen veroorzaken voor het management van de organisatie. Opdrachtgevers en agenten hebben in dit opzicht tegengestelde financiële belangen.

De agency-theorie is ook relevant in de relatie tussen management en werknemer. Werknemers hebben er belang bij om met minimale inspanningen hun persoonlijke salaris en persoonlijke voldoening te verhogen. Het management streeft naar het optimaliseren van productie- of verkoopvolumes tegen de laagste arbeidskosten. In deze context bestaat er ook informatieasymmetrie in de vorm van onvolledig inzicht in de dagelijkse activiteiten van werknemers door het management. Het management zal waarschijnlijk budgetteringsmechanismen en controles implementeren om de activiteiten van werknemers te optimaliseren voor het doel van de organisatie. De agency-theorie is ook relevant in uitbestedingssituaties.

Agentschapstheorie bij outsourcing

In het algemeen heeft de agentuurtheorie betrekking op alle relaties tussen twee partijen waarbij de ene partij de principaal is en de andere de agent die de principaal vertegenwoordigt in transacties met derden. Agentschapsrelaties ontstaan wanneer principalen agenten inhuren om een dienst uit te voeren namens de principalen. Opdrachtgevers delegeren doorgaans beslissingsbevoegdheid aan agenten. Omdat contracten en beslissingen met derden door de agent worden genomen die de principaal beïnvloeden, kunnen er agentschapsproblemen ontstaan.

In de situatie waarin activiteiten worden uitbesteed door een gebruikersorganisatie aan een serviceorganisatie, is de agency-theorie relevant voor alle beschreven aspecten; informatieasymmetrie, risicotolerantie en toegezegde middelen. Een financiële instelling besteedt bijvoorbeeld IT-diensten uit aan een managed services provider. De managed service provider heeft geen inzicht in de risicotolerantie van de instelling en kan besluiten dat wekelijkse back-ups acceptabel zijn of dat het opslaan van gegevens buiten de EU acceptabel is. Het is mogelijk dat de serviceprovider de organisatie niet informeert over downtime van bepaalde servers als deze netwerkstoring niet wordt geïdentificeerd door de financiële instelling. De serviceorganisatie kan ook geneigd zijn om zo weinig mogelijk middelen in te zetten voor het uitvoeren van activiteiten, in een poging om de ontvangen vergoedingen te verhogen. Een serviceorganisatie kan een andere tolerantie voor fraude hebben of zelf fraude plegen. In de pensioensector kunnen vermogensbeheerders profiteren door transacties van pensioenfondsen vooraf te laten uitvoeren. Dit resulteert in het principaal-agent probleem dat hierboven is beschreven.

 

ISAE 3402 voor zekerheid bij uitbesteding

ISAE 3402 voor zekerheid over outsourcing

De ISAE 3402 standaard is een internationaal erkende controlestandaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Het onderzoek door de auditor van een serviceorganisatie wordt algemeen geaccepteerd, omdat het een grondige beoordeling is van de interne controledoelstellingen en -activiteiten van een serviceorganisatie. Het auditraamwerk en de bijbehorende controlemaatregelen worden gedetailleerd beschreven in het System and Organization Report (SOC). De reikwijdte van een ISAE 3402/SOC-rapport Bestaat uit controles op informatietechnologie en operationele processen die de financiën van een organisatie beïnvloeden.

SOC 1 OF SOC 2

SOC-rapporten kunnen worden onderscheiden in SOC 1- en SOC 2-rapporten. Een ISAE 3402/SOC 1 richt zich op financiële overzichten en alle processen die daarop van invloed zijn. Een ISAE 3000 (of SOC 2) rapport is gericht op een breder scala aan gebruikersbehoeften, waaronder zorgen over privacy, vertrouwelijkheid en systeembeschikbaarheid. SOC 2-rapporten zijn modulair opgebouwd op basis van de Trust Services Principles en Criteria.

Type I en type II

Een ISAE 3402 Type I-rapport bevat een oordeel van een externe accountant over de controlemaatregelen die op een bepaald moment van kracht zijn. De externe accountant onderzoekt of de interne controlemaatregelen voldoende zijn opgezet om een redelijke mate van zekerheid te verschaffen dat de beweringen in de jaarrekening worden gerealiseerd en of er interne controlemaatregelen bestaan. In een ISAE 3402 Type II-rapport rapporteert de externe accountant ook over de werking van deze controlemaatregelen over een vooraf bepaalde periode. ISAE 3402-rapporten hebben doorgaans betrekking op het ontwerp en de werking van controles voor een periode van 12 maanden met een doorlopende dekking van jaar tot jaar. Een rapport kan betrekking hebben op een periode van minimaal zes maanden.

Externe vereisten afstemmen op interne risico-excellence

In uitbestedingssituaties kunnen veel vragen rijzen: Worden de diensten op een gecontroleerde manier uitgevoerd? Hoe wordt de beveiliging geregeld? Wie heeft toegang tot onze informatie? Zijn er adequate fraudepreventiemaatregelen genomen? ISAE 3402 biedt een oplossing voor deze problemen.

ISAE 3402 ondersteunt organisaties bij het meten en evalueren van risico’s en het afstemmen van het resulterende controleraamwerk op strategische doelstellingen en deze risico’s. Een eenmalige investering in het raamwerk betaalt zich terug door het vertrouwen in de markt en de uitmuntendheid van de organisatie te vergroten.

Wat past beter? Een SOC 1 of een SOC 2?

Wat past beter?

Een SOC 1 of een SOC 2?

De algemene term voor risicorapportage door serviceorganisaties aan gebruikersorganisaties is het Systems and Organization Control Report of SOC-rapport. Deze term is afkomstig van het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-raamwerk.

Deze werden voorheen Service Organization Control-rapporten genoemd. SOC is een serie rapporten afkomstig uit de VS. ISAE 3402 komt overeen met de Amerikaanse standaard Statement on Standards for Attestation Engagements (SSAE) 18. Een ISAE 3402-rapport geeft zekerheid over de beschrijving van het systeem van een serviceorganisatie en de geschiktheid van het ontwerp en de werking van haar interne controlemaatregelen door middel van een Service Auditor’s Report.

ISAE 3402 | SOC 1

In een ISAE 3402 | SOC 1-rapport definiëren organisaties hun eigen controledoelstellingen en controles en stemmen deze af op de behoeften van de klant. De reikwijdte van een ISAE 3402 omvat doorgaans alle operationele en financiële controles die van invloed zijn op financiële overzichten en algemene IT-controles (bijv. beveiligingsbeheer, fysieke en logische beveiliging, wijzigingsbeheer, incidentbeheer en systeembewaking). Met andere woorden, als een organisatie financiële informatie host die van invloed kan zijn op de financiële verslaglegging van uw klant, dan is een ISAE 3402 | SOC 1 auditrapport het meest logische voor een organisatie om na te streven en zal het waarschijnlijk worden aangevraagd. De ITGC’s, operationele controles en financiële controles worden gecontroleerd volgens het ISAE 3402 SOC 1-raamwerk.

In een SOC 1-audit moeten controles, die worden gebruikt om de interne controle over de financiële verslaglegging (ICOFR) nauwkeurig weer te geven, worden opgenomen als de organisatie onderworpen is aan SEC-dossiers in de VS.

Aangezien de belangrijkste leveranciers van financiële instellingen IT-serviceproviders waren en, in een later stadium, Cloud Service Providers en datacenter/hosting providers terrein hebben gewonnen in de IT-industrie, zijn SAS70, SSAE 18 SOC 1 en ISAE 3402 de meest uitgebreide en transparante standaard geworden voor IT-outsourcing en risk excellence. Organisaties die een ISAE 3402 | SOC 1-rapport nodig hebben, overwegen vaak ISAE 3000 | SOC 2-rapporten.

ISAE 3000 | SOC 2

ISAE 3000 | SOC 2-rapporten passen de Trust Services Principles and Criteria (TSP’s) toe. De TSP’s zijn een set specifieke vereisten ontwikkeld door de AICPA en het Canadian Institute of Chartered Accountants (CICA) om zekerheid te bieden over beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Een organisatie kan de verschillende aspecten kiezen die relevant zijn voor de behoeften van de klant. Een ISAE 3000 | SOC 2-rapport kan betrekking hebben op een of meer principes. Als uw organisatie andere soorten informatie voor uw klanten host of verwerkt die geen invloed hebben op hun financiële verslaglegging, dan is een ISAE 3000 | SOC 2 relevanter. In dit geval maken uw klanten zich waarschijnlijk zorgen of u wel veilig met hun gegevens omgaat en of ze er wel over kunnen beschikken zoals afgesproken. Een SOC 2-rapport, vergelijkbaar met een SOC 1-rapport, evalueert interne controles, beleidsregels en procedures.

SOC 1 OF SOC 2?

Organisaties die systemen of informatie verwerken, hosten of beheren die van invloed zijn op de financiële verslaggeving moeten altijd een ISAE 3402 | SOC 1 overleggen. ISAE 3000 | SOC 2 is van toepassing als alle systemen en processen geen verband houden met financiële verslaggeving. Leveranciers van datacenters, IaaS en PaaS rapporteren meestal hybride, met zowel een ISAE 3402 | SOC 1 voor financiële processen en systemen als een ISAE 3000 | SOC 2 voor niet-gerelateerde processen en systemen. De inhoud van beide rapporten zal identiek zijn.

Risico van derden en ISAE 3402

Risico van derden en ISAE 3402

Van volledige uitbesteding van complexe functies zoals IaaS, PaaS-diensten of de productie van componenten tot kleine contracten met lokale serviceproviders en leveranciers, organisaties in verschillende sectoren en groottes vertrouwen sterk op externe serviceorganisaties.

Uitbestedingsactiviteiten resulteren in kostenbesparingen, operationele efficiëntie of uitgebreide expertise binnen de organisatie. Uitbesteding brengt ook een grotere blootstelling aan risico’s met zich mee. Het begrijpen, analyseren en effectief reageren op risico’s als onderdeel van een ERM-aanpak (Enterprise Risk Management) is essentieel om de blootstelling aan financiële verliezen, niet-naleving van regelgeving en reputatieschade te minimaliseren.

Inzicht in risico’s van derden

Risico’s van derden zijn niet beperkt tot multinationals die belangrijke bedrijfsfuncties uitbesteden aan offshore leveranciers. In de wereld van vandaag hebben de meeste organisaties regelmatig te maken met dienstverleners als onderdeel van de reguliere bedrijfsvoering, zoals besproken in het vorige hoofdstuk. Zelfs kleine bedrijven vertrouwen op serviceorganisaties voor verschillende activiteiten, van het hosten van servers en IT-ondersteuning tot salarisverwerking. De toename van uitbesteding aan derden vergroot de potentiële risico’s voor organisaties.

Het op elk moment analyseren van dit risico voor derden is essentieel voor de bedrijfscontinuïteit en het maximaliseren van de impact van inspanningen op het gebied van risicomanagement. Gezien de grote afhankelijkheid van gegevens in de meeste bedrijven, kan elke derde partij met toegang tot gevoelige of vertrouwelijke informatie een potentieel risico vormen voor de bedrijfscontinuïteit. Bij uitbesteding kan, net als bij andere categorieën, rekening worden gehouden met risiconiveaus en hiërarchieën. Deze hiërarchieën en niveaus vormen de basis voor het bepalen van risicoprioriteiten door het management en de basis voor het risicoraamwerk in een ISAE 3402 SOC1-rapport.

Risicoprioritering en ISAE 3402

Het stellen van risicoprioriteiten is geen eenmalige exercitie; alle parameters kunnen in de loop van de tijd worden aangepast, afhankelijk van factoren variërend van economische ontwikkelingen tot veranderingen in de regelgeving en veranderende strategische initiatieven. Hoewel ze niet uitputtend zijn, omvatten de soorten derde partijen die doorgaans een hoger risico vormen voor uw organisatie serviceorganisaties zoals:

  • Cloud computing/on-demand computing
  • Software-as-a-Service (SaaS)
  • Internetproviders (ISP’s)
  • Platformen voor creditcardverwerking
  • Online orderverwerking
  • Datacenter- en colocatieproviders
  • HR- en salarisadministratie
  • Beheerders van derden (TPA’s)
  • Drukkerij en post
  • Logistieke diensten van derden (3PL)
  • Debiteurenverwerking en incassodiensten
  • due diligence door derden

Een grondige due diligence voordat je een nieuw contract met een derde partij aangaat, is nog maar het begin. Net als bedrijfsrisico’s moeten risico’s van derden regelmatig en proactief worden beheerd tijdens de levensduur van een verkopersrelatie, omdat de parameters na verloop van tijd worden aangepast. Hierbij wordt gebruik gemaakt van interne audit, financiële, juridische en – in veel gevallen – onafhankelijke auditors die een ISAE 3402-verklaring afgeven.