Risico van derden en ISAE 3402
Van volledige uitbesteding van complexe functies zoals IaaS, PaaS-diensten of de productie van componenten tot kleine contracten met lokale serviceproviders en leveranciers, organisaties in verschillende sectoren en groottes vertrouwen sterk op externe serviceorganisaties.
Uitbestedingsactiviteiten resulteren in kostenbesparingen, operationele efficiëntie of uitgebreide expertise binnen de organisatie. Uitbesteding brengt ook een grotere blootstelling aan risico’s met zich mee. Het begrijpen, analyseren en effectief reageren op risico’s als onderdeel van een ERM-aanpak (Enterprise Risk Management) is essentieel om de blootstelling aan financiële verliezen, niet-naleving van regelgeving en reputatieschade te minimaliseren.
Inzicht in risico’s van derden
Risico’s van derden zijn niet beperkt tot multinationals die belangrijke bedrijfsfuncties uitbesteden aan offshore leveranciers. In de wereld van vandaag hebben de meeste organisaties regelmatig te maken met dienstverleners als onderdeel van de reguliere bedrijfsvoering, zoals besproken in het vorige hoofdstuk. Zelfs kleine bedrijven vertrouwen op serviceorganisaties voor verschillende activiteiten, van het hosten van servers en IT-ondersteuning tot salarisverwerking. De toename van uitbesteding aan derden vergroot de potentiële risico’s voor organisaties.
Het op elk moment analyseren van dit risico voor derden is essentieel voor de bedrijfscontinuïteit en het maximaliseren van de impact van inspanningen op het gebied van risicomanagement. Gezien de grote afhankelijkheid van gegevens in de meeste bedrijven, kan elke derde partij met toegang tot gevoelige of vertrouwelijke informatie een potentieel risico vormen voor de bedrijfscontinuïteit. Bij uitbesteding kan, net als bij andere categorieën, rekening worden gehouden met risiconiveaus en hiërarchieën. Deze hiërarchieën en niveaus vormen de basis voor het bepalen van risicoprioriteiten door het management en de basis voor het risicoraamwerk in een ISAE 3402 SOC1-rapport.
Risicoprioritering en ISAE 3402
Het stellen van risicoprioriteiten is geen eenmalige exercitie; alle parameters kunnen in de loop van de tijd worden aangepast, afhankelijk van factoren variërend van economische ontwikkelingen tot veranderingen in de regelgeving en veranderende strategische initiatieven. Hoewel ze niet uitputtend zijn, omvatten de soorten derde partijen die doorgaans een hoger risico vormen voor uw organisatie serviceorganisaties zoals:
- Cloud computing/on-demand computing
- Software-as-a-Service (SaaS)
- Internetproviders (ISP’s)
- Platformen voor creditcardverwerking
- Online orderverwerking
- Datacenter- en colocatieproviders
- HR- en salarisadministratie
- Beheerders van derden (TPA’s)
- Drukkerij en post
- Logistieke diensten van derden (3PL)
- Debiteurenverwerking en incassodiensten
- due diligence door derden
Een grondige due diligence voordat je een nieuw contract met een derde partij aangaat, is nog maar het begin. Net als bedrijfsrisico’s moeten risico’s van derden regelmatig en proactief worden beheerd tijdens de levensduur van een verkopersrelatie, omdat de parameters na verloop van tijd worden aangepast. Hierbij wordt gebruik gemaakt van interne audit, financiële, juridische en – in veel gevallen – onafhankelijke auditors die een ISAE 3402-verklaring afgeven.