Third Party Risk Assurance voor dienstverleners: transparantie vereist

Bent u dienstverlener, en wilt u graag zekerheid bieden over de kwaliteit, beschikbaarheid en veiligheid van uw diensten? Dan is het tijd om aan de slag te gaan met een assurance-rapportage. Door transparant en eenduidig te rapporteren, voorkomt u overladen te worden met audits vanuit uw klanten, benadrukt Jeroen van Schajik, Partner IT Risk Assurance bij BDO.

Hoge eisen door wet- en regelgeving

Bij Third Party Risk Management denkt men snel aan een klant die diensten en producten inkoopt bij derde partijen. Toch is het onderwerp net zo belangrijk voor dienstverleners zelf. Zij moeten namelijk aan hoge eisen voldoen, zo schrijft wet- en regelgeving voor. Als voorbeeld noemt Van Schajik de Algemene Verordening Gegevensbescherming (AVG). Wanneer u als dienstverlener persoonsgegevens die u via uw klant krijgt verwerkt, moet dat op een veilige manier gebeuren. En: u moet dat kunnen aantonen. Naast de AVG geldt dat ook voor de Europese Digital Operational Resilience Act (DORA) en de Corporate Sustainability Reporting Directive (CSRD).

Van Schajik: “Klanten stellen, soms onder druk van toezichthouders steeds hogere eisen aan de kwaliteit, veiligheid en transparantie van geleverde diensten. Dit resulteert vaak in een overvloed aan vragenlijsten en verzoeken om rapportages. Klanten vragen bijvoorbeeld om ISO-certificeringen, assurance-rapportages zoals een ISAE3402(SOC1) of een SOC2. Als dat niet kan worden overlegd, volgen er vragenlijsten en mogelijk klantspecifieke audits. Als er voor elke klant een vragenlijst moet worden ingevuld of audits worden uitgevoerd, wordt het werkproces ernstig verstoord.”

Transparantie door een assurance-rapport

Daarom pleit Van Schajik voor het afgeven van assurance-rapporten op basis van een jaarlijkse herhalende audit. Deze vervangt alle losse audits en vragenlijsten van klanten, dat scheelt veel tijd. In zo’n assurance-rapport kunt u uw klanten laten zien of de gestelde doelstellingen op het gebied van de geleverde dienstverlening zijn behaald. Ook laat u zien op welke wijze u als leverancier risico’s beheerst en hoe maatregelen in een bepaalde periode zijn uitgevoerd.

Welk type rapport is geschikt?

Het doel is om één generiek rapport op te stellen, maar deze moet wel passen bij wat de lezer nodig heeft. “Het is van groot belang om te weten wie de lezers van deze rapportages zijn”, stelt Van Schajik. “Is het een externe accountant of iemand van de securityafdeling? Elke lezer heeft zijn eigen specifieke behoeften en voorkeuren.”

In de basis onderscheidt BDO twee verschillende rapporten. SOC-1(ISAE3402)-rapporten zijn gericht op het beoordelen van de beheersingsmaatregelen- en doelstellingen die van belang zijn in het kader van financiële verslaglegging en daarmee voor controlerende accountants van klanten, zoals bijvoorbeeld de uitbestede salarisverwerking. Aan de andere kant richten SOC-2 en SOC3-rapporten zich specifiek op het Informatie Technologie domein en zijn relevant bij IT-uitbesteding. Onderwerpen die hier centraal staan zijn informatiebeveiliging, continuïteit, cybersecurity en beveiligingsmaatregelen. Deze rapporten worden vaak opgevraagd door security officers, functionarissen gegevensbescherming en (interne of externe) IT-auditors.

Aan de slag met Third Party Risk Management

Third Party Risk Management vereist een nauwe samenwerking tussen dienstverleners en klanten. Als dienstverlener kunt u transparantie bieden via assurance-rapportages, zo kunt u aantoonbaar vertrouwen wekken. Het is een voortdurend proces dat de basis legt voor een succesvolle samenwerking met uw klanten en een effectief risicomanagement. Wilt u meer lezen over Third Party Risk Management? En hoe BDO u precies kan helpen? Download dan de gratis whitepaper.

Lees hier meer