ISAE 3402: er zijn nog wat kloven te overbruggen
ISAE 3402: er zijn nog wat kloven te overbruggen
15 december 2022
Steeds meer organisaties besteden IT of andere processen uit. Deze uitbesteding zorgt voor efficiency, maar brengt ook risico’s met zich mee. Is informatiebeveiliging goed geregeld? Hoe wordt omgegaan met privacy? Voor uitbestede diensten met een effect op de financiële verslaggeving is de ISAE 3402 standaard in het leven geroepen. Maar worden deze andere risico’s ook in zo’n rapportage afgedekt? En komen de belangen en de behoeften van aanbieder en gebruiker overeen op dit gebied? Voormalig afstudeerstagiair Joep van Dommelen onderzocht deze vraag dit in opdracht van Joanknecht. Daaruit blijkt dat er nog wat kloven te overbruggen zijn.
ServQual als basis
Als basis voor het onderzoek werd het ServQual-model gebruikt. Dit is een kwalitatieve onderzoeksmethode om de verwachtingen van klanten met betrekking tot de kwaliteit en tevredenheid te meten. Dit model kent een vijftal kloven: knowledge, policy, delivery, communication en customer. Experts, accountants, gebruikers- en serviceorganisaties werden geïnterviewd over deze vijf kloven. De analyse hiervan bracht drie probleemgebieden naar voren.
De kenniskloof
Ten eerste is er een knowledge gap tussen gebruikers- en serviceorganisaties. Vooral de managementperceptie van de serviceorganisatie en de verwachtingen van gebruikersorganisaties lopen uiteen. Iedere organisatie is immers anders. Dit maakt het ingewikkeld om alle verwachtingen van een gebruikersorganisatie te verwerken in een ISAE 3402 rapportage. Diversiteit ligt hier dus aan ten grondslag. Ook inventariseert het management van de serviceorganisatie de verwachtingen vaak onvoldoende door gebrek aan tijd, financiën of strategische aspecten. Maar ook een gebrek aan kennis over ISAE 3402 aan de gebruikerskant zorgt voor een kloof. Dit maakt het voor serviceorganisaties lastig een beeld te vormen over de verwachtingen. Het zou dus goed zijn de voordelen, urgentie en groeimogelijkheden van ISAE 3402 meer te benadrukken. Daardoor zullen gebruikers zich eerder inlezen in de materie – en dus meer betrokken raken. Dit zorgt voor concrete gesprekken waarin verbetering en dienstverlening centraal staat. Bovendien kunnen serviceorganisaties de gebruikersorganisatie meer en/of beter ‘opvoeden’. In de huidige situaties beoordelen veel accountants de ISAE 3402 rapportage zelf in relatie tot de jaarrekeningcontrole. De focus zou echter veel meer moeten liggen op professionalisering, volwassenheid en kwaliteit in de samenwerking tussen de service- en gebruikersorganisatie.
De dienstverleningskloof
Maar er is ook sprake van een delivery gap. Deze ontstaat door het hiaat tussen benoemde en geleverde kwaliteit van de ISAE 3402. De serviceorganisatie heeft ambities, doelstellingen en een toekomstvisie en past haar dienstverlening hierop aan. Toch blijkt dat in sommige gevallen de Service Level Agreement (SLA) of ISAE 3402 rapportage hetzelfde blijft terwijl de dienstverlening al is aangepast. En dat resulteert dus in een kloof. Het verminderen van de delivery gap is mogelijk als de serviceorganisatie helder heeft wat de gebruikersorganisaties echt wil en verwacht van ISAE 3402. Duidelijke en realistische afspraken zorgen dat de daadwerkelijke dienstverlening zo goed mogelijk aansluit op de beloofde dienstverlening. Dit geldt onverkort ook voor de wijze waarop verantwoording wordt afgelegd over de geleverde diensten: zorg dat de beheersingsverantwoording aan de hand van de ISAE 3402 rapportage aansluit bij de overeengekomen verwachtingen.
In onze praktijk merken we bovendien dat er vaak meer of andere verwachtingen bestaan bij de gebruikersorganisaties ten aanzien van risico’s op het vlak van onder meer informatiebeveiliging en privacy. Dat begint vaak al bij het niet concreet benoemen van deze verwachtingen in contracten en SLA’s. Ook in de ISAE 3402 rapportage komen deze risico’s en beheersingsmaatregelen niet terug. Een ISAE 3402 rapportage is primair gericht op de financiële rapportage van de gebruikersorganisatie, waarbij aanvullende maatregelen best een plaats kunnen krijgen in deze rapportage.
De communicatiekloof
En dan is er ten slotte nog sprake van een communication gap. Vooral communicatie over user control considerations voor gebruikersorganisaties ontbreekt, ook wel ‘aanvullende beheersingsmaatregelen binnen de gebruikende entiteit’ genoemd. Ook hier is een gebrek aan kennis bij de gebruiker vaak de oorzaak. Dit komt ook omdat serviceorganisaties vaak terughoudend zijn in het delen van informatie van de ISAE 3402 omdat het document gevoelige informatie bevat. Toch is communicatie één van de belangrijkste voorwaarden voor een succesvolle samenwerking. Duidelijkheid en transparantie zorgt voor een betere connectie tussen gebruikers- en serviceorganisaties en maakte organisaties complementair. Dit voorkomt valse verwachtingen en teleurstellingen. Serviceorganisaties moeten dus investeren in hun externe communicatie als het gaat om ISAE 3402. Ze moeten zich vooral verdiepen in de branches waarin gebruikers actief zijn. Zo kunnen ze optimaal voorzien in behoeften en verwachtingen. Daarnaast is het verstandig de user control considerations standaard te vermelden in het service level agreement. Zo kunnen deze overwegingen zo vroeg mogelijk in het proces worden overwogen en indien nodig geïmplementeerd.
Mooie aanknopingspunten voor verbetering
Joanknecht omarmt de uitkomsten van het onderzoek. Het biedt een realistische kijk op de belangen en behoeften zowel service- als gebruikersorganisaties als het gaat om ISAE 3402. En die inzichten bieden voor dus mooie aanknopingspunten om de kwaliteit en relevantie van ISAE 3402 rapportages verder te vergroten.
