Skip to main content
4 stappen

Omgaan met leveranciers (sub-service organisaties) in 4 stappen.

Dit artikel geeft 4 stappen om het audit proces beter te overzien en om efficiënter te werk te gaan.

 

Stap 1. Is er spraken van een subservice-organisatie?

De zogeheten subservice-organisaties representeren een speciale klasse van leveranciers. Deze worden gedefinieerd als “een service-organisatie die door een andere service-organisatie wordt gebruikt een ​​aantal van de aan gebruikersorganisaties verleende diensten uit te voeren die waarschijnlijk relevant zijn voor de interne beheersing van die gebruikersorganisaties over de financiële verslaggeving"

Subservice-organisaties kunnen voorkomen in een SOC 1 of SOC 2 rapport en dit kan dan ook bepalend zijn of het een Type 1 of een Type 2 rapport is. De volgende providers zijn typische voorbeelden van een subservice-organisatie:

 

      - Datacenters
      - IT serviceproviders
      - Software als service of platform als serviceprovider

 

 

Stap 2. Uitgesplitste of inclusieve rapportages?

Zodra de organisatie heeft kunnen identificeren of er spraken is van een subservice-organisatie is, is dat eigenlijk pas het topje van de ijsberg. Voor het rapport moet namelijk ook nog worden besloten of er gebruik wordt gemaakt van de carve-out methode of de inclusive methode.

 

Carve-out methode

Bij deze methode komt CSOCS op het pad. De controles die door de subservice-organisatie worden uitgevoerd worden hierbij niet in de rapportage opgenomen. Er wordt alleen gekeken naar een beeld van wat de subservice-organisatie voor de service-organisatie betekent en hoe deze op elkaar inwerkt in combinatie met uw systeem en de verschillende controles die worden verwacht zodat u controledoelstellingen voor vertrouwensdiensten kunt bereiken.

 

Inclusive methode

Bij deze methode worden juist de relevante aspecten van de verrichtingen van de subservice-organisatie en de gerelateerde interne beheersingsmaatregelen bij de subservice-organisatie geheel opgenomen in het rapport. De inclusive methode kan ook wel worden gezien als een samenvoeging van afzonderlijke SOC rapporten van twee zaken. Wat belangrijk is, is dat hetzelfde werkniveau dat wordt gebruikt voor de service-organisatie ook moet worden gebruikt voor de subservice-organisatie.  Dit ontmoedigend kan zijn en daarom wordt het gebruik van de inclusieve methode in de praktijk zelden gezien. Entiteiten van het type broer/zus, zoals een operationele eenheid die wordt ondersteund door een afzonderlijke IT-afdeling, beide van dezelfde moedermaatschappij, is een voorbeeld van wanneer inclusief zou kunnen worden gebruikt. Een ander voorbeeld zou zijn wanneer de subservice-organisatie bijna al haar activiteiten uitvoert met een niet-gerelateerde service-organisatie.

 

Stap 3. Toon aan hoe uw organisatie de uitgesplitste subservice-organisaties beheert

Nu moet u gaan zorgen dat als er een uitgesplitste subservice-organisatie bestaat, dat de organisatie dit goed documenteert hoe het wordt beheert. Bij subservice-organisaties is een typisch leveranciersbeheerprogramma waarbij u de dienstverlening, kwaliteit, het beleid en de procedures (bijvoorbeeld IT-beveiliging) en de verzekeringsdekking van de leverancier evalueert, niet voldoende. Bij een subservice-organisatie moet u als service-organisatie stappen ondernemen om te bepalen of de typen CSOCS die u verwacht dat de subservice-organisatie zal hebben, daadwerkelijk aanwezig zijn. Dit doe je door een van de gemakkelijkste manieren is om het SOC rapport van de subservice-organisatie te verkrijgen, ervan uitgaande dat ze er een hebben.

Wanneer er geen SOC rapport aanwezig is, dient de organisatie informatie in te winnen bij het management van de subservice-organisatie, andere interne rapporten te lezen die de subservice-organisatie kan produceren en/of bezoeken ter plaatse uit te voeren om uw vereiste CSOCS te beoordelen.

 

 

Stap 4. Complementaire controles over gebruikersentiteiten begrijpen en naleven

Aangekomen bij de laatste stap. Het grootste deel van de service-organisaties hebben verwachtingen van hun gebruiksentiteiten die door de auditors ook wel CUEC’s worden genoemd.  CUEC staat voor “Complementary User Entity Controls”. De subservice-organisatie verwacht ook van de organisatie als gebruikersentiteit dat deze zich bezighoudt met bepaalde soorten interne beheersingsmaatregelen. En nu is de laatste stap om deze te begrijpen en te bepalen hoe de organisatie hieraan voldoet.