Skip to main content
ISAE 3402 report

Risico van derden en ISAE 3402

Van volledige uitbesteding van complexe functies zoals IaaS, PaaS-services of de fabricage van componenten tot kleine contracten met lokale serviceproviders en leveranciers, organisaties in verschillende sectoren van verschillende omvang zijn sterk afhankelijk van externe serviceorganisaties.

 

Het outsourcen van activiteiten resulteert in kostenbesparingen, operationele efficiëntie of uitbreiding van expertise in de organisatie. Outsourcing impliceert ook een grotere risicoblootstelling. Inzicht in, analyse van en effectief reageren op risico's als onderdeel van een enterprise risk management (ERM)-benadering is essentieel voor het minimaliseren van blootstelling aan financiële verliezen, niet-naleving van regelgeving en reputatieschade.

 

Risico's van derden begrijpen

Het risico van derden is niet beperkt tot multinationale bedrijven die belangrijke zakelijke functies uitbesteden aan offshore-leveranciers. In de wereld van vandaag hebben de meeste organisaties regelmatig contact met dienstverlenende organisaties als onderdeel van de reguliere bedrijfsvoering, zoals besproken in het vorige hoofdstuk. Zelfs kleine bedrijven vertrouwen op serviceorganisaties voor verschillende soorten activiteiten, van het hosten van servers, IT-ondersteuning tot salarisverwerking. De toename van uitbesteding aan derden vergroot de potentiële risico's waarmee organisaties worden geconfronteerd.


De analyse van dit derdenrisico op een bepaald moment is essentieel voor de bedrijfscontinuïteit en het maximaliseren van de impact van de inspanningen op het gebied van risicobeheer. Gezien de grote afhankelijkheid van gegevens in de meeste bedrijven, kan elke derde partij met toegang tot gevoelige of vertrouwelijke informatie een potentieel risico vormen voor de bedrijfscontinuïteit. Bij uitbesteding kan, net als bij andere categorieën, risicograden en hiërarchieën worden overwogen. Deze hiërarchieën en graden vormen de basis voor het stellen van risicoprioriteiten door het management en de basis voor het risicoraamwerk in een ISAE 3402 | SOC1-rapport.

 

Risicoprioritering en ISAE 3402

Het stellen van risicoprioriteiten is geen eenmalige exercitie, alle parameters kunnen in de loop van de tijd worden aangepast, afhankelijk van factoren variërend van economische ontwikkelingen tot veranderingen in de regelgevende omgeving tot evoluerende strategische initiatieven. Hoewel het geen uitputtende lijst is, omvatten de soorten derden die doorgaans een
hoger risico voor uw organisatie vormen, serviceorganisaties zoals:


- Cloudcomputing/computing op aanvraag
- Software-as-a-Service (SaaS)
- Internetserviceproviders (ISP's)
- Creditcardverwerkingsplatforms
- Online orderafhandeling
- Datacenter- en co-locatieproviders
- HR en salarisadministratie
- Externe beheerders (TPA's)
- Print- en postdiensten
- Logistieke diensten van derden (3PL)
- Debiteurenverwerking en incassodiensten
- Due diligence door derden


Een gedegen due diligence voor het aangaan van een nieuw derdencontract is slechts een begin. Net als bedrijfsrisico's, moeten risico's van derden regelmatig en proactief worden beheerd gedurende de levensduur van een leveranciersrelatie, omdat parameters zich in de loop van de tijd aanpassen. Dit houdt in dat er gebruik wordt gemaakt van interne audit, financiële, juridische en – in veel gevallen – onafhankelijke auditors die een ISAE 3402 assurance-opinie afgeven.