Valid heeft in februari wederom een ISAE 3402 type 2 rapport gekregen, nadat in 2016 het rapport voor de eerste keer is uitgebracht.
Ook al heeft Valid zijn zaakjes goed op orde, toch was het spannend of de deadline gehaald kon worden. En wie denkt dat voor de tweede keer toetsen door de auditor alleen maar een administratieve handeling is, maakt een denkfout. De auditor is minstens zo streng en nauwkeurig als de eerste keer dat de verklaring werd verleend.
Op zich ging het redelijk gemakkelijk. Maar omdat ik de verantwoordelijkheid heb overgenomen van een collega, moest ik even mijn weg vinden in de materie. Een ISAE doet een uitspraak over de beheermaatregelen die Valid heeft getroffen en die van belang zijn voor de jaarrekeningcontrole van klanten. In 2016 kon Valid al aantonen dat de nodige controls waren ingesteld. Wat het deze keer spannend maakte, was dat een belangrijke klant voor een specifieke datum onze verlengde verklaring in bezit moest hebben om zelf ook compliant te zijn. Dat was een heel strakke deadline.
De diepte in
Valid is ook deze keer geaudit door BDO Audit & Assurance. En als professionele organisatie nemen ze hun taak daar terecht heel serieus. Naast de auditor zijn zijn senior manager en een van de partners gedurende het gehele traject actief betrokken geweest. Het werk van de auditor is beoordeeld door zijn senior manager en ook nog eens getoetst door de partner in kwestie. De laatste review kon pas enkele dagen voor de korte deadline worden uitgevoerd. Ook dit jaar keer kwam de auditor met scherpe en gedetailleerde vragen. Dat is geen probleem, het is goed dat hij kritisch is en blijft. Maar snel antwoorden vinden is niet altijd even makkelijk. Valid moet bijvoorbeeld aantonen dat back-up policies in overeenstemming zijn met de afspraken die we met onze klanten hebben gemaakt. Voor ‘oudere’ klanten levert het in verband met de gebruikte back-up software in sommige gevallen meer werk op om dit aan te tonen. Dan kom je er niet met lijstjes en screenshots. Je moet configuratie-instellingen van specifieke klanten laten zien. Laat er nu net een complexe klant in de steekproef zitten met compleet afwijkende procedures…! Dit in verband met de synchronisatie van datacenters. Met de system engineers erbij hebben we moeten toelichten waarom we afweken van onze standaardaanpak en kunnen aantonen dat dit geborgd was. Maar het is allemaal op tijd gelukt. Dus daar heb ik wel een glaasje op gedronken.
Lessons learned
Het verkrijgen van de ISAE 3402 type 2 is natuurlijk geen doel op zich. Het is een middel om tot nog hogere kwaliteit van de bedrijfsprocessen en de communicatie met de klant te komen. Zaken die niet direct met ISAE te maken hebben, ga je toch zo structureren. Het geeft houvast en het helpt ook beslissingen te nemen. Als je weet dat een keuze een positieve audit belemmert: niet doen. Dat scheelt je achteraf een hoop stress.
De audit van dit jaar stond in het thema van de verfijning. Nu gaan we het proces efficiënter maken. De auditor heeft enkele aanbevelingen gedaan, met name op het gebied van Service Level-rapportage. Bij de start van dienstverlening verstrekken we een verklaring van de te leveren services en de rapportage daarover. Die rapportages wijken bij ons soms af, ze zijn in een aantal gevallen uitgebreider en gedetailleerder dan afgesproken. ISAE is wat dat betreft vrij eenduidig: het is een afwijking en dat hoort niet. Andere normsystemen zoals ISO zijn daar wat vrijer in, daar wordt ook naar de intentie achter een afwijking gekeken. Wat we daarnaast zelf anders gaan doen, is dat we in de voorgaande jaren aan het einde van het jaar interne controle deden over het hele jaar heen. Voortaan knippen we dat op in tweeën. In augustus houden we steekproeven en doen we controles op contracten en beleidsdocumenten over de de eerste helft van het jaar. In januari kijken we naar de tweede helft van het jaar. We zijn dan veel sneller klaar met de audit. Om de audit efficiënter te laten verlopen gaan we verder ook interne controls inrichten die moeten waarborgen dat bewijslast eenvoudiger en sneller beschikbaar is.
We hebben na twee audits lerend vermogen ontwikkeld. Een van de tips die ik kan meegeven aan organisaties die nog aan het begin staan: zorg voor strak ingerichte, duidelijk beschreven processen en sta in principe geen afwijkingen toe. En zorg voor een goed managementinformatiesysteem waarin zaken nauwgezet worden bijgehouden en acties getriggerd. Ons IT Service Management Systeem gaat heel ver in registratie en dat maakt het ons gemakkelijk bewijslast op te diepen.
Accountantscontrole
Waarom tijd en moeite investeren in ISAE? Het is heel simpel, veel klanten vragen erom. Valid voert bij een aantal klanten het technisch beheer uit van systemen voor de jaarrekening. Dan rijst de vraag hoe de uitbesteding wordt beheerd en of de serviceorganisatie de beheersmaatregelen daadwerkelijk uitvoert zoals met de klant is overeengekomen, zoals op het gebied van back-up, change management en gebruikers- en autorisatiebeheer. ISAE 3402-rapporten worden in toenemende mate gevraagd door accountantskantoren. De accountant die de jaarrekening van een klant controleert zal immers ook de processen die zijn uitbesteed moeten controleren want deze kunnen effect hebben op de totstandkoming van de jaarrekening. Als een klant zelf een ISAE-verklaring moet overleggen dan moet de leverancier die ook hebben. Het is voor ons dan ook geen nice-to-have, maar een must. Er wordt standaard om gevraagd.