U kunt uw IT uitbesteden om bijvoorbeeld hogere efficiëntie of kostenreductie te realiseren. Hierbij worden contractuele afspraken gemaakt en vastgelegd in Service Level Agreements (SLA’s). Hierin leggen uw aanbieder en u de afspraken vast over een dienst of product en wordt afgesproken wat de prestatie-indicatoren en kwaliteitseisen zijn, om deze later te kunnen toetsen..
Door het uitvoeren van een SSAE 16 audit is het mogelijk om meer zekerheid te krijgen over de interne beheersmaatregelen van uw dienstverlener.
De SSAE 16 standaard is de Amerikaanse opvolger van de SAS70 verklaring en is opgesteld op basis van de ISAE 3402. Ten opzichte van de SAS 70 verklaring ligt er meer nadruk op risico-identificatie- en beheersing. Voor het hanteren van de SSAE 16 of ISAE 3402 standaard geldt dat partijen die opereren onder de regels van de overkoepelende Europese accountantsorganisatie IFAC, voornamelijk zijn gehouden aan de ISAE 3402, waarbij partijen die gelieerd zijn aan de Amerikaanse accountantsorganisatie AICPA zijn gehouden aan de SSAE 16.
SSAE 16 onderscheidt diverse typen onderzoeken en "Service Organization Controls" (SOC). Het type SOC bepaalt de inhoud van het normenkader wat wordt gehanteerd.
Typen onderzoek:
- Type I: Dit onderzoek richt zich op hoe de processen en beheersing zijn ontworpen en gedocumenteerd (opzet), en of er op de werkvloer op die wijze wordt gewerkt (bestaan);
- Type II: Dit onderzoek richt zich op het functioneren van de gedocumenteerde processen op de werkvloer, door het uitvoeren van een aantal waarnemingen gedurende het jaar (werking).
Noordbeek voert de volgende typen SOC uit:
- SOC I: Hier bepaalt de auditor van de hosting partij samen met de accountant van de uitbestedende partij het normenkader;
- SOC II: Hier wordt een gedefinieerd normenkader gebruikt welke is gebaseerd op de volgende 5 “Trust Service Principles”:
- Security;
- Availability;
- Processing integrity;
- Confidentiality;
- Privacy.
De principes Security en Availability zijn verplicht, de andere optioneel.
Voor wie is de SSAE 16 Audit bedoeld
- U heeft uw IT-activiteiten en bedrijfsprocessen uitbesteed en wil een redelijke mate van zekerheid hebben dat de uitvoerende partijen de interne controle van deze processen op orde heeft en dat de (financiële) rapportages betrouwbaar zijn;
- U wilt aan hun afnemers tonen dat uw organisatie de interne controle van de processen op orde heeft;
- Uw organisatie valt onder de Sarbanes-Oxley-wetgeving.
De voordelen
- U krijgt zekerheid over de kwaliteit van de interne processen en controls van de uitvoerende partij;
- U krijgt zekerheid of de uitvoerende partij de contractuele afspraken over interne processen en controls nakomt;
- Voor dienstverleners: Door een SSAE 16 TPM verhoogt u de betrouwbaarheid voor uw samenwerkingspartners.
De resultaten
- Bij een Type I onderzoek ontvangt u een rapport waarin staat beschreven of een uitvoerende organisatie in opzet en bestaan de interne processen goed heeft gedocumenteerd en ingericht;
- Indien er sprake is van een Type II onderzoek, ontvangt u een rapport waarin staat beschreven dat naast de opzet, de interne processen en controls ook in de praktijk over langere tijd worden gevolgd.