In deze Compact staan wij stil bij hoe je als opdrachtgever zicht kunt krijgen op de kwaliteit van zaken die je niet zelf doet maar uitbesteedt aan een externe partij.
Niet al te lang geleden kenden we op het gebied van assurance begrippen als TPM en SAS70 en nu spreken we over ISAE 3402 of ISAE 3000 en recent zijn de nieuwe standaarden SOC 1/SOC 2/SOC 3 tot ons gekomen. De DigiNotar-casus heeft het IT-auditgebied wakker geschud doordat gebleken is dat er ondanks certificering toch sprake kon zijn van security-issues. Het is tijd om een discussie op gang te brengen over veranderingen die nodig zijn en het IT-auditberoep voor te bereiden op de toekomst.
Eerst wordt in het artikel van Boer c.s. uitgebreid ingegaan op de nieuwe SOC 2/SOC 3-standaard. Voor IT-auditors en toezichthouders zal deze standaard als muziek in de oren klinken omdat aspecten als security, continuity en privacy onderdeel kunnen worden van de rapportage waardoor meer diepgang op onderdelen mogelijk wordt.
In het artikel van Koorn c.s. wordt toegelicht wat de overeenkomsten en verschillen zijn en wordt ingegaan op hoe de combinatie tussen certificering en assurance in de praktijk wordt vormgegeven.
Van Toledo c.s. geven hun visie op de ontwikkelingen inzake de beheersing van de uitbesteding in de pensioensector. Hoe houden we een balans tussen regels en vertrouwen is het centrale thema in dit artikel, waarbij verschillende oplossingsrichtingen worden besproken.
IT-auditors kunnen veel meer dan in het verleden kijken. In het artikel van Koedijk c.s. wordt toegelicht hoe met behulp van een normenkader en tooling vanuit de bron bevindingen kunnen worden opgeleverd die in een dashboard aangeven hoe de kwaliteit van de software ervoor staat.
In het slotartikel gaan Van Gils c.s. in op de relatie tussen cloud en assurance. Uiteraard komen daarbij de nieuwe standaarden aan de orde maar wordt ook stilgestaan bij de fundamentele vraag of assuranceverstrekking nog wel in staat is mee te gaan met de ontwikkelingen.
In het artikel van Fikke c.s. op www.compact.nl en de Compact-App wordt ten slotte verslag gedaan van een onderzoek naar de toepassing van SOC 1 in de praktijk. Opvallend is dat gebruikers en de serviceorganisaties weinig hebben gecommuniceerd over de wijzigingen. Hier liggen volgens de auteurs nog kansen op verdere (wereldwijde) ontwikkeling.
Al met al biedt deze Compact rond het thema IT-assurance en certificering een breed spectrum van artikelen die u als lezer stimuleren om na te denken over de ontwikkelingen op het vakgebied en hoe wij ons kunnen voorbereiden op de nabije toekomst. Assurance 2.0 is nog niet helemaal helder maar ik hoop dat u geïnspireerd wordt om met de aangereikte bouwstenen en de nieuwe standaarden aan de slag te gaan, zodat we als IT-auditors toegevoegde waarde blijven houden.
Jaap van Beek
EMA IT Assurance leader KPMG IT Advisory