Regelmatig krijgen wij vragen over de assurances en certificeringen die Eshgro bezit. Zijn deze wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Maar geen nood! In het derde en laatste deel van deze blogserie legt Compliance Officer Maik je precies uit wat het verschil is tussen een assurance-opdracht en certificatie. Daarbij gaat hij in op de wijze van rapporteren, doelgroep, diepgang van de toetsing en de periode waarover wordt getoetst.
Lees ook:
Assurance vs. Certificering deel 1: Wat is een assurance rapportage?
Assurance vs. Certificering deel 2: Wat is een certificering?
Wijze van rapporteren
Opbouw van het document
Een assurance rapportage is een vrij uitgebreid document. Het bevat een beschrijving van de organisatie, de voor de lezer relevante processen en werkzaamheden, plus het normenkader. Daarnaast wordt in de rapportage de verklaring van de auditor opgenomen, evenals zijn bevindingen en eventuele afwijkingen. Omdat je het normenkader zelf mag bepalen, is de rapportage maatwerk.
Dit in tegenstelling tot een certificaat, dat juist kort is en een generiek karakter heeft, waarbij geen ruimte is om eventuele afwijkingen te vermelden. Wel kan het voorkomen dat binnen dat generieke framework bepaalde normonderdelen ‘niet van toepassing’ worden verklaard. Daar wordt dan in de Verklaring van Toepasselijkheid naar verwezen. Ook een beschrijving van de organisatie en de voor de audit relevante processen en werkzaamheden ontbreken bij certificatie.
Non-conformities en afwijkingen
Wanneer niet aan een bepaalde doelstelling wordt voldaan, is er sprake van een non-conformiteit. In het geval van certificatie wordt het certificaat op dat moment niet afgegeven. Wanneer een non-conformiteit wordt geconstateerd bij een tussentijdse audit kan het certificaat zelfs worden ingetrokken. Geconstateerde non-conformities worden in een bezoeks- en/of auditverslag vastgelegd.
Bij een assurance rapportage worden de door de auditor geconstateerde afwijkingen in het rapport zelf genoteerd als een ‘bevinding’. Deze worden gerapporteerd bij de specifieke control(s) waarop de afwijkingen zijn geconstateerd. Dit stelt de lezer van het rapport in de gelegenheid een oordeel te vormen over de mogelijke impact van de afwijkingen op de door hem uitbestede processen. De organisatie ontvangt nog steeds een assurance rapport met verklaring, maar dan een met gerapporteerde bevindingen.
Doelgroep
Normenkader
Naast het eigen gekozen normenkader, worden in een assurance rapportage normen opgenomen die specifiek zijn voor klanten (gebruikersorganisatie) van de IT-leverancier (serviceorganisatie). Je stelt het normenkader dus zo samen dat het relevant is voor een specifieke doelgroep. Bij een certificering is het normenkader juist generiek, en daarmee de doelgroep in principe ook. Het normenkader kan voor iedereen van toepassing zijn en is daarom in vergaande mate gestandaardiseerd. Maatwerk is in dit geval niet mogelijk.
Wettelijke verplichtingen bij uitbesteding
Zowel een serviceorganisatie als gebruikersorganisatie moeten kunnen aantonen dat uitbestede processen worden beheerst. Sommige organisaties zijn hiertoe wettelijk verplicht. Denk bijvoorbeeld aan specifieke bepalingen uit de ‘Wet financieel toezicht’ in het geval van pensioenfondsen. Een pensioenfonds kan in haar geval weer aan een toezichthoudende autoriteit aantonen dat haar IT-leverancier processen en daarmee verbonden risico’s beheerst. De verwerking van gegevens door de IT-leverancier bevindt zicht buiten de beschikkingsmacht van het pensioenfonds. We zien deze assurance verklaring in toenemende mate populairder worden om aan te kunnen tonen dat aan wettelijke bepalingen wordt voldaan.
In het geval van certificatie, is het bezit van een (specifieke) certificering nog beperkt geregeld. Een van de bekendste certificeringen waaraan wettelijk moet worden voldaan, is NEN 7510. Deze is van toepassing op verwerkers van gezondheid- en welzijnsgegevens. Deze is van toepassing op verwerkers van gezondheid- en welzijnsgegevens. Daarnaast wordt in steeds meer wet- en regelgeving een certificeringsmechanisme geïntroduceerd. Een bekend voorbeeld is de Algemene Verordening Gegevensbescherming (AVG). Benieuwd hoe Eshgro de AVG aantoonbaar naleeft? Lees dan onze blog waarin we uitleggen hoe we daarvoor het NOREA Privacy Control Framework implementeerden in een ISAE 3000A type 2 assurance rapport.
Periode en diepgang van toetsing
Bij een assurance-opdracht wordt ieder jaar het bestaan en de werking van alle normen getoetst op basis van een ‘toereikende deelwaarneming’. Dit betreft de frequentie waarmee bepaalde controls getoetst moeten worden. Hoe vaker een beheersmaatregel door de serviceorganisatie wordt uitgevoerd, hoe vaker deze door de auditor moet worden getoetst. Bij een certificering worden alle normen en de daarop genomen maatregelen juist getoetst over de periode van de geldigheidsduur van het certificaat. In de meeste gevallen is dat 3 jaar. Daarbij kan het voorkomen dat tussentijdse surveillance audits plaatsvinden, waarbij diepgaand op bepaalde normonderdelen wordt getoetst.
Een certificering is daarmee toekomstgericht en gaat alleen over de opzet en het bestaan van de maatregelen. Bij een assurance-opdracht vindt toetsing juist plaats over een afgelopen periode. Terug in de tijd dus. Het voordeel hiervan is dat de auditor daarmee ook iets kan zeggen over de daadwerkelijke werking van de genomen maatregelen, iets dat bij certificatie niet kan. Een assurance-opdracht wordt dus vele malen dieper getoetst.
Combinatie is sterk
Een assurance-opdracht is erg interessant wanneer je als organisatie (beoogde gebruiker) overweegt jouw IT uit te besteden aan een IT-leverancier (serviceorganisatie). Hiermee kan namelijk met terugwerkende kracht en redelijke mate van zekerheid worden geconcludeerd dat processen door de IT-leverancier worden beheerst. Vanzelfsprekend blijft er dan nog een kleine onzekerheid over. Worden toekomstige processen ook beheerst? Deze vraag kun je met certificatie beantwoorden.
Zowel certificatie als assurance-opdrachten hebben op zichzelf een bepaald belang en kunnen relevant zijn. Maar het is juist de combinatie van beide die voor jou als uitbestedende organisatie veel waarde toevoegt. Onze tip is dan ook om altijd met IT-leveranciers in dienst te gaan die over het totale spectrum aantoonbaar kunnen maken dat processen worden én zijn beheerst.
Heb je vragen naar aanleiding van deze blogserie? Of wil je meer weten over onze assurance rapportages, certificeringen en de waarde hiervan voor jou als klant of partner? Neem dan gerust contact op. We vertellen je graag meer.
Jouw strategische partner in digitale transformatie
