Assurances en certificeringen als onderdeel van compliance: wat is het verschil?
Regelmatig krijgen wij vragen over compliance en de assurances en certificeringen die Eshgro bezit. Is dit wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Zowel een certificering als assurance-opdracht hebben op zichzelf een bepaald belang en kunnen relevant zijn. Maar het is juist de combinatie van beide die voor jou als uitbestedende organisatie veel waarde toevoegt.
Assurance-opdrachten
Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Bij een assurance-opdracht controleert een auditor (onafhankelijke derde) of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader). Daarbij wordt onderscheid gemaakt tussen een type 1 of type 2 assurance-opdracht. Een type 1 opdracht heeft betrekking op een specifieke datum waarop door een auditor wordt vastgesteld of het normenkader met de juiste maatregelen wordt afgedekt. Of deze maatregelen ook daadwerkelijk effectief zijn, wordt hierbij niet gecontroleerd. Bij een type 2 opdracht gebeurt dat wel. Daarbij vindt een toetsing plaats ‘terug in de tijd’.
Op het gebied van IT-assurances is ISAE 3000A een van de bekendste typen assurance-opdrachten.
Certificeringen
Bij certificatie stelt een auditor (onafhankelijke, geaccrediteerde partij) vast of het beleid waarop een organisatie en/of processen worden bestuurd (managementsysteem) voldoet aan de specifieke eisen voor een bepaald onderwerp (object van onderzoek). Daarbij maakt men gebruik van een control framework (beheersdoelstellingen), ook wel certificeringseisen- of standaard genoemd. Het doel hiervan is het realiseren van een planmatige, systematische en continue verbetering van processen en procedures binnen de organisatie.
Afhankelijk van het object dat wordt gecertificeerd, kan een bepaald type certificering gelden. Zo bestaan er organisatie- of procescertificeringen, zoals ISO 27001 en NEN 7510, maar ook productcertificeringen of persoonscertificeringen.
De waarde van beide
Een assurance-opdracht is erg interessant wanneer je als organisatie overweegt om jouw IT uit te besteden aan een IT-leverancier. Zo kan met terugwerkende kracht en redelijke mate van zekerheid worden geconcludeerd dat processen door de IT-leverancier worden beheerst en deze hoge prioriteit geeft aan compliance. Vanzelfsprekend blijft er dan nog een kleine onzekerheid over. Worden toekomstige processen ook beheerst? Deze vraag kun je met certificatie beantwoorden. Zo ontstaat een krachtige combinatie die voor jou als uitbestedende organisatie veel waarde toevoegt.