Auditing / Onderzoek - Assurance bij IT Operations
Herkent u deze situatie?U heeft externe zekerheid nodig over uw processen van een onafhankelijke partij. Wat moet u daarvoor doen?
Wij kregen de volgende vraag
Een serviceorganisatie kan een groot deel van de IT Operations gaan uitvoeren voor een grote financiële instelling. Deze financiële instelling stelt echter de eis, dat de serviceorganisatie een SAS70-rapport (of ISAE 3402 rapport of een dergelijk rapport) kan overleggen.
Wij hebben die vraag als volgt aangepakt
Na het houden van een workshop bij de serviceorganisatie hebben wij met de serviceorganisatie een zogenaamd readiness traject opgestart waarin alle voor een TPA-rapportage relevante elementen werden betrokken. We hebben medewerkers opgeleid en de organisatie is de processen gaan documenteren, waarbij bijzondere aandacht werd gegeven aan de beheersmaatregelen. Wij hebben de producten steeds van commentaar voorzien, zodat er uiteindelijk een product lag, dat prima in orde was. Vervolgens hebben we de organisatie geholpen bij het bedenken en houden van awareness sessies. Iedereen die betrokken wordt in de uitvoering weet nu wat het belang is van de beheersmaatregelen en consistentie is gewaarborgd. Daarna hebben wij een audit uitgevoerd op de wijze waarop de organisatie de beheersmaatregelen uitvoerde.
Het heeft dit resultaat opgeleverd
Na enkele maanden hebben wij de serviceorganisatie een externe mededeling bij het rapport kunnen afgeven (een zogenaamde type I mededeling over ‘opzet en bestaan’), zodat kon worden voldaan aan de eis van de opdrachtgever, de financiële instelling. Weer zes maanden later konden wij de mededeling bij de eerste type II rapportage (over de ‘werking’) afgeven. Minstens zo belangrijk: bij de serviceorganisatie zijn de processen effectiever en efficiënter ingericht en worden dagelijks kosten bespaard.