management risk Naarmate bedrijven meer diensten en processen uitbesteden - de trend hierin is overduidelijk - neemt ook de aandacht voor de kwaliteit van en het vertrouwen in de samenwerking met deze dienstenleveranciers toe. Omdat tal van taken en verantwoordelijkheden in handen van een externe partner komen te liggen, creëert dit bij de onderneming die uitbesteedt vaak extra onzekerheden. Per slot van rekening blijft het bedrijf dat beslist uit te besteden de eindverantwoordelijkheid dragen. Ze moet hierbij ook haar eigen risicobeleid gestalte kunnen blijven geven. Het voorleggen van een Service Organization Controls Report (SOCR) is een steeds frequenter antwoord op deze bekommernis. In een notendop: een derde partij attesteert het risicobeheer van de partner aan wie uitbesteed wordt, wat de ongerustheid over de kwalitatieve dienstverlening van deze externe partner moet wegwerken. IT-dienstenleverancier Cegeka, een typische speler die vaak met uitbesteding belast wordt, en Ernst & Young, die regelmatig optreedt als onafhankelijke revisor en de SOCR afl evert, geven tekst en uitleg. context in kaart gebracht... Steeds meer bedrijven besteden de meest diverse activiteiten uit, de (gekende) trend heeft zich de voorbije jaren steeds sterker gemanifesteerd. Hiervoor wordt beroep gedaan op gespecialiseerde diensten-leveranciers, telkens in functie van het type activiteit, ook wel eens 'service organizations' genoemd. 'Insights for Growth 2011', een studie van Ernst & Young, plakt een duidelijk cijfer op deze tendens. Een van de vaststellingen is dat in 2011 zomaar even 70% van alle Europese bedrijven minstens één bedrijfsfunctie uitbesteed heeft. Zowel dit percentage als het aantal processen dat men uitbesteedt zit bovendien in de lift. Ook in de motivatie om de stap naar uitbesteding te zetten, zitten een aantal terugkerende elementen. Economische druk, de wens op zich meer op de eigen kerntaken toe te leggen of een drang naar een grotere fl exibiliteit, zijn de meest voorkomende argumenten. Wordt gekeken naar de aard van de activiteiten en diensten, dan zijn de traditionele bedrijven aan wie uitbesteed wordt sociale secretariaten, incassokantoren, IT dienstenleveranciers en - enigszins samenhangend met het vorige - datacentra. Voor niet-abonnees stopt de rondetafel hier... II. Het Type I rapport geeft een geAuditeerde tracht men dit op te vangen door duidelijke Onmiddellijk roept deze ontwikkeling een aantal pertinente vragen in het leven. De facto wordt het eigen interne toezicht op deze processen door de uitbesteding bemoeilijkt. Want door het uitbesteden wordt ook het controleaspect aan een externe partner overgemaakt, op zijn minst gedeeltelijk. Hierdoor dreigen bij de uitbestedende bedrijven lacunes te ontstaan in het eigen risicobeheer. De ontstane onzekerheid baart de raden van bestuur, Audit comités, toezichthouders, net als interne- en externe Auditoren vaak zorgen. Logisch ook. Per slot van rekening blijft de eindverantwoordelijkheid voor deze uitbestede processen primair bij hen liggen. De vragen die ze stellen hebben natuurlijk betrekking op de fi nanciële rapportering, maar berusten ook op bekommernissen inzake veiligheid, beschikbaarheid en privacy. Deels Service Level Agreements (SLA's) met de externe partner, toch blijkt in de praktijk meer nodig te zijn. Service Organization Controls Reporting, kortweg SOCR, is het antwoord op deze vele vragen. service organization controls reporting “In essentie is SOCR een rapporteringsstandaard waarbinnen 'service organizations' de opzet, het bestaan en de consistente werking van hun eigen interne controles voor een specifi eke dienstverlening kunnen beschrijven en deze beschrijving extern - door een onafhankelijke partij - laten attesteren”, legt Stefan Olivier, vennoot bij Ernst & Young, uit. “Tot hier de offi ciële defi nitie (glimlacht). Eenvoudiger gesteld betekent dit dat de kwaliteit van de samenwerking tussen een gegeven onderneming en de partner waaraan één of meerdere diensten worden uitbesteed, door een derde, neutrale partij gecontroleerd en in kaart wordt gebracht.” “Binnen de rapporteringsstandaard wordt een onderscheid gemaakt tussen de rapportering over de controles rond de fi nanciële verslaggeving en de rapportering over de controles rond één of meerdere van de zogenaamde 'trust principles', met name veiligheid, integriteit, confi dentialiteit, beschikbaarheid en privacy”, vervolgt Stijn Elisabeth, manager bij Ernst & Young. “In beide gevallen worden algemeen internationaal erkende standaarden gebruikt. Voor de SOCR rapportering over de fi nanciële verslaggeving gebeurt dit via een ISAE – de International Standard for Assurance Engagements – 3402 rapport, zoals uitgevaardigd door het IAASB – het International Auditing and Assurance Standards Board. Deze rapporten worden binnen de SOCRterminologie eenvoudig weg aangeduid als SOC1. En dan is er ook een SOC2. Die heeft betrekking op de rapportering over de voormelde 'trust principles'. Deze gebeurt via een ISAE 3000 rapport, eveneens uitgevaardigd door de IAASB.” “Voor de volledigheid, dit is een technische aangelegenheid, moet nog het verschil tussen Type I en II aangestipt worden”, stelt Stijn Elisabeth. “Zowel wat SOC 1 - ISAE3402 - als SOC 2 - ISAE3000 - wordt een bijkomend onderscheid gemaakt tussen Type I en Type opinie van het opzet en het bestaan van de controle omgeving op één bepaald moment in de tijd. Type II slaat dan weer op de opzet, bestaan en consistente werking van de controle omgeving over een bepaalde periode die minimaal 6 maanden omvat. In de praktijk merk je dat de meeste dienstverleners het eenvoudigere Type I rapport gebruiken als vertrekpunt voor het diepgaandere en meer gewaardeerde Type II rapport.” isae is géén iso norm! Laat de woorden kwaliteit, controleren en externe partij samenvallen, en ISO is vaak hetgeen waarop men uitkomt. Begrijpelijk, maar niet altijd even correct, zo blijkt. “De gekende ISO-norm geeft vooral een antwoord op de vraag of een bedrijf theoretisch tot iets in staat is”, legt Stefan Olivier uit. “Zo kan je ook stellen dat een ISO-norm naar de toekomst kijkt, forward looking dus. Een ISAE rapport is hierin fundamenteel anders. Er wordt gekeken naar het nabije verleden en het rapporteert de realiteit van een net verstreken periode, backward looking. In de praktijk is dit meestal over één jaar. Zo'n rapport is ook niet het zwart/ wit-verhaal dat een norm - ISO of andere - wel is. Het is geen zegel. Normeer je, dan wordt nagegaan of aan een bepaalde standaard voldaan wordt. Zo ja, zal het bedrijf in kwestie het label verkrijgen, maar schiet het tekort dan zal dit categorisch geweigerd worden. Een ISAE verslag is veel genuanceerder. Dat men beschikt over zo'n rapport zegt wel iets, alleen dient men de opinie en de evaluatieresultaten door te nemen om de cfo magazine februari 2013 7 Pagina 39

Pagina 41

Heeft u een maandblad, digi magazine of digi-club bladen? Gebruik Online Touch: archief naar een digitale publicatie omzetten.

CFO Magazine (Niet abo) Lees publicatie 2Home


You need flash player to view this online publication