Na het behalen van onze ISAE 3402-rapportage – type 1, kregen we de vraag waarom wij het zo belangrijk vinden om met dergelijke certificeringen en rapportages bezig te zijn. Welnu, het is voor ons niet alleen een bevestiging dat we onze zaken goed op orde hebben, maar het is ook een belangrijke tool om ervoor te zorgen dat we continu bezig zijn met onze kwaliteit en (interne) verbeteringen. Het houdt ons scherp!
Allereerst in simpele woorden; wat is ISAE 3402?
ISAE 3402 is dé standaard voor outsourcing. De meeste organisaties besteden IT of andere activiteiten uit aan serviceorganisaties. Bij deze outsourcing is het van belang dat de serviceorganisatie, die IT-diensten aanbiedt, betrouwbaar is. Betrouwbaarheid kan worden onderverdeeld in verschillende aspecten; risicobeheersing, informatiebeveiliging, privacy, anti-fraude maatregelen en continuïteit. De ISAE 3402-standaard biedt uitgebreide mogelijkheden om over deze aspecten te rapporteren én deze rapportage te laten controleren door een externe accountant.
Waarom is dat voor de klant interessant?
De externe accountant die de jaarrekening van een organisatie controleert, zal normaal gesproken ook de processen moeten controleren die zijn uitbesteedt aan een leverancier. De diensten die Claranet voor een klant uitvoert hebben vaak directe gevolgen voor de operationele processen van de klant en zijn daarmee mede van invloed op diens jaarrekening. Bij de ISAE 3402-audit worden de beheersmaatregelen van Claranet getoetst op zowel de opzet en het bestaan van die regelingen. Daarnaast wordt ook de effectieve werking van deze maatregelen getoetst. Op basis van de behaalde ISAE 3402-verklaring kunt u ervan op aan dat we adequate beheers- en beveiligingsmaatregelen hebben ingericht. Voor het door de klant uitbesteedde deel van de werkzaamheden hoeft er dan geen audit meer plaats te vinden door de externe accountant omdat er een actuele ISAE3402 rapportage overlegd kan worden. En dat scheelt dus tijd, en dus geld!
Waarom is dat voor ons interessant?
Naast dat het voor onze klanten een bewijsstuk is van onze kwaliteit en betrouwbaarheid, is het voor ons intern ook belangrijk dat we door het doorlopen van het auditproces op een andere manier naar onze eigen processen en maatregelen kijken. En dat geldt niet alleen voor deze outsourcingstandaard maar ook voor de ISO-certificeringen die we hebben. Momenteel hebben we succesvol de audits voor ISO 9001 (kwaliteitsbeheersing), ISO 27001 (informatiebeveiliging), NEN 7510 (informatiebeveiliging, specifiek in de gezondheidszorg) en ISAE 3402 (outsourcing) doorlopen. Dit zijn overigens geen eenmalige exercities maar komt in een jaarlijkse cyclus terug via interne audits (waarbij collega’s elkaars processen en werkzaamheden onder de loep nemen) en formele externe audits waarbij de certificerende organisatie door ons complete managementsysteem lopen met de verschillende betrokkenen. Juist de nieuwe frisse blik zorgt ervoor dat we scherp blijven en zorgen de nieuwe inzichten voor een nog betere klantgerichtheid en tevredenheid.
Tip van de week
Tot slot een kleine tip van de week; controleer de certificaten! Er is een enorme verscheidenheid aan de reikwijdte van de certificeringen. Waar de ene organisatie bijvoorbeeld de complete dienstverlening heeft gecertificeerd, zijn er ook organisaties die hun platform in een datacenter hebben geplaatst met een certificering waarna ze claimen zelf gecertificeerd te zijn. Er zit een groot inhoudelijk verschil in de maatregelen die genomen zijn, maar hebben beide naar buiten toe dezelfde certificering. Door te kijken naar wat er nu precies gecertificeerd is, zorg je er dat dit achteraf geen hoofdpijn geeft.