Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Kijk op ISAE3402 (Column)

  • Door
  • Rashid Niamat
  • geplaatst op
  • 12 juli 2012 08:01 uur

Wekelijks krijg ik tientallen persberichten en aankondigingen onder ogen. In die stroom viel recent een bericht op van een bekende zakelijke internet dienstverlener; het bedrijf had ISAE3402 Type 2 verkregen. ISAE3402 kom ik niet veel tegen in de internet sector, dus de hoogste tijd me hier weer eens in te verdiepen.

ISAE3402 vs SAS70
ISAE3402 Type 2 is een audit, uitgevoerd door daartoe bevoegde externe auditors, waarbij vooral wordt gelet op de werking van interne processen en op welke wijze de kwaliteit van de dienstverlening is geborgd. In Nederland zie ik deze ISAE3402 nog niet vaak genoemd worden. Dat komt omdat de meeste ondernemers die met dit type audits te maken hebben gewend zijn aan SAS70. SAS70 is echter recent uitgefaseerd en per juni 2011 is ISAE3402 een van de opvolgers. Het aantal contracten (of aanbestedingen) waarbij expliciet om ISAE3402 wordt gevraagd is vooralsnog niet bijzonder groot. Ik kwam zelfs recent nog tenders tegen waarbij om SAS70 werd gevraagd.

Certificeren, trend en noodzaak
Als je antwoord wil hebben op de meest voor de hand liggende vragen over ISEA3402 kun je de Wiki raadplegen, maar je kunt ook een deskundige je vragen voorleggen. En dat heb ik gedaan. Wederom ben ik om raad gaan vragen bij Louis van Garderen van Mazars. De eerste vraag die ik hem stelde had betrekking op mijn verbazing. Ik zie bijvoorbeeld veel meer ISO2700x persberichten voorbij komen dan ISEA3402. Volgens van Garderen zullen we echter in de toekomst meer ISEA3402 meldingen tegenkomen. Logisch, want er is een globale trend naar meer certificeringen. Iedereen die de beursschandalen van begin deze eeuw in de USA heeft meegemaakt, begrijpt ook waarom de roep om betere en objectieve audits is toegenomen.

Marketingtool
ISEA3402 is eigenlijk bedoeld als kader zodat de auditor van een klant met de auditor van de leverancier kan communiceren over – bijvoorbeeld in dit geval – de kwaliteit van de serviceverwerking van de datacenter activiteiten. Wat van Garderen daarbij scherp opmerkt, en dat is mij ook bij enkele klanten opgevallen, is dat het voor aanbieders van o.a. datacenterdiensten heel nuttig kan zijn ISEA3402 actief in te zetten. Toevoegen aan de lijst certificaten die op de website vermeld staan dus. Je onderscheiden van de concurrentie op meer dan de bekende ISO’s en groene stroom is altijd een interessante optie.

Bekendheid
Maar ISAE3402 op korte termijn als vast onderdeel van de propositie van elk datacenter, dat gaat om twee redenen niet gebeuren. Van Garderen bevestigt allereerst dat ISEA3402 nog niet echt bekend is in de markt. Een ander punt dat volgens hem een rol speelt is dat niet iedereen deze audit norm goed begrijpt. Ik kom wel eens bedrijven tegen die serverracks huren bij een ISO2700x partij en er dan in hun naïviteit van uitgaan dat ze zelf ook “zo goed als” ISO2700x gecertificeerd zijn. Dus dat er in die complexe markt van datacenter -en hostingdiensten onduidelijkheid is over ISEA3402 kan ik me goed voorstellen.

Noodzaak of onvermijdelijk
Dat het een nuttige audit is, daarvan ben ik al langer overtuigd. Als jouw prospect of klant zelf al geaudit wordt is het wel zo fijn als zijn auditor van jou een ISEA3402 kan inzien. En bij aanbestedingen en dergelijke is het in toenemende mate een eis, net zoals SAS70 dat vele jaren was.

Ik zie ISAE3402 echter ook als noodzakelijk onderdeel van een proces waarbij partijen – via onafhankelijke derden – steeds meer van elkaar willen weten dan alleen de financiële processen (wat de basis is van ISEA3402). Anders gezegd certificering en audits worden steeds meer een need to have in plaats van nice to have. Van Garderen lijkt die mening te onderschrijven en signaleert daarbij vanuit zijn vakgebied de behoefte in de markt aan meer focus op betrouwbaarheid en veiligheid van gegevensverwerkingen. De toekomst zal leren of ISAE3402 daarvoor een bruikbare TPA is.

Brenda, 16 juli 2012 9:59 am

" meer focus op betrouwbaarheid en veiligheid van gegevensverwerkingen. De toekomst zal leren of ISAE3402 daarvoor een bruikbare TPA is." Voor NYSE genoteerde bedrijven is dat geen vraag maar verplichting. (dus ook voor toeleveranciers van... en zoiets als Amazon/Google/Microsoft/vul datacenter/cloudprovider hier in, gaat echt niet elke Auditor binnenlaten.... dus TPA) Of zie ik iets niet?

Rashid Niamat, 16 juli 2012 11:16 am

Brenda,

ik heb 2 redenen om te stellen dat dit "concept" nog moet bewijzen ook op de langere termijn te werken.

1- zoals je zelf aangeeft; het treft niet alleen de grote beursgenoteerde organisaties, maar ook de (sub-)leveranciers. ISEA3402 e.a. kunnen een te zware belasting blijken voor met name kleinere organisaties. Dat kan leiden tot verschraling van het aanbod met alle daarbij horende negatieve effecten.

2- Heel fundamenteel, maar hoe betrouwbaar zijn audits? Tot aan Diginotar (waarover binnenkort meer op ISPam) twijfelden we daar in .NL niet aan. Inmiddels weten we beter.

Brenda, 17 juli 2012 8:38 am

Die tweede reden vind ik zeer interessant. Graag zou ik onderzoek daar naar zien. Wetenschappelijk onderzoek van een promovendus. Ik verwacht namelijk enerzijds dat betrouwbaarheid recht evenredig is met kennis en kunde IT-auditor en dat de publieke verwachting hoger/groter is dan dat wat verwacht mag worden. Beide zaken heeft de beroepsgroep uit te leggen/communiceren naar een breder publiek/maatschappij. :) Dat gaat dus ver voorbij "materialiteit" op jaarrekening.

Rashid Niamat, 17 juli 2012 9:56 am

Prachtig geformuleerd en ook ik wacht vol spanning op gedegen onderzoek aan deze kant van de grote plas.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.