- Door
- Rashid Niamat
- geplaatst op
- 20 februari 2014 08:01 uur
In 2013 heeft ISPam.nl diverse keren aandacht besteed aan de trend bij hosters en datacenters om gecertificeerd te zijn. Steeds vaker blijkt het nodig te kunnen aantonen aan objectieve veiligheidscriteria en andere aspecten van professionele dienstverlening te voldoen. 2013 was het jaar waarin meer hosters en datacenters het ISO27001 bordje mochten ophangen dan elk voorgaand jaar.
Wat kunnen we op dit vlak verwachten voor 2014? De glazen bol van de ISPam.nl redactie bracht geen uitkomst, daarom zijn we op bezoek gegaan bij Schuberg Philis, een aanbieder die een aparte positie in de markt inneemt door haar focus op enkel en alleen bedrijfskritische applicatieomgevingen. Het werd een boeiend gesprek over de visie op, en de betekenis van, audits met Sandeep Gangaram Panday, verantwoordelijk voor alle audit processen.
Audits en Auditing, zie de Wiki, is het containerbegrip voor controles die om meerdere redenen kunnen (of moeten) worden doorgevoerd. Schuberg Phillis bedient uitsluitend klanten voor wie het 24/7 beschikbaar zijn van hun bedrijfskritische applicatielandschap een vereiste is. Zoals Sandeep opmerkte: “de SLA heeft hier slechts één KPI: 100% klanttevredenheid”.
De klanten van Schuberg Philis eisen naast kwaliteit ook inzicht in de processen (denk aan overzicht van changes). Dat doen ze – zie de definities van auditing – omdat ze dat moeten van bijvoorbeeld toezichthouders. De ontwikkelingen – lees: de eisen die toezichthouders stellen – zijn de laatste jaren in een stroomversnelling geraakt. Gevolg is dat waar vroeger één audit per vaste periode voldoende was voor de klant en de toezichthouder dit aantal is opgeschroefd. Ook wat er bij een audit wordt gecontroleerd breidt steeds verder uit. En ook al heeft de lezer van dit artikel zelf nog nooit met een audit te maken gehad, hij kan op zijn vingers natellen dat dit soort processen tijdrovend is, geld kost en daarmee een redelijke impact heeft op je business.
De eerste jaren van Schuberg Philis (het bedrijf is in 2001 opgericht) was het aantal klanten en het aantal audits beperkt. Voor de interne klantteams en de externe auditors was het doorvoeren van een audit een bekend proces, dat hoe dan ook tijdrovend was. Naarmate het aantal klanten en het aantal audits toenam sinds de oprichting in 2001 werd duidelijk dat audits een steeds groter beslag gingen leggen op de organisatie. Het werd tijd op zoek te gaan naar een andere aanpak, die uiteraard 100% moest voldoen aan de (wettelijke) eisen, die alle betrokkenen zou helpen tijd te besparen en bovenal de kwaliteit zou borgen. Weet daarbij dat een audit de klant geld kost en dat de auditor die op locatie bij Schuberg Philis onderzoek doet (de externe audit) door collega’s van Schuberg Philis wordt voorzien van informatie. Elk document of procesbeschrijving dat moet worden overhandigd of verklaard gaat ten koste van de tijd die de collega kan besteden aan de klant. Maar tegelijkertijd is het betrokken zijn bij een externe audit voor elke collega ook een leerzaam proces dat er toe leidt dat kennis van personen en teams wordt vergroot.
Continuous Auditing bleek de oplossing voor dit vraagstuk. Daarachter schuil gaat precies wat de naam zegt. Alles waarop een normale audit is gebaseerd wordt toegankelijk gemaakt via een dashboard. Daarnaast ziet de externe auditor in een oogopslag alle verzamelde procesdata automatisch beoordeeld op relevante controleactiviteiten. De standaard procedure van elke audit, waarbij een beperkt aantal steekproeven moet worden genomen, wordt vervangen door het automatisch testen van de hele populatie. De kwaliteit van de audit en nog belangrijker het inzicht in de processen gaat zo enorm vooruit.
Waar zit nog meer de winst? Ten eerste bij de klant, deze manier van data aanleveren (toegang tot een omgeving waar alle tickets, changes, en dergelijke beoordeeld zijn) maakt het werk van de auditor stukken eenvoudiger. De ervaringen tonen aan dat de audit in de helft van de tijd verricht kan worden. De kwaliteit van het systeem zorgt er verder voor dat de auditor minder een beroep hoeft te doen op het klantteam bij Schuberg Philis. Winst daar, zoals al gezegd: deze mensen kunnen meer uren besteden aan de actuele klantprocessen in plaats van uitdraaien ophoesten, overleggen en uitleggen.
Voor Schuberg Philis heeft CA nog een ander voordeel. Meer zicht op processen en dat helpt alle medewerkers, die toch al betrokken zijn bij audits, de awareness verder te verhogen. Het klinkt ergens vreemd dat een audit, wat niet anders is dan terugblikken, helpt processen in het heden en de toekomst te verbeteren. Maar aantoonbaar is dat bij Schuberg Philis wel het geval.
Mooi verhaal, maar wat heeft een reguliere hoster hieraan die uitsluitend MKB klanten bediend? Het begint met de open deur: meer meten (en overzichtelijk documenteren) is meer weten. De daarop volgende stap is: Meer weten en dat met je klanten delen (en de externe auditors). Dat leidt weer tot betere samenwerking; intern en extern en tussen partijen die elkaar eerder in een strikte klant-leveranciers relatie kenden, beter zicht op processen en een groter vermogen de impact van nieuwe processen beter te kunnen beoordelen.
Te hoge abstractie en niet geschikt voor je dienstverlening? We hebben afgelopen jaar regelmatig gehoord dat de ISO27001 nodig was, omdat de klant van de klant dat eiste. Het is diezelfde ketensamenwerking dan wel ketenafhankelijkheid die kan zorgen dat jij ook opeens met audits te maken krijgt en dan is het handig te weten wat er zoal mogelijk is om er het maximale uit te halen.
