Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Business
Redactie TechPulse

SAS 70

 

Het is niet de naam van een nieuw gadget à la James Bond, maar wel een certificaat voor bedrijven die IT-diensten leveren. Het gaat om steeds meer uiteenlopende diensten: beheer van de beveiliging, IT-management en beheer van specifieke toepassingen zoals loonberekening, maar ook de levering van goederen.

Het idee komt van het Amerikaanse instituut van bedrijfsrevisoren (aicpa.org). Het is de bedoeling dat bedrijven, door zo’n certificatie, kunnen bewijzen dat zij een hoog niveau van controle uitoefenen op hun activiteiten en hun systemen.

Een bepaalde dienst uitbesteden laat toe om een gespecialiseerde dienstverlener aan te spreken, vaak aan een interessante prijs. Maar de klant moet wel een controle uitoefenen, om ervoor te zorgen dat de geleverde dienst even goed of beter is dan wat het bedrijf intern kon realiseren. De SAS 70 certificatie bevestigt dat de leverancier zelf zijn diensten heeft laten controleren, met de hulp van een onafhankelijke auditor en volgens een welbepaald controleplan. Om de certificatie te ontvangen, moet de dienstverlener een erkend auditor inroepen en die persoon vragen zijn dienstverlening te controleren op basis van een auditprogramma dat de klant heeft voorgesteld. De auditor verifieert de documentatie van de betrokken processen en of die volstaan om een voldoende niveau van kwaliteit en beveiliging van de dienst te garanderen.

Vervolgens gaat hij op het terrein controleren of die processen zich ook effectief afspelen zoals gedocumenteerd. Het SAS 70 programma wint momenteel snel aan populariteit. Heel wat leveranciers nemen zelf het initiatief voor zo’n certificaat, nog voor hun klanten erom vragen. Dat heeft namelijk een aantal voordelen.

Eén zo’n voordeel is dat men zo kan vermijden om meerdere audits van de klant te moeten verwerken. Denk u de situatie in van een leverancier met een honderdtal klanten, waarvan de meerderheid jaarlijks één of meerdere auditors op hem af stuurt. Een tweede voordeel is het imago van de onderneming. Wie SAS 70 gecertifieerde diensten aanbiedt, heeft een streepje voor op concurrenten die dezelfde diensten zonder certificaat bieden. Bedrijven die zichzelf moeten auditeren vanwege de Amerikaanse Sarbanes-Oxley wetgeving, hebben ook de verplichting om hun eigen leveranciers te controleren. De SAS 70 certificatie kan daarvoor worden gebruikt.

De voorbereiding en documentatie voor een SAS 70 certificaat vergen heel wat tijd en inspanning. Dat moet zorgvuldig worden ingepland, alvorens er datums worden vastgelegd voor het bezoek van de auditor. Om dat werk te vergemakkelijken, heb ik al vaak het advies gegeven om een bekend referentiekader te gebruiken zoals ISO 17799 of Cobit, want dat laat toe om een gemeenschappelijke taal te spreken met de auditors en de vertegenwoordigers van de klant. Zo’n framework zorgt er ook voor dat er geen belangrijke controledomeinen over het hoofd worden gezien. Bent u dienstverlener? Misschien is het tijd om eens na te denken wat SAS 70 voor u kan betekenen.

Georges Ataya is hoogleraar aan de Solvay Business School, managing partner van ICT Control SA-NV en vice president international van het IT Governance Institute.

blogbusinessitprofessional
TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business