In een outsourcing-deal zul je in veel gevallen te maken krijgen met een grote verscheidenheid aan standaarden, zo zegt Ronald Israëls, principal consultant bij Quint Wellington Redwood. Dat zijn er meer dan valt op te sommen. “Zelfs de Nederlandse Wet kun je daarbij als standaard opmerken”, zegt Israëls. Daarom is dit slechts een kleine greep uit de standaarden waar een projectmanager in een outsourcingdeal mee te maken krijgt.

In dit deel gaat Webwereld met Israëls in op de twee belangrijkste standaarden die op de audit, de controle op de dienstverlening, van toepassing zijn. Binnenkort noemen we ook een aantal dienstverleningstandaarden

Alles doorlichten

“Als je afspraken over de dienstverlening in een outsourcingcontract vastlegt, dan is een van de afspraken die je kunt maken dat deze dienstverlening kan worden ge-audit”, zegt Israëls. Deze controles kunnen worden gedaan door de audit-dienst van de klant, je kan ook afspreken om dat door een onafhankelijke auditor te laten doen en zelfs dat de leverancier op regelmatige basis een verklaring van een onafhankelijke auditor te werk gaat.

“Een audit is een doorlichting van de dienstverlening, en kan heel veel tijd kosten. Daarom kiezen leveranciers soms ervoor om een onafhankelijke auditor de controles uit te laten voeren. Die kan namelijk niet alleen de audit voor die ene klant doen, maar direct voor de complete dienstverlening”, legt Israëls uit. “Dienstverleningen worden vaak fabrieksmatig geleverd, dus één dienst voor meerdere klanten. Daar zit de efficiëntie en dus de winst in. Een onafhankelijke auditor kan de complete dienstverlening doorlichten, waardoor dubbel werk wordt voorkomen.”

SAS 70 en ISAE 3402

Twee standaarden waar auditors van dienstverleners mee werken zijn SAS 70 en ISAE 3402. Beide standaarden beschrijven de eisen waar een audit en het uiteindelijke rapport aan moeten voldoen.

In het geval van SAS 70 valt een onderscheid te maken tussen Type I en Type II. Type I leidt tot een rapport waar de auditor in beschrijft in hoeverre de dienstverlening gelijk is aan wat de dienstverlener naar (potentiële) klanten toe presenteert, en hoe effectief de opzet van de dienstverlening in de ogen van de auditor is. Type II bevat dezelfde informatie, plus nog een opinie over hoe effectief de beheermaatregelen tijdens een controle over een periode van minimaal 6 maanden in de praktijk zijn.

Amerikaans

ISAE 3402 is een nieuwere standaard, die soms ook wordt gepresenteerd als 'de opvolger' van SAS 70. Dat is een typering die Israëls nog niet terecht vindt. “Om het maar plat te slaan: het belangrijkste verschil van ISAE 3402 met SAS 70 is dat 3402 ook voorschrijft dat het management eerst moet verklaren dat ze aan een bepaalde kwaliteit voldoen. Eigenlijk inclusief een soort zelfanalyse. Daarnaast belooft ISAE3402 een internationale standaard te worden, terwijl SAS 70 een Amerikaanse standaard is.”

Positieve audit over slechte dienstverlening

Wat het effect van de standaarden is, hangt af van de afspraken tussen klant en leverancier. “Als je bijvoorbeeld hebt afgesproken dat het afhandelen van incidenten onderdeel van de dienstverlening is, en dat daarvoor naar de ITIL-standaard wordt gewerkt, dan zal de auditor kijken in hoeverre ITIL correct wordt toegepast”, zegt Israëls. “Maar soms is een klant alleen geïnteresseerd in een paar KPI's, en dan kun je hebben afgesproken dat alleen daarop ge-audit wordt.” De audit standaarden beschrijven dus alleen de controle op de dienstverlening, niet de dienstverlening zelf.

“Je kan bij wijze van spreken een hele slechte dienstverlening afspreken, maar die kan volgens de audit keurig worden geleverd.”