Financiële instellingen zijn verantwoordelijk voor een goede en beheerste bedrijfsvoering. Deze verantwoordelijkheid strekt zich uit tot de uitbesteding en dus ook tot naar de cloud brengen. Door diverse ontwikkelingen zijn financiële instellingen daarom aanvankelijk zeer terughoudend om cloud outsourcing te adopteren en helemaal naar de public cloud. Zorgen met betrekking tot veiligheid en compliance weerhielden hen kritische en belangrijke bedrijfsprocessen en -functies naar de public cloud te brengen. In plaats van de public cloud kozen zij daarom aanvankelijk voor private cloud toepassingen. De zorgen inzake veiligheid in het algemeen (cyber security in het bijzonder) en compliance (o.a. EBA en DNB) hadden vooral betrekking op aantasting of gebruik van data door anderen, niet beschikbaar zijn van applicaties, vendor lock-in en onmogelijkheid om vereiste control- en audit activiteiten te verrichten door de uitbestedende financiële instelling(en). Deze zorgen gelden overigens ook bij private clouds.
In februari 2019 heeft de EBA de finale versie van de “EBA guidelines on outsourcingsarrangements” gepubliceerd. Deze richtlijn beschrijft de wijze waarop financiële instellingen outsourcing relaties aangaan, deze dienen te monitoren en te beheersen. Het naar de cloud overbrengen of afnemen van clouddiensten wordt door de EBA gezien als een vorm van outsourcing. Door deze vorm van outsourcing ontstaan nieuwe risico’s bij financiële instellingen. De nieuwe EBA-richtlijn beoogt deze risico’s te identificeren, adresseren en te mitigeren. Met deze richtlijn introduceert de EBA één alles omvattende outsourcingsrichtlijn, die als nieuwe norm geldt voor financiële instellingen binnen de EU. Outsourcing is niet nieuw, maar uitbesteding aan CSP’s en daarbij gaan naar de public cloud door financiële instellingen is dat wel. Daarnaast zijn de grote CSP’s buiten de jurisdictie van de EU gevestigd.
De EBA richtlijn bevat een aantal strikte eisen ten aanzien van het governance framework van en outsourcing door de financiële instelling. Zo kan uitbesteding van functies er niet toe leiden dat de verantwoordelijkheden van het leidinggevend orgaan worden gedelegeerd. Betalingsinstellingen blijven volledig verantwoordelijk voor en rekenschap afleggen van de naleving van al hun regelgevingsverplichtingen. inclusief het vermogen om toezicht te houden op de uitbesteding van kritieke of belangrijke functies. Daarnaast geldt, dat het leidinggevend orgaan te allen tijde volledig verantwoordelijk is en rekenschap dient af te leggen van in elk geval de in EBA artikel 36 genoemde zaken en omstandigheden. De EBA-richtlijn is een mix van principle- en rule-based.
De oprichting van de Collaborative Cloud Audit Group (CCAG) was het begin van pooled audits. Door het gebrek aan ervaring met pooled audits moesten evenwel het framework, de auditbenadering, de testprocedures en de rapportage van de grond af opgebouwd worden door de CCAG-leden. Uitdagingen zijn onder meer de auditverantwoordelijkheid, aansturing, communicatie, vereiste deskundigheden en/of teamsamenstelling, het vertalen van generieke naar specifieke rapportages en de toegang tot veelal vertrouwelijke informatie en documentatie. Pooled audits vergroten de macht van de klanten naar de CSP’s en verlagen de kosten, maar anderzijds nemen bij toepassing van dit middel de coördinatie uitdagingen toe.
Hierbij moeten verschillen in cultuur, kennis, vaardigheid, ervaring en vaktechnische opvattingen tussen de deelnemers geadresseerd worden.
Nederlandse financiële instellingen blijken als beleid te hanteren het right-to-audit inclusief de toegang tot de subcontractors op te nemen in het contract. Tussen de klanten en de CSP bestaat evenwel geen level playing field in omvang, kennis, kunde en ervaring. Hierdoor ontstaan veelal zeer complexe besprekingen tussen klanten en CSP. Meerdere grote Nederlandse financiële instellingen proberen deze kloof te verkleinen door gebruik te maken van de door de richtlijn geboden mogelijkheid van pooled audits en actief te participeren in de Collaborative Cloud Audit Group (CCAG) en in dit kader uitgevoerde audits.
In het algemeen geven CSP’s er de voorkeur aan hun klanten te voorzien van periodieke assurance rapporten in plaats van al hun klanten toe te staan individuele audits uit te voeren. Alle toonaangevende CSP’s verschaffen tegenwoordig deze assurance rapporten, die veelal gebaseerd zijn op de “System and Organisation Controls” (SOC) rapportage standaarden. Om bij cloud outsourcing de eindverantwoordelijkheid te kunnen nemen zoals genoemd in de richtlijn, dienen meerdere randvoorwaarden en eisen ingevuld te worden die onder meer betrekking hebben op de algemene governance, organisatorische verankering, risicobeoordeling, policies en standaarden en contracten. Uitdagingen bij de uitvoering van het right-to-audit zijn onder andere verschillen in omvang, professionele verhoudingen (kennis en ervaring) en kosten. De mogelijke disbalans wordt versterkt doordat de CSP’s excellente IT bedrijven zijn. Hun middelen, kennis en ervaring zijn immers (mede) redenen om gebruik te gaan maken van hun diensten.
Bij pooled audits nemen de coördinatie-uitdagingen toe en moeten verschillen in cultuur, kennis, ervaring en vaktechnische opvattingen, maar ook commerciële bedrijfsbelangen tussen de deelnemers geadresseerd worden. Hierbij spelen diverse uitdagingen en belemmeringen. De huidige projectmatige aanpak is ad hoc en schiet tekort met betrekking tot schaalbaarheid, relatie opbouw en voortbouwen op kennis en ervaring bij eerdere audits. De structuur is te plat om te differentiëren en de aanpak kent weinig consistentie in mensen, rapportages en de elders in auditland gebruikelijke meerjarencyclus. Er bestaan bovendien nog meer zwakke schakels dan bij right-to-audit, mede door cultuurverschillen en veel wisseling van coördinatoren en auditors met als gevolg verlies aan kennis en ervaring, waardoor een inhaalslag en een actief beleid om capaciteitsbehoud geboden is. Essentieel is van tevoren de scope en doelstelling van de onderzoeken goed vast te stellen met als afweging de prijs van het verlies aan assurance om mee te liften op het collectief.