Pooled audits en banking cloud outsourcing

08 juli, 2025
Inleiding
auteurs: Drs. Dick Duit RA RO CIA en dr. René Matthijsse RE

De NOREA Kennisgroep Keteninformatiemanagement voert momenteel een onderzoek uit naar de functie van pooled audits bij financiële instellingen. In dit kader is vorig jaar een waardevolle en gedetailleerde voorstudie uitgevoerd in samenwerking met de Erasmus Universiteit Rotterdam. De European Bank Authority (EBA) is de Europese autoriteit voor de bankensector en onderdeel van het Europees Systeem voor Financieel Toezicht (EFTS). Zij dient te waarborgen dat Europese regelgeving adequaat wordt geïmplementeerd en toegepast.

De relevantie van pooled audits ligt in de toenemende outsourcing van informatiesystemen naar de cloud. Clouddiensten zijn een manier om toegang te verkrijgen tot (technologische) innovaties en schaalvoordelen te behalen, maar ook het volume van data uitwisseling neemt toe met vragen over eigenaarschap, toegang, beveiliging en continuïteit. Daar komen de huidige geopolitieke ontwikkelingen nog eens overheen. Dit alles versterkt de noodzaak van management over de keten heen, inclusief governance, control en assurance.

De regelgeving van de EBA is hierover zeer expliciet naar de uitbestedende financiële instellingen. De EBA-richtlijn betreft de gehele bedrijfsvoering. Het schrijft onder andere voor dat financiële instellingen bij de realisatie van hun informatie- en IT-voorzieningen met betrekking tot outsourcing naar de cloud in het contract met de cloud serviceprovider de optie tot het right-to-audit moeten opnemen, ten behoeve van IT-auditing.

Daarnaast stellen de Network and Information Security richtlijn (NIS) en Digital Operational Resilience Act (DORA) uniforme eisen met betrekking tot de beveiliging van netwerk- en informatiesystemen die de bedrijfsprocessen van financiële entiteiten ondersteunen. Meer specifiek beschrijven de verordeningen de vereisten die van toepassing zijn op financiële entiteiten met betrekking tot maatregelen voor een degelijk beheer van ICT-risico’s afkomstig van derden inclusief de te verrichten auditinspanningen. DORA is in de artikelen 28 en 30 zeer expliciet, zelfs zo dat het ontbreken van auditmogelijkheden beschouwd wordt als non-compliant.

Bij de invulling van het right-to-audit biedt de EBA-richtlijn de mogelijkheid gebruik te maken van pooled audits. Een oplossing om een gelijk speelveld te creëren is het bundelen van krachten aan de gebruikerskant en gebruik te maken van pooled audits, een samenwerkingsverband tussen de auditors van meerdere organisaties bij het uitvoeren van één of meer audits. Dergelijke pooled audits vergroten de macht van de gebruikers naar de cloud serviceproviders (CSP’s) en verlagen de totale auditkosten.

Pooled audits in de praktijk
Financiële instellingen zijn verantwoordelijk voor een goede en beheerste bedrijfsvoering. Deze verantwoordelijkheid strekt zich uit tot de uitbesteding en dus ook tot naar de cloud brengen. Door diverse ontwikkelingen zijn financiële instellingen daarom aanvankelijk zeer terughoudend om cloud outsourcing te adopteren en helemaal naar de public cloud. Zorgen met betrekking tot veiligheid en compliance weerhielden hen kritische en belangrijke bedrijfsprocessen en -functies naar de public cloud te brengen. In plaats van de public cloud kozen zij daarom aanvankelijk voor private cloud toepassingen. De zorgen inzake veiligheid in het algemeen (cyber security in het bijzonder) en compliance (o.a. EBA en DNB) hadden vooral betrekking op aantasting of gebruik van data door anderen, niet beschikbaar zijn van applicaties, vendor lock-in en onmogelijkheid om vereiste control- en audit activiteiten te verrichten door de uitbestedende financiële instelling(en). Deze zorgen gelden overigens ook bij private clouds.

In februari 2019 heeft de EBA de finale versie van de “EBA guidelines on outsourcingsarrangements” gepubliceerd. Deze richtlijn beschrijft de wijze waarop financiële instellingen outsourcing relaties aangaan, deze dienen te monitoren en te beheersen. Het naar de cloud overbrengen of afnemen van clouddiensten wordt door de EBA gezien als een vorm van outsourcing. Door deze vorm van outsourcing ontstaan nieuwe risico’s bij financiële instellingen. De nieuwe EBA-richtlijn beoogt deze risico’s te identificeren, adresseren en te mitigeren. Met deze richtlijn introduceert de EBA één alles omvattende outsourcingsrichtlijn, die als nieuwe norm geldt voor financiële instellingen binnen de EU. Outsourcing is niet nieuw, maar uitbesteding aan CSP’s en daarbij gaan naar de public cloud door financiële instellingen is dat wel. Daarnaast zijn de grote CSP’s buiten de jurisdictie van de EU gevestigd.

De EBA richtlijn bevat een aantal strikte eisen ten aanzien van het governance framework van en outsourcing door de financiële instelling. Zo kan uitbesteding van functies er niet toe leiden dat de verantwoordelijkheden van het leidinggevend orgaan worden gedelegeerd. Betalingsinstellingen blijven volledig verantwoordelijk voor en rekenschap afleggen van de naleving van al hun regelgevingsverplichtingen. inclusief het vermogen om toezicht te houden op de uitbesteding van kritieke of belangrijke functies. Daarnaast geldt, dat het leidinggevend orgaan te allen tijde volledig verantwoordelijk is en rekenschap dient af te leggen van in elk geval de in EBA artikel 36 genoemde zaken en omstandigheden. De EBA-richtlijn is een mix van principle- en rule-based.

De oprichting van de Collaborative Cloud Audit Group (CCAG) was het begin van pooled audits. Door het gebrek aan ervaring met pooled audits moesten evenwel het framework, de auditbenadering, de testprocedures en de rapportage van de grond af opgebouwd worden door de CCAG-leden. Uitdagingen zijn onder meer de auditverantwoordelijkheid, aansturing, communicatie, vereiste deskundigheden en/of teamsamenstelling, het vertalen van generieke naar specifieke rapportages en de toegang tot veelal vertrouwelijke informatie en documentatie. Pooled audits vergroten de macht van de klanten naar de CSP’s en verlagen de kosten, maar anderzijds nemen bij toepassing van dit middel de coördinatie uitdagingen toe.
Hierbij moeten verschillen in cultuur, kennis, vaardigheid, ervaring en vaktechnische opvattingen tussen de deelnemers geadresseerd worden. 

Nederlandse financiële instellingen blijken als beleid te hanteren het right-to-audit inclusief de toegang tot de subcontractors op te nemen in het contract. Tussen de klanten en de CSP bestaat evenwel geen level playing field in omvang, kennis, kunde en ervaring. Hierdoor ontstaan veelal zeer complexe besprekingen tussen klanten en CSP. Meerdere grote Nederlandse financiële instellingen proberen deze kloof te verkleinen door gebruik te maken van de door de richtlijn geboden mogelijkheid van pooled audits en actief te participeren in de Collaborative Cloud Audit Group (CCAG) en in dit kader uitgevoerde audits.

In het algemeen geven CSP’s er de voorkeur aan hun klanten te voorzien van periodieke assurance rapporten in plaats van al hun klanten toe te staan individuele audits uit te voeren. Alle toonaangevende CSP’s verschaffen tegenwoordig deze assurance rapporten, die veelal gebaseerd zijn op de “System and Organisation Controls” (SOC) rapportage standaarden. Om bij cloud outsourcing de eindverantwoordelijkheid te kunnen nemen zoals genoemd in de richtlijn, dienen meerdere randvoorwaarden en eisen ingevuld te worden die onder meer betrekking hebben op de algemene governance, organisatorische verankering, risicobeoordeling, policies en standaarden en contracten. Uitdagingen bij de uitvoering van het right-to-audit zijn onder andere verschillen in omvang, professionele verhoudingen (kennis en ervaring) en kosten. De mogelijke disbalans wordt versterkt doordat de CSP’s excellente IT bedrijven zijn. Hun middelen, kennis en ervaring zijn immers (mede) redenen om gebruik te gaan maken van hun diensten.

Bij pooled audits nemen de coördinatie-uitdagingen toe en moeten verschillen in cultuur, kennis, ervaring en vaktechnische opvattingen, maar ook commerciële bedrijfsbelangen tussen de deelnemers geadresseerd worden. Hierbij spelen diverse uitdagingen en belemmeringen. De huidige projectmatige aanpak is ad hoc en schiet tekort met betrekking tot schaalbaarheid, relatie opbouw en voortbouwen op kennis en ervaring bij eerdere audits. De structuur is te plat om te differentiëren en de aanpak kent weinig consistentie in mensen, rapportages en de elders in auditland gebruikelijke meerjarencyclus. Er bestaan bovendien nog meer zwakke schakels dan bij right-to-audit, mede door cultuurverschillen en veel wisseling van coördinatoren en auditors met als gevolg verlies aan kennis en ervaring, waardoor een inhaalslag en een actief beleid om capaciteitsbehoud geboden is. Essentieel is van tevoren de scope en doelstelling van de onderzoeken goed vast te stellen met als afweging de prijs van het verlies aan assurance om mee te liften op het collectief.

Conclusies en aanbevelingen
De basis voor een goede en verantwoorde uitbesteding is goede en stevige interne governance, die is opgehangen aan een goed geïnformeerde en organisatorisch verankerde bestuur gremia. De organisatie moet verantwoording afleggen over haar IT-weerbaarheid in een IT-verslag met expliciete aandacht voor outsourcing naar de cloud naast de minimaal door NOREA geadviseerde onderwerpen. De organisatie moet het contract, waarin het right-to-audit is opgenomen, het centrale punt van afspraken maken tussen CSP en gebruiker.

De scope en doelstelling van de audit moeten transparant zijn, aansluiten bij de eisen van de gebruiker en contract als ook afgestemd zijn tussen CSP en gebruiker. De gebruiker moet een level playing field realiseren tussen CSP en auditfunctie gebruiker inzake omvang, kennis en ervaring. Verder is voor de doorontwikkeling van pooled audits als instrument nodig om een uniforme auditaanpak en -methodiek te ontwikkelen, te werken met dedicated teams en de pooled audit in een meerjarige auditcyclus in te bedden.

De huidige auditrapporten leveren geen of slechts gedeeltelijk assurance. Met cloud outsourcing en pooled audits worden nieuwe werelden betreden. De snelle ontwikkelingen versterken de noodzaak van een afzonderlijke methodologie ten behoeve van pooled audits bij cloud outsourcing.