Softwarepakketten.nl

Onderzoek

Een nieuwe trend in softwarecertificering: continuous auditing

Plaatsingsdatum 02-12-2009
Berichtdatum 2 december 2009

Het idee dat een financieel pakket of ERP-systeem (Enterprise Resource Planning) binnen de muren van een bedrijf wordt geïnstalleerd of geïmplementeerd, lijkt inmiddels achterhaald. Dienstverleners - waaronder BDO- bieden steeds meer producten en diensten aan via internet. Dit fenomeen wordt vaak aangeduid als Software as a Service (SaaS).

Leverancier bepaalt
Softwareontwikkeling bij SaaS-producten gaat veel sneller dan bij software die in de bedrijfseigen omgeving wordt geïnstalleerd. Bedrijven bepalen dan zelf of ze een update of een nieuwe release installeren. Bij SaaS kan dat niet. De leverancier zit aan het stuur en bepaalt of software wordt uitgerold of niet. Daarmee zijn SaaS-klanten sterk afhankelijk van de kwaliteit van die leveranciers. Wanneer een leverancier een nieuwe of gewijzigde module oplevert, hebben alle klanten hier direct gemak, dan wel last van.

Continuous audits
Een aantal klanten van BDO laat om deze reden de software, systeemontwikkeling en hosting continu beoordelen door BDO IT Auditors & Consultants. Bij een softwarecertificering stellen wij vast of:

  1. De software daadwerkelijk doet wat de leverancier belooft;
  2. Er voldoende maatregelen in de applicatie aanwezig zijn om een betrouwbare gegevensverwerking mogelijk te maken (denk aan logische toegangsbeveiliging, audittrail, internetbeveiliging etc.)
  3. De standaarden en procedures die de ontwikkelorganisatie bij de systeemontwikkeling, incident- en wijzigingsbeheer gebruikt voldoende zijn en of deze worden nageleefd

Belangrijk bij continuous audits is het uitvoeren van een goede risicoanalyse. Het is namelijk niet mogelijk en ook niet noodzakelijk om alle wijzigingen tot in detail te beoordelen en vast te stellen of deze correct werken. Voor aanvang van de risicoanalyse stellen wij samen met de SaaS-leverancier vast welke wijzigingen er zijn geweest. Bij de risicoanalyse worden deze vervolgens geclassificeerd. Wijzigingen die mogelijk invloed hebben op de betrouwbaarheid zijn belangrijk. Hiervoor stellen wij vervolgens  normen op aan de hand van de ontwikkelspecificaties, eisen van bijvoorbeeld de Belastingdienst en eisen die BDO als accountant en ook als IT-auditor stelt aan software. De normen worden met de leverancier afgestemd. De daadwerkelijke beoordeling kan op twee manieren plaatsvinden. Enerzijds door middel van het zelf vaststellen door ‘achter de knoppen te gaan zitten’. Een andere manier is door het beoordelen van de testplannen en testresultaten van de leverancier zelf. De combinatie van het beoordelen van software, ontwikkelprocessen en informatiebeveiliging maakt een dergelijke opdracht erg afwisselend.
 
Doordat wij met de continuous audits heel dicht op het ontwikkelproces zitten, zien wij dat de kwaliteit van de ontwikkel- en testprocessen toeneemt. Het wordt als zeer  waardevol ervaren dat een onafhankelijke partij meekijkt met de systeemontwikkeling. Zo helpt BDO haar klanten aan een aantoonbaar betrouwbare dienstverlening.

Aantoonbaar? Ja!
Een succesvol afgeronde audit leidt tot een certificaat en een auditrapport. Hiermee kun je als SaaS-leverancier aantonen dat de dienstverlening is beoordeeld door een onafhankelijke partij. Eventuele belangrijke bevindingen worden in de rapportage vermeld en zijn inzichtelijk voor (potentiële) klanten.

Categorie(n) Softwareselectie
Bronvermelding BDO CampsObers IT Auditors & Consultants B.V.
Internet URL http://www.bdo.nl/it

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug

Kleisteen

Informer software


KING


Timewriter


Onerzoeksbureau GBNED