Eastman Kodak besloot in 1989 om haar informatietechnologie te outsourcen. Veel organisaties hebben zich hierna gefocust op hun kernactiviteiten en diverse functies en/ of onderdelen geoutsourcet. Vanaf circa 2004 heeft deze outsourcing trend een sterke vlucht genomen en wordt bij iedere organisatie wel in meer- of mindere mate geoutsourcet.

Outsourcing

Outsourcing betekent ook risico, hoe gaan leveranciers om met informatiebeveiliging, privacy maar ook bijvoorbeeld voorkennis. Pensioenfondsen focussen op hun competenties; het uitvoeren van pensioenregelingen en besteden vermogensbeheer uit. Een belangrijk risico is bijvoorbeeld frontrunning.  Het risico dat een vermogensbeheerder aandelen aankoopt voor het moment dat voordat order worden uitgevoerd voor een pensioenfonds. De vermogensbeheerder profiteert van deze koersstijging. De Nederlandsche Bank eist zekerheid over dit soort risico's van pensioenfondsen.

risico's outsourcing en ISAE 3402

Pensioensector

De Nederlandse bank besefte dat door de toegenomen outsourcing van vermogensbeheerders risico’s zoals frontrunning belangrijker werden en wilde dit risico inperken. De Nederlandse bank heeft daarom de Beleidsregel Uitbesteding uitgevaardigd. In de Beleidsregel Uitbesteding was opgenomen dat indien vermogensbeheer uitbesteed werd door een pensioenfonds, dat het betreffende fonds eindverantwoordelijk bleef voor de risico’s en moest kunnen aantonen dat deze risico’s effectief beheerst werden. De beleidsregel uitbesteding is later opgenomen in de PensioenWetVanuit de pensioensector is destijds besloten om de SAS70 standaard te gebruiken om meer zekerheid te krijgen over het uitbestedingsrisico.

Outsourcing risico's

De SAS 70assurance standaard uit de VS (1992) was destijds werd de basis voor rapportage over uitbestedingsrisico's naar pensioenfondsen. Een dergelijke rapportage wordt een Service Organization Control Report genoemd (SOC). Hierin is opgenomen wat het totale risico management framework is, welke beheersmaatregelen de organisatie heeft ingericht. Een onafhankelijke Service Auditor; een certified professional accountant (CPA) of een register accountant (RA) in Nederland.  Naast het feit dat deze standaard al relatief gedateerd was, was een nog een praktisch probleem. Een probleem van de SAS 70 standaard was dat de standaard uit de Verenigde Staten kwam. Daarom was een nieuwe internationale standaard nodig (ISAE 3402)

ISAE 3402

Indien een partij en een service auditor een juridisch geschil zouden hebben, dan zou een Nederlandse rechter kunnen beslissen om het geschil niet in een Nederland te laten behandelen, maar in de Verenigde Staten. Dit zou zodanig veel praktisch problemen met zich kunnen brengen dat besloten is om een internationale standaard te ontwikkelen; de ISAE 3402 standaard . De ISAE 3402 standaard standaard is door de International Foundation for Accountants (IFAC) in 2011 uitgegeven en is van toepassing op alle landen, wereldwijd, behalve de Verenigde staten. Een belangrijk verschil tussen de SAS 70 standaard en ISAE 3402 was dat het management expliciet zijn verantwoordelijkheid moest bevestigen in de SOC.

SSAE 18

In de Verenigde Staten werd de SAS 70 standaard vervangen door SSAE 16 in 2011. In de Verenigde Staten nam de vraag naar outsourcing van vermogensbeheer en IT services toe. De SSAE 16 standaard was in principe alleen voor financiële outsourcing, het toetsingskader was de jaarrekening van de service organisatie (de organisatie die uitbesteedt). Organisaties die IT processen uitbesteedden die niet direct effect hadden op de jaarrekening wilden ook meer zekerheid over risico’s en security van deze processen. Daarom is in de verenigde Staten ook een standaard uitgegeven die zich niet alleen richtte op financiele risico's; de SOC 2 standaard.

ISAE 3402 en SSAE 18

Trust Service Criteria

De SSAE 18 SOC 1 richt zich op (financiële uitbesteding), de SSAE 18 SOC 2 standaard richt zich op Trust Service Principles die later overgegaan zijn in de Trust Service Criteria.  De Trust Service Criteria, zijn criteria voor security, availability, privacy en confidentiality. De Trust Service Criteria komen voor een belangrijk deel overeen met de General IT Controls; maatregelen die een organisatie inricht om haar informatiebeveiliging te waarborgen. Deze General IT Controls (GITC) zijn controls ten aanzien business continuity, change management, incident management en data integriteit.