Pooled audits en banking cloud outsourcing

De NOREA Kennisgroep Keteninformatiemanagement voert momenteel een onderzoek uit naar de functie van pooled audits bij financiële instellingen. In dit kader is vorig jaar een waardevolle en gedetailleerde voorstudie uitgevoerd in samenwerking met de Erasmus Universiteit Rotterdam. De European Bank Authority (EBA) is de Europese autoriteit voor de bankensector en onderdeel van het Europees Systeem voor Financieel Toezicht (EFTS). Zij dient te waarborgen dat Europese regelgeving adequaat wordt geïmplementeerd en toegepast.

De relevantie van pooled audits ligt in de toenemende outsourcing van informatiesystemen naar de cloud. Clouddiensten zijn een manier om toegang te verkrijgen tot (technologische) innovaties en schaalvoordelen te behalen, maar ook het volume van data uitwisseling neemt toe met vragen over eigenaarschap, toegang, beveiliging en continuïteit. Daar komen de huidige geopolitieke ontwikkelingen nog eens overheen. Dit alles versterkt de noodzaak van management over de keten heen, inclusief governance, control en assurance.

De regelgeving van de EBA is hierover zeer expliciet naar de uitbestedende financiële instellingen. De EBA-richtlijn betreft de gehele bedrijfsvoering. Het schrijft onder andere voor dat financiële instellingen bij de realisatie van hun informatie- en IT-voorzieningen met betrekking tot outsourcing naar de cloud in het contract met de cloud serviceprovider de optie tot het right-to-audit moeten opnemen, ten behoeve van IT-auditing.

[....]