SaaS audit programma voor SaaS applicaties

Het SaaS audit programma is de laatste horde die we moeten nemen bij de invoering van een SaaS applicatie. De juiste applicatie is geselecteerd en de implementatie is eveneens vlekkeloos verlopen. Maar hoe weten we of alles ook naar behoren werkt? Een SaaS audit moet het antwoord geven. Waar lopen we tegenaan?

Het is belangrijk dat we vooraf de functionele beperkingen van SaaS begrijpen. Dit zijn namelijk ook de beperkingen die we bij een SaaS audit ondervinden.

SaaS audit programma voor SaaS applicaties

Nieuwe technologieën zoals cloud en SaaS leiden tot nieuwe uitdagingen voor IT-auditors. Het aantal toepassingen van deze technologieën neemt enorm toe. Daarom moeten IT-auditors:

• Deze technologieën begrijpen.
• Een aanpak opzetten om de belangrijkste risico’s te identificeren.
• Doeltreffende audits van de technologieën voor die risico’s te ontwikkelen.

Het op risico gebaseerde benadering (RBA) -proces voor cloud computing is echter moeilijk door dat alle technologieën zich buiten het bedrijf bevinden.

Een sleutel tot SaaS audits is een ​​raamwerk te kiezen met componenten die een effectieve risicobeoordeling mogelijk maken. Zodra een goede risicobeoordeling is geproduceerd, wordt de SaaS audit een natuurlijk verlengstuk van de normale risico audits. Wanneer de genomen maatregelen het risico niet voldoende beperken komen deze vanzelf in beeld. Daarom is deze RBA tegenwoordig de gebruikelijke aanpak voor verschillende audit typen.

Onderdelen van Cloud Computing

Technologieën zoals cloud computing, SaaS en datacenters voegt men vaak samen tot een samengestelde service die we cloud computing noemen. Er is al een eenvoudig raamwerk betreffende cloud computing dat IT-auditors helpt bij het uitvoeren van een risicobeoordeling. Dit raamwerk bestaat uit drie onderdelen:

• Infrastructure as a Service (IaaS).
• Platform as a Service (PaaS).
• Software as a Service (SaaS).

Dit is vrijwel analoog aan het geheel van technologieën dat een bedrijf on premise gebruikte.

SaaS audit programma objecten

De belangrijkste redenen voor het kiezen van een SaaS oplossing of een SaaS leverancier zijn:

• De complexiteit van de omgeving.
• De noodzaak om kleinere stukken / modules te kopen.
• Compatibiliteit met bestaande systemen en IT (inclusief programmeerplatform).
• Aankoopgemak.
• Gemak van integratie.
• Project management.
• Schaalbare infrastructuur.
• Maandelijkse facturering.
• Opzegbaar zijn van het contract.

Voor een IT-auditor is het belangrijk om te weten welke van deze redenen daadwerkelijk de aanleiding zijn geweest om de SaaS applicatie aan te schaffen. Als hij dit eenmaal weet kan hij de uitkomsten van de SaaS audit hier tegen spiegelen. Hij kan dan vaststellen of deze doelstellingen daadwerkelijk zijn bereikt.

Bij een SaaS audit kijken we niet alleen naar de technologie, maar ook hoe deze binnen het bedrijf aansluit op de processen. De werkzaamheden ten behoeve van een SaaS audit op SaaS applicaties zullen we in de volgende hoofdgroepen opsplitsen:

• Modellering van bedrijfsprocessen.
• Evaluatie en analyse.
• Procesuitvoering.

Het modelleren van bedrijfsprocessen

Dit houdt in dat we de workflow / bedrijfsprocesstructuur, applicaties en data, de organisatiestructuur en de integratie van bestaande systemen bij elkaar moeten brengen. Als we al deze componenten in een model bij elkaar zetten kunnen we de verbanden zichtbaar maken. Tevens maken we inzichtelijk waar we risico’s lopen op het vlak van:

• Redundantie van data.
• Interne en externe koppelingen.
• Kritische bedrijfsprocessen.
• Zwakke plekken in de beveiliging.
• Problemen met legacy systemen.

Evaluatie en analyse

Omvat de analyse van de secundaire bedrijfsprocessen. Dat wil zeggen de processen die niet tot het primaire bedrijfsproces horen maar wel belangrijk zijn voor de IT. Het gaat hierbij om:

• De proceskosten en administratie van het gebruik van de IT onderdelen.
• Balanced scorecards.
• De juistheid van te meten KPI’s.
• Service Level Agreements (SLA) en rapportages.
• Data storage al dan niet in de cloud.
• Performance en optimalisatie activiteiten ten aanzien van IT infrastructure en netwerk.

Procesuitvoering

• Workflowmanagement.
• Applicatie-integratie (enterprise application integration [EAI]).
• Service-orkestratie (service-oriented architecture [SOA]).
• Het vullen van databases en conversie.
• Monitoring van bedrijfsactiviteiten.

Dit zijn al de processen die een IT-auditor onder de loep moet nemen en moet vaststellen of ze juist zijn verlopen. Onder deze noemer vallen ook audits op document- en content management, samenwerkingsverbanden en systeembeheer. Het management van een SaaS omgeving kent ook aanvullende aspecten.

Risico’s die gerelateerd zijn aan deze SaaS audit objecten

Enkele voorbeelden van risico’s waar de IT-auditor naar kan kijken zijn:

• Een onjuiste aanpassing van het bedrijfsproces aan de applicatie.
• Onvoldoende connectiviteit tussen applicaties en data.
• Onjuiste integratie met bestaande systemen.
• Onvoldoende monitoring van SaaS-bedrijfsprocessen.

De SaaS audit objecten begrijpen

Het is duidelijk dat de SLA een belangrijk controledoel is. Kostenbeheersing en schattingen zijn eveneens een risico. De mogelijkheid bestaat namelijk dat de overstap naar SaaS het bedrijf uiteindelijk meer dan minder gaat kosten. Een voorbeeld van kostenbeheersing is het meet- / factureringsaspect van SaaS, dat een gebied met potentieel risico’s vormt.

SaaS-applicaties zijn meestal geschreven voor een specifiek bedrijfsonderdeel (bijvoorbeeld sales) of voor een bedrijfsproces (klant belevering). SaaS is flexibel betreffende de configuratie en het schalen naar de omvang van het bedrijf. De aanpassingsmogelijkheden betreffen in de meeste gevallen de scherminvoervelden en de business rules met betrekking tot de invoervereisten. Hoewel veel SaaS-applicaties ingebouwde rapportagemogelijkheden hebben, zetten de meeste bedrijven een replica-database neer in hun eigen verwerkingsomgeving. Op die manier hebben ze namelijk een ​​intern data-warehouse om aanvullende analyse en rapportages mogelijk te maken. Bedrijven maken ook rechtstreekse koppelingen met de data die zich in de SaaS-oplossing bevindt. Daardoor kunnen bedrijven rechtstreeks data aan hun interne systemen doorgeven.

Het data design beoordelen

Bedrijven moeten onderzoeken of hun hele organisatie binnen één database design past. De uitkomst hangt daarom af van het niveau van data-integratie binnen het bedrijf. Als we een enkele database binnen de SaaS applicatie gebruiken, wil dat nog niet zeggen dat we alle business-units in één keer kunnen weergeven. Deze “enkele weergave” is gebaseerd op het gebruik van gemeenschappelijke velden binnen het bedrijf. Als businessunits het gebruik van gemeenschappelijk velden echter niet afstemmen, is het niet mogelijk om rapporten op managementniveau te consolideren tot een globaal overzicht.  

Daarnaast kan het gebeuren dat er sprake is van slecht data design. Verschillende business units hebben bijvoorbeeld hetzelfde veld gebruikt voor verschillende doeleinden. Dit leidt onherroepelijk tot onjuiste rapportages op managementniveau. 

In feite zou echter een juist gebruik van de velden door de SaaS applicatie afgedwongen moeten worden. Als dat niet het geval is moeten we de hulp van de leverancier kunnen inroepen om de audit uit te voeren. 

SaaS-applicaties bieden bedrijven meestal de mogelijkheid om eigen velden te definiëren. Het is belangrijk dat het gebruik van deze aangepaste velden vanuit een systeem- en gebruikersstandpunt is gedocumenteerd.

Conclusies SaaS audits

De SaaS audit van een SaaS applicatie betreft het:

• Identificeren van de risico’s.
• Evalueren van de SaaS beperkingen.
• Controleren van de risicovolle objecten.

Het begrip en de risicobeoordeling kunnen we verbeteren met een goed raamwerk voor SaaS en de IT risico’s. Zo helpen we de IT-auditor ook bij het uitvoeren van een effectieve risicobeoordeling. Het feit dat er een derde partij bij betrokken is, betekent dat directe controle van de service-entiteit misschien niet praktisch of zelfs maar mogelijk is. Daarom is het bij de selectie van de SaaS leverancier belangrijk om te vragen naar keurmerken, auditrapporten en certificaten waar de leverancier aan voldoet. Dit geeft tenminste nog enige houvast.

Discussieer mee op LinkedIn.