Henri Hensen
Ja, u ziet het goed: Escrow bekeken door de bril van de IT-auditor. Daar zijn meerdere redenen voor. Door de opkomst van SaaS zijn er nieuwe risico’s bijgekomen. Zoals het feit dat de juridische aspecten van een continuïteitsregeling nog niet geland zijn in opleidingen van veel relevante beroepsgroepen. Het begrip “Compliance en IT” voegt een nieuwe dimensie toe aan continuïteitsregelingen omdat de wet- en regelgeving dit verplicht. De vraag die daarbij gesteld dient te worden is of de continuïteitsregeling de garantie kan geven aan de gebruikers van software.
Bij de opzet is de vraag of het ontwerpproces voorziet in het bovenstaande. Voor de juiste opzet is de Norm software-escrow IT-notaris uit 2017 nog steeds relevant. De IT-auditor noemt dit het normenkader. De vijf kwaliteitskenmerken daarvan zijn:
1) Rechtszekerheid (rechtspositie)
2) Zekerheid informatietechnologie (volledigheid)
3) Bijdrage informatiebeveiliging (normen)
4) Kwaliteit uitvoerders (professioneel)
5) Nazorg (juridisch/technisch)
Deze vijf kwaliteitskenmerken zijn onderling sterk met elkaar verbonden. Nemen we als voorbeeld de rechtszekerheid. Deze rechtszekerheid wordt mede ontleend aan de rol van de IT-notaris. Op de IT-notaris is de Wet op het Notarisambt van toepassing. In deze wet staat onder meer dat de standplaats van de IT-notaris niet failliet kan gaan (het protocol). Wel belangrijk voor een continuïteitsregeling. Hij kan ook een unieke rol spelen bij de bescherming van het auteursrecht. Nu behoort de IT-notaris ook bij punt 4) de kwaliteit van de uitvoerders. Alle uitvoerders van een solide continuïteitsregeling moeten voldoen aan professionele kenmerken: dat zijn een goed georganiseerde beroepsvereniging, beroeps- en gedragsregels, tuchtrecht en een verplichte beroepsaansprakelijkheidsverzekering.
Over de noodzaak van een solide continuïteitsregeling kan geen twijfel bestaan. Een goede continuïteitsregeling kent een aantal aspecten die de positie van de softwareontwikkelaar zeker stellen. Maar de groep die er het meeste belang bij heeft is toch ongetwijfeld de groep gebruikers die de software opnemen in hun informatiesysteem. Zij, de gebruikers dus, lopen de risico’s van softwaregebruik en zij moeten er voor zorgen dat hun informatiesysteem compliant is. Dat is niet heel moeilijk in te zien of uit te leggen want op de gegevens in elk informatiesysteem rusten bewaarplichten, voor de fiscus maar op ook op grond van GDPR. Daarom zal een solide continuïteitsregeling moeten zijn voorzien van een goede verantwoording aan de licentienemer (evidence, zegt de IT-auditor). Die wil kunnen aantonen dat hij compliant is. Daar komt steeds meer vraag naar. Denk bijvoorbeeld aan de toezichthouders AFM en de DNB die hier een handhavende rol hebben. Daarvoor dient tot nu toe het controleverslag dat niet mag ontbreken in een solide continuïteitsregeling.
Controle op de werking van de continuïteitsregeling
Hoe controleer je de werking van een actuele continuïteitsregeling? En gebeurt dit vaak genoeg? Daar moet wel even over nagedacht worden, want er bestaan verschillende soorten juridische afgiftegronden voor een broncode. En software is zeer onderhoudsgevoelig. Maar er zijn tenminste drie mogelijkheden om de werking te controleren die uitgewerkt kunnen worden.
In de eerste plaats komt een controle op de werking neer op een controle van de opzet en het bestaan. Ook daarbij helpen de hiervoor genoemde vijf kwaliteitskenmereken (normenkader).
In de tweede plaats is het mogelijk een praktische controle uit te voeren door een afgifte te simuleren. Kan dan met het vastgelegde materiaal, dus de broncode met toebehoren, door een derde deskundige partij onderhoudswerkzaamheden worden uitgevoerd? Dit is wel een kostbare controle, maar kan in bepaalde situaties als de belangen van goed werkende software maar groot genoeg zijn, zeker wel verantwoord zijn.
En dan is er natuurlijk de derde mogelijkheid. En dat is de praktijkervaring. Zijn er al afgiftes van broncodes met toebehoren geweest van de te onderzoeken continuïteitsregeling?
SOC2 en accountants
Het onderzoek naar de werking is voor IT-auditors van groot belang. Want in de handreiking SOC2 van de NOREA staat zelfs letterlijk dat het onderzoek van een continuïteitsregeling buiten de scope van dat onderzoek valt. De kwaliteit van de uitvoerder van een continuïteitsregeling wordt dan wel heel belangrijk. Dit is wel heel vreemd als bedacht wordt, wat het doel van SOC2 is, en hoe vaak het woord “availability” (=beschikbaarheid) in de handreiking SOC 2 voorkomt.
Toch is daar wel een verklaring voor. Die werd duidelijk naar voren gebracht door een accountant op het Accountancy Event 2021 op 2 november jongstleden. Deze accountant constateerde dat accountants en IT-auditors vooral geïnteresseerd zijn in het vaststellen wat er in het verleden is gebeurd en geen voorspellende gaven hebben en zich daarom ook niet willen uitlaten over de toekomst. Dit is een schril contrast met de continuïteitsregeling voor het gebruik van software. Die is er juist op gericht toekomstige risico’s zo goed mogelijk weg te nemen.
Dit is wellicht ook een verklaring voor het feit dat accountants zich tijdens controles niet bezighouden met de kwaliteit van een continuïteitsregeling maar uitsluitend vragen of er zoiets is geregeld. Dit is een gemiste kans en een onnodig risico, want op het gebied van continuïteitsregelingen voor software wordt er veel schijnzekerheid geboden (zoals de zogenaamde “Eigen Stichting bewaring broncode”).
Nu is het interessante dat accountants zich ook bewust zijn van deze tegenstelling tussen onderzoek verleden en maatregelen voor de toekomst. Daarvoor hebben zij het TPM bedacht (Third Party Memorandum). Een TPM uitgebracht door een gekwalificeerde partij (zie normenkader) zou veel duidelijkheid kunnen verschaffen voor alle belanghebbenden, risico’s kunnen wegnemen, en een aanvulling zijn op SOC2.
Transparantie
Een goede continuïteitsregeling behoort ook transparant te zijn. Dat betekent dat een vertegenwoordiger van de belanghebbenden of een onafhankelijke toezichthouder als waarnemer bij de controlewerkzaamheden van de broncode aanwezig moet kunnen zijn. Belanghebbenden zijn eigenaren/gebruikers van informatiesystemen. Een vertegenwoordiger van deze groep kan bijvoorbeeld een lid van een gebruikersvereniging zijn. Het kan ook heel goed een registeraccountant zijn. Kennis van softwareontwikkeling is niet nodig. Een handleiding met de belangrijkste aandachtspunten voor waarnemers is wel gewenst. Die aandachtspunten zijn:
* Reconstructie van de broncode tot objectcode;
* Toepassing van de Fingerprintsoftware. De unieke identificatie van de broncode;
* Controle op de werking door middel van een foutverbetering.
De aanwezigheid van de waarnemer bij de controlewerkzaamheden kan worden bevestigd door bijvoorbeeld een “Verklaring waarnemer”. Deze verklaring is in het bijzonder van belang voor de accountants van alle licentienemers die de verklaring moeten ontvangen in verband met de verplichting voor de accountant iets te zeggen over de continuïteit van het door hem onderzochte informatiesysteem volgens artikel 2:393 Burgerlijk Wetboek.
Tenslotte nog een opmerking over de financiële kant van een continuïteitsregeling. Natuurlijk geldt ook hierbij dat kwaliteit geld kost. Maar verrassend genoeg bestaat bij continuïteitsregelingen vaak de mogelijkheid van een omslagstelsel. Er zijn naast de ontwikkelaar/eigenaar van de broncode vaak ook nog meerdere gebruikers van de software. Het lijkt welhaast onmogelijk maar toch kan het: hoge kwaliteit tegen een fractie van de werkelijke kosten.