Am 15. Dezember 2014 endete die Übergangsfrist für die Übernahme des COSO 2013 Rahmenwerks. Was sind die Chancen und Risiken, die sich aus diesem Übergang ergeben? Das COSO Internal Control Integrated Framework (ICIF) 2013 ist eine umfassende Aktualisierung des COSO ICIF-Modells von 1992.
Da Unternehmen bestrebt sind, die Anforderungen ihrer Kunden zu erfüllen und die gesetzlichen Vorschriften einzuhalten, müssen sie zunehmend mehrere ISO-Zertifizierungen erhalten und aufrechterhalten. Eine gängige Kombination, die immer beliebter wird, ist ISO 9001 und ISO 27001.
Die ISO 9001-Norm legt die Anforderungen fest, die eine Organisation erfüllen muss, um das Vorhandensein eines effektiven Qualitätsmanagementsystems nachzuweisen und durchgängig qualitätsorientierte Produkte und Dienstleistungen zu liefern, die den Kundenanforderungen und Vorschriften entsprechen. Das Erreichen der ISO 9001-Zertifizierung für eine Organisation bedeutet die erfolgreiche Demonstration des robusten Qualitätsprozesses der Organisation unter Berücksichtigung der Geschäftsprozessumgebung von Produkten/Dienstleistungen, der qualitätsorientierten Kundenorientierung, der Infrastruktur, des Designs und der Entwicklung von Produkten und Dienstleistungen, der Design-Inputs und -Outputs und der Art und Weise, wie extern bereitgestellte Prozesse und Dienstleistungen verwaltet werden. Darüber hinaus ist ISO 27001 der international anerkannte Standard, der eine Organisation bei der Implementierung und Aufrechterhaltung eines effektiven Informationssicherheits-Managementsystems anleitet. Mit dem Erhalt der ISO 27001-Zertifizierung hat eine Organisation ihre Fähigkeit unter Beweis gestellt, Informationssicherheitsrisiken durch die Implementierung eines Informationssicherheits-Managementsystems effektiv zu verwalten.
Die Internationale Organisation für Normung (ISO) definiert ein Managementsystem als „ein System, in dem eine Organisation die zusammenhängenden Teile ihres Geschäfts verwaltet, um ihre Ziele zu erreichen“.
Die Unterschiede:
Es ist offensichtlich, dass es mehr Gemeinsamkeiten zwischen den beiden Managementsystemen gibt als Unterschiede, und die Unterschiede, die es gibt, können auch dem anderen Managementsystem zugute kommen und es ergänzen. Daher kann eine Doppelzertifizierung nach ISO 9001 und ISO 27001 von großem Nutzen sein. Sie ermöglicht es einer Organisation, gleichzeitig ihre Fähigkeit und ihr Engagement für das Risikomanagement im Bereich der Informationssicherheit zu demonstrieren und gleichzeitig ihr Engagement für die optimale Bereitstellung ihrer Qualitätsprodukte und -dienstleistungen zu bestätigen.
Seit Januar 2017 verfügt Student Experience Beheer B.V. über einen ISAE 3402 Typ II Bericht. Dies beweist, dass Student Experience hohe Qualitätsstandards erfüllt und die Prozesse nach internationalen Normen in Ordnung sind.
Johan Verweij, CEO von Student Experience: „Wir sind sehr stolz darauf, diese Zertifizierung zu erhalten. Damit erweitern sich die Möglichkeiten, mit Finanzinstituten und institutionellen Anlegern zusammenzuarbeiten, die von der DNB oder der AFM beaufsichtigt werden. Es ermöglicht uns, das Wachstum von Student Experience fortzusetzen.“
Koen van der Aa, Senior Consultant bei SECURANCE, dem Beratungsunternehmen, das das Audit durchgeführt hat: „Student Experience ist eine professionelle Organisation, die in Möglichkeiten denkt und Lösungen für komplexe Probleme schafft und sie zu innovativen Praktiken führt. Student Experience hat seine internen Verfahren standardisiert und in kurzer Zeit einen soliden Rahmen für das Risikomanagement geschaffen.“
Durch die Einholung des ISAE 3402-Berichts stellt Student Experience sicher, dass die Kunden einen Einblick in das Management von Prozessen und Risiken erhalten. Dieser ISAE 3402 Typ II Bericht deckt die Verwaltungs- und Pflegeaktivitäten von Student Experience für seine Kunden ab. Der Bericht betrifft die Prozesse, die sich auf die Jahresabschlüsse der Nutzerorganisationen auswirken. Dazu gehört auch, wie Risiken identifiziert werden und ob die Maßnahmen zur Risikoverwaltung effektiv gestaltet sind.
SECURANCE wird Fujitsu Niederlande bei der Umsetzung von ISAE 3402 unterstützen. Fujitsu ist ein weltweiter Anbieter von dynamischen IT-Infrastrukturen. Mehr als 170.000 Fujitsu-Mitarbeiter unterstützen Kunden vor Ort in 70 Ländern. Der Hauptsitz von Fujitsu befindet sich in Tokio.
Fujitsu Niederlande bietet einen One-Stop-Shop mit standardisierten Produkten und Services für Desktop- und Rechenzentrumsumgebungen. Ausgehend von den Bedürfnissen des Kunden werden diese Bausteine zu einer zuverlässigen ICT-Lösung kombiniert, die wie ein Maßanzug passt, sich schnell an wechselnde Kapazitätsanforderungen anpassen lässt und auf Wunsch auch von Fujitsu verwaltet wird. Aufgrund seines Engagements für den Umweltschutz und die soziale Verantwortung von Unternehmen ist Fujitsu im Dow Jones Sustainability World Index und im FTSE4Good Index vertreten.
Im Dezember 2014 wurde das ursprüngliche COSO-Rahmenwerk durch COSO 2013 ersetzt. Die niederländische Zentralbank hat CObit 4.1 und das darin enthaltene Reifegradmodell im Rahmen der Bewertung der Informationssicherheit zur Pflicht gemacht. Aufgrund dieser Entwicklungen verlangen multinationale Unternehmen neben SaaS-Anbietern zunehmend auch ISAE 3402 von Cloud-Service-Anbietern. Dieser Trend wird durch die Tatsache gestützt, dass die Zahl der registrierten Cloud-Service-Anbieter im ISAE 3402-Register innerhalb eines Jahres von etwa 40 auf 80 gestiegen ist.
Emile ten Hoor ist hocherfreut, dass SECURANCE als Assurance- und Sicherheitsberater für Fujitsu ausgewählt wurde, um dieses globale Unternehmen bei der Erlangung des ISAE 3402-Zertifikats zu unterstützen. Innerhalb unseres derzeitigen Portfolios von SaaS- und Hosting-Anbietern, Vermögensverwaltern und Rentenverwaltern ist Fujitsu eine willkommene Ergänzung. Wir sind sehr daran interessiert, Teil des Engagements von Fujitsu für soziale Verantwortung und Nachhaltigkeit zu sein.
Wir sind hoch motiviert und enthusiastisch, Fujitsu in diesem Prozess zu unterstützen und zu zeigen, dass auch Fujitsu die ’strengen Anforderungen‘ und die strenge Prüfung erfüllt, die ein ISAE 3402 Audit mit sich bringt. Wir unterstützen alle Professionalisierungsbemühungen und streben nach mehr Sicherheit und Kontrolle im IKT-Sektor.