Op 15 december 2014 eindigde de overgangsperiode voor de implementatie van het COSO-raamwerk 2013. Wat zijn de kansen en risico’s die voortvloeien uit deze overgang? Het COSO Internal Control Integrated Framework (ICIF) 2013 is een uitgebreide update van het COSO ICIF 1992 model.
Meer organisaties besteden IT of andere processen uit. Deze uitbesteding brengt efficiëntie, maar ook risico’s met zich mee. Wordt de informatiebeveiliging goed beheerd? Hoe wordt er met privacy omgegaan? De ISAE 3402-standaard is de standaard voor betrouwbare uitbesteding en geeft antwoorden. Deze standaard zorgt ervoor dat aspecten zoals risicomanagement, informatiebeveiliging, privacy, antifraudemaatregelen en continuïteit worden gecontroleerd. Een ISAE 3402 | SOC 1-rapport beschrijft hoe risico’s worden beheerd. Een service-auditor controleert vervolgens of dit inderdaad gebeurt. Welke stappen moet je nemen om zo’n rapport te verkrijgen?
Ten eerste moet je het risicobeheer en de interne controlemaatregelen van de organisatie beschrijven in een rapport. Deze interne controlemaatregelen worden ook wel controles genoemd. Het rapport wordt een Service Organization Control Report (SOC) genoemd; een term uit de Verenigde Staten. Als het SOC-rapport betrekking heeft op uitbesteding van (financiële) processen, dan wordt dit rapport een SOC 1- of ISAE 3402-rapport genoemd. Als het rapport betrekking heeft op processen die geen invloed hebben op de jaarrekening (en gebaseerd zijn op bijvoorbeeld de Trust Service Principles), dan wordt het rapport een SOC 2– of ISAE 3000-rapport genoemd. Dit lijkt misschien ingewikkeld, maar je zou kunnen zeggen dat zodra je organisatie diensten levert die de jaarrekening van je klant ‘raken’, een SOC 1 van toepassing is, en als er geen gevolgen zijn voor de jaarrekening, dan is een SOC 2 van toepassing.
IT algemene controle
Er wordt geen financiële informatie verwerkt door de serviceorganisatie. Als het netwerk echter uitvalt, kan dit invloed hebben op de jaarrekening omdat het ERP-systeem op het netwerk draait. Daarom zijn IT General Controls (ITGC’s) belangrijk; de IT General Controls (ITGC) zijn de controlemaatregelen die een organisatie heeft geïmplementeerd om ervoor te zorgen dat de IT-systemen betrouwbaar en integraal zijn. Deze IT General Controls worden beschreven in het SOC 1-rapport (ISAE 3402) van de managed server provider. Daarnaast zijn een beschrijving van de organisatie en een beschrijving van risicomanagement opgenomen, zodat de klant deze controles vanuit het juiste perspectief kan bekijken.
Omdat organisaties ernaar streven om voortdurend te voldoen aan de eisen van klanten en aan wettelijke vereisten, is er een toenemende behoefte om meerdere ISO-certificeringen te behalen en te behouden. Een veelgebruikte combinatie die steeds populairder wordt, is ISO 9001 en ISO 27001.
De ISO 9001-norm specificeert de vereisten waaraan een organisatie moet voldoen om de aanwezigheid van een effectief kwaliteitsmanagementsysteem aan te tonen en consistent kwaliteitsgedreven producten en diensten te leveren die voldoen aan de eisen en voorschriften van klanten. Het behalen van een ISO 9001-certificering voor een organisatie betekent het succesvol aantonen van het robuuste kwaliteitsproces van de organisatie, waarbij rekening wordt gehouden met de bedrijfsprocesomgeving van producten/diensten, kwaliteitsgerichte klantgerichtheid, infrastructuur, ontwerp en ontwikkeling van producten en diensten, ontwerpinputs en -outputs en de manier waarop extern geleverde processen en diensten worden beheerd. Daarnaast is ISO 27001 de internationaal erkende norm die een organisatie begeleidt bij het implementeren en onderhouden van een effectief beheersysteem voor informatiebeveiliging. Met het behalen van de ISO 27001-certificering heeft een organisatie aangetoond dat zij in staat is om risico’s voor informatiebeveiliging effectief te beheren door middel van de implementatie van een beheersysteem voor informatiebeveiliging.
De Internationale Organisatie voor Standaardisatie (ISO) definieert een managementsysteem als “een systeem waarin een organisatie de onderling gerelateerde onderdelen van haar bedrijf beheert om haar doelstellingen te bereiken”.
De verschillen:
Het is duidelijk dat er meer overeenkomsten zijn tussen de twee managementsystemen dan verschillen, en de verschillen die er zijn kunnen het andere managementsysteem ook ten goede komen en aanvullen. Daarom kan het behalen van deze dubbele certificering van ISO 9001 en ISO 27001 ongelooflijk voordelig zijn. Hiermee kan een organisatie tegelijkertijd aantonen dat ze in staat is om risico’s op het gebied van informatiebeveiliging te beheren en zich hiervoor in te zetten, terwijl tegelijkertijd hun inzet voor een optimale levering van hun kwaliteitsproducten en -diensten wordt gevalideerd.
ISO 27001 is de norm voor beheersystemen voor informatiebeveiliging. Het is de enige controleerbare internationale standaard hiervoor. ISO 27001 omvat beleid, praktijken, ontwikkelingen en systemen voor het beheren van informatierisico’s, zoals cyberaanvallen, datalekken, diefstal of datahacks. Maar wat zijn de voordelen voor uw organisatie?
De wereldwijde benchmark heeft de ISO 27001 standaard voor effectief beheer van informatiemiddelen geaccepteerd. Door te voldoen aan de vereisten voor gegevensbescherming verkleint de organisatie het risico op boetes. Potentiële financiële verliezen als gevolg van datalekken worden dus ook beperkt.
Het aantal cyberaanvallen neemt wereldwijd toe. Deze aanvallen kunnen een aanzienlijke impact hebben op een organisatie en haar reputatie. Aangezien ISO 27001 de organisatie beschermt tegen deze cyberaanvallen, beschermt het ook indirect de reputatie van de organisatie.
De ISO 27001-certificering voldoet aan strenge wettelijke eisen, zoals de GDPR (General Data Protection Regulation), de NIS-richtlijn (Richtlijn voor de beveiliging van netwerk- en informatiesystemen) en andere wetten op het gebied van cyberbeveiliging.
Snelle groei binnen een organisatie kan snel leiden tot verwarring over de verantwoordelijkheid voor informatiemiddelen. ISO 27001 kan duidelijke verantwoordelijkheden voor informatierisico’s vaststellen.
ISO 27001 certificering is wereldwijd geaccepteerd en toont effectieve beveiliging aan, waardoor er minder behoefte is aan herhaalde audits bij klanten.