Categorie: Advisory

Home / Advisory
jul212019

Hoe bereidt een serviceorganisatie zich voor op ISAE 3402?

Hoe werkt een serviceorganisatie

Voorbereiden op ISAE 3402?

De ISAE 3402-standaard vereist van serviceorganisaties dat ze proactief voldoen aan de eisen die worden gesteld door de service auditors (accountants). Daarom kunnen serviceorganisaties veel baat hebben bij het uitvoeren van een ISAE ‘Readiness Assessment’, die zal helpen bij het begrijpen van de rapportagevereisten.

Deze rapportagevereisten omvatten:

  1. Een beschrijving opstellen van het systeem van de serviceorganisatie.
  2. Opstellen van een schriftelijke managementverklaring, die wordt opgenomen in het definitieve ISAE 3402-rapport.

Daarnaast kan een interne audit binnen de serviceorganisatie worden betrokken bij het gehele assurance-proces als de auditor van de serviceorganisatie hun objectiviteit en professionaliteit acceptabel vindt. Het uitvoeren van een ISAE 3402 ‘Readiness Assessment’ zal dus van cruciaal belang zijn voor serviceorganisaties om de reikwijdte van de opdracht te begrijpen, evenals de rapportagevereisten voor de ISAE 3402-standaard.

jul212019

Risicobeheer voor bedrijven

Risicobeheer voor bedrijven

Als een organisatie haar doelstellingen wil bereiken, moet ze de risico’s die deze doelstellingen bedreigen beheren en beheersen. COSO heeft hiervoor de verschillende elementen van een intern controlesysteem gedefinieerd.

Het COSO-model illustreert de directe relatie tussen:

  1. De doelstellingen van de organisatie;
  2. De besturingscomponenten;
  3. De activiteiten/eenheden die interne controle vereisen.
  4. COSO identificeert de relaties tussen bedrijfsrisico’s en het interne controlesysteem. COSO ziet interne controle als een proces dat erop gericht is zekerheid te verschaffen over het behalen van doelstellingen in de volgende categorieën:
  5. Strategische doelstellingen bereiken (Strategisch);
  6. Effectiviteit en efficiëntie van bedrijfsprocessen (Operations);
  7. Betrouwbaarheid van financiële verslaglegging (Reporting);
  8. Naleving van relevante wet- en regelgeving (Compliance).

Organisaties moeten ook aan investeerders en andere belanghebbenden laten zien dat ze goed omgaan met onzekerheden (Code Tabaksblat en de Sarbanes-Oxley Act). In Securance’s benadering van Enterprise Risk Management (ERM) worden risico’s geïdentificeerd en de gevolgen ervan in kaart gebracht. Securance maakt gebruik van de nieuwste standaarden, methoden en technieken op het gebied van risicomanagement.

Wat biedt Enterprise Risk Management?

  • Inzicht in de belangrijkste risico’s van uw organisatie;
  • Kwalitatieve en kwantitatieve beoordeling van geïdentificeerde risico’s;
  • Inzicht in en advies over de huidige beheersing van risico’s;
  • Inzicht in de risicokosten van uw organisatie;
  • Een basis voor het ontwerpen en implementeren van risicomanagement binnen uw organisatie;
  • Hulp bij het afleggen van verantwoording voor risicobeheer.
jul212019

Een ISAE 3402 | SOC 1 Audit Checklist

Een ISAE 3402 | SOC 1 Audit Checklist

ISAE 3402 | SOC 1 is de standaard voor uitbesteding. De meeste organisaties besteden IT of andere activiteiten uit aan serviceorganisaties. Bij deze uitbesteding is het cruciaal dat de dienstverlenende organisatie die ICT-diensten levert betrouwbaar is.

Betrouwbaarheid kan worden onderverdeeld in verschillende aspecten: risicobeheer, informatiebeveiliging, privacy, fraudebestrijdingsmaatregelen en continuïteit. De ISAE 3402 SOC 1-standaard biedt uitgebreide mogelijkheden om over deze aspecten te rapporteren en deze rapportage te laten controleren (certificeren) door een externe accountant.

Aangezien het opstellen van SOC-rapporten een complex proces kan zijn waarbij je met meerdere taken moet jongleren, vinden veel bedrijven het handig om een ISAE 3402 | SOC 1 compliance checklist te gebruiken om ervoor te zorgen dat alle SOC-vereisten en ISAE 3402 | SOC 1 controles gedekt zijn:

  1. Is de organisatiestructuur van je bedrijf gedefinieerd?
  2. Heb je de taak van het ontwikkelen van beleid en procedures gedelegeerd aan specifieke medewerkers?
  3. Wat zijn jullie procedures voor antecedentenonderzoek en gedragsnormen voor werknemers?
  4. Leren werknemers en andere belanghebbenden hoe ze uw systemen moeten gebruiken?
  5. Zijn er procedures om wijzigingen tijdig en effectief aan te pakken?
  6. Heb je een formele risicobeoordeling uitgevoerd om potentiële bedreigingen voor je systeem te identificeren, analyseren en beperken?
  7. Evalueert uw organisatie regelmatig leveranciersmanagers?
  8. Evalueert u jaarlijks alle beleidsregels en procedures en werkt u ze waar nodig bij?
  9. Heb je fysieke en logische toegangscontroles geïmplementeerd?

De tijd nemen om een ISAE 3402 | SOC 1 audit checklist in te vullen kan erg nuttig zijn als u uw bewijsmateriaal organiseert ter voorbereiding op het werken met een CPA aan uw audit.

jul202019

Checklist SOC 2

Checklist SOC 2

Als je een serviceorganisatie bent en je klanten je hun gegevens toevertrouwen, moet je misschien slagen voor een SOC 2-audit om je producten te verkopen. Uw klanten kunnen nu een auditrapport van u eisen, of de regelgeving in de sector kan dit vereisen. Mogelijk moet u een bewijs van SOC 2-compliance overleggen om aan te tonen dat de gegevens die aan u zijn toevertrouwd goed beveiligd zijn.

Hier is een SOC 2 compliance checklist voor je volgende audit om de gegevens van je klanten en de belangen van je bedrijf te beschermen.


1. Bepaal je doelstellingen.

SOC 2 compliance kan organisaties die klantgegevens verwerken voor andere bedrijven helpen hun reputatie, financiële overzichten en stabiliteit te versterken door hun interne controles te documenteren, evalueren en verbeteren. SOC 2-rapporten kunnen een concurrentievoordeel bieden door manieren te onthullen om efficiënter en veiliger te werken, en u kunt deze sterke punten benadrukken bij de marketing en verkoop van uw diensten:

  • Toezicht op de organisatie
  • Programma’s voor leveranciersbeheer
  • Interne processen voor corporate governance en risicobeheer
  • Regelgevend toezicht
  • Bepaal wat je gaat testen en waarom.

2. Kies de juiste principes voor vertrouwensdiensten om te testen.

SOC 2-audits beoordelen de interne controles bij een serviceorganisatie die relevant zijn voor de volgende vijf principes of criteria voor vertrouwensdiensten, zoals uiteengezet door de AICPA:

Beveiliging: Informatie en systemen worden beschermd tegen ongeoorloofde toegang, ongeoorloofde openbaarmaking van informatie en schade die de beschikbaarheid, integriteit, vertrouwelijkheid en privacy van die informatie of die systemen in gevaar kan brengen.

  1. Beschikbaarheid: Informatie en systemen zijn beschikbaar voor gebruik.
  2. Integriteit van processen. Het systeemproces is compleet, geldig, accuraat, tijdsgebonden en gemachtigd.
  3. Betrouwbaarheid: Informatie die als vertrouwelijk is aangemerkt, wordt beschermd.
  4. Privacy: Persoonlijke informatie wordt op de juiste manier verzameld, gebruikt, bewaard, bekendgemaakt en verwijderd.

3. Kies het juiste rapport.

Er zijn twee soorten SOC 2-rapporten: SOC 2 Type 1 en SOC 2 Type 2. Welk type rapport je nodig hebt, hangt af van je specifieke eisen en doelstellingen.

Een SOC 2 Type 1-rapport is een snelle, efficiënte manier om ervoor te zorgen dat uw gegevens veilig zijn en om dat aan uw klanten te communiceren. Een SOC 2 Type 2-rapport kan meer zekerheid bieden door uw controles grondiger en over een langere periode te onderzoeken.

4. Beoordeel uw bereidheid.

Je voorbereiden op een SOC 2-audit kan overweldigend zijn, vooral als je het voor de eerste keer doet. Je hebt veel controles om uit te kiezen en je moet aan veel documentatie-eisen voldoen.

Beginnen met een gereedheidsbeoordeling kan de effectiviteit van uw SOC 2-rapport verbeteren door u te helpen bij het identificeren van hiaten in het controleraamwerk. Door het beleid en de procedures vast te leggen voordat de audit begint, kun je alle controles vooraf beoordelen. Dan kun je zien wat je moet doen om te slagen voor elke test die bij de audit hoort.

Een SOC 2-audit doorstaan moet een uitdaging zijn, maar het hoeft niet stressvol te zijn. Als u deze SOC 2 compliance checklist doorneemt voordat u begint, kunt u bewijzen dat de gegevens van uw klanten veilig zijn, zodat uw bedrijf kan blijven doen waar het goed in is.