Categorie: Advisory

SOC 1: Type I versus Type II

Type I versus Type II

Om duidelijk te maken welke SOC-typen jouw organisatie nodig heeft, volgt hier de essentiële informatie.

Er zijn twee soorten ISAE 3402-rapporten: een type I-rapport en een type II-rapport. Beide rapporten hebben dezelfde inhoud. Het verschil zit in de uitgevoerde controle; bij een Type I controle stelt de accountant vast of het risicomanagementraamwerk en de controlemaatregelen het raamwerk (ontwerp) afdekken en op een specifiek moment bestaan. Om dit te bepalen, “doorloopt” de accountant processen. Deze controles worden walkthroughs genoemd. Bij een type II-controle stelt de accountant over een periode van minimaal zes maanden vast of de controlemaatregelen daadwerkelijk effectief zijn geweest. Een type I rapport heeft betrekking op één meetmoment en een type II rapport heeft betrekking op minstens zes maanden.

Met een Type II rapport heeft een gebruikersorganisatie meer zekerheid dat de service wordt gecontroleerd zoals overeengekomen. De periode waarin de ISAE Type II audit plaatsvindt is minimaal zes maanden, tenzij er sprake is van een bijzondere situatie, zoals de aanschaf van een nieuw organisatieonderdeel of de introductie van een nieuw IT-systeem.

De eerste audit vereist altijd wat extra werk voor de organisatie en de auditor om wederzijds begrip op te bouwen. De overgang van Type I naar Type II spreidt die bedrijfsimpact, aangezien Type I minder audittests vereist. Voor Type I testen auditors elke steekproef van elke controlepraktijk om de transactieontwerpen te bevestigen. Voor Type II selecteren en testen auditors meerdere steekproeven uit populaties van auditors. Een type I rapport maakt de weg vrij voor type II zonder alles tegelijk aan te pakken.

Een voordeel van Type I rapporten is de flexibiliteit tijdens de audit, waarbij “problemen” kunnen worden geïdentificeerd voordat het rapport wordt vrijgegeven. Deze zijn niet opgenomen als problemen in het rapport omdat het een momentopname is op het moment van opname.

ISAE 3402 advies?

ISAE 3402-rapporten worden niet alleen door je klanten gelezen, maar ook door hun accountants. Een rapport dat niet voldoet aan de best practice of een rapport dat minder professioneel is beschreven, zal waarschijnlijk door je klant of de accountant van je klant als minder professioneel worden herkend. Met Securance’s ervaring met ISAE 3402 sinds 2004 zijn we goed gepositioneerd om een professioneel rapport op te stellen. We kunnen je ook passend advies geven over hoe je maatregelen kunt verbeteren, zodat je de risico’s beter onder controle hebt.

Meer informatie over Securance en ISAE 3402.

COSO Beheer van bedrijfsrisico’s

COSO Beheer van bedrijfsrisico’s

Als een organisatie haar doelstellingen wil bereiken, moet ze de risico’s die deze doelstellingen bedreigen aanpakken en beheren. COSO heeft hiervoor verschillende elementen van een intern controlesysteem gedefinieerd. Het COSO-model geeft de directe relatie weer tussen:

  1. Organisatorische doelstellingen;
  2. Besturingscomponenten;
  3. De activiteiten/eenheden die interne controle vereisen.
  4. COSO identificeert de relaties tussen bedrijfsrisico’s en het interne controlesysteem. COSO gaat ervan uit dat interne controle een proces is dat erop gericht is om doelstellingen in de volgende categorieën te bereiken:
  5. Strategische doelstellingen bereiken (Strategisch);
  6. Effectiviteit en efficiëntie van bedrijfsprocessen (Operations);
  7. Betrouwbaarheid van financiële verslaglegging (Reporting);
  8. Naleving van relevante wet- en regelgeving (Compliance).

Bovendien moeten organisaties aan investeerders en andere belanghebbenden laten zien dat ze op de juiste manier omgaan met onzekerheden (Code Tabaksblat en de Sarbanes-Oxley Act). In de Risklane-benadering van Enterprise Risk Management (ERM) worden risico’s geïdentificeerd en hun gevolgen in detail beschreven. Risklane gebruikt hiervoor de nieuwste standaarden, methoden en technieken in risicomanagement.

Stappen naar succesvol risicomanagement

Stappen naar succesvol risicomanagement

Risicomanagement is een hulpmiddel om risico’s systematisch en expliciet te identificeren, te evalueren en beter te beheren door ze proactief aan te pakken. Risicomanagement is gebaseerd op het uitvoeren van risicoanalyses.

Bij risicomanagement worden risico’s beheerst door te bepalen hoe de waarschijnlijkheid dat het risico optreedt of de gevolgen voor geïdentificeerde risico’s worden beheerst.

Het bedrijf identificeert risico’s, begrijpt zoveel mogelijk de financiële implicaties van de risico’s en implementeert dienovereenkomstig maatregelen. Door in een vroeg stadium na te denken over de mogelijke risico’s van bepaald beleid, kunnen deze worden voorkomen of kunnen ernstige gevolgen worden beperkt.

Een eenmalige risicoanalyse is niet voldoende. Alleen als de risicoanalyse regelmatig wordt herhaald en bijgewerkt, en de daaruit voortvloeiende maatregelen…

STAP 1: RISICO’S IDENTIFICEREN

Risico-identificatie omvat alle strategische, operationele, financiële en traditionele (schade)risico’s. De verbinding met de doelen van de organisatie en business units is essentieel.

STAP 2: RISICO’S ANALYSEREN EN BEOORDELEN

Door de risico’s in kaart te brengen, kunnen ze worden geanalyseerd. Een financieel manager kan zich niet beperken tot het identificeren van risico’s. Het is belangrijk om te bepalen welke risico’s het grootst zijn. Niet alle risico’s verdienen evenveel aandacht; begin met de belangrijkste.

STAP 3: ANALYSE VAN HUIDIGE CONTROLEMAATREGELEN

Bedrijven kunnen zich onderscheiden van hun concurrentie door hun risico’s efficiënter te beheren. In deze fase moet worden vastgesteld of de risico’s niet te veel worden beheerst en of er blinde vlekken zijn.

STAP 4: ACTIEPLANNEN ONTWERPEN EN UITVOEREN

Nadat de controlemaatregelen in kaart zijn gebracht, moet de financieel manager een keuze maken. Wat gebeurt er met de resterende risico’s? Voor elk risico moeten ze kiezen uit de volgende vier opties:

  • Vermijd
  • Verminder
  • Overdracht
  • Accepteer

STAP 5: METEN, BEWAKEN EN RAPPORTEREN

Risicobeheer is een continu proces. Het is belangrijk om te meten of de actieplannen het risicoprofiel beïnvloeden. Risico-informatie kan ook worden gebruikt voor het plannen van audits.

STAP 6: RESULTATEN INTEGREREN IN BESLUITVORMINGSPROCESSEN

De risico-informatie kan worden gebruikt voor de analyse van toekomstige beslissingen (via risicoanalyses uit het verleden). Bij elk nieuw investeringsvoorstel of groot project moet de organisatie bewust rekening houden met de risico’s.

Procesbenadering ISO 9001

PROCESBENADERING ISO 9001

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. Het richt zich op het voldoen aan de eisen van de klant en het verbeteren van de klanttevredenheid. Specifieke aspecten binnen de ISO 9001-norm worden beschreven als vereisten.

De impact van deze componenten van de ISO 9001-norm op een organisatie wordt visueel weergegeven in de bijgevoegde figuur. Er zijn acht gedefinieerde componenten die samen het kwaliteitsmanagementsysteem (QMS) vormen. Het QMS dient als basis voor de implementatie van ISO 9001 om ervoor te zorgen dat de diensten voldoen aan de eisen van de klant en dat de klanten tevreden zijn.

De Plan-Do-Check-Act cyclus is rood gemarkeerd. Dit staat centraal bij de implementatie van ISO 9001: plannen vanuit de eisen van de klant, de uitvoering meten en evalueren om de algehele operationele kwaliteit te verbeteren.

Het implementeren van een effectief kwaliteitsmanagementsysteem is de sleutel tot duurzame organisatieontwikkeling en kan de algehele prestaties verbeteren. ISO 9001 maakt gebruik van een procesbenadering en risicogebaseerd denken.

PROCESBENADERING ISO 9001

De procesaanpak, gedetailleerd in de Plan-Do-Check-Act cyclus (PDCA), zorgt ervoor dat kwaliteitsmanagement een integraal onderdeel is van de activiteiten, waarbij de nadruk ligt op voortdurende procesverbetering. Het maakt gebruik van risicogebaseerd denken om te anticiperen op gebeurtenissen die voorkomen dat processen de gewenste resultaten behalen.

VOORDELEN VAN ISO 9001

  • Hoge klanttevredenheid
  • Kwaliteit
  • Gestandaardiseerde procedures
  • Gemotiveerde en betrokken werknemers