Categorie: Cyber Security

Home / Cyber Security
jun112019

Voordelen van ISO 9001

Voordelen van ISO 9001

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. De ISO 9001-norm richt zich op twee belangrijke aspecten: voldoen aan de eisen van de klant en de klanttevredenheid vergroten. Om dit te bereiken, specificeert de ISO 9001-norm een aantal specifieke aspecten die worden beschreven in vereisten. Bij het implementeren van deze standaard zijn er veel voordelen.

  1. Hogere inkomsten: door gebruik te maken van de reputatie van ISO 9001 kunt u meer aanbestedingen en contracten binnenhalen, terwijl de efficiëntie ten goede komt aan de klanttevredenheid en het klantenbehoud.
  2. Grotere geloofwaardigheid: wanneer organisaties nieuwe leveranciers zoeken, is het hebben van een QMS gebaseerd op ISO 9001 vaak een vereiste, vooral voor organisaties in de publieke sector.
  3. Verbeterde klanttevredenheid: door de behoeften van uw klanten te begrijpen en fouten te verminderen, vergroot u het vertrouwen van uw klanten in uw vermogen om producten en diensten te leveren.
  4. Hogere bedrijfsefficiëntie: door de best practices uit de sector te volgen en u te richten op kwaliteit, kunt u de kosten verlagen.
  5. Verbeterde besluitvorming: je kunt problemen snel opsporen en signaleren, zodat je snel stappen kunt ondernemen om dezelfde fouten in de toekomst te voorkomen.
  6. Verhoogde betrokkenheid van werknemers: door de interne communicatie te verbeteren, zorg je ervoor dat iedereen met één agenda werkt. Door werknemers te betrekken bij het ontwerpen van procesverbeteringen worden ze gelukkiger en productiever.
  7. Betere procesintegratie: door de interacties tussen processen te onderzoeken, kunt u eenvoudiger efficiëntieverbeteringen vinden, fouten verminderen en profiteren van kostenbesparingen.
  8. Een cultuur van voortdurende verbetering: dit is het derde principe van ISO 9001. Het betekent een systematische aanpak om verbetermogelijkheden te identificeren en te benutten.
  9. Verbeterde relaties met leveranciers: het gebruik van best-practice processen draagt bij aan efficiëntere toeleveringsketens, en certificering zal dit duidelijk maken aan uw leveranciers.
mei82019

Outsourcing in de geschiedenis

Outsourcing in de geschiedenis

Schaalvoordelen

Sinds de industriële revolutie hebben organisaties nagedacht over het benutten van hun concurrentievoordeel om markten uit te breiden en winsten te verhogen. Het overheersende model in de 19e en 20e eeuw was de grote geïntegreerde organisatie. In de jaren 1950 en 1960 breidden bedrijven hun basis uit om te profiteren van schaalvoordelen.

De grote geïntegreerde organisatie diversifieerde haar productassortiment, waardoor meer managementlagen nodig waren voor uitbreidingen. Technologische vooruitgang zoals het internet in de jaren 1980 en 1990 dwongen organisaties om meer te globaliseren en werden gehinderd door inflexibiliteit als gevolg van opgeblazen managementstructuren. Om de wendbaarheid te vergroten, hebben veel grote organisaties een strategie ontwikkeld die gericht is op hun kernactiviteiten en kernprocessen.

Principaal-agent probleem

De focus op kernprocessen bracht discussies op gang over welke processen essentieel en cruciaal waren voor bedrijfscontinuïteit en welke konden worden uitbesteed aan externe dienstverleners. Processen of functies waarvoor intern te weinig middelen beschikbaar waren, werden uitbesteed aan gespecialiseerde bureaus of dienstverleners. Bijgevolg ontstond het principaal-agent probleem tussen gebruikersorganisaties en serviceorganisaties, en de principaal-agent theorie en gerelateerde informatieasymmetrie wonnen aan belang in lijn met de groei van outsourcing.

Informatieasymmetrie

De meest voorkomende agentschapsrelatie in het financiële domein vindt plaats tussen investeerders (of aandeelhouders) en het management van een bedrijf. Het is mogelijk dat de principaal niet op de hoogte is van de activiteiten van de agent of dat het de agent verboden is om informatie te verkrijgen. Het resultaat is een informatieasymmetrie tussen de principaal en de agent. Het management kan bijvoorbeeld willen beleggen in opkomende economieën terwijl de risicotolerantie van de opdrachtgever ongunstig is. Deze managementstrategie kan ten koste gaan van de winstgevendheid op korte termijn, de risico’s van het bedrijf vergroten en mogelijk leiden tot hogere rendementen in de toekomst. Beleggers die op zoek zijn naar hoge lopende kapitaalinkomsten met lage risico’s zijn mogelijk niet op de hoogte van deze beheerplannen. Als deze managementstrategie leidt tot bepaalde verliezen, kan het management geneigd zijn deze informatie niet bekend te maken aan aandeelhouders. De ontwikkeling van het accountantsberoep was een belangrijke wereldwijde ontwikkeling in het verminderen van het agency-probleem.

Planning van risico’s en middelen

Zoals hierboven aangegeven, kunnen zich situaties voordoen waarin de agent van plan is om bepaalde middelen van de beleggers toe te wijzen aan beleggingen met een hoog risico. De agent neemt de beslissingen en draagt weinig tot geen risico, aangezien alle verliezen door de principaal worden gedragen. Deze situatie kan zich voordoen wanneer aandeelhouders financiële steun verlenen aan een entiteit die het management naar eigen goeddunken gebruikt. De agent kan een andere risicotolerantie hebben dan de beleggers door een ongelijke risicoverdeling. Anderzijds kunnen werknemers beslissen om hun energie te steken in een project dat op lange termijn geen voordelen heeft voor de organisatie. Het management is verantwoordelijk voor de financiële situatie van de organisatie en is zich mogelijk niet bewust van werknemers die zich op de verkeerde doelen richten.

Financiële gevolgen

Als de opdrachtgever een investeerder of aandeelhouder van een organisatie is, dan zijn de belangen van de opdrachtgever gericht op het optimaliseren van het rendement op investeringen. Opbrengsten uit beleggingen worden op korte of lange termijn uitgekeerd als dividend aan beleggers. De principes zijn gericht op het optimaliseren van dividendrendementen (op lange termijn). Het uitkeren van hoge dividenden aan principals beperkt de investeringsmogelijkheden of kan cashflowproblemen veroorzaken voor het management van de organisatie. Opdrachtgevers en agenten hebben in dit opzicht tegengestelde financiële belangen.

De agency-theorie is ook relevant in de relatie tussen management en werknemer. Werknemers hebben er belang bij om met minimale inspanningen hun persoonlijke salaris en persoonlijke voldoening te verhogen. Het management streeft naar het optimaliseren van productie- of verkoopvolumes tegen de laagste arbeidskosten. In deze context bestaat er ook informatieasymmetrie in de vorm van onvolledig inzicht in de dagelijkse activiteiten van werknemers door het management. Het management zal waarschijnlijk budgetteringsmechanismen en controles implementeren om de activiteiten van werknemers te optimaliseren voor het doel van de organisatie. De agency-theorie is ook relevant in uitbestedingssituaties.

Agentschapstheorie bij outsourcing

In het algemeen heeft de agentuurtheorie betrekking op alle relaties tussen twee partijen waarbij de ene partij de principaal is en de andere de agent die de principaal vertegenwoordigt in transacties met derden. Agentschapsrelaties ontstaan wanneer principalen agenten inhuren om een dienst uit te voeren namens de principalen. Opdrachtgevers delegeren doorgaans beslissingsbevoegdheid aan agenten. Omdat contracten en beslissingen met derden door de agent worden genomen die de principaal beïnvloeden, kunnen er agentschapsproblemen ontstaan.

In de situatie waarin activiteiten worden uitbesteed door een gebruikersorganisatie aan een serviceorganisatie, is de agency-theorie relevant voor alle beschreven aspecten; informatieasymmetrie, risicotolerantie en toegezegde middelen. Een financiële instelling besteedt bijvoorbeeld IT-diensten uit aan een managed services provider. De managed service provider heeft geen inzicht in de risicotolerantie van de instelling en kan besluiten dat wekelijkse back-ups acceptabel zijn of dat het opslaan van gegevens buiten de EU acceptabel is. Het is mogelijk dat de serviceprovider de organisatie niet informeert over downtime van bepaalde servers als deze netwerkstoring niet wordt geïdentificeerd door de financiële instelling. De serviceorganisatie kan ook geneigd zijn om zo weinig mogelijk middelen in te zetten voor het uitvoeren van activiteiten, in een poging om de ontvangen vergoedingen te verhogen. Een serviceorganisatie kan een andere tolerantie voor fraude hebben of zelf fraude plegen. In de pensioensector kunnen vermogensbeheerders profiteren door transacties van pensioenfondsen vooraf te laten uitvoeren. Dit resulteert in het principaal-agent probleem dat hierboven is beschreven.

 
mei82019

ISAE 3402 voor zekerheid bij uitbesteding

ISAE 3402 voor zekerheid over outsourcing

De ISAE 3402 standaard is een internationaal erkende controlestandaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Het onderzoek door de auditor van een serviceorganisatie wordt algemeen geaccepteerd, omdat het een grondige beoordeling is van de interne controledoelstellingen en -activiteiten van een serviceorganisatie. Het auditraamwerk en de bijbehorende controlemaatregelen worden gedetailleerd beschreven in het System and Organization Report (SOC). De reikwijdte van een ISAE 3402/SOC-rapport Bestaat uit controles op informatietechnologie en operationele processen die de financiën van een organisatie beïnvloeden.

SOC 1 OF SOC 2

SOC-rapporten kunnen worden onderscheiden in SOC 1- en SOC 2-rapporten. Een ISAE 3402/SOC 1 richt zich op financiële overzichten en alle processen die daarop van invloed zijn. Een ISAE 3000 (of SOC 2) rapport is gericht op een breder scala aan gebruikersbehoeften, waaronder zorgen over privacy, vertrouwelijkheid en systeembeschikbaarheid. SOC 2-rapporten zijn modulair opgebouwd op basis van de Trust Services Principles en Criteria.

Type I en type II

Een ISAE 3402 Type I-rapport bevat een oordeel van een externe accountant over de controlemaatregelen die op een bepaald moment van kracht zijn. De externe accountant onderzoekt of de interne controlemaatregelen voldoende zijn opgezet om een redelijke mate van zekerheid te verschaffen dat de beweringen in de jaarrekening worden gerealiseerd en of er interne controlemaatregelen bestaan. In een ISAE 3402 Type II-rapport rapporteert de externe accountant ook over de werking van deze controlemaatregelen over een vooraf bepaalde periode. ISAE 3402-rapporten hebben doorgaans betrekking op het ontwerp en de werking van controles voor een periode van 12 maanden met een doorlopende dekking van jaar tot jaar. Een rapport kan betrekking hebben op een periode van minimaal zes maanden.

Externe vereisten afstemmen op interne risico-excellence

In uitbestedingssituaties kunnen veel vragen rijzen: Worden de diensten op een gecontroleerde manier uitgevoerd? Hoe wordt de beveiliging geregeld? Wie heeft toegang tot onze informatie? Zijn er adequate fraudepreventiemaatregelen genomen? ISAE 3402 biedt een oplossing voor deze problemen.

ISAE 3402 ondersteunt organisaties bij het meten en evalueren van risico’s en het afstemmen van het resulterende controleraamwerk op strategische doelstellingen en deze risico’s. Een eenmalige investering in het raamwerk betaalt zich terug door het vertrouwen in de markt en de uitmuntendheid van de organisatie te vergroten.

mei82019

Wat past beter? Een SOC 1 of een SOC 2?

Wat past beter?

Een SOC 1 of een SOC 2?

De algemene term voor risicorapportage door serviceorganisaties aan gebruikersorganisaties is het Systems and Organization Control Report of SOC-rapport. Deze term is afkomstig van het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-raamwerk.

Deze werden voorheen Service Organization Control-rapporten genoemd. SOC is een serie rapporten afkomstig uit de VS. ISAE 3402 komt overeen met de Amerikaanse standaard Statement on Standards for Attestation Engagements (SSAE) 18. Een ISAE 3402-rapport geeft zekerheid over de beschrijving van het systeem van een serviceorganisatie en de geschiktheid van het ontwerp en de werking van haar interne controlemaatregelen door middel van een Service Auditor’s Report.

ISAE 3402 | SOC 1

In een ISAE 3402 | SOC 1-rapport definiëren organisaties hun eigen controledoelstellingen en controles en stemmen deze af op de behoeften van de klant. De reikwijdte van een ISAE 3402 omvat doorgaans alle operationele en financiële controles die van invloed zijn op financiële overzichten en algemene IT-controles (bijv. beveiligingsbeheer, fysieke en logische beveiliging, wijzigingsbeheer, incidentbeheer en systeembewaking). Met andere woorden, als een organisatie financiële informatie host die van invloed kan zijn op de financiële verslaglegging van uw klant, dan is een ISAE 3402 | SOC 1 auditrapport het meest logische voor een organisatie om na te streven en zal het waarschijnlijk worden aangevraagd. De ITGC’s, operationele controles en financiële controles worden gecontroleerd volgens het ISAE 3402 SOC 1-raamwerk.

In een SOC 1-audit moeten controles, die worden gebruikt om de interne controle over de financiële verslaglegging (ICOFR) nauwkeurig weer te geven, worden opgenomen als de organisatie onderworpen is aan SEC-dossiers in de VS.

Aangezien de belangrijkste leveranciers van financiële instellingen IT-serviceproviders waren en, in een later stadium, Cloud Service Providers en datacenter/hosting providers terrein hebben gewonnen in de IT-industrie, zijn SAS70, SSAE 18 SOC 1 en ISAE 3402 de meest uitgebreide en transparante standaard geworden voor IT-outsourcing en risk excellence. Organisaties die een ISAE 3402 | SOC 1-rapport nodig hebben, overwegen vaak ISAE 3000 | SOC 2-rapporten.

ISAE 3000 | SOC 2

ISAE 3000 | SOC 2-rapporten passen de Trust Services Principles and Criteria (TSP’s) toe. De TSP’s zijn een set specifieke vereisten ontwikkeld door de AICPA en het Canadian Institute of Chartered Accountants (CICA) om zekerheid te bieden over beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Een organisatie kan de verschillende aspecten kiezen die relevant zijn voor de behoeften van de klant. Een ISAE 3000 | SOC 2-rapport kan betrekking hebben op een of meer principes. Als uw organisatie andere soorten informatie voor uw klanten host of verwerkt die geen invloed hebben op hun financiële verslaglegging, dan is een ISAE 3000 | SOC 2 relevanter. In dit geval maken uw klanten zich waarschijnlijk zorgen of u wel veilig met hun gegevens omgaat en of ze er wel over kunnen beschikken zoals afgesproken. Een SOC 2-rapport, vergelijkbaar met een SOC 1-rapport, evalueert interne controles, beleidsregels en procedures.

SOC 1 OF SOC 2?

Organisaties die systemen of informatie verwerken, hosten of beheren die van invloed zijn op de financiële verslaggeving moeten altijd een ISAE 3402 | SOC 1 overleggen. ISAE 3000 | SOC 2 is van toepassing als alle systemen en processen geen verband houden met financiële verslaggeving. Leveranciers van datacenters, IaaS en PaaS rapporteren meestal hybride, met zowel een ISAE 3402 | SOC 1 voor financiële processen en systemen als een ISAE 3000 | SOC 2 voor niet-gerelateerde processen en systemen. De inhoud van beide rapporten zal identiek zijn.