Categorie: Cyber Security

Risico van derden en ISAE 3402

Risico van derden en ISAE 3402

Van volledige uitbesteding van complexe functies zoals IaaS, PaaS-diensten of de productie van componenten tot kleine contracten met lokale serviceproviders en leveranciers, organisaties in verschillende sectoren en groottes vertrouwen sterk op externe serviceorganisaties.

Uitbestedingsactiviteiten resulteren in kostenbesparingen, operationele efficiëntie of uitgebreide expertise binnen de organisatie. Uitbesteding brengt ook een grotere blootstelling aan risico’s met zich mee. Het begrijpen, analyseren en effectief reageren op risico’s als onderdeel van een ERM-aanpak (Enterprise Risk Management) is essentieel om de blootstelling aan financiële verliezen, niet-naleving van regelgeving en reputatieschade te minimaliseren.

Inzicht in risico’s van derden

Risico’s van derden zijn niet beperkt tot multinationals die belangrijke bedrijfsfuncties uitbesteden aan offshore leveranciers. In de wereld van vandaag hebben de meeste organisaties regelmatig te maken met dienstverleners als onderdeel van de reguliere bedrijfsvoering, zoals besproken in het vorige hoofdstuk. Zelfs kleine bedrijven vertrouwen op serviceorganisaties voor verschillende activiteiten, van het hosten van servers en IT-ondersteuning tot salarisverwerking. De toename van uitbesteding aan derden vergroot de potentiële risico’s voor organisaties.

Het op elk moment analyseren van dit risico voor derden is essentieel voor de bedrijfscontinuïteit en het maximaliseren van de impact van inspanningen op het gebied van risicomanagement. Gezien de grote afhankelijkheid van gegevens in de meeste bedrijven, kan elke derde partij met toegang tot gevoelige of vertrouwelijke informatie een potentieel risico vormen voor de bedrijfscontinuïteit. Bij uitbesteding kan, net als bij andere categorieën, rekening worden gehouden met risiconiveaus en hiërarchieën. Deze hiërarchieën en niveaus vormen de basis voor het bepalen van risicoprioriteiten door het management en de basis voor het risicoraamwerk in een ISAE 3402 SOC1-rapport.

Risicoprioritering en ISAE 3402

Het stellen van risicoprioriteiten is geen eenmalige exercitie; alle parameters kunnen in de loop van de tijd worden aangepast, afhankelijk van factoren variërend van economische ontwikkelingen tot veranderingen in de regelgeving en veranderende strategische initiatieven. Hoewel ze niet uitputtend zijn, omvatten de soorten derde partijen die doorgaans een hoger risico vormen voor uw organisatie serviceorganisaties zoals:

  • Cloud computing/on-demand computing
  • Software-as-a-Service (SaaS)
  • Internetproviders (ISP’s)
  • Platformen voor creditcardverwerking
  • Online orderverwerking
  • Datacenter- en colocatieproviders
  • HR- en salarisadministratie
  • Beheerders van derden (TPA’s)
  • Drukkerij en post
  • Logistieke diensten van derden (3PL)
  • Debiteurenverwerking en incassodiensten
  • due diligence door derden

Een grondige due diligence voordat je een nieuw contract met een derde partij aangaat, is nog maar het begin. Net als bedrijfsrisico’s moeten risico’s van derden regelmatig en proactief worden beheerd tijdens de levensduur van een verkopersrelatie, omdat de parameters na verloop van tijd worden aangepast. Hierbij wordt gebruik gemaakt van interne audit, financiële, juridische en – in veel gevallen – onafhankelijke auditors die een ISAE 3402-verklaring afgeven.

SOC 1: Type I versus Type II

Type I versus Type II

Om duidelijk te maken welke SOC-typen jouw organisatie nodig heeft, volgt hier de essentiële informatie.

Er zijn twee soorten ISAE 3402-rapporten: een type I-rapport en een type II-rapport. Beide rapporten hebben dezelfde inhoud. Het verschil zit in de uitgevoerde controle; bij een Type I controle stelt de accountant vast of het risicomanagementraamwerk en de controlemaatregelen het raamwerk (ontwerp) afdekken en op een specifiek moment bestaan. Om dit te bepalen, “doorloopt” de accountant processen. Deze controles worden walkthroughs genoemd. Bij een type II-controle stelt de accountant over een periode van minimaal zes maanden vast of de controlemaatregelen daadwerkelijk effectief zijn geweest. Een type I rapport heeft betrekking op één meetmoment en een type II rapport heeft betrekking op minstens zes maanden.

Met een Type II rapport heeft een gebruikersorganisatie meer zekerheid dat de service wordt gecontroleerd zoals overeengekomen. De periode waarin de ISAE Type II audit plaatsvindt is minimaal zes maanden, tenzij er sprake is van een bijzondere situatie, zoals de aanschaf van een nieuw organisatieonderdeel of de introductie van een nieuw IT-systeem.

De eerste audit vereist altijd wat extra werk voor de organisatie en de auditor om wederzijds begrip op te bouwen. De overgang van Type I naar Type II spreidt die bedrijfsimpact, aangezien Type I minder audittests vereist. Voor Type I testen auditors elke steekproef van elke controlepraktijk om de transactieontwerpen te bevestigen. Voor Type II selecteren en testen auditors meerdere steekproeven uit populaties van auditors. Een type I rapport maakt de weg vrij voor type II zonder alles tegelijk aan te pakken.

Een voordeel van Type I rapporten is de flexibiliteit tijdens de audit, waarbij “problemen” kunnen worden geïdentificeerd voordat het rapport wordt vrijgegeven. Deze zijn niet opgenomen als problemen in het rapport omdat het een momentopname is op het moment van opname.

ISAE 3402 advies?

ISAE 3402-rapporten worden niet alleen door je klanten gelezen, maar ook door hun accountants. Een rapport dat niet voldoet aan de best practice of een rapport dat minder professioneel is beschreven, zal waarschijnlijk door je klant of de accountant van je klant als minder professioneel worden herkend. Met Securance’s ervaring met ISAE 3402 sinds 2004 zijn we goed gepositioneerd om een professioneel rapport op te stellen. We kunnen je ook passend advies geven over hoe je maatregelen kunt verbeteren, zodat je de risico’s beter onder controle hebt.

Meer informatie over Securance en ISAE 3402.

COSO Beheer van bedrijfsrisico’s

COSO Beheer van bedrijfsrisico’s

Als een organisatie haar doelstellingen wil bereiken, moet ze de risico’s die deze doelstellingen bedreigen aanpakken en beheren. COSO heeft hiervoor verschillende elementen van een intern controlesysteem gedefinieerd. Het COSO-model geeft de directe relatie weer tussen:

  1. Organisatorische doelstellingen;
  2. Besturingscomponenten;
  3. De activiteiten/eenheden die interne controle vereisen.
  4. COSO identificeert de relaties tussen bedrijfsrisico’s en het interne controlesysteem. COSO gaat ervan uit dat interne controle een proces is dat erop gericht is om doelstellingen in de volgende categorieën te bereiken:
  5. Strategische doelstellingen bereiken (Strategisch);
  6. Effectiviteit en efficiëntie van bedrijfsprocessen (Operations);
  7. Betrouwbaarheid van financiële verslaglegging (Reporting);
  8. Naleving van relevante wet- en regelgeving (Compliance).

Bovendien moeten organisaties aan investeerders en andere belanghebbenden laten zien dat ze op de juiste manier omgaan met onzekerheden (Code Tabaksblat en de Sarbanes-Oxley Act). In de Risklane-benadering van Enterprise Risk Management (ERM) worden risico’s geïdentificeerd en hun gevolgen in detail beschreven. Risklane gebruikt hiervoor de nieuwste standaarden, methoden en technieken in risicomanagement.

Stappen naar succesvol risicomanagement

Stappen naar succesvol risicomanagement

Risicomanagement is een hulpmiddel om risico’s systematisch en expliciet te identificeren, te evalueren en beter te beheren door ze proactief aan te pakken. Risicomanagement is gebaseerd op het uitvoeren van risicoanalyses.

Bij risicomanagement worden risico’s beheerst door te bepalen hoe de waarschijnlijkheid dat het risico optreedt of de gevolgen voor geïdentificeerde risico’s worden beheerst.

Het bedrijf identificeert risico’s, begrijpt zoveel mogelijk de financiële implicaties van de risico’s en implementeert dienovereenkomstig maatregelen. Door in een vroeg stadium na te denken over de mogelijke risico’s van bepaald beleid, kunnen deze worden voorkomen of kunnen ernstige gevolgen worden beperkt.

Een eenmalige risicoanalyse is niet voldoende. Alleen als de risicoanalyse regelmatig wordt herhaald en bijgewerkt, en de daaruit voortvloeiende maatregelen…

STAP 1: RISICO’S IDENTIFICEREN

Risico-identificatie omvat alle strategische, operationele, financiële en traditionele (schade)risico’s. De verbinding met de doelen van de organisatie en business units is essentieel.

STAP 2: RISICO’S ANALYSEREN EN BEOORDELEN

Door de risico’s in kaart te brengen, kunnen ze worden geanalyseerd. Een financieel manager kan zich niet beperken tot het identificeren van risico’s. Het is belangrijk om te bepalen welke risico’s het grootst zijn. Niet alle risico’s verdienen evenveel aandacht; begin met de belangrijkste.

STAP 3: ANALYSE VAN HUIDIGE CONTROLEMAATREGELEN

Bedrijven kunnen zich onderscheiden van hun concurrentie door hun risico’s efficiënter te beheren. In deze fase moet worden vastgesteld of de risico’s niet te veel worden beheerst en of er blinde vlekken zijn.

STAP 4: ACTIEPLANNEN ONTWERPEN EN UITVOEREN

Nadat de controlemaatregelen in kaart zijn gebracht, moet de financieel manager een keuze maken. Wat gebeurt er met de resterende risico’s? Voor elk risico moeten ze kiezen uit de volgende vier opties:

  • Vermijd
  • Verminder
  • Overdracht
  • Accepteer

STAP 5: METEN, BEWAKEN EN RAPPORTEREN

Risicobeheer is een continu proces. Het is belangrijk om te meten of de actieplannen het risicoprofiel beïnvloeden. Risico-informatie kan ook worden gebruikt voor het plannen van audits.

STAP 6: RESULTATEN INTEGREREN IN BESLUITVORMINGSPROCESSEN

De risico-informatie kan worden gebruikt voor de analyse van toekomstige beslissingen (via risicoanalyses uit het verleden). Bij elk nieuw investeringsvoorstel of groot project moet de organisatie bewust rekening houden met de risico’s.