Meer organisaties besteden IT of andere processen uit. Deze uitbesteding brengt efficiëntie, maar ook risico’s met zich mee. Wordt de informatiebeveiliging goed beheerd? Hoe wordt er met privacy omgegaan? De ISAE 3402-standaard is de standaard voor betrouwbare uitbesteding en geeft antwoorden. Deze standaard zorgt ervoor dat aspecten zoals risicomanagement, informatiebeveiliging, privacy, antifraudemaatregelen en continuïteit worden gecontroleerd.

Wanneer improviserenprocessen in een organisatie, benadrukt de Theory of Constraints (TOC) het belang van het opnemen van de toeleveringsketen en marktbetrokkenheid in de analyse. Operational Excellence wordt bereikt door het elimineren van beperkingen in het hele proces, van inkoop tot productie (operations) tot verkoop. Dit lijkt eenvoudig, maar volgens Goldratt (de bedenker van TOC): “Hoe complexer een systeem is, hoe dieper de inherente eenvoud.” De uitvoering is complex, niet de oplossing.

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 is de internationale standaard voor beveiliging en andere niet-financiële informatie. ISAE 3402 wordt toegepast wanneer er sprake is van uitbesteding waarbij financiële informatie wordt verwerkt door de serviceorganisatie. Als dit niet het geval is, kan SOC 2 worden gebruikt, bijvoorbeeld als alleen de General IT Controls (GITC’s) zijn opgenomen in de scope van het SOC-rapport. De SOC 2-standaard bevat geen bepalingen voor interne controle, zoals het COSO-raamwerk. Deze onderdelen zijn daarom niet verplicht in een SOC 2-rapport.

Schaalvoordelen

Sinds de industriële revolutie vragen organisaties zich af hoe ze hun concurrentievoordeel kunnen gebruiken om hun marktaandeel en winstgevendheid te vergroten. Het dominante model in de 19e en 20e eeuw was de grote geïntegreerde organisatie. In de jaren 1950 en 1960 breidden bedrijven hun basis uit om te profiteren van schaalvoordelen.

EUROPESE PRIVACYVERORDENING

De Europese Commissie heeft besloten dat de huidige wetgeving niet langer aansluit bij de voortdurende veranderingen als gevolg van de digitalisering. Deze nieuwe privacyregelgeving komt in de vorm van een Europese verordening die van toepassing is op alle organisaties in de Europese Unie; de General Data Protection Regulation (GDPR). De GDPR is rechtstreeks van toepassing in alle EU-lidstaten zonder dat omzetting in nationale wetgeving nodig is.

Organisaties zijn voortdurend op zoek naar manieren om concurrentievoordeel te benutten om hun markten uit te breiden en hun winst te verhogen. Ze besteden steeds meer niet-kernactiviteiten uit. Desalniettemin blijft het management eindverantwoordelijk voor risicomanagement en het implementeren van een effectief controleraamwerk. Dit heeft geleid tot een grotere vraag naar assurance-standaarden zoals ISAE 3402 of ISAE 3000 voor activiteiten uitgevoerd door derden.

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. Het richt zich op het voldoen aan de eisen van de klant en het verbeteren van de klanttevredenheid. Specifieke aspecten binnen de ISO 9001-norm worden beschreven als vereisten.

ISO 27001 is de norm voor beheersystemen voor informatiebeveiliging. Het is de enige controleerbare internationale standaard hiervoor. ISO 27001 omvat beleid, praktijken, ontwikkelingen en systemen voor het beheren van informatierisico’s, zoals cyberaanvallen, datalekken, diefstal of datahacks. Maar wat zijn de voordelen voor uw organisatie?

Sinds januari 2017 beschikt Student Experience Beheer B.V. over een ISAE 3402 Type II rapport. Dit toont aan dat Student Experience voldoet aan hoge kwaliteitsnormen en dat de processen op orde zijn volgens internationale normen.

Op dit moment werken meer mensen thuis dan ooit tevoren, wat veel risico’s met zich meebrengt voor de beveiliging van organisaties. Wereldwijde datalekken nemen toe en kunnen grote gevolgen hebben voor bedrijven. Door de beveiliging onder controle te houden, kunnen organisaties niet alleen het vertrouwen van de klant behouden, maar ook financiële verliezen beperken.