Schaalvoordelen

Sinds de industriële revolutie hebben organisaties nagedacht over het benutten van hun concurrentievoordeel om markten uit te breiden en winsten te verhogen. Het overheersende model in de 19e en 20e eeuw was de grote geïntegreerde organisatie. In de jaren 1950 en 1960 breidden bedrijven hun basis uit om te profiteren van schaalvoordelen.

Als een organisatie haar doelstellingen wil bereiken, moet ze de risico’s die deze doelstellingen bedreigen aanpakken en beheren. COSO heeft hiervoor verschillende elementen van een intern controlesysteem gedefinieerd. Het COSO-model geeft de directe relatie weer tussen:

Dit artikel geeft 4 stappen om het auditproces beter te overzien en efficiënter te werken.

Stap 1. Is er een subserviceorganisatie?

De zogenaamde subserviceorganisaties vormen een speciale klasse van leveranciers. Deze worden gedefinieerd als “een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt om bepaalde diensten te verlenen aan gebruikersentiteiten die waarschijnlijk relevant zijn voor de interne controle van die gebruikersentiteiten over de financiële verslaggeving”.

Net als alle ISO-normen wordt ISO 9001 elke vijf jaar systematisch herzien om te beslissen of de norm geldig blijft of moet worden bijgewerkt. Dit is nodig om ervoor te zorgen dat de standaard wereldwijd relevant blijft en voldoet aan de behoeften van de gebruikers.

Utrecht, 25 april 2019 – DMS-leverancier Expansion heeft in januari 2019 de ISAE 3402 Type II verklaring behaald. Met de hulp van Securance krijgen de klanten van Expansion een objectieve bevestiging van de betrouwbaarheid van hun serviceprocessen. Concludeer Accountants hebben de controle uitgevoerd.

De meeste bedrijven denken aan SaaS-bedrijven als ze denken aan ISAE 3000 | SOC 2 compliance. De meeste bedrijven in de reisbranche (SaaS of niet) moeten echter tot op zekere hoogte consumentengegevens verzamelen en opslaan. Dus als het bedrijf een database beheert – groot of klein – moeten de bedrijven de nieuwste en meest effectieve cyberbeveiligingsprotocollen implementeren.

De algemene term voor risicorapportage door serviceorganisaties aan gebruikersorganisaties is het Systems and Organization Control Report of SOC-rapport. Deze term is afkomstig van het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-raamwerk.

Organisaties krijgen vaak vragen van (potentiële) klanten over beveiligingsstandaarden; wat zijn de verschillen tussen een ISAE 3402 | SOC1, ISAE 3000 | SOC2 en een ISO 27001 audit? Welke norm is meer van toepassing op ons bedrijf, ISAE of ISO 27001? Wat zijn de voor- en nadelen van ISAE versus ISO 27001? ISAE 3402 en ISO 27001 zijn fundamenteel verschillende soorten standaarden met een even dissonant gebruik.

Als je een serviceorganisatie bent en je klanten je hun gegevens toevertrouwen, moet je misschien slagen voor een SOC 2-audit om je producten te verkopen. Uw klanten kunnen nu een auditrapport van u eisen, of de regelgeving in de sector kan dit vereisen. Mogelijk moet u een bewijs van SOC 2-compliance overleggen om aan te tonen dat de gegevens die aan u zijn toevertrouwd goed beveiligd zijn.

Systemen en controles – SOC-rapportage draait om controles. Een ISAE 3402 | SOC 1 report richt zich op financiële uitbesteding, waaronder vermogensbeheer, SaaS-providers (financiële software), datacenters (opslag van financiële gegevens). Het The SOC 2 report richt zich op een breder toepassingsgebied voor gebruikersorganisaties met aanvullende eisen op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.