Veel organisaties richten zich vooral op hun kerncompetenties en besteden de rest uit. Bekende voorbeelden zijn salarisadministratie en technologische infrastructuur. De afhankelijkheid van deze diensten neemt toe nu veel industrieën en bedrijven met elkaar verbonden raken.

Verschillende belanghebbenden onderzoeken SOC-rapporten. Wanneer een SOC-auditrapport ‘correct’ lijkt, onderscheidt het een organisatie van haar concurrenten en kan het operationele geloofwaardigheid bieden. Stakeholders kijken vooral naar de volgende variabelen:

Verzekeraars implementeren de Solvency II-richtlijnen actief en beheren deze naast hun kapitaal- en risicobeheer. De gevolgen van beslissingen in deze context reiken verder dan de bestuurskamer en beïnvloeden de relaties tussen zowel individuele als zakelijke polishouders en verzekeraars. Deze mogelijke gevolgen zijn onderzocht en gedocumenteerd in een rapport van The Economist Intelligence Unit, waarbij 254 EU-organisaties betrokken waren, waaronder verzekeraars, financiële instellingen en niet-financiële instellingen.

SECURANCE zal Fujitsu Nederland ondersteunen bij de implementatie van ISAE 3402. Fujitsu is een wereldwijde leverancier van dynamische IT-infrastructuren. Meer dan 170.000 Fujitsu medewerkers ondersteunen klanten lokaal in 70 landen. Fujitsu’s headquarters are located in Tokyo.

Meer organisaties besteden IT of andere processen uit. Deze uitbesteding brengt efficiëntie, maar ook risico’s met zich mee. Wordt de informatiebeveiliging goed beheerd? Hoe wordt er met privacy omgegaan? De ISAE 3402-standaard is de standaard voor betrouwbare uitbesteding en geeft antwoorden. Deze standaard zorgt ervoor dat aspecten zoals risicomanagement, informatiebeveiliging, privacy, antifraudemaatregelen en continuïteit worden gecontroleerd.

Wanneer improviserenprocessen in een organisatie, benadrukt de Theory of Constraints (TOC) het belang van het opnemen van de toeleveringsketen en marktbetrokkenheid in de analyse. Operational Excellence wordt bereikt door het elimineren van beperkingen in het hele proces, van inkoop tot productie (operations) tot verkoop. Dit lijkt eenvoudig, maar volgens Goldratt (de bedenker van TOC): “Hoe complexer een systeem is, hoe dieper de inherente eenvoud.” De uitvoering is complex, niet de oplossing.

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 is de internationale standaard voor beveiliging en andere niet-financiële informatie. ISAE 3402 wordt toegepast wanneer er sprake is van uitbesteding waarbij financiële informatie wordt verwerkt door de serviceorganisatie. Als dit niet het geval is, kan SOC 2 worden gebruikt, bijvoorbeeld als alleen de General IT Controls (GITC’s) zijn opgenomen in de scope van het SOC-rapport. De SOC 2-standaard bevat geen bepalingen voor interne controle, zoals het COSO-raamwerk. Deze onderdelen zijn daarom niet verplicht in een SOC 2-rapport.

Schaalvoordelen

Sinds de industriële revolutie vragen organisaties zich af hoe ze hun concurrentievoordeel kunnen gebruiken om hun marktaandeel en winstgevendheid te vergroten. Het dominante model in de 19e en 20e eeuw was de grote geïntegreerde organisatie. In de jaren 1950 en 1960 breidden bedrijven hun basis uit om te profiteren van schaalvoordelen.

Organisaties zijn voortdurend op zoek naar manieren om concurrentievoordeel te benutten om hun markten uit te breiden en hun winst te verhogen. Ze besteden steeds meer niet-kernactiviteiten uit. Desalniettemin blijft het management eindverantwoordelijk voor risicomanagement en het implementeren van een effectief controleraamwerk. Dit heeft geleid tot een grotere vraag naar assurance-standaarden zoals ISAE 3402 of ISAE 3000 voor activiteiten uitgevoerd door derden.

ISO 27001 is de norm voor beheersystemen voor informatiebeveiliging. Het is de enige controleerbare internationale standaard hiervoor. ISO 27001 omvat beleid, praktijken, ontwikkelingen en systemen voor het beheren van informatierisico’s, zoals cyberaanvallen, datalekken, diefstal of datahacks. Maar wat zijn de voordelen voor uw organisatie?

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. Het richt zich op het voldoen aan de eisen van de klant en het verbeteren van de klanttevredenheid. Specifieke aspecten binnen de ISO 9001-norm worden beschreven als vereisten.