Richtlijnen voor accountants die rapporteren over controles van een serviceorganisatie die relevant zijn voor de financiële verslaglegging van gebruikersorganisaties, werden voornamelijk opgenomen in SAS 70. Deze verordening richtte zich op risico’s met betrekking tot financiële verslaglegging. Het werd echter vaak misbruikt voor rapportage over operaties of naleving. De SSAE 16 en ISAE 3402 voorschriften zijn opgesteld om deze problemen aan te pakken.

Het definitieve uitstel van EIOPA met betrekking tot de implementatie van Solvency II in Europa (de startdatum is nu vastgesteld op 1 januari 2014) maakt een einde aan een onzekere tijd voor verzekeraars. De reden voor het uitstel, dat eind 2011 werd aangekondigd, is sindsdien uitgelegd via vragen en antwoorden en raadplegingsdocumenten. Een aantal vragen blijft echter onbeantwoord, zoals:

- Wanneer worden de openstaande kwesties (die bijvoorbeeld uit de raadplegingsdocumenten naar voren zijn gekomen) opgelost?

Solvency II zal niet alleen verstrekkende gevolgen hebben voor verzekeraars, maar ook voor de kapitaalmarkt.

Verzekeraars, pensioenfondsen en consultants anticiperen al enige tijd op de implementatie van Solvency II. Kort gezegd vereist Solvency II een uitgebreider risicobeheerraamwerk en hogere kapitaalvereisten voor Europese verzekeraars.

TCS Fund Services B.V. (onderdeel van Teslin CS) heeft per 1 februari de implementatie van ISAE 3402 afgerond. Dit toont de controle van de organisatie over de interne processen aan.

Deze organisatie fungeert als spil voor alternatieve beleggingsfondsen om mid- en backoffice diensten uit te besteden, zodat managers zich kunnen richten op fondsbeleggingen en beleggers. De diensten van TCS Fund Services omvatten de volledige fonds- en financiële administratie, het opstellen van jaarrekeningen, kwartaalverslagen en rapportage aan toezichthouders.

EUROPESE PRIVACYVERORDENING

De Europese Commissie heeft besloten dat de huidige wetgeving niet langer aansluit bij de voortdurende veranderingen als gevolg van de digitalisering. Deze nieuwe privacyregelgeving komt in de vorm van een Europese verordening die van toepassing is op alle organisaties in de Europese Unie; de General Data Protection Regulation (GDPR). De GDPR is rechtstreeks van toepassing in alle EU-lidstaten zonder dat omzetting in nationale wetgeving nodig is.

Risicomanagement is een hulpmiddel om risico’s systematisch en expliciet te identificeren, te evalueren en beter te beheren door ze proactief aan te pakken. Risicomanagement is gebaseerd op het uitvoeren van risicoanalyses.

Bij risicomanagement worden risico’s beheerst door te bepalen hoe de waarschijnlijkheid dat het risico optreedt of de gevolgen voor geïdentificeerde risico’s worden beheerst.

Sinds januari 2017 beschikt Student Experience Beheer B.V. over een ISAE 3402 Type II rapport. Dit toont aan dat Student Experience voldoet aan hoge kwaliteitsnormen en dat de processen op orde zijn volgens internationale normen.

Dit artikel geeft 4 stappen om het auditproces beter te overzien en efficiënter te werken.

Stap 1. Is er een subserviceorganisatie?

De zogenaamde subserviceorganisaties vormen een speciale klasse van leveranciers. Deze worden gedefinieerd als “een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt om bepaalde diensten te verlenen aan gebruikersentiteiten die waarschijnlijk relevant zijn voor de interne controle van die gebruikersentiteiten over de financiële verslaggeving”.

De meeste bedrijven denken aan SaaS-bedrijven als ze denken aan ISAE 3000 | SOC 2 compliance. De meeste bedrijven in de reisbranche (SaaS of niet) moeten echter tot op zekere hoogte consumentengegevens verzamelen en opslaan. Dus als het bedrijf een database beheert – groot of klein – moeten de bedrijven de nieuwste en meest effectieve cyberbeveiligingsprotocollen implementeren.

Als je een serviceorganisatie bent en je klanten je hun gegevens toevertrouwen, moet je misschien slagen voor een SOC 2-audit om je producten te verkopen. Uw klanten kunnen nu een auditrapport van u eisen, of de regelgeving in de sector kan dit vereisen. Mogelijk moet u een bewijs van SOC 2-compliance overleggen om aan te tonen dat de gegevens die aan u zijn toevertrouwd goed beveiligd zijn.