Kategori: Cybersäkerhet

Student Experience erhåller ISAE 3402-rapport

Student Experience erhåller

ISAE 3402-rapport

Från och med januari 2017 har Student Experience Beheer B.V. en ISAE 3402 Type II-rapport. Detta visar att Student Experience uppfyller höga kvalitetsstandarder och att dess processer är i ordning enligt internationella normer.

Johan Verweij, VD för Student Experience: ”Vi är mycket stolta över att ha uppnått denna certifiering. Genom att erhålla detta utökas möjligheterna att samarbeta med finansinstitut och institutionella investerare som övervakas av DNB eller AFM. Det gör det möjligt för oss att fortsätta tillväxten av Student Experience.”

Koen van der Aa, seniorkonsult på SECURANCE, konsultföretaget som genomförde revisionen: ”Student Experience är en professionell organisation som tänker i termer av möjligheter och skapar lösningar på komplexa frågor, vilket leder dem till innovativa metoder. Student Experience har standardiserat sina interna rutiner och infört ett gediget ramverk för riskhantering på kort tid.”

Genom att erhålla ISAE 3402-rapporten säkerställer Student Experience att kunderna har insikt i hur processer och risker hanteras. Denna ISAE 3402 Type II-rapport täcker förvaltnings- och underhållsaktiviteterna för Student Experience för dess kunder. Rapporten avser de processer som påverkar användarorganisationernas finansiella rapporter. Det inkluderar hur risker identifieras och om åtgärder är effektivt utformade för att hantera risker.

5 fördelar med ISO 27001

5 fördelar med ISO 27001

ISO 27001 är standarden för ledningssystem för informationssäkerhet. Det är den enda reviderbara internationella standarden för detta. ISO 27001 omfattar policyer, praxis, utveckling och system som hanterar informationsrisker, till exempel cyberattacker, dataintrång, stöld eller datahack. Men vilka är fördelarna för din organisation?

1. Lägre risk för böter

Det globala riktmärket har accepterat ISO 27001-standarden för effektiv hantering av informationstillgångar. Genom att följa kraven på dataskydd minskar organisationen risken för böter. Följaktligen minskas också potentiella ekonomiska förluster på grund av dataintrång.

2. Skydd av anseende

Det sker en global ökning av cyberattacker. Dessa attacker kan ha en betydande inverkan på en organisation och dess rykte. Eftersom ISO 27001 skyddar organisationen mot dessa cyberattacker, skyddar den också indirekt organisationens rykte.

3. Efterlevnad av olika regulatoriska krav

ISO 27001-certifiering uppfyller stränga lagkrav som GDPR (General Data Protection Regulation), NIS-direktivet (Directive on Security of Network and Information Systems) och andra cybersäkerhetslagar.

4. Struktur och inriktning

Snabb tillväxt inom en organisation kan snabbt leda till oklarheter kring ansvaret för informationstillgångar. ISO 27001 kan fastställa tydliga ansvarsområden för informationsrisker.

5. Behovet av frekventa revisioner minskar.

ISO 27001-certifiering är globalt accepterad och visar på effektiv säkerhet, vilket minskar behovet av upprepade kundrevisioner.

Outsourcing-trender

Outsourcing-trender


Organisationer söker ständigt efter sätt att utnyttja konkurrensfördelar för att expandera marknader och öka vinsterna. De lägger i allt högre grad ut icke-kärnverksamhet på entreprenad. Ledningen är dock fortfarande ytterst ansvarig för riskhanteringen och för att implementera ett effektivt kontrollramverk. Detta har lett till en ökad efterfrågan på bestyrkandestandarder som ISAE 3402 eller ISAE 3000 för aktiviteter som utförs av tredje part.

Historia

Under en stor del av 1900-talet var den mest populära affärsmodellen det stora integrerade företaget som förvaltade och kontrollerade sina tillgångar direkt och fokuserade på diversifiering för att bredda sin affärsbas och dra nytta av stordriftsfördelar. Många stora företag utvecklade en ny strategi för att koncentrera sig på sina kärnverksamheter och öka flexibiliteten och kreativiteten. Detta krävde att man identifierade kritiska processer och bestämde vilka processer som kunde läggas ut på entreprenad.

Outsourcing

På grund av globalisering, ökad konkurrens och kostnadspress lägger organisationer ut allt fler viktiga affärsfunktioner på tjänsteleverantörer. Outsourcing av kärnprocesser har en direkt inverkan på ett företags finansiella rapporter och viktiga affärsprocesser. Det är inte längre begränsat till rutinmässiga backoffice-uppgifter. Hur kan organisationer få förtroende för outsourcade affärsprocesser? Hur kan de säkerställa kontroll och säkerhet över dessa outsourcade processer?

Den ökade outsourcingen, särskilt av viktig affärsinformation, medför också ökade risker och säkerhetsproblem. Organisationer kan drabbas av operativa, ekonomiska eller till och med ryktesmässiga skador på grund av säkerhetsbrister hos externa tjänsteleverantörer. En oberoende granskning av kritiska outsourcade affärsprocesser eller IT-system hjälper organisationer att identifiera och hantera dessa risker och att återfå förtroendet för outsourcade processer.

De vanligaste anledningarna till outsourcing är:

  • Kontrollera och minska driftskostnaderna
  • Förbättra fokus på kärnverksamhetens processer
  • Få tillgång till kapacitet i världsklass
  • Frigör interna resurser för andra ändamål
  • Öka effektiviteten i specifika funktioner
  • Otillräckliga interna resurser
  • Dela risker med andra organisationer

Den nuvarande fasen i utvecklingen av outsourcing omfattar strategiska partnerskap. Fram till nyligen togs det för givet att organisationer inte kunde lägga ut kärnkompetenser på entreprenad. Detta har ändrats och ISAE3402/SOC1 eller ISAE3000/SOC2 har blivit vanligt förekommande.

Statusuppdatering Solvens II

Statusuppdatering: Solvens II

Allmänt

Sedan början av 2012 har förhandlingar pågått för att slutföra innehållet i Omnibus II-direktivet och genomförandeåtgärderna på nivå 2. Det slutgiltiga avtalet om Omnibus II-direktivet väntas inom kort. Det slutgiltiga avtalet om genomförandeåtgärderna på nivå 2 väntas under hösten. Fokus ligger på den riskfria kurvan, kapitalkrav och kapitalbas samt övergångsbestämmelser.

Utvecklingen inom pelarna
Dessutom finns det utveckling per pelare:

Pelare I: Parallellgång och riskfri terminsstruktur

Från och med 2011 måste nederländska försäkringsbolag som omfattas av Solvens II beräkna sin solvens (2011 och 2012) i enlighet med de förväntade Solvens II-måtten (SCR och MCR) och rapportera om detta (Pelare 3) till DNB. Detta kallas för parallellkörning.

En del av denna rapportering (och beräkningen av SCR) är den kontracykliska premien, den så kallade CCP:n. Ett förslag har tagits fram för denna CCP, med formeln från QIS5 som grund. Två scenarier har tagits fram, där den kontracykliska premien varierar mellan 75% (Scenario 1) och 100% (Scenario 2). I det slutgiltiga direktivet kommer mer klarhet att skapas om detta.

Pelare II: ORSA

Utfallet av de rundabordssamtal som DNB höll om ORSA var positivt. Flaskhalsarna omfattar inrättandet av obligatoriska nyckelfunktioner (internrevision, riskhantering, aktuariefunktion och internkontroll) och införandet av IT-system. En ofta diskuterad aspekt här är proportionalitet. Där försäkringsgivarens riskprofil måste väljas som utgångspunkt. Ett försäkringsbolag med låg riskprofil kan t.ex. göra olika val för att fylla dessa flaskhalsar (och andra aspekter av direktivet) jämfört med ett försäkringsbolag med hög riskprofil.

Pelare III: Samråd

När det gäller Pelare III, rapporteringskraven, har konsultationsperioden för flera aspekter (inklusive rapporteringsmallar och nationalstater) avslutats och kommentarerna behandlas för närvarande. Mer kommer att följa om detta senare.