Den 15 december 2014 avslutades övergångsperioden för att anta ramverket COSO 2013. Vilka är de möjligheter och risker som uppstår i samband med denna övergång? COSO Internal Control Integrated Framework (ICIF) 2013 är en omfattande uppdatering av COSO ICIF 1992-modellen.
Från och med januari 2017 har Student Experience Beheer B.V. en ISAE 3402 Type II-rapport. Detta visar att Student Experience uppfyller höga kvalitetsstandarder och att dess processer är i ordning enligt internationella normer.
Johan Verweij, VD för Student Experience: ”Vi är mycket stolta över att ha uppnått denna certifiering. Genom att erhålla detta utökas möjligheterna att samarbeta med finansinstitut och institutionella investerare som övervakas av DNB eller AFM. Det gör det möjligt för oss att fortsätta tillväxten av Student Experience.”
Koen van der Aa, seniorkonsult på SECURANCE, konsultföretaget som genomförde revisionen: ”Student Experience är en professionell organisation som tänker i termer av möjligheter och skapar lösningar på komplexa frågor, vilket leder dem till innovativa metoder. Student Experience har standardiserat sina interna rutiner och infört ett gediget ramverk för riskhantering på kort tid.”
Genom att erhålla ISAE 3402-rapporten säkerställer Student Experience att kunderna har insikt i hur processer och risker hanteras. Denna ISAE 3402 Type II-rapport täcker förvaltnings- och underhållsaktiviteterna för Student Experience för dess kunder. Rapporten avser de processer som påverkar användarorganisationernas finansiella rapporter. Det inkluderar hur risker identifieras och om åtgärder är effektivt utformade för att hantera risker.
ISO 27001 är standarden för ledningssystem för informationssäkerhet. Det är den enda reviderbara internationella standarden för detta. ISO 27001 omfattar policyer, praxis, utveckling och system som hanterar informationsrisker, till exempel cyberattacker, dataintrång, stöld eller datahack. Men vilka är fördelarna för din organisation?
Det globala riktmärket har accepterat ISO 27001-standarden för effektiv hantering av informationstillgångar. Genom att följa kraven på dataskydd minskar organisationen risken för böter. Följaktligen minskas också potentiella ekonomiska förluster på grund av dataintrång.
Det sker en global ökning av cyberattacker. Dessa attacker kan ha en betydande inverkan på en organisation och dess rykte. Eftersom ISO 27001 skyddar organisationen mot dessa cyberattacker, skyddar den också indirekt organisationens rykte.
ISO 27001-certifiering uppfyller stränga lagkrav som GDPR (General Data Protection Regulation), NIS-direktivet (Directive on Security of Network and Information Systems) och andra cybersäkerhetslagar.
Snabb tillväxt inom en organisation kan snabbt leda till oklarheter kring ansvaret för informationstillgångar. ISO 27001 kan fastställa tydliga ansvarsområden för informationsrisker.
ISO 27001-certifiering är globalt accepterad och visar på effektiv säkerhet, vilket minskar behovet av upprepade kundrevisioner.
Organisationer söker ständigt efter sätt att utnyttja konkurrensfördelar för att expandera marknader och öka vinsterna. De lägger i allt högre grad ut icke-kärnverksamhet på entreprenad. Ledningen är dock fortfarande ytterst ansvarig för riskhanteringen och för att implementera ett effektivt kontrollramverk. Detta har lett till en ökad efterfrågan på bestyrkandestandarder som ISAE 3402 eller ISAE 3000 för aktiviteter som utförs av tredje part.
Under en stor del av 1900-talet var den mest populära affärsmodellen det stora integrerade företaget som förvaltade och kontrollerade sina tillgångar direkt och fokuserade på diversifiering för att bredda sin affärsbas och dra nytta av stordriftsfördelar. Många stora företag utvecklade en ny strategi för att koncentrera sig på sina kärnverksamheter och öka flexibiliteten och kreativiteten. Detta krävde att man identifierade kritiska processer och bestämde vilka processer som kunde läggas ut på entreprenad.
På grund av globalisering, ökad konkurrens och kostnadspress lägger organisationer ut allt fler viktiga affärsfunktioner på tjänsteleverantörer. Outsourcing av kärnprocesser har en direkt inverkan på ett företags finansiella rapporter och viktiga affärsprocesser. Det är inte längre begränsat till rutinmässiga backoffice-uppgifter. Hur kan organisationer få förtroende för outsourcade affärsprocesser? Hur kan de säkerställa kontroll och säkerhet över dessa outsourcade processer?
Den ökade outsourcingen, särskilt av viktig affärsinformation, medför också ökade risker och säkerhetsproblem. Organisationer kan drabbas av operativa, ekonomiska eller till och med ryktesmässiga skador på grund av säkerhetsbrister hos externa tjänsteleverantörer. En oberoende granskning av kritiska outsourcade affärsprocesser eller IT-system hjälper organisationer att identifiera och hantera dessa risker och att återfå förtroendet för outsourcade processer.
De vanligaste anledningarna till outsourcing är:
Den nuvarande fasen i utvecklingen av outsourcing omfattar strategiska partnerskap. Fram till nyligen togs det för givet att organisationer inte kunde lägga ut kärnkompetenser på entreprenad. Detta har ändrats och ISAE3402/SOC1 eller ISAE3000/SOC2 har blivit vanligt förekommande.
