Skip to main content
Effectieve ISAE 3402 | SOC 1 implementatie
"In Control" over outsourcing
ISAE 3000 | SOC 2 & ISO 27001
Focus op risico management en security
ControlReports
Innovatieve applicatie voor risk management, corporate governance en compliance
Risk Intelligence

We zijn Risklane. Wij managen risico en resultaat

Risklane biedt diensten aan op het gebied van governance, risk management en compliance. Wij zijn vooruitstrevend, continu in ontwikkeling en marktleider in Nederland. Wij realiseren oplossingen voor de beheersing van risico's. Wij implementeren ISAE 3402, ISAE 3000, GDPR/AVG, ISO 27001, ISO 9001, Solvency II, GRI standards en COSO ERM 

 

Onze oplossingen

263
Satisfied customers
5
Top 5 ISAE 3402
15+
Years of experience
6
Active countries

ISAE 3402 en outsourcing

Outsourcing betekent vertrouwen. Vertrouwen dat dienstverleners risico's beheersen, informatie beveiligen en kwaliteit leveren. ISAE 3402 ondersteunt in dit proces door inzicht te geven in de interne beheersing en te waarborgen dat risico's beheerst worden. Dit is een vereiste vanuit wet- en regelgeving, zoals de Wet Financieel Toezicht (Wft), de AVG en de PensioenWet.

Wet- en regelgeving

Financiële instellingen worden verplicht aan te tonen dat risico's van toeleveranciers worden beheerst. Naast financiële instellingen wordt ISAE 3402 geëist door meer professionele organisaties. Alle organisaties die als leverancier diensten leveren in de financiële sector of andere professionele organisaties worden verplicht iedere jaar te rapporteren doormiddel van een Service Organization Report (ISAE 3402 | SOC1).

Financiële en IT processen

Alle financiële processen en IT processen moeten minimaal opgenomen worden. Diensten worden steeds vaker aangeboden als Cloud of SaaS diensten. Voor afnemers van deze diensten brengt dit onzekerheden met zich mee: "Waar wordt mijn data opgeslagen?" "Wie heeft toegang tot mijn data?" en "Zijn er voldoende waarborgen voor de continuïteit?" en "Heeft de leverancier voldoende waarborgen tegen fraude en datalekken genomen?". Afnemers van deze diensten willen daarom inzicht in de beveiliging van informatie en de beheersing van risico's.

General IT Controls

ISAE 3402 zorgt dat uw risicobeheersingsprocessen en -systeem afgestemd zijn op deze risico's en dat hierover transparant gerapporteerd wordt. De processen waarover dan gerapporteerd wordt zijn bijvoorbeeld SLA management, incident management, change management en back up processen, de controls in deze processen worden de General IT Controls of GITC's genoemd, de basis waarop de interne beheersing is opgebouwd.

Naast de General IT Controls in het netwerk en de systemen, zijn de application controls en organisatorische controls onderdeel van de totale interne beheersing van een organisatie. Deze vormen samen de totale scope van een ISAE 3402 rapportage.

ISAE 3000 is de standaard voor assurance over niet-financiële informatie. In de praktijk wordt vaker gevraagd naar een SOC2 rapportage. In deze SOC2 rapportage zijn dan uitsluitend de General IT Controls opgenomen die voldoen aan de Trust Service Criteria van de AICPA. Deze Trust Service Criteria zijn best practices vanuit de Verenigde Staten voor security, privacy, confidentiality, availability en integrity.

Privacy, TSC's en GDPR (AVG)

Naast de TSC's kunnen bijvoorbeeld ook de vereisten vanuit de Algemene Verordening Gegevensbescherming (AVG/ GDPR) dienen als toetsingskader voor een ISAE 3000 rapportage. Dat betekent dat ISAE 3000 kan dienen als middel om aan te tonen dat de organisatie voldoet aan vereisten voor security en internationale vereisten voor privacy.

Betere security, meer klanten

Door een Information Security Management Systeem (ISMS) te implementeren dat voldoet aan de vereisten van ISO 27001 kan uw organisatie meer klanten krijgen en bestaande klanten behouden.

Bescherming tegen 'datalekken'

Doordat er op een verantwoorde wijze omgegaan wordt met informatie van cliënten, waardoor financiële claims en boetes door ‘datalekken’ kunnen worden voorkomen. Hierdoor wordt de reputatie van de organisatie beschermt en verbeterd.

Erkend in de AVG

ISO 27001 wordt door de Autoriteit Persoonsgegevens in de AVG (GDPR) erkend als certificering en ‘best practice’ voor de bescherming van privacy gevoelige gegevens.

General IT controls

Maatregelen die IT-processen beheersen worden General IT Controls genoemd; deze zijn globaal onder te verdelen in; Service Level (SLA) Management, Incident management, Problem management, Change management, Logical Access en Fysieke maatregelen. Een ISAE 3402 rapportage geeft ook inzicht in de IT-governance; risicomanagementstructuur en risicobeheersing.

Financiële instellingen

Het is vanuit de PensioenWet (PW) en Wet Financieel Toezicht (WFT) verplicht voor financiële instellingen om processen die uitbesteed zijn aantoonbaar te beheersen. Een ISAE 3402 rapportage ondersteunt in dit proces en wordt door toezichthoudende instellingen, zoals de Nederlandse bank en de Autoriteit Financiële Markten (AFM), erkend als professionele rapportage om vanuit wetgeving aan deze vereisten te voldoen.

Indien u diensten verleend aan financiële instellingen zullen deze altijd een dergelijk rapportage van u eisen. Ook accountants van uw klanten kunnen een SOC-rapportage van u eisen.

Accountants

Een professionele ISAE 3402 rapportage wordt door accountants gebruikt om inzicht te krijgen in de risico's van uitbestede processen. Doordat u aan de accountant van uw klant een ISAE 3402 rapportage ter beschikking stelt, is het niet langer noodzakelijk dat door de accountant nog afzonderlijke audits worden uitgevoerd op uw interne processen. U bespaart hiermee uw klanten kosten en uzelf tijd doordat u slechts eenmaal een audit hoeft uit te laten voeren.

De methodiek van Risklane is afgestemd op maximaal effectiviteit (kwaliteit) en minimale verstoring van uw business. Het is het meest effectief om een interne projectmanager in uw organisatie te benoemen die met onze projectleider samenwerkt. Uiteraard zijn daar verschillende mogelijkheden voor, waarbij u meer of minder inzet van ons vraagt. Binnen onze projectaanpak van Risklane worden globaal vijf fasen onderscheiden:

 

1. ISAE 3402 Impact analyse

ANALYSE BESTAANDE PROCESSEN

In Fase 1 wordt de impact van de ISAE 3402 implementatie bepaald. Op basis van de impact en bepaalde reikwijdte wordt een detailplanning opgesteld waarin meet- en overlegmomenten worden opgenomen en worden afspraken gemaakt voor interviews.

PROJECTPLANNING

Tijdens deze fase worden ook interviews gehouden met medewerkers van uw organisatie om risico’s te identificeren, de impact en de bestaande werkwijze vast te stellen. 

2. Inrichting risk management framework

INTERVIEW ORGANISATIE

Na de plannings- en analysefase worden tijdens de engineeringsfase de beheersmaatregelen van uw organisatie beschreven. Dit gebeurt op basis van de informatie verkregen uit de interviews die wij voeren volgens de ISAE 3402 vereisten.

OPSTELLEN CONTROL MATRIX

Vervolgens wordt dit vastgelegd in een control matrix; een matrix met daarin opgenomen de beheersdoelstellingen en -maatregelen. Het control framework wordt op basis van het meeste actuele COSO framework (COSO 2013/2016) beschreven.

BEHEERSORGANISATIE

Naast het beschrijven van de maatregelen (controls) is ook de inrichting van de beheersorganisatie belangrijk. Het is namelijk van belang dat alle medewerkers ook doen wat beschreven is. Ook hierin biedt Risklane ondersteuning; vanaf het meedenken over de interne communicatie, de inrichting van de projectorganisatie en uitvoering, tot het leveren van professionele risk managers als interim-oplossing.

3. Opstellen Service Organization Control Report

ALGEMEEN DEEL RAPPORTAGE

In Fase 3 wordt de volledige ISAE 3402 rapportage opgesteld op basis van de individuele delen en worden onderdelen als de managementverklaring, geheimhoudingsverklaring- en informatie afkomstig van de externe accountant toegevoegd. Ook wordt het algemene deel van de rapportage opgesteld. In het algemene deel is een beschrijving van de processen, de organisatie en de General IT Controls opgenomen. Indien uw organisatie besluit om deze werkzaamheden zelf te verrichten dan levert Risklane hiervoor een template aan.

CONCEPT RAPPORTAGE

Fase 3 resulteert in een concept ISAE 3402 rapportage. Deze zullen wij tot in detail met u bespreken. In Fase 3 worden tevens door uw organisatie eventuele ontbrekende controles geïmplementeerd in de organisatie. De doorlooptijd van de eerste drie fasen zal tussen de zes en acht weken zijn, afhankelijk van de inzet en beschikbaarheid van medewerkers binnen uw organisatie.

4. Pre-audit

DOORLOPEN PROCESSEN

Na de beschrijving zal door Risklane in Fase 4 een pre-audit of ‘walkthrough’ uitgevoerd worden. Tijdens de pre-audit worden de beheersmaatregelen getest en worden mogelijk probleemgebieden geïdentificeerd voor de uiteindelijke audit. Gedurende deze fase zal uw organisatie de door Risklane benodigde documentatie aanleveren.

GENERALE REPETITIE

Een pre-audit of readiness assessment is feitelijk een soort generale repetitie. Op het moment dat we een deficiëntie in de beheersorganisatie signaleren heeft dit geen effect op de uiteindelijke certificering. Indien tijdens de definitieve audit nog een deficiëntie wordt gesignaleerd dan is de service auditor verplicht om deze te rapporteren of zelfs een beperking in de assurance rapportage op te nemen.

5. Procesverbetering

ADVIES GEÏDENTIFICEERDE GAPS

Tijdens Fase 5 worden naar aanleiding van de pre-audit, verbeteringen in beheersmaatregelen en het managementsysteem doorgevoerd en worden oplossingen gerealiseerd voor de geïdentificeerde probleemgebieden. Risklane draagt bij aan de oplossingen aan die in uw organisatie en het ISAE 3402 rapport doorgevoerd kunnen worden.

BENCHMARK 'BEST PRACTICE'

Binnen Risklane zijn diverse best practices ontwikkeld op basis van onze (inter)nationale ervaring sinds 2004 en onze knowledge library. Deze best practice is verwerkt in ControlReports. Vanuit ControlReports stellen wij vast of er nog gebieden zijn waar uw organisatie op procesgebied, risk management of interne beheersing zou kunnen verbeteren. Deze fase zal leiden tot de definitieve ISAE 3402 rapportage.

ISAE 3402 Audit

De doorlooptijd van fase 4 en 5 is tussen de twee en vier weken. Na de afronding van de implementatie wordt door Conclude Accountants de audit verricht. De doorlooptijd voor fase 7 is meestal drie tot vier weken.

Initiatiefnemer

Risklane is de initiatiefnemer van het ISAE 3402 register. In het ISAE 3402 register zijn alle organisaties opgenomen die een ISAE 3402 verklaring hebben.

Duurzaamheid

Het ISAE 3402 register is de non-profit activiteit van Risklane. Via deze weg willen wij als organisatie stimuleren dat bedrijven meer transparant zijn over het risicomanagement en hun interne beheersing.

Inschatting

De kosten voor een ISAE 3402 implementatie zijn voor een belangrijk deel afhankelijk van de grootte van uw organisatie, de complexiteit van processen en de aanwezige interne kennis op het gebied van risico management en interne beheersing. Daarnaast is het verstandig om rekening te houden met de interne kosten voor projectmanagement. Wij hebben veel ervaring met organisaties van diverse omvang: van bedrijven met drie man tot grote corporaties. Wij hebben eigenlijk voor al deze organisaties een betaalbare, op maat gemaakte oplossing.

ControlReports

Intern gebruiken al onze consultants de applicatie ControlReports voor het opstellen van de rapportage en voor de beoordeling van het ingerichte risk management framework. Sinds 2014, bieden wij de mogelijkheid aan minder grote organisaties om met gebruikmaking van ControlReports de ISAE 3402 rapportage intern op te stellen. Dit zorgt voor een belangrijke besparing van externe kosten, het betekent wel dat intern capaciteit vrijgemaakt moet worden om de rapportage op te stellen. Daarnaast is ook vaak specifieke kennis noodzakelijk. Neem contact op met een van onze consultants om de mogelijkheden te bespreken.

OECD Research

Risicobeheer en Corporate Governance

De wereldwijde en wijdverbreide teruggang van effectief risicobeheer tijdens de kredietcrisis was een gevolg van het ontbreken van risicobeheer op ondernemingsbasis en risicobeheer dat niet was aangepast aan de bedrijfsstrategie en operationele processen volgens de OECD.

Normen voor risicobeheer zijn doorgaans van zeer hoog niveau, beperken hun praktische nut en / of richten zich grotendeels op financiële instellingen. De alomvattende aanpak voor het implementeren van risk governance-normen is praktisch, effectief en biedt een aanzienlijke toegevoegde waarde aan onze klanten. Dit bereiken we door ofwel de implementatie te ondersteunen met onze softwareoplossing ControlReports ofwel consultancydiensten die worden geleverd door een team van ervaren interne consultants.

 

 

 

 

SATISFIED CUSTOMERS
93%
OUTSOURCING ASSURANCE REQUIRED BY CORPORATES
85%
EXPERIENCED SIGNIFICANT PROCESS IMPROVEMENT
87%
Effectieve aanpak

Risk intelligence

Efficient risk management

Uitstekende prestaties

Een duidelijke, risicogerichte strategie maakt de weg vrij voor meer resultaat. Voor onze risicogerichte consultants is effectief risicomanagement het uitgangspunt. De manier waarop we de implementatie van een risicobeheerkader benaderen, is ons concentreren op wat effectief is en manieren vinden om deze efficiënter uit te voeren.

 

We adviseren de organisatie om overtollige controles te vinden en te verwijderen. We vergelijken bestaande controles met onze beste praktijken uit de branche en verbeteren de effectiviteit van deze controles. Worden de risico's beperkt door effectieve werkcontroles? Hoe kan automatisering hierbij behulpzaam zijn? Het combineren van focus op effectiviteit en het verwijderen van overtollige controles leidt tot uitstekende risicokaders tegen lage kosten

Laatste nieuws

Wij werken voor: