jungle fever in certificeringsland, welke keuze te maken - see 2016
TRANSCRIPT
Twitter mee: #SEE2016NL
Jungle Fever in certificeringsland,welke keuze te maken?Ruud Kerssens RE RA CISA CRISCBDO Audit & Assurance
SEE your next step
Twitter mee: #SEE2016NL
Jungle
• ISAE 3000• NV COS 3000• Richtlijn 3000• ISAE3402• ISO 27001, 20000 …• SSAE16• SOC1, SOC2, SOC3• ….
Twitter mee: #SEE2016NL
FeverPush
· Big business· Commercieel· Wet- en regelgeving· Klant eis· Ketenpartners
Pull
· Inzicht compliance· Verbeteren kwaliteit· Risicomanagement· Meer zekerheid· Relatie klanten· Relatie toezichthouders· Efficiency
Twitter mee: #SEE2016NL
Certificeren en assuranceTRUST ME TELL ME SHOW ME PROVE ME
Subjectief Niveau van relatie tussen service- en klantorganisatie Objectief
ISO certificering
Periodiek overleg SLA/DAP-reporting
ISAE 3402 Type 1 ISAE 3402 Type 2
ISAE 3000
Twitter mee: #SEE2016NL
Assurance!
Accountant
Toezichthouder
Opdrachtgever
Toezichthouder
Beroeps-organisatie
Externebelanghebbende
Governancefunctie
Management
Management
InterneKwaliteitssysteem
Twitter mee: #SEE2016NL
Assurance en dan?Kenmerk 3402 3000
Wie verstrekt een mededeling? Management van de organisatie & Auditor Auditor
Soort mededeling Redelijke zekerheid Redelijke of beperkte zekerheid
Bewoording mededeling Voorgeschreven Vormvrij
Werkzaamheden van Internal Audit Functie Moet worden opgenomen, incl.review door externe auditor Niet specifiek beschreven
Gebruikersgroep Management serviceorganisatie, externe accountant
gebruikersorganisatie
Niet vooraf bepaald
Biedt het zekerheid over beheersing van
processen over een bepaalde periode?
Type I (Opzet/bestaan): nee
Type II (Opzet/werking): ja
Alleen indien de werking over een periode
is getest
Reikwijdte Relevantie voor de jaarrekening van de gebruikersorganisatie Reikwijdte zelf te bepalen
Testwerkzaamheden in rapport Ja (type 2 verplicht) Optioneel
Conclusies in detail in rapport Ja (type 2 verplicht) Optioneel
Twitter mee: #SEE2016NL
Service Organisation Control rapportenRapport SOC 1 / ISAE 3402 SOC 2 SOC 3
Scope Beheersmaatregelen gerelateerd aan
financiële verantwoording
Beschikbaarheid, integriteit, vertrouwelijkheid
van systemen en informatie verwerkende
processen
Beschikbaarheid, integriteit,
vertrouwelijkheid van systemen en
informatie verwerkende processen
Kenmerken Rapport met detailbevindingen voor klanten
en hun accountants
Rapport met detailbevindingen voor klanten en
andere specifiek aangeduide partijen
Beknopt rapport voor vrije distributie
Gebruik • Aantonen beheersen risico’s voor
financiële rapportages;
• Beheersdoelstellingen en maatregelen
zijn van serviceorganisatie;
• Geschikt voor uitbesteding van
processen met financiële
transactieverwerking.
• Vooraf gedefinieerde beheersdoelstellingen
op het vlak van beschikbaarheid, integriteit
en vertrouwelijkheid;
• Beheersmaatregelen passend bij de
beheersdoelstellingen zijn organisatie
specifiek;
• Toepasbaar op IT-gerelateerde (bijvoorbeeld
ITIL) processen.
• Gelijk aan SOC 2, zonder details;
• Mogelijke publicatie op het web (enkel
bij unqualified opinion).
• Webzegel; nog niet toegestaan in
NL/EU
Twitter mee: #SEE2016NL
En combi’s?
Twitter mee: #SEE2016NL
Om over na te denken …1. Vooraf:
a) Waarom certificering (push / pullfactoren)
b) Wat (scope)c) Voor wie (doelgroep)d) Waartegen (criteria / standaarden)e) Door wie
2. Sluit aan op processen3. Zorg voor (aantoonbaar) monitoring4. Overweeg multicompliance framework5. Sluit daarop aan vanuit processen6. Vergeet dan niet ketenpartners en de
aansturing / bewaking daarop
Twitter mee: #SEE2016NL
Vragen?
Twitter mee: #SEE2016NL
Presentatie terugkijken?
Bekijk deze presentatie online opwww.slideshare.net/TOPdesk
Twitter mee: #SEE2016NL