DE ASSURANCEBEHOEFTE VAN OUTSOURCERS VOOR IT-DIENSTEN
|
|
- Tessa de Graaf
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 DE ASSURANCEBEHOEFTE VAN OUTSOURCERS VOOR IT-DIENSTEN Dit artikel biedt een samenvatting van de gedetailleerde masterthesis The needs for assurance in IT outsourcing. A research from the perspective of the outsourcing organization, recent uitgevoerd door Dennis Banse, VU Amsterdam, Rijksuniversiteit Groningen en BDO IT Audit & Security ondersteund door het Platform Outsourcing Nederland. Februari 2014
2 2 De assurancebehoefte van outsourcers voor IT-diensten DE ASSURANCEBEHOEFTE VAN OUTSOURCERS VOOR IT-DIENSTEN Wanneer organisaties IT-diensten uitbesteden, blijft het management van de uitbestedende partij verantwoordelijk voor de interne beheersing rondom deze IT-diensten. Hiermee ontstaat een assurancebehoefte bij de outsourcer.de outsourcer dient passende zekerheid te verkrijgen over de kwaliteit van de uitbestede ITdiensten en de mate waarin gerelateerde risico s worden beheerst door de serviceprovider. Daarnaast heeft de accountant van de outsourcer behoefte aan zekerheid over de risicobeheersing rondom de uitbestede IT-diensten voor zover die relevant zijn voor de jaarrekeningcontrole. Om assurance te krijgen over de effectiviteit van beheersmaatregelen die zijn ingericht door een serviceprovider, kunnen verschillende assuranceproducten worden ingezet. Maar hoe kan een outsourcer bepalen welke van deze producten het beste passen bij zijn behoefte aan zekerheid met betrekking tot de specifiek uitbestede IT-diensten? De behoefte aan zekerheid en de methoden om passende zekerheid te verkrijgen zijn beperkt beschreven in de literatuur vanuit het perspectief van outsourcers (vraagzijde). Wel zijn deze uitgebreid onderzocht vanuit het perspectief van serviceproviders en hun auditors, de partijen die zekerheid verstrekken (aanbodzijde). Dit artikel beschrijft de belangrijkste bevindingen en conclusies van het onderzoek, dat specifiek was gericht op het in kaart brengen van de assurancebehoefte van outsourcers. Het onderzoek was gericht op het beantwoorden van de centrale vraag: Wat is de assurancebehoefte van outsourcers voor uitbestede IT-diensten en wat is een geschikt beslismodel om in deze behoefte te kunnen voorzien?. Om deze hoofdvraag te kunnen beantwoorden is onderzoek uitgevoerd aan de hand van deelvragen. Deze deelvragen met de resultaten zijn opgenomen in appendix 2. Als resultaat van het onderzoek is een beslismodel ontwikkeld dat kan worden gebruikt door outsourcers om te identificeren op welke aspecten een assurancebehoefte bestaat en welke beschikbare assuranceproducten hierin kunnen voorzien. Het beslismodel is voorgelegd en gevalideerd met een selectie van uitbesteders en serviceproviders in diverse branches op basis van enquêtes en interviews. De verdere onderzoeksresultaten zijn in dit artikel vertaald naar bevindingen en conclusies relevant voor de bedrijfsvoering en het management van outsourcers en omvatten de volgende onderwerpen: 1 Belangrijkste risicofactoren en assurancebehoefte in het algemeen; 2 Risicofactoren en assurancebehoefte per marktsector; 3 Vergelijking van de assurancebehoefte van outsourcers en de door serviceproviders ervaren assurancebehoefte; 4 Frequentie van assurance in relatie tot de behoefte van outsourcers.
3 De assurancebehoefte van outsourcers voor IT-diensten 3 BELANGRIJKSTE RISICOFACTOREN EN ASSURANCEBEHOEFTE IN HET ALGEMEEN In deze paragraaf zijn de resultaten van de enquête samengevat volgens het systeem van Beasley waarin het uitbestedingsrisico bij serviceproviders wordt verdeeld in de volgende zes categorieën: 1 Operationeel: performance van IT en het voldoen aan SLA-afspraken; 2 Financieel: juistheid van doorbelaste IT-kosten en continuïteit van de serviceprovider; 3 HR: aannamebeleid en beschikbaarheid van gekwalificeerd personeel; 4 Informatie technologie onderverdeeld in: a Beschikbaarheid van informatie; b Integriteit van informatie; c Vertrouwelijkheid van informatie; 5 Wet- en regelgeving: voldoen aan wet- en regelgeving, fraude detectie en software licenties; 6 Reputatie: maatschappelijke verantwoordelijkheid en imago. Op basis van het onderzoek blijkt dat outsourcers een brede behoefte aan zekerheid hebben over alle categorieën die zijn opgenomen in het beslismodel. Een verklaring hiervoor kan worden gevonden in de samenstelling van de deelnemers aan het onderzoek. De onderzoeksgroep bestond uit grote organisaties met een volwassen proces voor het managen van uitbestede ITdiensten, de daarmee samenhangende risico s en de assurance die hierbij vereist is. Als zodanig zijn deze organisaties in staat om een breed scala aan relevante risicogebieden te identificeren. Om meer betrouwbare en praktisch bruikbare resultaten te verkrijgen, is in het onderzoek de behoefte aan zekerheid onderzocht in combinatie met de bereidheid van outsourcers om hiervoor te betalen. De belangrijkste resultaten hiervan zijn samengevat in tabel 1 hieronder: # Categoriën Behoefte Betalingsbereid Product 1 Operationeel 4,07 66% 2,69 2 Financieel 4,34 34% 1,48 3 HR 3,79 30% 1,14 4a Beschikbaarheid 4,02 44% 1,77 4b Integriteit 4,24 46% 1,95 4c Vertrouwelijkheid 4,28 46% 1,97 5 Wet- en regelgeving 4,32 42% 1,81 6 Reputatie 3,93 17% 0,67 In de eerste kolom staan de zes categorieën van assurancebehoefte, waarbij de categorie informatietechnologie onderverdeeld is in beschikbaarheid, integriteit en vertrouwelijkheid. De tweede kolom presenteert de uitkomsten van de eerste vraag aan outsourcers op een Likert-schaal van 1 tot 5, waarbij 1 als ondergrens betekent geen behoefte aan zekerheid en 5 als bovengrens staat voor een uitermate hoge behoefte aan zekerheid. De derde kolom presenteert het percentage van outsourcers dat daadwerkelijk bereid is om te betalen voor de assurancebehoefte. Tot slot is in de vierde kolom het product genomen van de assurancebehoefte en de betalingsbereidheid van outsourcers. Uit de derde kolom van de tabel kan worden afgeleid dat outsourcers in het algemeen de hoogste assurancebehoefte hebben voor de volgende top drie risicofactoren: 1 Financieel; 2 Wet- en regelgeving; 3 Vertrouwelijkheid van informatie. Opvallend is dat wanneer wordt gevraagd of er ook een bereidheid is om voor deze assurancebehoefte te betalen, er een verschuiving optreedt in de risicofactoren die als meest belangrijk worden beoordeeld. Zo kan uit de vierde kolom van de tabel worden afgeleid dat de top 3 van risicofactoren er met het meewegen van de betalingsbereidheid als volgt uitziet: 1 Operationeel; 2 Vertrouwelijkheid van informatie; 3 Integriteit van informatie. De verklaring voor het verschil tussen de assurancebehoefte voor en na betalingsbereidheid is niet specifiek geanalyseerd binnen het onderzoek. Wat in ieder geval blijkt is dat het aspect kosten mede bepalend is en dat outsourcers op gebieden bereid zijn tot een hogere risico-acceptatie indien er kosten verbonden zijn aan het verkrijgen van assurance. Na het meewegen van de kosten, was duidelijk dat de primaire focus ligt op het beheersen van de risico s ten aanzien van de bedrijfscontinuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking (vertrouwelijkheid en integriteit). Voor het aspect beschikbaarheid blijkt hierbij dat er impliciet vertrouwen is in de professionele dienstverlening van een serviceprovider. Tabel 1: Assurancebehoefte van outsourcers
4 4 De assurancebehoefte van outsourcers voor IT-diensten RISICOFACTOREN EN ASSURANCEBEHOEFTE PER MARKTSECTOR Om te onderzoeken of er verschillen bestaan in de assurancebehoefte van outsourcers per sector, is een nadere analyse gemaakt naar de assurancebehoefte per marktsector. De resultaten hiervan zijn opgenomen in figuur 1. Hierbij hebben we de marktsectoren onderverdeeld in productie, financieel, overheid en handel. Op de horizontale as staan 51 items uit de zes categorieën waarover de uitbesteder zekerheid wil ontvangen. Deze 51 items zijn te vinden in Appendix 1 met het beslismodel. Op de verticale as staan de scores van de outsourcers op een Likert-schaal van 1 tot 5, waarbij 1 als ondergrens betekent geen behoefte aan zekerheid en 5 als bovengrens staat voor een uitermate hoge behoefte aan zekerheid. Op basis van bovenstaande analyse kan worden geconcludeerd dat in alle marktsectoren een brede behoefte bestaat aan assurance. Daarnaast is er sprake van onderlinge verschillen in de assurancebehoefte per marktsector. Deze verschillen lichten we hier onder kort toe. Handel en productie De resultaten voor de sectoren handel en productie zijn niet representatief voor vergelijking met andere sectoren omdat de onderzoekspopulatie van outsourcers in deze sectoren binnen het onderzoek te klein was. In het algemeen is voor deze sectoren aangegeven dat de grootste assurancebehoefte betrekking heeft op bedrijfscontinuïteit en het voldoen aan wet- en regelgeving. Overheid Overheidsinstanties hebben de grootste behoefte aan zekerheid op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van data. Dit komt overeen met de resultaten uit interviews waarin is aangegeven dat invulling van deze assurancebehoefte noodzakelijk is aangezien deze instanties een publiek belang dienen en het welzijn van burgers moet worden beschermd. Financiële sector De uitkomsten voor organisaties in de financiële sector zijn grotendeels in lijn met het gemiddelde resultaat. Wat opvalt is dat deze uitkomst de resultaten uit de interviews tegen lijkt te spreken. In de interviews hebben deelnemende organisaties aangegeven dat de financiële sector een grotere assurancebehoefte zou hebben dan gemiddeld. Dit vanwege een grote hoeveelheid voorschriften waaraan binnen de sector moet worden voldaan, een hoge mate van marktsupervisie en de publieke belangen die verbonden zijn aan de diensten van deze organisaties. De belangrijkste assurancebehoefte van organisaties in de financiële sector zijn gerelateerd aan het detecteren van lekken in de beveiliging of het kunnen herstellen van productiedata op basis van gemaakte back-ups. De risico s aangaande kennis en ervaring binnen een serviceprovider, niet gebruikte maar actieve software, het voldoen aan wet- en regelgeving en reputatie worden als minder belangrijk beschouwd. Deze sterke focus op beveiliging en beschikbaarheid van data is te verklaren vanuit de directe impact die bestaat op het kunnen bieden van de dienstverlening aan klanten. Manifestatie van deze risico s kan leiden tot een verlies van miljoenen, verlies van vertrouwen in deze organisaties of zelfs een faillissement. Hierbij werd binnen het onderzoek echter een hogere score verwacht op de risicogebieden die van minder belang worden geacht. Een mogelijke verklaring hiervoor kan zijn dat financiële organisaties in hoge mate zelf maatregelen hebben getroffen voor het direct beheersen en monitoren van deze risico s. Figuur 1: Vergelijking van de assurancebehoefte van outsourcers per marktsector
5 De assurancebehoefte van outsourcers voor IT-diensten 5 VERGELIJKING VAN DE ASSURANCEBEHOEFTE VAN OUTSOURCERS EN DE ERVAREN ASSURANCEBEHOEFTE DOOR SERVICEPROVIDERS De uitkomsten van de afgenomen enquêtes en interviews van beide partijen, outsourcers en serviceproviders, zijn opgenomen in figuur 2. Deze figuur laat zien dat serviceproviders over het algemeen de assurancebehoefte van outsourcers lager inschatten behoeftedan outsourcers deze zelf aangeven. Een verklaring hiervoor kan zijn dat outsourcers, die deelnemen aan het onderzoek, een hoog ontwikkeld risicomanagementproces hebben en daarom meer assurance verwachten dan een gemiddelde klant. De resultaten van deze analyse wijzen erop dat er een kloof zit tussen de assurancebehoefte vanuit het perspectief van de outsourcer en hoe dat wordt waargenomen vanuit het perspectief van de serviceprovider. Dit behoeft een nader onderzoek over dit onderwerp met een groter aantal deelnemers om te bepalen of er daadwerkelijk een kloof is en hoe dit van invloed is op de scope en het doel van de huidige assuranceproducten. Figuur 2: Assurancebehoefte van outsourcers ten opzichte van de ingeschatte behoefte door serviceproviders
6 6 De assurancebehoefte van outsourcers voor IT-diensten FREQUENTIE VAN ASSURANCE IN RELATIE TOT DE BEHOEFTE VAN OUTSOURCERS Figuur 3 laat zien dat de meeste outsourcers die aan het onderzoek hebben deelgenomen, een voorkeur hebben voor het ontvangen van jaarlijkse assurance. In eerste instantie lijkt dit de informatie verkregen vanuit interviews tegen te spreken omdat de geïnterviewde organisaties aangeven dat zij juist assurance op een meer frequente basis zouden willen ontvangen. De verklaring hiervoor ligt in het feit dat de assurancebehoefte op dit moment veelal wordt ingevuld met een assuranceproduct als een ISAE of een ISAE 3402-rapportage. Deze wordt normaliter per half jaar of jaarlijks verstrekt. Outsourcers hebben geen behoefte om een dergelijke rapportage frequenter te ontvangen, wel bestaat er een behoefte om de assurance geboden in het rapport op een frequentere basis te ontvangen. Samengevat kan op basis van het voorgaande worden geconcludeerd dat de huidige vorm waarin assurance wordt verstrekt, door serviceproviders en auditors voor de aspecten frequentie en veranderende behoefte, onvoldoende invulling geeft aan de vraag van outsourcers. Om invulling te geven aan de veranderende assurancebehoefte, richten organisaties momenteel veelal zelf directe monitoringcontroles in op cruciale elementen van de ITdienstverlening van de serviceprovider. Wanneer uitbesteders zelf directe monitoringcontroles inrichten, wordt hiermee ook veelal de assurancebehoefte ingevuld met eigen maatregelen waarmee de behoefte aan assurance vanuit de serviceprovider afneemt. 22% 11% 67% Per jaar Per kwartaal Per maand Figuur 3: Gewenste frequentie van invulling van de assurancebehoefte voor outsourcers Naast de frequentie waarin assurance wordt ontvangen, varieert de assurancebehoefte ook inhoudelijk voor de 51 onderwerpen uit het beslismodel. Outsourcers hebben geen behoefte om voor elk onderwerp jaarlijks assurance te ontvangen op basis van een ISAE of ISAE 3000-rapport. Als reden wordt aangedragen dat de assurancebehoefte veranderen gedurende de looptijd van het servicecontract en een statische jaarlijkse rapportage hiervoor geen effectieve invulling biedt. Outsourcers interpreteren assurance-informatie in een jaarlijks rapport als verouderde informatie die daarom niet geschikt is voor het dagelijks monitoren en beheersen van de uitbestede IT-diensten.
7 De assurancebehoefte van outsourcers voor IT-diensten 7 CONCLUSIES Op basis van het onderzoek komt een aantal interessante resultaten naar voren waarbij de belangrijkste conclusies op basis van het onderzoek hieronder zijn samengevat. Het aspect kosten is mede bepalend voor de feitelijke assurancebehoefte waarover outsourcers zekerheid willen ontvangen van serviceproviders. Indien kosten zijn verbonden aan het verkrijgen van de assurance, leidt dit tot een andere prioritering van de assurancebehoefte en vindt een zekere mate van risico-acceptatie plaats. Ongeacht de marktsector bestaat er een brede behoefte aan assurance bij outsourcers. Per sector bestaan verschillen in de inhoudelijke assurancebehoefte van organisaties waardoor het noodzakelijk is dat outsourcers de eigen assurancebehoefte vaststellen op basis van risico-analyse. Serviceproviders ervaren over het algemeen een lagere assurancebehoefte van outsourcers dan de mate waarin deze door outsourcers wordt aangegeven. Het is daarmee aannemelijk dat de traditionele en huidige scope van reeds verkregen assurancerapporten hier niet volledig op aansluit. Outsourcers hebben op onderdelen behoefte aan frequentere assurance dan waarmee deze wordt geboden op basis van de huidige assuranceproducten. Tevens verandert de assurancebehoefte gedurende de looptijd van een contract met een serviceprovider. Een geschreven en statische assurancerapportage die jaarlijks wordt verstrekt wordt niet gezien als een passend middel voor het invullen van deze behoefte. Het onderzoek toont daarmee aan dat er sprake is van een gat tussen de assurancebehoefte van outsourcers en de mate waarin deze momenteel wordt ingevuld op basis van beschikbare assuranceproducten door serviceproviders en hun auditors. De belangrijkste oorzaken die wij hiervoor zien, worden hierna toegelicht. Scope, doelstelling en insteek van de huidige assuranceproducten In de Verenigde Staten zijn nieuwe richtlijnen ontwikkeld voor assurancerapporten met betrekking tot de beheersing van ITprocessen. Het betreft Service Organisation Control (SOC 1, 2 en 3)-rapporten. Wellicht dat deze ontwikkelingen gevolgen hebben voor Nederland. Voor het onderzoek hebben we ons beperkt tot de nu gangbare producten. Voor het verkrijgen van zekerheid in relatie tot de assurancebehoefte van outsourcers bestaan in de Nederlandse markt momenteel de volgende assuranceproducten: 1 Een ISAE 3402-rapportage; 2 Een ISAE 3000-rapportage; 3 Accountantsverklaring als resultaat van de jaarrekeningcontrole. Geen enkele van deze producten biedt op zichzelf een middel voor het afdekken van de totale assurancebehoefte van outsourcers zoals deze binnen het onderzoek zijn geïdentificeerd. Een ISAE 3402-rapport is hierbij gericht op de maatregelen die een directe relatie hebben met risico s die relevant zijn voor de jaarrekeningcontrole van de outsourcer. Een ISAE 3000-rapport is gericht op rapportage over de maatregelen die niet gerelateerd zijn aan de jaarrekeningcontrole van de outsourcer. Tot slot bieden de accountantsverklaring en het jaarverslag van een serviceprovider nog aanvullende informatie over de continuïteit van een serviceprovider, een onderwerp dat traditioneel wordt vermeden in zowel ISAE als ISAE 3000-rapportages. Samen met de paragraaf van de auditor over de continuïteit geeft dat een indicatie van financiële soliditeit en continuïteit van de serviceprovider. De huidige assuranceproducten en onderliggende standaarden zijn daarnaast van origine opgesteld vanuit het perspectief van de aanbieders van assurance, te weten serviceproviders en haar auditors. De producten zijn niet opgesteld vanuit een perspectief om in totaliteit de assurancebehoefte van een outsourcer in te kunnen vullen. Veranderende behoefte aan assurance, statische manier van rapporteren De assurancebehoefte van outsourcers ontwikkelt zich naarmate de afhankelijkheid van IT en informatieverwerking toeneemt. De behoefte veranderen tevens met de introductie van nieuwe technologieën zoals bijvoorbeeld Cloud computing. De assurancebehoefte is daarom geen statische definitie, echter de huidige assuranceproducten betreffen primair rapportages die statisch zijn van opzet. Daarnaast zijn deze veelal gebaseerd op een vast normenkader dat is opgesteld voor een brede doelgroep. De assuranceproducten worden daarbij veelal halfjaarlijks of jaarlijks verstrekt. Outsourcers beschouwen deze informatie als gedateerd en geven tevens aan op onderdelen een behoefte te hebben aan meer frequente assurance. De huidige rapportagevormen sluiten onvoldoende aan op deze behoefte van outsourcers.
8 8 De assurancebehoefte van outsourcers voor IT-diensten AANBEVELINGEN Outsourcers, serviceproviders en hun auditors zouden de krachten moeten verenigen om de kloof tussen vraag en aanbod te dichten. Outsourcers zouden hierbij de verantwoordelijkheid moeten nemen voor het bepalen van de assurancebehoefte. De serviceproviders en haar auditors zouden zich moeten richten op het voorzien in een passende oplossing op basis van de beschikbare assuranceproducten. Om de kloof tussen de assurancebehoefte en het aanbod van assurance te dichten is dus een paradigmaverschuiving noodzakelijk naar een vraaggedreven aanpak waarbij de informatiebehoefte van de outsourcer centraal staat. Deze zou moeten worden verenigd met de assurancebehoefte van andere stakeholders, zoals bijvoorbeeld de accountant van een outsourcer die een assuranceproduct veelal gebruikt binnen de jaarrekeningcontrole. Het sturen van de vraag vereist een bepaald volwassenheidsniveau van de outsourcer. De outsourcer zal in staat moeten zijn om de assurancebehoefte te specificeren. Hierbij is een belangrijke verantwoordelijkheid weggelegd voor het bestuur om de assurancebehoefte te bepalen op strategisch, tactisch en operationeel niveau en om richtlijnen uit te vaardigen waarbinnen de benodigde assurance dient te worden verkregen. Het beslismodel dat binnen het onderzoek is ontwikkeld kan outsourcers ondersteunen bij het in kaart brengen van de assurancebehoefte en invulling hiervan met de momenteel beschikbare assuranceproducten. Vervolgonderzoek zal echter noodzakelijk zijn om de kloof tussen vraag en aanbod te kunnen overbruggen. De volgende vragen geven hierbij stof tot nadenken: 1 Wie gaat er betalen voor de extra assurancebehoefte? Op dit moment ontvangen outscourcers niet de informatie die in hun volledige assurancebehoefte voorziet, maar outsourcers zijn ook niet bereid om te betalen voor alle onderwerpen. 2 Kan er een assuranceproduct worden ontwikkeld dat voorziet in alle gevraagde assurance gezien vanuit het perspectief van een outsourcer? Hoe kunnen we omgaan met het aspect continuïteit en meer real-time assurance aangezien hier duidelijk behoefte aan is? 3 Kan een continue en veranderende behoefte aan assurance eigenlijk wel worden ingevuld op basis van een statische rapportage die halfjaarlijks of jaarlijks wordt verstrekt? Passen de huidige assuranceproducten bij de trend van continue auditing en continue monitoring of zouden hiervoor alternatieven moeten worden gevonden? Voor een effectieve invulling van de vastgestelde assurancebehoefte, heeft het bestuur steun nodig van specialistische afdelingen binnen de organisatie zoals contractmanagement, compliance, risk-management en (interne) audit om: Onderwerpen op basis van een risicogebaseerde aanpak te prioriteren; De invulling van de assurancebehoefte door serviceproviders en auditors te sturen en monitoren; Technologische ontwikkelingen en veranderende omstandigheden te monitoren en mee te kunnen wegen bij het bepalen en periodiek evalueren van de assurancebehoefte. Ook is het noodzakelijk dat vanuit de aanbodzijde wordt nagedacht over nieuwe assuranceproducten die in staat zijn om: Assurance op een meer continue basis te kunnen bieden; Tijdig te kunnen anticiperen op veranderende assurancebehoefte. Dit is in lijn met huidige assurancetrends, Governance, Risk & Compliance-oplossingen van softwareleveranciers en de algehele consensus onder auditors waarbij continue assurance en monitoring wordt gezien als de volgende stap.
9 De assurancebehoefte van outsourcers voor IT-diensten 9 APPENDIX 1: HET BESLISMODEL Gebaseerd op de resultaten van het onderzoek is onderstaand beslismodel ontworpen. Dit model bevat de belangrijkste risico s die dienen te worden afgewogen voor het identificeren van de assurancebehoefte van een outsourcer. Het model bestaat uit acht hoofdgebieden van risico s met daaronder in totaal 51 onderwerpen op de verticale as en de huidige beschikbare assuranceproducten die beschikbaar zijn voor het invullen hiervan op de horizontale as. Een 4 op de horizontale as achter een onderwerp geeft aan dat het assuranceproduct kan worden gebruikt om zekerheid te verkrijgen over het bijbehorende onderwerp. Een 8 geeft aan dat het product niet gebruikt kan worden. Beslismodel ISAE 3402 ISAE 3000 Accountantsverklaring Operational 1 Performance IT-omgeving up-to-date Service level rapportage Misbruik intellectueel eigendom Bescherming intellectueel eigendom Financieel 6 Facturatie Continuïteit Controle mogelijk faillissement HR (Human Resources) 9 Kennis en ervaring Screening en documentatie personeel IT-risico s Beveiliging 11 Voorkomen van hacking Voorkomen gebruik schadelijke software Geen toegang tot data andere klanten Verificatie identiteit gebruikers Functiescheiding Personeel getraind op beveiliging Fysieke beveiliging Administratorrechten Niet gebruikte software Niet geautoriseerde software Detectie van een beveiligingslek Communicatie van een beveiligingslek Audittrail Testen op de beveiliging Reactie op incidenten Confidentiality
10 10 De assurancebehoefte van outsourcers voor IT-diensten ISAE 3402 ISAE 3000 Accountantsverklaring Vertrouwelijkheid 26 Verwijderen van data Beveiligde uitwisseling van data Data op mobiele apparaten Toegangscontrole voor bezoekers Geen toegang tot andere productieomgevingen Beschikbaarheid 31 Bescherming tegen omgevingsfactoren Beschermingen tegen menselijke fouten Herstel van calamiteiten en continuïteitsplan Back-upprocedures Opslag van back-ups op een andere locatie Dubbel uitgevoerde beveiliging op andere locatie Herstel van back-ups Archiveringsprocedures Vervanging van IT-infrastructuur Documentatie Wijzigingsbeheer Wet- en regelgeving 42 Compliancy Wet bescherming persoonsgegevens Gebruik software zonder licentie Politiek risico Compliancy veranderende wet- en regelgeving Handelsafspraken Compliancy wetgeving financiële verslaggeving Fraude Reputatie 49 Algemeen geaccepteerde werkomgeving Richtlijnen maatschappelijk verantwoord ondernemen Wapenhandel 8 4 8
11 De assurancebehoefte van outsourcers voor IT-diensten 11 APPENDIX 2: ONDERZOEKSMETHODE EN RESULTATEN Onderzoeksmethode Voor dit onderzoek zijn enquêtes gebruikt om informatie te verkrijgen van outsourcers voor het beantwoorden van de volgende vragen: Wat is de assurancebehoefte van outsourcers? en Wat zou een passend beslismodel zijn om te bepalen welke assuranceproducten er bestaan voor het invullen van deze assurancebehoefte?. Deze vragen waren vanuit de beschikbare literatuur nog niet breed onderzocht. Er is een enquêtetraject opgezet voor het in kaart brengen van de assurancebehoefte op de geïdentificeerde risicogebieden die zijn ontleend aan (wetenschappelijke) literatuur en geldende voorschriften. Om een zeker responspercentage te verkrijgen zijn daarnaast interviews gehouden met outsourcers en serviceproviders. De enquêtes dienden als primaire methode voor datacollectie, het houden van interviews betreft een secondaire onderzoeksmethode. Reikwijdte en de deelnemers aan de enquête en interviews Het onderzoek is specifiek gericht op uitbestede IT-diensten in relatie tot housing, hosting, infrastructuur, beveiliging en ITbeheerprocessen. De outsourcers en serviceproviders die aan het onderzoek hebben deelgenomen zijn grote organisaties met een relatief hoog volwassenheidsniveau van risicomanagement: Enquête uitgevoerd met 14 outsourcers; Interviews uitgevoerd met 9 serviceproviders. De verkregen informatie van de enquête en interviews is gebruikt als basis voor het ontwerpen van een beslismodel voor het invullen van de geïdentificeerde assurancebehoefte. Resultaten voor deelvragen binnen het onderzoek 1 De minimumvereisten voor het kunnen gebruiken van het beslismodel Er zijn verschillende risico s geïdentificeerd in de fase van uitbesteding waarbij IT-diensten bij een serviceprovider nog niet zijn gecontracteerd (niet-operationele fase). Deze risico s leiden in basis tot twee minimum vereisten waaraan een outsourcer moet voldoen voor het kunnen gebruiken van het beslismodel. Een outsourcer moet: 1 Het recht hebben bedongen om clausules in het contract te kunnen controleren ( right to audit ); 2 Een contract hebben gesloten met daarbij een control framework ( te treffen beheersmaatregelen ) en de bijbehorende verantwoordelijkheden van de outsourcer en serviceprovider. 2 De assurancebehoefte van outsourcers Er is een brede behoefte aan assurance voor alle acht hoofdcategorieën van risico met daaronder een totaal van 51 onderwerpen. Niet alle outsourcers zijn bereid om te betalen voor alle assurancebehoeften. Als er een vergelijking wordt gemaakt van de behoefte en de bereidwilligheid om hiervoor te betalen, leidt dit tot onderstaande prioritering van assurancebehoeften: 1 Operationeel (66%) 2 Vertrouwelijkheid (47%) 3 Integriteit (46%) 4 Financieel (34%) 5 HR (30%) 6 Beschikbaarheid (44%) 7 Wet- en regelgeving (42%) 8 Reputatie (17%) Tussen haakjes is het percentage van respondenten aangegeven dat bereid is om hiervoor extra te betalen. Daarnaast is onderzocht in welke mate de outsourcers op dit moment tevreden zijn over de invulling van deze assurancebehoeften: 1 Operationeel (85%) 2 Vertrouwelijkheid (87%) 3 Integriteit (83%) 4 Financieel (77%) 5 HR (50%) 6 Beschikbaarheid (91%) 7 Wet- en regelgeving (75%) 8 Reputatie (25%) Tussen haakjes is het huidige tevredenheidspercentage opgenomen. 3 Beschikbare assuranceproducten voor het verkrijgen van zekerheid Er zijn momenteel in de praktijk drie gangbare assuranceproducten beschikbaar voor het verkrijgen van zekerheid over de mate waarin geïdentificeerde risico s worden beheerst door een serviceprovider: 1 ISAE 3402-rapportage; 2 ISAE 3000-rapportage; 3 Het oordeel van de accountant inzake de jaarrekening (NV COS 700, NV COS 705N, NV COS 706N).
12 12 De assurancebehoefte van outsourcers voor IT-diensten In het kort is de 3000-rapportage gericht op het verstrekken van zekerheid over onderwerpen die niet zijn gerelateerd aan de financiële verslaggeving van de outsourcer. Een 3402-rapportage focust zich juist op het verstrekken van zekerheid over onderwerpen die direct gerelateerd zijn aan de financiële verslaggeving van de outsourcer. Het oordeel van de accountant op basis van de jaarrekeningcontrole bevat naast zekerheid over de financiële positie van een serviceprovider ook informatie over de continuïteit van deze organisatie. Geen van deze producten dekt zelfstandig de totale assurancebehoefte van outsourcers, enkel een combinatie van deze assuranceproducten kan hierin voorzien. 4 Ontwikkeling van een passend beslismodel voor outsourcers De totstandkoming van het beslismodel is gebaseerd op de volgende drie activiteiten: 1 Identificatie van de risicogebieden waarover outsourcers assurance willen verkrijgen; 2 Identificatie van beschikbare assurance producten die geschikt zijn om hierover zekerheid te bieden; 3 Koppeling van de risicogebieden en bijbehorende onderwerpen aan de beschikbare assuranceproducten die zich hiervoor lenen. De frequentie waarin de meeste outscourcers zekerheid wensen te ontvangen verschilt per risicogebied en onderwerp. Om hieraan invulling te kunnen geven zouden in principe alle onderwerpen apart moeten worden geïmplementeerd en worden gekoppeld aan een assuranceproduct. De huidige assuranceproducten worden echter momenteel vaak met een vaste frequentie verstrekt, halfjaarlijks of jaarlijks, waarmee de frequentie van het aanbod van zekerheid niet aansluit op de gevraagde frequentie aan zekerheid.
13 De assurancebehoefte van outsourcers voor IT-diensten 13 REFERENTIES Banse, Dennis Robert (2013) en opgenomen literatuurverwijzingen. The needs for assurance in IT outsourcing. A research form the perspective of the outsourcing organization. Master thesis, Accounting and Controlling. University of Groningen, Faculty of Economics and Business. COLOFON Dit is een publicatie in samenwerking met: BDO IT Audit & Security Krijgsman 9 Postbus DM Amstelveen Telefoon Internet it@bdo.nl Voor meer informatie kunt u contact opnemen met Marco Francken (partner) of Chris Nooijens (senior manager) van BDO IT Audit & Security. februari 2014
14 BDO IT Audit & Security Krijgsman 9 Postbus DM Amstelveen Telefoon Internet it@bdo.nl Voor meer informatie kunt u contact opnemen Marco Francken (partner) of Chris Nooijens (senior manager) van BDO IT Audit & Security. 02/2014 BB1416
Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieDOORSTAAT UW RISICOMANAGEMENT DE APK?
WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht
Nadere informatieDe toegevoegde waarde van een ISAE 3402-
De toegevoegde waarde van een ISAE 3402- verklaring Een isae 3402-verklaring is een specifieke vorm van third party assurance en heeft toegevoegde waarde voor services en gebruikerss. Er is echter nog
Nadere informatie2014 KPMG Advisory N.V
02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers
Nadere informatieDelo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland
Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieAndré Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag
André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen
Nadere informatieAssurance rapport van de onafhankelijke accountant
Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht
Nadere informatieDeelplan IC ICT-omgeving 2015 Gemeente Lingewaard
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.
Nadere informatieUitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018
Uitbesteding & Uitbestedingsrisico s Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018 Agenda Agenda Het onderzoek Uitbesteding Opzet en doel Resultaten Inherent risico Beheersing van het uitbestedingsrisico
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van
Nadere informatieInvloed van IT uitbesteding op bedrijfsvoering & IT aansluiting
xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het
Nadere informatieHandleiding uitvoering ICT-beveiligingsassessment
Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810
Nadere informatieZwaarbewolkt met kans op neerslag
8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft
Nadere informatieDeloitte. Assurance rapport van de onafhankelijke accountant. Rapportage aan: Achmea Bancaire Distributie. De heer R. Rikze
Deloitte Accountants B.V. Enterprise Risk Services Laan van Kronenburg 2 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088 2889711 www.deloitte.nl Assurance rapport
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieAcademy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.
Programma NAJAAR 2018 Solutional Academy heeft als doelstelling onze kennis en expertise zoveel mogelijk te delen met mensen die werkzaam zijn in de asset management- en pensioensector. Hierbij treft u
Nadere informatieIT Beleid Bijlage R bij ABTN
IT Beleid Dit document heeft 8 pagina s Versiebeheer Versie Auteur Datum Revisie V1.0 Bestuur 18 december 2018 Nieuwe bijlage i Inhoudsopgave 1. Inleiding 1 2. Scope van het IT Beleid 1 3. IT risico s
Nadere informatieGemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services
Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave
Nadere informatieIAM en Cloud Computing
IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips
Nadere informatieSAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen
SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieGemeente Delft. Wij gaan er vanuit u hiermee voldoende geinformeerd te hebben en verzoeken u de toezegging als afgedaan te beschouwen.
Besturing Controlling Communicatie Bestuursondersteuning Retouradres : Bestuursondersteuning, Postbus 78, 2600 ME Delft Aan de eden van de gemeenteraad Gemeente Delft De Torenhove Martinus Nijhoffiaan
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieSymposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012
Symposium Uitbesteding & Cloud computing De Nederlandsche Bank 1 Amsterdam, 14 juni 2012 Agenda symposium uitbesteding & cloud computing 13.30-14.00 Ontvangst met koffie 14.00-14.15 Welkomstwoord door
Nadere informatieBUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.
BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren. Business Continuity Plan Handboek J.H. van den Berg M. Baas B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatiePinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening
PinkSCAN Verbeter de kwaliteit van uw IT dienstverlening De business stelt steeds hogere eisen aan de kwaliteit van de IT dienstverlening. Nieuwe service modellen vereisen aanpassingen in de wijze waarop
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: de Algemene Vergadering van Aandeelhouders en de Raad van Commissarissen van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2015
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieJ.H. van den Berg. Versie 1.0 Mei 2011
Versie 1.0 Mei 2011 J.H. van den Berg B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business Continuity Plan Handboek Vertrouw niet altijd op iemands blauwe ogen. Meiberg Consultancy Bronkhorsterweg
Nadere informatie2014 KPMG Advisory N.V
01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieService Niveau Overeenkomst Digikoppeling
Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl
Nadere informatiePROJECT INITIATION DOCUMENT
PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting
Nadere informatieZekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014
Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor
Nadere informatieControleverklaring van de onafhankelijke accountant Aan: de algemene vergadering en de directie van Hanzevast capital N.V. Verklaring betreffende de jaarrekening Wij hebben de in dit rapport opgenomen
Nadere informatieDe Plaats GL Hendrik-Ido-Ambacht tel Privacy policy
Privacy policy Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Id Est IT Holding B.V. en andere, binnen de Id Est IT Holding B.V. actieve
Nadere informatieNORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.
NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal
Nadere informatieREGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.
REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een
Nadere informatieINTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN
INTERNATIONALE CONTROLESTANDAARD 260 COMMUNICATIE OVER CONTROLE-AANGELEGENHEDEN MET HET TOEZICHTHOUDEND ORGAAN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Relevant orgaan... 5-10 Te communiceren controle-aangelegenheden
Nadere informatieFactsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Nadere informatieDoen of laten? Een dag zonder risico s is een dag niet geleefd
Doen of laten? Een dag zonder risico s is een dag niet geleefd Wie, wat en hoe Eric Lopes Cardozo & Rik Jan van Hulst sturen naar succes Doel Delen van inzichten voor praktisch operationeel risico management
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Nadere informatieIT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieinfo@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieAccountantsverslag 2012
pwc I Accountantsverslag 2012 Permar Energiek B.V. 24 mei 2013 pwc Permar Energiek B.V. T.a.v. de Raad van Commissarissen en de Directie Horaplantsoen 2 6717LT Ede 24 mei 2013 Referentie: 31024B74/DvB/e0291532/zm
Nadere informatieISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.
ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...
Nadere informatieWe maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.
Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit
Nadere informatieBusiness Continuity Management conform ISO 22301
Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,
Nadere informatiePrivacy Policy v Stone Internet Services bvba
Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van
Nadere informatieAssurancerapport van de onafhankelijke IT-auditor
Assurancerapport van de onafhankelijke IT-auditor Aan: College van burgemeester en wethouders van gemeente Renswoude Ons oordeel Wij hebben de bijgevoegde Collegeverklaring ENSIA 2017 inzake informatiebeveiliging
Nadere informatieNiet-financiële informatie (NFI) in Nederland
Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA
Nadere informatieBeoordelingskader Informatiebeveiliging DNB
Beoordelingskader Informatiebeveiliging DNB NBA LIO en NOREA symposium 'Volwassen Informatiebeveiliging' 4 februari 2019 Derek Dijst, Expertisecentrum Operationele en IT Risico s Agenda Toezicht door DNB
Nadere informatieSecurity Management Trendonderzoek. Chloë Hezemans
Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë
Nadere informatieAUTEUR Corporate Control VERSIE finale versie 31 oktober 2012 PAGINA 1 van 5. Audit Charter TenneT
AUTEUR Corporate Control VERSIE finale versie 31 oktober 2012 PAGINA 1 van 5 Audit Charter TenneT PAGINA 2 van 5 1. Selectie en werving van de accountant De AC stelt de selectiecriteria vast op voordracht
Nadere informatieADVISIE SERVICE SOLUTIONS
SERVICE SOLUTIONS ADVISIE SERVICE SOLUTIONS Uw ERP systeem is van essentieel belang voor de dagelijkse bedrijfsvoering. De serviceverlening van Advisie is er daarom op gericht om verstoringen van het systeem
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieHet belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?
Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn? 7 september 2017 Erik Breijer 1 Waarom Risicomanagement? Wat is aanleiding om met risicomanagement te starten:
Nadere informatieRisico s identificeren. Drs P.A.M. (Patrick) Kremers RC 20 juni 2012
Risico s identificeren Drs P.A.M. (Patrick) Kremers RC 20 juni 2012 Integraal risicomanagement 2 Integraal risicomanagement 3 Risicomanagement proces 4 Risicomanagement proces 5 6 Risico identificatie
Nadere informatieDocument:13IT Controleprotocol voor de accountantscontrole op de jaarrekening van het Waterschap Brabantse Delta
Document:13IT021860 Controleprotocol voor de accountantscontrole op de jaarrekening van het Waterschap Brabantse Delta vanaf jaarrekening 2013 Inhoudsopgave 1 Inleiding...3 1.1 Algemeen...3 1.2 Doelstelling...3
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand
Nadere informatieBluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud
Toegevoegde waarde vanuit inhoud De Organisatie 1 De Organisatie Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met een uitgebreide expertise in business-
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieGrip op fiscale risico s
Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: het algemeen bestuur van Waterschap Vechtstromen A. Verklaring over de in de jaarstukken opgenomen jaarrekening 2017 Ons oordeel Wij hebben de jaarrekening
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieVrijstellingsregeling Wft. Grens vrijstelling van 50.000 naar 100.000 Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012
Vrijstellingsregeling Wft Grens vrijstelling van 50.000 naar 100.000 Aanbieders moeten een AFM-vergunning aanvragen voor 1 februari 2012 In deze brochure leest u óf u iets moet doen en wat Charco & Dique
Nadere informatie1a Leidinggevende topfunctionarissen met dienstbetrekking bedragen x 1 T.Keulen M.C. Spies Functiegegevens Voorzitter CvB Lid CvB Aanvang en einde fun
1a Leidinggevende topfunctionarissen met dienstbetrekking bedragen x 1 T.Keulen M.C. Spies Functiegegevens Voorzitter CvB Lid CvB Aanvang en einde functievervulling 2018 1/1-31/12 1/1-31/12 Omvang dienstverband
Nadere informatieHet gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem
Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie
Nadere informatieDrs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA
info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA
Nadere informatieCloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!
Platform voor Informatiebeveiliging!!! Uit de serie in the cloud! Cloudsourcing & Forensic Readiness Over verwachtingen, transparantie en samenwerking Willem Tibosch! BlinkLane Consulting!! 13 juni 2013!
Nadere informatieGedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018
Gedragseffecten in de (internal) audit-professie 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018 1 Introductie John Bendermacher RA CIA 57 jaar Chief Audit Executive ABN AMRO Voorheen SNS REAAL,
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieDe financial van de toekomst. saxion.nl. Praktijkonderzoek naar de ontwikkelingen in het werk van de financiële professional
De financial van de toekomst Praktijkonderzoek naar de ontwikkelingen in het werk van de financiële professional Lectoraat Smart Industry & Human Capital Auteurs: dr. Stephan Corporaal en drs. Peter Sabandar
Nadere informatieConsultatiedocument Aanpassingen vertaling Standaarden NV COS in verband met Non-Compliance with Laws and Regulations (NOCLAR) 09 februari 2018
Dit document maakt gebruik van bladwijzers. Consultatiedocument Aanpassingen vertaling Standaarden NV COS in verband met Non-Compliance with Laws and Regulations (NOCLAR) 09 februari 2018 Consultatieperiode
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieProactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit
Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen
Nadere informatieT: +31 (0)30 284 98 00 E: utrecht@bdo.nl www.bdo.nl BDO Audit & Assurance B.V. Postbus 4053, 3502 HB Utrecht Van Deventerlaan 101, 3528 AG Utrecht Nederland Controleverklaring van de onafhankelijke accountant
Nadere informatieINHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE
Rapportage ENSIA Aan : Gemeente Olst- Wijhe College van B&W Van : M. Hommes Datum : Betreft : Collegeverklaring gemeente Olst- Wijhe d.d. 24 april 2018 INHOUD 1 Conclusie... 3 2 Basis voor de conclusie...
Nadere informatieREGLEMENT RISK- EN AUDITCOMMISSIE N.V. NEDERLANDSE SPOORWEGEN
REGLEMENT RISK- EN AUDITCOMMISSIE N.V. NEDERLANDSE SPOORWEGEN 24 november 2017 INHOUD HOOFDSTUK 1: Rol en status van het Reglement 1 HOOFDSTUK 2: Samenstelling RAC 1 HOOFDSTUK 3: Taken RAC 2 HOOFDSTUK
Nadere informatievan van feitelijke bevindingen OPDRACHT Wij hebben een aantal specifieke Werkzaamheden verricht met betrekking tot het (financieel)
van Aan: opdrachtgever van feitelijke bevindingen Betreft: Rapport van feitelijke bevindingen inzake onderzoek (financieel) jaarverslag en additionele informatie van (naam lokale mediainstelling te...
Nadere informatieUitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.
Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 1 juni 2015, PB15-220] Artikel 1 Definities De definities welke in dit uitbestedingsbeleid worden gebruikt zijn nader
Nadere informatieInspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016
Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing
Nadere informatieControleverklaring van de onafhankelijke accountant Aan: de algemene vergadering en de directie van Vlootfonds Hanzevast 3 ms Hanze Göteborg N.V. Verklaring betreffende de jaarrekening Wij hebben de in
Nadere informatieDatabeveiliging en Hosting Asperion
Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend
Nadere informatieRichtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie
Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Inleiding 1-3 Doel van de opdracht tot het verrichten van overeengekomen
Nadere informatieControleverklaring van de onafhankelijke accountant
Controleverklaring van de onafhankelijke accountant Aan: de gemeenteraad van de gemeente Utrecht A. Verklaring over de in de jaarstukken opgenomen jaarrekening 2017 Ons oordeel Wij hebben de jaarrekening
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieBijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum
Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel
Nadere informatieOns oordeel Wij hebben de jaarrekening 2017 van Samenwerkingsstichting Kans & Kleur gecontroleerd.
Controleverklaring van de onafhankelijke accountant Aan: de Raad van Toezicht Samenwerkingsstichting Kans & Kleur A. Verklaring over de in het jaarverslag opgenomen jaarrekening 2017 Ons oordeel Wij hebben
Nadere informatieRiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control
RiskTransparant, deel 2 De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control In deze tweede serie uit een reeks van zeven delen, delen wij
Nadere informatie