Bijlage 5: Invulformat AO/IC

Vergelijkbare documenten
Nr. Aspect Aanlevering van de beschrijving van de AO/IC Toetsingscriteria 1. Wet- en regelgeving

Pagina 1/8. Besluit Openbaar. Datum:

Besluit tot wijziging van de vergunningen van Robin Energie B.V. voor de levering van elektriciteit en gas aan kleinverbruikers

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Raad voor Rechtsbijstand

SPD Bedrijfsadministratie. Correctiemodel ACCOUNTING INFORMATION SYSTEMS MAANDAG 14 DECEMBER UUR

Norm 1.3 Beveiligingsplan

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Privacyreglement

PRINCIPLES OF FUND GOVERNANCE AMERICAN VALUE FUND

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Beleid inzake belangenconflicten

Aanvraagformulier. voor het aanvragen van een vergunning voor het leveren van elektriciteit en/of gas aan kleinverbruikers

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

SPD Bedrijfsadministratie. Correctiemodel ACCOUNTING INFORMATION SYSTEMS WOENSDAG 7 OKTOBER UUR. SPD Bedrijfsadministratie B / 8

C E N T R A L E B A N K V A N C U R A Ç A O E N S I N T M A A R T E N

Klokkenluidersregeling

MKB Cloudpartner Informatie TPM & ISAE

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

Deelplan IC Treasury Gemeente Lingewaard

Privacyverklaring. Artikel 1 Grondslagen voor het verwerken van persoonsgegevens

Treasurystatuut Gemeente Den Helder. ieheersdeel

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011

PRINCIPLES OF FUND GOVERNANCE HAVEN EUROPEAN VALUE FUND ASIAN VALUE FUND AMERICAN VALUE FUND FUNDAMENT BOND FUND

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

Privacy reglement Pagina 1 van 6

Privacyverklaring van Enpuls B.V.

Procuratiereglement Stichting de Posten

Datagestuurd werken in het sociaal domein. In control komen op 3 levels of defence

Uitbestedingsbeleid 2015

Rfc Afgeleide principes 35-40

Datagestuurde Auditing Sociaal Domein In control komen op 3 levels of defence

Privacyreglement Humanitas DMH JobRun

Informatiebeveiligingsplan

Klachtenregeling Stichting van het Kind

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Inhoudsopgave. BLANCO SPACES ZUIDAS - 6TH FLOOR BARBARA STROZZILAAN HN AMSTERDAM T. +31 (0)

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

PRINCIPLES OF FUND GOVERNANCE Add Value Fund N.V.

Regeling Incidenten InleIdIng Vastned directie Regeling Incidenten Raad van Commissarissen

1.5. Bewerker: Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

1. Procuratiereglement

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Bestuurlijke Informatieverzorging III proefexamen I - uitwerking

2.1. Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Accent Taaltraining NT2.

Privacy reglement Payroll Select Nederland B.V.

Autoriteit Consument & Markt

DATA PRIVACY VERKLARING

Privacy reglement publieke XS-Key

Privacyverklaring Debbie Steur

Controletechnische functiescheiding

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

BESLUIT. Besluit van 2 juni 2003, Stb. 2003, nr. 234, zoals laatstelijk gewijzigd bij besluit van 5 april 2005, Stb. 2005, nr. 200.

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

Privacyreglement. NLeducatie

Privacy verklaring Debbie Steur (Versie maart 2019)

PRIVACY REGLEMENT

b. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon.

ARTIKEL 1 - ALGEMENE EN BEGRIPSBEPALINGEN

Privacyreglement Werkvloertaal 26 juli 2015

Registratie-eisen Aanvullend Openbaar Vervoer (AOV)

Het opslaan en verwerken van bovenstaande gegevens valt onder de wettelijke grondslag gerechtvaardigd belang.

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Privacy reglement Geluk in werken

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement Financieel Bureau Brabant

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

FUND GOVERNANCE MONOLITH N.V.

Kaderregeling Administratieve Organisatie en Interne Controle Forensische Zorg

Klachten regeling. Inhoud

verantwoordelijke: de Algemeen directeur/bestuurder van het CVD

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

Reglement cameratoezicht

Dit is het privacybeleid van Easy Fit B.V., gevestigd aan Faradaystraat 11, 2014 EN in Haarlem (hierna: Easy Fit, Easy in Shape, we, wij of ons ).

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Privacyverklaring Time to Shine Versie: maart 2019

Reglement Bestuur HOOFDSTUK 1 ALGEMEEN

Handleiding vragenlijst zelfevaluatie Registratie Niet-Ingezetenen 2016

Privacyverklaring Studio Cremers Versie: maart 2019

Implementatie administratieve organisatie en interne controle.

Klokkenluiderregeling van Stichting Pensioenfonds Ecolab

Verbeterplan Suwinet

Privacyverklaring Simone Bosters Versie: maart 2019

Privacy reglement. Birtick Zorg & Welzijn

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

Gedragscode Bescherming Persoonsgegevens

1 Juridisch kader BESLUIT

Privacyverklaring Jouw Boekhoudcoach

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV

Kwaliteitsdocument. Privacy Statement

Autoriteit Consument & Markt

BESLUIT. Juridisch kader

Beleid Informatiebeveiliging InfinitCare

Pagina 1/13. Openbaar Besluit. Ons kenmerk: ACM/DC/2015/ Zaaknummer:

Transcriptie:

Bijlage 5: Invulformat AO/IC Nr. Aspect Aanlevering van de beschrijving van de AO/IC Toetsingscriteria Voldoet de beschreven opzet van de AO/1C aan de toetsings criteria [J/All? De aanvrager vult onderstaande kolommen in Opzet AO/IC Indien [N]: Geef een bondige beschrijving van de opzet AO/IC en de tekortkomingen Implementatie AO/IC Voldoet de implementatie van de AO/IC aan de toetsingscriteria [J/AI] Indien [N]: Geef een bondige beschrijving van de geimplementeer de AO/IC en de tekortkomingen. De beschreven en geimplementeerde opzet van de AO/IC van de aanvrager dient op het moment van de aanvraag te voldoen aan de toetsingscriteria. In bepaalde gevallen is het mogelijk dat de beschreven opzet van de AO/IC nog niet geimplementeerd is op het moment van de aanvraag. In dat geval vult de aanvrager de onderstaande kolommen in Implementatieplan Wanneer nog niet wordt voldaan aan de toetsingscriteria op het moment van aanvraag, beschrijft de aanvrager hoe on wanneer deze toetsingscriteria (alsnog) gelmplementeerd zullen worden. Hoe Wanneer 1. Wet- en regelgeving De energieleverancier dient to voldoen aan de geldende wet- en regelgeving. Een beschrijving van de interne beheersmaatregelen in organisatie van de energieleverancier waarmee gewaarborgd wordt dat aan de van toepassing zijnde wet- en regelgeving kan worden voldaan. De door de energieleverancier opgestelde normen voldoen aan de wet- en regelgeving Interne beheersmaatregelen dienen te waarborgen dat te alien tijde wordt voldaan aan de van toepassing zijnde (branche specifieke) wet- en regelgeving. Medewerkers kennen de weten regelgeving die, afhankelijk van hun functie, relevant is en de instanties die toezicht houden. 2. Integer handelen De genoemde beheersmaatregelen kunnen teniet gedaan worden door `niet integer (non-conform)' handelen van organisatieleden. De Een beschrijving van ten minste de volgende onderdelen: a. Organisatiecultuur; b. Gedragscode; c. Voorkomen van schade in het vertrouwen dat clienten hebben in de leverancier. Er is een gedragscode opgesteld die geldt voor alle medewerkers (inclusief directie, management en ingehuurde derden) van de energieleverancier. Deze gedragscode behandelt tenminste de volgende Bijlage bij Besluit van 13 januari 2015 met kenmerk ACM/DC/2014/206603 Bijlage 5/1

organisatie kan op papier juist werken, maar als voorschriften niet worden nageleefd, en (controle technische) 'checks and balances' omzeild worden, dan kan dit alsnog nonconforme outpuvprestaties tot gevolg hebben. Het is de primaire verantwoordelijkheid van elke bestuurder/manager/werkne mer, bij een energieleverancier om integer te handelen. onderwerpen: a. Integer handelen; b. De wijze waarop het management het goede voorbeeld geeft; c. Aanspreekbaarheid van directie en management door medewerkers; d. De wijze waarop de energieleverancier omgaat met klanten; Bij de energieleverancier is de rol van compliance officer ingesteld, niet zijnde de hoogste leidinggevende; Dit aspect is deels ingevuld aan de hand van de publicatie "Accountants en Toon aan de Top" van de Nederlandse Beroepsorganisatie van Accountants (NBA). Hierbij is uitgegaan van de drie voorwaarden: 1. Walk the talk: beleving van voorbeeldgedrag van bestuurders; 2. Zichtbaarheid: voorbeeldgedrag bestuur is zichtbaar; 3. Open cultuur en vertrouwen: ruimte voor het bespreekbaar maken van dilemma's en of de top open staat voor kritiek. In de organisatie is sprake van periodiek overleg, waarbij bestuurders aandacht vragen voor de thema's integer handelen en dilemma's. Dit thema maakt onderdeel uit van gesprekken met nieuw personeel en/of inhuurkrachten. 3. Controle technische Een beschrijving van de opzet Er bestaat adequate functiescheiding van de administratieve organisatie en interne controletechnische functiescheiding tussen Al naar gelang de omvang beheersing van de belangrijkste inkoop, verkoop, betaling en van de energieleverancier dienen verschillende processen (inkoop, verkoop, betaling en administratie) van de administratie. personen bevoegd te zijn te energieleverancier. Passend naar de omvang van beschikken, registreren en de energieleverancier worden controleren. Wanneer processen van de energieleverancier geheel en/of secundaire functiescheidingen aangebracht: er bestaat Bijlage 5/2

gedeeltelijk zijn uitbesteed dan is dit in de beschrijving van de opzet van de administratieve organisatie en inteme beheersing meegenomen. functiescheiding binnen de processen inkoop, verkoop, betaling en administratie (hierbij zijn verschillende functionarissen verantwoordelijk voor beschikken, registreren, bewaren, uitvoeren en controleren). 4. Beheersing Een beschrijving van de Het proces 'Verkoop' bevat bedrijfsprocessen (waaronder belangrijkste bedrijfsprocessen, de aanwezige risico's binnen tenminste de volgende interne beheersmaatregelen: risicobeheersing) deze processen en de wijzewaarop deze risico's door a. Verkooptarieven worden vastgesteld door het De energieleverancier de energieleverancier worden bestuur van de verschaft inzicht in beheerst. Tenminste de energieleverancier; bedrijfsprocessen en de volgende hoofd processen zijn b. Afwijkende samenhang met hierna beschreven: verkooptarieven worden benoemde a. Verkoop; goedgekeurd door de verbandscontrole, controles b. Inkoop directie/het bestuur van op informatie en normen. c. Liquiditeitsbeheer; en de energieleverancier; Tevens geeft de energieleverancier een d. Klachtenbeheer. c. Offertes, contracten en verkoopfacturen worden beschrijving van de Bij de beschrijving van de doorlopend genummerd; voornaamste risico's hoofdprocessen zijn tenminste d. Er zijn duidelijke normen waarmee zij wordt de volgende sub-processen voor: 1) het bepalen van geconfronteerd en heeft de beschreven: voorschotten; 2) de energieleverancier een a. Facturatie (waaronder het periode waarbinnen de beschreven methodiek om proces voor het opstellen van (eind) afrekeningen aan deze risico's to beheersen. voorschotnota's en jaar- en eindafrekeningen); b. Meetgegevens processen (het verloop van het berichtenverkeer); en c. Debiteurenbeheer (waaronder de klanten worden verstrekt; en 3) de periode waarbinnen de uitbetaling van verschuldigde bedragen aan klanten plaatsvindt; de incassoprocedures en het incassobeheer). e. Voorschotfacturen en afrekeningen worden steekproefsgewijs gecontroleerd (er bestaat functiescheiding tussen het opstellen en controleren van voorschotfacturen en afrekeningen). Het proces 'Inkoop' bevat tenminste de volgende interne Bijlage 5/3

beheersmaatregelen: f. Er is een geformaliseerd risicobeheersingsproces om het prijsrisico op de vaste prijs portefeuille tot een aanvaardbaar niveau te beperken (er dient een norm te zijn voor de maximale 'risk exposure' van de energieleverancier); g. Het risicobeheersingsproces wordt periodiek gemonitord (teneinde vast te stellen of de 'risk exposure' binnen de onder punt f vastgestelde bandbreedte valt); h. Voorschot- en correctiefacturen betreffende de inkoop van energie worden zichtbaar gecontroleerd (op hoeveelheden en prijzen). Het proces 'Liquiditeitsbeheer' bevat tenminste de volgende interne beheersmaatregelen: i. Minimaal een keer per maand worden liquiditeitsprognoses door de energieleverancier opgesteld (financieringsbehoeften worden hierdoor tijdig getdentificeerd). Het proces 'Klachtenbeheer' bevat tenminste de volgende interne beheersmaatregelen: j. Klachten worden volledig geregistreerd in het klachtenregister en zijn per individuele registratie opvraagbaar (oak achteraf na afhandeling van de klacht, gedurende Bijlage 5/4

5. Controle op informatie, verbandscontrole Periodiek legt de energieleverancier in ieder geval een sluitend verband tussen ingekochte hoeveelheden energie en de daaruit voortvloeiende inkoopbedragen enerzijds en verkochte hoeveelheden energie en de daaruit voortvloeiende verkoopbedragen anderzijds. De verbandscontrole bestaat Een beschrijving van de energiebalans en het proces van verbandscontrole, waarbij zowel voor elektriciteit als voor gas is aangegeven hoe de leverancier omgaat met allocatie en reconciliatie. De registers zijn tevens zichtbaar verwerkt in de aangeleverde procesbeschrijvingen, zoals vermeld onder aspect vier. een passende termijn); k. Er is een duidelijke norm voor de periode waarbinnen klachten moeten worden afgehandeld. Wanneer de energieleverancier processen geheel en/of gedeeltelijk uitbesteedt, heeft de energieleverancier tenminste de volgende interne beheersmaatregelen gemplementeerd: I. Service level agreements (SLA) tussen ondernemer en leveranciers zijn aanwezig; m. In de SLA dient aandacht to worden besteed aan de hiervoor beschreven interne beheersmaatregelen (onder punt a t/m I) en de continditeit van de dienstverlening door leveranciers. n. De ondernemer controleert periodiek of de bepalingen in de SLA worden nageleefd. Zie aspect vier, punt f en g voor de minimumnormen voor de energiebalans. Maandelijks controleert de energieleverancier of de ingekochte energie overeenkomt met de verkochte n energie, zowel in volume als in bedrag (het opstellen en het controleren van dit verband wordt door verschillende functionarissen uitgevoerd). Bijlage 5/5

uit totalen en is herleidbaar per afnemer. 6. Controle op informatie, registers De administratie houdt een contractenregister bij waarin alle inkoopcontracten en alle verkoopcontracten zijn opgenomen. Tevens worden er registers bijgehouden van de belangrijkste processen, bijvoorbeeld onderhanden klachten en lopende incasso-trajecten. Een beschrijving van tenminste de volgende registers: a. Contractenregister verkoop; b. Contractenregister inkoop; c. Klachtenregister. De registers zijn tevens zichtbaar verwerkt in de aange/everde procesbeschrijvingen, zoals vermeld onder aspect vier. Bij levering van duurzame energie controleert de energieleverancier maandelijks of de geleverde hoeveelheden duurzame energie per product overeenkomt met een tijdige afboeking van de hiervoor ingekochte garanties van oorsprong. De registers zijn afgeschermd, zodat ongeautoriseerde gebruikers geen toegang hebben tot de registers; Procedures waarborgen dat de registers volledig zijn en opvraagbaar zijn per individuele registratie; Invoercontroles waarborgen de juist- en volledigheid van ingevoerde gegevens. 7. Beveiliging De energieleverancier heeft een methodiek om de continuileit van gegevensverwerking to waarborgen. Daaronder vallen bijvoorbeeld maatregelen om verlies van originele contracten, klachten en elektronische data te voorkomen. Een beschrijving van de wijze waarop de aanvrager de continutteit van gegevensverwerking waarborgt tegen brand, diefstal, cybercrime en fraude. Met specifieke aandacht voor het voorkomen van het verlies van gegevens, het in staat zijn gegevens terug te halen en een functionele en technische scheiding in toegang tot de gegevens. Er is functiescheiding tussen de gebruikers- en de beheerorganisatie en de systeemontwikkeling (dit ter voorkoming van niet geautoriseerde wijzigingen in de automatisering); Applicaties en data zijn afgeschermd door middel van logische toegangsbeveiliging. Dit is erop gericht ongeautoriseerde toegang tot applicaties en data te voorkomen (de functiescheiding zoals beschreven in de AO/IC zijn via autorisaties vastgelegd in de applicaties). Hierbij zijn er procedures voor het beheer van gebruikersrechten (het toekennen, wijzigen en Bijlage 5/6

intrekken van gebruikersrechten dient gecontroleerd plaats te vinden); Alle mutaties worden gelogd, zodat achteraf is vast te stellen wie welke mutaties heeft aangebracht. Back-up procedures, om te voorkomen dat elektronische data en originele contracten verloren gaan, zijn aanwezig; Recovery procedures, om back-up systemen te starten, zijn aanwezig (en worden periodiek getest); Externe toegang tot systemen (door exteme en inteme onbevoegden) is afgeschermd. Bijlage 5/7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback