IT Assurance

Besteedt u (delen van) uw bedrijfsfuncties, processen en/of activiteiten uit aan specialisten? Als leverancier van deze diensten wilt u uw klanten de zekerheid geven dat deze dienstverlening bij u in goede handen is. U wilt aantonen dat uw processen op orde zijn, kwaliteit gewaarborgd is en risico’s worden beheerst.

Mogelijkheden om dit te doen zijn:

Toon aan dat u in control bent

BDO helpt u graag met het afgeven van een assurance-rapportage.
We rapporteren onafhankelijk en objectief over uw beheersingsomgeving. 

Toon onder andere:

  • Vertrouwelijkheid
  • Beschikbaarheid
  • Integere verwerking van gegevens in uw systemen

aan en laat zo zien dat u in control bent.

stel uw vraag

 

BDO’s auditproces en raamwerk

De algemene stappen voor het komen tot een SOC-rapportage volgen de reguliere auditaanpak. Zij kunnen echter verschillen naar aanleiding van de huidige beheersingsomgeving van een serviceorganisatie. Een assuranceopdracht bestaat uit de volgende fases en activiteiten:

Ons raamwerk, dat ontwikkeld is om een effectieve aanpak voor het uitvoeren van audits te leveren, zal:

  • minder tijd vergen van u gedurende het auditproces;
  • een rapport leveren dat voldoet aan de vereisten van uw klanten, hun accountants en andere regelgevende instanties;
  • leiden tot waarnemingen die uw interne beheersingsmaatregelen en operationele effectiviteit verbeteren.

Tevreden klanten

We hebben ruime ervaring in IT assurance met een reeks aan succesvol afgeronde assurance opdrachten. Neem gerust contact op als u wilt weten of we ook ervaring hebben in uw branche. Een greep uit reacties van onze klanten:

“Vanzelfsprekend vonden wij al jaren dat we ‘in control’ waren, maar de scherpe en kritische blik van BDO helpt ons onze dienstverlening naar onze klanten nog verder te professionaliseren. Bij BDO gaan scherpte en een kritische blik bovendien niet ten koste van het vermogen om met ons mee te denken”

“Ik ervaar BDO als een professionele, pragmatische en flexibele partner in het verder realiseren en borgen van de kwaliteitsverbetering binnen onze organisatie"

ISAE 3402 (SOC1)

Bij het uitbesteden van diensten die te maken hebben met financiële transactieverwerking en daarmee voor een accountant van belang zijn in het kader van de jaarrekeningcontrole, kan de desbetreffende serviceorganisatie middels een ISAE 3402 (ofwel SOC1) rapportage informatie en zekerheid verschaffen over interne beheersingsmaatregelen.

Lees meer

 

ISAE 3000

Bij het uitbesteden van diensten die niet te maken hebben met financiële transactieverwerking, kan de desbetreffende serviceorganisatie middels een ISAE 3000-rapportage informatie en zekerheid verschaffen over interne beheersingsmaatregelen. Mogelijke onderwerpen in een ISAE 3000-rapportage zijn:

  • Ontwikkeling software
  • Change management
  • Service level management
  • Toegangsbeveiliging
  • Projectmanagement
  • Informatiebeveiliging

Tevens worden diverse markt en product specifieke rapportages uitgebracht onder de 3000-richtlijn. Voorbeelden hiervan zijn DigiD-audits, audits op Prestatie Meet Systemen, subsidieaudits, Horizontaal Toezicht en softwarecertificeringen.

Lees meer

 

SOC2 – SOC3

Bij het uitbesteden van IT-processen kan de desbetreffende serviceorganisatie middels
een SOC 2 en/of SOC 3 rapportage zekerheid verschaffen over interne beheersingsmaatregelen. Een SOC 2 en/of SOC 3rapportage biedt inzicht in één of meerdere van de volgende onderwerpen:

  • Security (beveiliging)
  • Availability (beschikbaarheid)
  • Confidentiality (vertrouwelijkheid)
  • Processing Integrity (integere gegevensverwerking)
  • Privacy (geheimhouding)

Een SOC 2-rapportage is bedoeld voor een beperkte verspreidingskring. Dit betekent dat het rapport bedoeld is voor uw klanten, eventueel hun accountants en andere belanghebbenden, zoals security officers van uw klanten. Wilt u rapporteren aan een bredere verspreidingskring? Dan is het SOC 3 rapport een passende oplossing. Deze ‘beknopte’ vorm van het SOC 2 rapport kent een ongelimiteerde verspreidingskring, waardoor u het ook, bijvoorbeeld, op uw website mag plaatsen.

Lees meer

 

Compliance assurance

Vanuit toezichthouders komen (middels aanvullende wet- en regelgeving) steeds meer verplichtingen waarbij bedrijven aantoonbaar moeten maken dat zij compliant zijn met de vereisten. Een rechtstreeks gevolg van technologische ontwikkelingen, nieuwe toetreders en ketenintegratie. Actuele voorbeelden van dergelijke assurance-onderzoeken zijn:

  • Depositogarantiestelsel IKB assurance: Nederlandse banken moeten de spaargelden van consumenten garanderen als onderdeel van het depositogarantiestelsel. DNB verplicht banken binnen zeven werkdagen een overzicht (IKB-bestand) te genereren met alle deposito’s van een depositohouder om het gegarandeerde bedrag tijdig uit te keren. Een bank moet voldoen aan deze verplichting door te garanderen dat de administratie,  procedures en maatregelen zodanig zijn ingericht dat de bank in staat is het IKB tijdig, nauwkeurig en juist op te bouwen. Naast het aanleveren van een IKB-bestand, moet de bank jaarlijks een accountantscontrole laten uitvoeren waarin ze bovenstaande middels een ISAE 3402-rapport verklaart;
  • ENSIA: voor gemeenten is ENSIA (Eenduidige Normatiek Single Information Audit) inmiddels een bekende term. Al vanaf 2017 moeten Nederlandse gemeenten zich via deze auditsystematiek verantwoorden op het gebied van informatiebeveiliging. In  2020 is de  nieuwe Baseline Informatiebeveiliging Overheid (BIO) in werking getreden; deze heeft tevens gevolgen heeft voor ENSIA. 

Technology Assurance

Er zijn ook vormen van IT-assurance die zich niet richten op een mix van organisatie, processen, procedures en dergelijke, maar voornamelijk op de betrouwbaarheid van de techniek. Voorbeelden hiervan zijn onder meer:

  • Kunstmatige intelligentie en algoritmes. Deze technologische ontwikkelingen zijn tegenwoordig niet meer weg te denken. De toekomst biedt veel mogelijkheden, maar tegelijkertijd ook uitdagingen voor bedrijven die de toepasbaarheid op een beheersbare manier willen uitvoeren. Vanuit het maatschappelijk verkeer neemt de vraag toe om meer transparantie en zekerheid rondom de beheersing en digitale besluitvorming van deze algoritmes. Zowel de politiek als de toezichthouders mengen zich in dit speelveld door de discussie op gang te brengen waar een algoritme aan moet voldoen (betrouwbaarheid, ethiek);
  • Blockchain, smart contracts en distributed ledgers. Deze technologieën hebben alles in zich om een digitale disruptie te ontketenen in vrijwel alle industrieën. Hoewel het gebruik van blockchaintechnologie kansen creëert voor organisaties, brengt het ook nieuwe risico’s met zich mee. Hierdoor worstelen organisaties met het maken van een weloverwogen keuze voor blockchaintoepassingen. Een belangrijk aspect bij deze keuze zijn de (potentiële) IT-risico’s en de maatregelen die organisaties kunnen treffen om deze risico’s te mitigeren. 

Supplier Security & Privacy Assurance (SSPA)

Adequate privacy- en beveiligingsprocessen en governance vormen de basis van vertrouwen. Microsoft’s Supplier Security and Privacy Assurance (SSPA) initiatief is ontworpen om de verwerking van gevoelige informatie op wereldwijde schaal te standaardiseren en te versterken. SSPA is van toepassing op alle leveranciers die persoonsgegevens en/of vertrouwelijke gegevens van of voor Microsoft verwerken. Microsoft kan haar leveranciers vragen om een onafhankelijke audit uit te laten voeren op de persoonsgegevens en/of vertrouwelijke gegevens die uw organisatie verwerkt namens Microsoft. Hiervoor hanteert Microsoft de Data Protection Requirements. Als ‘Microsoft Preferred Assessor’ kan BDO huidige en toekomstige Microsoft-leveranciers helpen bij het voldoen aan de vereisten van het SSPA-programma bij het sluiten of verlengen van contracten. Door onze samenwerking met het Microsoft SSPA-team is ons team van professionals uitgerust om klanten te begeleiden tijdens elke fase van het compliance proces. Wij zijn vertrouwd partner van Microsoft en zijn hierdoor op de hoogte van (aankomende) programma-updates.

Ons aanbod

BDO kan u helpen met het afgeven van een assurance-rapportage. Wij kunnen onafhankelijk en objectief rapporteren over uw beheersingsomgeving en de ingerichte interne beheersingsmaatregelen, waarmee u aan uw klanten en andere betrokkenen kunt aantonen ‘in control’ te zijn. Middels een assurance-rapportage kunt u voorzien in de behoeften van uw gebruikers. Denk hierbij onder andere aan de vertrouwelijkheid, beschikbaarheid en de integere verwerking van gegevens in uw systemen.

Stel uw vraag

Heeft u vragen? Bent u benieuwd naar hoe BDO u kan helpen? Neem voor meer informatie, of voor een vrijblijvende kennismaking, contact op met een van onze specialisten via onderstaand formulier. Of neem telefonisch contact op via (040) 269 81 11.

Marco

Marco Francken

Partner IT Risk Assurance | BDO Digital
View Bio
Jeroen

Jeroen van Schajik

Partner IT Risk Assurance | BDO Digital
View Bio
.

Casper Hermans

Partner IT Risk Assurance | BDO Digital
View Bio