+31 (0)6 50 277 344 info@triplea-security.org

Compliance

& Audits

Wat is compliance en auditing?

Onder compliance vallen alle activiteiten die ervoor zorgdragen dat uw organisatie voldoet aan een bepaalde (inter)nationale norm (bijv. ISO 27001 / ISO 22301) of wet- en regelgeving.   

Auditing is het verifiëren van alle door uw organisatie genomen maatregelen op hun opzet, bestaan en (effectieve) werking. Een audit wordt uitgevoerd door een onafhankelijke partij met als referentie de norm waartegen u geverifieerd wenst te worden.

Een audit kan op uw verzoek worden uitgevoerd op (een onderdeel van)  uw eigen organisatie of op bijv. een voor uw organisatie belangrijke toeleverancier.  Een audit kan eenmalig worden uitgevoerd of periodiek en heeft als doel objectieve inzage te geven in het correct naleven van het interne beleid en/of contractuele afspraken.

Een audit heeft meerwaarde voor uw organisatie als diegene die de audit uitvoert (de auditor) kennis van zaken heeft van zowel de norm (het theoretisch referentiekader) als de praktische toepassing van deze norm (ervaring, industry best practices).  

Het doel van
compliance en auditing

  1. Onafhankelijk onderzoek of  de organisatie in scope voldoet aan  het eigen intern beleid of dat gemaakte afspraken tussen twee partijen correct worden nagekomen.
  2. Met een onafhankelijke audit toont u aan belanghebbende aan dat u voldoet aan de vereiste norm en/of wet- en regelgeving.
  3. Interne audits zijn een verplichte activiteit van ISO normen zoals de ISO 27001 en ISO 22301. Zij detecteren tijdig afwijkingen t.o.v. de norm.

-Verhoog uw weerbaarheid-

Waarom is compliance en auditing voor uw organisatie van belang?

Uw onderneming heeft diverse procedurele en technische maatregelen ingevoerd om tegemoet te komen aan de wensen en eisen van diverse interne en externe belanghebbenden. Zo stelt de overheid eisen aan uw onderneming middels het opleggen van wet- en regelgeving. Klanten, maar ook bijvoorbeeld investeerders en verzekeringsmaatschappijen stellen eisen middels contractuele afspraken. Echter al deze belanghebbenden eisen ook een mate van zekerheid te ontvangen aangaande het opvolgen en invullen van deze eisen aan uw zijde. Dit kunt u aantonen door het overhandigen van de resultaten van een onafhankelijke audit.

Door tijdig en regelmatig een audit uit te laten voeren detecteert u tijdig  tekortkomingen en witte velden in het geheel van genomen maatregelen, houdt u uw organisatie scherp en krijgt u inzicht in potentiële risico’s.

Voordelen van een goed compliance beleid en het regelmatig uitvoeren van audits

Het detecteert tijdig tekortkomingen – Uw onderneming is continue in beweging waardoor bepaalde taken over het hoofd worden gezien en in de loop van de tijd anders worden uitgevoerd dan wat verwacht of vereist wordt. Uw mensen worden “blind” voor bepaalde zaken. Onze auditors kijken met een professionele blik naar uw organisatie, de wijze waarop taken en maatregelen worden toegepast en naar risico’s die uw organisatie loopt.

Externe ogen dwingen – Hoe vreemd het ook klinkt maar meestal worden de resultaten van een externe auditor serieuzer genomen dan de bevindingen van een interne medewerk(st)er. Een audit kan dus worden ingezet om de “sense of urgency” van de situatie onder ogen te brengen bij het management.

Groeien in volwassenheid

Het aanwijzen van de juiste professional voor het begeleiden en uitvoeren van uw audits draagt zowel bij aan de kwaliteit van de uitvoering van de audit als voor de resultaten om een stap te maken in volwassenheid.

Ondersteunt besluiten aangaande toekomstige samenwerkingsverbanden – “Bezint eer ge begint” geldt ook voor cruciale zakelijke samenwerkingsverbanden of overnames die uw organisatie wenst aan te gaan.  Door vooraf een onafhankelijke audit uit te laten voeren op de organisatie van de partij waar u een samenwerking mee wenst aan te gaan krijgt u inzicht in de volwassenheid van deze partij. De resultaten van de audit kunnen dan gebruikt worden voor de onderbouwing van de keuze om wel of niet verder te gaan of om specifieke afspraken te maken over vereiste verbeteringen.

Het geeft vertrouwen aan uw klanten en partners – De resultaten van een onafhankelijke audit kunt u gebruiken om richting uw klanten en partners aan te tonen dat u de gemaakte afspraken nakomt en een betrouwbare leverancier of partner bent.

U voorkomt dat u meerdermalen zelf ge-audit wordt – Om te voorkomen dat al uw klanten of partners allemaal verschillende auditors op uw organisatie afsturen kunt u zelf een onafhankelijke audit laten uitvoeren en de resultaten delen met uw klanten en partners. Hierdoor vermindert u drastisch de druk op uw organisatie.

Concurrentie voordeel – Alle bovengenoemde voordelen helpen mee bij aan het versterken van uw reputatie, uw concurrentiepositie, de groei van uw onderneming en eventueel het versterken van uw positie in de markt. Kijk hier wat we voor u kunnen betekenen.

Een audit is een spiegel die de feiten objectief weergeeft

vertrouwen is goed, controle is beter

-Weet waar u staat-

Belangrijke aandachtspunten met betrekking tot compliance en audits

Bij het ontwikkelen en implementeren van uw compliance en audit strategie dient u rekening te houden met de volgende aspecten:

Aan welke eisen moet uw organisatie voldoen?

Weet welke eisen er allemaal aan uw organisatie gesteld worden en door wie! Welke wet- en regelgeving en contractuele verplichtingen rusten er op uw organisatie aangaande het aantoonbaar maken aan derde partijen van het nakomen van afspraken. Ga tevens na of er afspraken zijn gemaakt OF en HOE uw organisatie dient te bewijzen dat het de gemaakte afspraken ook naleeft.

Zorg dat de auditor onafhankelijk is en kennis van zaken heeft

Daar een audit zekerheid moet geven over de naleving van eisen en afspraken worden er ook hoge eisen gesteld aan de auditor(s). Deze dienen onafhankelijk te zijn en dienen kennis van zaken te hebben aangaande de scope van de audit en de norm of wet die als referentie dient.

Wissel regelmatig van auditor

Wissel regelmatig van auditor zodat de uitgevoerde audit objectief blijft en er weer eens met een nieuwe frisse blik naar uw organisatie wordt gekeken.

Zorg dat documentatie up-to-date en beschikbaar is

Het aantoonbaar maken van naleving van afspraken en eisen start met het aanleveren van documentatie als eerste bewijsvoering. De auditor zal daar ook het eerste naar vragen. Zorg dat uw documentatie beschikbaar en up-to-date is en dat uw mensen bekend zijn met de inhoud van de documentatie.

Zorg voor de juiste afspraken met uw leveranciers en toets regelmatig de naleving ervan

Zorg dat ook u de juiste afspraken maakt met uw leveranciers en bedrijfspartners. Tegenwoordig is het standaard dat het “recht van toetsen en auditen” is opgenomen in een contract tussen beide partijen. Maak hier dan ook gebruik van door inderdaad de organisatie van uw leverancier aan de tand te laten voelen aangaande het nakomen van afspraken. Vooral als het u niet alleen gaat om het eindproduct maar ook om de wijze waarop het tot stand is gekomen. Enkele onderwerpen die van belang kunnen zijn om te laten toetsen zijn het beveiligen / omgaan met uw data door uw leverancier en bedrijfspartner en hoe heeft de andere partij de continuïteit geborgd van de dienstverlening aan uw organisatie.

-De mogelijkheden-

Dit kunnen wij voor u betekenen op het gebied van audits

In onderstaande tabel geven wij enkele mogelijkheden die u hopelijk inspiratie geven en leiden tot een nadere kennismaking met onze dienstverlening binnen het gebied van auditing.

Uw wens

Onze toegevoegde waarde

U wilt uw interne organisatie toetsen op naleving van het interne beleid?

Optie 1: Wij kunnen het referentiekader uitwerken waar tegen uw organisatie getoetst wordt.

Optie 2: Wij bereiden en voeren de gehele audit voor u uit. U ontvangt van ons een helder rapport met constateringen, conclusies en aanbevelingen.

U wilt een verklaring van een onafhankelijke partij met kennis van de zaken die u wenst voor te leggen aan uw klanten?

Wij bereiden en voeren de gehele audit voor u uit. U ontvangt van ons een helder rapport met constateringen, conclusies en aanbevelingen. Indien wenselijk presenteren wij onze resultaten ook aan uw klanten.

U wenst een zakelijke relatie te toetsen op naleving van de gemaakte afspraken?

Aan de hand van het huidige contract en de doelstelling van de audit bepalen we de aanpak en het referentiekader. Wij voeren de audit uit en middels een heldere rapportage ontvangt u van ons de constateringen, conclusies en aanbevelingen.

U wenst (een mate van) zekerheid te krijgen over de volwassenheid van de organisatie van een toekomstige relatie?

Optie 1: Aan de hand van uw wensen en de doelstelling van de audit bepalen we het referentiekader en de aanpak. Wij voeren de audit uit en middels een heldere rapportage ontvangt u van ons de constateringen, conclusies en aanbevelingen.

Optie 2: Optie 1 + wij ondersteunen uw organisatie bij het opstellen van de juiste contractuele afspraken.

U wenst een ISO certificaat (ISO 27001 / ISO 22301) als organisatie te behalen?

Iedere ISO standaard vereist dat u een interne audit uitvoert op uw beleid, het management systeem en de genomen maatregelen. Wij kunnen voor u deze interne audit uitvoeren.

Relevante normen en wet- en regelgeving

In onderstaande tabel treft u enkele belangrijke normen, industry best practices en/of eventuele wet en regelgeving aan die mogelijk relevant voor uw organisatie kunnen zijn en waar Triple A Security kennis van en ervaring mee heeft. Wenst u begeleiding bij de auditering of implementatie van één van deze normen naam dan vrijblijvend contant met ons op.

ISO 22301

In de ISO 22301 norm staat beschreven hoe bedrijfscontinuïteit procesmatig ingeregeld kan worden. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden, toetsen en verbeteren van een gedocumenteerd Management Systeem. In het geval van deze norm heet dat systeem BCMS (Business Continuity Management System). Hieronder valt onder andere het periodiek uitvoeren van een risicoanalyse en business impact analyse waarmee risico’s en kritieke bedrijfsmiddelen kunnen worden bepaald.

ISO 22301

ISO 27001

In de ISO 27001 norm staat beschreven hoe informatie procesmatig beveiligd kan worden. In het geval van deze norm heet dat systeem ISMS (Information Security Management System).

ISO 27001