Technology Risk

Wij helpen organisaties om hun cyberweerbaarheid te vergroten en borgen en te voldoen aan continu ontwikkelende wet- en regelgeving. Terwijl cyberdreigingen in frequentie en complexiteit toenemen, staan organisaties onder extra druk door opkomende cyberregelgeving (o.a. NIS2 en DORA). Daarnaast eisen zakelijke partners en klanten in toenemende mate dat moet worden voldaan aan bepaalde cyberkaders en -normen, zoals ISO 27k, SOC2 en TISAX. Wij helpen organisaties bij:

• Het uitvoeren van cyberrisico-beoordelingen
• Het inrichten van cybercontrol-frameworks
• Het meten van de effectiviteit van cyber-beheersmaatregelen.

Hierbij kunt u denken aan cyber-risicomanagement, beveiligingsbewustzijn, veilige toegang, veilige technologie, veilige derde partijen en cyberincident management.

Wij verzorgen ook diverse beoordelingen van cybersecurity, waaronder ISO-certificeringen en cyber-assurance rapportages.
 

IT en IV Directeuren en CIO’s weten vaak wel hoe IT/IV beheerst moet worden, maar met de komst van DORA en NIS2 wordt ook van bestuurders en commissarissen gevraagd om hierop toe te zien en bij te sturen.

Het wordt daarom in toenemende mate belangrijk om goed te rapporteren aan de RvB en RvC/RvT. In de praktijk ontbreekt het echter nog regelmatig aan complete informatievoorziening over alle onderdelen van de brede IT-beheersing.

Wij helpen organisaties bij de vertaling van strategie naar IT-strategie, naar KPI’s en KRI’s via de lijn op alle onderwerpen die benodigd zijn voor een adequate IT-beheersing. Onder andere door het opstellen van een IT-verslag, op basis van de IDRS (International Digital Reporting Standards).
 

Het ontwrichtende potentieel en het snelle innovatietempo van Artificial Intelligence-technologie, vraagt dat we ons snel aanpassen. Hoewel een snelle implementatie vereist is, moeten bedrijven ervoor zorgen dat ze AI op verantwoorde wijze implementeren en de bijbehorende risico's begrijpen en beperken. Wij kunnen bedrijven helpen bij het begrijpen van AI-risico's, met inbegrip van relevante wettelijke vereisten (zoals de EU AI Act) en kan uw bedrijf helpen bij het implementeren van de juiste controles zonder in te leveren op snelheid.
 

In het kader van de CSRD en ISSA5000 is vastgesteld dat er een duidelijke behoefte bestaat aan een robuust rapportagekader dat de betrouwbaarheid van gegevens garandeert en greenwashing en dubbeltellingen moet voorkomen. Technologie zou hierin een belangrijke rol moeten spelen om de juistheid en volledigheid van duurzaamheidsrapportages te waarborgen.

In de praktijk ontbreekt vaak nog het overzicht van welke datapunten relevant zijn voor duurzaamheidsverslaglegging en is er beperkte implementatie van technische oplossingen voor het vastleggen en rapporteren van duurzaamheidsdata binnen de IT-omgeving. In veel gevallen worden adhoc oplossingen zoals Microsoft Excel of BI-rapportages toegepast.

Daarnaast is de volwassenheid van IT risk en control frameworks beperkt. Gelet op de toekomstige wijziging van beperkte mate van zekerheid naar redelijke mate van zekerheid, wordt het belangrijk voor bedrijven om hierop voorbereid te zijn.

Wij helpen organisaties bij het in kaart brengen van de IT-omgeving, inclusief de IT-risico’s en IT-controls op het gebied van ESG. Wij geven concreet advies over hoe de IT-omgeving te verbeteren, inclusief welke investeringen hiervoor benodigd zijn. Wij zijn gespecialiseerd in het vaststellen van de juistheid en volledigheid van duurzaamheidsrapportages en beschikken over de kennis om de volwassenheid van uw IT risk en control framework te verbeteren.
 

Attestation

In een dynamische omgeving met steeds hogere eisen aan transparantie, vertrouwen en verantwoording, is het voor organisaties cruciaal om te kunnen aantonen dat zij hun interne controleomgeving op orde hebben. De Attestationdiensten van EY bieden hier uitkomst. Of het nu gaat om System Organization Control Reporting (SOCR), ISAE-rapportages, financiële processen, privacy, (cyber)security, beschikbaarheid van diensten of ketenbeheersing, met de juiste rapportage creëert u vertrouwen bij (potentiële) klanten, investeerders en toezichthouders.

“SOC Rapportages zijn het visitekaartje van uw organisatie. De kwaliteit van het rapport bepaalt het vertrouwen van uw cliënten in uw organisatie in een dynamische wereld!’’
 

Waarom SOC Reporting?

Kiezen voor SOC-rapportages is cruciaal om vertrouwen en transparantie te borgen. Met een SOC-rapportage toont u aan dat uw interne controles en processen voldoen aan internationale normen en regels, zodat u niet voor elke klant of toezichthouder afzonderlijk een audit of due diligence hoeft te doorlopen. Hierdoor voorkomt u meerdere, vaak overlappende controles en vermijdt u herhaalde informatieverzoeken, wat de administratieve last aanzienlijk verlaagt en interne verstoringen minimaliseert. Wij ondersteunen en begeleiden u vanuit onze diepgaande expertise bij alle activiteiten die nodig zijn om de rapportage tot stand te brengen en biedt inzicht in verbeterpunten, zodat u continu kunt optimaliseren en een concurrentievoordeel kan behalen—vooral bij opdrachtgevers die een onafhankelijk Assurance-rapport vereisen.
 

Volledige ondersteuning en toesting van SOC-rapportages

• SOC 1 (ISAE 3402): toetsing van controls die direct verband houden met financiële verslaglegging, om het vertrouwen te vergroten bij klanten en hun externe auditors.
• SOC 2/3 (ISAE 3000): gericht op de controls rondom beveiliging, vertrouwelijkheid, beschikbaarheid, privacy en de integriteit van verwerkingen.
• SOC for Cybersecurity: inzicht in de effectiviteit van het cybersecurity-risicomanagementprogramma, met een onafhankelijk oordeel over de enterprise-wide beveiligingsmaatregelen.
• SOC for Supply Chain: transparantie en zekerheid over de processen en controles in de keten, van productie tot distributie van goederen.
   

Aanvullende Attestation diensten

• Pre-assessment: Wij voeren een onafhankelijke toetsing uit van uw bestaande interne processen en controles, zonder formeel Assurance-rapport, met als doel u inzicht te geven in de mate van gereedheid en mogelijke verbeterpunten. Dit is een ideale voorbereiding de formele toetsing, zoals bij een SOC-rapport.
• Agreed Upon Procedures (AUP): hierbij worden specifieke controles of procedures uitgevoerd die zijn afgestemd tussen de organisatie en de beoogde rapportgebruiker(s). Dit leidt tot objectieve, feitelijke bevindingen die onafhankelijk worden gerapporteerd.
• Third-party Reporting: biedt de mogelijkheid om niet-financiële informatie te toetsen (bijvoorbeeld rondom duurzaamheid of privacy). Wij kunnen zowel de controleprocedures uitvoeren als ondersteuning en training bieden voor de inrichting en uitvoering van deze standaard.
   

Met onze wereldwijde expertise en jarenlange ervaring in technologie, financiële dienstverlening en andere sectoren helpen wij organisaties bij het opzetten, beoordelen en rapporteren van interne beheersmaatregelen. Zo zorgen we samen voor een stevig fundament aan vertrouwen en voldoen we aan de continu veranderende eisen van de markt en toezichthouders.
 

Geïntegreerde aanpak voor Attestation & Certification

Binnen EY werken onze Attestation specialisten nauw samen met de certificeringsdeskundigen van EY CertifyPoint. Zo kunnen we alle benodigde audits, controles en certificeringen in één geïntegreerde aanpak aanbieden, waardoor de audit footprint voor uw organisatie aanzienlijk wordt gereduceerd. Dit bespaart tijd en kosten, en geeft u één duidelijk overzicht van uw totale controle omgeving, inclusief eventuele ISO-certificeringen en aanvullende rapportages.