Onze aanpak kenmerkt zich door een aantal stappen dat we met de klant doorlopen:

1. We beginnen met een scopebepaling, veelal een onderbelicht aspect. Elementen die we tijdens de scopebepaling duidelijk maken zijn:

• De dienstverlening waarop de verklaring betrekking moet hebben;
• De doelstellingen voor interne controle, de zogenaamde control objectives;
• Keuze tussen een type I/A of type II/B verklaring;

2. De overige aspecten die de klant in het rapport wil meenemen. Aspecten kunnen zijn beheersingsstructuur, beschrijving van diensten en producten en de omschrijving van IT-systemen en IT-architectuur.
    
3. Na de scopebepaling stellen we samen met de klant vast hoe het gesteld is met de aanwezige interne beheersing. Doelstelling van deze activiteit is inzicht te krijgen in de bedrijfsprocessen en de aanwezige processtappen en identificatie van beheersingsmaatregelen.
    
4. Als de interne beheersing in kaart is gebracht, stellen wij samen met de klant de belangrijkste beheersmaatregelen (key controls) vast die moeten bijdragen aan het realiseren van de eerder genoemde doelstellingen voor interne controle.
    
5. Wanneer de noodzakelijke beheersmaatregelen bekend zijn, vergelijken wij deze met de al bestaande beheersmaatregelen. Uit deze vergelijking komt een lijst met gaten (gaps) in de interne beheersing. Over deze gaten geven wij vervolgens advies in de vorm van aanbevelingen. Bovendien zijn wij in staat om u te helpen met de implementatie van ontbrekende beheersmaatregelen of de aanpassing van bestaande beheersmaatregelen. Afhankelijk van het aantal vastgestelde gaten kunt uw organisatie keuzes maken over de timing en type de verklaring. Een type II/B verklaring kan pas zes maanden nadat een type I/A verklaring is gerealiseerd worden uitgevoerd.
    

 Vorige pagina