C.a.a.S. bestaat uit de volgende onderdelen:
1. Intake
De intake bestaat uit:
- Uw organisatie vult een vragenlijst in.
- Interviews met het management en SAP beheerders en gebruikers.
- Een documentair onderzoek naar de beveiliging en het beheer van uw SAP systeem.
- Opstellen van een verbeterplan.
Na de intake is duidelijk welke C.a.a.S. dienstverlening het beste bij uw organisatie past:
- De controles waar we direct mee kunnen starten.
- De verbetertrajecten waar uw organisatie mee aan de slag moet.
- Het groeipad dat het beste bij uw organisatie past.
2. Nulmeting
Bij de nulmeting lichten wij u SAP systeem door:
- De belangrijkste beveiligingsinstellingen en beheerprocessen.
- De autorisatie inrichtinge.
- De nulmeting is het vertrekpunt voor de periodieke controles.
- Voor de SAP instellingen en beheerprocessen die wij toereikend hebben bevonden, stellen wij Controle Programma's op.
Wij identificeren waar verbeteringen nodig zijn en leggen dit vast in het verbeterplan.
3. Verbeterplan
In het Verbeterplan staan de beveiligingsinstellingen en beheerprocessen die verbeterd zouden moeten worden om ‘in control’ te zijn.
Het Verbeterplan dat we voor u opstellen is een dynamisch plan dat op- en bijgesteld wordt op basis van:
- Onze constateringen vanuit de intake.
- Onze constateringen vanuit de nulmeting.
- Onze constateringen vanuit de periodieke controle.
- De analyse van de Key controls, wanneer blijkt dat deze niet getroffen zijn.
- De doorgevoerde verbeteringen in beveiligingsinstellingen en / of de beheerprocessen.
Het is belangrijk dat het management periodiek aandacht besteed aan het Verbeterplan en zorg draagt voor het doorvoeren van de verbeteringen.
Desgewenst kunnen we bij het doorvoeren van de verbeteringen ondersteunen.
4. Periodieke Controles
De periodieke controles worden uitgevoerd op basis van Controle Programma’s die in voorgaande fases zijn opgesteld en voor een deel standaard zijn en deels specifiek zijn ontwikkeld voor uw organisatie.
- U verstrekt ons maandelijks de vooraf gevraagde gegevens.
- Wij controleren de gegevens en bepalen de deelwaarnemingen.
- Wij vragen aanvullende informatie op, waaronder de informatie over de deelwaarnemingen.
- Wij verwerken de informatie, voeren het controle programma uit en leggen de uitgevoerde werkzaamheden vast in een digitaal dossier.
Het digitaal dossier wordt veilig opgeslagen op uw eigen vertrouwde netwerk of bij een Cloudprovider die aan strenge security eisen voldoet.
5. Rapportages
Maandelijks ontvangt u van ons een rapportage:
- Over de uitgevoerde werkzaamheden.
- De belangrijkste bevindingen.
- De aanvullende uitgevoerde werkzaamheden en daaraan verbonden kosten.
- Over de voortgang van verbeteringen waar wij bij betrokken zijn.
Wij nemen slechts contact op met het management, indien managementaandacht noodzakelijk is.
De controlerend accountant kan met ons contact opnemen en wij zorgen ervoor dat de accountant gebruik gebruik kan maken van en/of steunen op onze werkzaamheden. Wij zorgen ervoor dat het dossier voldoet aan de eisen van de accountant.
6. (Perodieke) analyses key controls
Om u beter te kunnen ondersteunen met het in control komen, zullen we op uw verzoek de Key Controls mee helpen identificeren en actualiseren:
- De Key Controls zijn de beheersmaatregelen die voor de bedrijfsprocessen van de onderneming van essentieel belang zijn.
- Samen met u bepalen we op basis van een risico analyse de relevante Key Controls.
- De Key Controls betreffen zowel maatregelen in SAP, rondom SAP, in de AO of IC.
- De Key Controls kunnen al zijn ingeregeld of nog ontbreken en moeten dan worden ingericht.
- Voor de Key Controls die zijn ingeregeld, stellen we Controle Programma’s op.
- Voor de Key Controls die niet meer relevant zijn, stoppen we met het uitvoeren van de Controle Programma’s.
- De Key Controls die nog niet zijn ingeregeld, voegen we toe aan het Verbeterplan
- De Key Controls zijn geen vervanging, maar een aanvulling op de controles die we standaard voor SAP en indien afgesproken op infrastructuur niveau hebben ingeregeld.