Digital risk management

Effectief IT-governance, risicobeheer en compliance (GRC) stellen organisaties in staat hun governance en risicomanagement te versterken, de economische waarde van hun bedrijfsvoering te verhogen, en kansen te benutten terwijl verliezen worden verminderd door middel van weloverwogen besluitvorming en ondersteunende technologische oplossingen.

Governance, risicobeheer en compliance vormen steeds weer een uitdaging voor bedrijven. Nieuwe wetgeving dwingt organisaties tot meer transparantie, objectiviteit en professionaliteit. Verhoogde aansprakelijkheid en verantwoordelijkheid zorgen ervoor dat bestuurders moeten zorgen voor naleving van de corporate governance-standaarden en het implementeren van sterke compliance­managementsystemen.

De uitdagingen voor uw organisatie en de cruciale vragen die beantwoord dienen te worden:

• Hoe kunnen risicobeheer- en compliancefuncties zich dynamisch aanpassen aan opkomende risico's en steeds complexer wordende regelgeving?
• Hoe ga ik om met het wantrouwen van stakeholders in de manier waarop we hun gegevens behandelen, en hoe kan de risicofunctie hun zorgen verminderen?
• Hoe haal ik waarde uit mijn risicobeheer- en compliancegegevens en gebruik ik deze om zakelijke beslissingen te onderbouwen?
• Hoe kan ik de mindset en cultuur binnen de organisatie aanpassen om risicomanagement in alle processen te integreren?
• Hoe kan ik de omvang van de risico’s, complianceverplichtingen en problemen waarmee mijn bedrijf wordt geconfronteerd, proactief beheren?

Bij KPMG begrijpen we hoe belangrijk het is om te bepalen hoeveel risico uw organisatie kan accepteren zonder concessies te doen aan de opbrengsten. Ons IT GRC-team helpt u bij het identificeren van risico’s, het definiëren van controleframeworks, het verbeteren van autorisatieconcepten, het selecteren van leveranciers en het implementeren van GRC- en IAM-technologieplatformen ter ondersteuning van uw risicobeheer- en complianceprocessen.

Wij ondersteunen uw bedrijf bij het opbouwen van een risicocontroleframework, gericht op het versterken van controles en het naleven van wet- en regelgeving (SOX, PSD2, GDPR, COBIT, IT SREP, enzovoort).

• Ontwerp en implementatie van algemene IT-controles
• Ontwerp en implementatie van IT-controles binnen bedrijfsprocessen
• Herontwerp van controleframeworks naar aanleiding van systeemimplementaties
• Herontwerp van controleframeworks op basis van externe regelgeving

Wij ontwerpen of herontwerpen een veilig, transparant, flexibel en onderhoudbaar autorisatieconcept voor uw organisatie.

• Beoordeling en evaluatie van beveiligingsinrichting en -processen
• Ontwerp en implementatie van processen voor gebruikers- en toegangsbeheer
• (Her)ontwerp van het autorisatieconcept

Het ondersteunen uw organisatie bij autorisatie- en beveiligingsvraagstukken tijdens ERP-transformaties.

We creëren een compliant technologisch landschap voor ERP-transformaties en verbetertrajecten.

• Opsporen en beperken van procesrisico’s tijdens ERP-transformaties en verbetertrajecten
• Verbeteren van de risicobereidheid en compliance binnen bedrijfsprocessen

Ons team selecteert de juiste GRC- en/of IAM-oplossing op basis van strategische, tactische en operationele eisen. Wij ondersteunen u bij de implementatie van de gekozen oplossing.

• Identificatie van GRC-eisen
• Selectie van GRC-tool en leverancier
• Business case voor GRC-tool
• Implementatie en configuratie van GRC-tool

Wij versterken de nalevingscapaciteiten van uw organisatie door gebruik te maken van ERP-geïntegreerde analytics en automatiseringsfunctionaliteiten.

• Volledig geïntegreerde controle rapportages voor alle managementniveaus
• Geautomatiseerde uitvoering en rapportage van procesbeheersing (door RPA en Machine Learning in te zetten)
• RPA-functionaliteiten inzetten voor voortdurende compliance-monitoring

Businessprocessen worden steeds meer afhankelijk van technologie. Daardoor hebben financiële en interne auditors vaker de hulp nodig van technologie-experts om waardevolle inzichten aan belanghebbenden te leveren. De druk om technologie-risico’s goed te beheren en te mitigeren neemt toe. Ons ‘technologie in de audit-dienstmodel’ is ontworpen om te voldoen aan de technologische behoeften van uw auditverplichtingen. We bieden een team van gekwalificeerde IT-auditors, de nieuwste auditstandaarden, geavanceerde technologische tools en vakdeskundigen op verschillende gebieden, die wereldwijd kunnen helpen bij het uitvoeren van uw technologie-auditverplichtingen.

De uitdagingen voor uw organisatie en de cruciale vragen die beantwoord dienen te worden:

• Hoe haal ik waarde uit mijn IT-audit en zet ik deze om in actie?
• Wat zijn onze IT-risico’s?
• Is onze IT-strategie goed afgestemd op de bedrijfs- en IT-risico's?
• Hoe volwassen zijn wij op het gebied van IT-risico's en IT-controles, en hoe presteren we in vergelijking met anderen in onze sector?
• Hebben we een interne IT-auditfunctie nodig?
• Behandelt onze IT-roadmap (met inbegrip van transformaties en het integreren van nieuwe technologieën) voldoende de risico’s en beheersmaatregelen die samenhangen met veranderingen?
• Zijn er handmatige bedrijfscontroles die vervangen kunnen worden door geautomatiseerde controles?
• Wie is verantwoordelijk of aansprakelijk voor (nieuwe) risico’s die voortkomen uit IT?

Bij KPMG begrijpen we het belang van het bepalen van de risicogrens die uw organisatie kan accepteren zonder invloed te hebben op FSA- of (J)SOX-audits. Ons IT-auditteam kan u ondersteunen bij het identificeren van risico’s, het testen van controlekaders en het verbeteren van de controleaanpak voor externe audits, om zo de risicobeheer- en complianceprocessen te ondersteune

Wij kunnen uw organisatie helpen bij het beoordelen van de IT-risico’s binnen uw bedrijfsomgeving, hetzij via onze adviesdiensten, hetzij als onderdeel van externe FSA- en (J)SOX-opdrachten. Onze beoordelings- en rapportagedekking bestrijkt het volledige spectrum van IT-gerelateerde risico’s, controles, processen en technologieën.

Als onderdeel van de IT-risico- en bedrijfsprocesrisicobeoordelingen van KPMG auditen wij de Algemene IT-beheerscontroles (GITC) en IT-toepassingscontroles (ITAC), inclusief specifieke rapporten die nodig zijn voor financiële en rapportagedoeleinden. Daarnaast behandelen we risicovolle IT-transformatieprojecten, datamigratie- en datakwaliteitsprojecten, datacenters en cloudbeveiligingsaudits.

Daarnaast leveren wij beoordelingen voor specifieke thema's zoals cyberbeveiliging, RPA en algoritmebeoordelingen, regelgevende rapportages, gegevensprivacy, IT-governance en ERP-implementaties (SAP S4HANA, Oracle, MS AX, JDE, Infor M3, enz.).

Wij passen onze auditprocedures continu aan om nieuwe tools en technologieën te integreren, zodat we waardevolle inzichten voor uw organisatie kunnen leveren op de meest efficiënte manier.

Ons wereldwijde platform KPMG Clara stelt ons in staat om een breed scala aan data-analyse te leveren, inclusief voorspellende analyses, continue audits en monitoring en KPI-benchmarks.

Verder gebruiken we geavanceerde tools en software voor specifieke doeleinden, zoals robotics (om de handmatige werklast te verminderen) of Business Process Mining (om de verschillende datastromen binnen een proces te identificeren).

Bent u een serviceorganisatie die kritieke systemen beheert, vertrouwelijke klantinformatie opslaat en verwerkt, en/of transacties verwerkt voor meerdere klanten? Dan bent u niet alleen. Veel organisaties staan voor de uitdaging om meer zekerheid te bieden aan klanten, auditors en toezichthouders, om te waarborgen dat de juiste interne controles zijn toegepast.

Uitdagingen waar u mogelijk mee te maken krijgt:

• Uw klanten hechten steeds meer waarde aan de maatregelen die genomen worden om hun privé- en/of vertrouwelijke informatie te beschermen en de beschikbaarheid van hun systemen te waarborgen.
• Cyberbeveiligingsbeheer en naleving van de Algemene Verordening Gegevensbescherming (AVG) zijn enkele van uw belangrijkste uitdagingen geworden.
• Echte of vermeende beveiligingsinbreuken kunnen bij uw klanten de indruk wekken dat uw organisatie niet in staat is om op een veilige en verantwoorde manier zaken te doen.
• U wordt geconfronteerd met meerdere bezoeken van de auditors van uw klanten en verzoeken om gedetailleerde beveiligingsvragenlijsten of checklists in te vullen over uw controleomgeving.
• U moet laten zien dat u in staat bent om aan de compliancebehoeften van uw klanten te voldoen en hun vertrouwen in uw competenties te vergroten in een steeds competitievere omgeving.
• U moet de effectiviteit van uw controleomgeving aantonen aan uw klanten of de regulator.

Bij KPMG begrijpen we dat het essentieel is om vertrouwen en betrouwbaarheid te tonen aan uw klanten, toezichthouders en het bredere publiek op belangrijke risico-onderwerpen zoals cyber, cloudservices, financiële diensten, privacy en specifieke controledoelen. Ons digitale assurance-team ondersteunt u bij het effectief aanpakken van uiteenlopende uitdagingen, van diagnostische reviews tot rapportages, zodat u kunt laten zien wat uw organisatie zo uniek maakt.

Organisaties maken in toenemende mate gebruik van outsourcing voor hun dienstverlening. Dit leidt tot een complexe situatie waarin het beheer en de monitoring van nieuwe en bestaande risico’s prioriteit krijgen. Dienstverleners willen aantonen dat zij deze risico’s onder controle hebben, om zo het vertrouwen van hun klanten te rechtvaardigen. Een assurance-rapportage kan hierbij het verschil maken.

Bij KPMG helpen we u de degelijkheid van uw controleomgeving aan te tonen met een Service Organization Controls-rapport, gericht op:

• Financiële rapportagerisico’s en de bijbehorende controles (ISAE 3402/SOC1);
• Zekerheid over de beveiliging, beschikbaarheid, gegevensintegriteit, vertrouwelijkheid en privacy binnen uw diensten (SOC2/SOC3/ISAE 3000);
• Informatiebeveiliging en privacy op basis van internationaal erkende standaarden zoals ISO 27001 en ISO 27701 of specifieke beheersdoelstellingen (ISAE 3000);
• ISO 27001-certificering geïntegreerd met SOC 2- of ISAE 3000-rapportage (multipurpose testing)
• Cloud services (SOC 2/ISAE 3000); en
• Afgesproken specifieke procedures.

De markt en overheden eisen steeds meer verantwoording en transparantie van financiële instellingen op alle aspecten van hun bedrijfsvoering. Bij KPMG helpen wij u om de compliance van uw financiële organisatie aan te tonen via een assurance-rapport gericht op onderwerpen zoals: de Payment Services Directive 2 (PSD2) en de onderliggende technische standaarden, het SWIFT Customer Security Program (CSP), regelgeving en kaders van de European Banking Authority, Know Your Client (KYC), Anti-Money Laundering (AML) en meer.

Met KPMG Certification kunt u uw bedrijfsvoering versterken door certificeringen te behalen die uw leiderschap in informatiebeveiliging, GDPR-compliance, e-archivering en asset management onderstrepen

KPMG Certification is geaccrediteerd door BELAC, de Belgische accreditatie-instantie, om compliance met de ISO/IEC 27001 – Informatiebeveiligingsmanagementsystemen te certificeren. Daarnaast bieden we certificering aan voor de volgende normen en certificeringsschema's:

• ISO/IEC 27701:2019 – Privacy Information Management Systems
• ISO/IEC 55001 – Asset Management
• BE e-Archiving Certification Scheme

In de digitale wereld van vandaag kunnen besluitvormers het zich niet veroorloven om teruggehouden te worden door cyberrisico’s. Ze moeten gedurfde keuzes maken en er zeker van zijn dat hun cyberstrategie, verdedigingsmechanismen en herstelcapaciteiten hun bedrijf beschermen en hun groeistrategieën ondersteunen.

 In elke sector en overal ter wereld stellen bedrijfsleiders zichzelf dezelfde vragen:

• Kan ik een evenwicht vinden tussen informatiebeveiliging en toegankelijke informatie?
• Hoe ziet een “goede” cyberbeveiligingsstrategie eruit in mijn sector?
• Kan ik cyberrisico’s afstemmen op de strategische prioriteiten van mijn organisatie?
• Hoe bepaal ik het juiste investeringsniveau?
• Waar zou ik mijn investeringen het beste kunnen richten?
• Hoe kan ik een cyberincident voorkomen of de gevolgen ervan verkleinen?
• Hoe zorg ik ervoor dat ons bedrijf zo snel mogelijk weer normaal functioneert?

Bij KPMG begrijpen we dat bedrijven niet door cyberrisico’s tegengehouden mogen worden. Onze wereldwijde netwerk van cyberbeveiligingsexperts van KPMG weet dat cyberbeveiliging meer is dan het elimineren van risico’s, het gaat om effectief risicobeheer.

Waar u zich ook bevindt op het gebied van cyberbeveiliging, firma’s uit het KPMG-netwerk kunnen u ondersteunen.

We werken samen met u om te zorgen dat u kunt opereren zonder grote verstoringen door een cyberincident. We ondersteunen u bij strategie en governance, organisatorische transformatie, cyberbeveiliging en het reageren op cyberaanvallen.

Als cyberbeveiligingsprofessionals raden we niet alleen oplossingen aan, we helpen ook bij de implementatie ervan. Van penetratietests en cyberstrategie tot toegangsbeheer en cultuurverandering, we begeleiden u in elke stap van het proces

Pas uw beveiligingsstrategie aan op uw veranderende zakelijke en complianceprioriteiten, zodat u een vooruitdenkende beveiligingshouding kunt creëren die risico’s proactief beheert.

• Cyber Maturity Assessment (CMA)
• Compliance assessment
• Cyber security-strategie/target operating model (TOM)
• Metrieken en rapportage voor de Chief Information Security Officer (CISO)
• Beheer van beveiligingsrisico’s bij derden
• Zakelijke veerkracht

By leveraging our alliances with industry leaders, we help you design, implement and improve your cyber processes and controls to meet regulatory standards and correlate with your cyber strategy.

• Implementatie van ISO 27001 ISMS (Informatiebeveiligingsmanagementsysteem)
• Identiteits- en toegangsbeheer (IAM)
• Powered identity
• Beveiligings-GRC (Governance, Risk, and Compliance)
• Technologie-integratie
• Programma-uitvoering
• Cloudbeveiliging

Onze ethische hacking experts helpen u de kwetsbaarheden in uw organisatie op te sporen, voordat cybercriminelen dat doen.

• Technische beoordelingen
• Penetratietests
• Red teaming (simulatie van een aanval)
• Beveiligingsoperaties en -monitoring
• Analyse van beveiligingsgegevens
• Interne bedreiging

We ondersteunen u bij de voorbereiding op cyberincidenten en zorgen voor een effectieve reactie wanneer ze zich voordoen, via ons wereldwijde netwerk van incidentrespons-experts.

• Voorbereiding en strategische planning voor een effectieve incidentrespons
• Digitale onderzoeken en herstelmaatregelen
• Informatie over bedreigingen

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) is het regelgevingslandschap dagelijks in beweging. De manier waarop organisaties en individuen denken over de bescherming en het gebruik van persoonlijke informatie is drastisch veranderd.

Het is nu belangrijker dan ooit om persoonlijke gegevens op een veilige en conforme manier te beheren. Nieuwe wetgeving voor gegevensbescherming, een toename van regelgevende maatregelen en de veranderende cyberdreigingen zorgen ervoor dat organisaties hun privacy compliance-eisen steeds beter moeten beheren. Naast deze risico- en regelgevingsfactoren, zorgen andere elementen zoals nieuwe technologieën, de focus op digitale transformatie en de verschuivende publieke houding ten opzichte van de verzameling en het gebruik van persoonlijke informatie, ervoor dat organisaties hun privacybeleid moeten aanpassen en verbeteren.

De uitdagingen voor uw organisatie en de cruciale vragen die beantwoord dienen te worden:

• Volgen uw compliance-kaders de snelheid van of ondersteunen ze digitale transformatie?
• Bent u op de hoogte van uw regelgevingslandschap en de privacyrisico's waaraan u blootstaat?
• Gebruikt u technologie om uw privacyprocessen te automatiseren en duurzaam te maken?
• Kunt u met vertrouwen privacy by design toepassen om persoonlijke informatie gedurende de hele levenscyclus te beheren?
• Heeft u vertrouwen dat uw producten, nieuwe ondernemingen of overnames privacy-conform zijn?
• Bent u in staat om tijdig te reageren op datalekken?

Bij KPMG geloven we dat privacy en gegevensbescherming echte zakelijke kansen bieden en dat privacyprocessen kunnen worden geïmplementeerd om de bedrijfsvoering te ondersteunen bij het leveren van kernservices. KPMG kan met u samenwerken om dit goed te regelen en de problemen waar u mee te maken heeft op te lossen. Ons ervaren team van risk advisory, privacy-, juridische en technologie-experts kan snel in actie komen om uw bedrijf te transformeren en samen met u privacyprocessen te implementeren.

Privacy is geen op zichzelf staande oefening. KPMG helpt uw team om binnen de organisatie samen te werken om complexe onderlinge afhankelijkheden met andere programma’s effectief te beheren en te verbinden met de strategische prioriteiten van uw bedrijf. Wij ondersteunen klanten gedurende de volledige levenscyclus van hun privacytraject.

Bij KPMG kunnen we u helpen door…

• Het beoordelen van uw blootstelling aan belangrijke privacykwesties, het bepalen van uw privacyrisico’s en het identificeren van stappen om zwakke punten te verhelpen in lijn met uw risicotolerantie;
• Het transformeren van uw privacycompliance door u te helpen bij het definiëren van uw privacystrategie en deze operationeel te maken door de benodigde beleidsmaatregelen, processen, tools en controles te implementeren;
• Het versterken en beheren van uw privacyprocessen, zodat u risico’s effectief kunt managen en innovatie kunt bevorderen.

Data is de kern van elke organisatie en moet behandeld worden als een waardevol bezit. Kwalitatieve en tijdige informatie stelt leiders in staat om essentiële bedrijfsbeslissingen snel te maken en de juiste veranderingen door te voeren. Organisaties moeten dus zorgen voor geavanceerde informatiebeveiliging door alle fasen van de datacyclus.

KPMG kan u ondersteunen met:

• Het beheer van de efficiënte verzameling, organisatie, opslag, het terughalen en de verwijdering van elektronische gegevens en inhoud;
• Grondige data-ontdekking, classificatie van gegevens en tools voor het voorkomen van dataverlies;
• Bescherming tegen duplicatie van gegevens, overbodigheid en blootstelling;
• Inrichten van robuuste technieken voor pseudonimisering en anonimisering.

De wereldwijde bedrijfsmodellen en de manier van servicelevering veranderen snel, zowel op bedrijfsniveau als binnen de privacy- en gegevensbeschermingssector.

Bij KPMG kunnen wij u voorzien van:

• Een complete privacy- en gegevensbeschermingsservice, waarmee u de rol van de DPO kunt uitbesteden.
• Een breed scala aan privacy managed services, waarmee uw organisatie dagelijks gegevensbeschermings- en privacyondersteunende activiteiten flexibel kan uitbesteden

Maak gebruik van de leidende praktijken in de ‘accelerated privacy’-methodologie van KPMG, een snellere en slimmere manier om privacy- en gegevensbeschermingstransformatie te bereiken door gebruik te maken van OneTrust. Het ‘accelerated privacy’-aanbod van KPMG helpt klanten hun privacy compliance-transformatieprojecten te versnellen.

Wij leveren toonaangevende operationele modellen, processtromen, rolprofielen en een gestandaardiseerde OneTrust-configuratie, klaar voor validatie door u. Dit resulteert in een versnelde oplevering, met minder risico en een grotere mate van zekerheid en succes.

Binnen KPMG combineren wij juridische expertise met adviesvaardigheden: onze privacyjuristen werken zij aan zij met onze adviseurs. Zo vormen we een multidisciplinair team dat u ondersteunt bij het voldoen aan uw privacyvereisten.

Wij kunnen u bijstaan op het gebied van privacygeschillen, contracten met betrekking tot gegevensbescherming, internationale datatransfers en algemeen juridisch advies.

Voor meer informatie verwijzen wij u graag naar onze pagina’s over privacy legal services.