Het integrated® Control Framework, kortweg ICF©, is een beheersmodelvoor de gehele IT organisatie. Het bevat op hoofdlijnen de volgende onderdelen:

    • Beleid
    • Standaards
    • Processen
    • Procedures
    • Beheersmaatregelen (controls)
    • Werkinstructies

Het ICF© is opgezet met de volgende uitgangspunten:

  • Verhogen van de effectiviteit van de IT
  • Continu verbeteren van de kwaliteit van IT
  • 3-lines of defense model
  • Pragmatische en concrete controls
  • Koppeling met de volgendeframeworks:
    • COBIT 5.0 en 2019
    • ISO 27001/2, NEN7510
    • PCI DSS
    • NOREA General IT Controls, Privacy Control Framework
    • Algemene Verordening Gegevensverwerking (AVG/GDPR)
    • NIST
    • ISF
  • Opzet bestaan en werking
  • Minimale set controls
  • Aansluiting op Risk Management Proces
  • Concrete aanpak

Het ICF© met de genoemde onderdelen zijn als voorbeeld opgenomen in database onze applicatie CRIS©. Deze voorbeelden kunnen worden gebruikt voor de ontwikkeling van uw eigen beheersmaatregelen. Dat scheelt enorm veel tijd en inspanning.

De werkinstructies bevatten stappen voor de oplevering van periodieke evidence, zodat u zekerheid hebt over de aantoonbaarheid van de beheersmaatregelen in opzet, bestaan en werking. 

Het control Framework

CRIS© is een applicatie die is bedoeld om het Risk en Assurance proces efficiënter en effectiever te maken voor de 1e, 2e en 3e lijn. Het biedt de mogelijkheid om beleid, standaards, processen, procedures, beheersmaatregelen/controls en bijbehorende werkinstructies op een eenvoudige wijze integraal te beheren. Het wordt uw organisatie mogelijk gemaakt het eigenaarschap voor controls en risico’s te beleggen waar ze horen, namelijk in de de lijnorganisatie zelf en hierdoor onderdeel te maken van het DNA van de medewerkers. 

CRIS© is ontwikkeld door itQ4Y op basis van die uitgebreide ervaring in IT Audit, IT Management, Risk management en verandermanagement binnen bijna alle sectoren van het bedrijfsleven. De applicatie voldoet aan alle vaktechnische (eisen) maar het systeem is ontworpen vanuit de manier waarop de medewerkers daadwerkelijk hun werk uitvoeren.

Test Once, Comply Many

Doordat veel organisaties moeten voldoen aan verschillende frameworks of compliance-eisen vanuit diverse interne en/of externe stakeholders en toezichthouders ondersteunt CRIS© het principe “Test Once, Comply Many”.

CRIS© ondersteunt koppelingen tussen alle frameworks (Cobit, ISO, AVG/GDPR, ISO27001/2, PCI/DSS worden standaard meegeleverd). Dit kan middels het Integrated© Control Framework© of op basis van uw eigen framework.

CRIS© kan uiteraard ook worden gebruikt voor uw operational en financial risk controls.

Externe toezichthouders kunnen binnen CRIS© eenvoudig op basis van hun eigen framework de benodigde status en evidence bekijken van de controls, zelfs vanuit hun eigen kantoor.

 

CRIS© biedt uw organisatie:

  • Een integrale oplossing voor het risk & control management proces
  • Beschikt over een Workflow voor control testing en risk en issue resolution
  • Het risk- en assuranceproces uit te voeren en te managen als een proces
  • Risk management als onderdeel van de governance te implementeren
  • Te sturen vanuit de 1e lijn in combinatie met de 2e en/of 3e lijn
  • Het Integrated© Control Framework waarin  koppelingen naar andere control frameworks zijn opgenomen of kunnen worden opgenomen
  • Standaard ca. 400 controls, inclusief werkinstructies/testscripts om de “opzet”, “bestaan” en de “werking” aan te kunnen tonen. Hierdoor is de implementatietijd van het risk- en  controlproces aanzienlijk beperkt kunt u direct aan de slag met CRIS©
  • Een multi-Tenant cloud oplossing. Extra security requirements zoals encryptie van de data zijn mogelijk.
  • Het ”Test Once, Comply Many” principe. Controls worden eenmalig getest waarmee CRIS© aan de requirements van verschillende interne en externe toezichthouders in eigen control frameworks kan worden gerapporteerd.
  • Standaard dashboards om het proces te managen en inzicht te krijgen in de status van controls. Indien nodig kan eenvoudig data ontsloten worden naar bijvoorbeeld Power BI, Excel, etc.
  • Een koppeling met Active Directory voor eenvoudig autorisatiebeheer
  • Wordt u aangeboden voor een lage basisprijs met een pay-per-use
CRIS© is ook geschikt voor organisaties die een beperkte set van IT Controls willen implementeren.