Control framework vastleggen

In dit artikel is gave nieuwe functionaliteit verwerkt die beschikbaar is vanaf Profit 4.

We werken momenteel hard aan de documentatie van dit onderdeel.

Met het menu-item control framework kun je gegevens vastleggen om bepaalde eisen aantoonbaar te maken. Denk hierbij aan ISO of andere certificeringen. CSRD is een voorbeeld van een standaard meegeleverd control framework, maar je kunt er ook zelf één inrichten voor een proces dat op jouw bedrijf van toepassing is. Bij een standaard meegeleverd control framework kun je het Type niet onderhouden, maar als je zelf een Control framework aanmaakt, kan dat wel.

Inhoud

Wijzigingen Profit 4

Na de uitlevering van Control framework met Profit 3, hebben we voor Profit 4 een aantal mooie verbeteringen doorgevoerd:

Type control framework

  • Het is mogelijk om beweegredenen toe te voegen aan een type control framework. Je kunt maximaal tien beweegredenen toevoegen. Deze kun je vervolgens per rapportage-eis wel of niet aanvinken.

Control framework plan

  • Het is vanaf nu mogelijk om een control framework plan te kopiëren. Dit doe je via Algemeen / Control framework / Control framework plan. Vervolgens klik je op de actieknop Kopiëren. Het plan zal dan helemaal gekopieerd worden inclusief de rapportage-eisen en de draaiboektaken.
  • Het is ook mogelijk om in het type control framework de gekoppelde plannen te zien. Dit doe je op het nieuwe tabblad Gekoppelde plannen.

Control framework regel

  • Ook op het niveau van de control framework regel zijn verbeteringen doorgevoerd. Je kunt nu via multiselect meerdere rapportage-eisen tegelijk te selecteren. Hierdoor kan je bijvoorbeeld in één keer voor meerdere regels een draaiboek toevoegen. Ook kun je via de actieknop Collectief wijzigen de regels op niet van toepassing zetten of de Status wijzigen.

Rapportage-eis

  • Binnen de rapportage-eis zelf is het vinkveld Niet van toepassing toegevoegd. Hierbij kun je ook een toelichting vullen nadat je het veld hebt aangevinkt. Bijvoorbeeld omdat deze rapportage-eis dit jaar niet getoetst wordt.
  • Ook is het mogelijk om in de eigenschappen van de rapportage-eis een status toe te voegen. De verschillende statussen voeg je zelf toe aan een tabel. Dit doe je ook in de eigenschappen van de rapportage-eis zelf.
  • Het is ook mogelijk om binnen een rapportage-eis documenten te koppelen ter verduidelijking. Dit doe je op het nieuwe tabblad Gekoppelde documenten en hier heb je de keuze uit gekoppelde InSite documenten. Dit werkt hetzelfde als bij Beheersmaatregelen.
  • Vanaf nu kun je rapportage-eisen, beheersmaatregelen en beheersmaatregelcombinaties importeren! Dit doe je via Algemeen / Beheer / Import. Lees hier hoe een import precies werkt.

Beheersmaatregelen

  • Er worden nu twee type beheersmaatregelen standaard uitgeleverd: Risico en Maatregel. Zelf kun je nogsteeds een eigen Type beheersmaatregelen hieraan toevoegen. Dit doe je via een nieuw menu item: Algemeen / Control framework / Inrichting / Type beheersmaatregel. Dit loopt dus niet meer via een vrije tabel.
  • Wanneer je een beheersmaatregel van het type Risico toevoegt via Control framework / Risico actieknop Nieuw, zijn er extra onderdelen die je kunt instellen. Het gaat hier om de Risicoscore voor maatregelen en de Risicoscore na maartegelen Je geeft hier een aantal sterren aan de Kans en Impact van één t/m vijf. Dit resulteert in een Risicoscore. De formule hiervoor is Kans * Impact. Vervolgens kun je bij de Risicobehandeling kiezen uit vier opties: Accepteren, Mitigeren, Overdragen en vermijden.

Dossieritems

Er zijn twee type dossieritems toegevoegd: Vraag vanuit audit en Vraag vanuit accountant. Deze bevatten ieder ook een eigen workflow.

Rapport

Er is een nieuw rapport toegevoegd voor control framework: Verklaring van toepasselijkheid (Profit). Deze is vooral toepasbaar op de ISO 27001:2022 certificering en is beschikbaar via Algemeen / Uitvoer / Rapport. Dit rapport genereer je per Control framework regelnummer (CF-regelnummer). In het rapport zie je de periode van de regel met daaronder per control/rapportage-eis de aangevinkte beweegredenen en of het control in deze regel wel of niet van toepassing is, inclusief toelichting. Wanneer je dit rapport genereert voor een eigen type control framework, let er dan op dat dit standaard rapport alleen de eerste vijf opgegeven beweegredenen laat zien.

InSite

Er is veel Profit functionaliteit naar InSite gehaald, waardoor je veel zaken nu ook op InSite kunt regelen. Naast Type pagina Control framework, zijn er twee nieuwe typen pagina's toegevoegd:

  • Kwaliteitsmanagement
  • Beheersmaatregelen

Voor ieder type control framework zijn er nu meer InSite pagina's beschikbaar. Deze vallen onder type pagina Control framework. Je kunt nu via deze pagina's ook per control framework regels of rapportage-eisen toevoegen en aanpassen.

Daarnaast is er een centraal portaal beschikbaar voor alle openstaande control frameworks: de portalpagina Kwaliteitsmanagement (Type pagina Kwaliteitsmanagement). Omdat ISO 27001:2022 en CSRD standaard worden uitgeleverd, staan deze hier al op.

Op InSite kun je nu ook beheersmaatregelen overzichtelijk inzien en aanmaken. Hiervoor is onder andere de portalpagina Risico beschikbaar (type pagina Beheersmaatregelen). Op deze pagina wordt niet gekeken vanuit een type control framework, maar worden de beheersmaatregelen afzonderlijk bekeken. Wanneer je een nieuw Type beheersmaatregel aanmaakt, komt hiervoor een nieuwe portalpagina beschikbaar.

Voor de nieuwe InSite pagina's zijn twee nieuwe functionaliteiten toegevoegd: Beheersmaatregelen beheren en Beheersmaatregelen raadplegen.

Type

Een Control framework bestaat uit verschillende niveau's. Het hoogste niveau is het Type Control framework. Hierbinnen vallen de plannen die gebaseerd zijn op het type. Daaronder vallen de regels die gaan over een plan in een specifieke periode. Hieronder wordt per niveau een uitleg gegeven.

Je maakt een nieuw type control framework aan via Algemeen / Control framework / Inrichting / Type control framework. Hierbij stel je de omschrijving in en bepaal je of je gebruik wil maken van Rapportage-eisen. Dit zijn vaak de eisen die je wil gaan meten binnen het plan en de regel. In de eigenschappen van het type kun je zelf kiezen hoe je dit tabblad wil noemen. Dit kan bijvoorbeeld thema's zijn (zoals binnen Type CSRD), maar je kan het ook eisen of voorwaarden noemen. In het vervolg van dit help-artikel zullen we het Rapportage-eisen noemen.

Per Type control framework kies je ook of je gebruik wil maken van een draaiboek en verantwoordelijken. Hieronder lees je hier meer over.

Plan

Onder het Type control framework maak je een Plan aan. Je kunt één of meerder plannen aanmaken en beslissen op welke Administratie deze plannen betrekking hebben. Denk hierbij bijvoorbeeld aan een specifiek plan per land.

Per plan selecteer je eventuele Rapportage-eisen die hierop van toepassing zijn. De rapportage-eisen zijn, zoals hierboven beschreven, binnen het Type vastgelegd. Je kan zelf bekijken welke rapportage-eisen je in jouw plan wil gebruiken. Zelf kun je ook rapportage-eisen toevoegen. Dit doe je in de eigenschappen van het plan onder het tabblad Rapportage-eisen.

Regel

Via Algemeen / Control framework / Control framework maak je een nieuwe Regel aan. Regels stel je in voor een afgebakende periode. Je kan bijvoorbeeld een Regel aanmaken voor het jaar 2024. De regel koppel je aan een plan die je al hebt ingericht zoals hierboven staat beschreven. Bij het aanmaken van de regel zal steeds een opvolgend jaar worden voorgesteld en de Verantwoording wordt overgenomen vanuit het Plan dat je kiest. De meeste instellingen binnen de regel wordt overgenomen van de Plan dat is gekozen binnen de regel. Je kunt hiervan binnen de eigenschappen van de Regel afwijken.

Rapportage-eisen

Binnen het tabblad Rapportage-eisen komen de Rapportage-eisen terug die je in het Type en het Plan hebt gekozen. Ook hier kun je zelf rapportage-eisen toevoegen of verwijderen.

Je kan dus op drie verschillende niveaus Rapportage-eisen toevoegen:

  • In het Type: Algemeen / Control framework / Inrichting / Type control framework.
  • In het Plan: Algemeen / Control framework / Inrichting / Control framework plan.
  • In de Regel: Algemeen / Control framework / Control framework.

In de eigenschappen van de Rapportage-eisen kies je ook voor Draaiboekregels en Verantwoordelijken. Deze worden niet vanuit het plan overgenomen en kun je zelf instellen per eis. Ook kun je ervoor kiezen om bij Verantwoordelijken een Specifiek team te kiezen alleen voor deze rapportage-eis.

Draaiboekregels

Wanneer je in het type Control framework Draaiboek heb aangevinkt, kun je deze binnen het Type, Plan, Regel en zelfs de rapportage-eis toevoegen. Je maakt op het tabblad Draaiboekregels via Nieuw een nieuwe draaiboekregel van het type control framework aan. Je kan via de actieknop Draaiboek kun je direct een heel draaiboek toevoegen. Om hier een draaiboek te kunnen selecteren, moet dit draaiboek ook van het type Control framework zijn. Lees hier meer over het toevoegen van draaiboektaken.

Verantwoordelijken

Wanneer je in het type Control framework Verantwoordelijken hebt aangevinkt, kun je dit instellen. Binnen een Control framework maak je gebruik van teams. Deze teams richt je in op verschillende niveau's.

  1. Ga naar: Algemeen / Control framework / Inrichting / Teamrollen.
  2. Maak hier de rollen aan die je wil gebruiken. Het is daarbij verplicht om een Type control framework te koppelen aan de teamrol. Het is ook mogelijk om in het Type control framework zelf Teamrollen toe te voegen die automatisch aan dit Type control framework gekoppeld zijn.

    Let op:

    Om voor een bepaald type control framework gebruik te maken van Teams en Teamrollen, vink je in de eigenschappen van dit Type het veld Verantwoordelijken aan.

  3. Ga naar: Algemeen / Control framework / Inrichting / Team.
  4. Maak een team aan die ook gekoppeld wordt aan een Type control framework. Je gebruikt hierbij de zojuist aangemaakte Teamrollen.
  5. Ga naar: Algemeen / Control framework / Inrichting / Control framework plan.
  6. Open de eigenschappen van een Plan binnen het betreffende Type control framework.
  7. Ga naar tabblad Verantwoordelijken. Kies hier het team dat je hebt aangemaakt.

Je kan ook per rapportage-eis een specifiek team aanwijzen. Dit doe je in de eigenschappen van de rapportage-eis onder het tabblad Verantwoordelijken.

Beheersmaatregel

Binnen de rapportage-eisen kun je onder tabblad Beheersmaatregelen specifieke risico's in kaart brengen met betrekking tot de rapportage-eis en aangeven wat de maatregelen zijn die je hiervoor neemt. Deze voeg je toe in de vorm van Beheersmaatregelcombinaties. Deze richt je omgevingsbreed in.

Beheersmaatregelcombinatie aanmaken en toevoegen

  1. Ga naar Algemeen / Inrichting / Vrije tabel om het Type beheersmaatregel te gaan inrichten.
  2. Open hier de tabel Type beheersmaatregel en voeg te waarden toe. Denk hierbij bijvoorbeeld aan de waarden risico, dreiging, maatregel en kans.
  3. Bij Algemeen / Controleframework / Inrichting / Beheersmaatregel specificeer je de verschillende waarden. Benoem hier bijvoorbeeld bepaalde risico's of maatregelen waarover je uiteindelijk gaat vastleggen.
  4. Koppel nu de waarden uit stap 3 die met elkaar in verband staan. Dit doe je via Control framework / Inrichting / Beheersmaatregelcombinatie. Hier koppel je maximaal vijf beheersmaatregelen aan elkaar. Bijvoorbeeld een risico, maatregel en kans die alle drie met elkaar te maken hebben.
  5. De aangemaakte beheermaatregelcombinatie voeg je toe in de eigenschappen van de specifieke Rapportage-eis onder het tabblad Beheersmaatregelen. Deze Rapportage-eisen vind je op het gelijknamige tabblad in de eigenschappen van regel (het betreffende jaar).

Definitief maken

Wanneer de CSRD vastlegging voor een Regel (bepaald jaar) is afgerond, kan deze definitief gemaakt worden. Dit doe je als volgt:

  1. Ga naar: Algemeen / Control framework / Control framework.
  2. Selecteer de regel die je definitief wil maken
  3. Klik bovenin op de actieknop Definitief maken

De Beheersmaatregelen die binnen deze regel in de Beheersmaatregelcombinaties zijn vastgelegd, worden op dat moment definitief en zijn op deze manier in te zien op elk gewenst moment, bijvoorbeeld door de accountant. Wanneer je op een later moment via Control framework / Beheersmaatregel in de maatregelen iets wijzigt, heeft dit geen invloed op de regels die definitief zijn gemaakt.

Autorisatie

het menu-item Control framework is te autoriseren in de autorisatietool. Ook kun je hier de verschillende tabbladen autoriseren. Gebruik hiervoor bijvoorbeeld standaard gebruikersgroep PR-014 Control Framework Applicatiebeheer (Profit). Elke gebruiker is deze groep heeft alle rechten op Control framework. Daarnaast is er de gebruikersgroep PR-015 Control Framework (Profit) voor InSite. Gebruikers is deze groep hebben rechten om Control framework te onderhouden en beheren in InSite.

Beheersmaatregelen

Binnen de rapportage-eisen kun je onder tabblad Beheersmaatregelen specifieke risico's in kaart brengen met betrekking tot de rapportage-eis en aangeven wat de maatregelen zijn die je hiervoor neemt. Deze voeg je toe in de vorm van Beheersmaatregelcombinaties. Deze richt je omgevingsbreed in.

Beheersmaatregelcombinatie aanmaken en toevoegen

  1. Ga naar Algemeen / Inrichting / Vrije tabel om het Type beheersmaatregel te gaan inrichten.
  2. Open hier de tabel Type beheersmaatregel en voeg te waarden toe. Denk hierbij bijvoorbeeld aan de waarden risico, dreiging, maatregel en kans.
  3. Bij Algemeen / Controleframework / Inrichting / Beheersmaatregel specificeer je de verschillende waarden. Benoem hier bijvoorbeeld bepaalde risico's of maatregelen waarover je uiteindelijk gaat vastleggen.
  4. Koppel nu de waarden uit stap 3 die met elkaar in verband staan. Dit doe je via Control framework / Inrichting / Beheersmaatregelcombinatie. Hier koppel je maximaal vijf beheersmaatregelen aan elkaar. Bijvoorbeeld een risico, maatregel en kans die alle drie met elkaar te maken hebben.
  5. De aangemaakte beheermaatregelcombinatie voeg je toe in de eigenschappen van de specifieke Rapportage-eis onder het tabblad Beheersmaatregelen. Deze Rapportage-eisen vind je op het gelijknamige tabblad in de eigenschappen van regel (het betreffende jaar).

Autorisatie

het menu-item Control framework is te autoriseren in de autorisatietool. Ook kun je hier de verschillende tabbladen autoriseren. Gebruik hiervoor bijvoorbeeld standaard gebruikersgroep PR-014 Control Framework (Profit). Elke gebruiker is deze groep kan een vrij type control framework aanmaken.

Definitief maken

Wanneer de vastlegging voor een Regel (bepaald jaar) is afgerond, kan deze definitief gemaakt worden. Dit doe je als volgt:

  1. Ga naar: Algemeen / Control framework / Control framework.
  2. Selecteer de regel die je definitief wil maken
  3. Klik bovenin op de actieknop Definitief maken

De Beheersmaatregelen die binnen deze regel in de Beheersmaatregelcombinaties zijn vastgelegd, worden op dat moment definitief en zijn op deze manier in te zien op elk gewenst moment, bijvoorbeeld door de accountant. Wanneer je op een later moment via Control framework / Beheersmaatregel in de maatregelen iets wijzigt, heeft dit geen invloed op de regels die definitief zijn gemaakt.

InSite

AFAS levert standaard pagina's voor het Control framework op InSite. Deze pagina's vallen onder drie typen pagina's: Om gebruik te maken van de verschillende pagina's op InSite, moeten deze drie typen pagina's eerst worden geactiveerd. Hierna zijn de InSite pagina's vindbaar binnen Sitebeheer via Bewerken / Onderhouden pagina's. Om ze toegankelijk te krijgen voor bezoekers van de site, maak je de pagina's vast aan het menu.

Typen pagina's:

  • Control frameworks
  • Kwaliteitsmanagements
  • Beheersmaatregelen

Voor ieder type control framework is een aantal InSite pagina's beschikbaar. Deze vallen onder type pagina Control framework. Denk hierbij aan een portalpagina en een overzichtspagina met alle aangemaakte regels. Ook zijn er pagina's beschikbaar om, binnen dit type control framework, regels of rapportage-eisen toe te voegen en aan te passen.

Daarnaast is er een centraal portaal beschikbaar voor alle openstaande control frameworks: de portalpagina Kwaliteitsmanagement (Type pagina Kwaliteitsmanagements). Omdat ISO 27001:2022 en CSRD standaard worden uitgeleverd, zijn deze al op dit portaal aanwezig.

Op InSite kun je ook beheersmaatregelen overzichtelijk inzien en aanmaken. Hiervoor is onder andere de portalpagina Risico beschikbaar (type pagina Beheersmaatregelen). Op deze pagina wordt niet gekeken vanuit een type control framework, maar worden de beheersmaatregelen afzonderlijk bekeken.

Je autoriseert de toegang tot InSite pagina's standaard via functionaliteiten en autorisatierollen. De InSite pagina’s van Control framework zijn beschikbaar in de twee functionaliteiten: Control framework beheren en Control framework raadplegen. De InSite pagina’s van Beheersmaatregelen zijn beschikbaar in de twee functionaliteiten: Beheersmaatregelen beheren en Beheersmaatregelen raadplegen.