Control framework vastleggen

Het kan een uitdaging zijn om bepaalde eisen voor bijvoorbeeld certificeringen vast te leggen en aantoonbaar te maken. Control framework biedt de oplossing om deze informatie te bewaken en bij te houden.

Met het menu-item control framework kun je gegevens vastleggen om bepaalde eisen aantoonbaar te maken. Bijvoorbeeld bij het behalen van bepaalde certificeringen. CSRD en ISO 27001:2022 zijn voorbeelden van standaard meegeleverde control frameworks, maar je kunt er ook zelf één inrichten voor een proces dat op jouw bedrijf van toepassing is. Bij een standaard meegeleverd control framework kun je het Type niet onderhouden, maar als je zelf een Control framework aanmaakt, kan dat wel.

Het control framework werk je uit op verschillende niveau's. Het hoogste niveau is het type control framework. Deze is standaard meegeleverd vanuit AFAS. Hierbinnen vallen de plannen die gebaseerd zijn op dit type. Deze maak je zelf aan. Daaronder vallen de regels die gaan over een plan in een specifieke periode. Ook deze maak je zelf aan. Hieronder per niveau een voorbeeld:

Inhoud

Type

Een Control framework bestaat uit verschillende niveau's. Het hoogste niveau is het Type Control framework. Hierbinnen vallen de plannen die gebaseerd zijn op het type. Daaronder vallen de regels die gaan over een plan in een specifieke periode. Hieronder wordt per niveau een uitleg gegeven.

Onder Algemeen / Control framework / Inrichting / Type control framework vind je de standaard type control frameworks. Deze zijn al standaard ingericht en niet wijzigbaar omdat deze door AFAS worden onderhouden. Wil je toch een wijziging in het type doorvoeren, dan kun je een standaard type kopiëren of een nieuwe aanmaken.

Type control framework kopiëren

  1. Ga naar Algemeen / Control framework / Inrichting / Type control framework.
  2. Selecteer een type control framework.
  3. Klik bovenin het scherm op Acties / Kopiëren.

Bij een nieuw of gekopieerd type stel je de omschrijving in en bepaal je of je gebruik wil maken van rapportage-eisen. Dit zijn de eisen die je wil gaan meten binnen het plan en de regel. In de eigenschappen van het type kun je zelf kiezen hoe je dit tabblad wil noemen. Dit kan bijvoorbeeld thema's zijn (zoals binnen type CSRD), maar je kan het ook eisen of voorwaarden noemen. In het vervolg van dit help-artikel zullen we het Rapportage-eisen noemen.

Per Type control framework kies je ook of je gebruik wil maken van een draaiboek en verantwoordelijken. Hieronder lees je hier meer over.

Ten slotte is het mogelijk om beweegredenen toe te voegen aan een type control framework. Je kunt maximaal tien beweegredenen toevoegen. Deze kun je vervolgens per rapportage-eis wel of niet aanvinken.

Plan

Onder het type control framework maak je een plan aan. Een plan bevat de basisinrichting die vaker, bijvoorbeeld jaarlijks, of voor verschillende administraties, kan worden gebruikt. AFAS levert geen standaard plan mee. Je baseert dit plan dus op een type control framework.

Control framework plan aanmaken:

  1. Ga naar Algemeen / Control framework / Inrichting / Control framework plan.
  2. Klik op Nieuw.
  3. Selecteer bij Control framework een type.
  4. Geef een omschrijving mee en kies eventueel de verantwoordelijken.
  5. Klik op Volgende en kies de administratie(s) waar dit plan betrekking op heeft.
  6. Klik op Volgende en kies welke Rapportage-eisen vanuit het type je mee wilt nemen naar dit plan.
  7. Klik op Voltooien.

Per plan selecteer je eventuele rapportage-eisen die hierop van toepassing zijn. De rapportage-eisen zijn, zoals hierboven beschreven, binnen het type vastgelegd. Je kan zelf bekijken welke rapportage-eisen je in jouw plan wil gebruiken. Zelf kun je ook rapportage-eisen toevoegen. Dit doe je in de eigenschappen van het plan onder het tabblad Rapportage-eisen. Het is ook mogelijk om in het type control framework de gekoppelde plannen te zien. Dit doe je op het tabblad Gekoppelde plannen.

Let op:

Wanneer je rapportage-eisen toevoegt binnen de eigenschappen van het plan, worden deze niet toegevoegd in het type control framework. Deze rapportage-eis moet je dus, indien gewenst, in elk apart plan opnieuw toevoegen. Het beste kun je de rapportage-eisen op het hoogste niveau (type) toevoegen.

Regel

Via Algemeen / Control framework / Control framework maak je een nieuwe regel aan of open je een bestaande regel. Regels worden gekenmerkt door een specifieke periode. Je kan bijvoorbeeld een regel aanmaken voor het jaar 2024. De regel koppel je aan een plan die je al hebt ingericht zoals hierboven staat beschreven. Een regel bevat de inhoud waar je als organisatie mee aan de slag gaat en waar de eventuele audit op zal worden uitgevoerd. De meeste instellingen binnen de regel wordt overgenomen van het plan dat is gekozen binnen de regel. Je kunt hiervan binnen de eigenschappen van de regel afwijken.

De volgende onderdelen komen vanuit het plan mee naar de regel:

  • Verantwoordelijken
  • De gekozen administratie(s)
  • Controls (rapportage-eisen), de volgende onderdelen:
    • Algemene informatie
    • Draaiboekregels
    • Beheersmaatregelen

Draaiboekregels

Je maakt op het tabblad Draaiboekregels via nieuw een nieuwe draaiboekregel aan. De regel die je hebt aangemaakt, heeft een begin en einddatum waar de draaiboektaak op wordt gestart. Via de actieknop Toevoegen draaiboek kun je direct een heel draaiboek toevoegen. Om hier een draaiboek te kunnen selecteren, moet dit draaiboek van het type Control framework zijn.

Rapportage-eisen

Binnen het tabblad Rapportage-eisen komen de rapportage-eisen terug die je in het type en het plan hebt gekozen. Ook hier kun je zelf rapportage-eisen toevoegen of verwijderen.

Je kan dus op drie verschillende niveaus Rapportage-eisen toevoegen:

  • In het Type: Algemeen / Control framework / Inrichting / Type control framework.
  • In het Plan: Algemeen / Control framework / Inrichting / Control framework plan.
  • In de Regel: Algemeen / Control framework / Control framework.

    Let op

    Wanneer je rapportage-eisen toevoegt binnen de eigenschappen van de regel, worden deze niet toegevoegd in het type control framework of het plan waar de regel onder valt. Deze rapportage-eis moet je dus, indien gewenst, in elk apart plan opnieuw toevoegen. Leg daarom de rapportage-eisen zoveel mogelijk vast op plan-niveau. Dit voorkomt extra werk.

In de eigenschappen van de rapportage-eisen kies je ook voor draaiboekregels en verantwoordelijken. Deze worden niet vanuit het plan overgenomen en kun je zelf instellen per eis. Ook kun je ervoor kiezen om bij verantwoordelijken een specifiek team te kiezen alleen voor deze rapportage-eis.

Per rapportage-eis kun je specificeren of deze Niet van toepassing is door dit vinkveld aan te vinken. Hierbij geef je ook een toelichting nadat je het veld hebt aangevinkt. Bijvoorbeeld omdat dit control dit jaar niet getoetst wordt. Ook kun je een status toevoegen aan de rapportage-eis.

Ten slotte kun je beweegredenen aan rapportage-eisen toevoegen door ook deze aan te vinken. In een eigen type control framework kun je zelf beweegredenen toevoegen. In de standaard type control frameworks zijn deze eventueel al toegevoegd. Deze zijn niet zelf te onderhouden.

De verschillende beweegredenen en het vinkveld Niet van toepassing zijn zichtbaar in de rapportage Verklaring van toepasselijkheid (Profit).

Import

Via Algemeen / Beheer / Import kun je rapportage-eisen, beheersmaatregelen en beheersmaatregelcombinaties importeren. Dit werkt een stuk sneller dan ze stuk voor stuk toevoegen. Lees hier hoe een import precies werkt.

Draaiboekregels

Wanneer je in het type Control framework Draaiboek heb aangevinkt, kun je deze binnen het type, plan, regel en zelfs de rapportage-eis toevoegen. Je maakt op het tabblad Draaiboekregels via Nieuw een nieuwe draaiboekregel van het type control framework aan. Je kan via de actieknop Draaiboek kun je direct een heel draaiboek toevoegen. Om hier een draaiboek te kunnen selecteren, moet dit draaiboek ook van het type Control framework zijn. Lees hier meer over het toevoegen van draaiboektaken.

Verantwoordelijken

Binnen het control framework maak je gebruik van teams. Deze teams richt je in op verschillende niveau's. Je kunt per plan, regel of zelfs per rapportage-eis een specifiek team aanwijzen. Dit doe je in de eigenschappen van het het plan, de regel of de rapportage-eis onder het tabblad Verantwoordelijken. In het stappenplan hieronder zie je hoe je een team aanmaakt en deze koppelt aan een plan.

Teamrollen aanmaken

  1. Ga naar: Algemeen / Control framework / Inrichting / Teamrol.
  2. Maak hier de rollen aan die je wil gebruiken. Koppel hierbij het type control framework aan de teamrol. Bij teamrollen kun je denken aan bijvoorbeeld auditor, eindverantwoordelijke of procesverantwoordelijke.

Team aanmaken en koppelen aan een plan

  1. Ga naar: Algemeen / Control framework / Inrichting / Team.
  2. Maak een team aan met medewerkers of contacten. Deze koppel je ook aan het type control framework. Je gebruikt hierbij de zojuist aangemaakte teamrollen.
  3. Ga naar: Algemeen / Control framework / Inrichting / Control framework plan.
  4. Open de eigenschappen van het control framework plan.
  5. Ga naar tabblad Verantwoordelijken. Kies hier het team dat je hebt aangemaakt.

    Let op:

    Om voor een bepaald type control framework gebruik te maken van teams en teamrollen, vink je in de eigenschappen van dit type het veld Verantwoordelijken aan.

Beheersmaatregelen

Binnen de rapportage-eisen kun je onder tabblad Beheersmaatregelen specifieke risico's in kaart brengen met betrekking tot de rapportage-eise en aangeven wat de maatregelen zijn die je hiervoor neemt. Deze voeg je toe in de vorm van beheersmaatregelcombinaties. Deze richt je omgevingsbreed in.

Beheersmaatregelcombinatie aanmaken en toevoegen

  1. Ga naar Algemeen / Control framework / Inrichting / Type beheersmaatregel om het type beheersmaatregel in te richten. Hiervoor worden de waarden Maatregel en Risico standaard meegeleverd. Maar je kunt ook eigen typen hieraan toevoegen. Bijvoorbeeld dreiging of kans.
  2. Bij Control framework / Beheersmaatregel specificeer je de verschillende waarden. Benoem hier bijvoorbeeld bepaalde risico's of maatregelen waarover je uiteindelijk gaat vastleggen.
  3. Koppel nu de waarden uit stap 2 die met elkaar in verband staan. Dit doe je via Control framework / Inrichting / Beheersmaatregelcombinatie. Hier koppel je maximaal vijf beheersmaatregelen aan elkaar. Bijvoorbeeld een risico, maatregel en kans die alle drie met elkaar te maken hebben.
  4. De aangemaakte beheermaatregelcombinatie voeg je toe in de eigenschappen van de specifieke rapportage-eisen onder het tabblad beheersmaatregelen. Deze vind je op het tabblad rapportage-eisen in de eigenschappen van regel.

Een beheermaatregel hoeft niet altijd gekoppeld te zijn aan een rapportage-eis. Je kunt een type beheersmaatregelen en beheersmaatregelen ook afzonderlijk benaderen. Op InSite zijn hier overzichtelijke pagina's voor beschikbaar. Per type beheersmaatregel genereert InSite ook een nieuwe portalpagina. Lees hier meer over.

Risico en maatregel

Er zijn twee standaard type beheersmaatregelen: Risico en Maatregel. Je voegt zelf beheersmaatregelen toe die op één van deze (of een eigen) type beheersmaatregel zijn gebaseerd. Wanneer je een beheersmaatregel van het type risico toevoegt, kun je hierbij een risicoscore laten genereren. Dit doe je als volgt:

Beheersmaatregel risico toevoegen

  1. Ga naar Algemeen / Control framework / Risico.
  2. Klik op Nieuw.
  3. Vul de code, een omschrijving en eventueel de verantwoordelijke.
  4. Vul onder Risicoscore voor maatregelen en onder Risicoscore na maatregelen een aantal sterren van één t/m vijf in.
    Dit resulteert in een rsicoscore. De formule hiervoor is Kans * Impact.
  5. Vervolgens kies je bij de Risicobehandeling uit vier opties: accepteren, mitigeren, overdragen en vermijden.

Definitief maken

Wanneer de vastlegging voor een regel (bepaald jaar) is afgerond, kan deze definitief gemaakt worden. Dit doe je als volgt:

  1. Ga naar: Algemeen / Control framework / Control framework.
  2. Selecteer de regel die je definitief wil maken
  3. Klik bovenin op de actieknop Definitief maken

De beheersmaatregelen die binnen deze regel in de beheersmaatregelcombinaties zijn vastgelegd, worden op dat moment definitief en zijn op deze manier in te zien op elk gewenst moment, bijvoorbeeld door de accountant. Wanneer je op een later moment via Control framework / Beheersmaatregel in de maatregelen iets wijzigt, heeft dit geen invloed op de regels die definitief zijn gemaakt.

Rapportage

Het rapport Verklaring van toepasselijkheid (Profit) is beschikbaar via Algemeen / Uitvoer / Rapport. Ook kun je het rapport starten vanuit de control framework regel via Acties/ Afdrukken Verklaring van toepasselijkheid.

Dit rapport genereer je per rontrol framework regelnummer (CF-regelnummer). In het rapport zie je de periode van de regel met daaronder per control de aangevinkte beweegredenen en of het control in deze regel wel of niet van toepassing is, inclusief toelichting. Wanneer je dit rapport genereert voor een eigen type control framework, let er dan op dat dit standaard rapport alleen de eerste vijf opgegeven beweegredenen laat zien.

InSite

AFAS levert standaard pagina's voor het control framework op InSite. Deze pagina's vallen onder drie typen pagina's: Om gebruik te maken van de verschillende pagina's op InSite, moeten deze drie typen pagina's eerst worden geactiveerd. Hierna zijn de InSite pagina's vindbaar binnen Sitebeheer via Bewerken / Onderhouden pagina's. Om ze toegankelijk te krijgen voor bezoekers van de site, maak je de pagina's vast aan het menu.

Typen pagina's:

  • Control frameworks
  • Kwaliteitsmanagements
  • Beheersmaatregelen

Voor ieder type control framework is een aantal InSite pagina's beschikbaar. Deze vallen onder type pagina Control framework. Denk hierbij aan een portalpagina en een overzichtspagina met alle aangemaakte regels. Ook zijn er pagina's beschikbaar om, binnen dit type control framework, regels of rapportage-eisen toe te voegen en aan te passen.

Daarnaast is er een centraal portaal beschikbaar voor alle openstaande control frameworks: de portalpagina Kwaliteitsmanagement (Type pagina Kwaliteitsmanagements). Omdat ISO 27001:2022 en CSRD standaard worden uitgeleverd, zijn deze al op dit portaal aanwezig.

Op InSite kun je ook beheersmaatregelen overzichtelijk inzien en aanmaken. Hiervoor is onder andere de portalpagina Risico beschikbaar (type pagina Beheersmaatregelen). Op deze pagina wordt niet gekeken vanuit een type control framework, maar worden de beheersmaatregelen afzonderlijk bekeken.

Je autoriseert de toegang tot InSite pagina's standaard via functionaliteiten en autorisatierollen. De InSite pagina’s van control framework zijn beschikbaar in de twee functionaliteiten: Control framework beheren en Control framework raadplegen. De InSite pagina’s van Beheersmaatregelen zijn beschikbaar in de twee functionaliteiten: Beheersmaatregelen beheren en Beheersmaatregelen raadplegen.

Autorisatie

Het menu-item Control framework is te autoriseren in de autorisatietool. Ook kun je hier de verschillende tabbladen autoriseren. Gebruik hiervoor bijvoorbeeld standaard gebruikersgroep PR-014 Control Framework Applicatiebeheer (Profit). Elke gebruiker is deze groep heeft alle rechten op control framework. Daarnaast is er de gebruikersgroep PR-015 Control Framework (Profit) voor InSite. Gebruikers is deze groep hebben alleen rechten om control framework te onderhouden en beheren in InSite.

Dossier

Vanaf profit 5 beschik je voor het control framework over twee type dossieritems:

  • Vraag vanuit accountant
  • Vraag vanuit audit

Deze type dossieritems hebben ook een meegeleverde workflow en bijbehorende overzichtspagina's op InSite.