• Previnet wint credibiliteit, middelen en tijd dankzij SOC-rapportage
Testimonial:

Previnet wint credibiliteit, middelen en tijd dankzij SOC-rapportage

01 november 2022

“Wie grote volumes gevoelige data verwerkt in zijn organisatie, heeft hoogwaardige controlemiddelen voor beveiliging, privacy en naleving nodig en periodieke attestaties over de effectiviteit ervan.” Aan het woord is Martino Braico, Senior Manager van pensioenfondsen en verzekeringsportefeuilles bij het Italiaanse Previnet. Aanvankelijk stond hij wat weigerachtig tegenover het voorstel om met SOC-rapportage te starten omdat hij vreesde dat het volledige operationele model van Previnet door een externe auditor in twijfel zou worden getrokken. Maar het vertrouwen dat BDO uitstraalde overtuigde hem.

Wat is de corebusiness van Previnet?

Martino Braico: “Doorheen de jaren zijn wij erin geslaagd de complexiteit van het beheer te verminderen – noem het de administratie van a tot z – van pensioenfondsen en verzekeringsportefeuilles in verschillende jurisdicties en landen. We bieden daarvoor een rist outsourcingdiensten en technologische oplossingen aan. We zijn trouwens een van de weinige serviceproviders die IORP (Institutions for Occupational Retirement Provision) en cross-border pensioenregelingen ondersteunen. Dankzij onze in-house technologie-experten bouwen we daarvoor doelgerichte IT-oplossingen die we ook zelf implementeren bij onze klanten.”

Hoe kun je compliant zijn in zoveel landen tegelijk, allemaal met hun specifieke eisen?

Martino: "We hebben een netwerk van lokale consultants uitgebouwd in de tien landen waar we vandaag actief zijn. Dankzij één uniek technologisch kader en een sterk vertakt lokaal netwerk in elk land kunnen we onze klanten diensten en oplossingen op maat bieden, volledig in lijn met de nationale regels en vereisten. Vandaag staan we al sterk in ons moederland Italië en grote delen van Europa, maar het is onze ambitie om naar nog meer landen uit te breiden.”

Dat maakt het verhaal van eisen en regelgeving nog complexer en tijdrovender?

Martino: "Klopt. Dat is een van de redenen waarom we zijn gestart met de SOC 1- en SOC 2- rapportage voor ons bedrijf en onze diensten. SOC-rapporten (Service Organisation Controls) zijn raamwerken die zijn vastgelegd door de AICPA (American Institute of Certified Public Accounts) voor de rapportage over interne controlemiddelen binnen een organisatie. We waren vooral op zoek naar een onpartijdige en externe evaluatie (met eventueel bevestiging) van de sterkte van onze bedrijfsprocessen, het IT- en beveiligingskader en ons bestuur."

Wat is het belang van de SOC-rapporten?

Martino: "Die rapporten zijn essentieel voor het beheren en bewaken van de beveiliging van onze administratieve processen en databases. Wij krijgen bijna constant auditors over de vloer waarin we veel tijd en middelen investeren. Tot BDO voorstelde om te anticiperen op al die controles en validatietesten. We stonden niet te springen voor het idee, maar BDO kent de pensioen business uitstekend en hun open communicatie was altijd al productief. Dus gingen we overstag, en met succes. Ondanks de grote inspanning die we jaarlijks moeten leveren om de attesten te verkrijgen, is de tijdwinst aanzienlijk. Immers, de verschillende auditors die nu nog over de vloer komen, hoeven alle controles die wij samen met BDO al deden, niet nog eens over te doen. Dat bespaart ons veel meer tijd en middelen dan we er zelf in investeren.” 

En er is nog meer?

Martino: "In het bijzonder SOC 2 was nuttig om een pak informatie te formaliseren die voor iedereen bij Previnet wel duidelijk was, maar nog niet op de juiste manier gedocumenteerd stond. Denk aan onze waarden, gedragscode, doelstellingen, policy’s, enz. die op die manier heel tastbaar werden.”

De pensioenbusiness verveelt dus nooit?

Martino: "In tegenstelling tot wat velen denken is het geen saaie omgeving. Ik werk nu al meer dan 25 jaar in de business en bij elke audit of klantenmeeting leer ik nog bij. Dat houdt me gemotiveerd!”

Wil je meer info over de SOC-rapportage? Of over wat je moet doen om de attesten te verkrijgen? 

Contacteer Christophe Daems, Partner Risk Advisory bij BDO België. Hij helpt je graag verder.