ALLES ONDER CONTROLE
IT-audit
IT-audit
ONZE AANPAK BIJ IT-AUDITS
Duidelijk, menselijk en samen met jou
Een IT-audit kan behoorlijk intensief zijn, zeker wanneer het de eerste keer is. Nieuwe materie, een andere manier van documenteren en extra aandacht voor controleerbaarheid kunnen vragen oproepen. Daarom vinden wij het belangrijk om je stap voor stap door het proces te begeleiden. Onze aanpak bestaat uit overzichtelijke fasen, waarbij duidelijke communicatie en samenwerking centraal staan.
Ongeacht het type IT-audit beginnen we altijd met een gezamenlijke kick-offsessie. Hierin leggen we uit wat de IT-audit inhoudt, wat jij van ons mag verwachten — en minstens zo belangrijk: wat wij van jou nodig hebben. Ook maken we afspraken over planning, communicatie en de manier waarop we te werk gaan. Zo zorgen we voor een soepele start.
In deze fase gaan we daadwerkelijk aan de slag. We verzamelen informatie via gesprekken, documentatie en systeemanalyses. Onze werkwijze is pragmatisch en afgestemd op jouw organisatie. Door goede voorbereiding en afstemming zorgen we ervoor dat het auditproces duidelijk is en efficiënt verloopt.
Op basis van onze bevindingen stellen we een conceptrapport op. Dit stemmen we inhoudelijk met je af, zodat er ruimte is voor toelichting, vragen en eventuele bijstellingen. Zodra er akkoord is op het conceptrapport, werken we het definitieve rapport uit — uiteraard binnen de vooraf afgesproken tijdslijnen.
Wat voor ons minstens zo belangrijk is: we hanteren altijd een menselijke benadering. We begrijpen als geen ander dat er soms — zakelijk of privé — onverwachte omstandigheden zijn waardoor afspraken last-minute moeten worden verzet. In zulke gevallen mag je van ons geen factuur verwachten, maar wél begrip.
Diepgang van de audit
Afhankelijk van de gewenste diepgang onderscheiden we verschillende typen onderzoeken. Een zogenoemde type I-audit richt zich op de opzet en implementatie van beheersmaatregelen op een bepaald moment in de tijd: zijn de maatregelen goed ingericht en correct toegepast? Dit noemen we ook wel het fotomoment. In een type II-audit kijken we daarnaast ook naar de effectieve werking van die maatregelen over een langere periode. Dit is de film, waarbij we beoordelen hoe de maatregelen gedurende die periode hebben gefunctioneerd.
Deze opzet komt terug in bekende assurance-standaarden, waarbij we samen bepalen welk type onderzoek het beste aansluit bij uw doelstelling — bijvoorbeeld ten behoeve van klanten, toezichthouders of interne borging.
ONZE DIENSTEN
Welke audits voeren wij uit?
Hieronder hebben wij een overzicht opgenomen van de meest voorkomende type audits, die door onze klanten worden gevraagd. Mocht jij een ander auditvraagstuk hebben, laat het ons gerust weten.
Eenduidige Normatiek Single Information Audit (ENSIA) is het verantwoordingsstelsel waarmee gemeenten en andere overheidsorganisaties zich verantwoorden over informatiebeveiliging. De audit richt zich op naleving van BIO-normen en DigiD-eisen, en wordt jaarlijks uitgevoerd.
Organisaties die gebruikmaken van DigiD zijn verplicht jaarlijks een audit te laten uitvoeren om aan te tonen dat zij voldoen aan de beveiligingseisen van Logius. De auditresultaten worden gebruikt voor het DigiD-assessment.
Deze audit is bedoeld voor organisaties die als Overige Dienstenaanbieder (ODA) slimme meter-gegevens verwerken of diensten leveren aan eindgebruikers op basis van verbruiksdata. De audit controleert of wordt voldaan aan de eisen op het gebied van informatiebeveiliging, privacy en betrouwbaarheid, zoals vastgesteld door Netbeheer Nederland.
System and Organization Controls (SOC) 1-rapportages zijn bedoeld voor serviceorganisaties die diensten leveren die van invloed zijn op de financiële verslaggeving van hun klanten. Deze rapporten beoordelen de opzet, het bestaan en de werking van beheersmaatregelen die relevant zijn voor financiële processen. SOC 1 is gebaseerd op de internationale standaard ISAE 3402.
SOC 2-rapportages richten zich op IT-serviceorganisaties en beoordelen beheersmaatregelen op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. De rapporten zijn gebaseerd op de Trust Services Criteria van de AICPA. SOC 2 biedt klanten en toezichthouders inzicht in de effectiviteit van de IT-beheersmaatregelen van een organisatie.
SOC 3-rapporten zijn vergelijkbaar met SOC 2-rapporten, maar bedoeld voor een breder publiek. Ze bieden een samenvattende beoordeling van de effectiviteit van de beheersmaatregelen zonder gedetailleerde beschrijvingen van de controles. SOC 3-rapporten zijn geschikt voor organisaties die hun inzet voor informatiebeveiliging willen communiceren aan klanten en andere belanghebbenden zonder vertrouwelijke details prijs te geven.
Internationale standaard voor assurance-opdrachten die niet direct betrekking hebben op financiële verslaggeving. Veel gebruikt voor audits rondom informatiebeveiliging, privacy of naleving van wet- en regelgeving.
Standaard gericht op organisaties die uitbestede processen uitvoeren voor andere partijen (zoals pensioenbeheerders of IT-outsourcers). Het rapport toont aan dat er effectieve beheersmaatregelen zijn voor financiële processen.
Een zogenoemde “agreed-upon procedures”-opdracht: de auditor voert specifieke werkzaamheden uit die vooraf met de klant zijn afgesproken. Er wordt geen oordeel gegeven, maar alleen feitelijke bevindingen gerapporteerd.
Toetsing van privacybeheersing op basis van het Privacy Control Framework van NOREA. De audit beoordeelt of een organisatie privacyrisico’s effectief onder controle heeft en voldoet aan AVG-verplichtingen, op gestructureerde en transparante wijze.
De DORA-audit toetst of financiële instellingen en -dienstverleners voldoen aan de Digital Operational Resilience Act, met name op het gebied van informatiebeveiliging, operationele veerkracht, ketenrisicomanagement en rapportageverplichtingen. Hierbij worden governance en ICT-risicostrategieën, incident- en crisisbeheer, resilience-testen (zoals stresstests en threat-led penetratietests) en het beheer van ICT-leveranciers beoordeeld en gemonitord richting toezichthouders.
Interne audits vormen een essentieel onderdeel van het continu verbeteren binnen informatiebeveiliging. Of het nu gaat om ISO 27001, NEN 7510 of de BIO: een goed uitgevoerde interne audit geeft inzicht in zowel de mate van naleving als de effectiviteit van beheersmaatregelen.
Deze audits zijn bedoeld voor organisaties die aantoonbaar moeten voldoen aan ISO 27001, NEN 7510, BIO of aanverwante normenkaders, maar niet de juiste kennis of capaciteit in huis hebben om dit zelfstandig uit te voeren.
Met onze interne audits krijg je niet alleen een compliance-check, maar ook concrete en toepasbare inzichten waarmee je écht verder kunt. Of je nu net start met certificering, of toe bent aan een kritische herijking van je bestaande ISMS: wij voeren audits uit die aansluiten bij de praktijk — en bij jouw organisatie.
ZELFSTANDIG OF TER BERGELEIDING
IT-audits in de jaarrekeningcontrole
Het opstellen van een gedegen jaarrekening vereist zorgvuldige IT-auditwerkzaamheden, en het is essentieel dat deze werkzaamheden grondig en professioneel worden uitgevoerd. Daarom bieden wij ondersteuning door ervaren IT-auditors (gecertificeerde RE’s) die helpen bij de uitvoering van de benodigde IT-audits voor de jaarrekening. Dit kan zowel op zelfstandige basis als in samenwerking met (junior) accountants die hun eerste stappen willen zetten in de wereld van IT-audit, en zo waardevolle kennis en ervaring opdoen voor hun verdere ontwikkeling binnen het accountantskantoor.
Onze IT-auditors zorgen ervoor dat de IT-omgeving en de bijbehorende beheersmaatregelen van jouw klanten nauwkeurig worden beoordeeld. Wij zorgen ervoor dat alle bevindingen duidelijk en goed gedocumenteerd worden vastgelegd. Deze documentatie kan hierbij direct in jouw controledossier worden verwerkt, maar bijvoorbeeld ook in separate documenten. Waar nodig worden rapportageteksten opgesteld die de uitgevoerde IT-auditwerkzaamheden helder communiceren aan de klant.
TIJDELIJKE ONDERSTEUNING VAN INTERNAL AUDIT
Internal audit
Het uitvoeren van interne audits is cruciaal voor het waarborgen van de effectiviteit van uw organisatiebeheersing, het identificeren van risico’s en het verbeteren van processen. Onze gespecialiseerde auditors werken nauw samen met jouw interne auditteam om op een efficiënte en effectieve manier de auditwerkzaamheden uit te voeren en hebben dit in recente jaren gedaan bij overheidsinstanties, financiële instellingen en software ontwikkelaars. Of het nu gaat om het evalueren van risico’s, het controleren van interne processen, of het beoordelen van de naleving van regelgeving en beleid, wij zorgen voor gedegen analyses en rapportages.
We bieden ondersteuning op maat, of het nu gaat om tijdelijke versterking van het team, begeleiding van minder ervaren auditors, of het uitvoeren van specifieke auditwerkzaamheden. In de afgelopen jaren hebben we bij verschillende organisaties in diverse sectoren geholpen bij het optimaliseren van hun interne auditprocessen, het verbeteren van de risicobeheersing en het leveren van waardevolle inzichten voor managementbeslissingen.
Een groot voordeel van het werken met onze auditors is dat zij allemaal zijn aangesloten bij NOREA (Nederlandse Orde van Register EDP-auditors). Dit lidmaatschap garandeert niet alleen dat onze auditors beschikken over de hoogste professionele standaarden, maar ook dat zij continu worden bijgeschoold en op de hoogte blijven van de nieuwste ontwikkelingen op het gebied van IT-auditing en regelgeving. NOREA stelt strenge eisen aan haar leden op het gebied van kennis, ervaring en ethiek, waardoor u verzekerd bent van de kwaliteit en integriteit van onze dienstverlening. Door de aansluiting bij NOREA hebben onze auditors toegang tot een breed netwerk van professionals, best practices en specialistische kennis, wat hen in staat stelt om onze klanten optimaal te ondersteunen bij complexe auditvraagstukken.
Onze expert Flip praat je verder bij
DIGGLE IN HET KORT
