IT-audit Services

Er bestaan verschillende soorten IT-assurance rapportages, elk met een eigen doel en toepassingsgebied. De keuze voor het juiste type rapportage hangt af van de specifieke eisen en informatiebehoeften van de gebruikersorganisatie.

In overleg bepalen we samen welk assurance-rapport het meest passend is: welke risico’s spelen er, waarover is zekerheid gewenst, en met welk doel wordt de rapportage gebruikt?

Een onafhankelijke IT-assuranceverklaring versterkt het vertrouwen tussen de serviceorganisatie en haar klanten en draagt bij aan transparantie, betrouwbaarheid en een betere samenwerking. De meest voorkomende IT-assurance rapportages zijn:

  • Met een SOC 2-rapport verschaft een serviceorganisatie assurance aan haar klanten over de kwaliteit van de beheersingsmaatregelen die relevant zijn voor de dienstverlening. Het rapport richt zich op de processen en systemen die de serviceorganisatie zelf uitvoert ten behoeve van haar klanten, en geeft inzicht in de mate waarin deze betrouwbaar en gecontroleerd functioneren.

    Een SOC 2 Assurance-rapport is gebaseerd op de Trust Services Criteria (TSC) van de AICPA, die zijn onderverdeeld in vijf categorieën: beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Het rapport beoordeelt of de controls die door de serviceorganisatie zijn ontworpen en geïmplementeerd, adequaat zijn en (in geval van een type II-rapport) gedurende de beoordelingsperiode effectief hebben gewerkt.

    SOC 2 is daarmee een veelgebruikt IT-auditraamwerk voor organisaties die transparantie willen bieden over de wijze waarop zij gevoelige gegevens en bedrijfsprocessen beveiligen en beheren. Het biedt gebruikersorganisaties onafhankelijk inzicht in de opzet, het bestaan en de werking van de relevante IT- en securitycontrols.

  • Een ISAE 3402-rapport is een onafhankelijke assurance-rapportage door een IT-auditor of accountant, die zekerheid geeft over de opzet, het bestaan en – bij een Type II-rapport – de werking van de beheersingsmaatregelen binnen een serviceorganisatie. Het doel hiervan is om gebruikersorganisaties inzicht te geven in de mate waarin zij kunnen vertrouwen op uitbestede processen die van invloed zijn op hun financiële verslaggeving.

    Omdat organisaties steeds vaker (kritische) processen uitbesteden, neemt de afhankelijkheid van de kwaliteit en beheersbaarheid van deze dienstverlening toe. Hoewel de primaire focus ligt op processen die relevant zijn voor de financiële verslaggeving, kan de scope – afhankelijk van de afspraken – ook bredere aspecten omvatten, zoals betrouwbaarheid van primaire processen, informatiebeveiliging, beschikbaarheid en integriteit.

    Het rapport biedt daarmee zekerheid over de mate van interne controle bij de serviceorganisatie, zodat gebruikersorganisaties kunnen steunen op deze controls binnen hun eigen accountantscontrole.

  • ISAE 3000 is een internationaal raamwerk voor assurance-opdrachten die betrekking hebben op niet-financiële processen en beheersingsmaatregelen. Binnen de IT-context wordt dit vaak toegepast op processen zoals change management, incident management, service level management, security management, continuïteitsbeheer en softwareontwikkeling.

    Een ISAE 3000-rapport geeft gebruikersorganisaties onafhankelijk inzicht in de mate waarin deze processen zijn ingericht (opzet), daadwerkelijk bestaan en – bij een Type II-rapport – gedurende een periode effectief hebben gefunctioneerd. Dit maakt het mogelijk om aan te tonen dat de organisatie controle heeft over cruciale processen die essentieel zijn voor de kwaliteit en betrouwbaarheid van de dienstverlening, los van de financiële verslaggeving.

    ISAE 3000 is daarmee een flexibel en breed toepasbaar assurance-raamwerk, ideaal voor organisaties die zekerheid willen bieden over algemene bedrijfs- en IT-processen die bepalend zijn voor hun dienstverlening.

    Een ISAE 3000-verklaring is ideaal wanneer u zekerheid wilt bieden over algemene processen die van cruciaal belang zijn voor de primaire dienstverlening, los van financiële aspecten.

  • Veel overheden en zorginstellingen bieden burgers de mogelijkheid om via een online portal in te loggen met DigiD. Daarmee krijgen gebruikers toegang tot persoonlijke gegevens of kunnen zij bijvoorbeeld een verhuizing doorgeven via een digitaal formulier. Omdat DigiD toegang geeft tot privacygevoelige informatie, gelden er strikte beveiligingseisen.

    Om aan te tonen dat organisaties deze eisen naleven, is in Nederland de DigiD TPM (Third Party Memorandum) verplicht. Dit jaarlijkse ICT-beveiligingsassessment moet worden uitgevoerd door een onafhankelijke IT-auditor voor alle organisaties die een DigiD-koppeling hebben (aansluithouders), waaronder gemeenten, zorginstellingen, applicatieleveranciers en hostingpartijen. Het onderzoek bestaat uit een combinatie van een audit en een technische penetratietest.

    Het DigiD-normenkader is gebaseerd op de richtlijnen voor webapplicatiebeveiliging van het Nationaal Cyber Security Centrum (NCSC). Het assessment geeft zekerheid over de mate waarin organisaties voldoen aan de gestelde eisen voor informatiebeveiliging en de beveiliging van DigiD-koppelingen.

    De DigiD-rapportage bevat een overzicht van de bevindingen per norm en wordt ingediend bij Logius, de beheerder van DigiD. Hiermee krijgen zowel de gebruikersorganisatie als betrokken serviceorganisaties inzicht in eventuele tekortkomingen en verbeterpunten.

    Om organisaties optimaal voor te bereiden, biedt Secure Audit ook de mogelijkheid van een pre-audit. Hierbij toetsen wij in hoeverre uw organisatie al voldoet aan het DigiD-normenkader, zodat eventuele tekortkomingen tijdig kunnen worden hersteld voordat het verplichte DigiD-onderzoek plaatsvindt.

    Een veelvoorkomende en zeer specifieke assurance-opdracht in Nederland is de DigiD TPM (Third Party Memorandum). Dit jaarlijkse ICT-beveiligingsassessment is verplicht voor alle Nederlandse gemeenten, organisaties met een DigiD-koppeling (gebruikersorganisaties), applicatieleveranciers en hostingpartijen. Het assessment wordt uitgevoerd in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en bestaat uit een combinatie van een audit en een technische penetratietest.

    Het DigiD-normenkader is gebaseerd op de richtlijnen voor het beveiligen van webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Het assessment biedt zekerheid over de mate waarin organisaties voldoen aan de strenge eisen voor informatiebeveiliging en de beveiliging van DigiD-koppelingen.

    De DigiD-assessment rapportage bevat een overzicht van de bevindingen per norm of maatregel. Deze rapportage wordt opgesteld voor zowel de gebruikersorganisatie als de serviceorganisatie (zoals applicatieleveranciers en hostingpartijen). Als aansluithouder van een DigiD-koppeling bent u verplicht deze rapportage jaarlijks te delen met Logius, de beheerder van DigiD.

    Om organisaties te ondersteunen in het behalen van de DigiD-certificering, biedt Secure Audit ook de mogelijkheid van een pre-audit. Hierbij evalueren we in hoeverre uw organisatie voldoet aan de eisen van het DigiD-normenkader, zodat u eventuele tekortkomingen tijdig kunt aanpakken.