Ronald Snoep RE
Verander twijfel in zekerheid
Met een “redelijke mate van zekerheid” als oordeel op een Assurance rapportage brengt de IT Auditor het risico in de omstandigheden van de opdracht terug tot een aanvaardbaar laag niveau als basis van de conclusie van de IT Auditor.
Dit oordeel van onze gecertificeerde RE-auditors biedt zekerheid en vertrouwen om te kunnen ondernemen en te groeien. Om nieuwe dingen te proberen met de zekerheid dat u compliant bent en geen onnodige digitale risico’s neemt. Van twijfel naar zekerheid, dat is de belofte van AuditConnect.
IT Audit & Assurance
Ons team van IT Auditors oordeelt en adviseert over de kwaliteit van de beheersing van uw IT. Wij adviseren of beoordelen onafhankelijk de inrichting van uw interne beheer processen en of deze ook daadwerkelijk zijn en worden uitgevoerd zoals ze zijn beschreven.
Onze kundige IT Auditors onderscheiden zich door onze praktische aanpak en het leveren van toegevoegde waarde. Bij de controle van jouw IT-omgeving gebruiken wij auditmethodieken die aansluiten op je branche, organisatie, systemen of applicaties.
Ons team van Register EDP Auditor’s (RE’s) richt zich op het opstellen van uw Assurance rapportages; ISAE 3000, 3402 en SOC2. Daarnaast verzorgen wij Third Party Mededelingen (ENSIA, DigiD, BIO, enz.), adviesopdrachten en geven trainingen.
In onze aanpak kunnen wij ‘implementatie-ondersteuning’ aanbieden. Hierbij begeleiden we u met het opstellen van de voor assurance verplichte ‘systeembeschrijving’ en het ‘controleraamwerk’, de beheersingsdoelstellingen en -maatregelen. Desgewenst verzorgen wij voor u een pré Audit. En wij voeren de onafhankelijke Audit voor u uit wat resulteert in een Assurance rapportage.
ISAE audits
Assurance rapportage
(ISAE richtlijnen)
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’ en richt zich op zekerheid op de beheersing van IT. Veel organisaties besteden (een deel) van hun (IT-)activiteiten uit aan serviceorganisaties of leveranciers.
De afnemers van deze serviceorganisaties willen tegenwoordig steeds vaker voldoende zekerheid (assurance) hebben dat de interne beheersing van de uitbestede dienst van voldoende kwaliteit is. Vaak ook wordt dit vereist vanuit toezichthoudende partijen op diensten. Serviceorganisaties kunnen zich onderscheiden door aantoonbaar te laten maken dat ze aan deze kwaliteitsnormen voldoen middels een assurance rapportage.
Het juist én volledig beheersen van processen, risicomanagement en het ICT-management zijn hierbij cruciale zaken. Daarnaast kun je met een Assurance rapport aantonen dat je constant streeft naar verbetering en professionalisering van je organisatie.
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’ en betreft een internationale standaard. Een ISAE 3000-rapport is gericht op de beheersing van IT processen.
De NOREA richtlijn 3000 kent 2 varianten; de 3000D voor Directe opdrachten en de 3000A voor Attest opdrachten. Bij Directe-opdrachten, meet of evalueert de IT-auditor het onderzoeksobject ten opzichte van criteria. Deze criteria worden veelal ingegeven door Toezichthoudende partijen (zie Third Party Mededelingen (TPM) op basis van de Richtlijn ISAE 3000D). Ook serviceorganisaties of leveranciers kunnen kiezen voor een 3000D assurance rapport. In dat geval bepaald de serviceorganisaties of leveranciers de criteria waarop het Assuranceonderzoek plaatsvindt.
Attest-opdrachten bevatten een verplichte ‘systeembeschrijving’ en het ‘controleraamwerk’, de beheersingsdoelstellingen en -maatregelen, dient tot stand te komen op basis van een (rationele) risicoanalyse.
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’ en betreft een internationale standaard. Een ISAE 3402-rapport is naast de beheersing op IT processen, gericht op beheersmaatregelen voor de financiële processen en transacties.
NOREA richtlijn 3402 betreft een Assurance rapportage betreffende de interne beheersingsmaatregelen bij een Serviceorganisatie of leverancier. Een ISAE 3402 rapportage bevat een verplichte ‘systeembeschrijving’ en het ‘controleraamwerk’, de beheersingsdoelstellingen en -maatregelen, dient tot stand te komen op basis van een (rationele) risicoanalyse. Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikersorganisaties een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisaties in relatie tot de financiële verslaggeving.
De afkorting ISAE SOC2 staat voor ‘International Standard On Assurance Engagements’ en ‘Service Organisatie Control Rapporten voor IT Service Organisaties (‘SOC2’ als gebruikte aanduiding’. ISAE 3000/SOC2 betreft een internationale standaard. De criteria voor het SOC2 onderzoek ligt vast in het AICPA SOC 2® model en de ‘Trust Services Principles and Criteria’.
De Trust Service Principles kennen vijf categorieën; Beveiliging, Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy. De categorie Beveiliging is verplicht om te hanteren, de overige categorieën zijn optioneel.
Daarnaast maken 7 algemene principe categorieën integraal onderdeel uit van de SOC2-rapportage; Organisatie en management, Communicatie, Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen, Monitoring van beheersingsmaatregelen, Logische- en fysieke toegangsbeveiliging, Systeem operatie en Change management.
Een ISAE 3000/SOC2-rapport is naast de beheersing op IT processen, eveneens gericht op beheersmaatregelen voor de financiële processen en transacties.
TPM audits
Third Party Mededelingen (TPM) op basis van de Richtlijn ISAE 3000D
Toezichthoudende partijen (overheid, semi-overheid en branche organisaties) kunnen op diensten, de aansluiting van diensten of het gebruik van applicaties een onafhankelijk Assurance onderzoek en rapport vereisen op door hen gestelde criteria.
De bekendste TPM’s zijn DigiD, ENSIA en WPG. Er bestaan er echter nog veel meer; BIO, SurfNet, SuwiNet, Vecozo, enz. Wij voeren alle typen TPM’s uit.
Burgers kunnen met een DigiD via internet zich identificeren en gegevens uitwisselen met overheidsinstellingen en bedrijven. De toezichthouder op DigiD, Logius vereist een onafhankelijk Assurance onderzoek en rapport op basis van een vast controle raamwerk (criteria) voor de DigiD aansluit houdende partijen.
De ministeries van BZK en SZW vereisen van gemeenten, provincies, waterschappen en enkele onderdelen binnen de rijksoverheid in Nederland dat zij zich middels een onafhankelijke Assurance onderzoek en rapportage verantwoorden over hun kwaliteit van informatiebeveiliging en kwaliteit middels ENSIA. ENSIA staat voor Eenduidige Normatiek Single Information Audit.
De Wet politiegegevens (Wpg) is een Nederlandse wet die de rechten en de plichten van de politie zelf, maar ook die van de burger regelt, voor wat betreft het verwerken van politiegegevens en persoonsgegevens die in het kader van de politietaak worden verwerkt. Ook voor bijzondere opsporingsdiensten (BOD) en de buitengewoon opsporingsambtenaren (boa’s) is deze wet van toepassing.
De Wet politiegegevens (Wpg) schrijft voor dat u tenminste jaarlijks een interne IT-audit dient uit te voeren. Deze interne audits zijn ter voorbereiding op de externe privacy audit, welke om de 4 jaar uitgevoerd dient te worden.
Assurance
Zekerheid van een correcte implementatie
Een correcte interpretatie van de regels en het op papier zetten van hoe u deze gaat naleven is één ding. Maar AuditConnect helpt u ook met het in de praktijk toepassen en inbedden van de richtlijnen in uw organisatie.
Assurance richtlijnen stellen eisen aan de wijze van onderzoek, rapportage en oordelen. Voorafgaand aan deze Assurance onderzoeken en rapportages kunnen wij ondersteunen bij het opstellen en documenteren van de beschrijving van de dienst alsook het controleraamwerk (stelsel van interne beheersingsdoelstellingen en beheersmaatregelen) middels templates, instructie en controle.
Denk hierbij aan de beschrijving van de organisatie, dienstverlening en scope van het rapport, verantwoordelijkheden, beheersingsomgeving en -processen, beheersingsdoelstellingen en -maatregelen, risico analyse, vaststellen benodigde maatregelen, identificatie aanwezige maatregelen, vaststellen benodigde aanvullende maatregelen en overige verplichte onderdelen van een Assurance rapportage.
Daarnaast kunnen wij een pre-audit verzorgen. Met een pre-audit brengen we samen met u in kaart in hoeverre uw organisatie voldoet aan de beheersingsmaatregelen van een Assurance onderzoek en –rapportage. In relatief beperkte tijd voeren we samen met uw organisatie een analyse uit op de beschrijving van de dienst alsook het controleraamwerk (stelsel van interne beheersingsdoelstellingen en beheersmaatregelen). De uitkomsten van deze pre-audit geven u een beeld van de haalbaarheid van een daadwerkelijke Audit. Tevens is het de basis voor -wanneer dit van toepassing is- het verbetertraject, namelijk ‘wat moet er nog gebeuren om te voldoen?’
Adviesopdrachten
Advies over de
veilige toepassing van IT
Een correcte interpretatie van de regels en het op papier zetten van hoe u deze gaat naleven is één ding. Maar AuditConnect helpt u ook met het in de praktijk toepassen en inbedden van de richtlijnen in uw organisatie.
U kunt ons voor meer inschakelen dan alleen IT-assurance. Een IT Auditor kan meedenken en adviseren over alle informatietechnologie in uw organisatie.
De RE is een professional die op grond van zijn opleiding en praktijkervaring beschikt over de juiste deskundigheid met betrekking tot softwarepakketten, IT-projecten, -beheersing en beveiliging.
Voorbeelden zijn:
- 0-metingen
- Assessments
- Begeleiding verandertrajecten
- Implementatie Ondersteuning
- Risicoanalyses
- Kwaliteitsmanagement
- Detachering
- Trainingen
“The proof of the pudding..”, wij laten graag onze klanten meer vertellen over de toegevoegde waarde die zij ervaren in de samenwerking met AuditConnect IT Audit & Assurance. Mede om privacy redenen vermelden wij slechts de voornaam, functie en de branche waarin onze klant opereert.
Klanten over
AuditConnect IT Audit & Assurance
Richard
Security & Quality Officer
IT Dienstverlener
Wij werken nu een aantal jaar samen met AuditConnect. Wij ervaren AuditConnect als een ervaren, betrokken auditpartij. De audits worden vakkundig uitgevoerd en er wordt duidelijk gecommuniceerd over de voortgang en resultaten.
Salar
Manager Managed Services
IT Dienstverlener
Bij AuditConnect draait het om het leveren van kwaliteit en het optimaal bedienen van de klant. De AuditConnect deskundigen beschikken over uitgebreide kennis en zijn altijd bereid om ons te helpen met onze vraagstukken. Bij AuditConnect hoor je nooit direct een nee, want ze denken altijd mee over een passende aanpak of oplossing. Ik kijk altijd met plezier terug op de samenwerking met mijn AuditConnect contactpersonen en heb het gevoel dat ik ze op elk moment kan bellen voor vragen en advies.
Olaf
Software-oplossingen voor woningcorporaties en vastgoedorganisaties
Directeur
AuditConnect weet ons naast de zorgvuldige audit ook steeds weer uit te dagen om onze processen controleerbaar te optimaliseren en dat heeft voor ons een extra toegevoegde waarde.
Dennis
IT Risk & Compliance Officer
IT Dienstverlener
Gestructureerde onderzoeken met een duidelijk begin en eind, goede voorbereiding en nazorg gecombineerd met een prettige samenwerking. Door gebruik te maken van de auditdiensten van AuditConnect, kunnen we onze klanten assurance bieden over de diensten die we leveren en geeft het ons goede inzichten.
Timo
Senior Director of DevOps and Information Security
IT Dienstverlener
Wij hebben we in 2020 kennisgemaakt met AuditConnect en de samenwerking is prima bevallen, met name door de mensen met wie we samenwerkten in de SOC2 audits.
Ons team
Kwaliteitsgerichtheid & Verantwoordelijkheid
RE’s hebben kennis van informatietechnologie, bestuurlijke informatievoorziening, organisatiekunde en methoden en technieken van onderzoek. Een RE geeft onpartijdige adviezen en oordelen over kwaliteitsaspecten van IT. Ons team bestaat uit goed opgeleide, enthousiaste IT Auditors. De kracht zit in de samenwerking; iedere IT Auditor heeft zijn/haar eigen specialiteiten en deze worden op basis van de behoefte van de klant en opdracht optimaal ingezet. Wij voeren opdrachten uit binnen de sectoren Overheid, Semi-overheid, Zorg, Logistiek, Financieel, Retail en IT dienstverlening (MSP’s).
AuditConnect is een organisatie waar meedenken met de klant voorop staat. Wij maken ons sterk voor de uitvoering van gestructureerde onderzoeken met een duidelijk begin en eind, goede voorbereiding en nazorg gecombineerd met een prettige samenwerking. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om u deskundig te ondersteunen. AuditConnect helpt je graag om “in control” te komen en te blijven met betrekking tot uw ICT activiteiten vandaag én in de toekomst.
Register IT-auditors zijn op grond van hun opleiding en ervaring de aangewezen deskundigen om IT-assurance opdrachten uit te voeren. IT-auditors hebben de erkende universitaire opleiding tot IT-auditor voltooid en kunnen meerjarige praktijkervaring aantonen. Zij zijn ingeschreven als Register EDP-auditor (RE). Met de inschrijving in het register verbinden ze zich aan de gedrags- en beroepsregels en zijn ze onderworpen aan tuchtrechtspraak.
Monique Sangers
Neem contact op
Wilt u meer weten over onze audit & assurance diensten? Vul het formulier in, onze adviseurs nemen direct contact met u op.