Het inzetten van een IT-audit is bijvoorbeeld relevant als uw organisatie:

  • vermoedt dat zich problemen voordoen in de IT-infrastructuur maar niet precies weet welke problemen en waar;
  • wil weten of een voorgestelde oplossing voor een eerder geconstateerd probleem effectief zal zijn;
  • van mening is dat de IT op orde is, maar hierover zekerheid –assurance– wenst respectievelijk dit wil aantonen tegenover een derde partij.

Indien gekozen wordt voor een IT-audit zullen wij, nadat we met u de scope (te gebruiken normenkader, te toetsen kwaliteitsaspecten, welke onderdelen van uw IT- infrastructuur) hebben bepaald, uw IT organisatie beoordelen op basis van het gekozen normenkader (zoals de Code voor Informatiebeveiliging of het CobiT® – framework). Hierdoor zijn de uitkomsten van de audit eenduidig en de corresponderende aanbevelingen gebaseerd op best practices; voortkomend uit de IT-praktijk en bewezen voor wat betreft de werking.

Voor AssureIT Audit is een uit te voeren IT-audit nooit een doel op zich, maar een manier om handvatten te verkrijgen waarmee de beheersing van de IT gericht en kostenefficiënt naar het gewenste niveau kan worden gebracht.

Het auditrapport bevat daarom naast de door de IT-auditor gedane bevindingen heldere en naar urgentie gerangschikte aanbevelingen waarmee uw organisatie een concreet stappenplan ter verbetering kan opstellen.

Het auditrapport

In alle gevallen zal het concept-auditrapport eerst met u worden besproken om zo een onverhoopte incorrecte interpretatie door de auditor of een misverstand te kunnen elimineren (‘hoor en wederhoor’).  Het auditrapport is in veel gevallen bedoeld voor intern gebruik, doch het is ook mogelijk dat uw organisatie zekerheid wil verschaffen tegenover een derde partij, bijvoorbeeld een afnemer van uw IT-diensten.



De ISAE3402 – rapportage

Indien uw organisatie zekerheid omtrent de kwaliteit van haar IT-processen aan een derde partij dient te verstrekken, zal het auditrapport in de vorm van een ‘Third Party Mededeling’ (TPM) of ISAE3402-rapportage worden uitgebracht. De ISAE3402-rapportage is de standaard voor een zogenaamd SOC (Service Organisation Control) – rapport. Een dergelijke rapportage wordt in toenemende mate -al dan niet ten behoeve van hun externe accountant- gevraagd door organisaties die hun non-core activiteiten (zoals gegevensopslag en applicatiebeheer) hebben uitbesteed aan een derde partij. Daarnaast zijn bijvoorbeeld financiële instellingen wettelijk (Art. 4.16 Wft) verplicht om aan te kunnen tonen dat door hen uitbestede IT-processen beheerst worden. Een verzekeraar of bank zal daarom van haar beoogde leveranciers een ISAE3402-verklaring vereisen voordat deze de diensten daadwerkelijk kan gaan leveren.

Als u een dergelijke verklaring aan uw afnemers dient te verstrekken, kunt u uiteraard voor een ISAE3402-audit terecht bij AssureIT Audit.

Kwaliteitsborging

Alle door AssureIT Audit verrichte diensten (zowel in de auditsfeer als advisering) worden uitgevoerd door dan wel onder eindverantwoordelijkheid van een Register EDP – auditor (RE). Dit betekent dat de werkzaamheden worden verricht met inachtneming van de kwaliteitsstandaarden en richtlijnen zoals opgenomen in het Reglement Beroepsuitoefening van de Nederlandse Orde van register EDP-auditors (NOREA).