4 september 2023

De IT-auditor komt langs, wie komt er langs?

De hoeveelheid data groeit exponentieel en wordt steeds belangrijker voor bedrijven. In een wereld waar vrijwel alle data toegankelijk is (of moet zijn), vaak over ketens heen, groeit het belang van informatiebeveiliging. Dit thema is vanuit multinationals, gezondheidszorg en overheid de laatste jaren doorgedrongen naar het bedrijfsleven en lagere overheden (waterschappen en gemeenten).

Het is hierbij onze taak als IT-auditor om zekerheid te geven over de beveiliging van de geautomatiseerde informatievoorziening. Organisaties dienen voldoende maatregelen te nemen om gevoelige informatie te beschermen en continuïteit te garanderen.

De IT-audit

Een IT-auditor geeft een onafhankelijk oordeel over de IT binnen een organisatie. Afhankelijk van de scope en de reikwijdte zijn IT-audits onder te verdelen in verschillende audits. Zo zijn er IT-audits met een specifieke focus zoals de audit op de DigiD aansluiting of het maken van een ISAE 3402 of SOC 2 verklaring, maar kunt u ook een maatwerk audit over een specifiek onderwerp laten uitvoeren.

Het doel van een IT-audit

Het doel van een audit is het verlenen van aanvullende zekerheid aan de opdrachtgever (bijvoorbeeld het bestuur en/of management van een organisatie) of aan derden over bijvoorbeeld de beveiliging en beheersbaarheid van de IT binnen een organisatie. Hiernaast is het diepere doel afhankelijk van hetgeen de opdrachtgever wil met de auditrapportage en de normen die gehanteerd worden.

De diepgang van het onderzoek is afhankelijk van de mate van zekerheid die gewenst is, wat weer afhankelijk is van wat de ontvanger met de auditrapportage wil doen. Als auditor drukken we de diepgang en dus zekerheid van een rapportage uit in een redelijke mate van zekerheid en beperkte mate van zekerheid. Volledige zekerheid is nooit af te geven.

De mate van zekerheid bepaalt onder andere of alleen de opzet, bestaan of ook werking getoetst wordt. Bij de toetsing van de opzet worden alleen documenten bestudeerd op juistheid en volledigheid van het beschreven proces, beleid of technische inrichting. Een toetsing van bestaan is een test van één voorbeeld dat het proces ook daadwerkelijk als beschreven heeft plaatsgevonden. Een toetsing van de werking is een controle over een langere tijdsperiode.

Belang en voordelen van een IT-audit

Zekerheid over de kwaliteit is van groot belang vanwege de continuïteit en kwaliteit van bedrijfsprocessen en de strenge eisen die worden gesteld aan transparantie, IT-governance, risicobeleid en compliance. Zeker als u in een keten acteert zal steeds vaker gevraagd worden naar een assurancerapportage waarmee u aantoont dat uw bedrijf haar zaken op orde heeft.

Door een IT-audit uit te laten voeren krijgt u:

  • Inzicht in uw bedrijfsrisico's;
  • Advies over de beheersing van deze risico's;
  • Verbeterde kwaliteit datastromen door analyse en
  • een verbeterd bewustzijn over de informatiebeveiliging

Een helder beeld

Naast IT-assurance kunt u een IT-auditor vragen om met u mee te denken of om te fungeren als een klankbord voor vraagstukken over informatietechnologie. Onze IT-auditors beschikken over de juiste deskundigheid met betrekking tot IT-projecten, beheersing en beveiliging.

Hopelijk is uw beeld over de IT-auditor opgehelderd, weet u wat wij voor u kunnen betekenen en is bekend in welk belang een audit wordt uitgevoerd.