Audits zijn een krachtig middel om onafhankelijk en kundig vast te laten stellen of jouw organisatie voldoet aan een bepaalde standaard of dat risico’s op de juiste manier zijn behandeld. Assurance is het afgeven van zekerheid door die onafhankelijke auditor door middel van een verklaring over een bepaald proces of de effectiviteit van maatregelen. Een audit kan op allerlei gebieden worden uitgevoerd, denk aan het verplichte DigiD Assessment, audit ten behoeve van een certificering, de beoordeling van IT Beheersing (ISAE3402/SOC) of de audit in het kader van de jaarrekening. Vanuit IT perspectief worden deze audits uitgevoerd – of gecoördineerd – door gecertificeerde Register Electronic Data Processing (EDP) -Auditors.
In principe kan een audit op alle mogelijke processen worden uitgevoerd. Hieronder een greep uit de audits die wij uitvoeren.
DigiD Assessment en Suwinet
Heeft jouw organisatie een of meerdere DigiD aansluitingen? Bijvoorbeeld zodat burgers online hun belastingaanslagen kunnen inzien en betalen? Dan dient je de juiste beveiligingsmaatregelen te treffen om hier veilig gebruik van te kunnen (blijven) maken waarover jouw organisatie jaarlijks verantwoording dient af te leggen. Ditzelfde geldt voor het gebruik van Suwinet. Ook daar moet jouw organisatie aantoonbaar maken dat de juiste maatregelen zijn geïmplementeerd. Dit is ook onderdeel van de ENSIA verantwoording (zie hier ENSIA)
ISAE3000/ISAE3402/SOC
International Standards on Assurance Engagements, ofwel ISAE, is de internationale standaard voor het uitvoeren van assurance opdrachten. Hierin zijn verschillende vormen, zoals de 3000 voor beoordeling van IT Beheersing en 3402 voor beoordeling IT beheersing door serviceorganisaties ten behoeve van financiële verslaglegging. Daarnaast wordt voor ISAE onderscheid gemaakt tussen type 1 (momentopname) en type 2 (over een periode) verklaringen. SOC is een vergelijkbare standaard waarbij 3 verschillende vormen worden onderkend, SOC1 is vergelijkbaar met ISAE3402, SOC2 is gebaseerd op vastgestelde principes (Trust Services Criteria) en richt zich ook breder op beheersprocessen, SOC3 is een verkorte versie van SOC2 voor publicatiedoeleinden. Ook zogenaamde Third Party Mededelingen of Third Party Assurance rapporten zijn gebaseerd op deze standaarden
WPG Audit
Vanuit de Wet politiegegevens (Wpg) wordt een periodieke interne en externe audit voorgeschreven. De WPG audit richt zich op organisaties die gegevens verwerken die vallen onder de Wpg. Dit geldt ook voor verwerkingen die worden verricht door Buitengewoon Opsporingsambtenaren (BOA’s). Deze vallen doorgaans onder de verantwoordelijkheid van een gemeente en naast de AVG is dan ook de Wpg van toepassing. De Wet politiegegevens (Wpg)-audit is bedoeld om te beoordelen hoe de verwerking van politiegegevens is georganiseerd.
Cuccibu beschikt over de benodigde kennis, ervaring en certificeringen (RE) om audits te mogen uitvoeren. Naast het uitvoeren van een audit, ondersteunen we organisaties ook bij het proces om klaar te stomen voor een audit of het volledig inrichten van de frameworks die benodigd zijn om te voldoen aan een bepaalde norm of standaard.
Neem vrijblijvend contact met ons op. Wij denken graag met je mee over de oplossing die het beste past bij jouw organisatie. Laat hier je gegevens achter.
"*" geeft vereiste velden aan