Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Pre-audits

General controls

Er is een verzameling van normenkaders voor informatiebeveiliging gericht op het toetsen van beheers- en beveiligingsmaatregelen van de informatie infrastructuur. Wij noemen het ook wel de “general controls”. Het generieke normenkader is de ISO 27001. De andere normenkaders zijn sectorspecifieke varianten: NEN 7510, NEN 7512 en NEN 7513 zijn gericht op de zorgsector en de BIO is gericht op overheidsorganisaties.

In het kader van de wettelijke controle van de jaarrekening wordt gebruik gemaakt van de  ISAE 3402. Cliënten van leveranciers (intern en extern) van gegevensverwerkingen krijgen met een ISAE 3402 mededeling de bevestiging dat de verwerkingen adequaat hebben plaatsgevonden.

Verantwoording van de leiding

Cliënten van leveranciers van gegevensdiensten vragen om een bevestiging bij de verantwoording van de leiding van hun leverancier zodat hun accountant belast met de controle van de jaarrekening een bevestiging ontvangt die nodig is om te komen tot een verklaring bij hun jaarrekening. Er is een markt voor dergelijke onderzoeken.

Toetsen van maatregelen gericht op het adequaat verwerken van geautomatiseerde gegevens, kan alleen plaatsvinden als de normenkaders met eisen en maatregelen daadwerkelijk in de administratieve organisatie en interne beheersing zijn geïmplementeerd en worden toegepast. De effectieve werking van de beheersmaatregelen moet blijken uit interne controlemechanismen. De interne controle is gericht op het vaststellen van de werking van de beheersmaatregelen, het systematisch vastleggen van de constatering van effectieve werking, het onderkennen en vastleggen van incidenten en datalekken, treffen van passende (aanvullende) beheersmaatregelen en periodieke en incidentele rapportering. Compliance is gericht op het vaststellen van de effectieve werking van de getroffen beheersmaatregelen gericht op beschermen van belangen van het bedrijf, de personen en het maatschappelijk verkeer.

Een audit is gebaseerd op de werking van de administratieve organisatie en interne beheersing, inclusief de interne controle en de uitkomsten van de compliance werkzaamheden.

Voorbereidingen

Voor het uitvoeren van dergelijke onderzoeken heeft Duthler Associates in smart compliance de beschikbare (sectorale) normenkaders opgenomen. Het gebruik van deze normenkaders zijn vaak voorgeschreven in relevante wet- en regelgeving. Hiermee ontstaat legitimatie van de normenkaders. Om de normenkaders goed aan te laten sluiten bij actuele wetgeving zijn de normenkaders sectorspecifiek of bedrijfsspecifiek gemaakt. Voorts is een risicoanalyse nodig om te bepalen welke beheersmaatregelen uit de normenkaders van toepassing zijn voor de organisatie.

In de normenkaders kunnen volwassenheidsniveaus worden aangegeven en de kaders kunnen onderdeel zijn van smart contracting.

Uitgaande van het verantwoordelijkheids- en aansprakelijkheidsgebied kunnen de normenkaders worden ingezet als referentiekader bij onderzoeken naar de kwaliteit en functioneren van de technische informatie infrastructuur. Het is niet nodig het gehele model toe te passen. Een thematische aanpak is ook mogelijk. Bijvoorbeeld het onderzoeken van de organisatie van de toegangsbeveiliging.

Het systematisch beschrijven van de bedrijfsprocessen plus de ingestelde beheers- en beveiligingsmaatregelen maken de interne controlemaatregelen effectief. In het kader van het beschermen van persoonsgegevens is het verplicht een register van verwerkingen van persoonsgegevens paraat te hebben. Smart compliance voorziet in deze behoefte door vanuit de bedrijfsactiviteiten de processen – deelprocessen – activiteiten vast te leggen en beheersmaatregelen te benoemen. In deze opzet wordt aangegeven welke verwerkingen aangemerkt worden als verwerkingen van persoonsgegevens. Op deze manier wordt het normenkader gekoppeld aan de relevante bedrijfsprocessen en getroffen beheersmaatregelen.

De daadwerkelijk ingerichte maatregelen van administratieve organisatie en interne beheersmaatregelen genereren bewijs van effectieve werking. Het bewijs van de effectieve werking van de maatregelen kan worden opgenomen in smart compliance.

Compliance-aanpak is risicogericht en richt zich op het afgeleid object van onderzoek: de compliance administratie van een organisatie dat door smart compliance wordt gefaciliteerd. Deze administratie is evidence based hetgeen betekent dat deze administratie volledig en juist moet zijn. Met een risicogericht onderzoek wordt deze volledigheid en juistheid vastgesteld.

De compliance administratie bestaat uit een volledig beeld van de organisatie en de effectieve werking van getroffen beheersmaatregelen. De volgende gegevens worden zoal vastgelegd:

  • Het verantwoordelijkheids- en aansprakelijkheidsdomein;
  • Per organisatieonderdeel de bedrijfsprocessen, de activiteiten, de gegevensverzamelingen en de beheersmaatregelen beschreven; en
  • Het bewijs van effectieve werking van de beveiligings- en beheersmaatregelen.

De compliance administratie wordt gebruik voor het vaststellen van compliance met wetgeving, contracten en beleidsdoelstellingen.

Aanpak

De aanpak voor een pre-audit analyse op basis van bedrijfsspecifieke standaard normenkader kan globaal op de organisatie of specifiek gericht op onderdelen zijn. Als er een goed onderhouden compliance administratie is zal de aanpak effectief en kostenefficiënt zijn.

Het onderzoek kan onderdeel zijn van het jaarprogramma en kan ook ad hoc worden ingezet als gevolg van incidenten en datalekken.

Voor de aanpak gebruiken wij de gangbare stappen die wij zien bij 3000 onderzoeken van accountants en IT-auditors die vallen onder de regels van de IFAC.

Meer informatie

De pre-audits kunnen aanleiding zijn voor aanpassingen in de selectie van beheersmaatregelen of verbeteringen van implementatie en/of uitvoering van beheersmaatregelen. Als de capaciteit niet aanwezig is zijn wij graag bereid de vereiste werkzaamheden uit te voeren.

Heeft u vragen of opmerkingen? Laat het ons weten. Wij zijn bereikbaar via +31 0(70) 392 22 09 en info@duthler.nl.