Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Pre-audits

Uitvoeren van ‘general controls’

Er is een verzameling van normenkaders voor informatiebeveiliging gericht op het toetsen van beheers- en beveiligingsmaatregelen van de informatie infrastructuur. Wij noemen het ook wel de “general controls”. Het generieke normenkader is de ISO 27001. De andere normenkaders zijn sectorspecifieke varianten:

In het kader van de wettelijke controle van de jaarrekening wordt gebruik gemaakt van de  ISAE 3402. Cliënten van leveranciers (intern en extern) van gegevensverwerkingen krijgen met een ISAE 3402 mededeling de bevestiging dat de verwerkingen adequaat hebben plaatsgevonden.

Verantwoording van de leiding

Cliënten van leveranciers van gegevensdiensten vragen om een bevestiging bij de verantwoording van de leiding van hun leverancier zodat hun accountant belast met de controle van de jaarrekening een bevestiging ontvangt die nodig is om te komen tot een verklaring bij hun jaarrekening.

Toetsen van maatregelen gericht op het adequaat verwerken van geautomatiseerde gegevens, kan alleen plaatsvinden als de normenkaders met eisen en maatregelen daadwerkelijk in de administratieve organisatie en interne beheersing zijn geïmplementeerd en worden toegepast. De effectieve werking van de beheersmaatregelen moet blijken uit interne controlemechanismen. De interne controle is gericht op het vaststellen van de werking van de beheersmaatregelen, het systematisch vastleggen van de constatering van effectieve werking, het onderkennen en vastleggen van incidenten en datalekken, treffen van passende (aanvullende) beheersmaatregelen en periodieke en incidentele rapportering. Compliance is gericht op het vaststellen van de effectieve werking van de getroffen beheersmaatregelen gericht op beschermen van belangen van het bedrijf, de personen en het maatschappelijk verkeer.

Een audit is gebaseerd op de werking van de administratieve organisatie en interne beheersing, inclusief de interne controle en de uitkomsten van de compliance werkzaamheden.

Aanpak

De aanpak voor een pre-audit analyse op basis van bedrijfsspecifieke standaard normenkader kan globaal op de organisatie of specifiek gericht op onderdelen zijn. Als er een goed onderhouden compliance administratie is zal de aanpak effectief en kostenefficiënt zijn.

Het onderzoek kan onderdeel zijn van het jaarprogramma en kan ook ad hoc worden ingezet als gevolg van incidenten en datalekken.

Voor de aanpak gebruiken wij de gangbare stappen die wij zien bij 3000 onderzoeken van accountants en IT-auditors die vallen onder de regels van de IFAC.

Contact

Heeft u vragen of opmerkingen? Laat het ons weten. Wij zijn bereikbaar via +31 0(70) 392 22 09 en info@duthler.nl.