IT Assurance
Een voorwaarde voor zakendoen is tegenwoordig dat u uw IT-omgeving goed op orde hebt. Wanneer u uw klanten en overige partners zekerheid wilt bieden, heeft u de juiste IT-assurancerapportage nodig. Door proactief verantwoording over uw activiteiten af te leggen heeft u tevens een kans voor uw organisatie om zich van de concurrentie te onderscheiden. Wij kunnen uw organisatie begeleiden door tijdig audits uit te voeren en de benodigde assurancerapporten te verstrekken. Onze IT-auditors zijn bekend met vrijwel alle (inter)nationale Assurance standaarden en helpen u dan ook graag met al uw Assurance vraagstukken.
Brede kennis en expertise
Als IT-auditors bij Baker Tilly zijn wij bekend met vrijwel alle (inter)nationale Assurance-standaarden. Iedere branche of sector heeft vaak een eigen standaard. Bekende standaarden waar wij mee werken zijn ENSIA, WPG, BIO, ISAE3000, ISAE3402 – SOC1 / SOC2 / SOC3, SOC for Cyber en het Privacy Control Framework.
Benieuwd hoe een assurancetraject er in praktijk uit ziet? Lees dan hoe wij het Arnhemse ICT-bedrijf Diabolo ICT adviseerden toen zij een ISAE-verklaring nodig hadden, omdat een aantal klanten dit verplicht stelde.
Onze assurancedienstverlening
-
-
Met de ENSIA-audit (Eenduidige Normatiek Single Information Audit) geeft een gemeente inzicht aan de gemeenteraad over de mate waarin informatiebeveiliging voor verschillende aspecten binnen haar huishouding op orde is. Met name de DigiD-omgevingen en de SUWI-omgevingen liggen binnen de scope van de IT-auditwerkzaamheden. De rapportage die daar uit volgt wordt beschikbaar gesteld aan toezichthoudende instanties, zoals Logius of ministeries.
-
-
De Wet Politiegegevens heeft bepaald dat organisaties met een BOA in dienst zich eens in de 4 jaar richting de Autoriteit Persoonsgegevens moeten verantwoorden over de wijze waarop met privacygevoelige wordt omgegaan. Het eerste jaar waarover de BOA-organisaties zich moesten verantwoorden was 2021. Het eerstvolgende jaar dat een externe audit plaats zal moeten vinden is in 2025. In de tussentijd helpen onze auditors de BOA-organisaties graag bij het jaarlijks uitvoeren van hun interne audit op de WPG-gegevens.
-
-
De Baseline Informatiebeveiliging (BIO) heeft als doel om informatiebeveiliging binnen de overheid te borgen. Momenteel heeft een overheidsorganisatie de verplichting om aan de BIO te voldoen, maar het is nog niet verplicht om door een externe auditor te laten onderzoeken of een overheidsorganisatie hieraan daadwerkelijk voldoet. Een dergelijke verplichting is wel onze wens, want dan pas wordt informatiebeveiliging bij de overheid, maar ook bij de organisaties die aan overheden diensten verlenen, naar een hoger niveau getild. Desalniettemin voeren wij nu al bij verschillende overheidsorganisaties BIO-audits uit. Een positieve ontwikkeling waar we graag meer overheidsorganisaties bij van dienst zijn.
-
-
Een ISAE3402, vergelijkbaar met SOC1-rapporten, wordt opgesteld ten behoeve van de jaarrekeningcontrole van uw klanten. Deze rapportage stelt de accountant van uw klanten in staat om de kwaliteit van uw dienstverlening binnen hun jaarrekeningcontrole te wegen. De scope van deze rapportage is daarmee beperkt tot datgene wat voor een accountantscontrole relevant is. Dit zijn vaak ook IT-onderwerpen.
-
-
Een SOC2 / SOC3 -rapport is bedoeld om meer in de breedte aan uw klanten assurance te verschaffen over de kwaliteit (bijvoorbeeld veiligheid, continuïteit of integriteit) van uw IT-dienstverlening.
-
-
SOC voor cybersecurity is bedoeld om verantwoording af te leggen over het cybersecurity programma van uw organisatie. Met een SOC voor Cybersecurity-assurance kunt u specifiek op dit thema vertrouwen creëren richting uw klanten.
-
-
Het Privacy Control Framework is een Nederlandse standaard voor het verschaffen van assurance aan klanten en andere stakeholders over de mate van privacy-beheersing binnen een organisatie. Met dit rapport kunt u onderbouwd aantonen dat u zorgvuldig omgaat met privacygevoelige gegevens die bij uw organisatie binnenkomen.
