Home Thema's Wat doet een IT-auditor

Wat doet een IT-auditor

Bekijk inhoud
Voortdurende digitale transformatie om efficiëntie en effectiviteit te verhogen.
Dat zien we niet alleen in het bedrijfsleven, maar in vrijwel alle vitale processen, systemen en infrastructuren. Nederland is een van de meest gedigitaliseerde landen van de wereld en digitaliseert steeds meer – analoge- en/of offline- alternatieven zijn vrijwel verdwenen.

Gelet op hun cruciale rol in de dagelijkse bedrijfsvoering moeten gedigitaliseerde processen betrouwbaar en veilig zijn. De pijlers van betrouwbaarheid waar IT-auditors zekerheid over geven zijn:
  • B: beschikbaarheid (continuïteit);
  • I: integriteit (betrouwbaarheid);
  • V: vertrouwelijkheid (exclusiviteit).
Wat beveiliging betreft geven IT-auditors zekerheid over de beveiliging tegen interne en externe bedreigingen en op inherente kwetsbaarheden van IT-systemen en datacommunicatie.

Hiermee dragen IT-auditors bij aan het vertrouwen van burgers, consumenten en bedrijven in de betrouwbaarheid en veiligheid van gedigitaliseerde processen.
De drie invalshoeken van de werkzaamheden van een IT-auditor

01

Soorten werkzaamheden.

 

Organisaties moeten uiteenlopende stakeholders bedienen, zoals klanten, toezichthouder en de wetgever. Die hebben elk hun eigen belang waar organisaties rekening mee moeten houden, willen ze succesvol zijn.

IT-auditors helpen organisaties door:

  • intern te adviseren;
  • kwetsbaarheden te identificeren;
  • zekerheid over betrouwbaarheid en veiligheid te geven aan management en klanten;
  • naleving van wet- en regelgeving te toetsen;
  • nieuwe IT-systemen te beoordelen voordat ze live gaan;
  • de zorgvuldige omgang met persoonsgegevens te beoordelen.

02

Toetsen aan normen.

 
IT-auditors baseren zich bij hun advies- en auditwerkzaamheden onder meer op raamwerken, (inter)nationale wet- en regelgeving en standaarden en (volwassenheids)modellen. 

Voorbeelden:
  • NOREA-richtlijnen 3000, 3402, 4401;
  • ISO 27001;
  • ISO 27002;
  • NEN 7510;
  • Privacy Control Framework van NOREA;
  • CobiT 5;
  • AVG;
  • DNB good practices;
  • AFM principes voor informatiebeveiliging;
  • diverse security baselines;
  • volwassenheidsmodellen zoals NBA-LIO, CobiT
  • management cycli zoals COSO ERM, ISMS, PDCA.
03

Compliance.

 
Via advies en audits helpen IT-auditors organisaties wet- en regelgeving na te leven uit diverse sectoren die onder toezicht staan van, of worden geadviseerd door partijen zoals:
  • Autoriteit Persoonsgegevens (AP);
  • de Nederlandse Zorgautoriteit (NZa).
  • Europese Centrale Bank (ECB);
  • De Nederlandsche Bank (DNB);
  • Autoriteit Financiële Markten (AFM);
  • Nationaal Cyber Security Center (NCSC);
  • Computer Security Incident Response Teams (CSIRT’s).