• english
• young professionals
• persberichten
• nieuwsberichten
• nieuwsbrief
• links

Zoeken

• 
  • Regio Noord
  • Regio Zuid/Tilburg
  • Regio Apeldoorn
  • VUrORE
  • Young Professionals
  • RE's in business
  • Kennisgroep Zorg & IT
  • Kennisgroep IT Governance

Afkeurend

Assurance-rapport

Geadresseerde
Dit assurance-rapport is bestemd voor <beoogde gebruiker> en heeft als doelstelling <doel assurance -rapport>.

Opdracht
Ingevolge uw opdracht   van  <datum> met <kenmerk> hebben wij <de opzet op datum, het bestaan op datum en de werking gedurende de periode datum tot en met datum> van de maatregelen en procedures ter waarborging van de <exclusiviteit, integriteit, controleerbaarheid en continuïteit > van het <informatiesysteem ZZ> in de <verwerkingsorganisatie ZZ >beoordeeld. In bijlage 1 is een beschrijving opgenomen van dit onderzoeksobject.

Reikwijdte
In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten:
<Exclusiviteit:
Integriteit:
Controleerbaarheid:
Continuïteit:>
Uitgaande van het onderzoeksobject en de kwaliteitsaspecten zijn de normen geformuleerd, die bij het onderzoek zijn gehanteerd. Deze normen zijn opgenomen in bijlage 2 .

De opzet omvat de formele inrichting van het onderzoeksobject op een bepaald moment. Het bestaan betreft de geïmplementeerde beheersingsmaatregelen in het onderzoeksobject op een bepaald moment. De werking omvat het functioneren van de beheersingsmaatregelen in het onderzoeksobject over een bepaalde periode.

Verantwoordelijkheden en werkzaamheden
De beschrijving, inrichting en naleving van maatregelen en procedures zijn de verantwoordelijkheid van de leiding van de <verwerkingsorganisatie ZZ.>
Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel over de maatregelen en procedures te geven. Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de richtlijnen voor assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid.

Onze belangrijkste werkzaamheden waren:
-     het verkrijgen van inzicht in relevante kenmerken van de verwerkingsorganisatie;
- het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico's in de externe omgeving en de verwerkingsorganisatie zelf, en onderzoek in hoeverre deze risico's worden afgedekt door maatregelen en procedures;
- het beoordelen van de opzet, het vaststellen van het bestaan en het toetsen van de werking van de relevante maatregelen en procedures. Dit door middel van het kennis nemen van documentatie, het kennis nemen van de resultaten van de uitgevoerde interne controles, eigen waarnemingen en het beoordelen van logging. De opzet en het bestaan van de maatregelen en procedures in de <verwerkingsorganisatie ZZ> per <datum> hebben wij beoordeeld. Tevens is over de periode <datum tot en met datum> de werking van de maatregelen en procedures onderzocht.

Conclusie
Op grond van ons onderzoek zijn wij van oordeel dat <de opzet en het bestaan op datum> (of) <de opzet en het bestaan op datum alsmede de werking gedurende de periode datum tot en met datum van de maatregelen en procedures ter waarborging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit van het informatiesysteem ZZ in de verwerkingsorganisatie ZZ,> als geheel niet hebben voldaan aan de gestelde normen.

Toelichtende paragraaf
Dit afkeurende oordeel is gebaseerd op <het gegeven dat voor het aspect continuïteit de opzet en de werking niet aan de normen voldeden. Gezien het belang van het aspect continuïteit voldeed daarmee het stelsel van beheersmaatregelen niet aan de gestelde normen.
De maatregelen en procedures waarin uitwijkvoorzieningen worden geregeld bleken niet te worden getest en worden niet actueel gehouden. Op grond daarvan is het onzeker in hoeverre een uitwijk in het geval van een calamiteit mogelijk is. Uitwijk is van essentieel belang voor de voortgang van de hoofdprocesgang.>
<Overigens zijn wij van oordeel dat de opzet, het bestaan  en de werking van de maatregelen en procedures, ter waarborging van de exclusiviteit, integriteit en controleerbaarheid van het informatiesysteem ZZ wel voldoen aan de gestelde normen.>

Beperkingen
Ons onderzoek was gericht op <de opzet en het bestaan per datum en de werking gedurende de periode datum tot en met datum.> Wij hebben ons dus geen oordeel gevormd over toekomstige perioden.

Plaats, d.d. <datum>
Organisatie
naam gekwalificeerde IT-auditor

Bijlage 1: nadere omschrijving onderzoeksobject
Bijlage 2: normen voor de onderscheiden kwaliteitsaspecten