Oordeelonthouding

Assurance-rapport

Geadresseerde
Dit assurance-rapport is bestemd voor <beoogde gebruiker> en heeft als doelstelling <doel assurance-rapport>.

Opdracht
Ingevolge uw opdracht   van <datum>  met <kenmerk> hebben wij <de opzet per datum, het bestaan per datum en de werking gedurende de periode datum tot en met datum > van de maatregelen en procedures ter waarborging van de <exclusiviteit, integriteit, controleerbaarheid en continuïteit> van het <informatiesysteem ZZ> in de <verwerkingsorganisatie ZZ> beoordeeld. In bijlage 1 is een beschrijving opgenomen van dit onderzoeksobject.

Reikwijdte
In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten:
<Exclusiviteit:
Integriteit:
Controleerbaarheid:
Continuïteit:>
Uitgaande van het onderzoeksobject en de kwaliteitsaspecten zijn de normen geformuleerd, die bij het onderzoek zijn gehanteerd. Deze normen zijn opgenomen in bijlage 2. 
 
De opzet omvat de formele inrichting van het onderzoeksobject op een bepaald moment. Het bestaan betreft de geïmplementeerde beheersingsmaatregelen in het onderzoeksobject op een bepaald moment. De werking omvat het functioneren van de beheersingsmaatregelen met betrekking tot het onderzoeksobject over een bepaalde periode.

Verantwoordelijkheden en werkzaamheden
De beschrijving, inrichting en naleving van maatregelen en procedures zijn de verantwoordelijkheid van de leiding van de <verwerkingsorganisatie ZZ>.

Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel te verstrekken over de opzet, het bestaan en de werking van de maatregelen en procedures.

Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de richtlijnen voor assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid.

Onze belangrijkste werkzaamheden waren:

-     het verkrijgen van inzicht in relevante kenmerken van de verwerkingsorganisatie;
- het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico's in de externe omgeving en de verwerkingsorganisatie zelf, en onderzoek in hoeverre deze risico's worden afgedekt door maatregelen en procedures;
- het beoordelen van de opzet, het vaststellen van het bestaan en het toetsen van de werking van de relevante maatregelen en procedures. Dit door middel van het kennis nemen van documentatie, het kennis nemen van de resultaten van de uitgevoerde interne controles, eigen waarnemingen en het beoordelen van logging. De opzet en het bestaan van de maatregelen en procedures in de <verwerkingsorganisatie ZZ> per <datum> hebben wij beoordeeld. Tevens is over de periode <datum tot en met datum> de werking van de maatregelen en procedures onderzocht.



Oordeel
Op grond van ons onderzoek hebben wij ons geen oordeel kunnen vormen over <de opzet en het bestaan op datum alsmede de werking gedurende de periode datum tot en met datum van de maatregelen en procedures ter waarborging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit van het informatiesysteem ZZ in de verwerkingsorganisatie ZZ,> als geheel. Dit als gevolg van de onmogelijkheid om afdoende informatie over de <verwerkingsorganisatie ZZ> te verkrijgen.

Toelichtende paragraaf
<Het was voor ons onmogelijk de hoofdvestiging in India van de verwerkingsorganisatie ZZ te bezoeken als gevolg van de aardbeving die zich ten tijde van ons onderzoek voordeed in de betreffende regio. Wij konden ons daarom geen afdoende beeld vormen van de werking van de beheersmaatregelen in de verwerkingsorganisatie ZZ.>

Beperkingen
Ons onderzoek was gericht op <de opzet en het bestaan per datum en de werking gedurende de periode datum tot en met datum>. Wij hebben ons dus geen oordeel gevormd over toekomstige perioden.

Plaats, d.d. <datum>
Organisatie
naam gekwalificeerde IT-auditor

Bijlage 1: nadere omschrijving onderzoeksobject
Bijlage 2: normen voor de onderscheiden kwaliteitsaspecten