• english
• young professionals
• persberichten
• nieuwsberichten
• nieuwsbrief
• links

Zoeken

• 
  • Regio Noord
  • Regio Zuid/Tilburg
  • Regio Apeldoorn
  • VUrORE
  • Young Professionals
  • RE's in business
  • Kennisgroep Zorg & IT
  • Kennisgroep IT Governance

Goedkeurende strekking (met een beperking)

Assurance-rapport

Geadresseerde
Dit assurance-rapport is bestemd voor <beoogde gebruiker> en heeft als doelstelling <doel assurance-rapport>.

Opdracht
Ingevolge uw opdracht   van <datum>  met <kenmerk> hebben wij <de opzet op datum, het bestaan op datum en de werking gedurende de periode datum tot en met datum > van de maatregelen en procedures ter waarborging van de <exclusiviteit, integriteit, controleerbaarheid en continuïteit> van het <informatiesysteem ZZ> in de <verwerkingsorganisatie ZZ> beoordeeld. In bijlage 1 is een beschrijving opgenomen van dit onderzoeksobject.

Reikwijdte
In dit kader verstaan wij onder de voornoemde kwaliteitsaspecten:
<Exclusiviteit:
Integriteit:
Controleerbaarheid:
Continuïteit:>
Uitgaande van het onderzoeksobject en de kwaliteitsaspecten zijn de normen geformuleerd, die bij het onderzoek zijn gehanteerd. Deze normen zijn opgenomen in bijlage 2. 

De opzet omvat de formele inrichting van het onderzoeksobject op een bepaald moment. Het bestaan betreft de geïmplementeerde beheersingsmaatregelen in het onderzoeksobject op een bepaald moment. De werking omvat het functioneren van de beheersingsmaatregelen met betrekking tot het onderzoeksobject over een bepaalde periode.

Verantwoordelijkheden en werkzaamheden
De beschrijving, inrichting en naleving van maatregelen en procedures zijn de verantwoordelijkheid van de leiding van de <verwerkingsorganisatie ZZ>.

Het is onze verantwoordelijkheid om door middel van een onderzoek op onafhankelijke wijze een oordeel te verstrekken over de opzet, het bestaan en de werking van de maatregelen en procedures.

Daartoe hebben wij werkzaamheden uitgevoerd die in overeenstemming zijn met de richtlijnen voor assurance-opdrachten en die gericht zijn op het signaleren van materiële afwijkingen en het verkrijgen van een redelijke mate van zekerheid.

Onze belangrijkste werkzaamheden waren:

-     het verkrijgen van inzicht in relevante kenmerken van de verwerkingsorganisatie;
- het houden van interviews met verantwoordelijke functionarissen, vooral gericht op het onderkennen van risico's in de externe omgeving en de verwerkingsorganisatie zelf, en onderzoek in hoeverre deze risico's worden afgedekt door maatregelen en procedures;
- het beoordelen van de opzet, het vaststellen van het bestaan en het toetsen van de werking van de relevante maatregelen en procedures. Dit door middel van het kennis nemen van documentatie, het kennis nemen van de resultaten van de uitgevoerde interne controles, eigen waarnemingen en het beoordelen van logging. De opzet en het bestaan van de maatregelen en procedures in de <verwerkingsorganisatie ZZ> per <datum> hebben wij beoordeeld. Tevens is over de periode <datum tot en met datum> de werking van de maatregelen en procedures onderzocht.

Oordeel
Opdracht opzet en bestaan:
Op grond van ons onderzoek zijn wij van oordeel dat <de opzet en het bestaan op datum van de maatregelen en procedures ter waarborging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit van het informatiesysteem ZZ in de verwerkingsorganisatie ZZ,> in alle van materieel belang zijnde opzichten hebben voldaan aan de gestelde normen.

Opdracht opzet, bestaan en werking:
Op grond van ons onderzoek zijn wij van oordeel dat <de opzet en het bestaan op datum alsmede de werking gedurende de periode datum tot en met datum van de maatregelen en procedures ter waarborging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit van het informatiesysteem ZZ in de verwerkingsorganisatie ZZ,> in alle van materieel belang zijnde opzichten hebben voldaan aan de gestelde normen.

Dit met uitzondering van <de maatregelen en procedures ter waarborging van de continuïteit voor enkele decentrale onderdelen van de verwerkingsorganisatie ZZ.>

Toelichtende paragraaf
<De maatregelen en procedures ter waarborging van de continuïteit voldoen voor de decentrale onderdelen ZZ1 en ZZ2 niet geheel aan de normen. De uitwijkprocedures werden niet actueel gehouden en de uitwijkvoorzieningen waren niet getest. Op grond daarvan is het onzeker in hoeverre een uitwijk, in het geval van een calamiteit, voor de betreffende decentrale onderdelen volledig mogelijk is. Het betreft een onderdeel van het onderzoeksobject dat niet van essentieel belang is voor het oordeel over het hoofdproces.

Beperkingen
Ons onderzoek was gericht op <de opzet en het bestaan per datum en de werking gedurende de periode datum tot en met datum.> Wij hebben ons dus geen oordeel gevormd over toekomstige perioden.

Plaats, d.d. <datum>
Organisatie
naam gekwalificeerde IT-auditor

Bijlage 1: nadere omschrijving onderzoeksobject
Bijlage 2: normen voor de onderscheiden kwaliteitsaspecten