IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Transcriptie

1 IT Auditor en ENSIA NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA 31 oktober 2018

2 Agenda Audit object Pre-Audit Beroepsregels Content, verantwoording Afwerking Kwaliteitsstreven 2

3 IT auditor, beroepsregels De IT auditor is objectief en onafhankelijk en daarmee niet inhoudelijk betrokken bij verbeteradviezen, dit ter voorkoming van zelftoetsing. De IT auditor bouwt altijd zelfstandig zijn eigen auditdossier op (COS230): gestructureerde vastlegging van bewijsstukken vanuit de assertion (vragenlijst) met zorg de zelfstandig opbouw van zijn audit op basis waarvan zijn vaktechnische standpunten transparant verwoord zijn. OKB-review: opdracht gerichte kwaliteitsbeoordeling. De IT auditor en kwaliteit: kwaliteit doen wij voor elkaar en met elkaar. 3

4 IT auditor, content De IT Auditor verdiept zich in NCSC normen t.b.v. de DigID en bestudeert de aangepaste handreiking; De IT Auditor verdiept zich SZW/BKWI uitgangspunten t.b.v. Suwi en bestudeert de aangepaste handreiking; neemt kennis van de Excel ter identificatie van de varianten; waarmee de handreiking zijn navigatie-tool is om door de vragenlijst heen te gaan De IT Auditor is zich steeds bewust van de baseline inrichting voor informatieveiligheid, het ISMS waar de horizontale- en verticale verantwoording gekoppeld zijn. Neemt kennis van de actualiteit (bijvoorbeeld BIG-BIO); 4

5 IT auditor, auditproject IT auditor en zijn verantwoordelijkheid in het kader van ENSIA: ENSIA als audit project voor 2018: DigiD en Suwinet: opzet en bestaan; nog geen werking; De methode van assertion based ad 3000A: de gemeente levert op in de vorm van een assertion in de casu de collegeverklaring (*). de assertion wordt getoetst; Object van onderzoek: de ingevulde vragenlijst (indirect), de set collegeverklaring (direct) en de zorg voor adequate aanlevering. Plus de noodzaak om de onderliggende documentatie van de gemeente op relevantie en betrouwbaarheid te toetsen. Object van controle; de collegeverklaring die voorjaar 2018 wordt opgeleverd (april); Kwaliteitstreven: zie bijlagen voor highlighten auditproces en verantwoordelijkheden 5

6 IT auditor, auditproject IT auditor werkt vanuit een risico perspectief: De risicoanalyse geeft diepgang zijn werkzaamheden op basis van de inschatting van kwaliteit van aanlevering; De beoordeling van een het geheel (DigiD en Suwinet voor 2018) volgt standaard 3000A. De risicoanalyse beweegt zich op het niveau van de kwaliteit van de gemeente als entiteit en de complexiteit van de verantwoordingen: DigID en Suwinet. Is gebaat bij een adequate kwaliteitscontrole intern (eigen organisatie) en extern (NOREA de IT Auditor collega s) 6

7 IT auditor, (pre-)audit De audit kent twee fases: Pre-audit: najaar 2018: met behulp van procescontroles om tussentijds te beoordelen of de vragenlijst adequaat per 31/12/18 is / wordt ingevuld (inclusief documentatie). Met een rapportage van bevindingen / management letter communiceert de IT Auditor met de gemeente; De audit: de controle van de uiteindelijke college verklaring per 1/5/2019 met in achtneming van eventuele issues in de eerste vier maanden. Het assurancerapport staat centraal, optioneel is (tweede) rapport van bevindingen (bij pre-audit / eindejaarscontrole). Pre-audit, de IT auditor handelt vanuit zijn audit opdrachten en zal vanuit de natuurlijke adviesfunctie aanwijzingen te geven ter procesverbetering met betrekking tot de invulling en onderbouwing van de vragenlijst. Hij of zij zal zich altijd een beeld te vormen van de controleomgeving; Indien de gemeente een aanspreekpunt met C CISO kwalificatie heeft, is dat in principe goed nieuws. 7

8 IT auditor, ook zorg voor de eindafwerking Hoe ziet de college verklaring eruit met al haar bijlagen (DigID en Suwi) De zorg om tot en met de upload door de gemeente vast te stellen dat de formulieren juist zijn ingevuld en toereikend gedocumenteerd; met in achtneming dat DigID en Suwi respectievelijk wel en niet carve-out ondersteuen en de gevolgen voor in aanmerking nemen TPM s; met in achtneming dat de gecontroleerde stukken daadwerkelijk worden geupload middels waarmerken (*). De handreiking bevat een bijlage waar de gevraagde set is weergegeven: de set, de LOR en oplevering vanuit depo filosofie. (zie richting wijzer >>) 8

9 >1 Schriftelijke bevestiging / Letter of Representation (LOR): Inhoud Herbevestiging collegeverklaring (raadpleeg COS580) Bevestiging toegang relevante informatie en personen Bevestiging geen kennis van zaken die op het oordeel een ander licht werpen Bevestiging gebeurtenissen periode tussen tijdstip verantwoording / moment afgeven bevestiging die van invloed kunnen zijn op collegeverklaring / assurance Format Zie handreiking (bijlage); Proces Afgeven door College (verantwoordingsplichtige) of ambtelijk verantwoordelijke (praktijk wisselend per gemeente Getekende versie in bezit auditor op moment afgeven assurance (pragmatisch oplossen / echter geen groot verschil in timing / datering bevestiging / assurancerapport) 9

10 >2 Certificeren en waarmerken van verantwoording: Aandachtspunten: consequent rapport en bijlagen Assurancerapport ondertekening Ondertekening: Paraaf voor waarmerkingdoeleinden: ENSIA AUDIT B.V. A. X RE (handtekening) A. X RE (paraaf) Alle verantwoordingsstukken tool ENSIA AUDIT B.V. (/ ter identificatie) <Naam auditfirma, naam auditor, datum en handtekening of paraaf auditor> 10

11 >3 Verantwoordelijkheden rapporteren (vergelijk depo eisen KvK): Constatering: 2017 veel fouten in afwikkeling rapportage door: Gemeenten (initiele vulling tool) Auditors (rapportageset) Gemeenten (definitieve rapportagesets inclusief assurancerapport en bijlagen) Toezichthouders (afwikkeling) Uitgangspunten 2018 e.v.: Gemeenten zijn verantwoordelijk vullen ENSIA-tool en colleverklaring Auditor is verantwoordelijk voor opstellen / ondertekenen assurancerapport inclusief (waarmerken) bijlagen Gemeenten zijn verantwoordelijk voor ter beschikking stellen definitieve rapportage Auditor in samenwerking met gemeente nagaan aanlevering correcte verantwoording (slot op de deur, meer dan nazorg) 11

12 > 4 IT auditor, wrap up: de zorg voor de eindafwerking: (*) Met in achtneming dat de gecontroleerde stukken daadwerkelijk worden geupload middels waarmerken. en Naar voorbeeld voorbereiden materiaal (bijlage handreiking), zie voorgaande slides Auditor werkt altijd risk-based; Auditor doet de laatste check, verzoekt om de LOR en draagt zorg voor waarmerken Documenten zo klein als mogelijk maken in PDF-A Auditor altijd via de opdrachtgever ( de gemeente) toegang op tool vragen. Dit geldt ook voor Financial Auditors die in kader certificering jaarrekening kennis wil nemen van het ENSIAproces. 12

13 IT auditor, kwaliteit. Onderdeel van kwaliteitsbeheersing is ook en met name van elkaar leren en onderling afstemmen. NOREA vraagt daarom de auditors die actief ENSIA audits uitvoeren het bureau van de NOREA daarover te informeren, zodat een community van ENSIA auditors ontstaat. binnen deze community ervaringen en vraagstukken uitwisselen en actuele vraagstukken kortcyclisch delen; Daarmee een boost geven aan onze werkgroep: continuous improvement. Informatie uitwisseling (zie verdieping) 13

14 IT auditor, hoe werkt informatie-uitwisseling (verdieping) Frequently Asked Questions staan ter beschikking: Antwoorden op vragen uit praktijk Verduidelijking regelgeving en afspraken / geen nieuwe regelgeving of afspraken Verplicht kennis te nemen van FAQ bij uitvoering werkzaamheden ENSIA Audit Community: Actief aanmelden bij NOREA uitvoeren ENSIA-audits Melding op niveau Auditorganisatie (bij voorkeur op niveau individuele auditor(s)) Doel bevorderen informatie-uitwisseling (zeker stellen doelbereik actuele en a-tempo informatievoorziening in kader uitvoering werkzaamheden) Verplicht gesteld in kader kwaliteitsbewaking ENSIA-audits door NOREA 14

15 Bedankt Voor meer informatie kun je contact opnemen met: Maarten Mennen RSM Nederland NOREA 31 oktober 2018