Assurance

Cuccibu biedt een breed spectrum aan IT-audit diensten. Zie hieronder een beknopte beschrijving van soorten audits die Cuccibu voor uw organisatie kan uitvoeren.

ENSIA IT Audit

ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten).
Voor het verticale verantwoordingsproces aan de nationale partijen die een rol hebben in het toezicht op informatieveiligheid, dienen gemeenten een collegeverklaring op te stellen. In de collegeverklaring verklaart het College van B&W of de gemeente op 31 december in opzet en bestaan voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid voor DigiD en Suwinet. Een bij de beroepsvereniging van IT-auditors, NOREA, geregistreerde IT-auditor dient de collegeverklaring te beoordelen en de conclusie te presenteren in een Assurance rapport. Het Assurance rapport heeft als doel om met een redelijke mate van zekerheid te verklaren dat de verklaring juist en volledig is en dus een getrouw beeld geeft van informatiebeveiliging rondom DigiD en Suwinet.
Cuccibu heeft ruimschoots ervaring met het uitvoeren van deze IT-audit opdrachten voor verschillende gemeenten. Ook met de uitvoering van het DigiD Assessment heeft Cuccibu ervaring sinds 2012, het jaar dat de assessments verplicht werden gesteld.

TPM (Third Party Mededeling)*

Indien u behoefte heeft aan zekerheid over de kwaliteit van een specifiek proces, of u wilt uw stakeholders deze zekerheid verschaffen, dan is een Third Party Mededeling een perfect middel.
Cuccibu voert als onafhankelijke (derde) partij een audit uit op vooraf gedefinieerde gebieden. In overleg met u wordt afgestemd welke gebieden dit zijn en welke kwaliteitsaspecten van belang zijn. Enkele voorbeelden van mogelijke gebieden die getoetst kunnen worden:

  • IT Beheerprocessen
  • Fysieke beveiliging
  • Inkoopprocessen
  • Voorraadadministratie
  • Productieadministratie
  • Softwareontwikkeling

Na afronding van de audit ontvangt u een Assurance rapportage, waarin een uitspraak is opgenomen over de gedane observaties. Met een dergelijke rapportage toont u uw klanten en stakeholders aan hoogwaardige dienstverlening te leveren. Dit geeft u een onderscheidende positie ten opzichte van uw concurrentie.

ISAE3402 *

Processen die niet tot de primaire dienstverlening behoren, worden met toenemende regelmaat uitbesteed aan een service organisatie. Denk aan het beheer van uw IT omgeving, loon- en salarisadministratie, of financiële administratie.
Bij een Assurance opdracht in het kader van de ISAE 3402 richtlijn beoordeelt een onafhankelijke auditor de kwaliteit van de geleverde diensten door de service organisatie. Dit biedt de gebruikersorganisatie zekerheid (Assurance) over de kwaliteit van de geleverde diensten door de serviceorganisatie. Continuïteit en vertrouwelijkheid van de dienstverlening zijn voorbeelden van cruciale aspecten die beoordeeld worden tijdens een dergelijke audit. De volgende vragen zijn relevant:

  • Welke maatregelen zijn getroffen om beschikbaarheid van uw IT omgeving en data te borgen?
  • Op welke wijze gaat de serviceorganisatie om met (informatie)beveiliging?
  • Wie heeft er toegang tot uw informatie?
  • Zijn er voldoende maatregelen om fraude te voorkomen?

Indien een service organisatie een ISAE3402 rapportage afgeeft, kan uw accountant voor de uitvoering van de externe controle gebruik maken van een dergelijke rapportage.
Cuccibu voert tevens SOC 1, 2, of 3 audits (Service Organisations Control) uit. SOC 1 is vergelijkbaar met de ISAE 3402 verklaring in dat het zich richt op financiële verslaglegging. SOC 2 richt zich op operationele processen. SOC 3 is een verkorte versie van de SOC 2 rapportage en is geschikt voor vrije publicatie.

*International Standard On Assurance Engagements