Als aansluithouder, softwareleverancier of hostingleverancier van een software applicatie kan uw organisatie van u verlangen dat u een assurance rapport kan presenteren aan stakeholders middels een
IT-audit. De weg naar compliance met het normenkader is vaak lang en de informatiebeveiligings-medewerkers zien soms door de bomen het bos niet meer. Dit neemt het risico met zich mee dat op de dag van de definitieve audit afwijkingen worden geconstateerd. Een pre-audit of tussentijdse audit kan dit voorkomen.
Voordelen van een pre-audit
Hieronder hebben wij 6 voordelen van een pre-audit voor u op een rijtje gezet.
Vergroten van de kennis van het normenkader.
De risico en het doel van bepaalde normen kan soms onduidelijk beschreven zijn en daarom als ingewikkeld worden beschouwd. Sommige normen zijn breed en bevatten bijvoorbeeld alle elementen van toegangsbeveiliging of change management, terwijl andere risico’s juist zijn verdeeld in een groter aantal normen en daarmee juist uit elkaar getrokken zijn. Een ervaren IT-auditor kent de normen goed en kan deze tijdens de pre-audit toelichten en de bedoelde verwachtingen voor elke norm specificeren.
Vertrouwen en betrokkenheid bij medewerkers.
De normen hebben niet alleen gevolgen voor de veiligheidsfunctionarissen, maar ook voor diverse afdelingen zoals HRM, management en ontwikkeling. Op deze afdelingen zijn maatregelen geïmplementeerd die door de medewerkers worden uitgevoerd en beheerd. Hierdoor is het logisch dat een IT-auditor met hen wilt spreken. Mogelijk zijn de medewerkers niet bekend met de normen en zijn ze nog nooit geïnterviewd ten behoeve van een audit. Deze medewerkers hebben veel baat bij een pre-audit, waardoor duidelijk wordt wat van hen wordt verwacht tijdens de definitieve audit. Zo kweekt u vertrouwen en betrokkenheid.
Documentatieopstellen en verbeteren.
Vooral bij minder volwassen organisaties zien we vaak dat maatregelen wel zijn geïmplementeerd (soms zelfs onbewust), maar niet zijn beschreven. Soms zijn procedures, beleidstukken of werkinstructies niet concreet genoeg of te informeel. Voor een organisatie is het soms heel logisch om dingen te doen, zoals ze het doen en zijn medewerkers er “blind” voor dat het nergens is beschreven hoe, wie, wat en waarom doet. Tijdens een pre-audit kom je hier tijdig achter, zodat je nog tijd hebt om documentatie aan te passen of op te stellen.
Formaliseren documentatie.
Hoe weet een auditor dat documentatie die aan hem wordt gepresenteerd geldig is en algemeen bekend is in een organisatie? Een procedure die in een word bestand zonder formeel uiterlijk wordt aangeboden als bewijs tijdens een audit roept dit soort vragen op. Tijdens een pre-audit kun je er achter komen welke documenten nog niet formeel genoeg zijn. Voorbeelden van formaliseren zijn het converteren van het document naar een PDF/a formaat, het vaststellen van documentatie door de gegevenseigenaar en proceseigenaar of het publiceren van documentatie op een intranet of DMS.
Acties kunnen nog worden uitgevoerd.
Sommige maatregelen vragen dat een bepaalde actie met regelmaat wordt uitgevoerd, zoals een halfjaarlijkse controle en beoordeling van autorisaties in de systemen of een controle op harddisk encryptie. Wanneer een IT-auditor de opzet en implementatie van deze maatregel toetst aan de hand van de beschrijving van de controle en de eerder uitgevoerde controles, volgen hier vaak adviespunten uit. Hiermee kan de volgende actie op een verbeterde wijze worden uitgevoerd en valt deze nog binnen de auditperiode, omdat de actie vlak voor de definitieve audit plaatsvindt.
Dossier kan worden aangevuld en opgeschoond.
De voorbereiding op de pre-audit moet volgens dezelfde manier als de definitieve audit gebeuren. Dat betekent dat de organisatie een auditdossier moet opstellen en dit moet presenteren aan de IT-auditor. Wanneer stukken ontbreken, onjuist of onvolledig zijn, kan het dossier nog worden aangevuld of hersteld voor de definitieve audit. Irrelevante stukken kunnen juist worden opgeschoond. Hiermee bespaar je je het zoeken naar stukken onder tijdsdruk na de definitieve audit.
Lees hier onze eerdere blog voor meer tips om je organisatie voor te bereiden op een IT-audit.
Meer weten over onze aanpak van IT-audits? Vraag het aan een van onze IT-auditors.
