Cases
Auditing? Compliance? Self Assessment? Wat voor impact hebben deze services op mijn organisatie? Om een idee te geven op welke manier deze services van belang zijn binnen uw organisatie hebben wij een aantal cases opgesteld. Deze cases beschrijven op welke manier Mindbench Information Services uw probleemstelling aan zou pakken en succesvol op zou leveren.
Auditing
Probleemdefinitie
Een nationaal of internationaal opererende organisatie wil weten hoe betrouwbaar en veilig haar IT processen worden uitgevoerd. Ook willen zij zekerheid dat hun data niet door onbevoegden wordt geraadpleegd. Naast de betrouwbaarheid en veiligheid aspecten willen ze ook weten of de medewerkers de juiste verantwoordelijkheden hebben en of ze de juiste toegang en rechten bezitten tot de fysieke en digitale omgevingen binnen het bedrijf. Kortom de organisatie heeft de behoefte om geaudit te worden en verwacht een eindrapport van de auditor met daarin de bevindingen en tevens suggesties van de auditor om gevonden issues op te lossen
Oplossing
Allereerst wordt er gekeken of de organisatie moet voldoen aan een regel – of wetgeving (bijvoorbeeld SOX). In dat geval zullen de regels van de wetgeving gevolgd worden en zal de organisatie begeleid worden tijdens het implementeren van de voorgeschreven interne controles die de betrouwbaarheid en veiligheid van data, processen en mensen waarborgen.
Ten tweede wordt er gekeken waaraan de organisatie prioriteiten stelt, bijvoorbeeld de veiligheid van haar IT netwerk of de toegang tot zijn data. Dit is geheel afhankelijk van het type organisatie; indien de organisatie veelvuldig gebruik maakt van externe partijen om bepaalde bedrijfsprocessen te ondersteunen zal toegangsbeveiliging van groot belang zijn. In dit geval kan Mindbench Information Services een risk assessment uitvoeren, die uiteindelijk de risico’s binnen de IT omgeving aangeeft waaraan de organisatie is blootgesteld. Aan de hand van deze risico’s worden de interne controles aangepakt en geïmplementeerd. Van het gehele audit proces wordt een eindrapport opgemaakt en afgegeven aan het management. Deze vorm van auditing is een vorm van een directe aanpak van de interne controles binnen de IT omgeving van de organisatie.
Een strengere vorm van auditing is het onafhankelijk nagaan en controleren van de reeds geïmplementeerde interne controles binnen de IT omgeving van de organisatie en het beoordelen daarvan. In dit geval wordt er een oordeel uitgegeven over de IT omgeving; bijvoorbeeld hoe betrouwbaar of veilig deze is. Na het uitvoeren van zo’n controle wordt een audit rapport uitgeschreven met daarin de bevindingen en suggesties van de CISA gecertificeerde auditor. Dit rapport wordt afgegeven aan het management.
Beide vormen van auditing kunnen plaats vinden binnen alle IT processen van de organisatie. De organisatie bepaalt zelf welk onderdeel binnen zijn IT omgeving of welk proces geaudit moet worden. Deze scope wordt voorafgaand aan de audit besproken en vastgelegd.