Welke IT audit gaan we doen?

Audits komen in vele vormen en maten. Soms om ISO normen te toetsen, soms ook om andere compliance eisen te toetsen. In bijna alle gevallen gaat het echter om het toetsen aan normen die eisen aan een product of dienst stellen. Op die manier kunnen we ook een certificaat halen. Bovendien is een audit vaak verplicht om vast te kunnen stellen of we nog aan de gestelde normen voldoen.

Dit artikel gaat in op de IT audit, ook wel EDP audit genoemd voor SaaS oplossingen. Deze is periodiek en dient een specifiek doel.

Om vast te stellen dat de dataverwerking binnen informatiesystemen volgens de richtlijnen verloopt is het dus noodzakelijk om periodiek bepaalde systeemaspecten te controleren. Deze controles noemen we meestal IT audits. Het is echter niet gezegd dat gebruikers of applicatiebeheerders deze audits uitvoeren. Het is zelfs beter dit door een onafhankelijke instantie te laten doen. Externe auditors kijken namelijk met andere ogen naar de omgeving, de organisatie en de systemen. Een auditor kan daarom missers onderkennen, die de dagelijkse gebruikers over het hoofd zien. De volgende audits kunnen we onderscheiden:

SaaS Systeemaudits

Periodiek dienen we door middel van een Systeem Audit van het betreffende systeem vast te stellen of het nog steeds doet wat het doen moet. De volgende punten moeten we (laten) controleren:

• Voldoet het SaaS systeem nog steeds aan de performance-eisen?
• Is het SaaS systeem nog steeds voldoende flexibel om toekomstige uitbreidingen voor ons bedrijf goed te kunnen te laten plaatsvinden?
• Voldoet het SaaS systeem nog steeds aan al de eisen voor een tijdige verwerking?
• Voldoet het SaaS systeem ook aan de huidige betrouwbaarheidseisen?
• Voorziet de applicatie nog steeds in de behoeften van de gebruikers?
• Ondersteunt de applicatie nog steeds de beslissingsstructuren van het management en de gebruikersorganisatie?
• Voldoet de infrastructuur (CPU, randapparatuur, netwerk, Cloud voorziening) nog aan al de gestelde eisen?
• Verwerkt de SaaS provider alle updates en patches vlot?
• Zijn vervallen functies van de applicatie niet langer beschikbaar voor gebruikers?
• Blijkt uit de hoeveelheid en de aard van de foutrap­porten dat de SaaS oplossing nog voldoende stabiel is?
• Is binnen de SaaS oplossing een audittrail te volgen?

SaaS Security Audit

Met behulp van een security audit zullen we periodiek moeten vaststellen of de SaaS oplossing voldoet aan de nieuwste inzichten en goed beveiligd is. De frequentie en de aard waarin bedreigingen zich voor doen veranderen bijvoorbeeld snel en worden steeds ernstiger. Gezien de financiële belangen en de privacy aspecten dienen we de beveiliging van het systeem dus uiterst serieus te nemen.
Aspecten waarop we moeten controleren zijn:

• Past de SaaS provider de back-up/restore procedures consequent toe?
• Test systeembeheer van de leverancier de uitwijk/reconstructie procedures regelmatig en met goed gevolg?
• Is op juiste wijze omgegaan met al de verleende en het verlenen van autorisaties?
• Vindt het gegevensbeheer in de Cloud op een juiste wijze plaats?
• Is alle aangesloten apparatuur ook op een juiste wijze aangesloten?
• Zijn alle mobiele apparaten ook op een juiste manier aan te sluiten op de SaaS applicatie?
• Is fysieke toegang tot het Data center voldoende beveiligd?
• Zijn er goede controles op de naleving van al de beveiligingsprocedures?
• Is er voldoende de controle op wijzigingen van de database buiten de SaaS applicatie om?
• Zijn alle gegevensverzamelingen afdoende gearchiveerd?
• Zijn alle programma’s afdoende gearchiveerd?
• Is alle documentatie afdoende gearchiveerd?
• Neemt de systeembeheerder, bij de reorganisatie van bestanden, al die maatregelen die nodig zijn om de integriteit te waarborgen?
• Zijn er maatregelen genomen die vervuiling van bestanden tegengaan?
• Is er voldoende controle op overdracht van nieuwe of gewijzigde programmatuur naar de productie omgeving?
• Is er een virus-checker geïnstalleerd en is hij up-to-date?
• Zijn er maatregelen tegen spam genomen?
• Zijn er maatregelen tegen hackers genomen?
• Is de e-mail omgeving voldoende beschermd?
• Is voldoende rekening gehouden met toekomstige wet- en regelgeving?

Audit inrichting en navolging Administratieve Organisatie (AO)

De Administratieve Organisatie is het stelsel van procedures binnen de organisatie waarlangs de werkzaamheden verlopen. Dit kunnen zowel primaire als secondaire bedrijfsprocessen zijn.

• Zijn alle functies binnen de organisatie beschreven met de daaraan gekoppelde SaaS functies?
• Zijn alle bedrijfsprocessen actueel, juist en volledig beschreven?
• Is voldaan aan de privacy eisen van de GDPR?
• Zijn de medewerkers instaat om de te verrichten activiteiten altijd tijdig en juist uit te voeren?
• Zijn er een goede controles op de naleving van de SLA?
• Controleert men de handmatige procedures op dezelfde wijze als de geautomatiseerde?
• Zijn alle risico’s ten gevolge van het niet volgen van de procedures in beeld gebracht?
• Leven de gebruikers de procedures met betrekking tot de contacten met de IT afdeling goed na?
• Vindt er adequate controle plaats op de verwerking van officiële formulieren?

Projectevaluaties

Na afloop van een SaaS project is het aan te raden om het verloop van het project te evalueren. Het doel van deze evaluatie is dan ook om er van te leren en de processen te verbeteren. Zodoende kan een volgend project vlotter en beter verlopen. Wat we vooral niet moeten doen is elkaar de schuld geven van de fouten die zijn gemaakt.

• Zijn alle risico’s voor het project al in beeld gebracht?
• Hebben de maatregelen op de onderkende risico’s goed gewerkt?
• Hoe zijn de niet onderkende risico’s ook afgehandeld?
• Zijn de teamleden voldoende vrijgesteld geweest?
• Is de instructie van de nieuwe software aan de gebruikers goed verlopen?
• Was het verloop van het project volgens planning?
• Zijn de kosten van het project binnen het budget gebleven?
• Is de gebruikte methodologie goed gevolgd?
• Zijn de gebruikers tevreden over het resultaat?
• Heeft de projectleider bewezen het project te kunnen beheersen?
• Zijn de knelpunten in de informatievoorziening al opgelost?
• Zijn alle geplande producten opgeleverd?

Gebruikers tevredenheidsonderzoeken

Als we een applicatie eenmaal een tijdje gebruiken wordt pas echt duidelijk wat de toepassing in de praktijk inhoudt. Een goed moment om de tevredenheid vast te stellen en verbeterpunten te inventariseren. Door geregeld een gebruikers-tevredenheidsonderzoek uit te voeren kunnen we een applicatie optimaal uit de verf laten komen.

• Is het systeem gebruikersvriendelijk genoeg?
• Is de gebruikersdocumentatie toegankelijk en begrijpelijk genoeg?
• Reageert de servicedesk voldoende snel op klachten en wensen?
• Ondersteunt SaaS oplossing de taken van gebruikers voldoende?
• Ondersteunt applicatiebeheer de gebruikers ook voldoende?

Discussieer mee op LinkedIn.