IT audits

SUAG

De UWV Gegevensdiensten verzamelt, beheert en levert gegevens over werk en inkomen. (semi-) Overheidsorganisaties of ondernemingen, zoals de Belastingdienst, het CBS, gemeenten, en pensioenfondsen kunnen bij UWV Gegevensdiensten terecht voor gegevens over lonen, arbeidsverhoudingen en uitkeringen van werknemers en uitkeringsgerechtigden. De meeste gegevens kunnen online worden bekeken.

Het UWV stelt voorwaarden aan Afnemers die de gegevens ontvangen en gebruiken. Een van deze voorwaarden is een auditverplichting: Afnemers zijn verplicht om de vermelde normen uit het auditreglement UWV Gegevensdiensten in de bedrijfsvoering op te nemen en jaarlijks een audit te laten uitvoeren.

Deze auditverplichting wordt middels het auditreglement SUAG nader ingevuld. De audit dient te worden uitgevoerd door een auditor die staat geregistreerd als Register EDP-auditor (RE) bij NOREA, Certificerend accountant (AA) bij NBA, of Register accountant (RA) bij NBA.

Het rapport

Het Assurance-rapport bevat in ieder geval de volgende elementen:

  • Werkwijze en werkzaamheden van de auditor
  • Het gehanteerde normenkader
  • De bevindingen
  • Oordeel over de getroffen beheersmaatregelen

De auditor -zoals genoemd in artikel 1 van dit reglement- ondertekent het Assurance-rapport. Indien de conclusie uit het Assurance-rapport daartoe aanleiding geeft, stelt Afnemer een verbeterplan op. De te nemen maatregelen en een planning maken onderdeel uit van dit verbeterplan. Afnemer doet het aan UWV aan te reiken Assurance-rapport vergezeld gaan van het hiervoor bedoelde verbeterplan.

Aanpak

Stap 1: Vaststellen stand van zaken en op basis daarvan het opstellen van een planning

Op basis van het auditreglement van het UWV krijgt u een lijst van ons met alle controls, deze vult u zelf in en stuurt u naar ons retour zodat we zicht hebben op de stand van zaken. Op basis hiervan kan een planning worden opgesteld. De controls bestaan uit de volgende onderdelen:

I Algemeen beleidscontext
I –1 Doelbinding
I –2 Gegevenslimitatie
I –3 Informatiebeveiligingsbeleid
I –4 Gegevensverstrekking
I –5 Verwerker
I –6 Geheimhouding
IIA Specifiek beleidscontext
IIA –1 Beveiliging van de UWV -gegevens II B Uitvoering
IIB –1 Logische Toegangsbeveiliging: Identificatie & Authenticatie
IIB-2 Logische Toegangsbeveiliging: Autorisatie
IIB-3 Koppelingen tussen Applicaties
IIB-4 Gegevensverwerking
II C Controles t.av. Applicaties
IIC-1 Handelingen van functionarissen
IIC-2 Historie (Logging)
III Beheerprocessen
III-1 Wijzigingenbeheer

Stap 2: Implementeren aanpassingen

Op basis van de nulmeting die u heeft uitgevoerd met de auditlijst kunt de tekortkomingen op gaan pakken en invoeren.

Stap 3: Uitvoeren van de audit

Wij komen bij u langs voor het uitvoeren van de audit.in onze aanpak zorgen we voor een minimale belasting van uw tijd en uw medewerkers.

Stap 4: Verzamelen en rapporteren

Wanneer we het bewijsmateriaal hebben onderzocht stellen we de rapportage op. Hierbij wordt gebruik gemaakt van hoor en wederhoor.

Stap 5: Opsturen rapportage naar het UWV

Na het afronden van de rapportage zullen wij u de rapportage toesturen zodat u die met het UWV kan delen.

De gemiddelde tijdsduur van deze audit is circa 2 tot 6 dagen, afhankelijk van de omvang van de organisatie.

Meer informatie over SUAG audits?

Voor meer informatie over SUAG audits of over de dienstverlening van de IT-audit Company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.