AudITvision

DORA-audit

Introductie

AudITvision biedt hoogwaardige auditdiensten voor organisaties in de financiële sector die zich voorbereiden op de nieuwe verplichtingen vanuit de Digital Operational Resilience Act (DORA). DORA heeft als doel de digitale weerbaarheid van financiële instellingen structureel te verbeteren en stelt hiervoor specifieke eisen aan ICT-risicomanagement, incidentmelding, testprocedures en uitbesteding.

Onze DORA-auditdienst combineert praktijkgerichte ondersteuning met een formele assurance-aanpak op basis van ISAE 3000A. Zo voorzien we uw organisatie van een onafhankelijk toetsingsrapport dat vertrouwen wekt bij toezichthouders, klanten en interne belanghebbenden.
Van initiële nulmeting tot een volledige auditverklaring:
AudITvision ondersteunt u in elke stap richting aantoonbare digitale veerkracht. Onze audits dragen bij aan risicobeheersing, compliance én een toekomstbestendig ICT-beleid binnen uw organisatie.

Met AudITvision kiest u voor een ervaren, onafhankelijke partner die de vertaalslag maakt tussen wetgeving, normkaders en werkbare praktijkoplossingen – betrouwbaar, transparant en gestructureerd.

Contact opnemen

Ontvang onze gratis whitepaper

Vraag onze gratis whitepaper aan en ontdek hoe u eenvoudig kunt starten met een compliance-traject en waar u rekening mee moet houden.

Whitepaper ontvangen

Belang van DORA voor financiële organisaties

De Digital Operational Resilience Act (DORA) is in 2023 in werking getreden en geldt vanaf januari 2025 voor een breed scala aan financiële entiteiten binnen de
Europese Unie. Denk hierbij aan banken, verzekeraars, vermogensbeheerders, betaalinstellingen, cryptoaanbieders en hun toeleveranciers van ICT-diensten.

DORA verplicht deze organisaties om:
• ICT-risico’s structureel te identificeren, monitoren en beheersen;
• Zwaarwegende ICT-incidenten tijdig te melden bij toezichthouders;
• Testen uit te voeren op digitale weerbaarheid (waaronder penetratietesten);
• Zorgvuldig toezicht te houden op ICT-uitbestedingen.

Het doel: voorkomen dat verstoringen in digitale systemen leiden tot systeemrisico’s of schade voor klanten en markten. Voor veel organisaties betekent dit een herijking van beleid, processen en beheersmaatregelen. Een ISAE 3000A-audit biedt hierbij niet alleen inzicht, maar ook externe assurance over de doeltreffendheid van uw aanpak.

Wat houdt DORA in?

DORA kent vijf kernonderdelen die gezamenlijk de digitale operationele weerbaarheid moeten versterken:

1. ICT Risk Management

Organisaties moeten beschikken over een integraal ICT-riskmanagementframework dat beleidsmatig, organisatorisch en technisch is verankerd. Dit omvat o.a. risicobeoordelingen, beveiligingsmaatregelen,
governance en verandermanagement.

2. Incidentdetectie, -rapportage en -respons

Zwaarwegende ICT-incidenten moeten binnen vier uur gemeld worden aan de nationale toezichthouder. Dit vereist een helder proces, heldere definities,
classificatieregels en ondersteunende tooling.

3. Digital Operational Resilience Testing

DORA vereist periodieke tests om de effectiviteit van beveiligingsmaatregelen vast te stellen. Voor grotere instellingen gaat dit verder dan penetratietesten –
ook scenario-gebaseerde dreigingensimulaties zijn verplicht.

4. Third Party Risk Management

ICT-uitbestedingen moeten beheerst worden via due diligence, risicoclassificatie, contractvoorwaarden en monitoring. Bovendien moet er een strategie zijn voor exitmanagement en concentratierisico’s.

5. Informatie-uitwisseling

Onder voorwaarden kunnen instellingen deelnemen aan informatie-uitwisseling over cyberdreigingen. Dit moet gestructureerd en verantwoord gebeuren.

Onze aanpak: DORA-audit conform ISAE 3000A

AudITvision biedt een gestructureerde auditaanpak op basis van de internationale assurance-standaard ISAE 3000A. Onze methodiek bestaat uit vijf heldere fasen:

1 Intake en scopedefinitie

In een gezamenlijke intake bepalen we de reikwijdte van de audit. Welke onderdelen van uw organisatie, IT-processen en externe dienstverleners vallen
onder de DORA-audit? We bespreken met u welke interne verantwoording het uitgangspunt vormt voor de assurance-opdracht en stemmen af hoe deze verantwoording onderbouwd zal worden. Daarbij houden we rekening met sectorafhankelijke aandachtspunten, zoals de rol van cloudleveranciers of specifieke EBA/ESMA-richtlijnen.

2 Nulmeting en toetsingskader

We voeren een nulmeting uit op basis van de relevante DORA-onderdelen. Deze meting geeft inzicht in uw huidige volwassenheidsniveau. Samen met u formuleren we het toetsingskader dat als basis dient voor de audit. Dit kan opgebouwd worden uit beleidsdocumenten, normen, interne beleidsregels
of internationale best practices (zoals NIST of ISO). De nulmeting resulteert in concrete aanbevelingen waarmee u zich gericht kunt voorbereiden op de auditfase.

3 Auditontwerp en dataverzameling

Op basis van het toetsingskader ontwerpen we de auditwerkzaamheden. We beschrijven de processen en controleactiviteiten waarop assurance wordt gevraagd. We verzamelen bewijsstukken via documentanalyse, interviews, observaties en steekproeven. Indien gewenst stellen we in deze fase een type I-rapportage op die een momentopname geeft van het bestaan en de opzet van beheersmaatregelen.

4 Type II-audit en beoordeling werking

Gedurende een vooraf bepaalde periode (minimaal zes maanden) toetsen we de werking van de beheersmaatregelen. Dit gebeurt aan de hand van control testing en aanvullende interviews. De bevindingen worden vastgelegd in werkdossiers en waar nodig gedeeld in voortgangsgesprekken. De focus ligt hierbij op het betrouwbaar functioneren van maatregelen in de praktijk, inclusief monitoring, bijstelling en evaluatie. Waar nodig geven we aanbevelingen voor verbetering die niet afdoen aan de onafhankelijkheid van onze oordeelvorming.

5 Rapportage conform ISAE 3000A

Op basis van de uitgevoerde werkzaamheden stellen we een assurancerapport op. Dit bevat onder meer de verantwoording van de organisatie, het toetsingskader, een beschrijving van het controlesysteem, onze uitgevoerde werkzaamheden en onze assuranceconclusie. Het rapport is geschikt voor toezichthouders (zoals DNB/AFM), interne governance en ketenpartners. Indien gewenst stellen we ook een publieksvriendelijke samenvatting op die gebruikt kan worden in jaarverslagen of richting klanten.

Contact opnemen

Waarom kiezen voor AudITvision?

Gespecialiseerd in IT-audits

Wij combineren expertise in financiële wetgeving (DORA, EBA/ESMA-richtlijnen) met ervaring in IT-audits en ISAE 3000A-trajecten. Onze aanpak is inhoudelijk én pragmatisch.

Onafhankelijk, objectief en normconform

Door ons te richten op IT-audit en assurance – en niet op implementatie – waarborgen we maximale onafhankelijkheid. Dit maakt onze ISAE 3000A-rapportages geschikt als onderbouwing richting toezichthouders zoals DNB of AFM.

Transparante aanpak en vaste prijsafspraken

U weet vooraf waar u aan toe bent: qua scope, aanpak, tijdslijn én kosten. Geen verrassingen achteraf.

Aantoonbare meerwaarde

Onze rapportages zijn niet enkel gericht op compliance, maar leveren ook concrete verbeterinzichten op in risicomanagement, cybersecurity en IT-governance.

Aansluiting op erkende frameworks

Wij werken met internationaal erkende normenkaders en best practices. Dat vergroot de acceptatie en versnelt de auditvoorbereiding.

Voorbeeldcase: DORA-audit bij middelgrote betaalinstelling

Klantprofiel

Een Nederlandse betaalinstelling met een Europese vergunning (PSD2) wilde aantoonbaar voldoen aan de eisen van DORA. De organisatie had al een ISAE 3402-verklaring voor uitbestedingsbeheer, maar had nog geen formeel ICT-riskmanagementsysteem of incidentresponsproces ingericht volgens de eisen van DORA.

Uitdaging

De organisatie kende veel impliciete beheersmaatregelen, maar documentatie ontbrak. Incidentmeldingen werden ad-hoc geregistreerd en een overzicht van derde partijen ontbrak. Ook was onduidelijk hoe digitale weerbaarheid getest kon worden zonder de operatie te verstoren.

Aanpak AudITvision

We startten met een grondige nulmeting en bespraken de scope van de audit met directie en compliance. Op basis van de uitkomsten stelden we samen met de klant het toetsingskader op. In de maanden daarna ondersteunden we de inrichting van formele processen voor incidentrespons, testen en third party management. Daarna volgde een type II-audit met toetsing van de werking van maatregelen over de voorgaande zeven maanden. Daarbij hielden we rekening met de bestaande assurance-rapportage en zochten we waar mogelijk aansluiting op bestaande governance-processen.

Resultaat

De betaalinstelling kreeg een positief assurance-oordeel in het ISAE 3000A-rapport. Dit rapport werd gedeeld met de raad van commissarissen en diende als verantwoording richting toezichthouders. Het audittraject gaf niet alleen inzicht in compliance, maar leidde ook tot structurele verbeteringen in de inrichting van risicomanagement en IT-governance. Bovendien ontstond er meer bewustwording bij medewerkers over de rol van IT-beveiliging binnen de organisatie. Inmiddels maakt het rapport structureel onderdeel uit van de interne auditcyclus.

Contact opnemen
We gebruiken cookies om u de beste ervaring op onze website te bieden.
Accepteren Weigeren