Wat is assertion based auditing?
Assertion based auditing is een moderne auditmethodiek waarbij auditors zich richten op het toetsen van specifieke beweringen (assertions) die het management doet over hun IT-omgeving en informatiebeveiliging. In plaats van alle processen volledig door te lopen, test je bij deze methode gericht de claims over volledigheid, nauwkeurigheid, bestaan en effectiviteit van beveiligingsmaatregelen. Deze aanpak zorgt voor efficiëntere audits die sneller tot bruikbare conclusies leiden, vooral bij complexe regelgeving zoals BIO en ENSIA.
Wat is assertion based auditing precies?
Assertion based auditing is een auditmethodiek waarbij je als auditor specifieke beweringen van het management toetst in plaats van alle processen en systemen volledig te controleren. Het management doet claims over hun IT-omgeving (bijvoorbeeld “alle toegangsrechten zijn correct ingesteld” of “backups worden dagelijks gemaakt”), en de auditor ontwerpt tests om deze assertions te verifiëren.
Deze aanpak verschilt fundamenteel van traditionele audits. Waar klassieke audits vaak beginnen bij processen en deze van begin tot eind doorlopen, start assertion based auditing bij de eindclaim en werkt terug naar het bewijs. Dit maakt de audit gerichter en efficiënter, omdat je je inspanningen concentreert op wat echt belangrijk is voor compliance en beveiliging.
De belangrijkste kenmerken van assertion based auditing zijn:
- Risicogestuurd – de meeste aandacht gaat naar assertions met het hoogste risico voor de organisatie
- Bewijs-georiënteerd – elke test richt zich op het verkrijgen van concreet bewijs voor of tegen een specifieke bewering
- Efficiënt – minder tijd aan laagrisicogebieden, meer focus op kritieke beveiligingsaspecten
- Management-gericht – de assertions komen voort uit wat het management claimt over hun beveiliging
- Duidelijke conclusies – elk assertion wordt bevestigd of verworpen, wat heldere auditresultaten oplevert
Bij IT-audits voor overheidsorganisaties betekent dit bijvoorbeeld dat je niet alle 800 medewerkers controleert op correcte toegangsrechten, maar een representatieve steekproef neemt om de assertion “toegangsrechten zijn conform functiescheiding” te toetsen.
Hoe werkt assertion based auditing in de praktijk?
Het assertion based auditproces volgt een gestructureerde aanpak waarbij je systematisch van bewering naar bewijs werkt. De methode combineert risicoanalyse met gerichte toetsing, wat resulteert in een efficiënte audit die toch alle belangrijke aspecten dekt.
Het proces verloopt volgens deze stappen:
- Identificeer management assertions – bepaal welke beweringen het management doet over hun IT-omgeving en informatiebeveiliging. Bij een gemeente kan dit zijn: “Alle systemen met persoonsgegevens zijn beveiligd volgens BIO-normen.”
- Beoordeel de risico’s – analyseer welke assertions het meest kritiek zijn. Een assertion over de beveiliging van het DigiD-koppeling heeft bijvoorbeeld meer impact dan een bewering over printerbeheer.
- Ontwerp specifieke tests – ontwikkel toetsen die precies die assertion verifiëren. Voor de bewering “backups worden dagelijks gemaakt” bekijk je logbestanden, test je herstelprocessen en controleer je monitoring.
- Verzamel bewijs – voer de tests uit en documenteer de bevindingen. Dit kan bestaan uit interviews, documentanalyse, technische controles en observaties.
- Evalueer de assertion – bepaal of het verzamelde bewijs de bewering ondersteunt of weerlegt. Bij gedeeltelijke ondersteuning geef je aan welke aspecten wel en niet kloppen.
- Rapporteer de conclusies – communiceer per assertion of deze bevestigd kan worden en welke verbeteringen nodig zijn waar assertions niet standhouden.
In een zorginstelling betekent dit bijvoorbeeld dat je bij een ENSIA-audit niet alle 200 applicaties volledig doorlicht, maar gerichte tests uitvoert op de assertions over toegangsbeveiliging, logging en patchmanagement van de meest kritieke systemen.
Waarom is assertion based auditing effectiever dan traditionele audits?
Assertion based auditing levert betere resultaten tegen lagere kosten omdat de methode zich concentreert op wat echt belangrijk is. Voor compliance officers betekent dit minder auditdagen, duidelijkere rapporten en actiegerichte aanbevelingen die je direct kunt implementeren.
De voordelen zijn concreet meetbaar. Traditionele audits besteden veel tijd aan laagrisicogebieden omdat ze systematisch alle processen doorlopen. Assertion based auditing richt de inspanning daar waar de risico’s het grootst zijn. Een BIO-audit die traditioneel drie weken duurt, kan met deze methode vaak in twee weken worden afgerond zonder concessies aan kwaliteit.
De methode sluit perfect aan bij moderne risicogerichte frameworks. Zowel de BIO als ENSIA assessment vereisten zijn gebaseerd op risicodenken. Assertion based auditing volgt dezelfde logica: meer aandacht voor hoge risico’s, minder voor lage risico’s. Dit maakt de audit relevanter voor je daadwerkelijke beveiligingssituatie.
Voor overheidsorganisaties met beperkte budgetten is dit cruciaal. Je betaalt niet voor het controleren van zaken die weinig risico vormen. In plaats daarvan krijg je diepgaande inzichten in de gebieden die er echt toe doen voor compliance en beveiliging. De auditbevindingen zijn bovendien directer bruikbaar omdat ze gekoppeld zijn aan concrete beweringen van je eigen management.
De rapportages zijn helderder. In plaats van een lange lijst met bevindingen door alle processen heen, krijg je per assertion een duidelijk oordeel. Dit maakt het communiceren naar bestuur en gemeenteraad veel eenvoudiger. Je kunt precies aangeven welke beweringen over je informatiebeveiliging wel en niet standhouden.
Welke assertions worden getest bij IT-audits?
Bij IT-audits voor overheid en zorg worden vijf hoofdcategorieën van assertions getoetst. Elke categorie richt zich op een ander aspect van je beveiligingsmaatregelen en compliance. Het begrijpen van deze assertions helpt je om auditresultaten beter te interpreteren en je voorbereiding te richten.
Bestaan (existence) – deze assertions toetsen of beveiligingsmaatregelen daadwerkelijk aanwezig zijn. Wanneer je beleid claimt dat er een firewall is, controleert de auditor of deze er fysiek of virtueel staat en operationeel is. Bij ENSIA-audits wordt bijvoorbeeld getoetst of de beweringen over aanwezige logging-systemen kloppen.
Volledigheid (completeness) – hier gaat het om de vraag of alle vereiste beveiligingsmaatregelen zijn geïmplementeerd. Een voorbeeld: je beweert dat alle medewerkers beveiligingstraining hebben gevolgd. De auditor controleert of werkelijk iedereen is getraind, ook nieuwe medewerkers en tijdelijke krachten. Dit is cruciaal bij BIO-compliance waar volledige dekking vereist is.
Effectiviteit (effectiveness) – het is niet genoeg dat maatregelen bestaan, ze moeten ook werken. Deze assertions toetsen of beveiligingsmaatregelen hun beoogde doel bereiken. Een wachtwoordbeleid kan bestaan en compleet zijn, maar als medewerkers wachtwoorden op post-its schrijven, is het niet effectief. Bij DigiD-koppelingen wordt bijvoorbeeld getoetst of authenticatiemaatregelen daadwerkelijk ongeautoriseerde toegang voorkomen.
Compliance (naleving) – deze assertions verifiëren of maatregelen voldoen aan wettelijke en normatieve eisen. Je beweert dat je privacy-maatregelen Wpg-compliant zijn, de auditor toetst dit aan de specifieke vereisten uit de wetgeving. Voor ISO 27001-certificering worden assertions getoetst aan de normvereisten uit de standaard.
Nauwkeurigheid (accuracy) – dit betreft de correctheid van informatie en configuraties. Als je beweert dat toegangsrechten zijn ingesteld volgens functiescheiding, controleert de auditor of de daadwerkelijke rechten precies overeenkomen met wat functieprofielen voorschrijven. Bij logging-assertions wordt getoetst of de geregistreerde informatie accuraat en volledig is.
Deze vijf assertion-categorieën vormen samen een compleet beeld van je beveiligingssituatie en compliance-status, wat essentieel is voor verantwoording richting toezichthouders.
Hoe BKBO helpt met assertion based auditing
Wij passen assertion based auditing toe om jouw IT-audits efficiënter en gerichter te maken. Onze aanpak begint met het identificeren van de kritieke assertions in jouw specifieke situatie, waarbij we onze kennis van overheids- en zorgsystemen inzetten om te bepalen welke beweringen het belangrijkst zijn voor jouw compliance.
Bij het toetsen van assertions richten we ons specifiek op de frameworks die voor jouw organisatie relevant zijn:
- Vaste prijzen inclusief heraudits – geen verrassingen door inefficiënte auditmethoden, je weet vooraf exact wat de audit kost
- Kortere doorlooptijd – door gerichte toetsing van assertions ronden we audits sneller af dan bij traditionele methoden
- Praktische aanbevelingen – onze bevindingen zijn direct gekoppeld aan jouw management assertions, waardoor verbeterpunten helder en implementeerbaar zijn
- Begrijpbare rapportages – we vertalen technische bevindingen naar duidelijke conclusies per assertion, geschikt voor communicatie naar bestuur en toezichthouders
- Expertise in overheidscontext – we kennen de specifieke assertions die relevant zijn voor BIO, ENSIA en andere overheidskaders
Onze gecertificeerde IT-auditors hebben ruim 1.843 audits uitgevoerd waarbij assertion based auditing centraal staat. Dit betekent dat we precies weten welke assertions kritiek zijn voor jouw type organisatie en hoe we deze het meest efficiënt kunnen toetsen.
Wil je weten hoe assertion based auditing jouw volgende audit efficiënter kan maken? Neem contact met ons op voor een vrijblijvend gesprek over jouw specifieke auditsituatie. We bespreken welke assertions voor jouw organisatie het belangrijkst zijn en hoe we deze gericht kunnen toetsen binnen jouw budget en planning.
Assertion based auditing is een moderne auditmethodiek waarbij auditors zich richten op het toetsen van specifieke beweringen (assertions) die het management doet over hun IT-omgeving en informatiebeveiliging. In plaats van alle processen volledig door te lopen, test je bij deze methode gericht de claims over volledigheid, nauwkeurigheid, bestaan en effectiviteit van beveiligingsmaatregelen. Deze aanpak zorgt voor efficiëntere audits die sneller tot bruikbare conclusies leiden, vooral bij complexe regelgeving zoals BIO en ENSIA.
Wat is assertion based auditing precies?
Assertion based auditing is een auditmethodiek waarbij je als auditor specifieke beweringen van het management toetst in plaats van alle processen en systemen volledig te controleren. Het management doet claims over hun IT-omgeving (bijvoorbeeld “alle toegangsrechten zijn correct ingesteld” of “backups worden dagelijks gemaakt”), en de auditor ontwerpt tests om deze assertions te verifiëren.
Deze aanpak verschilt fundamenteel van traditionele audits. Waar klassieke audits vaak beginnen bij processen en deze van begin tot eind doorlopen, start assertion based auditing bij de eindclaim en werkt terug naar het bewijs. Dit maakt de audit gerichter en efficiënter, omdat je je inspanningen concentreert op wat echt belangrijk is voor compliance en beveiliging.
De belangrijkste kenmerken van assertion based auditing zijn:
- Risicogestuurd – de meeste aandacht gaat naar assertions met het hoogste risico voor de organisatie
- Bewijs-georiënteerd – elke test richt zich op het verkrijgen van concreet bewijs voor of tegen een specifieke bewering
- Efficiënt – minder tijd aan laagrisicogebieden, meer focus op kritieke beveiligingsaspecten
- Management-gericht – de assertions komen voort uit wat het management claimt over hun beveiliging
- Duidelijke conclusies – elk assertion wordt bevestigd of verworpen, wat heldere auditresultaten oplevert
Bij IT-audits voor overheidsorganisaties betekent dit bijvoorbeeld dat je niet alle 800 medewerkers controleert op correcte toegangsrechten, maar een representatieve steekproef neemt om de assertion “toegangsrechten zijn conform functiescheiding” te toetsen.
Hoe werkt assertion based auditing in de praktijk?
Het assertion based auditproces volgt een gestructureerde aanpak waarbij je systematisch van bewering naar bewijs werkt. De methode combineert risicoanalyse met gerichte toetsing, wat resulteert in een efficiënte audit die toch alle belangrijke aspecten dekt.
Het proces verloopt volgens deze stappen:
- Identificeer management assertions – bepaal welke beweringen het management doet over hun IT-omgeving en informatiebeveiliging. Bij een gemeente kan dit zijn: “Alle systemen met persoonsgegevens zijn beveiligd volgens BIO-normen.”
- Beoordeel de risico’s – analyseer welke assertions het meest kritiek zijn. Een assertion over de beveiliging van het DigiD-koppeling heeft bijvoorbeeld meer impact dan een bewering over printerbeheer.
- Ontwerp specifieke tests – ontwikkel toetsen die precies die assertion verifiëren. Voor de bewering “backups worden dagelijks gemaakt” bekijk je logbestanden, test je herstelprocessen en controleer je monitoring.
- Verzamel bewijs – voer de tests uit en documenteer de bevindingen. Dit kan bestaan uit interviews, documentanalyse, technische controles en observaties.
- Evalueer de assertion – bepaal of het verzamelde bewijs de bewering ondersteunt of weerlegt. Bij gedeeltelijke ondersteuning geef je aan welke aspecten wel en niet kloppen.
- Rapporteer de conclusies – communiceer per assertion of deze bevestigd kan worden en welke verbeteringen nodig zijn waar assertions niet standhouden.
In een zorginstelling betekent dit bijvoorbeeld dat je bij een ENSIA-audit niet alle 200 applicaties volledig doorlicht, maar gerichte tests uitvoert op de assertions over toegangsbeveiliging, logging en patchmanagement van de meest kritieke systemen.
Waarom is assertion based auditing effectiever dan traditionele audits?
Assertion based auditing levert betere resultaten tegen lagere kosten omdat de methode zich concentreert op wat echt belangrijk is. Voor compliance officers betekent dit minder auditdagen, duidelijkere rapporten en actiegerichte aanbevelingen die je direct kunt implementeren.
De voordelen zijn concreet meetbaar. Traditionele audits besteden veel tijd aan laagrisicogebieden omdat ze systematisch alle processen doorlopen. Assertion based auditing richt de inspanning daar waar de risico’s het grootst zijn. Een BIO-audit die traditioneel drie weken duurt, kan met deze methode vaak in twee weken worden afgerond zonder concessies aan kwaliteit.
De methode sluit perfect aan bij moderne risicogerichte frameworks. Zowel de BIO als ENSIA assessment vereisten zijn gebaseerd op risicodenken. Assertion based auditing volgt dezelfde logica: meer aandacht voor hoge risico’s, minder voor lage risico’s. Dit maakt de audit relevanter voor je daadwerkelijke beveiligingssituatie.
Voor overheidsorganisaties met beperkte budgetten is dit cruciaal. Je betaalt niet voor het controleren van zaken die weinig risico vormen. In plaats daarvan krijg je diepgaande inzichten in de gebieden die er echt toe doen voor compliance en beveiliging. De auditbevindingen zijn bovendien directer bruikbaar omdat ze gekoppeld zijn aan concrete beweringen van je eigen management.
De rapportages zijn helderder. In plaats van een lange lijst met bevindingen door alle processen heen, krijg je per assertion een duidelijk oordeel. Dit maakt het communiceren naar bestuur en gemeenteraad veel eenvoudiger. Je kunt precies aangeven welke beweringen over je informatiebeveiliging wel en niet standhouden.
Welke assertions worden getest bij IT-audits?
Bij IT-audits voor overheid en zorg worden vijf hoofdcategorieën van assertions getoetst. Elke categorie richt zich op een ander aspect van je beveiligingsmaatregelen en compliance. Het begrijpen van deze assertions helpt je om auditresultaten beter te interpreteren en je voorbereiding te richten.
Bestaan (existence) – deze assertions toetsen of beveiligingsmaatregelen daadwerkelijk aanwezig zijn. Wanneer je beleid claimt dat er een firewall is, controleert de auditor of deze er fysiek of virtueel staat en operationeel is. Bij ENSIA-audits wordt bijvoorbeeld getoetst of de beweringen over aanwezige logging-systemen kloppen.
Volledigheid (completeness) – hier gaat het om de vraag of alle vereiste beveiligingsmaatregelen zijn geïmplementeerd. Een voorbeeld: je beweert dat alle medewerkers beveiligingstraining hebben gevolgd. De auditor controleert of werkelijk iedereen is getraind, ook nieuwe medewerkers en tijdelijke krachten. Dit is cruciaal bij BIO-compliance waar volledige dekking vereist is.
Effectiviteit (effectiveness) – het is niet genoeg dat maatregelen bestaan, ze moeten ook werken. Deze assertions toetsen of beveiligingsmaatregelen hun beoogde doel bereiken. Een wachtwoordbeleid kan bestaan en compleet zijn, maar als medewerkers wachtwoorden op post-its schrijven, is het niet effectief. Bij DigiD-koppelingen wordt bijvoorbeeld getoetst of authenticatiemaatregelen daadwerkelijk ongeautoriseerde toegang voorkomen.
Compliance (naleving) – deze assertions verifiëren of maatregelen voldoen aan wettelijke en normatieve eisen. Je beweert dat je privacy-maatregelen Wpg-compliant zijn, de auditor toetst dit aan de specifieke vereisten uit de wetgeving. Voor ISO 27001-certificering worden assertions getoetst aan de normvereisten uit de standaard.
Nauwkeurigheid (accuracy) – dit betreft de correctheid van informatie en configuraties. Als je beweert dat toegangsrechten zijn ingesteld volgens functiescheiding, controleert de auditor of de daadwerkelijke rechten precies overeenkomen met wat functieprofielen voorschrijven. Bij logging-assertions wordt getoetst of de geregistreerde informatie accuraat en volledig is.
Deze vijf assertion-categorieën vormen samen een compleet beeld van je beveiligingssituatie en compliance-status, wat essentieel is voor verantwoording richting toezichthouders.
Hoe BKBO helpt met assertion based auditing
Wij passen assertion based auditing toe om jouw IT-audits efficiënter en gerichter te maken. Onze aanpak begint met het identificeren van de kritieke assertions in jouw specifieke situatie, waarbij we onze kennis van overheids- en zorgsystemen inzetten om te bepalen welke beweringen het belangrijkst zijn voor jouw compliance.
Bij het toetsen van assertions richten we ons specifiek op de frameworks die voor jouw organisatie relevant zijn:
- Vaste prijzen inclusief heraudits – geen verrassingen door inefficiënte auditmethoden, je weet vooraf exact wat de audit kost
- Kortere doorlooptijd – door gerichte toetsing van assertions ronden we audits sneller af dan bij traditionele methoden
- Praktische aanbevelingen – onze bevindingen zijn direct gekoppeld aan jouw management assertions, waardoor verbeterpunten helder en implementeerbaar zijn
- Begrijpbare rapportages – we vertalen technische bevindingen naar duidelijke conclusies per assertion, geschikt voor communicatie naar bestuur en toezichthouders
- Expertise in overheidscontext – we kennen de specifieke assertions die relevant zijn voor BIO, ENSIA en andere overheidskaders
Onze gecertificeerde IT-auditors hebben ruim 1.843 audits uitgevoerd waarbij assertion based auditing centraal staat. Dit betekent dat we precies weten welke assertions kritiek zijn voor jouw type organisatie en hoe we deze het meest efficiënt kunnen toetsen.
Wil je weten hoe assertion based auditing jouw volgende audit efficiënter kan maken? Neem contact met ons op voor een vrijblijvend gesprek over jouw specifieke auditsituatie. We bespreken welke assertions voor jouw organisatie het belangrijkst zijn en hoe we deze gericht kunnen toetsen binnen jouw budget en planning.