Ga direct naar inhoud

IT-audit

Onze IT-auditors zijn betrokken bij de jaarrekeningcontrole van de ministeries. Daarnaast doen IT-auditors gevraagde onderzoeken bij onze opdrachtgevers.

Systemen en bedrijfsvoering doorlichten

Met het team zien IT-auditors erop toe dat de organisaties binnen de Rijksoverheid digitaal weerbaar zijn en (Europese) regelgeving goed toepassen. Daarvoor lichten zij systemen en bedrijfsvoering door. Zo bestudeert de IT-auditor de feitelijke technische inrichting en documentatie van de systemen en interviewt systeemeigenaren, product owners, beheerders en gebruikers. 

Slimme innovatieve auditoplossingen

Het IT-auditwerkveld is volop in ontwikkeling. Daarom onderzoeken onze IT-auditors ook hoe moet worden omgegaan met data, privacy en moderne infrastructuur en toepassingen. De creatieve denkwijze van onze auditors helpt bij het vinden van slimme innovatieve auditoplossingen. Het team IT-auditors denkt mee bij het vernieuwen en het maken van scherpe keuzes in de auditaanpak. Onze projecten hebben een grote impact voor burgers of bedrijven.

'Bij de zorgbonus voor zorgmedewerkers controleerden we of het juiste geld bij de juiste medewerker terechtkwam. Met data-analyse uit verschillende systemen is dit ingewikkelde project gelukt.'

IT-auditors onderzoeken alles wat draait om de betrouwbaarheid en veiligheid van IT-systemen. We doen dit voor (en samen met) de financial auditor die al zijn informatie uit IT-systemen haalt en op verzoek van de leiding van een ministerie.

Thema's

Belangrijke IT-auditthema’s zijn:

  • privacy
  • cybersecurity
  • SAP & Oracle (complexe financiële systemen)
  • data-analyse (kunnen we met slimme analyses het werk van de financial auditor effectiever en efficiënter maken?)
  • algoritmes (is het duidelijk hoe het algoritme de beslissing maakt?)

Onderaan deze pagina vind je voor onze opdrachtgevers infosheets over enkele thema's nader toegelicht. 

Betrouwbaarheid en veiligheid van IT-systemen

Als IT-auditor beoordelen we bijvoorbeeld de beveiliging van DigiD. Denk aan het doen van je aangifte van inkomstenbelasting via het portaal bij de Belastingdienst. Belangrijk dat dit veilig gebeurt, mede omdat er veel gevoelige informatie door deze portalen gaat. In onderstaande video vertelt voormalig sectormanager IT-audit Paul wat het werken bij de Auditdienst Rijk verder zo bijzonder maakt.

Hoi, ik ben Paul. Ik werk bij de Auditdienst Rijk de onafhankelijke interne auditor van de Rijksoverheid en auditautoriteit in Nederland voor de Europese Commissie. Als IT-auditor helpen we bij de controle van de jaarrekening van de Rijksoverheid. We kijken onder andere naar de betrouwbaarheid van de IT-systemen. Door deze systemen gaan vaak miljarden euro's aan belastinggelden. Maar ook voeren we hele gave onderzoeken uit in opdracht van de leiding van de departementen. Denk aan het gebruik van algoritmes: Hoe worden die beheerst door de verschillende ministeries? Een ander voorbeeld is cloud: Welke risico's brengt het gebruik van cloud met zich mee? Daar voeren wij onderzoek op uit. Maar ook pentesten: Met pentesten kijken we naar de beveiliging van systemen en waar daar de kwetsbaarheden zitten. Als IT-auditor voeren we ook DigiD-beveiligingsassessments uit. Denk aan het doen van je aangifte van inkomsten-belasting via het portaal bij de Belastingdienst. Belangrijk dat dit veilig gebeurt, mede omdat er veel gevoelige informatie door deze portalen gaat. Daarom voeren we beveiligingsonderzoeken uit naar de webapplicatie en de IT-infrastructuur zoals bijvoorbeeld de netwerken. Het is belangrijk dat deze systemen goed beveiligd zijn. In het kader van de jaarrekeningcontrole hebben we als IT-auditors de zorgbonus gecontroleerd. Het kabinet heeft deze bonus beschikbaar gesteld voor de belangrijke bijdrage die zorgmedewerkers tijdens de coronacrisis hebben uitgevoerd. Ons belang was om te controleren of het juiste bedrag conform de juiste regels bij de juiste medewerkers terecht is gekomen. Het was een complexe opgave, mede door de vele IT-systemen die hiermee gemoeid waren. We hebben dit daarom op een innovatieve wijze gecontroleerd, door middel van data-analyse: We hebben bij deze controle verschillende data uit verschillende systemen aan elkaar geknoopt uiteindelijk met als doel om zeker te weten dat het juiste geld bij de juiste medewerker is terechtgekomen. Het doen van deze onderzoeken spreekt me erg aan zeker omdat ik dat doe samen met andere collega's, waar ik continu van leer. Persoonlijke ontwikkeling is sowieso belangrijk bij ons. Vanaf dag één kun je verschillende opleidingen en cursussen volgen. Dat is belangrijk, want IT verandert continu. Ik vind het persoonlijk erg leuk om bij de Auditdienst Rijk te werken omdat ik het gevoel heb dat ik kan bijdragen aan een beter functionerende overheid, die ook weerbaarder is. En ja, dat voelt goed.
 

Toelichting op onze expertise

Auditdienst Rijk (Sector IT) heeft een groot aantal experts in huis die, conform hun taakopdracht, audits uitvoeren bij onderdelen binnen het Rijk. Zij doen dit in sommige gevallen vanuit wettelijke verplichting en in andere gevallen op verzoek. Gevraagde audits komen neer op IT-onderzoek ter ondersteuning van die Rijksonderdelen. De experts passen hun kennis en ervaring onder andere toe op data-analyse, DigiD-assessments en cyber-security-checks, zoals Red Teaming en pentesten. Maar ze gaan ook na of Rijksonderdelen AI verantwoord inzetten. En of die onderdelen digitaal voldoen aan de privacywetgeving. Over elk van deze voorbeelden is er nu een infosheet die kort vertelt wat dat type onderzoek inhoudt – en wat jij eraan hebt. Hieronder vind je het overzicht.

Infosheets IT-audit