Vernieuwende rol van Internal Audit in de DNB Richtlijnen voor Informatiebeveiliging

12 september 2023

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk. Internal Audit kan hierbij veel waarde toevoegen.

De DNB Good Practice Informatiebeveiliging fungeert als een richtlijn voor organisaties in hun streven naar een waterdichte informatiebeveiliging. Dus om ‘in control’ te geraken op het vlak van ICT. Deze praktijkrichtlijnen van De Nederlandsche Bank (DNB) bevatten inzichten en best practices voor het beschermen van informatie. Interne auditafdelingen kunnen deze richtlijnen integreren in hun werk. Het biedt een kader om informatiebeveiliging te beoordelen in lijn met externe normen.

De verschuiving van financiële audits naar bredere operationele (waaronder ICT) audits opent de deur naar het identificeren van nieuwe kansen en risico’s. Het is niet langer voldoende om alleen terug te kijken; auditors moeten vooruit kijken en opkomende bedreigingen aanpakken. Door het uitvoeren van Control Self Assessments krijgt de organisatie beter en eerder zicht op het functioneren van beheersmaatregelen en de ontwikkeling van risico’s. Cyberdreigingen zijn een perfect voorbeeld van een snelgroeiend risico dat vraagt om veel aandacht. Door verder te gaan dan de norm, kunnen internal auditors waarde toevoegen door veerkracht te kweken in een steeds veranderend landschap.

Een ander aspect van deze evolutie is de grotere nadruk op de leveranciersketen. Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

De rol van Internal Audit bij de DNB Good Practice Informatiebeveiliging

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De rol van internal audit (interne audit) bij de implementatie en naleving van deze good practice is daarmee van cruciaal belang. Enkele rollen van interne audit in deze context zijn bijvoorbeeld:

  1. Toetsing van beleid: Interne audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB good practice.
  2. Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1e en ook 2e lijn) zelf, speelt interne audit een vitale rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
  3. Risicobeoordeling: Interne audit kan assisteren bij of een onafhankelijke beoordeling uitvoeren van de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid.
  4. Awareness en training: Interne audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB good practice.
  5. Incidentenanalyse: In het geval van beveiligingsincidenten kan interne audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
  6. Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.
  7. Stakeholdercommunicatie: Interne audit kan fungeren als een communicatiekanaal tussen het management, de Raad van Bestuur en andere belanghebbenden, om hen te informeren over de status en effectiviteit van het informatiebeveiligingsbeleid van de organisatie.

De Rol van Internal Audit bij Control Self Assessments

Eenvoudig gezegd is CSA een methode waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en nodige controles begrijpen.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door bv de CISO, kan Interne Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

  1. Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
  2. Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
  3. Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Interne auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen.
  4. Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
  5. Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Het is belangrijk om van leveranciers van in de outsourcingsketen te eisen om een assuranceverklaring te overleggen om inzicht te krijgen in de behersing van risico’s en compliance aan te tonen. In veel sectoren is er een strikte regelgeving hieromtrent, zo vereist DNB dit dan ook, en assuranceverklaringen kunnen aantonen dat leveranciers zich aan deze en andere regels houden. Daarnaast zijn deze verklaringen vaak onderdeel van contractuele afspraken en zorgen ze voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Een van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop IA dit kan doen:

  1. Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid en relevantie ervan te beoordelen.
  2. Expertise bij beoordeling: Internal auditors hebben expertise in risicobeheer en assurance. Ze kunnen deze expertise toepassen bij het beoordelen van de betrouwbaarheid en dekking van assurance verklaringen, met name als het gaat om technische of gespecialiseerde gebieden.
  3. Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
  4. Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
  5. Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
  6. Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
  7. Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
  8. Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. Internal Audit speelt hierin een cruciale rol, met name bij het waarborgen van de naleving van deze richtlijnen, het faciliteren van Control Self Assessments en het beoordelen van assuranceverklaringen in de outsourcing keten. De samenwerking tussen CSA’s en interne audits zorgt voor een robuustere aanpak van risicobeheer. Bovendien speelt Internal Audit een significante rol bij het evalueren van assurance verklaringen van externe leveranciers, waarbij ze bijdragen aan een holistisch overzicht van risico’s en maatregelen binnen de gehele leveranciersketen. Het is dus duidelijk dat de vernieuwende rol van Internal Audit onmisbaar is bij het versterken van informatiebeveiliging in lijn met de DNB-richtlijnen.

Round Table “Versterk uw informatiebeveiliging: DNB’s Good Practice en de rol van internal audit”
Op 4 oktober organiseren wij een Round Table over dit onderwerp. U leert o.a. hoe u kunt bijdragen aan het ‘in control’ geraken van de informatiebeveiliging. Ontdek kansen om te vernieuwen en waarde toe te voegen voor uw organisatie. Er is een beperkt aantal plekken, dus wees er snel bij.
Meer informatie en aanmelden
Terug naar Actueel
Contact
Carlo Bavius RO RE CIA CRISC CRMA
Associate Partner
06-40050555