Redactieraad drs. J.P. Harmens RE RA drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA
Redactie drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. A.J. Tomas RE RI RO drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE
Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) Uitgever Reed Business Information BV Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl
Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2006 € 80,50 excl. btw. De verzendtoeslag voor België bedraagt € 6,95 en voor de Nederlandse Antillen en overige landen € 21,55. De prijs van losse nummers is € 22,60 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business Information BV Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail:
[email protected]
Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583
Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Elsevier Media Amsterdam Tel.: 020-5159666 Fax: 020-5159633 E-mail:
[email protected] www.ema-online.nl Geldend advertentietarief 1-1-2005 Vormgeving Studio Putto bNO, De Rijp
4 Van de redactie 5 Column Tobias Houwert
6 Auditsoftware onder de loep Chris Wauters en Gert van der Pijl
12 Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens
20 Elektronisch stemmen: een auditperspectief Ed Ridderbeekx
33 CobiT 4, hét Governance raamwerk? Joost van Lier en Ton Dohmen
38 IT-audit training Sonam Delma
41 Ketengovernance Ketensamenwerking binnen het publieke domein Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren
48 Een dag uit het leven van P.A. Schellen RE CISA
50 IT-Audit en het Internet Platform voor informatiebeveiliging Loubna Zarrou
53 Boekbespreking Core concepts of information technology auditing Thomas Wijsman
55 Van de NOREA
2
jaargang 15 - 2006
de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors
Inhoud
Van de redactie
Stemmen en raamwerken Ruim voor de zomer bereikt u dit tweede nummer van de EDP-auditor in 2006. Zoals zo vaak komt ook in dit nummer de breedte van ons vakgebied weer goed tot uitdrukking. In zijn column maakt Tobias Houwert ons op een speelse manier nog eens duidelijk dat naleving van gedrags- en beroepsregels de continue aandacht van de auditor vereist. Daarna geven Chris Wauters en Gert van der Pijl een overzicht van de stand van zaken rond het gebruik van geautomatiseerde audittools. Het is aardig te zien dat deze tools, die een van de ontstaansredenen van het IT-audit vak vormden maar daarna gedurende lange tijd wat minder aandacht kregen, nu weer aan een opmars bezig zijn. Dit zowel door de toegenomen behoefte om ‘in control’ te zijn als door de slimme toepassingen op het gebied van forensic auditing. Vincent Jentjens schetst vervolgens een raamwerk voor het inrichten van de informatiebeveiliging. Hij is daarbij zo wijs om niet opnieuw het wiel uit te vinden maar zich te baseren op bekende methoden als ITIL en ASL. Een heel ander onderwerp wordt besproken door Ed Ridderbeekx. Hij beschrijft de beveiligingsproblematiek rond stemmachines en laat zien dat er heel wat maatregelen nodig zijn om te garanderen dat een door u uitgebrachte stem ook daadwerkelijk meetelt. Daarna een sprong naar weer een heel ander onderwerp. Onlangs verscheen een nieuwe versie van CobiT: CobiT 4. In ons vorige nummer wezen we u al op de vele informatie die hierover voorhanden is op de ISACA-website. In dit nummer bespreken Joost van Lier en Ton Dohmen de veranderingen in dit veel gebruikte raamwerk.
Himalaya ligt het kleine koninkrijkje Bhutan. Margareth van Biene en Gert van der Pijl verzorgden voor leden van de Royal Audit Authority een cursus IT auditing. Sonam Delma, een van de cursisten, doet verslag van de cursus en geeft daarmee een sfeerbeeld vanuit deze totaal andere cultuur. Tenslotte weer terug naar onze eigen situatie. Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren presenteren het slot van hun driedelige artikelreeks over keten governance. Ze gaan daarbij uitvoerig in op de begrippen keten en ketenaudit. En dan natuurlijk onze vaste rubrieken. Peter-Willem Schellen gunt ons een kijkje in een dag van zijn leven als IT-auditor in Noorwegen. Loubna Zarrou bespreekt de internetsite van het Platform Informatiebeveiliging en Thomas Wijsman deelt zijn visie op het boek ‘Core concepts of information technology auditing’. Zoals gezegd, een nummer dat vele facetten van ons boeiende vak bestrijkt. Wij hopen dat u er thuis, met het mooie weer in de tuin, of misschien ook wel ver weg in een mooie nieuwe omgeving, weer veel leesplezier mee zult beleven
En dan een stap naar de andere kant van de wereld. Midden in de 4 | de EDP-Auditor nummer 2 | 2006
Column
In casu: En Ron stond voor het hekje
W
at was er allemaal goed gegaan tijdens de laatste opdracht die Ron als verantwoordelijk partner RE RA binnen het accountancy- en advies kantoor REFLEX had uitgevoerd en die een half jaar geleden zo mooi was begonnen op de golfbaan? Ron las opnieuw de brief van de Raad van Tucht. De volgende flarden bleven hangen op zijn netvlies: binnen 20 dagen melden… aanklacht aanhoren… voorbereiden op de verdediging… geen ruchtbaarheid tot na de behandeling van de zaak…hoor en wederhoor… inschakelen onafhankelijke derde. Het ging om een gecompliceerde security audit van Surrender. In het dossier dat hij had laten opstellen door zijn secretaresse, trof hij de brieven aan waarin de directeur van Energies schreef, dat hij zich genoodzaakt voelde om een klacht in te dienen bij de Raad van Tucht. De opdracht had niet tot een bevredigend resultaat geleid en de directeur van Energies vermoedde een mogelijk conflict of interest. Ron had zijn secretaresse gevraagd om tussen de ongelezen post het laatste jaarboek van Norea te achterhalen. Daarin zou hij in ieder geval de laatste versie van de richtlijnen in het kader van de Attestfunctie vinden en hij hoopte daar iets meer te lezen over wat hem mogelijk te wachten stond als het tot een zaak zou komen bij de Raad van Tucht. Ron had zijn agenda voor vandaag leeggemaakt. Hij noteerde 5 mei op het witte vel dat voor hem lag, ‘Bevrijdingsdag’ galmde het in zijn hoofd. Het was nu serieus, De Winter, kantoorvoorzitter, was vanochtend al langsgeweest omdat hij geluiden had opgevangen over een op handen zijnde tuchtzaak. Hij had Ron op het hart gedrukt om tijdig contact op te nemen met de juridische afdeling. Ron had De Winter gezegd dat hij dacht dat het niet zo’n vaart zou lopen. Om elf uur stak Richard, een van de assistenten, zijn hoofd om de deur: ‘Nog een koffie?’ Ron keek verschrikt op van zijn bureaublad, zijn gedachten
waren afgedwaald door de vele e-mails die zijn mailbox en BlackBerry leken aan te vallen. ‘Ja doe maar een extra sterke bak.’ Richard deed een stap de kamer in en vroeg: ‘Ron, heb je vanmiddag nog even tijd om naar mijn scirptie te kijken? Ik wil voor de zomer mijn RE-studie afronden, ik heb je de scriptie gisteren gemaild.’ Ron knikte en vroeg naar het onderwerp van de scriptie, dat hij was vergeten. Richard riep, terwijl hij al met een been buiten zijn kamer stond: ‘Studie naar de NOREA-richtlijnen in het kader van de recente Tuchtzaak tegen M. en de noodzaak van kwaliteitsreviews.’ Hij doorzocht zijn e-mail naar de laatste versie van de scriptie van Richard en haalde enigszins opgelucht adem. Richard was een getalenteerde assistent die veel in zijn mars had. Als hij eenmaal aan een opdracht was begonnen dan wilde hij het onderste uit de kan halen. Ron opende het pdf-bestand en bekeek de inhoudsopgave. De scriptie was logisch opgebouwd en begon met een inleiding over de Richtlijn in het Kader van de Attestfunctie, addendum Jaarboek 1999. In een grijs tekstblok las hij: ‘De twee Richtlijnen Opdrachtformulering en -aanvaarding en Rapportage markeren het begin en het einde van een opdracht in het kader van de attestfunctie. Uitgangspunt hierbij is dat het aantoonbaar is dat oordelen en bevindingen in overeenstemming zijn met de doelstelling van de opdracht die is vastgelegd in de opdrachtformulering.’ en ‘De derde richtlijn behandelt de Dossiervorming. Het dossier behorende bij een opdracht is de basis voor de vaktechnische verantwoording over de uitgevoerde werkzaamheden.’ (En in rood) ‘Bij een tuchtzaak kan het dossier buitengewoon belangrijk zijn om aan te tonen dat de RE zijn werk heeft uigevoerd conform de in de Richtlijnen gestelde minimumeisen.’
Ron herinnerde zich weer dat de opdracht helemaal niet soepeltjes was verlopen. Tot een goede opdrachtformulering was het niet gekomen, daar waren ze bij het opstellen van de eindrapportage, de powerpoint presentatie, tegenaan gelopen. Tijdens de presentatie, een maand na het afronden van de opdracht, waren de spanningen in de directiekamer hoog opgelopen. Het zakelijk belang om de beveiligingssoftware van DIGIFLEX aan de man te brengen en de banden die hij nog steeds onderhield met de directie van DIGIFLEX, hadden hem bij deze opdracht in de weg gestaan. Hij kon immers niet de beveiligingskarakteristieken van het product afkraken waar hij jarenlang veel tijd en energie in had gestoken. Hij pakte de telefoon, belde zijn senior manager André en verzocht hem het dossier van Energies op zijn kamer af te geven. Hij kon zich niet herinneren dat hij het dossier voor afronding van de opdracht had afgetekend, zoals gebruikelijk was voor dergelijke omvangrijke security audits. Het werd Ron duidelijk dat hij het een en ander door de drukte had belegd op een niveau waar het niet thuishoorde binnen de organisatie. Hij besloot de juridische afdeling in te schakelen om zijn positie te bepalen. Het was hem wel duidelijk geworden dat hij zich in deze zaak moest verantwoorden met een gedegen onderbouwing over het verloop van de opdracht. Allereerst moest hij het dossier grondig inspecteren om te controleren of alle stukken beschikbaar waren mocht het tot een dossier review komen. En Ron besloot Richard te vragen een presentatie te houden over het onderwerp van zijn scriptie, een goede oefening voor de verdediging van zijn scriptie... en misschien ook wel een nuttige opfrisser voor de rest van het kantoor. Ook de aanbeveling over kwaliteitsreviews wilde Ron in de partnervergadering op de agenda laten zetten. Deze column is geschreven op persoonlijke titel door drs. W.T Houwert RE, werkzaam als projectmanager EDP Audit bij Ernst & Young.
5 | de EDP-Auditor nummer 2 | 2006
Artikel
Auditsoftware onder de loep Het gebruik van auditsoftware in de Nederlandse auditpraktijk Chris Wauters en Gert van der Pijl
D
at de Informatie en Communicatie Technologie (ICT)
gebeuren. Het gebruik van auditsoftware biedt nieuwe
een steeds essentiëlere rol speelt in het functioner-
kansen om het auditwerk nog efficiënter en effectiever
en van de overheid en het bedrijfsleven zal tegenwoordig
uit te voeren.
niemand meer ter discussie stellen. De ICT heeft zich
Dit artikel heeft als doel om auditsoftware expliciet in
ontwikkeld van een volledig ondersteunende technologie
de schijnwerpers te zetten. Het is in het bijzonder inter-
naar een technologie die veelal samenvalt met het pri-
essant voor mensen die meer willen weten over de
maire bedrijfsproces. Hierdoor is de afhankelijkheid van
verschillende soorten auditsoftware en het gebruik van
ICT in de bedrijfsprocessen sterk toegenomen. Ook bin-
auditsoftware binnen het auditvak. Deze bijdrage
nen het auditproces in alle auditdisciplines (bijvoorbeeld
beschrijft als eerste de achtergronden van auditsoft-
financial-, operational- en IT-auditing) krijgt ICT in de
ware en zoomt vervolgens in op de resultaten van een
vorm van auditsoftware een steeds belangrijkere functie.
onderzoek naar het gebruik van auditsoftware in de
De vraag is dan ook niet meer óf auditsoftware moet
Nederlandse auditpraktijk. Het artikel sluit af met een
worden ingezet, maar de vraag is hoé dit moet
slotbeschouwing van de twee auteurs.
Achtergronden van auditsoftware Begripsbepaling
De termen auditsoftware, audittool, Computer Assisted Audit Tool of (CAAT) of ook wel Computer Assisted Audit Technique genoemd, worden veelal gebruikt als verzamelnaam voor alle ICT-middelen die worden ingezet binnen het auditproces. Soms worden deze begrippen ook wel gehanteerd voor specifieke software voor één bepaald auditdoel, zoals het analyseren van databestanden. Dit artikel gaat uit van de eerste – meer algemene – definitie: ir. C. L. Wauters EMEA is
Prof. dr. G. J. van der Pijl RE
recent werkzaam als advi-
is hoogleraar aan de
seur/auditor bij Het
Masteropleiding EDP-
Expertise Centrum (HEC) in
Auditing/IT-auditing van de
Den Haag. Voorheen werkte
Erasmus School of
hij als senior auditor bij de
Accounting & Assurance
Algemene Rekenkamer. Dit
(ESAA).
Auditsoftware is een ICT-hulpmiddel dat gebruikt wordt binnen het auditproces met als doel het auditproces met ICT te ondersteunen en de effectiviteit en efficiency van de auditor te verhogen. Onder ondersteunen, valt onder andere het vereenvoudigen van de werkzaamheden van de auditor en het in kwalitatieve zin verbeteren van het auditproces. Onder de definitie vallen naast de specifiek ontwikkelde auditsoftware ook utilities of standaardpakketten die in eerste instantie voor andere doeleinden zijn ontwikkeld, maar ingezet worden voor een auditdoel [NORE; 97].
artikel is gebaseerd op zijn slotreferaat voor de Masteropleiding EDPAuditing/IT-auditing van de Erasmus Universiteit Accountancy, Auditing en Controlling (EURAC).
Historie auditsoftware Beide auteurs hebben het artikel op persoonlijke titel geschreven.
De auditsoftwaremarkt heeft de laatste decennia zeker niet stilgestaan. Vanaf begin jaren ‘70 werd auditsoftware veelal ingezet binnen mainframe-omgevingen als middel om gegevens te testen [BIEN; 96]. Deze eerste generatie auditsoft-
6 | de EDP-Auditor nummer 2 | 2006
ware voor mainframe-omgevingen was bedoeld om na te gaan of de ‘controls’ binnen de mainframesystemen werkten zoals ze beoogd waren [CODE; 01]. In de loop van de jaren ‘80 kwam er tweede generatie software gericht op het verbeteren van de efficiency en toepassingenmogelijkheden voor de individuele auditor. Met deze software kon informatie uit systemen worden gehaald en worden onderworpen aan nadere analyse. Tegenwoordig is er derde generatie software met als primair doel het verbeteren van de audit-organisatie in zijn geheel [CODE; 01]. Categorieën auditsoftware Zoals aangegeven zijn de toepassingsmogelijkheden van auditsoftware de afgelopen decennia sterk verbeterd. In het algemeen kan worden gezegd dat de auditor de computer voornamelijk inzet als [PRAA; 98]: • hulpmiddel bij de ondersteuning van zijn werk; • hulpmiddel om de gegevens die in geautomatiseerde vorm zijn vastgelegd te kunnen benaderen. In de beginjaren van de auditsoftware was er slechts een zeer beperkt aantal soorten auditsoftware. Door de ontwikkelingen in het auditvak, zoals de op risicoanalyse gebaseerde auditaanpak en de voortschrijdende technologische mogelijkheden zijn er diverse categorieën bijgekomen. In het vervolg van dit artikel worden achtereenvolgende de volgende hoofdcategorieën auditsoftware beschreven: 1. 2. 3. 4.
General Audit Software (GAS); Audit Management Software (AMS); Risicomanagement & -analyse software; Netwerk, besturingssysteem & database assessment software; 5. Elektronische dossiers; 6. Overige auditsoftware.
Audit Management Software
Audit Management Software (AMS) is software die de audit van risicoanalyse, planning, uitvoering tot rapportage volledig ondersteunt. In deze software wordt de auditmethodologie van de organisatie opgenomen. In AMS is vaak de mogelijkheid geïntegreerd tot het gebruik van elektronische dossiers. Daarnaast is het mogelijk om uitgebreide managementinformatie over de audit te geven. In sommige AMS is er tevens de mogelijkheid tot het uitvoeren van de risicoanalyse en opzetten van enige vorm van kennismanagement. Voorbeelden van spelers op deze markt zijn TeamMate van PriceWaterhouseCoopers en Auditors Work Station (AWS) van Ernst & Young . Risicomanagement & -analyse software
De kwaliteit van de interne beheersing van organisaties staat onder andere naar aanleiding van Sarbanes-Oxley en aanverwante regelgeving sterk in de belangstelling. Hierdoor is ook het belang van risicomanagement toegenomen en worden door organisaties vaak risicoanalyses en Control Risk Self Assessments (CSRA’s) uitgevoerd. Er is diverse auditsoftware die de uitvoering van risicoanalyses en Control Risk Self Assessment kan ondersteunen [IIA; 97]. Ook zijn er softwarehulpmiddelen beschikbaar voor de balanced business scorecard en voor business risk models. Producten op deze markt zijn bijvoorbeeld TeamMate van PriceWaterhouseCoopers en AutoAudit van Paisley Consulting . Netwerk, besturingssysteem & database assessment software
Naast deze specifieke soorten auditsoftware gebruiken auditors in hun dagelijks werk ook software voor meer algemene doeleinden, zoals tekstverwerkers, e-mail/agenda software, spreadsheets, presentatie software en flowcharting software. Deze wordt in dit artikel niet nader beschouwd.
Netwerk, besturingssystemen & database assessment software zijn specifieke toepassingen voor de uitvoering van technische IT-audits. Deze software wordt veelal gebruikt door IT-auditors maar ook door systeembeheerders voor het monitoren, controleren en beoordelen van de configuratie van netwerken, besturingssystemen en databases. Veel van dit soort toepassingen hebben rapportagemogelijkheden waarmee uitgebreide rapportages kunnen worden gemaakt van de huidige instellingen. De software van Internet Security Systems is op dit moment één van door auditors meest gebruikte toepassingen op dit gebied.
General Audit Software
Elektronische dossiers
General Audit Software (GAS) is de bekendste en meest gebruikte categorie. GAS wordt vooral gebruikt voor gegevensextractie en –analyse, maar kan bijvoorbeeld ook ingezet worden voor een specifiek doel zoals bijvoorbeeld fraudedetectie. GAS is toepasbaar in diverse soorten audits en wordt vooral in de financial audit gebruikt voor het maken van gegevensextracties, het doen van gegevensanalyses, het koppelen van gegevensbestanden, het genereren van steekproeven en het printen van rapportages. Bekende spelers in de General Audit Software zijn de pakketten ACL (Auditing Command Language) en IDEA (Interactive Data Extraction and Analysis).
Veel audit-organisaties werken tegenwoordig niet meer met papieren dossiers, maar hebben volledig elektronische dossiers. Alle ‘evidence’ van de audit wordt in het digitale dossier opgeslagen, waarna deze eenvoudig ontsluitbaar is. Vaak zitten er in deze software uitgebreide functionaliteiten voor het volledig doorzoeken van de dossiers op zoektermen. Elektronische dossiers zijn vaak onderdeel van Audit Management Software (AMS). Overig
Een aantal soorten software is niet goed te plaatsen in de eerdergenoemde hoofdcategorieën. Voorbeelden van deze soort sofware zijn onder andere:
7 | de EDP-Auditor nummer 2 | 2006
1. Licentie controle sofware;
Specifieke software om toezicht te houden op het gebruik van softwarelicenties. 2. Specifieke software ter beoordeling van controls/ configuratie van ERP-systemen. 3. Simulatie/testsoftware;
Simulatiesoftware of testsoftware is software waarmee simulaties kunnen worden gedaan of delen van een systeem kunnen worden getest op aanwezige fouten. 4. Enquête sofware;
Software voor het digitaal uitzetten en analyseren van enquêtes. Gebruik van auditsoftware Een logische vraag die gesteld kan worden, is: in welke mate wordt er gebruik gemaakt van deze soorten auditsoftware? En welke auditsoftware-fabrikant wordt binnen iedere categorie het meest gebruikt? Het blijkt dat er binnen Nederland weinig tot geen kwantitatief onderzoek is gedaan naar het daadwerkelijke gebruik van auditsoftware. Internationaal wordt er ieder jaar door the Institute of Internal Auditors (IIA) in het vakblad The Internal Auditor een onderzoek gepubliceerd over het gebruik van auditsoftware [IIA; 05]. Vanwege het ontbreken van kwantitatief onderzoek binnen Nederland is door de auteurs een digitale enquête gehouden onder een groep Nederlandse auditors. De resultaten hiervan zijn vergeleken met het internationale onderzoek van de IIA van augustus 2004 [IIA; 04]. Dit beperkte onderzoek geeft een globaal en indicatief beeld van het auditsoftwaregebruik binnen Nederland. De resultaten van dit onderzoek worden in het vervolg van dit artikel nader besproken. Respondenten
In totaal hebben 95 auditors de vragenlijst volledig afgerond (deels ingevoerde vragenlijsten zijn ook verwerkt), waarbij de helft van de respondenten werkzaam is als interne auditor en de helft als externe auditor. Het merendeel (85 procent) van de respondenten werkt in het IT-audit vakgebied en een klein deel is werkzaam als operational auditor (17 procent) of als financial auditor (14 procent) (zie eerste figuur: Beroepsgroep)
Resultaten onderzoek Een deel van de resultaten van het onderzoek is weergegeven in de afzonderlijke diagrammen. Niet alle categorieën auditsoftware zijn binnen het auditvak al volledig ingeburgerd. Zo wordt er bijvoorbeeld nog relatief weinig gebruik gemaakt van specifieke tools voor risicomanagement en -analyse. 57 procent van de auditors geeft zelfs aan deze tools nooit te gebruiken en 35 procent zegt ze een paar keer per maand te hanteren. Ook is het opvallend dat in het hedendaagse digitale tijdperk één op de drie ondervraagde auditors nog géén gebruik maken van de mogelijkheden van digitale dossiers. Op basis van de IIA onderzoeken van de afgelopen jaren kan worden geconstateerd dat het gebruik in de loop van de jaren langzaam toeneemt. De data-analyse en –extractie software en Audit Management Software worden van de verschillende categorieën het meest gebruikt. De Audit Management Software wordt het meest gebruikt voor digitale dossiervorming, maar wordt onder andere ook gebruikt voor risico-analyse, planning, tijd/urenverantwoording, kennisdeling en rapportage. Wat verder opviel, was dat ondanks het bestaan van gespecialiseerde auditsoftware de standaard Office pakketten zoals MS Excel, MS Access en MS Word nog veelvuldig gebruikt worden voor diverse specifieke audittaken. Vooral MS Excel is in diverse segmenten de absolute winnaar, bijvoorbeeld bij de audit management software, de risicomanagement/analyse software en bij de Control Risk Self Assessment software. Conclusies en slotbeschouwing Gebruik van auditsoftware
We concluderen dat de markt voor auditsoftware de laatste jaren niet heeft stilgestaan. Auditsoftware is uitgegroeid van eenvoudig hulpmiddel tot zeer geavanceerde software die de audit van begin tot eind kan ondersteunen. Uit de resultaten van het onderzoek blijkt dat sommige categorieën auditsoftware nog beperkt gebruikt worden. We bevelen daarom aan dat audit-organisaties het auditsoftwaregebruik binnen hun organisatie eens onder de loep te nemen. Een onderzoek naar de (on)mogelijkheden van auditsoftware binnen de organisatie en het inzichtelijk maken van de huidige mate van auditsoftwaregebruik kunnen bijdragen aan een strategische visie op de inzet van ICT binnen het auditproces. Ook kan geanalyseerd worden of de gebruikte auditsoftware wel het beoogde effect heeft gerelateerd aan de doelstellingen die de organisatie bij de invoering er mee had.
Binnen welke beroepsgroep valt u? (meer dan één antwoord mogelijk) 100% 90%
Antwoordmogelijkheid
Aantal
Percentage
IT-auditor
79
85 %
Financial auditor
13
14 %
Operational Auditor
16
17 %
40%
Anders
5
5%
30%
80% 70% 60% 50%
20% 10% 0%
IT-auditor
8 | de EDP-Auditor nummer 2 | 2006
Financial auditor
Operational auditor
Anders
Hoe vaak gebruikt u data-extractie en analyse software?
100% 90%
Antwoordmogelijkheid
80%
Aantal
Percentage
Nooit
27
25 %
60%
Af en toe (paar keer per maand)
52
49 %
50%
Vaak (paar keer per week)
19
18 %
(Bijna) altijd
9
8%
70%
40% 30% 20% 10% 0%
Nooit
Af en toe (paar keer per maand)
Vaak (paar keer per week)
g
Welke data-extractie gebruikt u het meest frequent?
(Bijna) altijd
q
100% 90%
Antwoordmogelijkheid
Aantal
Percentage
80% 70%
MS Acces
8
9%
ACL
18
20 %
50%
IDEA
23
26 %
40%
MS Excel
25
28 %
30%
Intern product namelijk:
7
8%
Anders namelijk:
9
10%
Hoe vaak gebruikt u Audit Management software?
60%
20% 10% 0%
MS Access
ACL
IDEA
MS Excel
Intern product
Anders
100% 90%
Antwoordmogelijkheid
80%
Aantal
Percentage
Nooit
39
39 %
60%
Af en toe (paar keer per maand)
17
17 %
50%
Vaak (paar keer per week)
18
18 %
(Bijna) altijd
27
27 %
70%
40% 30% 20% 10% 0%
Nooit
Af en toe (paar keer per maand)
Vaak (paar keer per week)
g
Welke Audit Management gebruikt u het meest frequent?
(Bijna) altijd
q
100% 90%
Antwoordmogelijkheid
Aantal
Percentage
80% 70%
AWS
5
7%
Audit Leverage
1
1%
Auto Audit
2
3%
40%
MS Excel
20
28 %
30%
Team Mate
4
6%
20%
Intern product namelijk:
25
35 %
Anders namelijk:
15
21 %
60% 50%
10% 0%
AWS
Audit Leverage
Auto Audit
MS Excel
Team Mate
Intern product
Waar gebruikt u Audit Management sofware voor? (meer dan één antwoord mogelijk)
100% 90%
Antwoordmogelijkheid
Aantal
Percentage
80%
1 Risico-analyse
34
49 %
70%
2 Planning
37
54 %
60%
42 %
50%
3 Tijd/urenverantwoording
29
4 Digitale dossiervorming
50
72 %
5 Kennisdeling/kennismangement
32
46 %
6 Rapportage
27
39 %
7 Anders namelijk:
6
9%
4.
1.
2. 3.
5.
6.
40% 30% 20% 10% 0%
9 | de EDP-Auditor nummer 2 | 2006
7.
Anders
Maakt u gebruik van elektronische auditdossiers?
100% 90% 80%
Antwoordmogelijkheid
Aantal
Percentage
Ja
67
68 %
Nee
32
32 %
70% 60% 50% 40% 30% 20% 10% 0%
Hoe vaak gebruikt u risicomanagement/analyse software?
Ja
Nee
100% 90%
Antwoordmogelijkheid
80%
Aantal
Percentage
Nooit
56
57 %
60%
Af en toe (paar keer per maand)
34
35 %
50%
Vaak (paar keer per week)
4
4%
(Bijna) altijd
4
4%
70%
40% 30% 20% 10% 0%
Welke risicomanagement/analyse gebruikt u het meest frequent?
Nooit
Af en toe (paar keer per maand)
Vaak (paar keer per week)
(Bijna) altijd
40% 35%
Antwoordmogelijkheid
Aantal
Percentage
30%
MS Acces
3
6%
25%
Audit Leverage
0
0%
20%
Auto Audit
1
2%
15%
MS Excel
15
32 %
10%
ACL
0
0%
5%
TeamMate
2
4%
0%
MS Word
6
13 %
Intern product namelijk:
11
23 %
Anders namelijk:
9
19 %
Hoe vaak gebruikt u netwerk, besturingssysteem en
MS Audit Access Levarage
Auto Audit
MS Excel
ACL
Team Mate
MS Word
Intern Anders product
100% 90%
database software tools?
80% 70%
Antwoordmogelijkheid
Aantal
Percentage
Nooit
55
50 %
Af en toe (paar keer per maand)
3
33 %
Vaak (paar keer per week)
5
5%
20%
(Bijna) altijd
4
4%
10%
60% 50% 40% 30%
0%
Nooit
Welke netwerk, besturingssysteem en database
Af en toe (paar keer per maand)
Vaak (paar keer per week)
(Bijna) altijd
software tools gebruikt u het meest frequent? Antwoordmogelijkheid
Aantal
Percentage
40%
ISS Internet Scanner
6
14 %
35%
Enterprise security manager
0
0%
30%
Bindview
1
2%
25%
Intrusion security analist
2
5%
20%
Pentasafe
3
7%
15%
Cybercop scanner
0
0%
10%
Oracle tools
6
14 %
5%
Microsoft tools
7
16 %
0%
Intern product namelijk:
10
23 %
Anders namelijk:
9
20 %
ISS Enterprise Bind Intrusion Penta Cybercop Oracle Microsoft Intern Anders Internet security view security safe sanner tools tools product scanner manager analist
10 | de EDP-Auditor nummer 2 | 2006
Door de ontwikkelingen op de auditsoftwaremarkt te volgen kunnen audit-organisaties blijven innoveren in hun geautomatiseerde methoden en technieken. Individuele auditors worden aangespoord om open staan voor de ontwikkelingen in hun eigen vakgebied en deze ontwikkelingen actief te blijven volgen. Op zeer veel audit-toepassingsgebieden is auditsoftware te verkrijgen. Audit-organisaties zullen dan ook weloverwogen keuzes moeten maken welke auditsoftware het beste past bij het gekozen auditdoel. Opvallend is dat het gebruik van elektronische dossiers in 2005 nog niet volledig is ingeburgerd. Ongeveer een derde van alle auditors gaf aan nog niet met digitale dossiers te werken. Een algemene indruk is dat organisaties wel nadenken over digitale dossiers maar toch nog niet allemaal de stap hebben durven zetten. Waarom dit het geval is, is niet nader onderzocht, maar is wel degelijk een interessante vraag. De voordelen van elektronische dossiers lijken groot, maar de overstap is voor veel organisaties blijkbaar erg gecompliceerd. Belangrijk is dat de afweging óf en hoe deze stap wordt genomen zorgvuldig wordt uitgevoerd en auditors zouden dan ook intensief bij deze afweging moeten worden betrokken. De beroepsorganisaties zouden tevens een belangrijke rol kunnen spelen in kennisdeling en -uitwisseling op dit terrein.
zou kunnen worden. Ook heeft specifieke auditsoftware mogelijkheden die met de standaard officetoepassingen überhaupt niet mogelijk zijn. We bevelen audit-organisaties dan ook aan om te evalueren of de standaard officetoepassingen daadwerkelijk voorzien in de behoefte en of met specifieke auditsoftware geen voordelen zijn te behalen in de efficiëntie of effectiviteit van de audit.
Bronnen • [BIEN; 96] IT Auditing: An object oriented approach, Prof. M. van BieneHershey, 1996. • [CODE; 01] CAATTs & other BEASTs, David G. Coderre, 2nd edition, 2001. • [IIA; 97] Automating the Self Assessment Proces, The Internal Auditor, augustus 1997. • [IIA; 04] Get the most out of audit tools, Russell A. Jackson, The Internal Auditor, augustus 2004. • [IIA; 05] Opening the Door, Neil Bakker, The Internal Auditor, augustus 2005. • [NORE; 97] Studierapport nr 2: Een kwaliteitsmodel voor Register EDPauditors, NOREA, 1997. • [PRAA; 98] Inleiding EDP-auditing; Jan van Praat, Hans Suerink, Kluwer BedrijfsInformatie, 1998.
Onderzoek naar (gebruik) auditsoftware
Het vorig punt maakt duidelijk dat auditsoftware erg belangrijk kan zijn voor het vakgebied. Desondanks besteden de auditvakbladen weinig aandacht aan de ontwikkelingen op het gebied van auditsoftware. Het aantal recente Nederlandse publicaties over auditsoftware en het gebruik ervan bleek ronduit teleurstellend. Voor zover wij konden vaststellen is er geen recent kwantitatief onderzoek gedaan naar het gebruik van auditsoftware binnen de Nederlandse auditpraktijk. Een algemene aanbeveling van ons zou dan ook zijn om meer aandacht te schenken aan auditsoftware en een vergelijkbaar onderzoek als het jaarlijkse IIA-onderzoek binnen Nederland periodiek uit te voeren. Dit zou bijvoorbeeld door één van de Nederlandse beroepsorganisaties kunnen worden gedaan. De ontwikkelingen op dit terrein zouden we hiermee actief kunnen monitoren en het gebruik van auditsoftware verder kunnen stimuleren.
Noten 1) Een voorbeeld van 2e generatie auditsoftware is data Analyse en – extractie software 2) Een voorbeeld van 3e generatie auditsoftware is Audit Management Software 3) Flowchartingsoftware is software voor het maken van diverse soorten
Standaard officeprogrammatuur binnen de audit
diagrammen, bijvoorbeeld Data Flow Diagrammen (DFD’s), Entiteit
Een van de meest in het oog springende conclusies uit de onderzoeken was dat standaard officepakketten zoals MS Excel en MS Word veelvuldig worden ingezet voor specifieke audittaken. Men kan zich afvragen of dit ook erg is. Op zich is het gebruik van standaard officetoepassingen voor auditdoeleinden naar onze mening mogelijk, mits de toepassingen voldoende betrouwbaar zijn en voorzien in de behoefte van de auditor. Wel kan worden geconstateerd dat de additionele mogelijkheden van specifieke auditsoftware vergaand zijn, waarmee het werk van de auditor mogelijk versneld en vereenvoudigd
Relatie Diagrams (ERD’s), of organogrammen. 4) Website ACL: http:// www.acl.com 5) Website IDEA: http://www.caseware-idea.com 6) Website PriceWaterhouseCoopers: http://www.pwc.nl 7) Website Ernst & Young: http://www.ey.nl 8) Website Paisley Consulting: http://www.paisleyconsulting.com 9) Website Internet Security Systems: www.iss.net 10) De website van de IIA is te vinden via: http://www.theiia.org 11) Bij deze vraag was het mogelijk om meerdere antwoorden te geven. 12) De inhoud van de tabellen is van links naar rechts weergegeven in de staafdiagrammen.
11 | de EDP-Auditor nummer 2 | 2006
Artikel
Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens
Service Management is het beheersen van alle aspecten die van invloed zijn op de ICT-dienstverlening op zodanige wijze dat de met de klant afgesproken kwaliteit en kosten worden gewaarborgd [Sch04]. Het bekendste voorbeeld hiervan is ITIL. ITIL is ontstaan doordat organisaties steeds meer afhankelijk werden van de IT om de bedrijfsdoelstellingen te realiseren. Deze toenemende afhankelijkheid leidde tot een groeiende behoefte om de IT-dienstverlening beter af te stemmen op de bedrijfsdoelstellingen en de eisen en verwachtingen van de klanten. De IT moest van intern gericht naar extern gericht groeien.
O
p het gebied van informatiebeveiliging is eenzelfde trend waar te nemen. Informatiebeveiliging wordt, onder andere gevoed door wet- en regelgeving (SOX, Voorschrift Informatiebeveiliging Rijksdienst, Wet bescherming persoonsgegevens), een steeds belangrijker onderwerp in organisaties. In de praktijk blijkt het lastig om de informatiebeveiliging goed en werkend te implementeren. Eén van de redenen hiervoor is dat informatiebeveiliging zich begeeft in verschillende werelden. Informatiebeveiliging is van oudsher een ICT aangelegenheid. Het heeft zich vanuit hier ontwikkeld tot een specialistisch vakgebied met eigen functionarissen (security officers en managers), een eigen jargon, verenigingen en vakbladen. De aansluiting met de business is hierdoor wel eens lastig te maken. De business, veelal vertegenwoordigd door de proceseigenaar of procesverantwoordelijke, heeft de verantwoordelijkheid over het te treffen beveiligingsniveau. Door het specialistische karakter van het vakgebied, de verschillende zienswijzen (risicomanagement versus businessmanagement) sluiten deze werelden niet naadloos op elkaar aan. Het gedegen opzetten en inrichten van de informatiebeveiliging vereist dan ook een goede afstemming met betrekking tot de eisen en verwachtingen van de klant. Met Service Management, afgestemd op het vakgebied van de informatiebeveiliging, kan een organisatie informatiebeveiligingsdiensten aanbieden die zijn toegesneden op de behoefte van de klant. Hierdoor worden de twee verschillende werelden dichter bijeen gebracht.
Drs. Vincent Jentjes is consultant informatiebeveiliging bij Hintech Security
Informatiebeveiliging Bij informatiebeveiliging draait het om het verantwoord en bewust stellen van betrouwbaarheidseisen aan processen en systemen. Procesverantwoordelijken moeten in staat worden gesteld om deze verantwoordelijkheid te kunnen nemen. Dit artikel schetst een Security Service Management Framework dat een organisatie de mogelijkheid biedt om informatiebeveiliging vanuit een Service Management gedachte in te richten, te exploiteren en te beheren. Met behulp van dit security framework kunnen procesverant-
Dit artikel schetst een Service Management framework, afgestemd op informatiebeveiliging, vanuit de volgende vraagstelling: Op welke manier kan Service Management worden ingericht zodat het een bijdrage levert aan de inrichting, exploitatie en het beheer van informatiebeveiliging en de hierop afgestemde beveiligingsdienstverlening? Om deze vraag te kunnen beantwoorden, worden eerst de uitgangspunten van het Service Management framework, genaamd het Information Security Management Framework (ISMF) beschreven. Aan de hand van deze uitgangspunten wordt het ISMF verder uitgewerkt. Het artikel wordt afgesloten met een beschrijving van de toepassingsmogelijkheden van het ISMF.
woordelijken gefundeerd keuzes maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten.
Uitgangspunten ISMF Het ISMF vindt haar oorsprong in het afstudeerreferaat ‘Uitbesteden van informatiebeveiliging’ van de opleiding
12 | de EDP-Auditor nummer 2 | 2006
EDP-auditing aan de Erasmus Universiteit te Rotterdam [Jen06]. In het referaat zijn de uitkomsten beschreven van een onderzoek naar de mogelijke manieren om niet alleen de technische kant / hard controls van informatiebeveiliging (de managed security services) uit te besteden, maar ook de procedurele en soft controls (bewustwording, naleving gedragsregels). Het ISMF wordt in dit referaat gehanteerd als een framework dat organisaties voorbereidt op eventuele uitbesteding van informatiebeveiliging.
de activiteiten en taken, verantwoordelijkheden en bevoegdheden van procesmanagers duidelijk vastgelegd worden. Hierdoor is het mogelijk met behulp van prestatie-indicatoren vaste meetpunten in het proces in te bouwen. Een model dat veelal wordt gebruikt bij het sturen op de kwaliteit is de PDCA-cirkel van Deming. Door herhaaldelijk de stappen – Plan, Do, Check en Act - te doorlopen kan de kwaliteit van het proces worden verbeterd. Het ISMF past de PDCAcirkel op twee manieren toe.
Het ISMF heeft een voorbeeld genomen aan ITIL (Information Technology Infrastructure Library) en ASL (Application Services Library). Beide modellen zijn gebaseerd op ‘best practices’ en voorbeelden van Service Management modellen die veel organisaties gebruiken om (onderdelen van) de IT-organisatie in te richten en te beheren. ITIL is een algemeen aanvaarde standaard om technisch beheer in te richten. In dezelfde lijn der gedachte is ASL (Application Services Library) ontwikkeld. ASL richt zich op het beheer van de applicaties.
• Per ISMF proces wordt de PDCA-cirkel toegepast om het proces te optimaliseren. Door de afspraken met de klant regelmatig te evalueren, kan het proces beter afgestemd worden op de behoefte van de klant.
ITIL en ASL hebben als kenmerk dat ze bestaan uit verschillende, op elkaar afgestemde processen, waarbij taken, verantwoordelijkheden, bevoegdheden en resultaatsverplichtingen duidelijk zijn vastgelegd. Echter, daar waar ITIL zich richt op het beheren en exploiteren van de IT-infrastructuur en ASL op de applicatie gerelateerde aspecten hiervan, daar richt het ISMF zich op het inrichten, exploiteren en beheren van de informatiebeveiliging van toepassing op de gehele organisatie. Het ISMF verschilt bijvoorbeeld van ITIL Security Management (ITIL SM) doordat het proces ITIL SM alleen kan functioneren bij het bestaan en de (goede) werking van de andere ITIL processen [Ko04]. ITIL SM geeft aanwijzingen aan de ITIL processen met betrekking tot de inrichting van de beveiligingsgerichte activiteiten. De ISMF processen daarentegen zijn opzichzelfstaande, onafhankelijke processen die de klant ondersteunen bij de verschillende aspecten van beveiliging.
• Hiernaast wordt de PDCA-cirkel toegepast om de kwaliteit van de informatiebeveiliging te borgen en te vergroten. Doordat het ISMF voor iedere stap uit de Plan, Do, Check, Act-cirkel één of meerdere processen definieert wordt de cirkel voor het totaal tevens doorlopen (zie figuur 1). Zo worden in de strategische processen het beleid en de informatiebeveiligings-strategie opgesteld. Hiermee wordt de Plan-fase uit de Deming cirkel afgedekt. De implementatieen beheerprocessen zorgen voor de implementatie en het onderhoud van de informatiebeveiliging. Deze processen zorgen door de invullen van de Do-fase uit de Deming cirkel. De ISMF managementprocessen dragen zorg voor de coördinatie en controle op de informatiebeveiliging. Onderdeel hiervan is het controleren of de security doelstellingen wel volgens de planning en normen zijn gehaald. Hiermee wordt de Check opgepakt. Als laatste dragen de verbeterprocessen bij tot het bijstellen van de informatiebeveiligingsdoelstellingen; de Act-fase. De servicegedachte 3TRATEGISCHE -ANAGEMENT PROCESSEN
Het ISMF is gebaseerd op de volgende uitgangspunten:
PLAN
DO
/NDERHOUD )MPLEMENTATIE PROCESSEN
ACT
De procesbenadering
De activiteiten voor de ontwikkeling, exploitatie en beheersing van informatiebeveiliging zijn gegroepeerd in processen. Het voordeel van een procesbenadering is dat het ISMF organisatieonafhankelijk is. Door de groepering van de activiteiten in tien beveiligingsprocessen is het mogelijk om de processen los van de feitelijke organisatievorm te beschrijven. Zo kunnen de activiteiten die deel uitmaken van het risicoanalyseproces, bijvoorbeeld uitgevoerd worden bij afdelingen als ICT, management, P&O, et cetera. Verschillende afdelingen van de organisatie nemen dus onderdelen van het proces op zich. Hiernaast biedt de procesbenadering grote voordelen voor het sturen op de kwaliteit (effectiviteit en efficiëntie) van het proces. Omdat een proces een afgebakend geheel is, kunnen
6ERBETER PROCESSEN
CHECK -ANAGEMENT PROCESSEN Bewaken
Figuur 1: Deming cirkel
Het proces van het effectief en efficiënt beheren en beheersen van de kwaliteit van de dienstverlening aan de klant speelt een belangrijke rol. De klant bepaalt het gewenste niveau van beveiliging en de af te nemen beveiligingsdiensten. Als insteek geldt het leveren van continue dienstverle-
13 | de EDP-Auditor nummer 2 | 2006
ning door het maken van goede afspraken over het ‘service level’ en een zo spoedig mogelijk herstel van het afgesproken ‘service level’ bij de constatering van een afwijking. De focus is dus dienstverlening en de service die geleverd wordt. Een toekomstgerichte visie
Tijdig anticiperen op ontwikkelingen draagt zorg voor continuïteit van de ondersteuning en voorkomt desinvesteringen. Toekomstgericht denken is essentieel voor informatiebeveiliging. Informatiebeveiliging is niet zomaar van de ene op de andere dag ingevoerd in een organisatie. Veelal is het een proces dat jaren in beslag neemt. Bedreigingen aangaande de afhankelijkheid en kwetsbaarheid veranderen iedere dag. Het is daarom ook zaak om bij de inrichting en het onderhoud van de informatiebeveiliging voorbereid te zijn op de veranderende omgeving. Het hebben van een toekomstvisie en een beveiligingsstrategie is daarom essentieel. Scheiding tussen beheer en onderhoud / vernieuwing
Veelal wordt het onderscheid tussen beheer en vernieuwing niet zo expliciet gemaakt. Hierdoor wordt aan het beheer van informatiebeveiliging te weinig aandacht besteed. Immers, wanneer informatiebeveiliging eenmaal is geïmplementeerd, dient het beheerd te worden. Niet alleen het beheer op ICT-vlak (updates van firewalls, virusscanners, en dergelijke) is van essentieel belang, maar ook het beheer op het menselijk aspect van informatiebeveiliging is belangrijk. Het informatiebeveiligingsbewustzijn bijvoorbeeld verdient constante aandacht. Naast beheer verdient het vernieuwen
en aanpassen van de informatiebeveiliging aan de veranderende (organisatie)omgeving aandacht. Het Information Security Management Framework Bovenstaande uitgangspunten zijn samengebracht in het Information Security Management Framework. Het framework bestaat uit tien processen. De processen komen niet allemaal voort uit de informatiebeveiliging. Veel ervan zijn afkomstig van terreinen als management en dienstverlening. De tien processen zijn ingedeeld vijf clusters, verdeeld over strategisch, tactisch en operationeel niveau (zie figuur 2). Strategische processen Het beveiligingsbeleid is veelal het vertrekpunt voor de inbedding van de informatiebeveiliging in de organisatie. Het is het essentiële instrument voor de aansturing en coördinatie van de verschillende beveiligingsprocessen in de organisatie. Het beleid wordt opgesteld op basis van onder andere de missie, strategie en doelstellingen van de onderneming onder verantwoordelijkheid van het businessmanagement. Naast het beleid zal de beveiligingsstrategie bepaald moeten worden. In deze strategie wordt uiteengezet hoe informatiebeveiliging wordt ingezet in de organisatie. De strategische processen richten zich op de ontwikkeling van een toekomstvisie op de informatiebeveiliging, de vertaling van die visie naar beleid en de inrichting van de beveiligingsorganisatie. Afhankelijk van de organisatie, het ambitieniveau, et cetera worden processen uit het ISMF gekozen en ingericht.
Figuur 2: Information Security Management Framework
14 | de EDP-Auditor nummer 2 | 2006
dienstverleners in de organisatie die diensten verlenen waaraan de klant betrouwbaarheidseisen kan stellen. Hierbij kan gedacht worden aan de afdeling P&O die met de klant afspraken maakt over de exclusiviteiteisen die aan personeelsdossiers worden gesteld. Of de IT-afdeling die afspraken maakt over de beschikbaarheid van een bepaald systeem. Echter, als de IT-organisatie gebruik maakt van ITIL Service Level Management, dan dient de beveiligingsparagraaf als input voor de ICT-gerelateerde diensten. Ten tweede zijn er de dienstverleners, vaak vormgegeven in de vorm van een beveiligingsorganisatie, die de klant ondersteunen bij het onderwerp informatiebeveiliging. In de producten en dienstencatalogus (welke is afgeleid van de output van de ISMF processen) staat beschreven welke producten en diensten worden geleverd. Hierbij kan gedacht worden aan ondersteuning bij bijvoorbeeld het opstellen van het beveiligingsbeleid, het uitvoeren van risicoanalyses en bewustwordingsprogramma’s.
In dit cluster wordt het volgende proces onderscheiden: -
Security Policy & Strategic Management (SPSM)
Het doel van het proces Security Policy & Strategic Management is om informatiebeveiliging beleidsmatig en strategisch vorm te geven. In dit proces wordt het beveiligingsbeleid gedefinieerd en de informatiebeveiligingsstrategie opgesteld. Met het beveiligingsbeleid wordt bepaald waaraan de informatiebeveiliging dient te voldoen, wat het ambitieniveau is en welke ISMF-processen ingericht worden. De informatiebeveiligingsstrategie schrijft voor hoe de informatiebeveiliging past binnen de organisatiedoelstellingen en strategie. Managementprocessen Groot probleem, ingegeven door de complexiteit van informatiebeveiliging, is vaak het overzicht bewaren in de gedefinieerde risico’s, de beveiligingsmaatregelen, de implementatiestatus, et cetera. De managementprocessen hebben een bewakende en planmatige invalshoek. Planning, kwaliteitbewaking, risicomanagement, afspraken met klanten en leveranciers zijn in dit cluster de aandachtspunten.
De Security Service Level Manager stemt de eisen en wensen van de klant af op het gedefinieerde beveiligingsbeleid. De afspraken komen in het Security Service Level Dossier (SSLD) te staan. In dit dossier staan naast de afspraken verwijzingen naar de werkplannen (zie proces SPM) waarin op detailniveau staat beschreven hoe en wanneer de afspraken gerealiseerd worden.
In dit cluster worden de volgende processen onderscheiden: -
Security Quality & Audit Management (SQAM)
Het doel van het proces Security Quality & Audit Management is het evalueren van en rapporteren over de effectiviteit en kwaliteit van de ISMF processen. Hiernaast biedt dit proces ondersteuning bij de voorbereiding voor een onafhankelijke audit op de informatiebeveiliging zelf. De verantwoordelijkheid over dit proces wordt belegd bij een Security Quality Manager. Deze stelt een Security Audit Programma op aan de hand van het gedefinieerde beleid, strategie en de Security Service Level Dossiers (zie proces SSLM). De per proces gedefinieerde prestatie-indicatoren vormen een belangrijk meetinstrument voor het meten van de effectiviteit en kwaliteit van het proces. Hiernaast wordt gebruik gemaakt van het Security Programma en werkplannen (zie proces SPM), die gedefinieerd worden in het Security Planning proces. De Security Quality Manager rapporteert zijn bevindingen aan de security procesmanagers, aan klanten en aan het management. -
Security Service Level Management (SSLM)
Informatiebeveiliging is geen opzichzelfstaand proces. Informatiebeveiliging is van toepassing op alle processen in de organisatie. Dit betekent dat voor ieder proces in de organisatie bepaalde beveiligingsactiviteiten uitgevoerd moeten worden. Het doel van het proces Security Service Level Management is het (maken en) beheren van de afspraken tussen de (security)dienstverleners en de klantenorganisatie - proces- en systeemeigenaren (intern/extern) - met betrekking tot de te leveren beveiligingsdiensten en betrouwbaarheidseisen. Binnen de Service Level wordt onderscheid gemaakt tussen twee soorten dienstverleners. Ten eerste zijn er
-
Security Program Management (SPM)
Informatiebeveiliging kan uitgroeien tot een zeer complex geheel. Zeker in grote organisaties, met verschillende locaties, voorzien van verschillende IT-infrastructuren en -systemen, kan informatiebeveiliging het nodige beslag gaan leggen op de financiële en personele capaciteit. Immers, hoe meer locaties, infrastructuren en systemen, hoe meer risicoanalyses uitgevoerd worden en hoe meer beveiligingsmaatregelen geïmplementeerd moeten worden. SPM zorgt voor het implementatiemanagement van de informatiebeveiliging. Het proces heeft als doel het plannen, afstemmen en begeleiden van de verschillende implementaties. In dit proces vindt het management over de implementatie van de informatiebeveiliging plaats. Er worden door de Security Planner implementatiewerkplannen opgesteld, rapportages over de totale implementatiestatus afgegeven, et cetera. De Security Planner draagt zorg voor het Security Programma bestaande uit een samenhangend portfolio aan werkplannen. Een werkplan is een plan waarin op een projectmatige wijze staat aangegeven wie, wat in een bepaalde tijd voor activiteiten moet ondernemen. In het Security Programma staat de prioritering, en de samenhang van en afstemming tussen de werkplannen. Input voor het Security Programma en werkplannen zijn het beveiligingsbeleid, de strategie en het SSLD.
15 | de EDP-Auditor nummer 2 | 2006
-
Security Risk Management (SRM)
Het doel van dit proces is om voor objecten, processen en diensten het risicoprofiel (norm) en de beveiligingsmaatregelen te definiëren, te managen en wijzigingen hierop efficiënt en effectief af te handelen. Security Risk Management ondersteunt de klant en het management bij het bepalen van de te aanvaarden risico’s en de te treffen beveiligingsmaatregelen. Hierbij kan gedacht worden aan het uitvoeren van Afhankelijk en Kwetsbaarheidsanalyses (A&K). Beheerprocessen Informatiebeveiliging houdt zich helaas niet vanzelf in stand. Er doen zich altijd incidenten voor die niet voorzien zijn. Hiernaast verslapt de aandacht voor informatiebeveiliging op den duur. Dagelijks beheer is dan ook noodzakelijk wil men op het gedefinieerde betrouwbaarheidsniveau blijven. De beheerprocessen dragen zorg voor het dagelijkse beheer van de informatiebeveiliging door een optimale inzet van de in gebruik zijnde informatiebeveiligingproducten en -diensten te realiseren. In dit cluster worden de volgende processen onderscheiden: -
Security Incident Management (SIM)
Het process Security Incident Management is meer dan alleen het registreren van incidenten. Het doel van dit proces is om het vooraf gedefinieerde kwaliteitsniveau van de informatiebeveiliging te handhaven door afwijkingen van de normsituatie zo snel mogelijk te detecteren en te verhelpen. Security Incident Management zorgt voor het aannemen, registreren, afhandelen en afsluiten van beveiligingsincidenten. Een onderdeel van Security Incident Management is, wat in ITIL termen wordt aangeduid als Problem Management, het analyseren en oplossen van repeterende (veel voorkomende) incidenten. De Security Incident Manager probeert bij veel voorkomende incidenten te achterhalen wat de achterliggende oorzaak is en doet hiervoor verbetervoorstellen aan het management en de klant. Wanneer een organisatie het ITIL proces Incident Management heeft ingericht, vervangt dit het aannemen, registreren, afhandelen en afsluiten van incidenten van het proces Security Incident Management. Er moet wel een koppeling gelegd worden met het proces Security Incident Management om repeterende incidenten te op te lossen en de aansluiting op de overig ISMF processen te maken. -
Security Configuration Management (SCM)
Om informatiebeveiliging te kunnen beheren en managen, is het van vitaal belang dat er betrouwbare en accurate informatie beschikbaar is over alle aspecten van de informatiebeveiliging. Het doel van het proces Security Configuration Management is te zorgen voor deze accurate en betrouwbare informatie. Ter ondersteuning van dit proces wordt gebruik gemaakt van de Security Configuration Database. In de Security Configuration Database worden onder andere de vol-
gende zaken bijgehouden: Beleid en strategie documenten. Lijst van objecten, processen en diensten (assets). Risicoprofielen per object, proces en dienst. De beveiligingsmaatregelen gedefinieerd per object, proces, dienst. - Het Security Service Level Dossier. - De status van implementatie, programma’s en werkplannen. - Beveiligingsincidenten. - Het Auditprogramma. De database wordt beheerd en ingericht door de Security Configuration Manager. De Security Configuration Manager vult de database, verleent toegang tot de database en verzorgt op aanvraag statusrapportages. Security Configuration Management is de spil in het management van de informatiebeveiliging. Ieder ISMF-proces levert informatie aan en krijgt informatie uit de database. De Security Configuration Database is een andere dan de CMDB die binnen ITIL wordt gebruikt. In de CMDB die in het ITIL proces Configuration Management wordt gebruikt, worden onder andere alle CI’s met classificatie geregistreerd. De Security Configuration Database richt zich enkel op het beheer van de (informatie)beveiliging. -
-
Security Awareness Management (SAM)
In veel informatiebeveiligingsimplementatietrajecten wordt gebruik gemaakt van een bewustwordingscampagne om het bewustzijn inzake informatiebeveiliging te verhogen. Helaas is een bewustwordingscampagne veelal een eenmalige actie. Wanneer het bewustwordingsprogramma is afgesloten, daalt het bewustzijn al weer heel snel. Het doel van het proces Security Awareness Management is het opleiden, bewustmaken en bewust houden van alle medewerkers in de organisatie aangaande de informatiebeveiliging. De Security Awareness Manager stelt een lange termijn bewustwordingsprogramma op. Belangrijke input voor het bewustwordingsprogramma komt uit het proces Security Incident Management en Security Opportunities & Threats Management. Tevens voert de Security Awareness Manager eigen onderzoeken uit naar de status van het bewustzijn. Het Awareness programma wordt afgestemd met de overige communicatie-uitingen in de organisatie en met het proces Security Program Management. De Security Awareness Manager adviseert de Security Planner bij het opstellen van het Security Programma en de werkplannen. Het doel hiervan is dat bewustwording van informatiebeveiliging een integraal onderdeel van de implementatie wordt. Hiernaast adviseert de Security Awareness Manager de Security Implementation Manager bij de praktische uitvoering van de werkplannen met betrekking tot de bewustwording. Hierbij moet gedacht worden aan het adviseren over communicatiemiddelen, communicatiekanalen, et cetera. Implementatieprocessen De daadwerkelijke implementatie van de beveiligingsnorm
16 | de EDP-Auditor nummer 2 | 2006
vergt, gezien de complexiteit en hoeveelheid aan beveiligingsmaatregelen, een projectmatige aanpak. De implementatieprocessen richten zich op de implementatie van beveiligingsmaatregelen, volgens tijd, geld en budget. In dit cluster wordt het volgende proces onderscheiden: -
Security Implementation Management (SIM)
In het proces Security Planning worden werkplannen opgesteld, die in het proces Security Implementation Management uitgevoerd worden. Het doel van dit proces is het implementeren van de beveiligingsmaatregelen op lokaal / asset niveau op een projectmatige wijze. Afhankelijk van de grootte van het werkplan wordt dit projectmatig opgepakt. Per werkplan bestaat er een proces Security Implementation Management, met als verantwoordelijke de Security Implementation Manager. De Security Implementation Manager is de projectleider die zorgt voor de uitvoering van het werkplan. Hij rapporteert aan de Security Planner. Verbeterprocessen Informatiebeveiliging is een continu proces. Bedreigingen in de omgeving veranderen constant. Het aanpassen en verbeteren van de informatiebeveiliging is hierdoor uitermate belangrijk. De verbeterprocessen richten zich op het proactief zoeken naar mogelijke bedreigingen en het doen van verbetervoorstellen. In dit cluster wordt het volgende proces onderscheiden: -
Security Opportunities and Threats (SOT)
Het doel van dit proces is om nieuwe bedreigingen en kansen te herkennen en voorstellen te doen tot verbetering van de informatiebeveiliging. Dit proces kijkt voornamelijk naar de toekomst en probeert trends en nieuwe bedreigingen in de buitenwereld waar te nemen, te voorspellen en verbetervoorstellen te doen. Praktisch voorbeeld is het lid zijn van een CERT. Hiernaast communiceert het proces bijvoorbeeld over de impact van nieuwe wet en regelgeving naar het management. Toepassingsmogelijkheden van het ISMF Het ISMF kan, zoals gezegd, worden toegepast om informatiebeveiliging op een gestructureerde manier in te richten, te exploiteren en te beheren. Hiernaast kan het ISMF nog voor een aantal andere doeleinden worden toegepast: - Het vormgeven van een Security Service Organisation. - Als voorbereiding op of als inrichting van uitbesteding van informatiebeveiliging. - Audit normenkader. Security Service Organisation Het ISMF is uitermate geschikt om een informatiebeveiligingsbeheerorganisatie / Security Service Organisation (SSO) in te richten. Het grote voordeel van een SSO, ingericht volgens de ISMF processen, is dat de informatiebeveiliging op een servicegerichte manier aangeboden kan
worden. De klant wordt in staat gesteld om zelf betrouwbaarheidseisen aan processen en systemen te stellen en hier verantwoording voor te nemen. De SSO ondersteunt de klant hierbij op strategisch, tactisch en operationeel niveau in de organisatie. Afhankelijk van de wensen van de organisatie kan een SSO beveiligingsproducten en -diensten via de bijbehorende processen leveren. In tabel 1 zijn de ISMF processen weergegeven met een aantal mogelijke te leveren producten en diensten. De te leveren producten en diensten worden in het Security Service Level Dossier vastgelegd. De gemaakte afspraken worden meetbaar door prestatie-indicatoren per product of dienst te definiëren. Neem als voorbeeld de ondersteuning bij het uitvoeren van risicoanalyses in het proces Security Risk Management. Tussen de klant en de SSO worden afspraken gemaakt over het aantal uit te voeren risicoanalyses per tijdseenheid, de manier van rapporteren, het aantal reviews over door de klant zelf uitgevoerde risicoanalyses, et cetera. Afhankelijk van de wensen van de klant worden bepaalde producten en diensten ingekocht. Uitbesteden van informatiebeveiliging Uitbesteden is het, op basis van een contract, voor lange duur overdragen naar een externe partij van de management- of beheerverantwoordelijkheid van één of meer dienstverleningstaken [KV04]. Hierbij kan al dan niet sprake zijn van de overdracht van medewerkers en middelen naar de uitbestedingsleverancier. Een logische stap na het inrichten van een SSO is deze over te dragen naar een externe partij. De gedachte hierachter is dat informatiebeveiliging een steeds prominentere rol in de organisatie inneemt en hierdoor steeds meer op de budgetten van de primaire processen drukt. Uitbesteding van informatiebeveiliging zou kunnen leiden tot kostenreductie en verhoging van de kwaliteit. Het uitbesteden van informatiebeveiliging gebeurt voornamelijk op het ICT-beveiligingsvlak in de vorm van managed security services (diensten die zich onder andere richten op het inrichten, onderhouden en monitoren van firewalls, virusscanners en overige netwerkbeveiliging). Omdat deze diensten relatief goed meetbaar zijn, zijn goede afspraken te maken over de resultaatverplichtingen. Informatiebeveiliging is echter breder. Naast technische aspecten zijn de procedurele en menselijke aspecten minstens zo belangrijk. Ook hiervoor geldt dat de uitbestedingsleverancier moet kunnen waarborgen dat de aangegane verplichtingen nagekomen kunnen worden. Vanwege onder andere de borging in het proces Security Awareness Management (SAM), is het ISMF een instrument om ook de procedurele en menselijke aspecten gestructureerd (kwantificeerbaar en kwalificeerbaar) uit te voeren. In het afstudeerreferaat ‘Uitbesteden van informatiebeveiliging’ [Jen06] wordt het onderwerp uitbesteden van informatiebeveiliging verder uitgewerkt.
17 | de EDP-Auditor nummer 2 | 2006
Proces
Product / dienst
Uitleg product / dienst
SPSM
- Beleidsdocument Informatiebeveiliging - Advisering over het beleid
Beleid en strategie t.a.v. informatiebeveiliging Advisering over het opstellen en uitvoeren van het beleid inzake informatiebeveiliging.
SQAM
- Security Audit Programma - Resultaten uitgevoerde audits
Het lange en korte termijn auditprogramma t.b.v. de kwaliteit van de informatiebeveiliging. Rapporten per uitgevoerde audit
SSLM
- Security Service Level Dossiers - Klantrapportages - Advisering
Dossier met gemaakte afspraken tussen klant en dienstverlener (SLA voor de security ondersteuning) Rapportages per proces over de geleverde dienstverlening. Deze staan los van de audit rapporten. Advisering van klanten over de af te nemen security diensten
SPM
- Security Programma - Implementatie werkplannen - Rapportages implementaties
Het lange termijn projectprogramma ter ondersteuning en afstemming van de verschillende informatiebeveiligingsprojecten. De implementatieplannen (IB-plannen) per business unit. De voortgangsrapportages inzake de implementatie van de informatiebeveiliging.
SIM
- Incident registraties en verwerkingen - Incident rapportages - Escalatie procedures - Workarounds
Servicepunt voor het registreren en verwerken van beveiligingsincidenten. Rapportages over de beveiligingsincidenten (aantal, repeterende, etc.) Advisering over de escalatieprocedures bij grote incidenten. Adviseren over en zoeken naar workarounds bij incidenten die primaire en secundaire processen verstoren.
SCM
- Rapportages - Producten uit alle Security processen - Vragen beantwoorden
Op verzoek het uitdraaien van allerlei rapportages (statussen, voortgangen, etc.) Verzamelen van alle producten afkomstig uit alle security processen. Op verzoek het beantwoorden van vragen over de security processen.
SAM
- Awareness programma’s - Workshops risicomanagement - Managementgames Onderzoeksrapportages bewustzijn
Het geven van advies over, en opstellen van, bewustwordingsprogramma’s. Op verzoek geven van risicomanagement workshops. Op verzoek geven van managementgames. Uitvoeren van audits naar het beveiligingsbewustzijn en hierover rapporteren aan de klant / opdrachtgever
SIM
Statusrapportages Advisering bij opstellen implementatieplan
Voortgangsrapportages, Issue log, etc. Advisering bij opstellen implementatieplan / IB-plan
SRM
- A&K Risicoanalyses - Beveiligingsplan Calamiteitenplan Beveiligingsmaatregelen
(Ondersteunen bij) uitvoeren van A&K-analyses Adviseren over / opstellen van beveiligingplan Adviseren over / opstellen van calamiteitenplan Adviseren over / opstellen van beveiligingsmaatregelen / baselines (ISO 17799, NEN7510, Wbp)
SOT
Rapportages CERT
Rapporteren over potentiële nieuw bedreigingen.
Tabel 1: ISMF processen en diensten
18 | de EDP-Auditor nummer 2 | 2006
Audit normenkader Het ISMF kan verder worden ontwikkeld als auditraamwerk om de kwaliteit van de inrichting, de exploitatie en het beheer van informatiebeveiliging mee te toetsen. Het ISMF levert zowel voor de klant als de leverancier herkenbare toetsingscriteria. Het auditraamwerk bevat tien objecten (processen) van informatiebeveiliging waarvoor duidelijke doelstellingen zijn gedefinieerd. Deze doelstellingen zijn het uitgangspunt bij ontwerp, inrichting en naleving van de informatiebeveiliging. Deze doelstellingen kunnen verder vertaald worden in beheersmaatregelen waarop geaudit kan worden. Bij een audit op de beveiliging van bijvoorbeeld een informatiesysteem, kan het ISMF worden gehanteerd als normenkader voor de inrichting, de exploitatie en het beheer van de beveiliging. Het normenkader kan verder aangevuld worden met beveiligingsmaatregelen uit de Code voor Informatiebeveiliging / ISO 17799, waarmee de beveiliging van het informatiesysteem getoetst kan worden. Conclusie Informatiebeveiliging gaat een steeds prominentere rol spelen in organisaties. Een professionele ondersteuning van de proces- of systeemeigenaar is hiervoor een must. De tijd dat informatiebeveiliging als een dirigerend onderdeel vanuit de ICT-afdeling opgedrongen kon worden, is definitief voorbij. Proceseigenaren moeten in staat worden gesteld om zelfstandig gefundeerde keuzes te maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten. Informatiebeveiliging wordt in veel organisaties nog niet bezien vanuit het dienstverleningsperspectief. Door toepassing van het ISMF wordt informatiebeveiliging als een portfolio aan producten en diensten aan de klantorganisatie aangeboden, afgestemd op de behoeften van de klant.
Literatuur [Jen06]
Jentjens V.L.M. (2006), Uitbesteden van informatiebeveiliging, Afstudeerreferaat EDP-auditing, Erasmus Universiteit Rotterdam.
[KV04]
Kateman H., Vries L. de (2004), Sourcing in de praktijk, Pink Roccade.
[KO04]
Kossen F. (2004), Besturing en beheersing van informatiebeveiliging bij de Rechterlijke Organisatie, Afstudeerreferaat EDP-Auditing, Erasmus Universiteit Rotterdam.
[Sch04]
Scheffel, P. (2004) , Het doel, de weg en de rugzak, Een gids voor praktisch ICT service management, van Haren Publishing.
Website:
www.ismf.nl.
19 | de EDP-Auditor nummer 2 | 2006
Artikel
Elektronisch stemmen: een auditperspectief Ed Ridderbeekx
De kans is groot dat u afgelopen maart gebruik heeft gemaakt van uw democratisch recht om uw stem uit te brengen voor de vertegenwoordiging in de gemeenteraad van uw woonplaats. De kans is ook groot dat u daarvoor gebruik hebt gemaakt van een stemcomputer. Ongetwijfeld heeft u ’s avonds of daags na de verkiezingen kennis genomen van de uitslag, al dan niet met vreugde. Maar hoe weet u nu dat de uitslag klopt? Hoe weet u dat uw stem inderdaad in de uitslag is meegenomen? En, hoe weet u dat uw stem in de uitslag is meegenomen voor de partij en kandidaat waarop u veronderstelde te stemmen toen u plaatsnam achter het bedieningspaneel van de stemcomputer en op het knopje van uw keuze drukte?
Drs. E.J.M. Ridderbeekx RE CISA is kiesgerechtigd Nederlands staatsburger. Hij werkt als IT Audit Manager bij Fortis, is lid van de redactiecommissie van ‘de EDP Auditor’, en schrijft op persoonlijke titel. Reacties kunnen naar
[email protected].
E
lektronisch stemmen is het proces waarbij, eenvoudig gezegd, kiezers met behulp van machines of computers hun stem uitbrengen en waarbij die machines en computers zorgen voor de registratie, de opslag, en de telling van de stemmen. De term ‘elektronisch’ geeft het speciale karakter van dit stemproces aan: het staat in contrast met de meer traditionele manier van stemmen, waarbij de kiezer zijn stem registreert op een stembiljet, een stembus dient voor de opslag van de stemmen, en de formulieren uiteindelijk handmatig worden geteld. Voor de goede orde: we hebben het in dit artikel over het stemmen als uitoefening van een democratisch recht door burgers. Dat kan gaan om zetels in het nationale parlement, de verkiezing van gemeenteraadsleden, of afgevaardigden voor Provinciale Staten; het kan ook gaan om het peilen van de mening van kiesgerechtigden over een schijnbaar eenvoudige ‘ja/nee’ vraag, zoals bij een referendum. Over elektronisch stemmen is heel veel geschreven. Zowel op politiek niveau, in de dag- en weekbladpers (met name ten tijde van verkiezingen), maar ook in de meer wetenschappelijke literatuur van informatica en informatiebeveiliging is veel lezenswaardig materiaal te vinden. Het debat tussen voor- en tegenstanders is soms hevig. De discussie (waarop we, verderop in dit artikel, uitgebreid zullen terugkomen) komt er kort gezegd op neer dat de voorstanders de accuratesse, efficiency en flexibiliteit van de inzet van computers roemen, terwijl de tegenstanders beweren dat het inzetten van dergelijke elektronische middelen dusdanig grote risico’s met zich meebrengt dat afbreuk wordt gedaan aan fundamentele democratische principes en burgerrechten. Ook de NOREA heeft zich in 2004 in de discussie gemengd bij monde van Adri de Bruijn in een artikel in de Automatisering Gids [BRUIJ04]1. Enerzijds is dat bijzonder, want naar mijn weten zijn er tot op heden geen andere professionele audit-organisaties die zich hebben uitgesproken over de pro’s en contra’s van elektronisch stemmen. Anderzijds is het vanzelfsprekend dat er vanuit de ITaudit-professie aandacht is voor dit thema; als deskundigen bij uitstek in de problematiek rondom betrouwbaarheid van geautomatiseerde processen zouden we in staat moeten zijn een zinvolle bijdrage te leveren aan de discussies. In dit artikel zal ik dan ook, vanuit het perspectief van een auditor en met een soort ‘audit textbook approach’, een aantal betrouwbaarheidsaspecten van stemcomputers bespreken en uitleggen.
20 | de EDP-Auditor nummer 2 | 2006
Belang van verkiezingen Het recht (en in sommige landen: de plicht) om te kiezen, is een van de fundamenten van een democratie. Verkiezingen zijn een duidelijke belichaming van dit recht: burgers kiezen hun politieke vertegenwoordiging op verschillende bestuursniveaus (gemeenteraad, provincie, nationaal en Europees parlement) en hebben daarmee invloed op maatschappelijke keuzes die door hun vertegenwoordiging zullen worden gemaakt. In al deze gevallen geven burgers uiting 2 aan hun keuze door te stemmen. Ieder heeft een stem, alle stemmen tellen mee, en de uitslag van de stemming bepaalt hoe de burgers politiek zullen worden vertegenwoordigd. Zo wordt ervoor gezorgd dat ieders individuele stem van invloed is op de maatschappelijke keuzes die de gemeenschap als geheel maakt, volgens het principe ‘de meeste stemmen hebben het meeste gewicht’. Het is dus van het grootste belang dat het verkiezingsproces betrouwbaar is, ongeacht of computers daarbij een rol spelen of niet. Wat die betrouwbaarheid precies inhoudt, zullen we later zien; het volstaat op deze plaats om te onderstrepen dat de kiezer ervan op aan moet kunnen dat zijn stem meetelt. Als dat, om welke reden dan ook, niet kan worden gegarandeerd en bewerkstelligd, dan zal ontoelaatbaar afbreuk worden gedaan aan de legitimiteit van de verkiezingsuitkomsten (bijvoorbeeld de zetelverdeling in de Tweede Kamer) en de legitimiteit van de politieke keuzes die daaruit voortkomen (bijvoorbeeld een nieuwe wetgeving). Onbetrouwbare verkiezingen zijn een zaag aan de stoelpoten van de democratie. Essentieel is evenzeer dat de kiezers vertrouwen hebben in het verkiezingsproces. Ontbreekt het daaraan, dan zal dat ongewenste maatschappelijke consequenties kunnen hebben, variërend van een lage verkiezingsopkomst (‘mijn stem telt toch niet mee’) tot sociale onrust (‘de president moet worden afgezet want hij is niet op een eerlijke manier gekozen, op de barricades!’). Een betrouwbaar proces en vertrouwen in dat proces zijn op een interessante manier aan elkaar gerelateerd. Je zou kunnen zeggen dat een betrouwbaar verkiezingsproces niet garandeert dat de burgers ook vertrouwen in dat proces zullen hebben, maar dat een onbetrouwbaar verkiezingsproces in ieder geval het vertrouwen van de kiezers zal ondermijnen. Betrouwbaarheid is een kwaliteit, die is geïncorporeerd in het ontwerp en de implementatie van het proces. Het is een inherente eigenschap, die tot op zekere hoogte kan worden geobjectiveerd, gemeten en aangetoond. Vertrouwen ligt aan de kant van de ‘gebruiker’ van een proces, en heeft te maken met de perceptie die de gebruiker heeft over de kwaliteit van het proces. Vanwege hun grote belang zijn verkiezingen (en de gang van zaken rondom verkiezingen) in democratieën doorgaans verankerd in de wet (in Nederland in de Kieswet [KIES05] en, aanvullend, in het Kiesbesluit [KIES04]), en is het de verantwoordelijkheid van de overheid om de burgers niet
alleen een betrouwbaar verkiezingsproces te bieden, maar ook al het mogelijke te doen om het vertrouwen van de burgers in de betrouwbaarheid van dat proces te winnen en te behouden. Binnen een Nederlandse context kan het ter sprake brengen van betrouwbaarheid en vertrouwen mogelijk als onnodig of zelfs triviaal worden gevoeld. We leven in een relatief stabiele maatschappelijke omgeving, met een robuuste traditie als het gaat om democratie en vrijheid van meningsuiting. Politici zullen zich in Nederland waarschijnlijk eerder neerleggen bij een smadelijke verkiezingsnederlaag dan dat ze het in hun hoofd zullen halen het verkiezingsproces op een illegale manier in hun voordeel te beïnvloeden. En in Nederland ben je relatief veilig als je de buurman machtigt voor jou te stemmen. Dat is niet overal zo. Het is, bij het lezen van het vervolg van het artikel, goed om te bedenken dat verkiezingen ook worden gehouden in landen waar politieke groeperingen opereren die weinig scrupules hebben om democratische mechanismen (zoals een verkiezing) te manipuleren, om zo schijnbaar legitiem een machtspositie te verkrijgen of te behouden, en waar het onthullen van je politieke voorkeur aan de buurman je duur kan komen te staan. Juist in zulke omstandigheden wordt het belang van betrouwbaarheid van het verkiezingsproces en van het vertrouwen van het electoraat het meest duidelijk. Afgezien van deze ‘regionale’ verschillen hebben we dan mondiaal ook nog te maken met groeperingen die belang denken te hebben bij het verstoren van democratische en politieke stabiliteit. Voor deze lieden kunnen verkiezingen een heel dankbaar doelwit zijn. Een generieke beschrijving en afbakening van elektronisch stemmen In het voorgaande is de maatschappelijke betekenis van verkiezingen aan de orde gesteld. In deze paragraaf zullen we ingaan op elektronisch stemmen, en het thema op een zinvolle manier afbakenen ten behoeve van het verdere verloop van het artikel. Het verkiezingsproces als geheel is tamelijk breed. Het begint bij de registratie van kiesgerechtigden, en eindigt met het vaststellen van de verkiezingsuitslag. In een rapport van Het Expertise Centrum (HEC) is een bruikbaar procesmodel opgenomen, dat aan de basis ligt van onderstaande bespreking [HEC00]. Met stemmen wordt in dit artikel gedoeld op een aantal onderdelen van het verkiezingsproces, te weten: • De stemuitbrenging door een kiesgerechtigde • De stemopneming • Het verwerken van de stemtotalen Zaken als de stemoproep, het vaststellen van de kiesgerechtigdheid van een kiezer, en de registratie van politieke groeperingen vallen buiten de scope van dit artikel, alhoewel ze deel uitmaken van het bredere verkiezingsproces. Er wordt
21 | de EDP-Auditor nummer 2 | 2006
van een situatie uitgegaan, waarin de kiezer zijn stem uitbrengt in een stemlokaal waar stemcomputers staan opgesteld. De situatie waarbij de kiezer op afstand, bijvoorbeeld per telefoon of per internet, zijn stem uitbrengt, brengt een additionele problematiek met zich mee (zie onder andere [HEC00]) die in dit artikel niet aan de orde wordt gesteld. Van elektronisch stemmen is sprake als geautomatiseerde hulpmiddelen worden ingezet bij elk van de bovengenoemde drie onderdelen. De rol die geautomatiseerde hulpmiddelen daarbij zouden kunnen spelen, is als volgt te omschrijven: Stemuitbrenging
Dit is de fase waarin de kiezer zijn stem uitbrengt. Een stemcomputer draagt zorg voor de dialoog met de kiezer. Deze maakt zijn keuze door het indrukken van een knopje op een paneel of het aanraken van een touch screen. De stemcomputer presenteert de gemaakte keuze ter validatie aan de kiezer, die hier nog een correctiemogelijkheid heeft. Nadat de kiezer zijn keuze heeft bevestigd, is er een confirmatie van de stemcomputer dat de kiezer daadwerkelijk heeft gestemd, en wordt de stem elektronisch door de computer geregistreerd. Stemopneming
Nadat de termijn voor het uitbrengen van de stemmen is verlopen (bij sluiting van het stemlokaal) draait de stemcomputer een lijst uit met de stemtotalen per kandidaat, op basis van de gegevens die in zijn geheugen zijn opgeslagen. Die lijst wordt, samen met het geheugen, naar een verzamelpunt (bijvoorbeeld op gemeentelijk niveau) gebracht ter verdere verwerking. Verwerken van de stemtotalen
De geheugens van de stemcomputers worden (mogelijk in een iteratief proces) op een centrale plaats opnieuw met behulp van geautomatiseerde apparatuur uitgelezen en de stemtotalen worden bepaald. Stemcomputers In de vorige paragraaf is slechts in zeer algemene zin de gang van zaken bij elektronisch stemmen uit de doeken gedaan. De exacte en specifieke werkwijze bij een stemproces met computers is sterk afhankelijk van de procedurele specificaties en de gebruikte stemcomputers. In dit artikel wordt uitgegaan van stemcomputers van het type dat in de Angelsaksische literatuur wordt aangeduid als Direct Recording Electronic ofwel DRE. Kenmerkend hierbij is dat een uitgebrachte stem direct elektronisch wordt opgeslagen; dit in tegenstelling tot bijvoorbeeld de ponskaartsystemen die tot zoveel commotie leidden bij de Amerikaanse presidentsverkiezingen in 2000. Daarbij werd een stem uitgebracht door het ponsen van een gaatje in een kaart; die kaarten werden vervolgens geautomatiseerd gelezen (voorzover dat mogelijk was). In feite was hier dus sprake van computer assisted counting. Een DRE heeft deze ‘fysieke’ tussenstap niet.
Er kunnen drie typen DREs worden onderscheiden [FISC03]. Bij het eerste type is het bedieningspaneel een één-op-één weergave van het oude, vertrouwde stembiljet. Alle lijsten, partijen, en namen van kandidaten zijn zichtbaar. Naast de naam van iedere kandidaat bevindt zich een knopje; indrukken van dat knopje activeert een schakeling die een lampje laat branden of de naam van de betreffende kandidaat op een display laat zien. De kiezer kan vervolgens de stem daadwerkelijk uitbrengen door het indrukken van een ‘stemknop’, of kan desgewenst zijn keuze nog corrigeren. Bij een tweede type wordt de inhoud van het stembiljet op een computerscherm weergegeven (meestal op meerdere pagina’s). Met behulp van navigatiemiddelen op het toetsenbord (pijltjes, de entertoets) baant de kiezer zich een weg door het virtuele biljet en maakt zijn keuze. Bij een derde type is de toetsenbordnavigatie vervangen door een touch screen. Aangezien de problematiek die gemoeid is met het gebruik van deze typen machines, met name verschilt in de user interface, maar voor het overige vergelijkbaar is, zal in het vervolg van het artikel geen onderscheid worden gemaakt tussen deze typen. Als de term stemcomputer wordt gebruikt, wordt gedoeld op DREs in zijn algemeenheid. Problematiek van elektronisch stemmen Waar spitst de discussie rondom stemcomputers zich nu precies op toe? Op het eerste gezicht lijkt het dat we van doen hebben met een eenvoudig te automatiseren proces. Het bouwen van een dialoogje met de kiezer, het registeren van een druk op de knop of een aanraking van het scherm, het opslaan daarvan, en vervolgens een triviale sommering om een totaal te bepalen, dat alles levert schijnbaar geen al te grote uitdaging op voor goede systeemontwikkelaars en programmeurs. Bij nadere beschouwing blijkt echter dat het proces complexe karakteristieken krijgt doordat er strakke eisen aan gesteld worden die - omdat ze vaak geworteld zijn in democratische principes en fundamentele rechten van burgers - nauwelijks ruimte voor keuzes overlaten en niet persé gemakkelijk realiseerbaar zijn in een geautomatiseerde omgeving. Hét centrale probleem bij elektronisch stemmen, is dat de kiezer geen manier heeft om vast te stellen dat zijn stem wordt geregistreerd zoals hij die heeft uitgebracht en dat zijn stem bij de verwerking van de stemtotalen wordt meegenomen. Weliswaar bevestigt de stemcomputer de keuze van de kiezer en moet de kiezer die keuze bevestigen, maar vervolgens verlaat de kiezer het stemhokje en moet hij er gewoon op vertrouwen dat de stemcomputer en het proces daaromheen betrouwbaar is, en dat de geautomatiseerde verwerking van de stemtotalen op een goede manier gebeurt. Zijn uitgebrachte stem is op dat moment niet anders dan een digitale representatie in het geheugen van de stemcomputer, en de kiezer heeft geen bewijs van hoe hij heeft gestemd, en zelfs al had hij dat wel, hij heeft geen mogelijk-
22 | de EDP-Auditor nummer 2 | 2006
heden om vast te stellen dat zijn stem uiteindelijk op een juiste manier in de uitslag is verwerkt. Laten we eens een vergelijking maken met het gebruik van een geldautomaat. Er zijn weinig mensen die nog aarzeling zullen voelen om ‘hun geld uit de muur te halen’; het vertrouwen in een juiste afhandeling van de transactie door de achterliggende geautomatiseerde systemen is blijkbaar groot. Dat komt niet in de laatste plaats doordat een transactie bij een geldautomaat goed controleerbaar is (en dat is, althans voor velen, een essentieel verschil met het gebruik van stemcomputers). Degene die pint, kan onmiddellijk vaststellen dat het opgevraagde bedrag inderdaad wordt uitgekeerd, en op verzoek print de automaat een transactiebewijs. En later kan de pinner met zijn dagafschrift vaststellen dat het juiste bedrag van zijn rekening is afgeschreven. Doen zich eventuele fouten voor, dan kan hij altijd nog naar de bank om te reclameren. Dit zijn allemaal maatregelen die een kiezer bij elektronisch stemmen ontbeert. Er is geen ‘ontvangstbewijs’ voor de uitgebrachte stem. Er is geen latere terugmelding die bevestigt dat de uitgebrachte stem op een juiste manier is meegeteld. En er is dus ook geen mogelijkheid van reclamatie, afgezien van klachten over onregelmatigheden in het stembureau en dergelijke. Dit legt tevens de nadruk op de kwaliteit van de geautomatiseerde componenten in het elektronisch stemproces. Stel je eens voor dat iemand in staat is geweest de software van de stemcomputers zodanig te manipuleren dat die weliswaar een nette dialoog met de kiezer aangaat, maar in werkelijkheid een heel andere stem registreert dan de kiezer dacht uit te brengen. Zonder aanvullende maatregelen blijft dit onopgemerkt en zal het (indien het op grote schaal plaatsvindt) een desastreuze uitwerking kunnen hebben op een goed verloop van de verkiezingen. Is dit essentieel anders dan bij het traditionele stemmen met stemformulieren? Tot op zekere hoogte wel. Bij het gebruik van stembiljetten kan de kiezer zelf vaststellen dat hij het juiste cirkeltje met potlood heeft aangekruist. Hij deponeert het biljet zelf in een stembus. Mits de integriteit van de stembus kan worden gegarandeerd (bijvoorbeeld met verzegeling en direct toezicht door de aanwezige stemcommissie), kan hij ervan op aan dat de stemuitbrenging naar behoren is verlopen. De kiezer kan vervolgens desgewenst (althans in Nederland) aanwezig zijn bij de telling van de stemmen na het sluiten van het stembureau. Die telling gebeurt handmatig door de leden van het stembureau, al dan niet in de aanwezigheid van waarnemers. De kiezer zou kunnen vaststellen dat het opgemaakte proces-verbaal overeenstemt met de telling, en zo een bepaalde mate van zekerheid kunnen krijgen over de vraag of zijn stem goed is meegeteld. Van volledige zekerheid kan echter slechts sprake zijn onder specifieke omstandigheden of bij verkiezingen op zeer kleine schaal [FISC03].
Stanton [STAN00] geeft een interessante kijk op deze problematiek in het perspectief van Braziliaanse verkiezingen. Hij stelt in grote lijnen dat identificatie van de kiezer, stemuitbrenging, stemopneming, en bepaling van de resultaten in een traditionele, handmatige setting afzonderlijke processen zijn, die afzonderlijk kunnen worden geobserveerd en gecontroleerd (door leden van het stembureau, door kiezers, en door waarnemers). Bij elektronisch stemmen zijn deze procesonderdelen als het ware samengevoegd in de stemcomputer, en zijn ze onttrokken aan directe observatie en controle3. Dit inherente gebrek aan controleerbaarheid van elektronisch stemmen laat sommigen koud, maakt velen bezorgd, en transformeert enkelen tot verklaarde tegenstanders van elektronisch stemmen. De eerste groep ziet vooral voordelen bij het gebruik van stemcomputers: hun flexibiliteit en gebruiksgemak, de besparingen op papier, en vooral de vermeende snellere resultaatbepaling worden dan genoemd. Ook gebruiken de voorstanders het argument dat traditionele verkiezingen evenmin controleerbaar zijn. Tegenstanders eisen aanvullende maatregelen die de transparantie van het proces moeten vergroten, of zijn principieel tegen het gebruik van stemcomputers. Laten we het eens vanuit een auditperspectief bekijken. Ongeacht of we de individuele kiezer of de maatschappij als geheel als gebruiker (‘user’) van stemcomputers beschouwen, de onmogelijkheid voor die gebruiker om vast te stellen dat stemmen goed worden geregistreerd, verwerkt, en geteld, duidt in de oren van een auditor op een gebrek aan user controls: ‘(…) there are essential controls on the automation environment that can only be carried out by the user. For example, only the user can control the completeness and correctness of the output. The user needs to be able to control the effectiveness of the functionality of the automation environment.’ [BIEN96] Toepassing van deze stellingen van Van Biene op een geautomatiseerd stemsysteem lijkt te duiden op een serieus probleem. Dat is op zichzelf al reden genoeg om wat dieper in te zoomen op een aantal vragen dat een auditor niet vreemd is. Welke eisen moeten eigenlijk aan een stemproces worden gesteld? En welke waarborgen zijn er (c.q. ontbreken er) bij elektronisch stemmen? Tot welke kwetsbaarheden leidt dit? Welke bedreigingen zijn er voor een betrouwbaar elektronisch stemproces, en welke impact kunnen deze bedreigingen hebben? Op deze vragen zal in de volgende paragrafen een antwoord worden gegeven. Kwaliteitseisen bij stemcomputers We hebben tot dusver gezien dat we bij elektronisch stemmen te maken hebben met een uiterst belangrijk proces, dat echter een aantal essentiële maatregelen lijkt te ontberen om de betrouwbaarheid daarvan vast te kunnen stellen. In deze
23 | de EDP-Auditor nummer 2 | 2006
paragraaf wordt dieper ingegaan op de eisen die aan stemmen in het algemeen, en aan elektronisch stemmen in het bijzonder, moeten worden gesteld. Een blik op de vele publicaties over elektronisch stemmen laat verschillende rubriceringen zien van eisen die aan verkiezingen en stemmen moeten worden gesteld (zie bijvoorbeeld [CRAN96] of [NEUM93]). Deze verschillen inhoudelijk en in de kern niet bijzonder veel. In het onderstaande hanteer ik de ‘Zes Geboden’ van Shamos [SHAM93], hier letterlijk geciteerd: I. Thou shalt keep each voter’s choices an inviolable secret. II. Thou shalt allow each eligible voter to vote only once, and only for those offices for which she is authorized to cast a vote. III. Thou shalt not permit tampering with thy voting system, nor the exchange of gold for votes. IV. Thou shalt report all votes accurately. V. Thy voting system shall remain operable throughout each election. VI. Thou shalt keep an audit trail to detect sins against Commandments II-IV, but thy audit trail shall not violate Commandment I. Een korte verklaring van deze enigszins luchtig geformuleerde, maar serieus bedoelde eisen is op zijn plaats. Gebod I heeft alles te maken met het stemgeheim. Op geen enkele wijze mag een uitgebrachte, geregistreerde, of getelde stem terug te voeren zijn op een individuele kiezer. Dat is niet verwonderlijk en we zijn allemaal gewend aan de privacy van het stemhokjesgordijn. Maar er zit een tweede dimensie aan het stemgeheim die minder voor de hand liggend is, en die tot uitdrukking wordt gebracht in het tweede deel van Gebod III (waar gesproken wordt over ‘exchange of gold for votes’). Er wordt wel beweerd dat het winnen van verkiezingen het goedkoopst te bereiken zou zijn door stemmen van kiezers te kopen; dit is, met de enorme bedragen die anderszins aan campagnes zouden worden uitgegeven, niet zo onvoorstelbaar als het lijkt. Om tegen te gaan dat kiezers worden ‘(om)gekocht’ om hun stem op een bepaalde partij uit te brengen, dient de kiezer van zijn uitgebrachte stem geen enkel bewijs te kunnen geven. Het is vanwege deze eis, dat aan een kiezer geen ‘ontvangstbewijs’ of ‘kwitantie’ van zijn stem kan worden verstrekt. Dit zou hem immers in staat stellen aan de omkopende partij te bewijzen, dat hij geleverd heeft waarvoor hij betaald werd. Dit bewijs ontbreekt nu. We zullen zien dat dit voor de controleerbaarheid van het stemproces belangrijke consequenties heeft. Gebod II geeft aan dat iedere kiezer slechts éénmaal mag stemmen, en alleen voor de verkiezingen waarvoor de kiezer geregistreerd is. Met deze eis wordt aangegeven dat maatregelen moeten worden getroffen om te voorkomen dat op een of andere wijze extra (ongeautoriseerde) stemmen worden meegeteld (in het Engels aangeduid met de term
ballot stuffing). Dit is nog het best voorstelbaar in de traditionele situatie, waarbij bijvoorbeeld de kiezer per ongeluk twee stembiljetten krijgt uitgereikt en deze beide in de stembus deponeert. In Gebod III (deel 1) wordt aangegeven dat het stemsysteem (hoe dat er ook uitziet, geautomatiseerd of niet) niet mag worden beïnvloed, of, als we de term ‘tampering’ wat strakker vertalen, niet ongeautoriseerd mag worden beïnvloed. Er moeten dus maatregelen worden getroffen die waarborgen dat het stemsysteem gedurende het gehele proces robuust is en dat manipulatie van gegevens, procedures, mensen, en (indien van toepassing) programmatuur onmogelijk is. Gebod IV legt een verband tussen de door de kiezers uitgebrachte stemmen en het uiteindelijke resultaat van de verkiezing. Het gebod stelt, dat alle uitgebrachte stemmen op een juiste manier in de bepaling van het uiteindelijke resultaat moeten worden meegenomen en gerapporteerd. In Gebod V zijn beschikbaarheidsaspecten geïncorporeerd. Het stemsysteem moet gedurende de verkiezing operationeel zijn. Zou dat niet of onvoldoende het geval zijn, dan bestaat het risico dat kiezers hun stemrecht niet kunnen uitoefenen, waardoor (als er sprake is van beschikbaarheidsproblemen op grote schaal) de uitslag van de verkiezingen geen goed beeld geeft van de mening van het electoraat. Maar zelfs op kleine schaal zouden beschikbaarheidsproblemen er snel toe kunnen leiden dat kiezers hun vertrouwen in het stemsysteem verliezen. In Gebod VI vinden we een term die in onze beroepsgroep wel meer gehanteerd wordt: de audit trail. Shamos stelt dat deze voor handen moet zijn om overtredingen tegen geboden II tot en met IV te detecteren, echter zonder het stemgeheim geweld aan te doen4. Shamos’ geboden zijn kernachtig en doen ter zake. Bij nadere beschouwing hebben ze alle te maken met het kwaliteitsaspect dat auditors onder de noemer ‘betrouwbaarheid’ brengen. In het navolgende tabelletje zijn de Geboden afgezet tegen de kwaliteitsattributen van betrouwbaarheid [SUER02] zoals auditors die kennen. In publicaties over elektronisch stemmen ziet men weinig discussie over de validiteit van Geboden I tot en met V (alhoewel over de te treffen maatregelen wel degelijk onenigheid bestaat, waarover later meer). Over Gebod VI, de controleerbaarheid, wordt echter wel gediscussieerd. Sommigen pleiten hier voor controleerbaarheid in enge zin, zoals Shamos dat ook doet; het systeem dient te voorzien in maatregelen om het ‘niet voldoen aan een aantal andere eisen’ te kunnen detecteren. Een simpel voorbeeld van zo’n maatregel is het aansluiten van het totaal aantal ingeleverde oproepingskaarten met het aantal uitgebrachte stemmen per stemlokaal. Als deze totalen niet overeenstemmen, kan dat duiden
24 | de EDP-Auditor nummer 2 | 2006
Gebod
Omschrijving
Kwaliteitsattribuut
I
Thou shalt keep each voter’s choices an inviolable secret.
Exclusiviteit
II
Thou shalt allow each eligible voter to vote only once, and only for those offices for which she is authorized to cast a vote.
Volledigheid
III
Thou shalt not permit tampering with thy voting system, nor the exchange of gold for votes.
Exclusiviteit
IV
Thou shalt report all votes accurately.
Juistheid
V
Thy voting system shall remain operable throughout each election.
Volledigheid1
VI
Thou shalt keep an audit trail to detect sins against Commandments II-IV, but thy audit trail shall not violate Commandment I
Controleerbaarheid
1 Natuurlijk stelt dit gebod ook eisen op het gebied van het kwaliteitsaspect ‘continuïteit’, met attributen als ‘bedrijfszekerheid’, ‘robuustheid’, en ‘herstelbaarheid’. Het artikel beperkt zich echter tot het kwaliteitsaspect ‘betrouwbaarheid’.
op ballot stuffing (Gebod II) of manipulatie van het stemsysteem (Gebod III). Anderen pleiten voor een ruimere definitie van controleerbaarheid die de nadruk legt op een meer actieve en voor iedereen hanteerbare verificatiemogelijkheid van de betrouwbaarheid. HEC heeft bijvoorbeeld, in zijn publicatie Stemmen op afstand [HEC00], een analyse gemaakt van de eisen die de Nederlandse kieswet inherent aan het stemproces stelt en noemt dan als aanvullende eis onder het kopje ‘Verificatie’: ‘Iedereen dient in staat te zijn onafhankelijk en eenduidig vast te stellen dat alle uitgebrachte stemmen correct zijn geteld (controleren achteraf van de accuratesse).’ HEC baseert zich hierbij op Cranor [CRAN96], die een gelijkluidende verifieerbaarheidseis formuleert, en die verder stelt: ‘A weaker definition of verifiability used by some authors allows that a system is verifiable if it allows voters to verify their own votes and correct any mistakes they might find without sacrificing privacy. Less verifiable systems might allow mistakes to be pointed out - but not corrected - or might allow verification of the process by party representatives but not by individual voters.’ Fischer [FISC03] brengt een verdere nuance aan en spreekt van twee soorten verifieerbaarheid. Op de eerste plaats is dat voter verifiability: de mogelijkheid van de kiezer om vast te stellen dat zijn stem is geregistreerd volgens de intentie die hij had bij het uitbrengen van die stem. Op de tweede plaats is er results verifiability, het vermogen van kiezers om vast te stellen dat in het uiteindelijke totaalresultaat alle door de kiezers uitgebrachte stemmen zijn meegeteld, en dat (dus) geen stemmen zijn verwijderd, toegevoegd of gewijzigd. Deze verschillende interpretaties van controleerbaarheid en verificatie maken duidelijk dat hier belangrijke nuances
spelen. Er spelen twee vragen: wat moet kunnen worden gecontroleerd, en wie moet die controle kunnen uitvoeren? Welbeschouwd is de eis die HEC formuleert wellicht terecht, maar in de praktijk is het ondenkbaar dat een burger zou kunnen vaststellen dat, bijvoorbeeld bij Tweede-Kamerverkiezingen, ‘alle uitgebrachte stemmen correct zijn geteld’, alleen al vanwege de schaalgrootte van die verkiezingen. Het lijkt erop dat die eis veel meer moet worden geïnterpreteerd als een soort morele verplichting aan de ‘ontwerpers’ van een verkiezingsproces: zij moeten voldoende transparantie en verificatiemogelijkheden in dat proces inbouwen en het bestaan van betrouwbaarheidsmaatregelen ook actief aantonen. Een dergelijke transparantie moet ervoor zorgen dat de burger, alhoewel hem de mogelijkheid ontbreekt, het gehele proces en detail te controleren, voldoende vertrouwen krijgt in het betrouwbaar verloop van het elektronisch stemmen. Dit zou, als een aanvullend Gebod, als volgt geformuleerd kunnen worden: VII. Thou shalt provide thy voters with sufficient proof that design and operation of thy voting system honours Commandments I –VI. Hiermee breiden we de door Shamos ietwat passief geformuleerde eis van een audit trail (als repressieve controle) uit naar een meer actieve verplichting om aantoonbaar te maken dat voldoende maatregelen zijn genomen om een betrouwbaar elektronisch stemproces te garanderen.
Bedreigingen bij elektronisch stemmen In [SUER02] worden bedreigingen gedefinieerd als ‘negatief geformuleerde kwaliteitseisen’. Als we dat ook toepassen op de bovenstaande kwaliteitsattributen, resulteren de volgende bedreigingen voor elektronisch stemmen: a. doorbreking van het stemgeheim (exclusiviteit) b. ongeautoriseerde uitgebrachte stemmen (volledigheid)
25 | de EDP-Auditor nummer 2 | 2006
c. ongeautoriseerde beïnvloeding van het stemsysteem (exclusiviteit) d. onjuiste resultaatbepaling (juistheid) e. onbeschikbaarheid van het stemsysteem (volledigheid) f. onvoldoende functionerende audit trail (controleerbaarheid) g. onvoldoende bewijs van een solide ontwerp en werking van het stemsysteem voor de kiezers (controleerbaarheid/aantoonbaarheid) Zonder dit hier te bewijzen, zou ik durven stellen dat de kans dat één of meerdere van deze bedreigingen zich voordoet, groter is dan nul. Volgens de theorie hebben we hier dan te maken met reële risico’s. Indien we kijken naar de impact die deze risico’s hebben, dan kunnen die als volgt worden benoemd: 1. een verkiezingsuitslag die niet in overeenstemming is met de door de kiezers uitgebrachte stemmen (denk aan het risico van slecht functionerende of frauduleuze programmatuur in de stemcomputers) 2. het verlies van vertrouwen van burgers in een betrouwbaar verkiezingsproces (denk aan het risico van het ontbreken van voldoende transparantie) 3. het schenden van fundamentele rechten van burgers (denk aan het risico van doorbreking van het stemgeheim). Het is onnodig te zeggen dat dit zeer ongewenste gevolgen zijn. De beelden van de heisa rond het bepalen van de uitslag van de Amerikaanse presidentsverkiezingen in de staat Florida in 2000 staat velen nog op het netvlies; er was gerede twijfel over de juistheid van de uitslag (impact 1), wat leidde tot een ernstige crisis in de fiducie van burgers in hun eigen democratisch bestel (impact 2). Het is duidelijk dat de maatschappij hier een zware verplichting heeft om maatregelen te nemen die deze bedreigingen voldoende indammen.
In onderstaande tabel is de relatie tussen risico’s en impact eenvoudig samengevat. Eerder in dit artikel is al aangestipt dat de belangen bij verkiezingen groot zijn. Ze gaan immers altijd - in enige vorm - om wie het voor het zeggen heeft, om macht. En dat betekent dat de betrokken partijen invloed zullen uitoefenen op het verkiezingsproces. Dat kan op een legitieme manier, bijvoorbeeld door het voeren van campagne. Het kan ook op een onwettige wijze; mondiaal zijn er helaas voorbeelden te over van verkiezingsfraude op kleinere of grotere schaal. We spreken dan over de dreiging van een ongeautoriseerde beïnvloeding van het resultaat van verkiezingen, zodanig dat dat - mogelijk in tegenstelling tot de werkelijke wens van het electoraat - in het voordeel is van een bepaalde kandidaat, partij, of denkbeeld. Van alle denkbare bedreigingen zoals hierboven genoemd, lijkt dit de meest ernstige, omdat daarmee rechtstreeks de doelstelling van het verkiezingsproces in gevaar wordt gebracht: het vaststellen van de wil van het electoraat. Hierbij moet wel worden opgemerkt, dat voor een succesvolle ‘aanval’ op de verkiezingsuitslag twee factoren zeer belangrijk zijn, namelijk schaal en competitie. Het is onwaarschijnlijk dat een enkele ongeautoriseerde stem een bepalende invloed zal hebben op de uitslag van verkiezingen; daarvoor is een beïnvloeding op grotere schaal nodig. Echter, hoe meer er sprake is van een nek-aan-nek race tussen kandidaten of partijen (competitie), hoe minder frauduleuze acties nodig zijn om de uitslag beslissend te beïnvloeden [FISC03]5. Voorts wordt er in de publicaties over elektronisch stemmen ook wel op gewezen dat er groeperingen zijn die belang hebben bij aanvallen op het democratisch bestel (te denken valt aan terroristische groeperingen). Deze zijn wellicht niet zozeer uit op het gericht beïnvloeden van een verkiezingsuitslag, als wel op het ondermijnen van het vertrouwen van burgers in hun regering en het creëren van maatschappelijke onrust, bijvoorbeeld door pogingen tot sabotage van het verkiezingsproces.
Impact
Risico 1
2 X
b. ongeautoriseerde uitgebrachte stemmen
X
X
c. ongeautoriseerde beïnvloeding van het stemsysteem
X
X
d. onjuiste resultaatbepaling
X
X
e. onbeschikbaarheid van het stemsysteem
X
X
f. onvoldoende functionerende audit trail
X
X
g. onvoldoende bewijs van een solide ontwerp en werking van het stemsysteem
X
X
a. doorbreking van het stemgeheim
26 | de EDP-Auditor nummer 2 | 2006
3 X
X
Kwetsbaarheden van elektronisch stemmen en te treffen maatregelen Het elektronisch stemproces zoals eerder beschreven, is een geautomatiseerd systeem. Met geautomatiseerde systemen doen zich nu eenmaal betrouwbaarheidsproblemen voor, als IT-auditors weten we dat als geen ander. Sterker nog, we danken ons bestaansrecht daaraan. Geautomatiseerde systemen kunnen slecht functioneren omdat ze belabberd ontworpen zijn, onvoldoende zijn getest of omdat ze niet gebruikersvriendelijk zijn. Als gevolg daarvan kunnen ze kwetsbaarheden bevatten die met opzet door derden worden uitgebuit. Voor elektronische stemsystemen is dat niet anders; onvoldoende kwaliteit maakt ze kwetsbaar voor beïnvloeding - al dan niet gericht - van hun betrouwbaar functioneren. De stemcomputers spelen in de discussie rondom kwetsbaarheden een centrale rol. In een elektronisch stemproces zorgen zij immers voor de stemopname, de stemregistratie, en de telling van stemmen. Rubin, die (samen met een aantal collega’s) in een veelbesproken artikel ernstige beveiligingsproblemen meldde op basis van onderzoek van een in de VS veel gebruikt type stemcomputer [KOHN04], vat het kernachtig samen: ‘My greatest concern with paperless DREs is that whoever makes the machines has the capacity to rig election results however they like.’ [RUBI] In de navolgende subparagrafen worden enkele belangrijke kwetsbaarheden van elektronisch stemmen nader toegelicht. Doelstelling daarbij is niet zozeer volledigheid, maar het noemen van de meest in het oog springende aspecten. Dit zal gebeuren aan de hand van het volgende citaat van Mercuri [MERC02]: ‘Since it is, in principle, impossible to verify that a computational device is free from programming errors or nefarious code, no electronic voting system can be verified for 100 percent accuracy, reliability, and integrity. It is also, in principle, impossible for a computational device to provide full fail-safe internal verification, hence any ballot audit produced from self-stored data could reflect errors or manipulation that occurred between the time the voter cast their ballot and the time the ballot was recorded. Errors and manipulation of ballots can also occur if data is transmitted between devices or over networks. It is essential, therefore, that each voter provide an independent check of their ballot at the time of voting, using human-readable media as the manual audit capacity for the voting system.’ In deze stelling worden drie aspecten van elektronisch stemmen genoemd die we achtereenvolgens bespreken: • Software • Netwerkverbindingen • Audit trail
Ter afsluiting van de paragraaf zal tevens kort iets worden opgemerkt over de procedurele en de menselijke factor in een geautomatiseerd stemproces. Bij ieder onderdeel wordt een korte inschatting gemaakt van de maatregelen die een IT-auditor ten aanzien van deze aspecten zou (kunnen) eisen of adviseren, niet zozeer om een volledig controleprogram voor elektronisch stemmen samen te stellen, maar om het audit perspectief te benadrukken. Ik heb daarbij het scenario in gedachte gehad dat u als IT-auditor door de Europese Unie wordt gevraagd als waarnemer aanwezig te zijn bij de parlementsverkiezingen in een ver land met een jonge en nog kwetsbare democratie, waarbij op grote schaal stemcomputers worden gebruikt. Men vraagt u op basis van uw expertise en ervaring met betrouwbaarheidsaspecten van geautomatiseerde systemen te beoordelen of voldoende maatregelen zijn getroffen om een betrouwbaar elektronisch stemproces te garanderen. Welke overwegingen zou u dan maken? Software De programmatuur van stemcomputers vervult een cruciale rol. De functionaliteit van de machines wordt er hoofdzakelijk door bepaald. In algemene zin zorgt de software voor de dialoog met de kiezer, de registratie en opslag van de stemmen, en de telling van de geregistreerde en opgeslagen stemmen. In termen van de in de vorige paragraaf genoemde eisen moeten we bovendien op de programmatuur steunen voor de realisatie van een aantal doelstellingen; ze moet zorgen voor: • Een gebruikersvriendelijke dialoog met de kiezer; • Registratie van (alle) stemmen zoals uitgebracht door de kiezer; • Opslag van stemmen op een zodanige wijze dat de identiteit van de stemmer niet kan worden herleid; • Een redundante opslag van stemmen (bijvoorbeeld in een apart geheugen) voor het geval er problemen ontstaan met het hoofdgeheugen; • Een betrouwbare telling van de opgeslagen stemmen en het rapporteren daarvan. Dit rijtje kan gemakkelijk worden aangevuld met additionele zaken, zoals het leveren van controles op de identiteit van de kiezer, controle op het aantal uit te brengen stemmen per kiezer, en het zorgen voor een audit trail (waarover later meer). Als er sprake zou zijn van tekortschietende programmatuur, heeft dat potentieel een versterkende invloed op het bestaan van alle (a tot en met g) in de vorige paragraaf genoemde risico’s. Om deze functionaliteiten op een goede manier te kunnen leveren, moet er sprake zijn van betrouwbare programmatuur, mede omdat - zoals eerder gesteld - de software doelwit kan worden van gerichte beïnvloeding. Software van stemmachines kan worden aangemerkt als betrekkelijk complex [FISC03]. Dat maakt het ontwerpen en bouwen van functi-
27 | de EDP-Auditor nummer 2 | 2006
oneel adequate en beveiligingstechnisch robuuste applicaties voor stemmachines niet gemakkelijk. In de discussie rond elektronisch stemmen zien we hier twee uitersten. Het ene kamp (veelal bestaande uit vertegenwoordigers uit de security-gemeenschap) is zeer kritisch over de toereikendheid van de softwarekwaliteit in stemcomputers. Ze wijst op de inherente moeilijkheid om goede software te bouwen en om die kwaliteit aantoonbaar te maken. Het andere kamp (waartoe, niet verwonderlijk, de producenten van stemcomputers behoren) voert interne kwaliteitsstandaarden, strakke testprocedures, en certificering aan als argumenten waarom de kwaliteit van software feitelijk niet ter discussie staat.
•
•
Het kamp van de critici heeft een aantal terzake doende argumenten. Op de eerste plaats is dat een ijzeren wet uit de hoek van beveiliging: naarmate de complexiteit van software toeneemt, neemt ook de kwetsbaarheid van die software voor beveiligingsincidenten toe. Men wijst erop, dat correctheid van programmatuur slechts bij zeer triviale en kleine softwarecomponenten aan te tonen is [CANT91]. Voor de meer complexe stemcomputer-software is dat onmogelijk. Men kan zich natuurlijk afvragen, of correctheid wel een vereiste is. Het lijkt erop dat we zouden kunnen volstaan met betrouwbaarheid van de software, en dat is wat anders. Maar zelfs met betrouwbaarheid als eis bestaat er een probleem, namelijk op het vlak van transparantie. De critici pleiten voor het openbaar maken van de software code, zodat deze bij voortduring bloot staat aan reviews door (onafhankelijke) experts, die zich zo een beeld kunnen vormen van de degelijkheid van het ontwerp en het bestaan van kwetsbaarheden (open source). Over het algemeen echter is de software van de stemcomputers proprietary; fabrikanten zien de software als een commercieel object en staan niet te popelen om de resultaten van hun research- en ontwikkelinspanning in de etalage te zetten. Bovendien, zo argumenteren zij, is er geen bewijs dat open source software van betere kwaliteit is dan proprietary software. Overigens kennen landen waar stemcomputers worden gebruikt over het algemeen een certificeringstraject waarbij onafhankelijke instanties de te gebruiken stemcomputers testen tegen een vastgestelde set normen. Daarbij wordt door de leveranciers vaak wel, onder voorwaarde van non-disclosure, inzage gegeven in de software code. In Nederland gebeurt deze certificering door TNO.
Het ontwikkel- en testproces en het beveiligingsbeleid bij deze leveranciers
De kwaliteit van software in de stemcomputers wordt in belangrijke mate bepaald door de methodes en standaards die bij het ontwikkelproces gehanteerd worden. Alhoewel het onmogelijk is om aantoonbaar correcte software van enige omvang te produceren, zijn er wel specifieke ontwikkelmethoden die de kans op ontwerpfouten minimaliseren en daarmee bijdragen aan stabiele en meer betrouwbare functionaliteit. Een voorbeeld daarvan is Cleanroom Software Engineering [FISC03, MILL87], waarbij ontwikkelactiviteiten, quality review werkzaamheden en het testen sterk gebaseerd zijn op mathematische en statistische technieken, en waarbij grote nadruk wordt gelegd op de deugdelijkheid van het ontwerp en de verificatie daarvan. Een IT-auditor zal zich een indruk willen vormen van de standaards die de leverancier van stemcomputers in dit opzicht gehanteerd heeft. Bovendien is het interessant om te kijken naar het beleid van de leverancier(s) op het gebied van informatiebeveiliging; een IT-auditor kan zich een beeld vormen van de naleving van dat beleid. Uitgangspunt is dat het beveiligingsbeleid - alhoewel op zichzelf geen garantie voor een veilige situatie - wel de basis legt voor de manier waarop de leverancier met confidentialiteit, integriteit, en vertrouwelijkheid van resources zegt om te gaan. •
De functionele specificaties van de programmatuur, met name de controlemaatregelen
Het is niet waarschijnlijk dat de leverancier van stemcomputers ons, als waarnemer-IT-auditor, inzicht zou geven in de software code; dit vanwege het proprietary karakter daarvan. En al zou hij dat wel doen (en als wij de nodige expertise zouden hebben), dan nog zouden we niet in staat zijn op basis van een code review te garanderen dat de software volledig betrouwbaar is. Maar we zullen ons toch minstens een beeld moeten vormen van de functionele specificaties van de software, in het bijzonder van de geprogrammeerde controles. De eerder genoemde risico’s a tot en met g kunnen een leidraad zijn bij die beeldvorming.
Een ander argument dat de critici noemen, is het feit dat software verborgen functionaliteit kan bevatten, of dat deze malware in de stemcomputers kan worden ingevoegd tijdens de verschillende fases van het bouw-, implementatie-, en plaatsingstraject van de stemcomputers. Deze malware is zeer moeilijk traceerbaar, en zal volgens critici (indien ‘goed’ gebouwd) met traditionele testprocessen niet kunnen worden ontdekt. Op grond van het bovenstaande zult u, als waarnemer-ITauditor, bij uw missie voor de Europese Unie, waarschijnlijk zeer geïnteresseerd zijn in:
De leveranciers van stemcomputers en hun selectie
Indachtig de eerder genoemde uitspraak van Rubin hebben de fabrikanten en leveranciers van stemcomputers een zeer kritieke rol. Daarom zal aandacht besteed moeten worden aan de manier waarop deze leveranciers worden geselecteerd, en hun track record in het ontwerpen en bouwen van stemcomputers. Een ander aandachtspunt kan de hoeveelheid leveranciers (en dus de hoeveelheid verschillende typen stemcomputers) zijn. Het idee is natuurlijk dat een grotere variëteit de kwetsbaarheid voor frauduleuze hard- en software kleiner maakt.
•
Het certificatieproces
De waarnemer-IT-auditor zal met meer dan gemiddelde interesse kijken naar de manier waarop de stemcomputers
28 | de EDP-Auditor nummer 2 | 2006
worden gecertificeerd, ook al zal dat wellicht niet gemakkelijk zijn. Vragen liggen hier op het gebied van de normen op basis waarvan wordt gecertificeerd, de certificaatgever en de opdrachtgever voor de certificering. In zijn oratie stelt Jacobs dat zich een interessante situatie zal voordoen als software, ondanks certificatie, in de praktijk toch niet voldoet [JACO03]. Rubin presenteert een interessante uitdaging door voor te stellen om te proberen, onder strikt gecontroleerde omstandigheden, een stemcomputer met onveilige software door de normale certificatieprocedures te loodsen [RUBI]. •
De procedures van plaatsing van de stemcomputers
Tijdens elke stap van het ontwerp, bouw, en roll out zijn stemcomputers kwetsbaar voor beïnvloeding van buitenaf. Dit stelt dus ook eisen aan hun opslag, vervoer, en plaatsing. De omstandigheden daarvan zullen controleerbaar moeten zijn. •
De handleidingen en instructies voor bediening van de stemcomputers (gebruikers en personeel)
Voor het personeel dat doorgaans moest werken met fysieke stembiljetten en stembussen betekent het werken met stemcomputers een verandering. Men zal de stemcomputers - als een soort operator - moeten bedienen (starten, vrijgeven voor stemming, afsluiten, en het tellen in werking zetten). Het is noodzakelijk dat dit personeel, dat veelal uit vrijwilligers bestaat, op een goede manier wordt geïnstrueerd over hoe om te gaan met de automatiseringsapparatuur, en er moeten heldere procedures voorhanden zijn die ingaan op de normale operatie en op probleemsituaties, zoals storingen. •
De mate van disclosure
De mate waarin de waarnemer-IT-auditor betrouwbare informatie ter beschikking kan krijgen over bovengenoemde punten zal een indicatie zijn van de mate van openheid die de organisatoren van de verkiezingen betrachten. Disclosure van de softwarecode aan een certificerende instantie of blootstelling van die software aan het publiek zou een bijzondere mate van openheid indiceren. Zoals eerder gesteld, is transparantie van groot belang, omdat het rechtstreeks gerelateerd is aan de mate van vertrouwen die de bevolking in de verkiezingen zal hebben. Dat belang is nóg groter als de verkiezingen plaatsvinden in een context van grote tegenstellingen en maatschappelijke spanning. Netwerkverbindingen Er zijn elektronische stemprocessen waarbij niet alleen stemcomputers worden gebruikt, maar waarbij die computers ook nog voorzien zijn van netwerkverbindingen met andere computers. Een toepassing daarvan is bijvoorbeeld het doorsturen van de verkiezingsresultaten van individuele stemcomputers in een stembureau naar een centrale server op gemeentelijk, regionaal of landelijk niveau. Zo
verstuurt het Newvote-systeem van leverancier SDU, dat tijdens de recente gemeenteraadsverkiezingen onder meer in Amsterdam werd gebruikt, de lokale stemgegevens draadloos via een GPRS- verbinding naar het gemeentehuis [NEWV06]. Als IT-auditors kennen we de problematiek die met de aanwezigheid van netwerken gepaard gaat maar al te goed. Het verzenden van gegevens via een netwerkverbinding betekent per definitie dat die gegevens aan beïnvloeding blootstaan; afhankelijk van de aard van het netwerk zal dit risico groter of kleiner zijn. Daarnaast betekent een gekoppelde computer ook dat er in beginsel een toegangspad tot die computer is gecreëerd, dat kwaadwillenden zouden kunnen gebruiken om zich toegang tot de op de stemcomputers opgeslagen programmatuur en data te verschaffen of om de werking van die computers te verstoren. Als de functionaliteit van het stemproces vereist dat computers gegevens moeten uitwisselen, speelt er ook nog een uitdaging op het gebied van authenticatie en identificatie. In contrast: ook het ‘traditionele’ vervoer van stembiljetten, of van processen verbaal met de uitslagen van stemkantoren is kwetsbaar, maar waarschijnlijk eenvoudiger te beveiligen, en pogingen om die papieren te pakken te krijgen zijn in ieder geval beter te observeren en te detecteren. Dat geldt zeker ook voor de manipulatie van de inhoud van een stembus. Het moge duidelijk zijn dat een ‘genetwerkte’ systeemopstelling additionele maatregelen vereist, met name waar het gaat om exclusiviteit van de data op de stemcomputers en tijdens transport over het netwerk. De technologieën die daarvoor kunnen worden gebruikt, liggen op het vlak van netwerkbeveiliging: firewall-oplossingen, beveiligde virtual private networks. Fischer [FISC03] pleit voor het zogenaamde air gapping: men moet ervoor zorgen dat geen enkele computer (niet de stemcomputers maar evenmin de computers die voor consolidatie en telling van de stemmen worden gebruikt) op enigerlei wijze zelf verbonden is met een onveilig netwerk, noch met andere computers die een dergelijke connectie hebben. Stemcomputers in een netwerk lijken vooral het risico van ‘ongeautoriseerde beïnvloeding van het stemsysteem’(c) te vergroten, met mogelijke gevolgen als ongeautoriseerd uitgebrachte stemmen (b), een onjuiste resultaatbepaling (d) of beïnvloeding van de beschikbaarheid (e). De waarnemer-ITauditor zal zich een zeer goed beeld willen vormen van de functionaliteit van deze networking; hij zal zich zowel van de netwerktopologie als van de technische specificaties en de getroffen maatregelen op het gebied van beveiliging op de hoogte willen stellen. Audit trail
We hebben gezien dat de verificatie van uitgebrachte stemmen (voter verifiability) en van de verkiezingsresultaten (results verifability) bij stemcomputers een probleem vormt. De stemcomputer is voor de kiezer een black box: na het uitbrengen van zijn stem heeft hij geen mogelijkheid om vast te stellen dat zijn stem inderdaad zoals bedoeld wordt geregi-
29 | de EDP-Auditor nummer 2 | 2006
streerd en opgeslagen; bovendien heeft het electoraat als geheel slechts beperkte mogelijkheden om vast te stellen dat de verkiezingsuitslag een juiste afspiegeling is van de uitgebrachte stemmen. Dit is een serieus probleem. Indien een aanvaller erin zou slagen de software van stemcomputers zodanig te manipuleren dat deze stemmen wijzigt, verwijdert, of toevoegt, en/of anderszins ervoor kan zorgen dat het tellen en totaliseren van de stemmen frauduleus plaatsvindt, is dat niet per definitie gemakkelijk vast te stellen. In het verlengde van Gebod VII zou eigenlijk ook moeten worden gepleit voor een solide verificatiemogelijkheid, zodat het vertrouwen van de kiezers in het proces als zodanig wordt verkregen en behouden. Dat is echter evenmin eenvoudig, aangezien het stemgeheim dicteert dat de kiezer geen bewijs mag hebben van zijn stem, en dat een uitgebrachte stem niet tot een individuele kiezer herleidbaar mag zijn. Gezien het belang van deze audit trail is het niet verwonderlijk dat naar werkbare en effectieve oplossingen wordt gezocht. We bespreken de belangrijkste daarvan (die in de praktijk ook daadwerkelijk wordt toegepast), namelijk voter verifiable paper ballot (VVPB) of voter verified ballot systems. In tegenstelling tot de paperless DREs vervaardigen de stemcomputers met VVPB een ‘ontvangstbewijs’ van de stem zoals die door de kiezer is uitgebracht. Dat is een ticket, een fysiek papiertje, dat wordt afgedrukt door de stemcomputer of een daaraan gekoppelde printer direct nadat de kiezer zijn keuze heeft gemaakt, en waarop staat aangegeven hoe de kiezer heeft gestemd. De kiezer verifieert dat dit een correcte weergave is van zijn stem6, en deponeert vervolgens de paper ballot in een (traditionele) stembus. De paper ballots kunnen vervolgens onafhankelijk van de stemcomputers worden geteld. Dit kan handmatig (zoals bij de traditionele stembiljetten), maar ook met een separate optische lezer als de ballots zijn voorzien van een barcode7. Ten aanzien van het tellen van deze biljetjes zijn er grofweg twee mogelijkheden: 1. Er wordt slechts overgegaan tot het tellen van (een gedeelte van) de biljetjes als er een dispuut ontstaat over de uitslag, die is vastgesteld op basis van de gegevens van de stemcomputers. 2. Er wordt, na sluiting van de stembureaus, altijd een steekproef genomen van de stembussen; daarvan wordt de inhoud geteld en vergeleken met de totalen zoals vastgesteld door de respectievelijke stemcomputers. Afwijkingen of disputen leiden tot een volledige hertelling, waarbij de definitieve uitslag wordt bepaald door telling van de paper ballots. De voordelen van een VVPB systeem zijn [FISC03]: • Hertellingen zijn gebaseerd op een onafhankelijke en door de kiezer geverifieerde vastlegging; • Er is een audit trail die voorziet in voter verifiability én mogelijkheden voor results verifiability; • Bij een manuele hertelling zou de ‘traditionele’ transparantie en observatie mogelijk zijn; • Een dergelijke aanpak versterkt het vertrouwen van de
kiezer in de legitimiteit van de verkiezingen, omdat deze weet dat de door hem geverifieerde stembiljetjes voor hertelling beschikbaar zijn. De bezwaren tegen deze methode liggen in veronderstelde hogere kosten van de apparatuur, een grotere storingsgevoeligheid en de tijd die een (steekproefsgewijze of volledige) hertelling vergt. Voor een uitgebreide bespreking van VVPB zij verwezen naar [MERC02, MERC02a]. VVPB-gebaseerde systemen worden in de praktijk daadwerkelijk gebruikt. Naast VVPB worden andere wegen gezocht om verifieerbaarheid van een elektronisch stemproces te garanderen. Een goed voorbeeld daarvan is een ontwerp van Chaum [CHAU04], waarin cryptografische technieken (met name elektronische handtekeningen) worden gebruikt om een hoge mate van verifieerbaarheid te garanderen, met behoud van het principe van stemgeheim en met een kleinere afhankelijkheid van de betrouwbaarheid van stemcomputers. Er wordt echter op gewezen dat dergelijke concepten nog niet aan een onafhankelijke beoordeling zijn onderworpen of in de praktijk zijn getest. Bovendien zijn er twijfels aan de mate waarin deze technieken het vertrouwen van de kiezer zullen bevorderen, aangezien de achterliggende protocollen en fundamenten betrekkelijk complex zijn. Wat betekent dat nu voor het perspectief van een IT-auditor? Die ziet, bij het gebruik van paperless DREs, een belangrijk geautomatiseerd proces met vrij grote risico’s en inherente kwetsbaarheden. Een audit trail gebaseerd op VVPB zoals hierboven beschreven, kan een aantal tekortkomingen oplossen, met name controleerbaarheids- en aantoonbaarheidsaspecten. De Bruijn heeft gelijk als hij stelt dat ‘weging van risico’s en te nemen maatregelen (ten aanzien van stemmachines, ER) uiteindelijk een politieke en maatschappelijke afweging is’ [BRUIJ04], maar ik denk dat wij IT-auditors desgevraagd een krachtige aanbeveling zouden doen om, in het licht van het belang van controleerbaarheid en transparantie, een systeem als VVPB (inclusief minimaal steekproefsgewijze controle) ten zeerste te overwegen. Het is een van de weinige mogelijkheden om het eerder gesignaleerde gebrek aan user controls te compenseren. Het valt echter niet te ontkennen dat een VVPB gebaseerd systeem elementen van het traditionele, handmatige proces herintroduceert, als verificatiemiddel voor het elektronisch stemmen. En dat lijkt een merkwaardige situatie, waardoor we terugkomen bij de vraag: waarom schakelen we eigenlijk over op elektronisch stemmen als het traditionele systeem goed is? Procedures en mensen
In de paragrafen hierboven is aandacht besteed aan software, netwerken, en een audit trail. Er zijn andere factoren die eveneens veel aandacht verdienen, maar waaraan we hier verder geen grote aandacht besteden. Volledigheidshalve zij
30 | de EDP-Auditor nummer 2 | 2006
opgemerkt dat hierbij gedacht kan worden aan (1) het menselijke aspect en (2) het beleid en de procedures. Mensen spelen, ook in een geautomatiseerd verkiezingsproces, een essentiële rol; van de ontwikkelaar van software bij de leverancier tot en met de vrijwilliger die in een stemlokaal de stemcomputers bedient, ieder is in meer of mindere mate in staat de betrouwbaarheid van het geautomatiseerde proces als zodanig te beïnvloeden. Om dat in goede banen te leiden, zijn maatregelen nodig, zoals een screening van de programmatuurontwikkelaar, en duidelijke (bedienings)instructies voor de medewerker in het stemlokaal.
Noten 1
De Bruijns artikel gaat echter vooral in op de wijze waarop een onderzoeksrapport over dit onderwerp zou moeten worden geduid, en hoe risico’s gezien moeten worden in een context van een groter proces.
2 Dat wil natuurlijk zeggen: iedere kiesgerechtigde. 3 In Brazilië wordt (bij de verkiezingen die Stanton beschrijft), een persoonlijk identificatienummer van de kiezer door het stembureau ingevoerd om de stemcomputer vrij te geven voor het uitbrengen van de stem. De identificatie van de stemmer is daarmee (meer dan in Nederland) een onderdeel van het geautomatiseerde stemproces, waarmee ook het stemgeheim duidelijk in het geding komt. 4 Het zou mijns inziens juister zijn geweest als Shamos hier ook Gebod
Slotopmerkingen
III deel 2 had genoemd als onderdeel van het stemgeheim.
Ik heb in dit artikel een aantal facetten van elektronisch stemmen de revue laten passeren, gepaard aan de dilemma’s die daarbij spelen. Ik neem niet direct een positie in als voorof tegenstander van stemcomputers, maar projecteer de normen die we als IT-auditors in een bedrijfsmatige setting hanteren op een proces dat maatschappelijk van enorm belang is. En dan ontwikkelt zich toch een zekere scepsis, niet zozeer gericht op de toepassing van stemcomputers, als wel op de randvoorwaarden die daarbij volgens onze betrouwbaarheidscriteria zouden moeten gelden, maar die we in de praktijk niet altijd terugzien. En het lijkt dat we daar - niet alleen als auditors, maar als maatschappij als geheel - al te gemakkelijk aan voorbijgaan. Jacobs doet als het ware een oproep om vragen te stellen en antwoorden te forceren, als hij stelt:
5 De presidentsverkiezingen van 2000 in de Verenigde Staten werden uiteindelijk beslist met een marge van slechts 537 stemmen in de swing state Florida. 6 Als dit niet het geval is, dient een procedure te voorzien in een correctiemogelijkheid. 7 In dat geval zal natuurlijk ook de betrouwbaarheid van de apparatuur waarmee de barcodes worden gelezen beoordeeld moeten worden.
Literatuurlijst [BIEN96]
approach. Delwel, Wassenaar, 1996. [BRUI04]
Bruijn, A.J.M. de, Plaats risico van stemmachines in perspectief. In: De Automatisering Gids, juni 2004.
[CANT91]
‘Wij hebben als burgers het recht om het tellen van gewoon met potlood en papier uitgebrachte stemmen bij te wonen en te controleren, maar wij hebben geen inzage in de werking van deze stemcomputers. Vinden wij dit acceptabel? Het lijkt me interessant om deze merkwaardige geslotenheid eens aan een bestuursrechter voor te leggen, met een beroep op de Wet Openbaarheid van Bestuur’. [JACO03]
Biene-Hershey, M.E. van, IT Auditing, an object oriented
Cantwell Smith, B., Limits of correctness in Computers. In: Computerization and Controversy, Value Conflicts and Social Choices (R. Kling ed.), Academic Press, New York, 1991.
[CHAU04] Chaum, D., Secret-ballot receipts: true voter-verifiable elections. In: IEEE Security & Privacy, januari 2004. [CRAN96] Cranor, L.A., Electronic Voting. Zie www.acm.org/crossroads/ xrds2-4/voting.html [FISC03]
Fischer, E., Election Reform and Electronic Voting Systems (DREs): Analysis of Security Issues. The Library of Congress,
Ik wil het artikel afsluiten met een tweetal stellingen van Mander [MAND92], wiens kritische houding ten opzichte van technologie (of beter, ten opzichte van een niet-kritische adoptie van technologie) wel tot enig verder nadenken zal stemmen bij de discussie over stemcomputers.
2003. [HEC00]
Het Expertise Centrum. Definitierapport Stemmen op afstand;
[JACO03]
Jacobs, B., De Computer de Wet Gesteld, Inaugurele Rede, mei
Eindrapport. Den Haag, 2000. 2003. [KIES04]
‘Never judge a technology by the way it benefits you personally. (...) The operative question is not whether it benefits you, but who benefits most? And to what end?’
Besluit van 19 oktober 1989, houdende vaststelling van nieuwe voorschriften ter uitvoering van de Kieswet. Zie www.kiesraad.nl/contents/pages/7451/kiesbesluit.pdf
[KIES05]
Wet van 28 september 1989, houdende nieuwe bepalingen inzake het kiesrecht en de verkiezingen. Zie www.kiesraad.nl/
‘Make distinctions between technologies that primarily serve the individual or the small community (...) and those that operate on a scale of community control (...). The latter is the major problem of the day.’
contents/pages/7451/kieswet.pdf [KOHN04] Kohno, T., A. Stubblefield et alt., Analysis of an electronic voting system. IEEE Computer Society Press 2004. [MAND92] Mander, J., In the Absence of the Sacred: The Failure of Technology and the Survival of the Indian Nations. Sierra Club
Met dank aan Jan Perlee van HEC voor zijn toelichting op de problematiek.
Books, 1992. [MERC02] Mercuri, R., Explanation of Voter-verified ballot systems. In: The Risks Digest, ACM Committee on Computers and Public Policy, vol 22 juli 2002.
31 | de EDP-Auditor nummer 2 | 2006
[MERC02a] Mercuri, R., A Better Ballot Box? In: IEEE Spectrum, oktober 2002. [MILL87]
Mills, H., M. Dyer en R. Linger, Cleanroom Software Engineering. In: IEEE Software 4, 5 september 1987.
[NEUM93] Neumann, P.G., Security Criteria for Electronic Voting. NCS Conference, 1993. Zie www.csl.sri.com/users/neumann/ncs93. html [NEWV06] Newvote Volledig in Verkiezingen. Website, zie www.newvote. nl. [RUBI]
Rubin, A., Can a voting machine that is rigged for a particular candidate pass certification? Zie www.avirubin.com/vote/ita. challenge.pdf
[SHAM93] Shamos, M.I., Electronic Voting: evaluating the threat. Conference on Computers, Freedom and Privacy, 1993. Zie www.cpsr.org/prevsite/conferences/cfp93/ [STAN00]
Stanton, M., The importance of recounting votes. Zie: www. notablesoftware.com/Press/electronic_voting_in_brasil.htm
[SUER02]
Suerink, H., en J. van Praat, Inleiding EDP-auditing. Ten Hagen Stam, Den Haag, 2002.
Voor een uitgebreid overzicht (inclusief links) van specifiek Nederlandse feiten op het gebied van elektronisch stemmen, zie de site van het Nijmeegs Instituut voor Informatica en Informatiekunde: http://www.sos.cs.ru.nl/research/society/voting/main.html
32 | de EDP-Auditor nummer 2 | 2006
Artikel
CobiT 4, hét IT Governance raamwerk? Joost van Lier en Ton Dohmen
Over IT Governance, de verschillende inrichtingsmodellen en de rol van de IT auditor is al veel geschreven. De NOREA publicatie ‘IT Governance, een verkenning’ [NORE04] behandelt deze onderwerpen vrij uitvoerig. Daarom hebben wij ervoor gekozen deze onderwerpen in dit artikel niet te herhalen. Wél gaan wij in op de vraag wat de onlangs verschenen vierde editie van CobiT te bieden heeft op het gebied van IT Governance, en wat de meerwaarde is ten opzichte van de voorgaande editie.
Drs. Joost van Lier (l) en Ton Dohmen RE CISA PMP (r) zijn beiden werkzaam bij PricewaterhouseCoopers, Systems & Process Assurance.
I
T Governance is een thema dat erg in de belangstelling staat. Niet in de laatste plaats in het verlengde van de aandacht voor Corporate Governance, waarmee dit thema onlosmakelijk is verbonden. Governance gaat over besturen, beheersen, verantwoording afleggen en toezicht houden. In het geval van IT Governance specifiek gericht op de informatievoorziening binnen een organisatie. In een reactie op de code voor Corporate Governance van de commissie Tabaksblat, heeft de NOREA er onder meer op aangedrongen dat Raden van Commissarissen en Raden van Toezicht specifieker toezicht houden op de beheersing van IT-risico’s. Wij zien in onze dagelijkse praktijk steeds meer organisaties die expliciete risicobeheersings- en controlesystemen hanteren die voorzien in periodieke verantwoording over de IT-risico’s aan de bestuurders. CobiT neemt daarin niet zelden een centrale plaats in. Met de komst van een nieuwe editie van CobiT rijst dan ook de vraag wat dit betekent voor IT-organisaties en IT-auditors. De rol die CobiT 4 kan vervullen bij het inrichten van IT Governance is echter breder dan risicobeheersing alleen. Dit artikel is niet bedoeld om dat aan te tonen, maar wel om inzicht te verschaffen in de meerwaarde van CobiT 4 ten opzichte van de voorgaande editie. Daarbij komt aan bod wat deze vierde editie te bieden heeft op het gebied van IT Governance. Het artikel begint met een korte terugblik op CobiT zelf: hoe het ontstaan is, wat het is en wat het kan betekenen voor organisaties. Aansluitend gaat het in op hoe CobiT te positioneren is ten opzichte van het begrip IT Governance zoals gedefinieerd door Weill & Ross in hun toonaangevend onderzoek naar IT Governance en besluitvormingsstructuren [WEIL04]. Vervolgens gaat het artikel in op de vraag wat de aanleiding was voor een nieuwe versie en wat de belangrijkste veranderingen ten opzichte van de derde editie zijn. Het artikel eindigt met de praktische vraag of migratie naar CobiT 4 noodzakelijk dan wel wenselijk is. Korte historische schets CobiT staat voor Control Objectives for IT and Related Technology. Het is ontwikkeld als een generiek toepasbare en breed geaccepteerde standaard voor IT Governance en beheersmaatregelen voor IT. Het CobiT project is opgestart door de Information Security Audit & Control Foundation (ISACF). Deze foundation was destijds het onderzoeksinstituut van de Information Security Audit & Control Association (ISACA), een internationale beroepsorganisatie voor IT-specialisten waaronder IT auditors. In 1996 werden de eerste resultaten van het CobiT-project gepubliceerd.
33 | de EDP-Auditor nummer 2 | 2006
Het IT Governance Institute (ITGI) is in 1998 opgericht door ISACA en ISACF om een impuls te geven aan de bekendheid en toepassing van IT Governance principes. Met ingang van de derde editie, gepubliceerd in juli 2000, is CobiT grotendeels vrij verkrijgbaar via de website van het IT Governance Institute: www.itgi.org. Alleen de audit guidelines zijn voorbehouden aan leden van ISACA. Wat is CobiT? CobiT bestaat uit een aantal ‘good practices’ op het gebied van IT Governance. Deze zijn verdeeld over 34 IT-processen die voor elke IT-organisatie herkenbaar zijn. Binnen deze IT-processen staan beheersdoelstellingen en bijbehorende maatregelen, prestatie-indicatoren en volwassenheidsniveaus centraal. Ze zijn gebaseerd op de ruime ervaring van een brede groep ervaringsdeskundigen. CobiT is met name gericht op beheersingsaspecten en minder op de inrichting van ITprocessen, zoals dat bijvoorbeeld bij ITIL het geval is. CobiT moet daarom ook als een aanvulling op geaccepteerde standaarden zoals ITIL, maar bijvoorbeeld ook COSO en ISO17799 gezien worden. Definities in CobiT sluiten dan ook op deze en andere geaccepteerde standaarden aan. Een voor de hand liggende vraag is wat het gebruik van CobiT toevoegt in organisaties die op het gebied van kwaliteitsmanagement reeds dergelijke standaarden gebruiken. Het antwoord daarop is samengevat: IT Governance. CobiT biedt de ingrediënten om invulling te geven aan IT Governance, met name op het gebied van risicobeheersing, het leveren van toegevoegde waarde aan de organisatie, het meten van prestaties en het afleggen van verantwoording. Aanvullend op de op zichzelf al unieke set van beheersdoelstellingen en -maatregelen biedt CobiT namelijk handvatten om de IT-functie in te richten. Het bevat per IT-proces indicatoren die gebruikt kunnen worden om IT-prestaties zichtbaar te maken. Het bevat ook RACI-matrices die richting geven aan wie waarvoor verantwoordelijk zou kunnen zijn. Tenslotte bevat het gedefinieerde volwassenheidsniveau’s aan de hand waarvan beheerste verbeteringstrajecten uitgevoerd kunnen worden. CobiT bevat als enige standaard een volledige set van ITprocessen die nodig zijn om IT te kunnen besturen en beheersen. Deze processen zijn onderverdeeld in vier domeinen. Het domein Deliver & Support gaat over de IT-dienstverlening en vertoont duidelijke raakvlakken met modellen als ITIL en BS15000. Het domein Acquire & Implement omvat de ontwikkeling, acquisitie en implementatie van ITsystemen en vertoont overeenkomsten met het CMM voor softwareontwikkeling. De processen in de domeinen Plan & Organise alsook Monitor & Evaluate hebben op onderdelen raakvlakken met andere modellen. Voorbeelden zijn de processen PO10, manage projects en ME1, monitor and evaluate IT performance. Deze hebben raakvlakken met respectievelijk PMBOK en Prince2 voor projectmanagement en IT Balanced Scorecard voor prestatiemetingen. Met name de
aanwezigheid van deze laatste twee domeinen in aanvulling op de eerste twee maken CobiT vollediger dan andere raamwerken. Voor IT auditors biedt CobiT ondersteuning ten aanzien van het audit-proces, de audit-aanpak en op het inhoudelijke vlak met betrekking tot de samenstelling van specifieke normenkaders en werkprogramma’s. Overigens zal het ITGI rond aankomende zomer aangepaste audit guidelines op basis van CobiT 4 publiceren. Weill & Ross Weill & Ross geven de volgende definitie van IT Governance: ‘specifying the decision rights and accountability framework to encourage desirable behaviour in the use of IT’. In hun visie over IT Governance gaan zij voornamelijk in op de rol van besturingsstructuren. Zij komen tot de conclusie dat organisaties die bovengemiddeld rendement halen uit IT-investeringen, specifiek op de organisatie toegespitste besturingsstructuren hebben die het denken in organisatiedoelstellingen stimuleren. Ze maken daarbij onderscheid tussen een aantal soorten beslissingsgebieden zoals ITbeleid, IT-architectuur en IT-investeringen en een aantal besluitvormingsstructuren: businessmonarchie, IT-monarchie, feodaal, federaal, duopoly en anarchie. CobiT daarentegen is meer gericht op de effectiviteit van alle relevante IT-processen. Volgens CobiT is ‘good governance’ een feit wanneer alle relevante IT-processen geïmplementeerd en effectief zijn en daarmee de vijf doelstellingen van IT Governance, zoals gedefinieerd door het ITGI, behaald worden. Hoewel het definiëren van de IT-functie inclusief de processen, organisatie en onderlinge relaties één van de binnen CobiT gedefinieerde IT-processen is en zoals gesteld er RACI-matrices in CobiT zijn opgenomen, zou het te kort door de bocht zijn om daarmee te stellen dat de theorie van Weill & Ross daarmee onderdeel van CobiT geworden is. Voor het effectief implementeren van IT Governance hebben zowel het werk van Weill & Ross alsook CobiT beide hun eigen waarde. Ze dekken niet hetzelfde gebied af. Weill & Ross begeeft zich meer aan de klantzijde van IT en op het gebied waar strategische en tactische besluiten genomen worden. CobiT geeft aan dat dit een van de aspecten is die geregeld moet zijn of worden en is daarnaast meer gericht op de inrichting van de IT-processen zelf en het meten van de IT-prestaties. Dit betekent dat beide uitstekend naast elkaar te gebruiken zijn en dat afhankelijk van de situatie het accent meer op het werk van Weill & Ross dan wel op de invalshoek uit CobiT zal liggen. Waarom een nieuwe versie? De missie van het ITGI is om het business- en IT-management van organisaties te helpen in hun verantwoordelijkheid om invulling te geven aan IT Governance. Ze maakt daarbij onderscheid in vijf expliciet gescheiden doelstellingen van IT
34 | de EDP-Auditor nummer 2 | 2006
Governance welke als volgt zijn te interpreteren: Strategic Alignment
Zorgen dat de IT-functie de organisatiedoelstellingen optimaal ondersteunt door het op elkaar afstemmen van organisatie- en IT-beleid alsook processen. Value Delivery Zorgen dat de feitelijke uitvoering van IT-processen de beoogde organisatiedoelstellingen oplevert. Resource Management Zorgen dat er optimaal wordt geïnvesteerd in IT resources en dat het maximale uit de aanwezige resources wordt gehaald. Risk Management Zorgen dat risico’s onderkend, geëvalueerd, gemitigeerd en gemonitord worden teneinde ze tot aanvaardbare omvang terug te brengen. Performance Measurement Zorgen dat de IT-functie bijgestuurd kan worden in de mate waarin het slaagt de beoogde organisatiedoelstellingen te realiseren door het meten van IT-prestaties. CobiT 3 was in het verleden reeds gepresenteerd als het IT Governance raamwerk. Het was echter niet conform deze doelstellingen ingericht. In CobiT 4 [COBI05] is elk proces expliciet gekoppeld aan een of meerdere van deze onderdelen. Met CobiT 4 wil het ITGI ook bereiken dat CobiT voor een breder publiek bruikbaarder wordt. De derde editie van CobiT werd, ondanks de toegevoegde Management Guidelines, nog steeds gepercipieerd als een instrument voor auditors. Met het centraal stellen van IT Governance is het de bedoeling dat CobiT gebruikt wordt waarvoor het is bedoeld: een instrument voor business- en IT-managers. Toegevoegde waarde van IT voor de organisatie staat centraal In CobiT 3 stonden de beheersdoelstellingen en -maatregelen rondom IT nog vrij centraal. De zogenaamde CobiT Summary Table legde het verband tussen zeven kwaliteitsaspecten van informatie en de IT-processen die daar een bijdrage aan leverden. De CobiT Summary Table was tevens een van de zwakke plekken van CobiT aangezien deze verbanden arbitrair waren. Wanneer een organisatie bijvoorbeeld effectiviteit van informatie relevant vond, waren nagenoeg alle 34 IT-processen van belang. Daarnaast waren processen in veel gevallen generiek van aard en kon het belang van de kwaliteitsaspecten vaak niet in zijn algemeenheid bepaald worden, maar alleen per informatiesysteem.
Hierdoor heeft de CobiT Summary Table voor veel organisaties niet het selectie-instrument kunnen zijn zoals het oorspronkelijk bedoeld was. In CobiT 4 is de Summary Table verdwenen en is de nadruk verschoven in de richting van de toegevoegde waarde van IT. Er is expliciet gemaakt welke IT-processen bijdragen aan het behalen van welke organisatiedoelstellingen. Dit is gedaan door middel van twee matrices. De eerste koppelt een twintigtal organisatiedoelstellingen aan IT-doelstellingen en de tweede koppelt IT-doelstellingen aan IT-processen. Ook voor deze matrices geldt uiteraard dat ze richtinggevend zijn en voor elke situatie specifiek gemaakt kunnen worden. Naar onze mening zijn ze echter minder arbitrair en hebben ze meer toegevoegde waarde bij de inrichting van IT Governance dan de Summary Table uit de derde editie. IT Governance als proces binnen CobiT Met de komst van CobiT 4 is ‘provide IT Governance’ toegevoegd als nieuw proces. Op het eerste gezicht een typisch voorbeeld van het zogenaamde Droste effect, aangezien CobiT in zijn geheel juist bedoeld is om invulling te geven aan IT Governance. Toch zou het niet opnemen van dit proces leiden tot het missen van een aantal kansen. Op de eerste plaats maakt de doelstelling van dit proces expliciet dat IT Governance aan moet sluiten bij de doelstellingen van het gevoerde Corporate Governance beleid. Deze doelstelling kan in geen enkel ander proces verwerkt worden aangezien ze allemaal een specifiek IT proces belichten. Op de tweede plaats bevat het proces een aantal specifieke doelstellingen met betrekking tot strategic alignment, value delivery, resource management, risk management en performance measurement. Het is niet onlogisch dat deze doelstellingen zijn ondergebracht binnen het proces ‘provide IT Governance’. Zo gaat de doelstelling met betrekking tot risk management in op het belang voor een organisatie om vast te stellen hoeveel risico’s deze wenst te nemen. De doelstellingen binnen het proces ‘Risk Management’ daarentegen gaan meer in op het proces van risico’s identificeren, beoordelen en het treffen van maatregelen.
Voorbeeld van de koppeling tussen organisatiedoelstellingen, IT-doelstellingen en IT-processen Voor het uitbreiden van het marktaandeel is het van belang dat T-projecten op tijd, binnen budget en conform specificaties worden opgeleverd, dat IT-dienstverlening geleverd wordt tegen acceptabele kosten én van de juiste kwaliteit is. Daarnaast moet deze continue verbeterd worden en toekomstvast zijn. CobiT 4 stelt dat de volgende processen in dit voorbeeld het meest relevant zijn: management van IT-investeringen, projectmanagement, kwaliteitsmanagement, identificeren en alloceren van IT-kosten, monitoren en evalueren van IT-performance en het voldoen aan wet- en regelgeving.
35 | de EDP-Auditor nummer 2 | 2006
Grondige revisie van de beheersmaatregelen De in CobiT 3 aanwezige 34 IT-processen zijn aangepast zodat ze beter aansluiten op zowel andere beheersingsmodellen als op IT Governance zoals gedefinieerd door het ITGI. Een voorbeeld van het eerste type aansluiting is dat in CobiT 4, conform ITIL, incident- en problem management als separate processen opgenomen zijn. De wellicht meest in het oog springende verandering zit in het ‘monitor and evaluate’ domein. Naast het feit dat hierin het proces ‘provide IT Governance’ is opgenomen, gaat het in op de verantwoordelijkheid van het management om IT-prestaties en de werking van interne controle maatregelen eigenhandig te monitoren en evalueren. Onafhankelijke toetsing heeft zoals gezegd een belangrijke, maar minder prominente rol. Daarmee is de rol van onafhankelijke zekerheid ten opzichte van de voorgaande editie naar de achtergrond geschoven. Ook de beheersmaatregelen zijn geactualiseerd en geconsolideerd. Van de oorspronkelijke, meer dan 318 stuks zijn er ‘slechts’ 215 over gebleven. Daarmee mag deze versie van CobiT gezien worden als de versie waarin de meest vergaande rationalisatie van beheersmaatregelen tot nu toe is doorgevoerd. Kanttekening met betrekking tot prestatie-indicatoren Zoals reeds aangegeven bevat CobiT per proces een aantal prestatie-indicatoren waarmee de prestaties van de IT-functie zichtbaar gemaakt kunnen worden. Daarbij werd in CobiT 3 onderscheid gemaakt tussen: Key goal indicatoren
Indicatoren waarmee achteraf kan worden vastgesteld of de doelstelling van een IT-proces bereikt is. Key performance indicatoren Indicatoren waarmee gedurende de uitvoering van het IT-proces kan worden vastgesteld of de doelstelling naar verwachting bereikt zal gaan worden. Kritische succesfactoren Een aantal maatregelen waarvan algemeen wordt aangenomen dat ze cruciaal zijn voor het bereiken van de doelstellingen van het IT-proces.
doorgronden. Wanneer dat echter eenmaal gelukt is, ligt er een relevante set van mogelijke prestatie-indicatoren klaar voor gebruik. Het is echter niet ondenkbeeldig dat de vrij eenvoudig ingestoken, uitgebreidere set van indicatoren en kritische succesfactoren uit CobiT 3 voor velen beter bruikbaar zal blijken. Migreren van CobiT 3 naar 4? Uit het voorgaande is gebleken dat CobiT 4, veel meer dan CobiT 3, organisaties in staat stelt om IT Governance vanuit andere perspectieven dan alleen risicobeheersing te adresseren. Hoewel CobiT 3 reeds ook al ingrediënten voor performance measurement bevatte, miste het met name de relatie tussen organisatiedoelstellingen en IT-processen. Er zijn processen bijgekomen, zoals het reeds besproken ‘provide IT governance’ maar ook ‘Procure IT resources’ waarin contractbeheer een plaats heeft gekregen. Daarnaast zijn de bestaande processen verbeterd, zowel qua benaming waarbij gestreefd is naar doelgerichtheid en minimale overlap, alsook inhoudelijk. Een voorbeeld van benaming is het domein ‘Monitor & Evaluate’, zie Tabel 1. In de derde editie lijkt er overlap tussen de processen te kunnen bestaan. Zowel het monitoren van processen (M1) alsook het verkrijgen van onafhankelijke zekerheid (M3) zijn immers ook vaak gericht op het vaststellen van de mate waarin interne controle adequaat functioneert (M2). Een ander voorbeeld is het reeds genoemde feit dat incident en problem management net als in ITIL twee separate processen zijn. Belangrijker echter vinden wij de echt inhoudelijke verbetering als gevolg van de rationalisatie van beheersmaatregelen die heeft plaatsgevonden. De derde editie van CobiT wordt vanwege haar opbouw en inhoud voornamelijk gebruikt als raamwerk voor audits en risicobeheersings- en controlesystemen. Met name voor organisaties waarin CobiT hierbij een centrale rol heeft gespeeld, speelt de vraag of migratie naar de vierde editie gerechtvaardigd is.
Het gebruik van CobiT ten behoeve van Sarbanes-Oxley Voor veel organisaties staat Sarbanes-Oxley hoger op de agenda dan Governance aangezien er vrij harde tijdslijnen aan verbonden
In CobiT 4 is het aantal indicatoren behoorlijk afgenomen. Daarbij is getracht terug te keren naar de essentie. De mate waarin dat is gelukt, is wellicht een kwestie van smaak.
zijn. CobiT 4 kan een houvast bieden bij het realiseren van SOx compliancy. Het ITGI heeft een discussiedocument uitgebracht met daarin een uiteenzetting van de beheersdoelstellingen die in het bijzonder van belang zijn ten behoeve van SOx [ITGI04]. In het
De kritische succesfactoren zijn per proces vervangen door een beperkte lijst van ‘activity goals’. Daarnaast zijn de key goal indicatoren uitgesplitst in proces- en IT-varianten. In aanvulling hierop zijn ‘process goals’ en ‘IT goals’ gedefinieerd en zijn key performance indicatoren blijven bestaan. De verbanden tussen de activity goals, process goals, IT goals en key performance indicatoren kosten wat meer tijd om te
document wordt ook een link gelegd met COSO. Voor iedere beheersdoelstelling is expliciet aangegeven op welke COSO component (control environment, risk assessment, control activities, information and communication en tenslotte monitoring) deze aansluit. Ook dit document zal naar verwachting rond de zomer bijgewerkt worden op basis van CobiT 4.
36 | de EDP-Auditor nummer 2 | 2006
CobiT 3.0: Monitoring
CobiT 4.0: Monitor and Evaluate
M1 – Monitor the processes
ME1 – Monitor and evaluate IT performance
M2 – Assess internal control adequacy
ME2 – Monitor and evaluate internal control
M3 – Obtain independent assurance
ME3 – Ensure regulatory compliance
M4 – Provide for independent audit
ME4 – Provide IT governance
Tabel 1 | high level control objectives in het monitor en evaluate domein
Het antwoord op deze vraag luidt bevestigend: er zijn een aantal redenen om migratie naar CobiT 4 serieus te overwegen. Naast de inhoudelijke verbetering van de processen zijn de beheersmaatregelen zodanig gerationaliseerd en in aantal teruggenomen dat er een goede kans bestaat dat de investering in de migratie terugverdiend wordt tijdens de uitvoering van audits. Daarnaast biedt migratie de auditor de kans om bij de audit de mate waarin voldaan wordt aan good practices op het gebied van IT Governance specifieker aan de orde te stellen. In combinatie met toegenomen herkenbaarheid van de processen en efficiency van de audit, verwachten wij dat organisaties CobiT minder als een raamwerk van IT auditors tegemoet zullen treden. Dit is een ontwikkeling waarbij zowel organisaties als IT auditors baat hebben. Voor organisaties die IT Governance op basis van CobiT wensen te verbeteren geldt dat ze door de expliciet gemaakte raakvlakken tussen IT Governance en IT-processen eigenlijk niet om deze nieuwe versie heen kunnen.
neer het gaat om de effectiviteit van IT-processen en het ervoor zorgen dat IT de juiste bijdrage levert aan het realiseren van organisatiebrede doelstellingen. Wanneer het voornamelijk de besluitvormingsstructuren zijn die beter toegespitst moeten worden op de organisatie teneinde meer rendement te halen uit IT, biedt het werk van Weill & Ross meer concrete aanknopingspunten om daar invulling aan te geven. CobiT kan in dat geval als een raamwerk dienen om ervoor te zorgen dat overige relevante IT Governance aspecten niet onbedoeld minder aandacht krijgen dan ze verdienen. Uiteraard geldt voor CobiT 4, net zoals voor elk ander model, dat het met gezond verstand toegepast moet worden. Ook deze versie is niet perfect. Toch zijn wij van mening dat het ITGI met deze vierde versie een belangrijke stap voorwaarts gemaakt heeft. Literatuur [COBI05]
IT Governance Institute, (2005), Control Objectives for Information and Related Technology 4th Edition.
Conclusie Het ITGI stelt dat IT Governance het beste ondersteund kan worden door een raamwerk dat voorziet in het volgende: - IT sluit aan bij de behoeften van de organisatie; - IT draagt maximaal bij aan het succes van de organisatie; - IT resources worden op een verantwoordelijke manier ingezet; - IT-risico’s worden op de juiste wijze beheerst.
[ITGI04]
IT Governance Institute, (2004), IT Control Objectives for Sarbanes-Oxley.
[NORE04] Norea, (2004), IT Governance, een verkenning. [WEIL04]
Weill, P. en J.W. Ross, (2004) , IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Publishing, Massachusetts.
Links www.itgi.org www.isaca.org/cobit
De op 16 december 2005 gelanceerde versie 4 van CobiT is structureel verbeterd ten opzichte van de alweer vijf jaar oude derde editie. Wij verwachten dat CobiT hierdoor, nog meer dan het al deed, een centrale plaats in zal nemen bij het realiseren en behouden van ‘good governance’ binnen het IT-domein. Enerzijds omdat het specifieker is toegesneden op IT Governance en daarbij de bijdrage van de IT processen aan organisatiedoelstellingen expliciet maakt. Anderzijds vanwege de inhoudelijke verbeteringen die ten opzichte van de vorige versie zijn aangebracht. Wij verwachten dan ook dat organisaties die CobiT reeds gebruikten voor risicobeheersings- en controlesystemen overschakelen naar deze nieuwe vierde editie. Daarnaast kunnen organisaties die IT Governance wensen te verbeteren eigenlijk niet om de vierde editie heen, met name wan37 | de EDP-Auditor nummer 2 | 2006
IT -audit training IT AUDITING IN DE HIMALAYA, EEN IMPRESSIE VAN EEN CURSUS In de periode november 2005 tot januari 2006 brachten Margareth van Biene en ondergetekende twee maal een bezoek aan Bhutan voor het geven van een cursus IT auditing aan medewerkers van de Royal Audit Authority, de rekenkamer van Bhutan. In december kwamen de cursisten naar Nederland waarbij ze onder andere door de NOREA werden ontvangen. Bhutan is een klein landje in de Himalaya, ingeklemd tussen India en China. Het land is pas sinds eind jaren ‘60 open voor buitenlandse toeristen en probeert op een constructieve manier deze openheid te combineren met het behoud van de eigen cultuur en tradities. Computers zijn pas zeer onlangs in Bhutan geïntroduceerd. Internet is pas mogelijk vanaf 1999, het jaar waarin ook televisie werd geïntroduceerd. Sindsdien dringt IT echter in hoog tempo door in de overheidsorganisatie. De leiding van de Royal Audit Authority onderkent het belang en de consequenties van deze ontwikkeling en wil daarom ook IT auditing tot een deel van haar taak maken. Lesgeven in een dergelijke omgeving is een waardevolle ervaring, zeker ook omdat de cultuurverschillen tussen onze landen zo groot zijn. Onderstaand verslag van Sonam Delma, een van de cursisten, geeft enig beeld van deze ervaring. Gert van der Pijl
IT Audit Training in Bhutan under the Netherlands Fellowship Program (NFP) Sonam Delma
It is no mystery that major shifts in cultural and social development are marked with new advances in Information Technology. The use of Information Technology is also inextricably linked to major changes in human culture. It changes how we perceive the world around us - the way we think, communicate and work. IT can explore the possibilities and opportunities to boost and accelerate the social growth and economic development of a nation. It can also transform the way business sectors do their businesses by automating their business processes.
W
ith the recognition of Information and Communication Technology as an important tool to achieve socio-economic development and to promote traditional cultural values, the Royal Government of Bhutan had decided to step into the world of Information and technologies in 1999 by launching Internet and Television. By introducing Internet, the Government became more accessible and transparent to the people. Now, people are not oblivious of the business of the Government and how the civil servants work and operate. In 2004 the Royal Government of Bhutan adopted the Bhutan ICT Policy & Strategies formulated by the Ministry of Information and Communication in close consultancy with the stakeholders, to use IT for good governance and to harness the benefits of information technologies. By realizing the immense impact of IT in 38 | de EDP-Auditor nummer 2 | 2006
enhancing the entities’ efficiency and effectiveness, most of the agencies have shifted their traditional manual methods or systems to automated systems. Large numbers of government agencies, corporations and private companies have achieved significant progress in computerization of their management and business processes. Computers are used extensively to process data and to provide information for decision making. These agencies have become increasingly reliant on the IT systems for efficient and effective delivery of their services to the people. As a result of the advancement in the use of technology, the need to maintain the integrity of data processed by the computers now seems to pervade our lives. Accordingly Information Technology Audit must be carried out to assess whether the computer systems safeguard assets, maintain data integrity, and help to achieve the
goals of an organization effectively and efficiently. The growing trend of information Technology had not only brought changes in the business entities but also brought major changes in the auditing field. The primitive manual working papers and traditional auditing tools have been replaced by electronic files and auditing software. To prepare and equip the auditors with the know-how of the latest information technology and the auditing tools, the Royal Audit Authority decided to train the auditors in this field. This IT Audit training was a tailormade training conceived and designed to meet the specific needs of the Royal Audit Authority. The initial proposal was submitted to the Consulate Office of the Netherlands, Thimphu in the year 2003. Since then the Consulate Office was corresponding with the Nuffic (the Netherlands Organisation for International Cooperation in Higher Education) and trying hard to get the proposal approved. The proposal was finally accepted in the year of 2005 and it was decided to implement the course in Bhutan and in the Netherlands. The training was subdivided into three phases viz. Phase I, Phase II and Phase III. The first phase and second phase of the training were delivered in the home country and in the Netherlands respectively. The last phase was again delivered in the home
country. The training was fully funded by the Nuffic and organized by the Royal Audit Authority in collaboration with the Netherlands Consulate, Bhutan and VU University, the Netherlands. Opening of the IT Audit Training The official opening of the IT Audit training commenced on 7th November, 2005 at the Conference Hall of the Royal Audit Authority, Thimphu. Ms. Cecilia Keizer, Honorary Consul from the Consulate Office of the Netherlands, Thimphu, graced the opening ceremony as the Chief Guest. In her address she stated that this training was the second tailor-made training availed so far in this country. She also mentioned the importance of IT and said the training was timely and necessary for the Royal Audit Authority to gear up in the field of Information Technology and to be a step ahead of other agencies. The former Hon’ble Auditor General, Dasho Kunzang Wangdi in his opening remarks during the opening ceremony said that the challenging task for the auditors is to prepare ourselves to carry out auditing in an IT environment. He also said that auditing, by nature of the work, demands multidisplinary background of knowledge and skills. Trainers and participants Ms. Margaret Elinor Hershey, former 39 | de EDP-Auditor nummer 2 | 2006
professor of IT Auditing from the Vrije Universiteit Amsterdam, Mr. Garret Johannes Van Der Pijl, professor of IT-auditng at ERASMUS University Rotterdam and Mr. Patrick Martin, professor of Maastricht School of Management were the resource speakers for the training. There were altogether 12 participants - 7 female and 5 male participating in the training. COURSE OUTLINE Phase I: The first phase of the training was held from 7th November, 2005 to 18th November, 2005 in Bhutan. During these weeks a general overview of the IT auditing field was given. Beside the theories, case studies were also given to the participants to analyze and discuss on issues given in the cases. The results of the cases were presented by each group representative during the training itself. At the end of the course, an assignment was given to the groups whereby each group had to choose one organization and describe the Information Technology infrastructure used, its business processes. The groups were supposed to present the outcome during the next phase of the training. Phase II: The second phase of the training commenced on 5th to 9th December, 2005 in the Netherlands.
During these days the participants continued their case work, were trained in giving presentations and in the use of CAATS and visited institutions like the Netherlands Court of Audit and the Royal NIVRA and Norea. Phase III: The last phase of the course was conducted from 9th to 14th January, 2006 in Bhutan. Since there were only 4 participants taking the Training of Trainers course, the class was divided into two groupsthe ToT group and the other one for getting more hands on practice in developing an audit approach. The course mainly focused on giving training on the instructor’s skills to the trainers. The instructors presented the compressed course and discussed on the issues which are not clear to the trainers. They also went through all the topics covered during the first phase. A new module on Client/ Server architecture was also added to the condensed course. The other group was given an assignment to do research on the most important issues in the ISO standard 17799 and COBIT for assessing security measures and continuity of services. The group was asked to prepare a checklist that should be incorporated in the audit approach and presented before the class. The class also had discussion on the audit aspects that have to taken into consideration when assessing the security of HTML web pages.
•
• Relevancy of the training • The training created awareness on the latest technologies and their prominent impact which is indeed very important for the auditors to remain abreast with the changes in technology. • Although Bhutan entered the information age bit late but with in the short span of time, Information and Communication Technology has spread widely in the government, corporate entities and as well as in private entities. They have become dependent on the
•
•
computerized systems to carry out their business activities and to deliver their services to the people. Information Technology has become a part and parcel of every one, be it at government, corporate, private individuals or national level. The use of IT and automated systems in the agencies has become a challenge to the traditional approach of the auditors, which mainly focused on the scrutiny of accounts. The training as a matter of fact was timely and had prepared the auditors to carry out auditing in this kind of environment. The module on the Client/Server architecture was more relevant to Bhutan context because in Bhutan all agencies including government use client/server architecture and it is very essential for the participants to know the concept of client/server architecture. The module on outsourcing had benefited the participants because most of agencies in Bhutan have the practice of outsourcing the system development to the IT vendors and as an auditor one should know the issues relating to outsourcing and the drawbacks. Since some of the participants have to impart training to the other auditors, the presentation skills and techniques taught during the training were applicable. The training also taught the participants how IT can be used as a tool to carry out effective and effi40 | de EDP-Auditor nummer 2 | 2006
cient audit. • The discussion on the IT security was very significant because the IT scandals and cyber crime have become an issue in Bhutan also. Conclusion The Training on IT auditing successfully concluded on 13th January, 2006 and the closing ceremony was held on 14th, January. During the closing dinner, Ms. Margaret gave brief overview on the importance of IT and the necessity of IT auditing to the management people. The Chief Election Commissioner, Dasho Kunzang Wangdi (Ex-Auditor General) was the guest of honor. The present Hon’ble Auditor General, Dasho Ugen Chewang thanked the instructors for their hard work and efforts put in imparting their knowledge and skills to the participants. He stated that the Royal Audit Authority can no longer afford to remain complacent with the developments taking place in the auditee agencies. He also said that, therefore he intends to establish an IT auditing department within the RAA in the near future. The participants were awarded certificates for the completion of the course. The participants had good opportunity to learn and know about the IT audit activities and audit process carried out in the Netherlands. The participants had chance to see the security measures taken care at the Data Centers.
Artikel
Ketengovernance Ketensamenwerking binnen het publieke domein Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren
Dit artikel is het derde en (voorlopig) laatste artikel in een reeks artikelen over ketenauditing. Het eerste artikel, geschreven door Leon Dirks en Anastasia van der Meer, 1 was gebaseerd op een inventariserend onderzoek .
In dat meer algemene artikel is onder andere ingegaan op de begrippen keten en ketenaudit (zie tekstkader).
O
ok werden verschillende uitvoeringsmodellen voor ketenaudits aangegeven. Deze symboliseren de mate van onderlinge samenwerking tussen de auditdiensten in een ketenaudit en de invloed die dit heeft op de omvang van de beschouwing respectievelijk de beoordeling van de keten als geheel: consolidatiemodel, kokermodel en centrifugemodel (in dit artikel voegen we hier een vierde model aan toe: het ‘grondmodel’). Het tweede artikel ging in op keten-governance, dat wil zeggen de sturing en beheersing van, verantwoording over en het toezicht op ketens. Daarbij is een viertal ketentypes onderscheiden, te weten klassieke uitbesteding, semi-trust, semi-keten en echte keten. In dit derde artikel over ketenauditing brengen we de vier ketentypes en de vier modellen voor ketenaudits met elkaar in verband. Daarbij schetsen we voor elk van de vier ketentypes een mogelijke invulling van de audit van dat ketentype en de rol van de auditor daarin.
Het gezichtspunt van de EDP-auditor staat centraal, met vragen zoals: Hoe typeert de EDP-auditor ketens? Welke aspecten zijn per ketentype relevant? Welke vormen van samenwerking tijdens het uitvoeren van een audit kunnen per ketentype worden verwacht? Hoewel we ons in eerste instantie op de EDP-auditor richten, kan het ontwikkelde gedachtegoed natuurlijk ook voor andere auditdisciplines van belang zijn. We sluiten af met een aantal beschouwingen over onze waarnemingen in de praktijk rondom audits van ketens. In dit artikel richten we ons op ketensamenwerking binnen het publieke domein. De uitgangspunten, modellen en toepassingen in dit artikel kunnen echter ook relevant zijn voor ketensamenwerking in het bedrijfsleven. Ketensamenwerking kan in veel verschillende vormen en op verschillende bestuurlijke niveaus plaatsvinden. De samenwerking ontstaat binnen processen met volgtijdelijke of parallelle activiteiten. Daarbij heeft niet langer één, maar hebben verschillende partijen (bijvoorbeeld verschillende organisaties) de gezamenlijke eindverantwoordelijkheid. De aanwezigheid van meer dan één eindverantwoordelijke en/ of uitvoerende kan leiden tot ingewikkelde aansturings- en uitvoeringsconstructies. Deze kunnen op hun beurt weer onduidelijkheid in beheersing en toezicht opleveren. In dit artikel nemen we gegevensuitwisseling als uitgangspunt. Dat houdt in dat we ons vooral richten op processen en niet op bestuurlijke afstemming.
A.J.M. de Bruijn RE RA is partner van PricewaterhouseCoopers Advisory, docent EDP-auditing aan de Erasmus School of Accounting en Assurance en voorzitter van de NOREA.
Definities
Drs. A.J. van der Meer is onderzoeker en coordinator van de sector
Keten: ‘Een keten is een samenwerkingsverband tussen partijen die
onderzoek en marketing van de Belastingdienst (Centrum voor Proces-
zowel zelfstandig als afhankelijk van elkaar functioneren omdat ze
en Productontwikkeling).
volgtijdelijke handelingen uitvoeren gericht op een afzonderlijk doel2.
P.C.J. Nieuwenhuizen RE RA is director bij PricewaterhouseCoopers
Ketenaudit: ‘Een ketenaudit is een onderzoek dat moet leiden tot
Accountants.
een gefundeerd oordeel of advies over de beheersing van een keten als geheel ten aanzien van een gekozen object van onder-
M.C.M. Slot RE is IT-auditor bij het Ministerie van Financiën.
zoek. De ketenaudit richt zich alleen op dát aspect of onderdeel van zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke
Drs. B.J. van Staveren RE is hoofd IT-audit bij UWV en voorzitter van
doel en de beheersing van de gehele keten.’ (Bron: Meer)
het Platform Informatiebeveiling.
41 | de EDP-Auditor nummer 2 | 2006
Samenwerkingsmodellen voor ketenaudits
voor het gehele ketenproces. Voor de gehele keten wordt een gezamenlijke verklaring of mededeling afgegeven.
Samenwerkingsmodellen
In het eerste artikel zijn drie typen ketenaudits onderscheiden, namelijk het consolidatiemodel, het kokermodel en het centrifugemodel. Deze symboliseren de mate van onderlinge samenwerking tussen de auditdiensten in een ketenaudit en de invloed die dit heeft op de omvang van de beschouwing respectievelijk de beoordeling van de keten als geheel. Wij gebruiken dezelfde indeling maar leggen de nadruk op de samenwerkingsaspecten. We duiden ze hierna dan ook aan als samenwerkingsmodellen. We voegen één model toe, het ‘grondmodel’, waarin samenwerking in feite afwezig is. Het consolidatiemodel
Er is sprake van twee partijen: een organisatie die het proces uitvoert en een organisatie die de eindverantwoordelijkheid voor het proces draagt. De uitvoerende organisatie maakt voor de auditwerkzaamheden gebruik van de eigen auditdienst. De accountantsverklaring of mededeling die aldus wordt afgegeven, wordt gebruikt door de opdrachtgevende partij alias eindverantwoordelijke voor het ketenproces. De eindverantwoordelijke voert in dat kader reviews uit op de werkzaamheden van de auditdienst van de uitvoerende organisatie. Het kokermodel (brugmodel)
Het uitgangspunt voor dit model is dat een deel van het ketenproces gezamenlijk en een deel ervan afzonderlijk door de betrokken organisaties wordt uitgevoerd. Ook de audits worden afzonderlijk verricht en alleen voor het gemeenschappelijke deel wordt samengewerkt. Het product is een afzonderlijke verklaring of mededeling voor de eigen bijdrage en een onder gezamenlijke verantwoordelijkheid afgegeven auditoordeel voor het gemeenschappelijke aandeel. Het gezamenlijke deel vormt een brugfunctie tussen beide afzonderlijke delen.
Voor een opbouw van onze analyse van ketens bleek het zinvol om ook een basis neer te zetten van een situatie waarin geen sprake is van een of andere vorm van een keten. Dit model dient als grondmodel voor de verdere vergelijking van de verschillende ketens die we onderscheiden. Daarom hebben we ervoor gekozen nog een model toe te voegen aan de voorgaande drie: Het grondmodel
Hierbij is geen gemeenschappelijke basis aanwezig voor het uitvoeren van een audit met een meer of mindere mate van samenwerking tussen auditdiensten. Het model geeft de gebruikelijke basissituatie weer waarbij audits worden uitgevoerd door één auditdienst en betrekking hebben op één proces(stap). Voor een visualisering van vorenstaande is gebruik gemaakt van de schematechniek in het onderzoeksrapport ketenauditing (bron: Meer). Deze visualiseert de verschillende auditmodellen zoals hiervoor omschreven in de vorm van plateaus als een steeds verdergaande mate van samenwerking van auditdiensten. (Zie ook Figuur 1) De normatieve samenhang van samenwerkingsmodellen en ketentypes
De vier ketentypes hebben wij gedefinieerd aan de hand van de in de praktijk aangetroffen situaties. Kennisnemend van het onderzoeksrapport ketenauditing kwam de vraag op in hoeverre een samenhang nu aanwezig is tussen de ketentypes en de samenwerkingsmodellen voor audits uit het rapport. Daartoe hebben de auteurs een nadere analyse opgesteld van de overeenkomsten van verschillende aspecten van ketentypes enerzijds en de samenwerkingsmodellen anderzijds. Dat leidde tot de volgende normatieve opzet.
Het centrifugemodel
Het uitgangspunt voor dit model is dat de gehele ketenaudit gezamenlijk wordt uitgevoerd. Hierbij is sprake van een ver doorgevoerde samenwerking tussen betrokken auditdiensten
De klassieke uitbesteding (klant/leverancierrelatie)
Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. Dit is een al lang bestaand type van samenwerking tussen klant en leverancier en ook binnen de overheid vaak voorkomend. In de analyse van de auteurs is het een duidelijke vorm van samenwerking, waaraan ook een duidelijk auditmodel gekoppeld is. Uit de lange ervaring die met dit ketentype is opgedaan, is in de praktijk de situatie ontstaan dat bij dit type voor de auditaanpak het consolidatiemodel wordt gebruikt. Dit lijkt de auteurs de best passende vorm. Semi-trust (uitbesteding op wettelijke basis)
Figuur 1: Samenhang auditmodellen met zicht op keten als geheel
Hier is sprake van een organisatie die werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. In dit ketentype staat de aard van de relatie centraal. Het betreft een op wettelijke gronden gebaseerde verhouding. Dit is een ketentype dat veel kenmerken heeft van de klassieke uitbesteding waardoor
42 | de EDP-Auditor nummer 2 | 2006
op het eerste gezicht het consolidatiemodel van toepassing lijkt te zijn. Door de wettelijke basis waarop de ‘uitbesteding’ plaatsvindt en de gezamenlijke verantwoordelijkheid van beleidsverantwoordelijke departementen en auditdiensten ontstaat er toch een aantal kenmerken dat bij dit ketentype pleit voor een ander auditmodel. Een specifiek kenmerk is bijvoorbeeld dat door de wet- en regelgeving een gezamenlijke verantwoordelijkheid van overheidsinstanties aanwezig blijft. Daardoor is als auditmodel in die situatie het centrifugemodel beter passend. Daarin wordt de gehele keten gezamenlijk door de auditors beschouwd. Semi-keten (eenzijdige gegevensaanlevering)
Kenmerkend in dit ketentype is gegevensverstrekking met veelal vooral een belang bij de ontvanger. Bij dit ketentype is uitsluitend sprake van gegevensaanlevering, en wel op wettelijke grondslag. Een uitbesteding is niet aanwezig; het betreft immers gegevens die de leverancier voor haar eigen processen ook nodig heeft. Evenmin is er een gemeenschappelijk ketendeel aanwezig. Het (toegevoegde) grondmodel is daarom van toepassing. Echte keten (met gelijkwaardige partners)
Hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Voor dit type is het centrifugemodel het meest passend, vooral omdat dan het geheel van de keten gezamenlijk in de audit wordt bezien. Na toevoeging van vorenstaande aan Figuur 1 ontstaat het volgende beeld van de normatieve samenhang tussen de auditmodellen en de onderscheiden ketentypes (zie Figuur 2). De praktijk van de samenhang van samenwerkingsmodellen en ketentypes
Kijkend naar de praktijk, die als basis dient voor de hiervoor weergegeven normatieve opzet, komen we een diversiteit aan koppelingen tegen. Uitgaande van de gedefinieerde ketentypes leidt dat tot de volgende praktische invullingen in de praktijk van de samenwerking binnen audits.
strekt, die vervolgens een reviewmogelijkheid hebben. Daarom is op dit type keten in eerste instantie het consolidatiemodel van toepassing. Een voorbeeld is de uitvoering door de gemeentes van sociale uitkeringswetten ten behoeve van het Ministerie van Sociale Zaken. Zoals aangegeven, hoeft het in dit ketentype niet persé te gaan om bilateraal contact. Er kunnen immers meerdere eindverantwoordelijken aanwezig zijn. Daarom kan ook het centrifugemodel van toepassing zijn. In de situatie van meerdere eindverantwoordelijken kan ook gekozen worden voor een onder gezamenlijke verantwoordelijkheid van de auditdiensten van de betrokken departementen uitgevoerd onderzoek naar de gehele keten. Een voorbeeld is de uitvoering door de Belastingdienst van de inkomensafhankelijke toeslagen voor een aantal beleidsdepartementen. Semi-keten (eenzijdige gegevensaanlevering)
In deze keten zijn de te leveren gegevens voor de ontvanger essentieel voor haar primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De verstrekker kan een belang hebben bij de zorgvuldige omgang door de ontvanger met de verstrekte gegevens. De ontvanger zou de behoefte aan zekerheid kunnen hebben over de mate van betrouwbaarheid van de ontvangen gegevens. De auditor van de verstrekkende partij kan daarnaar een onderzoek instellen en daarover een mededeling afgeven. Anderzijds kan de verstrekker van de gegevens behoefte hebben aan zekerheid over de zorgvuldige omgang door de ontvanger met de gegevens. Denk bijvoorbeeld aan privacyaspecten. De auditor van de ontvangende partij kan daarnaar een onderzoek instellen en daarover een mededeling afgeven. Een voorbeeld is het gebruik van gegevens van de Rijksdienst voor het Wegverkeer door derden. In beide gevallen is het grondmodel het meest van toepassing. Een gemeenschappelijk deel is niet aanwezig. Echte keten (met gelijkwaardige partners)
Bij gelijkwaardige partners in een keten ligt het voor de hand om volgens het centrifugemodel gezamenlijk een audit uit te voeren. De verklaring of mededeling uit deze audit is
De klassieke uitbesteding (klant/leverancierrelatie)
De opdrachtgevende partij zal in de situatie van een klassieke uitbesteding de zekerheid willen hebben dat de contractbepalingen worden nageleefd. In die informatiebehoefte kan een audit bij de uitvoerende partij voorzien. Deze zal veelal worden uitgevoerd door de auditor van die uitvoerende partij die over de uitkomsten een mededeling afgeeft. Het consolidatiemodel past daarom goed bij dit ketentype; dit komt overeen met de normatieve opzet. Een voorbeeld is de uitbesteding van de salarisverwerking door een aantal departementen aan de Belastingdienst. Semi-trust (uitbesteding op wettelijke basis)
Een gangbaar model is dat de uitvoerder door de eigen auditdienst een audit laat uitvoeren. De daarop gebaseerde TPM-mededeling wordt aan de eindverantwoordelijken ver-
Figuur 2: Normatieve samenhang auditmodellen met ketentypes
43 | de EDP-Auditor nummer 2 | 2006
een gezamenlijke verantwoordelijkheid van de auditors van beide partners in de keten en is van toepassing op het gehele ketenproces. Een voorbeeld is de Suwi-keten (Structuur Uitvoeringsorganisatie Werk en Inkomen; de keten van CWI, gemeentes en UWV die zorgdraagt voor het verlenen van hulp aan werkzoekenden en het verzorgen van (tijdelijke) uitkeringen) waarbij een gemeenschappelijk oordeel wordt geformuleerd op basis van de audits bij de verschillende ketenpartners. Een andere optie is een audit door een derde auditpartij op de gehele keten. In de praktijk wordt in de ontwikkelfase van een project wel het centrifugemodel gebruikt. In de uitvoeringsfase komt veelal het kokermodel (brugmodel) naar voren. Het centrifugemodel kan door keuzes vanuit de politiek groeien naar een brugmodel. Voor een beeld van de gehele keten heeft men dan de uitkomsten uit de gemeenschappelijke audit over het beperkte, gemeenschappelijke deel plus de twee afzonderlijke audits op de schakels van de keten die als onderdeel van twee partners zijn gedefinieerd. Een voorbeeld is de samenwerking tussen UWV en Belastingdienst bij de premieheffing en het beheer van basisgegevens. Na toevoeging van vorenstaande aan Figuur 2 ontstaat het volgende beeld van de praktijksituaties van de samenhang tussen de auditmodellen en de onderscheiden ketentypes (zie Figuur 3). Opzet ketenaudits in relatie tot de levenscyclus van ketens In de levenscyclus van een keten verschilt ook de aard van de mogelijke ketenaudits. De in het voorgaande hoofdstuk geschetste samenhang tussen samenwerkingsmodellen en ketentypes kunnen we bij de invulling van de opzet van een audit nuanceren, afhankelijk van de fase van ketenontwikkeling: de ontwerpfase, de realisatiefase en de operationele fase. De fasen kennen elk hun eigen onderzoeksvragen voor
de auditor. De meest effectieve samenwerking tussen de auditors van de betrokken organisaties kan daarom voor een aantal van de onderscheiden ketenvormen per fase verschillen. Het artikel heeft zich vooral gericht op de operationele fase, maar kan daarnaast ook gebruikt worden voor het bezien van de auditsamenwerking tijdens de ontwerp- en realisatiefase. Ketenaudits in de ontwerpfase
Tijdens de ontwerpfase vindt de strategische besluitvorming plaats en worden de grove contouren van de keten ontworpen. In deze fase is het onderzoek gericht op de realiseerbaarheid van een beheersbare keten binnen de gemaakte of te maken afspraken (het bezien van de voorgenomen opzet van de keten). In het ideale geval betrekt het management van de ketenpartijen de auditdiscipline al bij de start van het inrichten van de keten. Dit geeft de auditor de mogelijkheid om al in deze fase te beoordelen of de inrichting van de verantwoording over de beheersing van de keten en het verstrekken van zekerheid hierover aan de betrokken stakeholders in opzet voldoende is geborgd. In deze fase zal er veelal nog geen of weinig contact zijn tussen de auditdiensten van de organisaties. Het grondmodel is dan het meest toepasselijk. Voor de slagingskans van de keten is een risicoanalyse op de realiseerbaarheid van de keten van belang. De auditor kan de volledigheid van die risicoanalyse beoordelen. Bij de klassieke uitbesteding, uitbesteding op wettelijke basis en eenzijdige gegevenslevering zal de beoordeling van de risicoanalyse geen probleem zijn en kan die vraag vanuit het grondmodel beantwoord worden. Voor het ketentype met gelijkwaardige partners is deze vraag veel moeilijker te beantwoorden. Er zijn ons geen normenkaders bekend voor het uitvoeren van een dergelijk onder-
Figuur 3: Samenhang auditmodellen met zicht op keten als geheel
44 | de EDP-Auditor nummer 2 | 2006
zoek. Daarom kan voor het opstellen van het referentiekader naar onze mening het best gebruik gemaakt worden van de door Grijpink3 ontwikkelde toetsingsinstrumenten. Hij onderscheidt een drietal meetgebieden: • Infrastructuur: hoe sluiten systemen op elkaar aan? • Maatschappelijk: hoe waarborg je zaken als veiligheid en privacy? • Bestuurlijk: hoe borg je een voldoende mate van bestuurlijke afstemming? Als eis kan onder meer gesteld worden dat het keteninformatiseringsproject bij de risico-inventarisatie de risico’s in kaart heeft gebracht die gerelateerd zijn aan het niet optimaal voldoen aan (één van) de vier profielen van ketens. Er dienen toereikende maatregelen te zijn voorzien om de effecten te mitigeren. De benodigde kennis over de betrokken organisaties om een dergelijke opdracht uit te kunnen voeren is niet aanwezig binnen een afzonderlijke interne (departementale) auditdienst. Door een combinatie van de kennis bij de verschillende betrokken organisaties te maken, ontstaat wel voldoende expertise. Een dergelijke audit kan daarom alleen binnen het centrifugemodel worden uitgevoerd. Ketenaudits in de realisatiefase
In de realisatiefase zal de onderzoeksvraag tweeledig zijn: (1) heeft de projectorganisatie zodanige maatregelen getroffen dat de doelstelling van het project, namelijk een werkende keten gerealiseerd zal worden binnen tijd en budget? En (2) voldoen de door het project opgeleverde (deel)producten aan de vanuit de optiek van de kwaliteit van de keten gestelde eisen wat betreft opzet en toekomstig bestaan. In deze fase van een keten kan de auditor in verschillende rollen betrokken zijn. De in te vullen rollen verschillen per type keten. Tijdens deze fase zijn er diverse mogelijke audits. Hierbij is er allereerst de mogelijkheid van audits op verzoek, gericht op de implementatie van processen. In dit geval bestaat er een veelheid aan mogelijkheden wat scope en auditobjecten betreft. De klassieke uitbesteding (klant/leverancierrelatie)
Voor de klassieke uitbesteding is het van belang aandacht te besteden aan het afsluiten van de benodigde contracten en onderliggende documenten zoals serviceniveau-overeenkomsten. Bij de inrichting van de klassieke keten hebben de auditor van de uitbestedende partij en die van de uitvoerende partij elk een andere rol. Het grondmodel is daarom de toepasselijke vorm. De auditor van de uitbestedende partij zal in ieder geval na moeten gaan of wet- en regelgeving conform de Europese aanbestedingsrichtlijn wordt nageleefd. Daarnaast zal hij een oordeel moeten geven over de beheersing van de keten vanuit de optiek van de klantorganisatie. De (veelal externe) auditor van de leverancier zal zich in deze fase een oordeel moeten vormen over de toetsbaarheid van het door de klant aangereikte normenkader. De ervaring leert dat een goed (informeel) contact tussen beide auditors in deze fase veel discussie achteraf kan voorkomen.
Semi-trust (uitbesteding op wettelijke basis)
Bij de uitbesteding op wettelijke basis is het uitgangspunt dat audits door de betrokken auditdiensten onder gezamenlijke verantwoordelijkheid worden uitgevoerd. Het consolidatiemodel is dus van toepassing. Van belang is dat de verschillende betrokken auditdiensten daarbij de nodige kennis over de auditee opdoen om de gezamenlijke audit gestalte te geven. De genoemde audits op verzoek geven tevens een belangrijke basis voor het gezamenlijk voorbereiden van de audits die gericht zijn op het vaststellen van de betrouwbaarheid van de financiële verantwoording. Ook hierbij zal de samenwerking tussen auditdiensten verder gestalte moeten krijgen. Daarbij kan het centrifugemodel als uitgangspunt dienen. Semi-keten (eenzijdige gegevenslevering)
Voor de realisatiefase bij het ketentype eenzijdige gegevenslevering bestaat relatief veel ervaring. Met de inzet van nieuwe technologie zoals webservices worden de auditors wel voor andere uitdagingen gesteld. Zeker in die gevallen waar de gegevenslevering ‘real time’ is, vormen aspecten als logische toegangsbeveiliging en beschikbaarheid speciale aandachtspunten met name aan de zijde van de leverende partij. Het grondmodel is in eerste instantie het meest van toepassing, omdat de nadruk op één partij ligt. Toekomstige ontwikkelingen kunnen mogelijk aanleiding geven tot een behoefte aan een andere invulling van assurance. Dan is afstemming tussen de betrokken auditdiensten wenselijk, hetgeen mogelijk leidt tot het consolidatiemodel. Echte keten (keten met gelijkwaardige partners)
Bij de keten van gelijkwaardige partners hebben de auditors van de ketenpartijen contact over de uit te voeren audits gedurende de ontwikkeling van de keten. Het samenwerkingsmodel zal van het koker- of centrifugetype zijn, afhankelijk van de specifieke situatie. In de eerste fases van het ontwikkelingsproject is het object van de audits vooral de projectorganisatie. De belangrijkste onderzoeksvraag is of de projectorganisatie in voldoende mate beheerst wordt. In de latere fases van het project zijn mogelijke auditwerkzaamheden de beoordeling van opgeleverde (tussen)producten van het project zoals het ontwerp van het ondersteunende ictsysteem, de specificatie van de koppelvlakken (in het bijzonder het aspect beveiliging), de toekomstige beheerorganisatie, het testproces, het kostenbeheer, et cetera. Ketenaudits in de operationele fase
In de operationele fase is de auditfunctie vooral gericht op het geven van zekerheid over de werking van de keten. De klassieke uitbesteding (klant/leverancierrelatie)
In de operationele fase ligt het belang van assurance bij de werking van de keten volgens de in het contract vastgelegde afspraken. Het consolidatiemodel voor samenwerking tussen de auditpartijen is toereikend.
45 | de EDP-Auditor nummer 2 | 2006
Semi-trust (uitbesteding op wettelijke basis)
Het betreft hierbij de uitvoering van de controlewerkzaamheden gericht onder meer op het vaststellen van de mate van betrouwbaarheid van de financiële verantwoording, de werking van de informatiebeveiliging van de keten en dergelijke. Hierbij zal de samenwerking tussen de auditdiensten verder invulling krijgen door onder meer nadere afspraken over de auditaanpak en de afstemming over de verdeling van de auditwerkzaamheden over de auditdiensten. Door middel van het centrifugemodel kan de samenwerking tussen de auditdiensten vorm worden gegeven. Daaronder vallen dan gezamenlijke verantwoordelijkheid voor de auditaanpak en het controleplan. Uitvoering van de werkzaamheden geschiedt in nauw overleg met elkaar. De auditdiensten nemen gezamenlijk verantwoordelijkheid voor het vaststellen van de bevindingen, conclusies en aanbevelingen en het eindoordeel. Semi-keten (eenzijdige gegevenslevering)
De verantwoordelijkheid voor het correct gebruik van de ontvangen gegevens ligt bij de ontvangende partij. Indien de verstrekte gegevens van groot belang zijn voor het primaire proces van de ontvangende partij kan deze steunen op een mededeling over de kwaliteit van die gegevens afgegeven door de auditor van de verstrekkende partij. Over het referentiekader als basis voor deze mededeling zijn bij voorkeur contractuele afspraken gemaakt. Als het eigenaarschap van de gegevens (bijvoorbeeld in de zin van de WBP) berust bij de verstrekkende partij zal deze zich in de lijn van de eigen organisatie moeten verantwoorden over het naleven van de daarbij geldende (wettelijk vastgelegde) regels. Een mededeling van de auditor van de ontvangende partij kan dan worden geëist om zekerheid van naleving van de contractuele afspraken te verkrijgen. Het grondmodel is hierbij het meest passend. Echte keten (keten met gelijkwaardige partners)
Bij gelijkwaardige partners vormen de tijdens de realisatiefase gemaakte afspraken de basis voor het te hanteren referentiekader. Deze afspraken zijn verankerd in een hiertoe ontwikkelde verantwoordingsrichtlijn of in een tussen de partijen overeengekomen convenant. Omdat de keten is samengesteld uit een complex geheel van processen is een auditaanpak op basis van een aantal deelaudits noodzakelijk om de planning beheersbaar te houden. Voor de uitvoering is het centrifugemodel daarom het meest voor de hand liggend. In de praktijk blijkt dat dit politiek gezien nog niet altijd haalbaar is en vallen de auditors terug op een verantwoordelijkheidsverdeling volgens het brugmodel (kokermodel).
toegepast kunnen worden. Naar onze mening hebben we daarbij een beeld kunnen neerzetten van de verschillende soorten ketens die binnen het publieke domein aanwezig zijn. Daarnaast is een verdere uitbouw opgesteld van de mogelijke samenwerkingsvormen voor de auditors die bij de keten betrokken zijn. Daarbij is een normatief model bereikt waarmee de verschillende vormen van ketensamenwerking vanuit de audit bediend kunnen worden. Belangrijk uitgangspunt voor de samenwerking tussen auditors is de mate van samenwerking en bestuurlijke afstemming tussen de opdrachtgevers voor audits. Geconcludeerd kan worden dat een normatieve opzet een belangrijke leidraad is voor het opzetten van de wijze van samenwerking tussen auditors om een goede invulling van ketenaudits te kunnen geven. De aangetroffen praktijksituaties leveren het beeld op dat daarin nog stappen voorwaarts te maken zijn. Om de normatieve opzet toe te kunnen passen, is het van belang duidelijk te krijgen welke partijen betrokken zijn om een audit uit te voeren op een keten. Daarbij past dat afspraken zijn gemaakt over de wijze waarop binnen de keten verantwoording wordt afgelegd. Allemaal elementen die bepalend zijn voor het opzetten van een wijze van uitvoeren van audits. In het artikel hebben we een verkenning opgenomen over de wijze waarop dergelijke audits vervolgens inhoud kunnen krijgen. Uit die verkenning concluderen we dat er nog een verdere verdieping mogelijk is van de toolkit waarmee de auditors op pad zouden moeten om op een efficiënte en effectieve wijze de klantvragen te kunnen bedienen. Met het schrijven van dit artikel hebben we vooral de ketenaudits gericht op de betrouwbaarheid van ingerichte ketens voor ogen gehad. De (EDP-)auditor kan ook in de fasen ontwerp en realisatie het nodige bijdragen. Ook hiervan zijn diverse voorbeelden uit de (overheids)praktijk bezien door de auteurs. Voor het opzetten van een toolkit per fase is het van belang eerst de soort van auditvraag te bezien in het licht van de fase waarin een keten zich bevindt. Daarna kan de auditor pas een toegespitste invulling aan de te gebruiken toolkit geven. Genoeg input voor een verdere verkenning van de governance en daarmee de audits op ketens! 1. Meer, drs. A.J. van der Meer e.a.; Ketenauditing, nieuw en daarom spannend; Auditdienst Ministerie van Financiën; 2004. 2 Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, Ruimte voor regie, 2004. 3 Grijpink, J.; Keteninformatisering en privacy.
Tenslotte Met onze verkenning van het gebied van de ketens en de audits die daarbij dienen te worden uitgevoerd, hebben wij beoogd een ordening en structurering aan te brengen in de audits die op verschillende verschijningsvormen van ketens 46 | de EDP-Auditor nummer 2 | 2006
Vooruit denken
Erasmus Universiteit Rotterdam. Vooruit denken.
Strategie voor uw eigen toekomst EDP-Auditing (RE) (EMITA) EDP-Auditing, ook wel IT-Auditing genoemd, houdt zich bezig met het beoordelen van en adviseren over kwaliteitsaspecten op het terrein van geautomatiseerde informatievoorziening. De opleiding EDP-Auditing aan de Erasmus Universiteit onderscheidt zich door haar positionering tussen topmanagement en technologie met een accent op het eerste. Daarbij wordt een accent gelegd op risk management en audittheorie. Voor Accountants (RA) of Internal/Operational Auditors (RO) duurt de opleiding ruim een jaar. De opleidingsduur voor studenten met een universitair of HBO-diploma bedraagt twee jaar.
Internal/Operational Auditing (RO) (EMIA) Voor degenen die al de opleiding EDP, RA of RC hebben gevolgd is er de mogelijkheid om de opleiding Internal/ Operational Auditing in een jaar te voltooien.
Denk vooruit en kijk voor meer informatie op www.esaa.nl
Elsevier FiscaalTotaal. Gereedschap voor de fiscaal professional. Om vakwerk te leveren is goed gereedschap een voorwaarde. Ook in uw vak. Want mogelijkheden, regelingen en jurisprudentie veranderen continu. En met Elsevier FiscaalTotaal heeft u ze snel, eenvoudig en gesorteerd op uw scherm. Vanuit één bron,
Alles voor een optimaal advies. Nu twee weken gratis.
één site, met uw eigen aantekeningen. Heeft u ook aangiftesoftware van Elsevier, dan kunt u daarin overal doorklikken naar de relevante achtergrondinformatie op FiscaalTotaal.
Gratis proefabonnement. U kunt nu gratis kennismaken met Elsevier FiscaalTotaal. Met een proefabonnement heeft u twee weken lang toegang tot FiscaalTotaal. Zo heeft u alle tools in handen om uw klanten optimaal te adviseren. Vraag nu een (proef)abonnement aan. Ga naar www.fiscaaltotaal.nl of bel (020) 515 91 64.
Elsevier Fiscale Media
Een dag uit het leven van
P.A. Schellen RE CISA portage. Bij aankomst op het vliegveld bevestig ik mijn aankomst door het gebruik van mijn creditcard bij het poortje. Later op de dag zal ik per e-mail een bevestiging hiervan ontvangen, nog een voorbeeld van een papierloze transactie.
Peter-Willem Schellen is als Senior Associate werkzaam bij Ernst & Young Technology & Security Risk Services in Oslo, Noorwegen. Hij is gespecialiseerd in de beoordeling van algemene computerbeheersingsmaatregelen van grote SAPomgevingen in de context van de statutaire jaarrekeningcontrole alsook naleving van overige wet- en regelgeving (met name Noorse en Amerikaanse wet- en regelgeving).
Flytoget De wekker gaat vandaag al om 06.00 uur omdat ik vandaag van Oslo naar Stavanger zal reizen voor een belangrijke bijeenkomst. Gisteravond heb ik mijn Ernst & Young rugzak (met speciaal compartiment voor mijn notebook) en documenten al klaargezet. Vanuit mijn appartement is het vijf minuten lopen naar het Nationaltheatret station, waar ik de Flytoget naar het vliegveld zal nemen. Noorwegen is een digitale samenleving waar nagenoeg alles digitaal betaald kan worden, zo ook het kaartje van de Flytoget. Om 07.00 uur stap ik op de Flytoget. In de Flytoget neem ik de presentatie van de bevindingen van het EDP-onderzoek, dat de afgelopen drie maanden veel tijd in beslag heeft genomen, nog eens goed door. Gelukkig is de presentatie in het Engels opgesteld, mijn Noors is na vier maanden onderwijs nog niet op het niveau van een managementrap-
Landschappen Het vliegveld van Oslo is niet het grootste van Europa en kent meer binnenlandse dan buitenlandse vluchten. Op zichzelf niet verwonderlijk, Noorwegen is ongeveer twaalf maal zo groot als Nederland en kent van zijn Noordelijke grens tot aan de hoofdstad eenzelfde afstand als van de hoofdstad tot Rome. Het is ook een land van buitengewone landschappen: bergen, gletsjers, fjorden, eilanden en bossen. Aangezien mijn klant zijn hoofdzetel in Stavanger heeft (de hoofdstad van de provincie Rogaland) neem ik de vlucht van 08.00 uur van Oslo naar Stavanger met SAS Braathens (de fusiemaatschappij van de nationale luchtvaartmaatschappij Braatens en de Scandinavische luchtvaartalliantie). Net als in de Flytoget bestaat er geen fysiek vliegbiljet voor de vlucht. Ook kent men bij binnenlandse vluchten geen verschillende klassen. Het enige verschil tussen een C en Y klasse is de mogelijkheid het biljet te wijzigen. Net voor het aan boord gaan valt me op dat een belangrijke contactpersoon bij de klant, een manager van de interne accoutantsdienst, dezelfde vlucht neemt. Hoewel deze persoon niet bij de presentatie van later vandaag aanwezig zal zijn, stel ik toch voor om naast hem plaats te nemen en hem enige informatie te verstrekken. Noorwegen kent namelijk een zeer eigen cultuur waarin persoonlijk vertrouwen erg belangrijk is. Tijdens de vlucht heb ik ook de mogelijkheid naar buiten te kijken en de landschappen maken wederom erg veel indruk. 48 | de EDP-Auditor nummer 2 | 2006
Voorbereiding De presentatie vandaag bij de klant, een grote oliemaatschappij die recent na privatisering door de overheid in Noorwegen en de Verenigde Staten aan de beurzen is genoteerd. Voor deze organisatie vervult Ernst & Young wereldwijd de rol van statutaire accountant. Het door ons uitgevoerde onderzoek heeft betrekking op de algemene computerbeheersingsmaatregelen in het licht van de Sarbanes-Oxley wet. In de periode september tot en met december 2005 zijn door ons team, bestaande uit een Senior Manager, twee Senior Associates en een Junior Associate, grofweg 240 beheersingsmaatregelen en de daarmee in verband staande documentatie en processen beoordeeld. Aangezien de presentatie voor de klant, met de interne accountantsdienst en voornaamste adviseur PricewaterhouseCoopers als vertegenwoordigers van de klant, pas om 12.00 uur zal beginnen, nemen we van 09.00 tot 11.00 uur alles nog eens goed door. De Noorse arbeidscultuur is erg individualistisch: tijdens het project heeft iedereen relatief zelfstandig aan zijn of haar onderdeel gewerkt. Ook kent de Noorse arbeidscultuur geen hiërarchie: Managers en Senior Managers hebben weliswaar een kwaliteitsverzekerende rol maar kennen ook een plicht om ongeveer 75 procent declarabel te zijn. Er zijn geen kritische zaken die onze aandacht opeisen. We besluiten wel om de voorlopige presentatie op een aantal punten te harmoniseren. Om 11.00 uur besluiten we onze voorbereiding en gaan naar de lunch. In Noorwegen zijn de werktijden in de herfst en de winter namelijk van 08.00 tot 16.00 uur en in de lente en de zomer van 08.00 tot 15.00 uur. Dit is met name ingegeven door het bijna arctische klimaat.
Presenteren Om 11.30 uur rijden we van het Ernst & Young kantoor in Stavanger naar het hoofdkantoor van de klant, net buiten Stavanger op een industrieterrein. In Noorwegen kent men een tolsysteem voor wegen, hier kan men er ook voor kiezen een digitaal afrekensysteem te gebruiken. De maandelijkse afrekening hiervan kan ook als PDFbestand via de e-mail wordt toegestuurd. Om 11.45 uur zijn we bij de klant gearriveerd, alwaar we naar een vergaderruimte worden gedirigeerd. Aangezien onze beoordeling van de algemene computerbeheersingsmaatregelen in het licht van de SarbanesOxley wet, voor de klant een kritiek onderdeel vormt van een project waarin meerdere miljoenen Noorse kronen zijn geïnvesteerd, is er een groot publiek aanwezig: afvaardigingen van de opdrachtgever, PricewaterhouseCoopers en Ernst & Young. Aan onze zijde zijn niet alleen de EDPauditors aanwezig maar is ook de Senior Manager aanwezig die de algemene coördinatie van alle Ernst & Young opdrachten naar de klant toe verzorgt. Uiteraard beginnen we met een voorstelronde, die voornamelijk in het Engels wordt gehouden, maar ook gedeeltelijk in het Noors. Eén interne accountant is namelijk een Engelsman en de SAP veiligheidsadviseur van PricewaterhouseCoopers is een Vlaamse. We beginnen de presentatie, conform Ernst & Young en algemene richtlijnen, met een inleidend verhaal over de doelstelling van het onderzoek, de begrenzingen en de indeling van de presentatie. Na het inleidend verhaal door mijn Senior Manager presenteren mijn twee andere Noorse collega’s, een Senior Associate en een Junior Associate, hun bevindingen ten aanzien van de algemene computerbeheersingsmaatregelen. De bevindingen worden met enige vragen en commentaren goed ontvangen door de opdrachtgever. Bij de algemene com-
puterbeheersingsmaatregelen is door mijn collega’s met name getoetst op basis van ITIL en CobiT. Vervolgens nemen we een korte pauze, waarbij naar Noors gebruik enig fruit wordt genuttigd (Noorse werkgevers verzorgen dagelijks korven met vers fruit, met name om de gezondheid van de werknemers te versterken). Na de pauze nemen enkele deelnemers aan de presentatie afscheid. In mijn segment presenteer ik namelijk mijn bevindingen ten aanzien van de SAP computerbeheersingsmaatregelen. Deze zijn veelal erg technisch en specificiek, SAP is nu eenmaal een fascinerend maar tegelijkertijd buitengewoon complex pakket. Volgens de, voor Noorwegen aangepaste, Ernst & Young methodologie worden algemene computerbeheersingsmaatregelen ingedeeld in drie deelgebieden: Change Management, Access Management en Operations Management. De klant heeft echter een eigen indeling van de SAP computerbeheersingsmaatregelen. We behandelen eerst het deelgebied Change Management met de overeenkomstige ‘Change Management’ maatregelen van de klant met in hoofdzaak aspecten zoals transporten tussen SAP installaties en ABAP/4 standaarden. Vervolgens behandelen we het deelgebied Access Management met de overeenkomstige ‘Role Administration’, ‘Access Administration’, ‘Privileged IDs’, ‘System Setup’, ‘Role Design’ en ‘Sensitive Data’ maatregelen van de klant met in hoofdzaak aspecten zoals authorization objects, transaction codes, tables, authorization groups en hoe het systeem is geconfigureerd met betrekking tot zekerheidsinstellingen. We behandelen als laatste het deelgebied Operations Management met de overeenkomstige ‘Auditing and Logging’ en ‘Job Scheduling’ maatregelen van de klant met in hoofdzaak aspecten zoals het gebruik van logbestanden voor kritieke transacties en het 49 | de EDP-Auditor nummer 2 | 2006
monitoren van succesvolle ‘batch runs’. De meer algemene aspecten binnen de deelgebieden, zoals het proces van het toekennen van gebruikersrechten, worden vanuit de generieke ITIL processen bestuurd. Ook hier worden, na enige vragen en commentaren van met name de SAP veiligheidsdeskundige van PricewaterhouseCoopers, mijn commentaren goed ontvangen door de opdrachtgever. Als afsluiting van de presentatie wordt met de opdrachtgever afgesproken in januari een dag af te spreken om een rondetafeldiscussie te houden met betrekking tot de formele commentaren alsook verbeteringsacties van de opdrachtgever. Wij vertrekken vervolgens om 15.45 uur terug naar het Ernst & Young kantoor. Lotus Notes Bij terugkomst op het Ernst & Young kantoor om 16.00 uur heb ik nog snel de mogelijkheid mijn Lotus Notes te repliceren, zodat ik in het vliegtuig mijn e-mail nog eens kan doornemen. Voor ik om 16.15 uur met een taxi naar het vliegveld vertrek, spreek ik met mijn Senior Manager af hem morgen te bellen voor de verdere afstemming van de werkzaamheden. Het inchecken gaat erg snel (het vliegveld van Stavanger is erg klein) en om 16.45 uur zit ik weer boven de wolken. In mijn e-mail tref ik, naast onder andere een vraag van Carlo Bavius van het IT Audit Portal (waar ik mede-redactielid ben), als PDF-bestand het december nummer van Data Z aan, het tijdschrift van de Noorse ISACA-afdeling (Noorwegen kent geen nationale organisatie zoals NOREA). Tot mijn verbazing lees ik dat ik van alle Noorse CISA-examen kandidaten in 2005 het beste resultaat heb behaald (een postdoctorale EDPaudit bij TIAS opleiding doet wonderen). Om 17.30 uur land ik na een interessante dag op het besneeuwde vliegveld van Oslo.
IT-audit en het Internet
Platform voor informatiebeveiliging www. platforminformatiebeveiliging.nl
Loubna Zarrou
In deze nieuwe rubriek worden internetsites besproken die voor IT-auditors interessant kunnen zijn. Ik mag de aftrap doen voor het tweede nummer van dit jaar. Mijn keuze is hierbij gevallen op de website van het Platform voor Informatiebeveiliging, omdat ik zelf regelmatig deze website bezoek en het leuk vind om collega-auditors deelgenoot te maken van mijn ervaringen.
Drs. L. Zarrou is werkzaam bij EDP Audit Pool als junior IT-auditor
rganisaties worden steeds afhankelijker van elektronische informatie en er vindt meer en meer integratie plaats tussen het Internet en het gebruik van computers voor de gegevensverwerking en de bedrijfsvoering. Dit heeft als consequenties dat het belang van informatiebeveiliging toeneemt en er eisen worden gesteld aan de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens (informatie). Worden er binnen een organisatie onvoldoende maatregelen genomen om te voldoen aan deze eisen, dan kan dit leiden tot incidenten die grote gevolgen kunnen hebben voor een organisatie. Het belang en de noodzaak van constante aandacht voor informatiebeveiliging blijkt ook uit (zeer) recente incidenten bij de politie en het ministerie van Defensie.
O
een beschrijving van de website. Het bespreken van een website start, wat mij betreft, met het bespreken van het uiterlijk van de website. Dit is immers het visitekaartje en bepaalt of een gebruiker ook de website verder gaat verkennen of niet. De website van PI heeft een rustige uitstraling door onder andere het gebruik van blauw en wit als achtergrondkleuren, een duidelijk lettertype en niet teveel tekst op een pagina. Op elke pagina vindt men de hoofdnavigatie en een subnavigatie. Dit geeft gelijk een goede indruk van wat er zoal te vinden is op de pagina’s. Een ander pluspunt is de zoekfunctie. Deze zoekfunctie is gekoppeld aan de zoekmachine Google. De zoekfunctie doorzoekt daarbij zowel de pagina’s als de beschikbare (te downloaden) documenten.
De beschikbaarheid, integriteit en vertrouwelijkheid van informatie kan worden gewaarborgd door het nemen van technische en organisatorische maatregelen. In Nederland houdt de vereniging Platform voor Informatiebeveiliging (PI) zich onder andere bezig met het ontwikkelen van standaarden en richtlijnen voor de praktische inrichting van informatiebeveiliging. De vereniging doet dit in samenwerking met organisaties uit zowel het bedrijfsleven als de rijksoverheid in de vorm van werkgroepen. Naast het ontwikkelen van standaarden en het uitvoeren van studies organiseert PI ook themabijeenkomsten voor haar leden.
Website De website van PI is verdeeld in een openbaar deel en een gesloten deel. Het gesloten deel is alleen toegankelijk voor leden. Op het gesloten deel van de website wordt informatie verschaft over de leden van PI, heeft ieder lid de beschikking over een persoonlijke pagina en zijn de verslagen van de ledenvergaderingen beschikbaar. Tevens wordt inzicht gegeven in de verslagen van de werkgroepen binnen PI. Op dit moment is er een werkgroep Young Professionals, een werkgroep SNBB (Standaard Normen Beheer en Beveiliging) en een werkgroep Internet actief. Om de samenwerking met de leden extra vorm te geven, is er een forum ingericht waarop de leden met elkaar kunnen discussiëren over eigen aangedragen onderwerpen. Huidige onderwerpen op het forum zijn SAS70 en secure
Look and feel Het Platform voor Informatiebeveiliging is ook vertegenwoordigd op het Internet. In de volgende alinea’s volgt 50 | de EDP-Auditor nummer 2 | 2006
coding. Er wordt helaas nog niet veelvuldig gebruik gemaakt van het forum. Om toegang te krijgen tot dit besloten deel kun je je als organisatie aanmelden via de website. Op het openbare deel vind je informatie over de vereniging en haar activiteiten. Activiteiten houden onder andere in het uitvoeren en publiceren van studies over een aantal belangrijke thema’s. De studies zijn in de vorm van technische beveiligingshandleidingen op het gebied van RBAC (Role Based Access Control), Firewalls, Basisnormen Beveiliging en Beheer ICT-infrastructuur, Encryptie, SLA’s, Outsourcing en Internet. De studies geven inzicht in de diverse onderwerpen en de beveiligingsaspecten. Hier zit dan ook de meerwaarde voor iedereen die zich bezighoudt met ICT-beheer en informatiebeveiliging. Voor de ITauditor vormen deze studies een goed
uitgangspunt voor normenkaders. Naast deze studies publiceert PI ook standaarden op het gebied van diverse besturingssystemen zoals Windows 2000 en Active Directory, z/OS, Unix en Windows NT, maar ook standaarden voor Novell Netware en Oracle. Deze standaarden geven een opsomming van alle soorten (technische) beveiligingsmaatregelen die mogelijk zijn binnen deze besturingssystemen. Wederom een absolute meerwaarde voor iedereen die te maken heeft met ICT-beheer en informatiebeveiliging. Naast deze concrete producten kun je op de PI website terecht voor referaten en scripties op het gebied van informatiebeveiliging. De referaten worden voor plaatsing beoordeeld op geschiktheid voor de doelgroep van PI, originaliteit en actualiteit. Op dit moment zijn er zes referaten beschikbaar op de
51 | de EDP-Auditor nummer 2 | 2006
website over bijvoorbeeld onderwerpen als Business Continuity Management, Enhanced Security Management en het meten van security. Bruikbaarheid IT–auditors kunnen in het kader van informatiebeveiliging een rol spelen bij de invoering, uitvoering en evaluatie van de Code voor Informatiebeveiliging en/of het VIR’94 binnen de rijksoverheid. De ontwikkelingen binnen de IT en de informatiebeveiliging gaan snel. De website van PI is een goede plek om op de hoogte te blijven van de ontwikkelingen en kennis op te doen van (technische) onderwerpen. Daarnaast kun je kennis inbrengen en een indruk krijgen van normen op dit gebied. Wat mij betreft hoort de website van PI in de favorieten te staan van iedereen die zich bezighoudt of te maken heeft met informatiebeveiliging.
Boekbespreking
Een nuttige ICT-grabbelton Drs. Th. Wijsman RE is audit manager/IT-auditor bij de Algemene Rekenkamer
door de summiere behandeling van alle onderwerpen veel minder voor dit boek.
Titel:
Core Concepts of Information Technology Auditing
Auteurs: James E. Hunton, Stephanie M. Bryant, Nancy A. Bagranoff Uitgever: John Wiley & Sons, Inc. ISBN:
0-471-45181-9
D
e besproken publicatie is een studieboek voor de opleiding van financial auditors. De auteurs behandelen in kort bestek (zo’n 260 pagina’s, exclusief bijlagen) IT-auditing in zijn volle omvang, om zo de cursist breed te introduceren in het vakgebied (zie de bijlage voor een overzicht van de inhoud). Uit deze opzet volgt dat alle onderwerpen slechts kort (kunnen) worden aangestipt. Hierdoor is er, zoals de schrijvers zelf aangeven, bij gebruik in een onderwijssituatie ruimte voor aanvulling met andere informatiebronnen, zoals gastsprekers, hands-on audit software, groepsdiscussies en cases. Daarbij kan worden aangetekend dat ‘ruimte voor’ een duidelijk understatement is, want aanvullingen zijn zeker nodig. Terwijl veel studieboeken (ook) voor zelfstudie bruikbaar zijn, geldt dat
Bruikbaarheid Wat zijn de sterke en minder sterke punten van de publicatie? Sterk is bijvoorbeeld dat in vogelvlucht een veelheid aan onderwerpen wordt geraakt. Voor zover een dergelijk boek compleet kan zijn, is het dat zeker. Verder worden de risico’s die inherent zijn aan het gebruik van ICT duidelijk geïllustreerd met een groot aantal kernachtige voorbeelden (‘cases-in-point’). Daarnaast stippen de schrijvers een breed scala aan beroepsorganisaties en standaarden aan. Ook bevat het boek veel verhelderende figuren en tabellen. In leersituaties is het bovendien prettig dat elk hoofdstuk wordt afgesloten met discussievragen en oefeningen. Deze paragrafen bieden veel inspiratie voor een interactieve cursusaanpak. Dan nu de minder sterke punten. Om te beginnen: helemáál compleet kan een boek dat in kort bestek een breed beeld wil geven eigenlijk nooit zijn. Dat geldt ook hier. Zo komen CMM en ITIL niet aan de orde en blijft het belang van een informatiearchitectuur voor een beheersbare informatievoorziening onbesproken. Ook hadden de 802.11 standaarden (wifi) wel genoemd mogen worden. Verder is het een Amerikaans boek1, waardoor de Nederlandse situatie vanzelfsprekend niet in beeld komt. Het meest opvallende minpunt is eigenlijk nog wel dat het boek nauwelijks ingaat op de vraag hoe je zaken moet beoordelen. Een voorbeeld. De auteurs leggen wel uit wat het mechanisme van ‘concurrency control’ in een database–omgeving inhoudt en waarom het belangrijk is. Ook wordt de IT-auditor op het hart gedrukt de werking van dit 53 | de EDP-Auditor nummer 2 | 2006
mechanisme vast te stellen. Hoe hij of zij dat moet doen, blijft echter onduidelijk. De titel (‘Core concepts of … Auditing’) is daarom wat misleidend en een titel als ‘Core concepts … for Auditors’ zou de inhoud beter kenmerken. Ten slotte: er valt weinig lijn in het boek te ontdekken, maar gelukkig zijn er wel veel kruisverwijzingen tussen de hoofdstukken aangebracht. Ook zijn er eigenaardige onevenwichtigheden. Zo wordt het onderwerp ‘stroomvoorziening’ wel belicht in het hoofdstuk over netwerken, maar niet in het hoofdstuk over IT-management. Plussen en minnen tegen elkaar afwegend: het boek kan een zeer bruikbare basis vormen of ondersteuning bieden bij een cursus ITaudit. Een beetje een grabbelton. Maar wel bijzonder nuttig materiaaal in handen van een ervaren docent die accenten kan leggen, keuzes uit de aangeboden onderwerpen kan maken, die het geheel in een samenhangend kader plaatst en de Nederlandse context schetst (organisatie van het beroep, wet- en regelgeving). Samen met bijvoorbeeld de inleiding van Van Praat en Suerink2 (besproken in nummer 4/2005 van dit blad) kan het een mooie tandem vormen.
Bijlage: Inhoud van het boek Het boek snijdt in tien hoofdstukken een veelheid van onderwerpen aan. Hoofdstuk 1 (IT Audit Overview) kadert het onderwerp in. Aan de orde komen: de impact van ICT op organisaties, het werk van IT-auditors, de relatie tussen financial audit en IT-audit, IT-auditvaardigheden en, ten slotte, beroepsorganisaties en certificering. Het zal duidelijk zijn
dat in slechts dertien bladzijden tekst deze onderwerpen alleen maar ‘geraakt’ kunnen worden. Niettemin biedt het een bruikbare eerste indruk van waar IT audit over gaat. Hoofdstuk 2 (Legal and Ethical Issues for IT Auditors) belicht gedrags- en beroepsregels (‘code of ethics’), onregelmatigheden en onrechtmatige handelingen (‘irregular and illegal acts’), contracten, computercriminaliteit, intellectuele eigendom en privacy. Het is een Amerikaans boek en de informatie is dan ook geënt op de wet- en regelgeving in de VS. Hoofdstuk 3 (Information Technology Risks and Controls) gaat over risicobeheersing. Achtereenvolgens wordt ingegaan op: het onderkennen van ICT-risico’s, het maken van risicoinschattingen, IT controls en het monitoren van risico’s en controls. In het kader van de controls worden een aantal standaarden genoemd, zoals COSO, CobiT en de SAS-standaarden. Dit hoofdstuk geeft een goed beeld van de essentie van risicobeheersing rond de toepassing van ICT. Hoofdstuk 4 (IT Deployment Risks) schetst de risico’s bij de inzet van ICT. Het begint met het onderwerp ‘strategische planning’, en vervolgt dan met de risicobeheersing bij de ontwikkeling, aanschaf, wijziging en implementatie van applicaties. Het hoofdstuk is behoorlijk compleet. Zo laten de schrijvers bijvoorbeeld niet onvermeld dat beveiliging en controls vaak op het tweede plan komen, waardoor patches nodig zijn en er dikwijls gebruik moet worden gemaakt van aanvullende beveiligingssoftware. Hoofdstuk 5 (Managing the IT Function) geeft de IT-auditor een aantal handvatten voor een oordeel over het managen van de IT-functie. Het vertrekt vanuit het doel van IT-management, namelijk ervoor zorgen dat IT toegevoegde waarde voor de organisatie heeft en dat de risico’s voor de
organisatie (informatiesysteemrisico’s à la Systrust en de CobiT informatierisico’s) én het auditrisico minimaal zijn. Helaas is deze systematiek niet terug te vinden in de opbouw van het hoofdstuk. Dat is jammer, want het hoofdstuk stipt wel een groot aantal belangrijke onderwerpen aan, zoals financiën, personeelsmanagement, sturing en controls, maar biedt de beginnende IT-Auditor onvoldoende zicht op het geheel. Hoofdstuk 6 (IT Networks and Telecommunications Risks) biedt een overzicht van netwerktechnologiën en risico’s die voortvloeien uit het gebruik van computernetwerken. Wat de risico’s betreft, wordt vooral ingegaan op de bedreigingen (en maatregelen) die samenhangen met internet. Malware, denial-of-serviceattacks, VPN, authenticatie (inclusief token-based login), encryptie, firewalls, intrusion detection en enkele hackerstechnieken, het komt allemaal aan de orde − zeer beknopt, dat wel. Hoofdstuk 7 (Understanding E-business risk) behandelt internetgerelateerde standaarden als TCP/IP, HTML en XBRL. Vertrouwelijkheid, continuïteit, non-repudiation en audit trails worden besproken. Risico’s die inherent zijn aan het zaken doen via internet worden genoemd en beveiligingsmaatregelen worden aangestipt. Ook wordt aandacht besteed aan diensten door derden zoals ISP’s, ASP’s en keurmerkorganisaties. Hoofdstuk 8 (Using Computer Assisted Audit Tools and Techniques (CAATTS)) behandelt productiviteits-tools zoals elektronische werkdocumenten en systemen voor document management. Verder gaat het hoofdstuk uitgebreid in op het gebruik van software voor data gerichte audits. Dit gebeurt aan de hand van ACL. Als uitsmijter wordt nog gewezen op de mogelijkheid van continuous auditing via embedded audit modules. 54 | de EDP-Auditor nummer 2 | 2006
Hoofdstuk 9 (Conducting the Audit) behandelt het auditproces vanaf de planningsfase tot en met de followup. Verder passeren vier typen audits de revue: audits in het kader van de attestfunctie, audits die uitmonden in een rapport van bevindingen en de SAS-70 en SAS-94 audits. Ook aan de orde komen audits naar de fysieke beveiliging, systeembeheer, applicaties, netwerkbeveiliging, business continuity en data-integriteit. Tot slot wordt CobiT kort besproken. Hoofdstuk 10 (Fraud and Forensic Auditing) begint met twee ‘klassieke’ Amerikaanse onderzoeken naar de omvang van fraude: het COSOonderzoek uit 1999 naar frauduleuze financiële verslaggeving en het ‘Wells’-rapport uit 2002 naar de omvang van diverse vormen van fraude. De link naar IT-auditing wordt gelegd via de constatering dat IT vaak een rol speelt bij het plegen van fraude. Het hoofdstuk gaat in op SAS-99 en SOx. Het hoofdstuk besluit met een beschouwing over forensisch ICT-onderzoek. Noten 1 Overigens is de besproken versie de ‘International edition’ die bedoeld is voor verkoop buiten Noord Amerika, maar dat kon wel eens te maken hebben met de CD-ROM met ACL-trainingsmateriaal die erbij zit. 2 J. C. van Praat en J.M. Suerink: ‘Inleiding EDPauditing’. Ten Hagen en Stam, 2004.
Van de Norea
Code of Ethics voor IT-auditors In december 2004 is door het NOREA-bestuur een concept gepubliceerd van een ‘Code of Ethics voor IT-auditors’. De doelstelling was om de aansluiting tot stand te brengen met de internationale (IFAC-)standaarden en gedragsregels voor auditors. Na een ruime commentaarperiode zal het bestuur de Algemene Vergadering voorstellen deze Code of Ethics te aanvaarden in plaats van de GBRE (Gedrags- en beroepsregels voor Register EDP-Auditors). Daarbij wordt de aanvaarding gevraagd van een specifiek deel, namelijk deel A, het deel van de als concept-Code of Ethics gepubliceerde versie, geldend voor alle IT-auditors. In dit deel zijn de fundamentele beginselen vastgelegd zoals die ook al in de GBRE waren opgenomen. In een later stadium kan het bestuur eventueel nog voorstellen doen over de delen B (Als openbaar IT-auditor optredend IT-auditor) en C (niet als openbaar optredend IT-auditor). Hierop wenst het bestuur zich echter nog nader te oriënteren. In de versie van deel A die nu ter vaststellen aan de ledenvergadering wordt voorgelegd is rekening gehouden met de nieuwste versie van de (IFAC) Code of Ethics en een adequate Nederlandse vertaling die daarvan is gemaakt. De fundamentele beginselen zijn in deze Code of Ethics voor IT-auditors als volgt geformuleerd:
Inleiding
d) Geheimhouding
De IT-auditor aanvaardt te allen tijde de verantwoordelijkheid op te treden in het algemeen belang en behartigt dientengevolge niet uitsluitend de belangen van een individuele cliënt of werkgever. Daartoe neemt de IT-auditor bij zijn optreden deze Code in acht en handelt in overeenstemming daarmee. De IT-auditor neemt de volgende fundamentele beginselen in acht:
De IT-auditor eerbiedigt het vertrouwelijke karakter van informatie die hij in het kader van zijn beroepsmatig en zakelijk handelen heeft verkregen. Hij maakt deze informatie zonder specifieke machtiging daartoe niet aan een derde bekend, tenzij wettelijk of beroepshalve een recht of plicht daartoe bestaat. Het is de ITauditor niet toegestaan vertrouwelijke informatie die hij bij zijn beroepsmatig of zakelijk handelen heeft verkregen, te gebruiken om zichzelf of een derde te bevoordelen.
a) Integriteit
De IT-auditor treedt in zijn beroepsmatige en zakelijke betrekkingen eerlijk en oprecht op. b) Objectiviteit
De IT-auditor accepteert niet dat zijn professioneel of zakelijk oordeel wordt aangetast door een vooroordeel, belangentegenstelling of ongepaste beïnvloeding door een derde. c) Deskundigheid en zorgvuldigheid
De IT-auditor houdt zijn deskundigheid en vaardigheid op het niveau dat is vereist om aan een cliënt of werkgever professionele diensten te kunnen verlenen in overeenstemming met actuele ontwikkelingen in de praktijk, wetgeving en vaktechniek. De ITauditor handelt bij het verlenen van professionele diensten zorgvuldig en in overeenstemming met de van toepassing zijnde vaktechnische en overige beroepsvoorschriften.
Algemene Vergadering De volgende NOREA Algemene Vergadering vindt plaats op donderdag 22 juni 2006 in Restaurant Groot Kievitsdal, Hilversumsestraatweg 21 te Baarn. Op de agenda staan onder meer de jaarrekening/verslag 2005,
de Code of Ethics en de Richtlijn Privacy-audits. De uitnodiging met definitieve agenda wordt eind mei aan onze leden toegezonden.
55 | de EDP-Auditor nummer 2 | 2006
e) Professioneel gedrag
De IT-auditor houdt zich aan de voor hem relevante wet- en regelgeving en onthoudt zich van handelen dat het auditberoep in diskrediet brengt. Bij samenloop van functies dient een zodanige zorgvuldigheid in acht genomen te worden, dat de relatie tussen het optreden c.q. het uiting geven als Register EDP-auditor en de andere functie ondubbelzinnig bepaald is. De volledige tekst van de Code of Ethics voor IT-auditors is te raadplegen via de NOREA website en wordt ook met de vergaderstukken verzonden aan de leden die zich aanmelden voor de Algemene Vergadering op 22 juni 2006. De volledige tekst wordt ook gepubliceerd in het eerstvolgende NOREA-jaarboek en ten behoeve van de kennisoverdracht (opleidingen) wordt een speciale uitgave gemaakt.
Privacyrichtlijn De commentaarperiode voor de (NIVRA/NOREA) Ontwerprichtlijn Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (‘privacy-audits’) is op 31 maart 2006 beëindigd. Naar aanleiding van de ontvangen commentaren en reacties zijn enkele aanpassingen voorgelegd aan de vaktechnische commissies van NIVRA en NOREA. Naar verwachting stemmen de respectievelijke besturen op 17 mei 2006 in met de voorgestelde richtlijn. Voor de NOREA wordt de richtlijn vervolgens aan de Algemene Vergadering ter goedkeuring voorgelegd op 22 juni 2006.
De Richtlijn heeft ten doel grondslagen vast te stellen en aanwijzingen te geven voor de uitvoering van assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (privacy-audit). De voorgestelde wijzigingen betreffen op hoofdlijnen: Externe of interne auditor Deze Richtlijn is in eerste instantie gericht op de externe privacy-auditor aan wie het is voorbehouden of opgedragen een assurance-opdracht met betrekking tot de bescherming van persoonsgegevens uit te voeren met als doel het afgeven van een assurancerapport voor het maatschappelijk verkeer (‘open verkeer’). Indien, op basis van deze richtlijn, een privacyonderzoek wordt uitgevoerd door interne privacy-auditors, mag het rapport uitsluitend voor interne doeleinden worden gebruikt en niet in het maatschappelijk verkeer worden gebracht. Definitie privacy audit Privacy-audit: de werkzaamheden die in het kader van een assurance-opdracht, in opdracht van de opdrachtgever, door een privacy-auditor worden uitgevoerd teneinde belanghebbende zekerheid te verschaffen over de mate waarin het stelsel van maatregelen en procedures gericht op een aangegeven verwerking van persoonsgegevens van een verantwoordelijke, voldoet aan de eisen die gesteld worden door de WBP en alle overige op de verwerking van persoons-
gegevens bij de verantwoordelijke van toepassing zijnde wet- en regelgeving. Definitie privacy auditor Privacy-auditor: de Registeraccountant (RA) die optreedt als accountant in de zin van art. 2 lid1 GBR of de Register EDP-auditor (RE). Beiden dienen op grond van hun gedrags- en beroepsregels te beschikken over de noodzakelijke gespecialiseerde kennis en ervaring op het terrein van de bescherming van persoonsgegevens. De ‘invulling’ van een privacy-audit (toegevoegd is de mogelijkheid om ook een oordeel te geven bij een bestuursverklaring) Een privacy-audit kan zich richten op:
- Het stelsel van maatregelen en procedures gericht op een specifiek aangegeven verwerking van persoonsgegevens; - een bestuursverklaring van de verantwoordelijke die aangeeft welke maatregelen en procedures (het stelsel) gericht op een specifiek aangegeven verwerking van persoonsgegevens door de verantwoordelijke zijn getroffen. Het stelsel van maatregelen en procedures omvat ‘de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om 56 | de EDP-Auditor nummer 2 | 2006
daarin te worden opgenomen’. Het gaat om één specifiek benoemde verwerking van persoonsgegevens. Het onderzoek wordt afgerond met een assurance-rapport waarin een conclusie is opgenomen die met een redelijke mate van zekerheid aangeeft of de opzet en het bestaan op enige datum, danwel de werking van het stelsel van maatregelen en procedures gericht op de bescherming van persoonsgegevens van een aangegeven verwerking over een aangegeven periode heeft voldaan aan de eisen zoals opgenomen in het normenkader. De tekst van het oordeel (‘Assurance rapport’) Opdracht In gevolge uw opdracht
hebben wij een onderzoek ingesteld naar de opzet en het bestaan van het stelsel van maatregelen en procedures gericht op de bescherming van de verwerking van persoonsgegevens die onder de verantwoordelijkheid van plaats vindt, zoals door de verantwoordelijke is gemeld aan het College bescherming persoonsgegevens onder Meldingsnummer <X>, naar de stand op . OPTIONEEL: Tevens hebben wij een onderzoek ingesteld naar de werking van dit stel-
audit
proof
sel over de periode van tot . Werkzaamheden Ons onderzoek heeft tot doel ten behoeve van belanghebbenden met een redelijke mate van zekerheid een oordeel te geven of het door organisatie ingerichte stelsel van maatregelen en procedures gericht op de bescherming van persoonsgegevens van verwerking <X>, voldoet aan de eisen zoals vastgelegd in de navolgende documenten: • Wet bescherming persoonsgegevens, de wet van 6 juli 2000, Staatsblad 302, houdende regels inzake de bescherming van persoonsgegevens, inclusief alle onderliggende besluiten en regelingen; • Achtergrondstudies & Verkenningen nummer 23, ‘Beveiliging van Persoonsgegevens’ uitgegeven door de Registratiekamer (nu CBP), gepubliceerd in 2001; • ‘Raamwerk Privacy Audit’, uitgegeven door het samenwerkingsverband Audit Aanpak, gepubliceerd in 2001; • ‘Contouren voor Compliance, Handreiking bij het Raamwerk Privacy-Audit’, CBP 2005; • De formeel van toepassing zijnde sectorale wetgeving, andere wetgeving, gedragscodes, jurisprudentie en publieke afspraken, te weten.
Ons onderzoek is verricht in overeenstemming met de Richtlijn ‘Assurance-opdrachten met betrekking tot de bescherming van persoongegevens (Privacy-audits)’. In het kader van ons onderzoek zijn als de belangrijkste werkzaamheden uitgevoerd: • Het verkrijgen van inzicht in de kenmerken van de organisatie en de branche waarin deze opereert, in relevante maatschappelijke issues en weten regelgeving; • Het onderkennen van risico’s in de externe omgeving en organisatie zelf, en onderzoeken in hoeverre deze risico’s worden afgedekt door het beoordeelde stelsel; • Het beoordelen van het stelsel in opzet en bestaan op basis van een uitgevoerde risicio-analyse. • Voorzover relevant voor onze beoordeling, het testen van de interne beheersmaatregelen op hun effectieve werking gedurende de beoordeelde periode; • Het wegen van de geconstateerde afwijkingen in relatie tot de eisen zoals opgenomen in het normenkader. Conclusie Op grond van onze werkzaamheden concluderen wij dat de opzet en het bestaan van het stelsel van maatregelen en procedures gericht op de bescherming van de persoonsgegevens van verwerking <X> naar de stand heeft voldaan aan de daaraan te stellen eisen. OPTIO57 | de EDP-Auditor nummer 2 | 2006
NEEL INDIEN OOK DE WERKING IS BEOORDEELD: Op grond van onze werkzaamheden concluderen wij dat het stelsel van maatregelen en procedures gericht op de bescherming van de persoonsgegevens van verwerking <X> over de periode van tot heeft voldaan aan de daaraan te stellen eisen. Als bijlage bij de richtlijn is ook een voorbeeld van een bestuursverklaring opgenomen. Daarnaast is er een afzonderlijk document betreffende het gebruiksregelement van het keurmerk (logo) ‘Privacy Audit Proof ’. Het gebruiksreglement maakt daarmee geen deel meer uit van de richtlijn. De volledige tekst van de richtlijn en de bijlagen zijn te raadplegen via de NOREA-website en worden met de vergaderstukken gezonden aan de leden die zich aanmelden voor de Algemene Vergadering van 22 juni 2006.
Nieuwe leden
ing. F.J. van Hoof Soesterveste 12 3432 RK NIEUWEGEIN
drs. A.F.G.M. Peters Buurtboslaan 8 OTTERLO
IT-auditors (RE’s) :
drs. M.J. Hooiveld Eger 28 1423 GE UITHOORN
R.A. Pietersma AA Willem de Bruynstraat 74 EINDHOVEN
M.J. Bakker Diepenbrocklaan 48 ZWIJNDRECHT
drs. C.P. Huijpen Rembrandtweg 471 AMSTELVEEN
Mev. drs. E. Prins CIA Merlijnstraat 10 -hs. 1055 DD AMSTERDAM
drs. E.A.F. van den Berg RA CISA Leidsepoort 50 2152 HE NIEUW VENNIP
drs. F.A.A. IJpeij 1e Jan Steenstraat 40 E AMSTERDAM
drs. A.P.J.M. Reijers Eiber 4 2411 LA BODEGRAVEN
drs. J. Bikker H. Kuipers Rietberglaan 50 HEEMSTEDE
drs. J.P. Krenning Smientstraat 73 ‘S-GRAVENHAGE
drs. J. Reinders Obrechtstraat 2 bis 3572 EE UTRECHT
W.F. de Boer CISA Reiderland 10 HUIZEN
J.F.A. Kuijer RA Team 1.1, Postbus 58988 1040 EK AMSTERDAM
B. Riegman Den Hoek 6 HEKELINGEN
P.W.J. Borghans Hendrik van Veldekestraat 42 VOERENDAAL
drs. D. Kuijper RA Dokter Rupertlaan 56 3761 XV SOEST
mevr. ing. L. Saraber Stellendamstraat 99 ZOETERMEER
ir. H. Bouthoorn Aidaplein 169 ALPHEN AAN DEN RIJN
drs.ing. M.J.M. van der Lans Jhr. Carel Sternplein 3 VOORBURG
drs. J.A.M. Smets Korfakker 68 a EINDHOVEN
drs. C.I. Brink Citer 35 KAMPEN
drs. N.J. Lee CISA CISSP Lumièrestraat 21 AMSTERDAM
B. van Steenwijk RA Vuurdoornlaan 29 GOUDA
R. Driehuis bc. CISA Breitnerhof 82 HOORN
M.N. Liefting Nachtorchis 15 LIMMEN
ir. D.H. Stöpetie Bos en Lommerplein 48 AMSTERDAM
ir. M. van Elk Rijnsburgstraat 32 -2 1059 AW AMSTERDAM
mevr. ir. K. Manschot Paul Gabrielstraat 29 ‘S-GRAVENHAGE
drs. S.N.T. Tuijp Hendrik Averkamplaan 37 1132 SZ VOLENDAM
drs. J.M. Even Schepen van der Portenstraat 10 6042 VC ROERMOND
drs.ing. A.P.J. Mouwen CISA Boegspriet 33 4871 DW ETTEN LEUR
M.R.I.A. Wazir Van Eysingalaan 77 3527 VB UTRECHT
drs. T.M. Gilhuis Goeman Borgesiuslaan 26 1412 CD NAARDEN
T. Nieuwenhuizen Wilhelminastraat 171 -II AMSTERDAM
A.J. Yavuz Langeland 3 ’S-GRAVENHAGE
R. van Hoeijen Peelstraat 91 1079 RN AMSTERDAM
mevr. drs. G.A.M. Oomes RA Koningin Julianastraat 30 NOOTDORP
ing. J.M. Ziere Merijntje Gijzenburg 6 2907 HG CAPELLE A/D IJSSEL
In de periode van 1 januari tot en met 20 maart 2006 ingeschreven in het register van gekwalificeerde
58 | de EDP-Auditor nummer 2 | 2006