Certificering voor de Verandering EuroCloud
(We doen de audit goed, maar doen we ook de goede audit?) Van beren op de weg,
naar knuffelberen
Jan Matto
Onderwerpen: Achtergrond certificering Certificeringsoorten Auditobjecten / scoping Auditnormen / control frameworks Doorn, 20 maart 2012 1
Introductie: Jan Matto
Bij Mazars sinds 1981 Sinds 1998 partner Mazars Paardekooper Hoffman Mazars Management Consultants Informaticus en Register EDP auditor Projectleider SBR/XBRL
Email:
[email protected]
Enkele andere andere neven activiteiten: Partime docent bij verscheidene opleidingsinstituten Projectgroep internationale ontwikkelingen IT en IT auditing van de NOREA Lid stuurgroep Voortgezette Educatie Register Accountants IT en Assurance Redactielid Handboek EDP-auditing Kluwer/NBA Lid projectgroep XBRL van de NBA Commissie Zeker Online Belastingdienst Commissie Zekere Afrekensystemen Belastingdienst Regelmatig spreker op congressen Publicaties op terrein van ICT en controle …
@Jan_Matto 2
Mazars Management Consultants
©
Enkele recente opdrachten : • Onderzoek naar Electronische Nederlandse Identiteitskaart (eNIk) in opdracht van Ministerie van BZK, Justitie en Veiligheid (PET en PbD)
• Ontwikkeling van framework en auditaanpak voor toepassing Wet op de Politiegegevens, opdracht van Politie Nederland • Uitvoering van diverse audits (WPG) bij politieorganisaties / inlichtingendiensten
• ISAE3402 voor SAAS-/ WEB toepassingen • Privacycertificeringen / audits : ASR, QIY, Ministerie van Verkeer en Waterstaat, Equens, ……
• Onderzoek voor Ministerie van Justitie & Veiligheid No-Q systeem • Projectassurance opdrachten 3
Introductie: ICT en Compliance
© Mazars 4
5
Vertrouwen
De ICT Vertrouwenscrisis
Stijgende belasting van organisatie en toename kosten van maatregelen Trust me
Toename toegevoegde waarde
Tell me
Wantrouwen
Show me
Prove me
Transparantie en controle
6
Kwaliteitsdenken versus Risico / controle denken
TQM: we doen alles direct 100% goed: “zero defects” in operations / processen
Risicobeheersing: 0% fouten is onhaalbaar / onwenselijk: dus beheers risico´s en impact
Norm voor het ideale ICT systeem?
Norm voor het ideale controle stelsel en management proces?
1980
2000
Quality is free! Verbetering concurrentiepositie
Transparantie , verantwoording monitoring en controle processen Dus investeringen en toegevoegde waarde!
Twee kanten van dezelfde medaille? 7
ICT systeemcrisis en toezichthouders
8
ICT systeemcrisis en toezichthouders
College Bescherming Persoonsgegevens
9
Speelveld certificering en compliance
Omgevingsfactoren
Maatschappelijke Ontwikkelingen Technologische Ontwikkelingen
Laagdrempeligheid gebruik ICT
Omgevingsfactoren
Veranderend gebruik van ICT
RvB Toezichthouders & Auditors
Besturing Beleid Financiële monitoring
Compliance
Interne Beheersing ICTsysteem
Normen & standaarden Waarde creatie
Markt
Omgevingsfactoren
Best Practices
Wet- en regelgeving
RvC
Bedrijf Stakeholders
SAAS, PAAS, IAAS, …… Omgevingsfactoren
© Mazars Management
Consultants
10
Risicomanagement in governance codes
Toezicht op en bestuurlijke verantwoording voor:
Naleving wet- en regelgeving Realiseren van doelstellingen (strategisch en operationeel) én Beheersen van de risico´s die de realisatie kunnen bedreigen Opzet, bestaan én werking van het Risicobeheersings- en controle systeem (control framework) Financiële verslaglegging Verhouding met stakeholders Beheersing van waardecreatieketens Hierover minimaal 1 keer per jaar overleg tussen bestuurder en toezichthouder en melding in het verslag van de toezichthouders
11
Overwegingen bij soorten certificering (I) A) Single Aspect Audits / Heldere norm Vergelijkbaarheid goed
Multi Aspect Audits Minder heldere norm Vergelijkbaarheid minder goed
B) Single Entity Audits / Framework eenduidig
Multi Entity Audits Meervoudig (ketenverantwoordelijkheden)
C) Single Responsibility
/
Multi Responsibility
Frictie kan ontstaan indien elke ketenpartner een eigen deel audit laat uitvoeren met eigen normenkaders. Bewaking van geheel is dan een issue. (Blinde vlekken, onontdekte risico´s etc.)
12
Overwegingen bij soorten certificering (I) • • • • • • •
• • •
Certificering toekomstgericht met een geldigheidsduur Certificering alleen retrospectief Certificering met uitspraak mate van zekerheid of niet? Alleen rapportage feitelijke bevindingen / afwijkingen van de norm TPM, ISAE 3000, 4400 (agreed upon procedures) Wel/ geen oordeel en mate assurance? Wel / geen management assertion? (ISAE3402 is met) Certificering van opzet en bestaan (ISAE3402 type I) Of ook de werking van maatregelen (ISAE3402 type II) Dominante focus op Management Proces? Dominante focus op IT werkelijkheid?
13
Overwegingen bij soorten certificering (II) • • • •
• • • •
• • •
Techniek is dynamisch (zo ook gerelateerde risico´s / denk aan OWASP) Systemen zijn dynamisch (“) Gebruik van systemen is dynamisch (“) Kan volstaan worden met een jaarlijkse controle? Frequenter controle en continuous monitoring nodig? Alleen general controls? Of ook application controls / functionaliteiten? Wel management assertion? Verspreidingskring certificaat? Rapportage van auditor naar auditor? Opdrachtgeverschap (audittee, toezichthouder, user organisation, service organisation, ….?)
14
Overwegingen bij certificering (III) Scope bepaling: Audit objecten en normeringen
Identity management system Netwerk
PaaS
Besturingssysteem
IaaS
Database
IT Governance model
(Web)applicatie
Control framework
Architectuur
SaaS
User Organisatie
Data Hardware Fysieke omgeving
15
Overwegingen bij soorten certificering (IV) Ontwikkeling normenkaders en control frameworks:
•
Op basis van best practices (heeft zo z´n beperkingen) Op basis van risico-analyse (heeft zo z´n beperkingen)
•
Rule based
•
Principle based
•
Context based
•
16
©
De context bepaalt de norm
IV.
Toenemende complexiteit
III. •Systeemtechnische overgangen in ICTarchitectuur
Commercieel/ PMC´s
• Verschuivingen van ´dominante macht´
II.
•´Houdbaarheidsduur´ neemt af • Herbezinning besturingsmodel bedrijfsvoering en van ICT-funtie • Toename:: - automatiseringsgraad - afhankelijkheid ICT - noodzaak alignment business en ICT - aard en omvang risico´s - complexiteit - differentiatie systemen - portfolio aan applicaties en interfaces
Externe integratie
Web, XBRL
Processen
SOA
I.
CRM
Financieel
ERP / PSA Financieel pakket
Toenemende dynamiek 17
Voorbeeld: Privacy by Design Privacy Principles: • Verantwoording
SaaS
• Grondslag • Transparantie
PaaS
• Kwaliteit • Doelbinding
IaaS
• Gegevensminimalisatie • PET / PbD • Beveiliging • Rechten individu • Derde landen
18
18
Certificering voor de verandering
Samenvatting & conclusies certificering voor de verandering: • Meer aandacht nodig voor IT werkelijkheid en minder dominatie van management processen
• Doel en doelgroep van certificering moet voldoende helder zijn? • Is toekomstgerichte certificering een houdbare situatie? • Gangbare normen en standaarden kennen beperkingen • Control frameworks vereisen voortdurend aanpassing aan context / verandering • Integraal oordeel is gewenst over gehele keten, terwijl veelal sprake is van een gefragmenteerd oordeel verdeeld over ketenpartners / deel verantwoordelijke en systeemlagen. • Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multi-disciplinaire benaderingen zijn nodig. 19
Van integrated audit naar integrated reporting
20
Certificering voor de verandering: ….. Helaas zijn interne management processen veelal dominant …
21
Certificering voor de verandering
Dank voor uw aandacht!
Jan Matto Email:
[email protected] Twitter: Jan_Matto Mobiel: 06 535 78 232
22
Mazars Management Consultants (enkele referenties) ANWB
Waterleidingbedrijf Amsterdam
Equens (Interpay)
Bureau Slachtofferhulp
Fortis ASR
Lloyds Register Quality Assurance
AMEV
PaySquare
DekaMarkt & Dirk van den Broek
Groep Gerechtsdeurwaarders Nederland
Shell Reserve Claim Foundation
Gemeente Amsterdam
Smurfit Kappa
Gemeente Rotterdam
Imtech N.V.
Gemeente Bergen op Zoom
Goverment of Yemen / Aden Container Terminal
Visa Card Services
Ministerie van Verkeer & Waterstaat
Coöperatie Informatiemanagement Politie (CIP)
Ministerie van Justitie
Ministerie van Algemene Zaken
Port Authorities Sri Lanka / Colombo
Ministerie van Binnenlandse Zaken
Koninklijke Marechaussee
Bouwend Nederland
NMa
Meer met Minder
Pokon & Chrysal
Grote 4 Gemeenten / WIGO4IT
Ministerie van OCW
Ministerie van LNV, Voedsel & Waren Autoriteit
NRS / CRV
NMT
Aedes
Qiy
Thomson
Politie Nederland (VTSPN)
ASEP
Informatiebeheer Groep
Cardif
Orde van Medisch Specialisten
Bedrijfschap Afbouw
Linde Gas
©
23