Van de Redactie. Status aparte Column Thomas Wijsman. Grip op batenmanagement Sander van der Meijs

Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA

Redactie M. M. Buijs RE RI drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE

Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) [email protected] Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl

Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2006 € 80,50 excl. btw. De verzendtoeslag voor België bedraagt € 6,95 en voor de Nederlandse Antillen en overige landen € 21,55. De prijs van losse nummers is € 22,60 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail: [email protected]

Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583

Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl [email protected] Geldend advertentietarief 1-1-2007 Vormgeving Studio Putto BNO, De Rijp

2

jaargang 16 - 2007

de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors

Inhoud 4 Van de Redactie 5 Status aparte Column Thomas Wijsman

6 Grip op batenmanagement Sander van der Meijs

17 Het toetsen van architectuur bij de Rabobank Hans Bielok en Arjan Uittenbogerd

26 Introductie Forensisch IT-onderzoek Paul Bakker en Matthijs van de Wel

30 Een methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten) Maarten Buijs

40 ‘Global ontwikkelingen’ binnen het IT-auditvak Interview met Paul van Kessel

44 Een dag uit het leven van… Rolf Daalder

48 Tools: Auditsoftware in de praktijk bij Achmea Dennis Boersen, Margarethe van der Maat en Ralph de Haan

52 Kracht van de vernieuwing 2007, visie op ICT Boekbespreking door Martijn van der Burg

54 Uit de opleidingen 58 Van de Norea

Van de redactie

Vernieuwing IT-auditing is, zo‘n 30 jaar na het ontstaan van het beroep, nog altijd een van de jongere beroepsgroepen in Nederland. Steeds duidelijker tekent zich daarbij de verdergaande professionalisering van en kwaliteitszorg rond het beroep af. We zijn een echt beroep aan het worden dus. Een beroep dat zich enerzijds terecht druk maakt om het ‘zekeren’ van de in de loop van de jaren uitgewerkte beroepspraktijken en anderzijds ook een open oog blijft houden voor veranderingen in de wereld om ons heen en de implicaties die dat heeft voor de beroepsuitoefening. Dat alles, zoals een goed auditor past, met een kritische blik op de eigen activiteiten. Dit weerspiegelt zich ook in het voor u liggende nieuwe nummer van ‘De EDP-Auditor’. Hoewel velen tegenwoordig pleiten voor een integrale benadering van IT-beheer in de context van corporate governance, stelt Thomas Wijsman in zijn column dat er omstandigheden zijn waarin het zinvol kan zijn om het IT-aspect uit de corporate governance te lichten en als apart governance-terrein te beschouwen. Artikelen als dat van Sander van der Meijs over batenmanagement, Hans Bielok en Arjan Uittenbogerd over het toetsen van informatiearchitecturen en Paul Bakker en Matthijs van der Wel over forensisch IT-onderzoek gaan in op nieuwe ontwikkelingen in en rond het beroep. Het artikel van Maarten Buijs beschrijft een methodische inkadering van het gebruik van penetratietesten bij beveiligingsaudits. Ook in de boekbespreking (Kracht van de vernieuwing) en in het interview met Paul van Kessel, mondiaal verantwoordelijk voor de IT-auditing activiteiten van Ernst & Young, staat vernieuwing centraal. Zelfs in ‘Een dag uit het leven van...’

gaat het om verandering. Rolf Daalder, scheidend secretaris van de NOREA, geeft ons inzicht in een van zijn dagen die voor een belangrijk deel aan NOREA-activiteiten werd besteed. Bij Van de NOREA aandacht voor vernieuwing in termen van de instroom van nieuwe mensen in het beroep: er wordt verslag gedaan van de eerste bijeenkomst voor young professionals. Tenslotte vernieuwing in de inhoud van dit blad in de vorm van twee nieuwe rubrieken. In ‘Uit de opleidingen’ geven we de opleidingen ITauditing de gelegenheid ontwikkelingen aan het onderwijsfront naar voren te brengen. In ‘Tools’ bespreken we de diverse audittools, die in de moderne auditpraktijk niet meer zijn weg te denken. Dennis Boersen, Margreet van der Maat en Ralph de Haan trappen af met een verhaal over het gebruik van audittools bij Achmea. Al met al een nummer waarmee wij verwachten u weer van de nodige interessante leesstof te voorzien.

4 | de EDP-Auditor nummer 2 | 2007

Column

Status aparte Thomas Wijsman

D

eze column gaat over IT-governance … al denkt u misschien van niet. Ik neem u namelijk eerst mee terug in de tijd, naar halverwege de jaren tachtig van de vorige eeuw. Ik bezoek dan een buitenland waarvan ik de naam niet zal noemen want stigmatisering is niet mijn stijl. Langs de weg hangen billboards met de tekst ‘Courtesy is our way of life’ – vrij vertaald: hoffelijkheid is onze tweede natuur. Feit of fictie? Fictie, zo blijkt meteen al bij de taxirit van het vliegveld naar het hotel. We gaan met een behoorlijke vaart door de stad en ineens wijst mijn vrouw naar een pand waar we net langs gestoven zijn en dat nu dus snel in de verte dreigt te verdwijnen: ‘De Four Roses, ons hotel … ik weet het zeker.’ Na wat discussie moet de chauffeur zich gewonnen geven. Hij is ‘not amused’. Nog minder vrolijk wordt hij als ik hem bij het uitladen van de koffers op het bordje wijs dat aan het kofferdeksel van de taxi is geschroefd: ‘Luggage included in the price’, daarmee zijn ‘recht’ op compensatie van de geplande maar niet gemaakte omweg met een simpel gebaar wegwuivend. Over de rest van deze gebeurtenis zal ik kort zijn: hoffelijkheid hun tweede natuur? Fictie. ‘Courtesy is our way of life’: geen feit maar fictie dus. Hoewel … fictie? Meer een slagzin eigenlijk, dat wil zeggen een kernachtige en hopelijk aansprekende formulering van een wenkend perspectief. Kortom, iets wat nu nog fictie is, maar waarvan je wenst dat het een feit wordt. Een overheid die hoopt haar burgers basale vriendelijkheid bij te brengen. Broodnodig. En dit is geen zeurverhaal van een klagerige toerist, er was iets echt goed mis. Zaken doen, dat liep vanzelf wel. Maar een beetje aardig zijn tegen elkaar, dát moest nog worden aangeleerd. Door die opvoedingscampagne van de overheid zal het nu wel beter zijn, zou

je denken. Ik ben daar eerlijk gezegd niet helemaal gerust op. Weliswaar ben ik er niet meer teruggeweest, maar ik weet wel dat de ‘Courtesy Campaign’ van destijds is overgegaan in een ‘Kindness Movement’ (what’s in a name?), die nog steeds loopt. Twintig jaar na de gebeurtenis uit de eerste alinea. Maar ja, cultuuromslag neemt nu eenmaal tijd. Dat is geen cynisme, maar realisme. Over slagzinnen gesproken, hier is er nog een – en dan belanden we eindelijk bij ons vakgebied zodat het misschien toch nog goed komt met deze column: ‘The network is the computerTM’. Kent u hem nog, die slagzin van SUN Microsystems – en gedeponeerd handelsmerk? Hij dateert al van de oprichting van het bedrijf begin jaren tachtig van de vorige eeuw. Toen niet meer dan een wenkend perspectief. Nu steeds meer werkelijkheid. Ook weer ruim twintig jaar later. Toeval? Hier is er nog een: ‘Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden’. Feit of fictie? En, een naaste buur van de vorige, ‘IT vormt een integraal onderdeel van de strategie van een organisatie’. Herkent u deze twee? Dan hebt u uw huiswerk gedaan – ze komen uit de NOREA brochure ‘ITGovernance: Een verkenning’. ‘… onlosmakelijk verbonden …’, ‘… integraal onderdeel van …’. Feit of fictie? Wel, het beeld is genuanceerd: sóms een feit maar, afgaand op wat ik om mij heen zie, vaker een wenkend perspectief. Dit is overigens allerminst denigrerend bedoeld richting de brochure van NOREA. Die vind ik juist een waardevolle publicatie die precies op het goede moment enige orde schiep in de chaos rond het begrip ITGovernance. Maar de vraag is: Hoe breng je dat perspectief nu dichterbij? Wat doe je als de organisatietop geen blijk geeft te beseffen dat IT-Gover5 | de EDP-Auditor nummer 2 | 2007

nance onlosmakelijk verbonden is met Corporate Governance? Als niet in de organisatiecultuur het besef is ingebakken dat IT en primair proces steeds meer samenvallen en dat IT dus goed geworteld in de strategische besluitvorming moet zitten? Wat we volgens mij beslist niet moeten doen is beginnen met proberen de slogans via missionaire arbeid om te zetten in realiteit door te hameren op het aambeeld van de integratie. Het is misschien vloeken in de kerk. We doen toch niet voor niets geïntegreerde risicoanalyses en integrated audits waarin het IT-aspect integraal wordt meegenomen en we hebben toch niet voor de aardigheid multidisciplinaire teams? Toch zie ik er alle reden toe om in organisaties waar IT nog niet door de hele organisatie heen tot en met de board room herkend wordt als strategisch bedrijfsmiddel, IT-Governance een status aparte te geven. Politiekbestuurlijk verwijst het begrip status aparte naar een gebied dat als staat niet de volledige politieke onafhankelijkheid of soevereiniteit heeft, maar wel als apart land wordt beschouwd. Laten we hetzelfde doen met ITGovernance in die situaties waarin dát gebied nog weinig ontwikkeld is. Geef het dan een status aparte. Probeer de organisatie zover te krijgen om naast de bestaande strategische besluitvorming en naast de reguliere P&Ccyclus grip te krijgen op de IT. Als dat eenmaal gelukt is kan de organisatie IT-Governance laten ‘landen’ in de Corporate Governance. Maar dan – laten we ons geen illusies maken en denk aan het niet bij naam genoemde buitenland uit het begin van deze column – zijn we wel jaren verder. Een cultuuromslag neemt nu eenmaal tijd … geen cynisme, maar realisme.

Artikel

Grip op batenmanagement Sturen op de baten van verandering Sander van der Meijs

‘Miljoenen verspild aan invoering informatiesysteem – kostenreductie blijft uit.’ Aldus een krantenkop. ‘Wat ging er mis?’, is dan natuurlijk meteen de vraag. Dat is achteraf vaak makkelijk te bedenken. Moeilijker is het om de baten tijdens een verandering dusdanig te beheersen dat beoogde doelen wel bereikt worden of dat je in ieder geval tijdig kunt bijsturen. Het beheersen van baten van verandering is tot op heden een onderbelicht gebied. Daarom behandelt dit artikel een integraal model voor de inrichting van batenmanagement, om organisaties handvatten te bieden om grip te krijgen op de baten van verandering. Daarnaast wordt ingegaan op de rol van de IT-auditor bij de beoordeling van projecten en programma’s en bij het adviseren over de beheersing van verandering.

B

ij veranderprojecten en -programma’s is de aandacht de laatste jaren vooral uitgegaan naar het management van kosten en risico’s. Het management van de baten van verandering is lang een onderbelicht gebied gebleven. Natuurlijk wordt altijd gestuurd op het bereiken van de doelstellingen, maar een groot deel van de baten wordt pas in een later stadium zichtbaar, wanneer de verandering écht in de organisatie is doorgevoerd. Iedereen kan zich immers voorstellen dat de beloofde kostenreductie door invoering van een nieuw informatiesysteem niet de dag na installatie gerealiseerd is, maar dat daar tijd overheen gaat. Batenmanagement is het proces van zodanig organiseren en managen dat deze baten ook daadwerkelijk gerealiseerd worden. Dat proces begint al aan de voorkant met het stellen van realistische doelen en gaat door na afsluiting van de projecten en het programma. Om de hiervoor benodigde inbedding in de organisatie te bewerkstelligen is het van belang om vanuit batenmanagement aansluiting te zoeken bij de organisatie. Belangrijke factoren hierin zijn bijvoorbeeld de aansluiting van de strategie voor batenmanagement op de organisatiestrategie en de aansluiting van de meetmethodes en rapportages voor baten op de wijze van meting en rapportage binnen de planning en control cyclus.

Het belang van batenmanagement Uit een wereldwijd onderzoek van KPMG IT Advisory onder meer dan 600 organisaties uit 22 landen naar de stand van zaken op het gebied van programma- en projectmanagement [DONK05] blijkt dat organisaties in toenemende mate geïnteresseerd zijn in batenmanagement. Reden hiervoor is dat organisaties steeds meer het belang van batenmanagement zijn gaan inzien in het licht van toenemende druk op organisaties om beloften na te komen en zich meer te verantwoorden over ontplooide activiteiten.

Ir. S. (Sander) van der Meijs is werkzaam bij KPMG IT Advisory. Hij is vanuit een audit- en adviesrol betrokken bij verschillende internationale IT Project

Batenmanagement is ook hét middel om te sturen op baten van verandering. Wanneer organisaties dit niet doen, lopen zij het risico dat zij de baten van een verandering mislopen, maar wel de kosten hebben moeten maken, of dat de verandering zelfs uitloopt op een fiasco.

Advisory opdrachten. Voor zijn studie Technische Bedrijfskunde aan de Universiteit Twente heeft hij bij KPMG een afstudeeronderzoek uitgevoerd op het gebied van benefits management binnen programmamanagement. Voor zijn scriptie heeft hij de Bekader scriptieprijs 2005 gewonnen. Hij volgt nu de opleiding IT-Auditing aan de Erasmus Universiteit Rotterdam.

Tevens is het zonder een goed inzicht in de baten niet goed mogelijk om een business case op te stellen of om hierop te sturen. Uit onderzoek is dan ook gebleken dat slechts 20% van de organisaties formele criteria heeft om projecten te stoppen of te pauzeren [DONK05].

6 | de EDP-Auditor nummer 2 | 2007

Batenmanagement is dus een essentieel onderdeel van de ‘governance’ structuur voor programma’s en projecten. Organisaties houden zich dan ook in toenemende mate bezig met de vraag hoe zij op een goede manier invulling kunnen geven aan batenmanagement. Zowel vanuit een audit- als adviesrol is dit voor de IT-auditor een belangrijk onderwerp. Wat zijn baten? Een veelgebruikte definitie van baten is de volgende: ‘Baten zijn de kwantificeerbare en meetbare verbeteringen voortkomend uit een resultaat welke als positief worden waargenomen door stakeholders en welke normaal gesproken een tastbare waarde hebben die uitgedrukt kan worden in geld of andere resources.’ [OGC03] In principe kan dus elke kwantificeerbare en meetbare verbetering als baat worden gedefinieerd, in de visie van bedrijven zijn echter vaak alleen de baten die (uiteindelijk) bijdragen aan het bereiken van de doelstellingen van de organisatie waardevol. Het overzicht in figuur 1 van soorten baten met een aantal voorbeelden geeft een goede indicatie van wat baten kunnen zijn.

waarvan goed batenmanagement erop gericht zou moeten zijn de baten zoveel mogelijk in het geplande en/of positieve gebied van de matrix te krijgen. Uit het voorbeeld blijkt dat de plaats van de baat in deze figuur door de tijd kan wijzigen. Daarom is het van belang om baten periodiek te beoordelen en ook periodiek te kijken of nieuwe baten mogelijk blijken. Want hoewel men op basis van de beschikbare informatie over de huidige situatie zoveel mogelijk probeert te plannen, zullen door veranderingen in de omgeving nieuwe ongeplande baten (of negatieve baten) kunnen ontstaan.

"IJDRAGE

0OSITIEF

)NDENTIFICEREN MAXIMALISEREN VAN)EREN

/OGSTENDOOR GOED MANAGEMENT

/PPORTUNITY "ONUS

)NVESTMENT JUSTIFICATION

"EGRIJPENEN VERMIJDEN

(ERKENNENEN MINIMALISEREN

.ASTYSURPRISES

0RICEWORTH PAYING

/NGEPLAND

'EPLAND

.EGATIEF

.IETFINANCIpLE BATEN

)NDIRECT BIJVOORBEELD „BETERIMAGO „MEDEWERKERTEVREDENHEID „KLANTTEVREDENHEID

.IETMEETBARE BATEN

$IRECTNIETFINANCIEEL BIJVOORBEELD „GROTERENAUWKEURIGHEID „MINDERVERLOOPMEDEWERKERS „KORTERERESPONSTIJDEN

Figuur 2. Batenmanagement matrix [WARD04]

-EETBAREBATEN

&INANCIpLEBATEN

6OORSPELBAARHEID

$IRECTFINANCIEEL BIJVOORBEELD „AFNAMEPOSTSALARISSEN „AFNAMEKOSTENACCOMODATIES „GROTEREOMZET „HOGERRENDEMENT

Figuur 1. Onderverdeling baten [OGC03]

Daarnaast is het belangrijk (zeker voor de IT-auditor) om te beseffen dat er onderscheid bestaat tussen geplande en ongeplande baten en dat de waarde in de tijd kan veranderen. [JOHN02, REME99]. Als voorbeeld zou door de verkoop van een bedrijfsonderdeel een beoogd synergievoordeel niet gerealiseerd kunnen worden, oftewel een baat die niet meer kan worden gerealiseerd. Andersom kan blijken dat met het nieuwe voorraadsysteem informatie kan worden gegenereerd waarmee een betere voorspelling mogelijk is en de klanttevredenheid omhoog gaat, terwijl dit van tevoren niet verwacht was. Dit onderscheid naar voorspelbaarheid en bijdrage is weergegeven in figuur 2. Dit leidt tot vier categorieën baten,

De praktijk is weerbarstig Hoewel batenmanagement in toenemende mate wordt erkend als essentieel onderdeel van de governance-structuur voor programma- en projectmanagement, blijkt in de praktijk dat het binnen organisaties vaak nog niet goed is ingevuld. Slechts 18% van de organisaties zegt een formeel proces voor batenmanagement te hebben! [DONK05] De vraag is dan waarom het, ondanks alle interesse voor het onderwerp, zo moeilijk is om er invulling aan te geven. Twee belangrijke oorzaken zijn waarschijnlijk het ontbreken van concrete handvatten en de inherente moeilijkheid van het onderwerp omdat het prestatiemeting van verandering betreft. Het ontbreken van concrete handvatten voor batenmanagement geldt zowel voor theorie als praktijk. Wel wordt in een aantal methoden en boeken aandacht besteed aan de inrichting van batenmanagement, maar dit is veelal slechts op hoofdlijnen of fragmentarisch. Ook het feit dat nog weinig organisaties zich bezig hebben gehouden met het invoeren van batenmanagement zorgt ervoor dat het gebied nog relatief onontgonnen is. Een tweede, mogelijke oorzaak voor het ontbreken van een formeel proces voor batenmanagement binnen veel organi-

7 | de EDP-Auditor nummer 2 | 2007

Artikel saties is dat batenmanagement een soort prestatiemeting van verandering betreft. Iedereen kent de weerstanden die gepaard kunnen gaan met prestatiemeting en verandering afzonderlijk. Het is dus niet verwonderlijk dat de combinatie van beide een complexe aangelegenheid kan zijn en op weerstand binnen organisaties kan stuiten. Een aantal barrières voor de evaluatie van verandering waarmee bestaande methodes niet of onvoldoende rekening mee houden zijn de volgende [SKIN04]: - Contextuele factoren – factoren in de omgeving waarbinnen de verandering plaatsvindt. Een voorbeeld hiervan is cultuur; in een blame-cultuur zal men minder snel geneigd zijn zich kwetsbaar op te stellen en evaluatie toe te laten. - Focus op Grand Strategy – vooral bij topmanagement blijkt betrokkenheid bij de daadwerkelijke implementatie klein. Zij geven daarom ook geen prioriteit aan de evaluaties van die implementatie en dus wordt helemaal niet geëvalueerd. - Inherente waarde van de verandering – binnen de organisatie wordt aangenomen dat het onvermijdelijk is dat een bepaalde verandering leidt tot bepaalde baten, waardoor evalueren overbodig is. - Informele evaluatie door managers – informele evaluatie door managers via hun eigen netwerk lijkt vaak de formele evaluatie overbodig te maken, omdat de manager de informatie dan toch al heeft en meer waarde hecht aan de eigen, informele bronnen, dan aan een formele evaluatie. In het model dat in dit artikel wordt gepresenteerd zijn beschikbare methoden samengenomen en is ook rekening gehouden met andere genoemde factoren, waardoor de geïdentificeerde oorzaken voor het ontbreken van batenmanagement in de praktijk mogelijk weggenomen kunnen worden. Taken en verantwoordelijkheden Een belangrijk aspect van batenmanagement is het beleggen van de verantwoordelijkheden voor zowel het proces als de baten zelf. De programmadirecteur is ultiem eindverantwoordelijk voor beide. Bij programma’s die de gehele organisatie raken is dit een lid van de raad van bestuur. Vervolgens kan ruwweg een onderscheid worden gemaakt tussen de verantwoordelijkheden van de lijnorganisatie en de verantwoordelijkheden van de programma- en projectorganisatie. De lijnorganisatie draagt de verantwoordelijkheid voor het identificeren, plannen en realiseren van de baten. Deze verantwoordelijkheid wordt belegd bij de business change managers binnen de verschillende organisatieonderdelen. Dit is een lijnmanager die moet zorgen voor dat de verandering daadwerkelijk geïmplementeerd wordt en dat de beoogde baten daarmee ook werkelijk worden bereikt. Hij kan de verantwoordelijkheid voor de realisatie van specifieke baten eventueel delegeren aan bateneigenaren. Zij moeten

er dan uiteindelijk voor zorgen dat de individuele managers en werknemers de baten daadwerkelijk realiseren. Door de verantwoordelijkheid voor baten op deze wijze in de lijn te beleggen wordt de lijn eigenaar van het programma. Dit kan eventueel nog versterkt worden door de baten op te nemen in de planning en controlcyclus. De programmamanager draagt de verantwoordelijkheid voor het proces van batenmanagement. Hij dient te zorgen voor de toepassing van een goed proces voor batenmanagement en dat de verschillende activiteiten voor batenmanagement op het juiste moment worden uitgevoerd. Deze activiteiten worden bij de beschrijving van het model toegelicht. Tevens draagt hij samen met de projectmanagers de productverantwoordelijkheid voor de projectactiviteiten. Dit is van belang omdat de kwaliteit van de projectuitkomsten als het ware het “plafond” voor de batenrealisatie bepalen. Immers, het behalen van de baten door de lijnorganisatie wordt moeilijker wanneer het nieuwe systeem bijvoorbeeld niet alle daarvoor benodigde functionaliteit bevat. Men kan hierbij echter ook denken als zaken als timing van oplevering of gebruikersvriendelijkheid. Het moge duidelijk zijn dat dit ‘plafond’ heel moeilijk te bepalen is, omdat het altijd een wisselwerking betreft tussen de projectuitkomsten en de lijninspanningen die daarop volgen. Het is daarom ook belangrijk dat een goede afstemming bestaat tussen de lijn, het programma en de onderliggende projecten over de projectuitkomsten en welke invloed deze mogelijk hebben op de batenrealisatie. Het batenmanagement model Het batenmanagement model [MEIJ05] biedt handvatten voor de inrichting van batenmanagement. In het model zijn verschillende activiteiten opgenomen, en gegroepeerd in fasen, voor het organiseren en managen van de baten, zodat daadwerkelijk gestuurd kan worden op de realisatie van de baten van verandering. In figuur 3 is het model opgenomen. Het model is op te delen in drie delen. Het eerste deel van het model is de context. Deze is opgenomen in het model om het belang van de context voor batenmanagement te benadrukken. Batenmanagement vindt namelijk niet in isolement plaats en is afhankelijk van verschillende factoren binnen het programma en de organisatie, maar ook daarbuiten. Het tweede deel is een managementcyclus die uit vier fasen bestaat. Deze managementcyclus wordt cyclisch doorlopen, omdat het van belang is dat de activiteiten gedurende het programma meerdere malen worden uitgevoerd. Het derde deel is de fase batenrealisatie. Dit betreft de operationele sturing op de realisatie van de baten door in de organisatie benoemde business change managers. Batenrealisatie is meervoudig aangegeven, omdat dit op verschillende momenten en op verschillende onderdelen binnen de organisatie plaatsvindt. Deze verschillende pakketten vallen veelal

8 | de EDP-Auditor nummer 2 | 2007

beleggen hoeven geen compromissen gemaakt te worden voor de inrichting van batenmanagement.

#ONTEXT;=

"-3TRATEGIE;=

%VALUEREN 2EVIEWEN;D=

Belangrijke factoren die vanuit de omgeving de inrichting van batenmanagement beïnvloeden zijn de verdeling van taken en verantwoordelijkheden binnen het programma, maar ook de wijze waarop in de organisatie met prestatiemeting wordt omgegaan en de politieke krachtenvelden.

)DENTIFICEREN PLANNEN;B=

-ONITOREN;C=

Figuur 3. Het batenmanagementmodel

De bredere omgeving kan op velerlei manieren invloed uitoefenen op batenmanagement. Deze invloed is vooral merkbaar bij de daadwerkelijke realisatie. Men kan hierbij denken aan wijziging van marktomstandigheden waardoor baten plots onrealistisch zijn geworden of waardoor nieuwe mogelijkheden zijn ontstaan.

onder de verantwoordelijkheid van een andere business change manager en vereisen door bijvoorbeeld de aard van de baten of de aard van het organisatieonderdeel een verschillende aansturing.

Goed inzicht in de context, de eerste laag van het model, is een vereiste om het proces batenmanagement in te kunnen richten. Het inrichten van batenmanagement gebeurt in de tweede laag van het model.

De context [1] De context is de eerste laag in het model. De context beïnvloedt in grote mate de inrichting van batenmanagement en het uiteindelijke succes bij de realisatie van de baten. Binnen de context kun je onderscheid maken tussen de programmacontext, de organisatiecontext en de omgeving. De samenhang tussen de context en batenrealisatie wordt in figuur 4 weergegeven.

Batenmanagementstrategie [2a] De fase ‘Batenmanagementstrategie’ is de eerste fase in het tweede niveau van het model. Tijdens deze fase wordt vastgesteld op welke wijze batenmanagement voor het programma wordt ingericht. Dit vereist een gedegen begrip van de beoogde verandering en de context waarin deze plaatsvindt. Hiervoor dienen niet alleen de beoogde baten op hoofdlijnen bepaald te zijn, maar dient ook bekend te zijn welke beweegredenen en motieven er zijn voor de verandering en welk probleem of welke uitdaging de verandering moet invullen. Het begrip van de context is cruciaal, omdat vooraf vastgesteld moet worden welke inrichting van batenmanagement de juiste is voor die specifieke verandering. Organisaties die net zijn begonnen met batenmanagement zullen waarschijnlijk een andere inrichting hanteren dan organisaties die al jaren op baten sturen. Hierbij is het ook van belang om na

"ATENREALISATIE;=

De invloed van de context kan grote gevolgen hebben voor de inrichting van batenmanagement, bijvoorbeeld omdat zaken die niet binnen het programma geregeld zijn alsnog binnen batenmanagement moeten worden geregeld om te kunnen sturen op baten. Dit hoeft echter niet altijd éénrichtingsverkeer te zijn. Vanuit batenmanagement kan men in een aantal gevallen ook eisen stellen aan de omgeving. Door zaken alsnog binnen het programma of de organisatie te

3OORTPROGRAMMA

'OVERNANCE

2ESOURCES

6OLWASSENHEID 0ROGRAMMA /MGEVING /RGANISATIE

"ATENMANAGEMENT

4AKEN

6ERANTWOORDELIJKHEDEN

!CTIVITEITEN

-ETHODENENTECHNIEKEN

)NVESTERINGSEVALUATIE

0RESTATIEMETING

#ULTUURTAVVERANDERING

0OLITIEK

Figuur 4. De context

9 | de EDP-Auditor nummer 2 | 2007

"ATENREALISATIE

Artikel te gaan op welke wijze de geïdentificeerde barrières tegen evaluatie van verandering in de organisatie aanwezig zijn en hoe hiermee omgegaan kan worden. Daarnaast is het belangrijk om op te merken dat batenmanagement niet binnen het gehele programma hetzelfde ingericht hoeft te worden. Zo kan binnen een programma met als doel margeverbetering, een heel andere sturing op baten plaatsvinden voor programmaonderdelen binnen de verschillende afdelingen, zoals verkoop, ICT en R&D. In deze fase wordt niet alleen bedacht hoe batenmanagement ingevuld moet worden. De gehele fase staat in het teken van het creëren van eigenaarschap voor de baten en de batenmanagementstrategie en het zorgen dat de mensen die verantwoordelijk worden voor het uitvoeren hiervan weten op welke wijze dit is vormgegeven. Het is dus van belang om de belangrijkste lijnmanagers voor het realiseren van de baten in een zo vroeg mogelijk stadium te betrekken tijdens deze fase. Zij kunnen dan meedenken over het wat en hoe van batenmanagement en zullen zich op die manier meer inspannen voor de daadwerkelijke realisatie. Tijdens de opstart van een programma zal relatief veel aandacht uitgaan naar deze fase. Tijdens de uitvoer van het programma dient de Batenmanagement Strategie bijgesteld te worden op basis van voortschrijdend inzicht. Dit betekent dat de wijze waarop baten worden gerealiseerd veranderd kan worden, bijvoorbeeld omdat de organisatie beter is geworden in batenmanagement en het daardoor formeler kan worden ingezet. Anderzijds kan het ook zo zijn dat de baten op hoofdlijnen aangepast moeten worden, omdat het programma mogelijk een andere wending krijgt.

In tabel 1 zijn de activiteiten in de fase ‘Batenmanagement strategie’ opgenomen met een korte toelichting. Identificeren en plannen [2b] Het doel van de fase ‘Identificeren en plannen’ is te komen tot een uitgewerkt plan met betrekking tot de te realiseren baten. Daartoe is deze fase eigenlijk op te delen in een creatief en een gestructureerd deel. In het eerste deel van deze fase ligt de nadruk op het begrijpen wat precies de bedoeling van de verandering is en de mogelijk creatieve processen om baten te bedenken. Vervolgens dienen de geïdentificeerde baten gestructureerd te worden. De schikking van baten vindt plaats in relatie tot elkaar en tot de projectuitkomsten en doelen. Wanneer deze relaties duidelijk zijn, dan kunnen de baten verder uitgewerkt en gepland worden. Belangrijk in deze fase is om een zo volledig mogelijk beeld te krijgen van de mogelijke baten. Bij het uitwerken van deze baten dient realisme betracht te worden, zowel qua beoogde waarden (bijv. x% meer maandomzet), als het tijdspad waarlangs de baat zich ontwikkeld. Bij het uitwerken van de baten is het ook handig om zoveel mogelijk aan te sluiten bij de bestaande prestatiemeetmethoden binnen de organisatie. In dat geval kan men namelijk op relatief makkelijke wijze de huidige waarde van bepaalde prestatieindicatoren vaststellen. Ook zal het dan makkelijker zijn om gedurende het programma de doelwaarden te volgen. Bedenk daarbij dat het geen wetenschappelijke exercitie moet zijn; batenmanagement is een pragmatisch middel om de baten te realiseren.

Batenmanagementstrategie Analyse drivers en doelen

Het analyseren van drivers en doelen van de verandering om vast te stellen of de aard en het belang van de verandering worden begrepen en of de beoogde verandering hierop een effectief antwoord is. Deze analyse geschiedt op hoofdlijnen en kan plaatsvinden op de spreekwoordelijke achterkant van een sigarendoos.

Baten op hoofdlijnen

Wanneer de doelen duidelijk zijn, worden de baten op hoofdlijnen bepaald. Dit is noodzakelijk om aansluiting te krijgen tussen programmadoelen en baten, en om vast te stellen op welke wijze batenmanagement ingericht moet worden en welke belanghebbenden betrokken moeten worden. Vastlegging vindt plaats in een zogenaamde batenboom, waarin de relaties tussen baten en doelen tot uiting komen.

Batenmanagementstrategie

Het vaststellen van de wijze waarop batenmanagement wordt ingevuld. Cruciaal hierbij is de afstemming van de strategie met de context, vanwege de grote invloed van de context op batenmanagement. Het betreft de mate en wijze van het kwantificeren van de baten, de te gebruiken meetmethoden, ondersteuning van de meting door systemen en processen, de wijze waarop de baten gerealiseerd zullen worden en de verdeling van rollen en verantwoordelijkheden.

Eigenaarschap creëren

Het is essentieel om eigenaarschap en betrokkenheid te creëren voor de programmadoelen en bijbehorende baten, maar ook voor de batenmanagement strategie. Dit kan door de belangrijkste belanghebbenden in een vroeg stadium te betrekken bij batenmanagement. In de praktijk wordt ook betrokkenheid gecreeerd door koppeling van baten aan lijnbudgetten en prestatiebeloning en het laten samenvallen van (top)management van programma en lijnorganisatie.

Opleiden van batenmanagers

Batenmanagers zijn op dagelijkse basis verantwoordelijk voor het daadwerkelijk realiseren van de baten. Omdat batenmanagement een relatief nieuw begrip is, is het van belang dat deze mensen weten wat batenmanagement is en wat hun rol daarin is.

Tabel 1 – Batenmanagementstrategie

10 | de EDP-Auditor nummer 2 | 2007

Identificeren en plannen Identificeren en structuren

Baten worden geïdentificeerd op basis van doelen en de blauwdruk. Vervolgens worden zij gestructureerd zodat onderlinge samenhang en de samenhang met projecten en doelen helder wordt. Hierbij is het van belang dat ook negatieve baten worden geïdentificeerd en dat alle baten en veranderingen aan een eigenaar zijn gekoppeld. Deze stap wordt veelal iteratief uitgevoerd, waarbij men zowel van de doelen naar de blauwdruk ‘terugredeneert’, als vanuit de blauwdruk bepaald hoe veranderingen bijdragen aan de te realiseren doelen.

Uitwerken

Baten worden uitgewerkt waarbij zij zo meetbaar mogelijk worden gemaakt en worden gekoppeld aan prestatie-indicatoren om het volgen van de realisatie mogelijk te maken. Tijdens deze fase vinden ook de nulmeting en het vaststellen van doelwaarden plaats. Hierbij dienen aannames vastgelegd te worden en wordt eventueel een gevoeligheidsanalyse uitgevoerd.

Realisatie plannen

Vaststellen hoe de batenrealisatie in de tijd zal plaatsvinden. Hierbij dient rekening gehouden te worden met een aantal zaken, waaronder afhankelijkheden, programmaplanning, ‘quick wins’ en de aanlooptijd van veranderingen.

Tabel 2 - Identificeren en plannen Monitoren Volgen projectopleveringen

Volgen van de voortgang van alle projecten, activiteiten en baten. Dit is van belang, omdat alleen op pro-

en batenrealisatie

grammaniveau volledig zicht is op de onderlinge relatie van projecten, de voortgang van projecten en de uiteindelijke invloed hiervan op de realisatie van de baten. Op basis van deze informatie kan worden bijgestuurd richting Business Change Managers.

Samenhang van andere

Volgen van ontwikkelingen in andere managementprocessen binnen het programma, zoals bijvoorbeeld

processen bewaken

stakeholder management en issue management. Zo dient bijvoorbeeld geëscaleerd te worden wanneer de (verwachte) batenrealisatie buiten bepaalde toleranties raakt of dreigt te raken. Formeel ontstaat dan een risico of een issue, het programmamanagement moet dan op basis van de issue/risico-log besluiten of actie noodzakelijk is. Zij kan dit ook doen op basis van andere issues/risico’s. In het BM-model vindt dan de overstap plaats naar de volgende fase, om te kijken hoe het er nu voor staat, waarna wordt beoordeeld hoe men verder moet gaan (Batenmangementstrategie en identificeren en plannen).

Tabel 3 - Monitoren

Net als de vorige fase zal ook de fase identificeren en plannen tijdens het opstarten van het programma veel tijd kosten, omdat voor het gehele programma batenprofielen uitgewerkt moeten worden. Tijdens de uitvoering van het programma zal in deze fase de nadruk liggen op het opnemen (en identificeren) van additionele baten en het bijwerken van batenprofielen en planning op basis van voortschrijdend inzicht en nieuwe ontwikkelingen. In tabel 2 zijn de activiteiten in de fase ‘Identificeren en plannen’ opgenomen met een korte toelichting. Monitoren [2c] De fase Monitoren betreft het op programmaniveau volgen van de voortgang van projecten, de realisatie van baten en de invloed van issues/risico’s op de batenrealisatie. Dit is een continu proces en betreft eigenlijk het dagelijkse management van de baten op programmaniveau, waarbij de voortgang van realisatie en ontwikkelingen die van invloed zijn op de realisatie in de gaten worden gehouden. Ook vindt vanuit dit proces eventueel escalatie plaats wanneer toleranties van de planningen voor batenrealisatie worden

overschreden of wanneer overschrijding wordt voorzien. In tabel 3 zijn de activiteiten in de fase ‘Monitoren’ opgenomen met een korte toelichting. Evalueren & reviewen [2d] Het doel van de fase Evalueren en reviewen is het vaststellen van de voortgang van de batenrealisatie en de wijze van batenmanagement. De evaluatie wordt uitgevoerd door de betrokkenen zelf en richt zich met name op het proces van batenmanagement, het vieren van successen en het onderkennen van eventuele verbeteringen ter verbetering van de realisatie van baten. De evaluatie heeft dus duidelijk een ander doel en wordt anders uitgevoerd dan de review. De review richt zich met name op de beoordeling van de voortgang van batenrealisatie en in mindere mate op het proces batenmanagement. Om belangenverstrengeling tegen te gaan dient de review uitgevoerd te worden door niet direct betrokkenen. De expliciete aandacht voor beide activiteiten in deze fase van het proces hangt samen met het belang dat wordt gehecht aan het vaststellen van de werkwijze van batenmanagement en de rol die de context daarin speelt. Dit is van

11 | de EDP-Auditor nummer 2 | 2007

Artikel Evalueren en reviewen Evaluatie

De evaluatie wordt door betrokkenen uitgevoerd en is voornamelijk een evaluatie van het proces van Batenmanagement. Dit kan ook een goede setting zijn voor het identificeren van andere kansen of verbetermogelijkheden.

Batenreview

Beoordelen van voortgang van batenrealisatie. Uitvoering geschiedt door niet direct betrokkenen. Gekeken wordt naar o.a. de realisatie van baten, redenen voor afwijkingen van planning, het realiseren van niet geïdentificeerde baten (zowel positieve als negatieve baten) en het beoordelen van de effectiviteit van de gekozen batenmanagement strategie.

Tabel 4 - Evalueren en reviewen Batenrealisatie Verfijnen batenprofielen

Verfijnen van de batenprofielen op basis van nieuwe informatie, die tijdens het ‘identificeren en plannen’ nog niet voorhanden was, zoals informatie over de voortgang van het programma of andere veranderingen in de organisatie. Afwijkingen buiten de gestelde toleranties dienen te worden geëscaleerd.

Meting

Meten van de voortgang van batenrealisatie vanuit het oogpunt van sturen op de batenrealisatie. Voor meting kan gebruik worden gemaakt van bestaande rapportages of er kunnen ‘nieuwe’ metingen worden uitgevoerd. Keuzes hieromtrent zijn vastgelegd in de Batenmanagement Strategie.

‘Sturen’ van projecten

Zekerstellen dat met het uiteindelijke projectresultaat de baten daadwerkelijk bereikt kunnen worden. De geschiktheid van projectopleveringen bepaald als het ware het plafond voor de mogelijk batenrealisatie. Belangrijk in dit kader is dat projectresultaten goed zijn afgestemd op de baten die ermee gerealiseerd dienen te worden en het kwaliteitsmanagement (‘fitness for purpose’) binnen de projecten [OGC03]. De gebruikersorganisatie (waartoe de BCM behoort) zou als klant/gebruiker van het project hierin moeten bijdragen.

Transitiemanagement

Managen van de overdracht van projectresultaat vanuit het project op de lijn. Een transitieplan is hierbij belangrijk om te waarborgen dat de verandering op de juiste wijze wordt geïmplementeerd en ‘business as usual’ wordt, daarnaast dient ervoor zorg gedragen te worden dat tijdens deze transitie de normale bedrijfsvoering wordt doorgezet [HEDE05]. Naast transitiemanagement is de omgang met cultuurwijzigingen en de consequenties voor individuele werknemers van belang.

Sturen van cultuurwijzigingen

De Business Change Manager zal als verantwoordelijke veelal niet zelf de veranderingen doorvoeren, hij

en batenrealisatie

dient wel de operationeel verantwoordelijken voor de verandering te faciliteren. Daarnaast moet hij hen ook bijsturen, deels op basis van de uit meting van batenrealisatie voortkomende resultaten.

Tabel 5 - Batenrealisatie

belang omdat batenmanagement nog een relatief nieuw proces is voor veel organisaties, waardoor het zinvol is om een strategie toe te passen van continue verbetering op basis van de lessen uit de praktijk. De fase Evalueren en reviewen wordt periodiek uitgevoerd, in ieder geval bij tranche-overgangen. Bij programma-afsluiting wordt een uitgebreide versie uitgevoerd, waarbij ook wordt gekeken naar lessen voor de toekomst. In tabel 4 zijn de activiteiten in de fase ‘Evalueren en reviewen’ opgenomen met een korte toelichting. Batenrealisatie [3] Het laatste onderdeel van het model is de fase ‘Batenrealisatie’. Doel van deze fase is het daadwerkelijk (doen) realiseren van de baten in de organisatie met de projectopleveringen. Dit gebeurt op organisatieniveau door de Business Change Managers. De activiteiten in deze fase betreffen voornamelijk (verander)management.

De fase Batenrealisatie is een continu proces en omvat de operationele sturing op het bereiken van de baten. De activiteiten in deze fase worden uitgevoerd door de business change managers en vereisen een hoge mate van samenwerking met de projectleiders en de organisatie om te zorgen dat de verandering daadwerkelijk de beoogde voordelen gaat opleveren. Dit vereist inzicht in de wijze waarop de verandering zal leiden tot voordeel, maar ook in de wijze waarop veranderingen doorgevoerd moeten worden. Er bestaat een verschil tussen de meting van de batenrealisatie in deze fase en de fase Evalueren en reviewen. De meting is het op dagelijkse basis vaststellen van de voortgang van de batenrealisatie binnen een specifiek onderdeel door de lijn en onder verantwoordelijkheid van de business change manager. Deze meting vindt bij voorkeur plaats in indicatoren die al door de lijn worden gemeten in het kader van kpi’s. Deze informatie vormt de basis voor de sturing binnen de fase batenrealisatie en de evaluatie in de fase Evalueren en reviewen. In de fase Evalueren en reviewen heeft men dan zicht

12 | de EDP-Auditor nummer 2 | 2007

op de batenrealisatie binnen het gehele programma, dus ook in andere clusters van baten, zoals bijvoorbeeld andere afdelingen of andere onderdelen van het programma. De review, die tijdens de fase Evalueren en reviewen wordt uitgevoerd, betreft een beoordeling van de batenrealisatie door een onafhankelijke partij, in plaats van door de lijn zelf. In tabel 5 zijn de activiteiten in de fase ‘Batenrealisatie’ opgenomen met een korte toelichting. Cyclisch karakter en planning van de cyclus Gedurende de looptijd van een programma vinden ontwikkelingen plaats, niet alleen binnen het programma, maar ook in de organisatie en daarbuiten. Dit vereist een periodieke bijstelling van de beoogde baten, maar ook van de wijze waarop batenmanagement is vormgegeven. Dit geschiedt door de managementcyclus te doorlopen. De timing hiervan wordt afgestemd op het programma (bijvoorbeeld op de tranches). Tevens dient proactief te worden ingespeeld op wijzigingen binnen de organisatie en daarbuiten. Een voorbeeld van een goed voorspelbare wijziging binnen de organisatie is de jaarlijkse planning en control cyclus. Binnen batenmanagement zou men moeten beoordelen welke invloed bepaalde beslissingen kunnen hebben op de batenrealisatie en daarmee op het gehele project. Andere wijzigingen zijn minder goed voorspelbaar, zij zullen dan tot issues binnen het programma leiden. Wanneer een issue of een combinatie van issues belangrijk genoeg is, kan dit ook leiden tot het opnieuw doorlopen van de managementcyclus. De managementcyclus voor batenmanagement zal op enig moment worden stopgezet als onderdeel van het programma. Dit kan gebeuren bij de beëindiging van het programma. Eventueel kan het batenmanagement voor delen van het programma al eerder worden beëindigd. Het kan zijn dat de baten dan al stabiel gerealiseerd zijn, ofwel heeft verbetering aantoonbaar plaatsgevonden en er is geen terugval te bemerken. In dat geval hoeft een baat niet meer gevolgd te worden in het kader van die verandering. Het kan ook voorkomen dat baten nog niet gerealiseerd zijn. In dat geval kan batenmanagement worden overgedragen aan de lijn. Afhankelijk van de inrichting van batenmanagement heeft dit bepaalde consequenties. In ieder geval zal de baat opgenomen moeten worden in de prestatiemeting en rapportages van de lijn, voorzover die daar nog niet in voorkwam. Eventueel zal ook de meting overgedragen moeten worden naar de staande organisatie. Gefaseerde invoering Batenmanagement is niet nieuw, noch is het een geïsoleerd proces. Het daarom ook goed mogelijk dat het geschetste model voor batenmanagement herkenbare elementen en activiteiten bevat, die een organisatie mogelijk al jaren uitvoert. Schroom niet om te overwegen om deze te gebruiken voor batenmanagement. Immers, batenmanagement gaat uiteindelijk om het realiseren van verandering en het sturen

op de beoogde baten. Om dit te bereiken is een pragmatische aanpak waarschijnlijk succesvoller dan een wetenschappelijke exercitie. Wanneer bijvoorbeeld gebruik gemaakt kan worden van een reeds bestaand systeem voor prestatiemeting binnen de organisatie dat ook gebruikt wordt in de (maandelijkse) planning en control cyclus, dan is dat het zeker het overwegen waard om dat systeem te gebruiken. Naast het gebruik van reeds bestaande elementen is het zinvol om een gefaseerde invoering te overwegen. Niet alleen omdat batenmanagement in zijn ultieme vorm een grote verandering kan betekenen voor de organisatie, maar ook omdat het een leerproces betreft; een organisatie moet bijvoorbeeld leren om baten te identificeren en hun realisatie te plannen. Er is geen vast recept voor de invoering van batenmanagement. Maar bij de overweging hoe men het gefaseerd wil invoeren is het zinvol om in ieder geval de fasering van de volgende activiteiten mee te nemen: • Vooraf baten bepalen. • Achteraf de realisatie meten. • Continu monitoren. • Tussentijds de baten bijstellen. • Integrale sturing. De betrokkenheid van de IT-auditor Regelmatig voeren IT-auditors onderzoek uit naar de beheersing van een project of programma [DONK02]. Als onderdeel hiervan zal batenmanagement een steeds belangrijker onderdeel gaan uitmaken van de algemene project- en programmabeheersing. Daarnaast is het mogelijk dat de IT-auditor ingeschakeld wordt om specifiek het proces batenmanagement of onderdelen daarvan te beoordelen, zoals het beoordelen business case of in hoeverre de beoogde batenrealisatie realistisch is, het uitvoeren van tussentijdse of afsluitende reviews op de (verwachte) realisatie van baten of het ondersteunen bij het bieden van transparantie inzake de geplande, gerealiseerde en verwachte batenrealisatie. Met betrekking tot advisering is vanwege zijn specifieke kennis van IT en processen ook een rol weggelegd voor de IT-auditor. Hij zal worden ingeschakeld om te adviseren bij het uitwerken en plannen van de baten en de periodieke evaluatie en bijstelling. Vanuit zijn achtergrond en ervaring zal de IT-auditor namelijk een tegenwicht bieden voor al te optimistische inschatting van baten en zal hij de gevolgen van veranderingen voor de baten inschatten. Tevens speelt hij een belangrijke rol in het voorzien van valkuilen bij het realiseren van baten, die voortkomen uit karakteristieken van de organisatie en van de baten. Naast deze activiteiten die specifiek gericht zijn op batenmanagement krijgt de IT-auditor ook in andere opdrachten te maken met aspecten van batenmanagement.

13 | de EDP-Auditor nummer 2 | 2007

Artikel Tot slot Batenmanagement staat bij veel organisaties nog in de kinderschoenen of is helemaal niet vormgegeven. Het in dit artikel gepresenteerde model biedt organisaties een handreiking om zich te ontwikkelen op dit belangrijke gebied en om grip te krijgen op batenmanagement. Krantenkoppen over projecten die niks opleveren zullen dan hopelijk slechts sporadisch voorkomen.

Literatuuroverzicht [DONK02] Donkers J.A.M. & Oudega, R. Van projectaudit tot projectcontrol, Compact 2002/4, p. 15-18. Tevens online beschikbaar via www.compact.nl. [DONK05] Donkers, J.A.M., Oudega, R. & van der Meijs, S., Commitments: het realiseren van de baten van projecten, Compact 2005/4, p. 3-10. Tevens online beschikbaar via www.compact.nl. [HEDE05] Hedeman, B. & Vis van Heemst, G., ‘Programmamanagement op basis van MSP – een introductie’,Van Haren Publishing, Zaltbommel, 2005.

Batenmanagement heeft dus alles te maken met beheersing van de inzet van IT voor een optimaal resultaat bij verandering, daarom moet de IT-auditor hierin een belangrijke rol spelen, zowel in advisering als in beoordeling. De auteur is dan ook van mening dat een gedegen kennis van batenmanagement van groot belang is voor de IT-auditor om zijn werk te kunnen uitvoeren en om ook zijn rol als sparringpartner van het hogere management verder invulling te kunnen geven.

[JOHN02] Johnson, G. & Scholes, K., ‘Exploring Corporate Strategy’, sixth edition, Prentice Hall: England, 2002. [MEIJ05] van der Meijs, S., Grip op Benefits Management – De inrichting van Benefits Management binnen programma’s, afstudeerscriptie Technische Bedrijfskunde, Universiteit Twente, 2005. [OGC03] OGC - Office of Government Commerce, ‘Managing Succesful Programmes’, second edition, TSO: London, 2003. [REME99] Remenyi, D., ‘The elusive nature of delivering benefits from IT investment’, Electronic Journal of Information Systems Evaluation 3/1, 1999. [SKIN04] Skinner, D., ‘Primary and secondary barriers to the evaluation of change’, Evaluation 10/2, p.135-154, 2004. [WARD04] Ward, J., Murray, P. & Daniel, E., ‘Benefits Management – best practice guidelines’, document number: ISRC-BM-200401, Information Systems Research Centre, Cranfield School of Management, 2004.

Artikel

Het toetsen van architectuur bij de Rabobank Ervaringen en aanbevelingen vanuit de praktijk Hans Bielok en Arjan Uittenbogerd

Bij veel bedrijven is het belang dat wordt gehecht aan de architectuur van de informatievoorziening de afgelopen jaren sterk toegenomen. Dit komt omdat bedrijven voor de ondersteuning van hun bedrijfsprocessen te maken hebben met een complex ICT-landschap, waarvan het beheer lastig is en dat vaak ook hoge kosten met zich meebrengt. Een goed doordachte architectuur met duidelijke regelgeving die in de praktijk strak wordt nageleefd is één van de hulpmiddelen om de complexiteit binnen de perken te houden. Maar dat niet alleen. De architectuur wordt ook gezien als een goed hulpmiddel voor de afstemming van businessen ICT-doelstellingen op langere termijn.

Beide auteurs zijn werkzaam binnen het directoraat Groep ICT van

V

oor de uitvoering van een architectuurreview zijn inmiddels al verschillende benaderingen beschreven [Smil05]. Toch lijkt in de praktijk de architectuur nog niet vaak getoetst te worden door IT-auditors. Door de toenemende aandacht voor en belang van architectuur is de kans groot dat een IT-auditor hier mee te maken gaat krijgen, als object van toetsing of als norm in het geval dat architectuur randvoorwaarden geeft voor het ontwikkelen en beheren van systemen. Binnen de Rabobank wordt architectuur gezien als belangrijk hulpmiddel bij het ontwikkelen en beheren van informatiesystemen. Sinds eind jaren ‘80 wordt gewerkt onder architectuur en architectuurprocessen en -producten zijn in samenhang met andere ICT-processen en -producten beschreven. In 2004 is voor het eerst een meting uitgevoerd naar de volwassenheid van de architectuurprocessen. Hierbij werd gebruik gemaakt van het Architecture Maturity Model (AMM). In 2006 is een vervolg-assessment uitgevoerd. Dit keer werd het AMM-assessment uitgebreid met een inhoudelijke toets van de architectuurproducten. Met name deze laatste toets wordt in dit artikel toegelicht. We beschrijven hoe dit onderzoek is uitgevoerd, de resultaten ervan en wat de toegevoegde waarde was voor de Rabobank. Ten slotte geven we een aantal algemene aanbevelingen voor het toetsen van architectuurproducten. De structuur van het artikel is als volgt: • In deel I beschrijven we het begrip architectuur en introduceren we een globaal model met aspecten die voor architectuur van belang zijn. Op basis van dit model wordt een aantal architectuurproducten van de Rabobank beschreven die voor de toets van belang waren. • In deel II zijn de opzet en uitvoering van de toets beschreven. • Deel III bevat de resultaten van de toets en algemene aanbevelingen voor het toetsen van architectuur.

Rabobank Nederland. J.C.H. (Hans) Bielok RE (l) is Control & Compliance Officer bij de afdeling ICT Beleid en Architectuur. A.C.A. (Arjan) Uittenbogerd EMITA (r) is informatiemanager bij de afdeling Programmaen Informatiemanagement. Hij is onlangs afgestudeerd aan de postdoctorale opleiding EDP-auditing van de Erasmus Universiteit Rotterdam

Architectuur (deel I) Om de resultaten van de toets te kunnen plaatsen is het van belang om een beeld te hebben van het begrip ‘architectuur’ en hoe hier binnen de Rabobank mee omgegaan wordt.

(EURAC). Ter afsluiting van deze opleiding heeft hij een referaat vervaardigd met de titel ‘Het toetsen van informatiearchitectuur: een praktijk-

Begripsomschrijving van architectuur

voorbeeld’.

Er zijn verschillende en uiteenlopende definities van het 17 | de EDP-Auditor nummer 2 | 2007

Artikel begrip ‘architectuur’. Dit is niet vreemd omdat het architectuurdenken nog relatief jong is en de doelstellingen die ermee nagestreefd worden zeer divers zijn. In de literatuur kom je nieuwe begrippen tegen zoals ‘informatiearchitectuur’, ‘ICT-architectuur’, ‘digitale architectuur’ en ‘beveiligingsarchitectuur’. In het onderzoek en dit artikel zijn we uitgegaan van de definitie zoals deze binnen de Rabobank gehanteerd wordt. Daarnaast hebben we in dit artikel ook een aantal aspecten uit een aantal andere definities in een eenvoudig model gezet om een meer algemeen beeld van architectuur te geven. Een aantal architectuurproducten van de Rabobank wordt aan de hand van dit model toegelicht. De inrichting van architectuur binnen de Rabobank is gebaseerd op Dynamische Architectuur (DYA) van Sogeti [Berg04], waarvan in een vorig nummer van de EDP-Auditor een boekbeschrijving is gepubliceerd, en Tapscott [Taps93]. De volgende definitie wordt gehanteerd: ‘Een consistent geheel van principes en modellen dat richting geeft aan ontwerp en realisatie van de processen, organisatorische inrichting, informatievoorziening en technische infrastructuur van een organisatie.’ [Wagt02] De doelstelling ervan is als volgt geformuleerd: ‘De architectuur kan gezien worden als het geheel van afspraken dat ervoor zorgt dat individuele ontwikkelingen aansluiten op elkaar en op het overkoepelende bedrijfsbelang. Door het stellen van concrete kaders, is duidelijk waar individuele projecten zich aan te houden hebben en waar ze vrijheid in hebben. De producten van de projecten die zich aan de architectuur houden passen in het groter geheel.’ [Fort04] De definitie onderkent verschillende views (processen, organisatorische inrichting, informatievoorziening en technische infrastructuur) en verschillende manieren van uitwerken (principes en modellen). Hiernaast wordt binnen de Rabobank ook onderscheid gemaakt in het niveau binnen de organisatie (Rabobankgroep, Rabobanklabel en domeinen binnen het Rabobanklabel). Bij de doelstelling wordt onderscheid gemaakt tussen het aansluiten van ontwikkelingen op elkaar en op het bedrijfsbelang. Tevens worden er vanuit de samenhang kaders gesteld voor individuele projecten. Zonder al te veel in te gaan op andere definities van architectuur hebben we getracht om op basis van een aantal daarvan een model te maken om zo het begrip ‘architectuur’ vanuit een breder perspectief (dan uitsluitend dat van de Rabobank) te bezien. Op basis van de definities hebben we de volgende aspecten onderkend: • Niveau in de organisatie: Is de scope van de architectuur de hele organisatie of een specifiek onderdeel? • Manier van uitwerken: Wordt architectuur beschreven in de vorm van principes, modellen, componenten, regels? • Views: Vanuit welke gezichtspunten wordt de architectuur

uitgewerkt? Veel voorkomende gezichtspunten zijn business, proces, informatie, applicatie en technologie. • Tijdshorizon: Beschrijft de architectuur een bepaald moment in de toekomst en, zo ja, welk moment of de huidige situatie? Gartner heeft hiervoor de begrippen ‘tomorrow architecture’ (3-5 jaar), ‘next-minute architecture’ (volgend jaar) en ‘today architecture’ (huidige situatie) geïntroduceerd. [Ross99] • Overig: Naast bovenstaande aspecten zijn er nog enkele andere die we voor de eenvoud van het model onder het kopje ‘overig’ geschaard hebben, hoewel ze zeer divers zijn. Dit betreft planning, kosten, ethische aspecten, gevoelswaarde. et cetera. In onderstaande figuur is dit schematisch weergegeven:

!SPECTENBIJARCHITECTUUR ARCHITECTUUR

.IVEAU )N ORGANISATIE

-ANIERVAN UITWERKEN

6IEWS

4IJDS HORIZON

OVERIG

%NTERPRISE

0RINCIPES

"USINESS

4OMORROW

0LANNING

/NDERDEEL

-ODELLEN

0ROCESSEN

.EXTMINUTE

%THISCHEASP

3AMENHANG

)NFORMATIE

4ODAY

'EVOELS WAARDE

#OMPONENTEN

!PPLICATIE

&RAMEWORKS

4ECHNOLOGIE

2EGELS

"ELEIDSMODEL /NTWIKKEL "EHEER

Architectuur binnen de Rabobank

Om de resultaten van de uitgevoerde toets te kunnen plaatsen is het van belang om een beeld te hebben van de Rabobank en de manier waarop binnen de Rabobank wordt omgegaan met architectuur. Hiervoor beschrijven we de architectuurproducten die voor de toets van belang waren aan de hand van het voorgaande model. Dit geeft een beeld van hoe we intern tegen architectuur aankijken. Om ook een extern beeld te krijgen zijn tevens de resultaten van een begin 2006 uitgevoerd AMM-assessment beschreven. Dit assessment was gericht op architectuurprocessen en had dus een andere invalshoek. De Rabobankgroep omvat naast de Aangesloten Banken en Rabobank Nederland ook gelieerde instellingen, zoals Robeco en De Lage Landen. Rabobank Nederland is onder andere onderverdeeld in een wholesale- en internationaal retailbedrijf en een binnenlands retailbedrijf. De ICT-functie is voor een belangrijk deel gecentraliseerd onder de naam Groep ICT. De rol en toepassing van architectuur is voor de verschillende businesseenheden wisselend en divers. Voor het binnenlands retailbedrijf bijvoorbeeld wordt de architectuur in

18 | de EDP-Auditor nummer 2 | 2007

!RCHITECTUUR2ABOBANK +LANT )NTERACTIE LAAG

"ANKHAL

)NTERNET

-EDEWERKER

%XTRANET

3PRAAK

%XTERNEPARTIJ 0OST

)NTRANET

/VERIGE KANALEN

4OEGANG

-ULTI CHANNEL

-ARKT $ISTRIBUTIE LAAG

6ERKOOP

+LANT

+LANTENSERVICES

+LANTOVEREENKOMST

-ULTI LABEL

,AGEN

0RODUCTOPDRACHTBEWAKING 0RODUCTPAKKETOVEREENKOMST "ELEGGEN RETAIL

0RODUCT LAAG

&INANCIEREN

Er zijn binnen Groep ICT aparte afdelingen met een eigen verantwoordelijkheid voor architectuur: • ICT Beleid en Architectuur (IBA) voor de overall architectuur. • Programma- en Informatiemanagement (PIM) voor de domeinarchitecturen. • Systeemrealisatie is gericht op constructieprincipes. • Beheer & Exploitatie op inrichting van de fysieke infrastructuur.

Voor de afbakening en inrichting van applicatieve domeinen is een lagenmodel uitgewerkt. Dit bevat een aantal logische lagen en per laag een aantal logische domeinen. Deze domeinen zijn verder uitgewerkt in domeinarchitecturen. Binnen de domeinen worden onder andere ICT-componenten uitgewerkt. Zie Figuur achitectuur Rabobank.

3PAREN

De architectuurfunctie is binnen Groep ICT verder uitgewerkt dan bij de businesseenheden. Dit uit zich in het aantal personen dat hieraan werkt, binnen Groep ICT meer dan honderd en bij de businesseenheden een tiental, en ook in de mate waarin processen en producten gedefinieerd en gestandaardiseerd zijn. De businesseenheden hebben soms zelf architecten in dienst, maar maken meestal gebruik van diensten van Groep ICT.

ken in de Architectuur Rabobank zijn grotendeels overgenomen in het toetsingskader dat voor de inhoudelijke toets van de domeinarchitecturen en de PSA’s is opgesteld.

"ETALEN

aparte projecten over de volle breedte vooraf uitgewerkt; voor het wholesale- en internationaal retailbedrijf gebeurt dit op het moment dat er ontwikkelingen zijn waarvoor het noodzakelijk is dat er ook een architectuurvisie is. Op dat moment wordt de architectuur voor het specifieke onderdeel binnen het project uitgewerkt. De architectuurtoets is uitgevoerd voor het binnenlands retailbedrijf. Dit is het onderdeel van waaruit de massamarkt wordt bediend.

&INANCIpLEOPDRACHTBEWAKING "OOKINANYBOOK $ATA

/RGANISATIE LAAG

&INANCIpLE !DMINISTRATIE

"ESTURING

&ACILITAIR

-ANAGEMENT ONDERSTEUNING

$OMEINEN

Voor de architectuurtoets was het Handboek Architectuur van belang, evenals de volgende architectuurproducten: • ICT-strategie Rabobank. • Architectuur Rabobank. • Procesarchitectuur Rabobank. • Domeinarchitecturen. • Project Start Architecturen (PSA’s). ICT-strategie Rabobank

De ICT-strategie Rabobank 2004-2008 bevat de doelstellingen en strategische afspraken1 op ICT-gebied voor het merk Rabobank en sluit aan op de ICT-strategie van de Rabobankgroep. De businessview van architectuur maakt deel uit van de ICT-strategie. Dit onderdeel is beperkt uitgewerkt. De afspraken zijn de basis geweest voor het toetsingskader dat voor de inhoudelijke toets van de Architectuur Rabobank is opgesteld. Architectuur Rabobank

Het doel van de Architectuur Rabobank is het afbakenen van applicatieve domeinen en (verander)programma’s en het beschrijven van afspraken voor de uitwerking van domeinen, PSA’s, overall constructieprincipes, technische applicatiemodellen, het inrichten van de technische infrastructuur, beveiligingmechanismen en beheerprocessen en –hulpmiddelen. De Architectuur Rabobank verdiept de afspraken uit de ICT-strategie Rabobank en bevat een nadere uitwerking van de Groepsarchitectuur voor het Rabobanklabel. De afspra-

Procesarchitectuur Rabobank

De Procesarchitectuur Rabobank beschrijft de bedrijfsprocessen en hun onderlinge samenhang. De processen zijn op een generiek niveau beschreven en uitgewerkt in een procesmodel. De Procesarchitectuur vormt een kader voor de ontwikkeling en het gebruik van processen binnen de Rabobank. Ten tijde van het onderzoek werd de Procesarchitectuur herzien. Toch zijn een aantal belangrijke afspraken in de Procesarchitectuur, waarvan duidelijk was dat ze nog steeds actueel waren, opgenomen in het toetsingskader voor de domeinarchitecturen en de PSA’s. Domeinarchitectuur

De domeinarchitectuur beschrijft hoe de domeinoverstijgende architectuurafspraken binnen het domein toegepast moeten worden. Hierbij wordt beschreven welke componenten ontwikkeld worden en hoe dit ontwikkelen gebeurt. Dit gebeurt op basis van afspraken over functionele ordening, technische constructieprincipes, informatiebeveiligingsvoorschriften, afspraken over procesinrichting, etc. De migratieparagraaf in de domeinarchitectuur is mede input voor programma’s en projecten waarin deze componenten ontwikkeld worden. De uitwerking van een domeinarchitectuur verschilt per domein. Er is wel een sjabloon dat gericht is op de uitwerking van de onderdelen ‘business’, ‘proces’, ‘informatie’,

19 | de EDP-Auditor nummer 2 | 2007

Artikel ‘applicatie’ en ‘technologie’, maar de manier waarop dit gebeurt, de diepgang en de tijdshorizon zijn per domein verschillend. Project Start Architectuur (PSA)

Een PSA is nodig omdat er vele architectuurdocumenten en -afspraken zijn en het voor veel projectmedewerkers niet te overzien is wat en op welke manier ze dit moeten toepassen. Voor ieder project moet een PSA gemaakt worden. De aspecten en diepgang van uitwerking zijn afhankelijk van het project, de diepgang van uitwerking van de domeinarchitectuur en de impact op de architectuur van de wijziging die het project beoogt te realiseren. Een PSA bevat een selectie van verschillende onderdelen uit andere architectuurdocumenten en een beschrijving van de manier waarop dit binnen het project toegepast moet worden. De uitwerking ervan is divers. Ook voor de PSA bestaat een sjabloon met de onderdelen ‘business’, ‘proces’, ‘informatie’, ‘applicatie’, ‘technologie’ en ‘migratie’, maar de manier waarop PSA’s uitgewerkt worden, de diepgang en de tijdshorizon zijn verschillend. Handboek Architectuur

Het Handboek ICT-architectuur is geen architectuurproduct, maar is van belang voor de toets omdat het de beschrijving bevat van het architectuurproces binnen de Rabobank. Ook wordt de samenhang beschreven van de architectuurproducten, zoals de Groepsarchitectuur, de Architectuur Rabobank, de domeinarchitecturen en de PSA’s. Daarnaast zijn architectuurdisciplines en -rollen en, onder het kopje ‘Architectuur Governance’, de besluitvorming en de afwijkingsprocedure uitgewerkt. Relatie tussen deze architectuurproducten

In bovenstaande paragrafen is een aantal architectuurdocumenten beschreven en gerelateerd aan de eerder beschreven algemene aspecten van architectuur. In de tabel Scope Architectuurproducten van de Rabobank worden de relaties samengevat. 

3COPEARCHITECTUURPRODUCTENVANDE2ABOBANK NIVEAU

MANIERVAN UITWERKEN MODELLEN SAMENHANG REGELS

VIEWS

TIJDS HORIZON

OVERIG

) ! 4

TOMORROW

GEEN MIGRATIE

'ROEPS ARCHITECTUUR

2ABOBANK GROEP

)#4 STRATEGIE

2ABOBANK LABEL

REGELS

!RCHITECTUUR 2ABOBANK

2ABOBANK LABEL

0ROCES ARCHITECTUUR

2ABOBANK LABEL

MODELLEN ) ! 4 SAMENHANG REGELS PROCES 0 DECOMPOSITIE

$OMEIN ARCHITECTUUR

DOMEINEN PROGRAMMA

MODELLEN " 0 COMPONENTEN ) ! 4

0ROJECT3TART !RCHITECTUUR

PROJECT

TOELICHTING VERDIEPING

0ROCES

"

TOMORROW

GEEN MIGRATIE

TOMORROW

GEEN MIGRATIE

TOMORROW

GEEN MIGRATIE

0ROCES

" 0 ) ! 4

0ROCES

0ROCES

WISSELEND

BEVATTEVENS MIGRATIE

TOMORROW NEXTMINUTE TODAY

BEVATTEVENS MIGRATIE

0ROCES

0ROCES

AMM-assessment

De ervaringen binnen de Rabobank met betrekking tot het toetsen van architectuur hebben vooral betrekking op de procesmatige kant. Hiervoor zijn de afgelopen jaren voor verschillende onderdelen van de Rabobank Groep AMMmetingen uitgevoerd. AMM is ontwikkeld door Sogeti in samenwerking met onder meer de Rabobank. AMM onderzoekt de kwaliteit van de architectuurprocessen en onderkent vergelijkbaar met CMMI en ITSCMM2 vijf volwassenheidsniveaus (levels). Bij het assessment dat begin 2006 is uitgevoerd zijn in samenwerking met Sogeti de levels van AMM in overeenstemming gebracht met CMMI en ITSCMM om zo in de rapportage naar het management een beeld te kunnen geven dat aansluit op de vaker toegepaste en daardoor meer bekende CMMI-volwassenheidsniveaus. Het AMM-ambitieniveau van de Rabobank is voor de periode tot 2008 gericht op het tweede (‘repeatable’) en derde level (‘defined’). Voor de uitvoering van het assessment werden de architectuurprocessen onderzocht binnen drie geselecteerde domeinen: Verkoop, Sparen en Besturing. Bij deze keuze is rekening gehouden met spreiding over de lagen uit de architectuur, verschillen in aansturing van programma’s binnen de domeinen en verschillen in de inzet van pakketten versus maatwerk. Het resultaat van het AMM-assessment was, dat level-2 nog niet volledig is bereikt. De belangrijkste aanbevelingen komen er op neer dat gezorgd dient te worden voor: • transparantie en borging van de architectuurprocessen, met expliciete structuren, checklists en sjablonen; • meer betrokkenheid van de business. De toets (deel II) In het eerste deel is het begrip ‘architectuur’ beschreven en hebben we hier een model voor geschetst. Daarnaast is een aantal producten beschreven waarin architectuur binnen de Rabobank is uitgewerkt. In dit tweede deel beschrijven we de opdracht en aanpak van de inhoudelijke toets die begin 2006 uitgevoerd is en waarbij de beschreven architectuurproducten als norm en object van toetsing gebruikt zijn. De opdracht

Voor het opstellen van de opdrachtformulering is uitgegaan van de architectuurprocessen en -producten die daarbij opgeleverd worden. Binnen de Rabobank wordt de volgende keten gehanteerd: 1. Voeren strategische dialoog.

Dit betreft het afstemmen van businessdoelstellingen tussen verschillende businesseenheden en het afstemmen van de ICT-doelstellingen op de business doelstellingen. Resultaten hiervan worden o.a. vastgelegd in de vorm van afspraken in de ICT-strategie en de definities van programma’s.

20 | de EDP-Auditor nummer 2 | 2007

2. Opstellen/actualiseren architectuur.

Dit betreft het uitwerken van de afspraken uit de ICT-strategie in de architectuur Rabobank en domeinarchitecturen als architectuurkader voor programma’s. Voor de uitwerking van domeinarchitecturen kan hierbij nog een verdieping van de business doelstellingen plaatsvinden. 3. Opstellen PSA.

De bovenstaande processen hebben betrekking op het opstellen en inhoudelijk uitwerken van architectuur. Het proces ‘opstellen PSA’ heeft betrekking op het toepassen van architectuur binnen projecten. In dit architectuurproces worden aan het begin van een project architecturale kaders voor het project opgesteld. Hierbij wordt de architectuur niet verder uitgewerkt maar wordt voor een concreet project beschreven welke architectuur van toepassing is en hoe deze toegepast moet worden. 4. Informatiseren onder architectuur.

Dit is eigenlijk meer een verzamelbegrip dan een proces en betreft het ontwikkelen, implementeren en beheren van ICT-toepassingen (pakketten en zelfbouw) onder architectuur. Waar het opstellen van de PSA in de opstartfase van het project zit, wordt als onderdeel van dit proces getoetst op naleving van de architectuur tijdens de uitvoering van het project. Om de omvang van de toets te beperken is als uitgangspunt gehanteerd dat de ICT-strategie invulling geeft aan de ICTbehoeften van de Rabobank, zoals beschreven in de diverse businessplannen. Deze relatie is niet getoetst. Bij de keuze hiervoor speelde mee dat dit de eerste keer is dat we een dergelijke toets uitvoeren en we hierbij ook eerst ervaring op willen doen met de inrichting van dergelijke inhoudelijke architectuurtoetsen. De opdracht is als volgt geformuleerd: ‘Toets binnen Groep ICT met betrekking tot het Architectuurproces of de opgeleverde producten actueel zijn, of de inhoud voldoet aan de vastgelegde afspraken en of de onderdelen consistent zijn en onderling op elkaar aansluiten.’ [Biel06] Aanvullend hierop is gevraagd om: • Een overzicht van de beschikbare domeinarchitecturen en hun actualiteit op te stellen. • Te toetsen of voldaan wordt aan de eis of voor ieder project een PSA gemaakt wordt. • Aanbevelingen te doen voor verbetering van eventuele gebreken. Vanuit het oogpunt van haalbaarheid is ervoor gekozen om niet alle domeinen en PSA’s te toetsen maar hierin een keuze te maken. In ons streven naar aansluiting op het AMMassessment zijn bij beide onderzoeken dezelfde drie domeinen getoetst. De aanpak

De architectuurtoets is tussen januari en april 2006 in zes fasen uitgevoerd. •

Fase 1: Voorbereiden onderzoek.

Deze fase was gericht op het opstellen en afbakenen van de

opdrachtformulering. Dit is gedaan op basis van gesprekken met opdrachtgevers en andere betrokkenen en onderzoek van documentatie. Omdat in de periode dat de toets uitgevoerd is ook het AMM-assessment uitgevoerd werd en het voor de opdrachtgevers van belang was om inzicht te krijgen in samenhang tussen beide onderzoeken, is ook een aantal AMM-interviews met architecten bijgewoond. Hiernaast zijn de uitvoerders van de architectuurtoets ook betrokken bij opdrachtformulering van het AMM-assessment. In deze fase is ook het Plan van Aanpak voor de uitvoering van de toets opgesteld. •

Fase 2: Opstellen toetsingskader.

Tijdens deze fase zijn twee verschillende toetsingskaders opgesteld. Het toetsingskader voor de Architectuur Rabobank is gebaseerd op de ICT-strategie Rabobank (1) en het Handboek ICT-architectuur (2). Het toetsingskader voor de domeinarchitecturen en de PSA’s is gebaseerd op de Architectuur Rabobank (3) en eveneens het Handboek ICTarchitectuur (4). Ook is in beperkte mate de aansluiting van de domeinarchitecturen en de PSA’s op de Procesarchitectuur (5) onderzocht. De PSA’s en de domeinarchitecturen zijn in samenhang met elkaar getoetst vanwege de complementariteit. Ook kan het voorkomen dat in een domeinarchitectuur afspraken zijn vastgelegd voor PSA’s binnen dat domein (6). De basis voor de twee toetsingskaders is in de figuur Basis voor toetsingskaders schematisch weergegeven. "ASISVOORTOETSINGSKADERS

)#4 STRATEGIE 2ABOBANK

 !RCHITECTUUR 2ABOBANK

0ROCES !RCHITECTUUR 2ABOBANK



(ANDBOEK )#4 ARCHITECTUUR





 $OMEIN ARCHITECTUUR

 03!

•

Fase 3: Vaststellen huidige situatie.

Tijdens deze fase is de betreffende documentatie bestudeerd (Architectuur Rabobank of een domeinarchitectuur met bijbehorende PSA’s). Vervolgens zijn voor verificatie hiervan interviews gehouden met de architecten die vanuit Groep ICT verantwoordelijk zijn voor het betreffende domein. Voor elke norm uit de toetsingskaders zijn de bevindingen vastgelegd. Openstaande vragen en onduidelijkheden zijn tijdelijk vastgelegd om deze separaat te kunnen navragen of verifiëren.

21 | de EDP-Auditor nummer 2 | 2007

Artikel •

Fase 4: Evaluatie en formuleren conclusie.

In deze fase is het beeld getoetst aan de toetsingskaders, zijn conclusies getrokken en aanbevelingen voor verbeterpunten uitgewerkt. Tijdens deze fase zijn de volgende producten opgeleverd: - toetsingskaders, met daarin vastgelegd alle bevindingen; - een overzicht van de beschikbare domeinarchitecturen en hun actualiteit en - voor het domein Sparen, als steekproef, een overzicht van de in 2005 opgeleverde PSA’s in relatie tot de in die periode uitgevoerde projecten. •

Fase 5: Rapportage aan opdrachtgevers.

Dit betrof het presenteren van het eindrapport van de toets en het bespreken van conclusie en aanbevelingen met opdrachtgevers. Tijdens deze bespreking zijn ook afspraken gemaakt over het oppakken van de verbeterpunten door de opdrachtgevers. Op verzoek van de opdrachtgevers zijn de resultaten ook gepresenteerd binnen de architectengemeenschap. •

Fase 6: Implementatie van verbetervoorstellen.

Tijdens deze fase zijn de verbeterpunten door medewerkers van de opdrachtgevers uitgewerkt in verbeterplannen en vervolgens gerealiseerd en ingevoerd. Deze fase loopt nog en wordt gemonitord door de afdeling Control & Compliance binnen Groep ICT. Resultaten van de toets en algemene aanbevelingen voor de auditor (deel III) In dit deel beschrijven we de resultaten van de uitgevoerde toets, die specifiek zijn voor de Rabobank. Aansluitend hierop doen we een aantal algemene aanbevelingen voor het toetsen van architectuur. Resultaten van de toets

Hieronder de meest in het oog springende resultaten van de toets. Ook wordt vermeld welke maatregelen het verantwoordelijke management heeft genomen in reactie op de conclusies en aanbevelingen van het eindrapport. Business-ICT alignment

De gehanteerde methode binnen de Rabobank vraagt nadrukkelijk aandacht voor de koppeling van de architectuur met de business. Dit belang wordt ook onderkend door de architecten zelf. Desondanks blijkt uit de toets dat in de architectuurproducten de businessaspecten onderbelicht zijn. Zo komen in de ICT-strategie de businessaspecten summier aan bod en dan vooral gericht op het retailbedrijf. En ook is geconstateerd dat de architectuurproducten niet expliciet door de business zijn geaccordeerd of onvoldoende draagvlak binnen de business kennen. Als oorzaak hiervan wordt door geïnterviewden aangegeven dat de businessaspecten moeilijk zijn te achterhalen doordat businessplannen en dergelijke vaak ontbreken. Verder is tijdens de toets geconstateerd dat de neiging aanwezig is om (te) veel vanuit de ICT-oplossing te redeneren. Voor de Rabobank is de alignment van de architectuur met de business van groot belang. Er zijn dan ook maatregelen

genomen om die aansluiting op het gewenste niveau te brengen. Zo hebben architecten en informatiemanagers de opdracht gekregen nadrukkelijk te redeneren vanuit Business, Omgeving (markt en regelgeving), Proces en daarna pas vanuit de (ICT-)oplossing. Architectuurproducten worden hier nu op getoetst. Ook wordt bij het bepalen van de ICT-strategie de business intensief betrokken via interviews en terugkoppelsessies. Architectuurproducten worden voortaan door de business gelezen en becommentarieerd. Vertegenwoordigers vanuit de business worden uitgenodigd voor de bijeenkomsten waar belangrijke architectuurontwikkelingen worden besproken of gepresenteerd. Veelheid aan afhankelijkheden

De toets heeft duidelijk gemaakt dat binnen de Rabobank een groot aantal beleidsdocumenten van invloed is op de architectuur en de genoemde architectuurproducten. Het gaat hier om losse beleidsdocumenten zoals een servicearchitectuur, masterplan connectiviteit, handboek beheer, storage-architectuur, informatiebeveiligingsarchitectuur, beleid ICT-infrastructuur, etc. Het gevolg van deze veelheid aan beleidsdocumenten en onderlinge relaties is: • dat het bijzonder lastig is om een volledig en actueel beeld te krijgen van de van toepassing zijnde architectuurafspraken; • dat het haast ondoenlijk is om de architectuurproducten actueel te houden en de verschillende architectuuraspecten (scope, tijdshorizon, etc.) van de architectuurproducten goed op elkaar af te stemmen. Het voorgaande heeft mede bijgedragen tot het besluit van de afdeling IBA om het aantal beleidsdocumenten aanzienlijk terug te brengen en de documenten onderling beter op elkaar aan te sluiten. Zo wordt de Architectuur Rabobank voortaan voor de relevante onderdelen (informatie, applicaties, technische infrastructuur, informatiebeveiliging en ICT-beheer) als één geheel vastgelegd. Hier is een beknopte set met relevante architectuurafspraken aan gekoppeld. Niet-actuele domeinarchitecturen

Binnen de Rabobank geldt de afspraak dat de Architectuur Rabobank en de domeinarchitecturen jaarlijks worden geactualiseerd. De gedachte hierachter is, dat op deze wijze steeds een solide en actuele architecturale basis aanwezig is om nieuwe projecten in goede banen te leiden. Voor de Architectuur Rabobank werkt deze aanpak, omdat deze architectuur onder de verantwoordelijkheid valt van de afdeling IBA en daar jaarlijks budget en tijd beschikbaar wordt gesteld om deze architectuur te actualiseren. Maar voor de domeinarchitecturen blijkt deze werkwijze niet haalbaar te zijn. Ondanks alle goede intenties bleek een aantal domeinarchitecturen niet actueel te zijn en van een aantal domeinen ontbrak de domeinarchitectuur. Opvallend was dat zelfs de meest recente van de aangetroffen domeinarchitecturen

22 | de EDP-Auditor nummer 2 | 2007

toch al op onderdelen was achterhaald. Als oorzaken werden genoemd: • Het vervaardigen van een volledige domeinarchitectuur blijkt veel meer capaciteit te vergen dan geschat. • Een domeinarchitectuur valt onder verantwoordelijkheid van de afdeling PIM die in opdracht van de business programma's uitvoert. De business is lang niet altijd bereid het noodzakelijke budget beschikbaar te stellen. Men ziet vaak de noodzaak niet in en mist de relatie met de actuele businesswensen. • De inhoud van een domeinarchitectuur wordt niet alleen bepaald door de Architectuur Rabobank, maar ook door een groot aantal andere beleidsdocumenten. Het actueel houden van een domeinarchitectuur blijkt door de vele onderlinge verbanden een lastige taak. Op basis van deze bevindingen heeft het verantwoordelijke management besloten om de onderlinge samenhang van de domeinen per laag op te nemen in de Architectuur Rabobank. Detaillering van de architectuur wordt voortaan vraaggedreven. Dit houdt in dat in plaats van domeinarchitecturen nu voor de programma’s (clusters van projecten op basis van businessdoelstellingen) een programma-architectuur wordt gerealiseerd. De planningshorizon komt overeen met de looptijd van het programma. De PSA blijft bestaan. Verschillen in PSA’s

Geconstateerd is dat de afspraak om voorafgaand aan de start van een project een PSA te vervaardigen in het algemeen goed wordt nageleefd. Voor de meeste projecten was een PSA vervaardigd. Het voor de start van een project vastleggen van de architecturale kaders in een PSA blijkt in een behoefte te voorzien. Aangegeven werd dat ook de afdeling Systeemrealisatie grote waarde hecht aan dit document. Wel is geconstateerd dat de inhoudelijke verschillen tussen de PSA’s onderling groot zijn. Ondanks het feit dat er een standaard sjabloon voor een PSA is beschreven, blijkt de manier van uitwerken, de diepgang en de tijdshorizon verschillend te zijn. Gevolg is dat ook de omvang van de PSA’s fors verschillen. Een PSA moet maximaal verwijzen naar een domeinarchitectuur en moet zich beperken tot architectuuraspecten op hoofdlijnen. Als indicatie is een PSA maximaal 15 pagina’s groot, maar in de praktijk zijn PSA’s soms tientallen pagina’s groot. Hiervoor zijn twee redenen te noemen: • Een oorzaak is dat de domeinarchitectuur onvoldoende als basis voor de PSA kon dienen. In een aantal situaties had dit spontaan geleid tot een nieuw type architectuurdocument, namelijk de ‘architectuurverkenning’. Dit product moest de tekortkomingen van de domeinarchitectuur opvangen en werd formeel bestempeld als een bijlage bij de domeinarchitectuur. • Er zijn veel partijen die belang hebben bij een project. De PSA wordt als het ideale document gezien om dit in vast te leggen. Daar is de PSA echter niet voor bedoeld. Op deze wijze is overlap ontstaan met andere documenten zoals de businessanalyse.

De nieuwe werkwijze met programma-architecturen zou bovengenoemd probleem moeten ondervangen. Architectuurverkenningen worden verwerkt in de programma-architectuur. De scope van de PSA is nadrukkelijk beperkt tot de architectuurrelevante zaken voor het project. De indicatieve omvang blijft 15 pagina’s, de planningshorizon is gelijk aan het project. Kosten

In de architectuur worden strategische beslissingen genomen met verregaande consequenties. De kostenonderbouwing van dit soort beslissingen blijkt meestal te ontbreken. Dat is onterecht, omdat we geconstateerd hebben dat kosten vaak een grote rol spelen als van de architectuurafspraken wordt afgeweken. De aanbeveling luidde dan ook om het kostenaspect meer aandacht te geven bij architectuurbeslissingen, zeker op onderdelen waar structureel zaken geregeld dienen te worden voor meer domeinen. Standaardpakketten

Een van de belangrijkste architectuurafspraken binnen de Rabobank is de regel dat bij voorkeur standaardpakketten worden ingezet om de gewenste functionaliteit in te vullen. Ook dienen de pakketten zo weinig mogelijk aangepast te worden (pakket-as-is). De aanschaf van een pakket brengt echter ook een aantal standaards met zich mee die soms tegenstrijdig zijn met de vigerende architectuurafspraken. Een voorbeeld hiervan is het gebruik van een pakketeigen datadictionary die afwijkt van de Rabo-standaard. Dergelijke consequenties bleken nog niet uitgewerkt te zijn. Gegeven het toenemende belang is de aanbeveling gedaan om de consequenties verder uit te werken en in architectuurafspraken vast te leggen. Meer met minder

Als ondertitel kreeg het eindrapport mee ‘meer met minder’. Dit advies is op verschillende manieren van toepassing voor het onderzoeksresultaat: 1. Meer sturen op kernafspraken – minder beleid en architectuurafspraken. 2. Meer overzicht en samenhang – minder (losse) beleidsdocumenten. 3. Meer vanuit ‘vraag’ (beleids)documentatie en architectuur opstellen – minder vanuit ‘aanbod’. 4. In analogie met bovenstaande uitspraken werd door het management tijdens de rapportbespreking de boodschap van het eindrapport samengevat met: meer business – minder papier. Algemene aanbevelingen voor de auditor

In deze paragraaf doen we een aantal aanbevelingen, waarmee auditors hun voordeel kunnen doen als zij te maken krijgen met het toetsen van architectuur.

23 | de EDP-Auditor nummer 2 | 2007

Artikel De overall conclusie van de toets is dat het inhoudelijk toetsen van informatiearchitectuur mogelijk en nuttig is. Zeker als je de eerste keer een dergelijke toets uitvoert, loop je tegen een aantal vragen aan. De volgende aanbevelingen bieden hierbij mogelijk ondersteuning: 1. Het is noodzakelijk om eerst een helder beeld te krijgen van wat onder het begrip architectuur verstaan wordt. Met het model in het eerste deel hebben we getracht een beeld te geven van de diversiteit. Dit of een ander model kan als hulpmiddel dienen bij de definitie zoals die binnen het bedrijf gehanteerd wordt. 2. Bekijk in welke documenten welk deel van de architectuur uitgewerkt is en of de samenhang duidelijk is. Indien de samenhang onduidelijk is moet deze eerst in kaart gebracht worden. Volgende stappen hebben pas zin als dit gebeurd is. 3. Indien de beoogde samenhang duidelijk is en beschreven is, kan deze getoetst worden. Daarnaast kunnen op basis hiervan inhoudelijke aspecten getoetst worden. De structuur kan als hulpmiddel dienen bij de keuze van de te hanteren norm en het object van toetsing. Tevens kunnen verschillende doelstellingen van architectuur ook onafhankelijk van elkaar worden getoetst. 4. Voor de inhoudelijke toetsing is een bedrijfseigen normenkader nodig. Dit geldt met name voor de toetsing op de aansluiting tussen de architectuur en het overkoepelende bedrijfsbelang, omdat dit bedrijfsbelang per bedrijf verschilt. 5. Doordat het begrip architectuur zo veelomvattend is, kunnen ook specifieke onderdelen ervan inhoudelijk getoetst worden. Een voorbeeld hiervan is de manier waarop Service Oriënted Architecture (SOA) toegepast wordt. Hiervoor is het noodzakelijk dat er voor het specifieke aspect normen voldoende ‘smart’3 beschikbaar zijn. Het is belangrijk dat dit in de opdrachtformulering en rapportage over de resultaten duidelijk wordt gemaakt. 6. Het is van belang om bij de keuze van de scope van de toets rekening te houden met verschillen in de manier waarop bedrijfsonderdelen omgaan met architectuur. Het wholesale- en internationaal retailbedrijf met een ‘just in time’ architectuur vereist een andere benadering dan het binnenlands retailbedrijf. 7. Neem alle belangrijke nieuwe ontwikkelingen (het gebruik van pakketten, outsourcing, etc.) mee bij de uitwerking van architectuur en toets deze ook. 8. ‘Think big, act small’. Begin met een beperkte maar wel duidelijke scope en ambitie en pas eventueel time-boxing toe. Binnen het onderzoek hebben we dit gedaan door architectuurprocessen en -producten binnen de Rabobank en hun onderlinge samenhang volledig in kaart te brengen. Maar vervolgens hebben we ons voor de uitvoering van de toets beperkt tot naleving van architectuur binnen de ICT-keten en, in beperkte mate, de aansluiting tussen business en ICT. Binnen de ICT-keten hebben we ons voor domeinen en PSA’s beperkt tot steekproeven.

Literatuurverwijzingen: [Berg04]

M. van den Berg en M. Steenbergen: DYA: Stap voor stap naar een professionele enterprise-architectuur, Ten Hagen & Stam, 2004.

[Biel06]

J.C.H. Bielok en A.C.A. Uittenbogerd: Rapport

[Fort05]

J.P. Fortuin e.a.: Architectuur Rabobank, versie 2.1, Rabobank,

[Ross99]

B. Rosser: IT-Architecture by Time: Today, Tomorrow or Next

Architectuurtoets, Rabobank, april 2006. september 2005. Minute, Gartner Research Note, december 1999. [Smil05]

R. Smildiger: Een audit op informatiearchitectuur: waar te beginnen? De EDP-Auditor nummer 3, 2005

[Taps93]

Don Tapscott en Art Caston, Paradigm Shift, the new promise of Information Technology, 1993, McGraw-Hill inc., New York USA.

[Uitt06]

A.C.A. Uittenbogerd: Het toetsen van informatiearchitectuur: een praktijkvoorbeeld, referaat voor opleiding EDP-auditing Erasmus Universiteit Rotterdam, augustus 2006.

[Wagt02]

R. Wagter e.a.: DYA: Snelheid en samenhang in business- en informatiearchitectuur, Tutein Nolthenius, augustus 2002.

Noten 1 Afspraken zijn onderverdeeld in ‘wetten’, ‘standaards’ en ‘richtlijnen’. Van ‘wetten’ mag niet worden afgeweken, voor ‘standaards’ bestaat de mogelijkheid een afwijkingsverzoek in te dienen bij de afdeling IBA. ‘Richtlijnen’ zijn best practices. 2 Het bij ‘views’ weergeven model betreft het framework van Tapscott. Dit framework geeft de samenhang weer tussen de architectuurviews Informatie (1), Applicatie (A), Tachnologie (T), Business (B) en Proces (P) 2 CMMI staat voor Capability Maturity Model Integration en ITSCMM voor IT-Service Capability Maturity Model. 3 ‘Smart’ staat voor Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden.

24 | de EDP-Auditor nummer 2 | 2007

Artikel

Introductie Forensisch IT-onderzoek Paul Bakker en Matthijs van der Wel

Iedere organisatie krijgt vroeg of laat eens te maken met een verdenking, een delict of een vermoeden dat een delict plaats heeft gevonden. Hierbij kun je denken aan fraude, diefstal, bedrijfsspionage of bedreigingen en beledigingen van een werknemer. Bij deze activiteiten laat een dader vaak (ongewild) sporen na. Een forensisch onderzoeker gebruikt deze sporen om de daders op te sporen of de precieze toedracht te achterhalen. Steeds vaker zijn deze sporen ook digitale sporen. Het onderzoeken van digitale sporen is specialistisch werk en vergt een andere aanpak dan het onderzoeken van ‘traditionele sporen’. Voor een mogelijke rechtsgang moet een onderzoek op een grondige en rechtsgeldige manier plaatsvinden. Om die reden is het verstandig dat organisaties bij delicten een forensisch IT-onderzoeker inzetten. Dit artikel geeft een kijkje in de wereld van het forensisch onderzoek en behandelt enkele belangrijke kenmerken van forensisch IT onderzoek.

Forensisch IT-onderzoek Bij veel handelingen die we dagelijks verrichten laten we gewone en digitale sporen na. De digitale sporen ontstaan bijvoorbeeld al door het versturen van een e-mailbericht, het maken of verwijderen van een bestand, het ontvangen van een SMS-bericht of het gebruiken van een pasje om toegang te krijgen tot een pand. Voor forensische onderzoeksdoeleinden kunnen deze digitale sporen erg belangrijk zijn. Een digitaal sporenonderzoek beperkt zich niet alleen tot een voornamelijk digitaal uitgevoerd delict, zoals bijvoorbeeld het hacken van een server. Het is ook zeer goed bruikbaar bij ‘traditionele delicten’ zoals fraude en diefstal. Mede door de toenemende hoeveelheid ICT-hulpmiddelen die we gebruiken, zijn bij fraude- en diefstalzaken vaak ook digitale sporen aanwezig. Het is dan ook niet meer dan begrijpelijk dat digitaal sporenonderzoek een steeds belangrijker onderdeel vormt van een forensisch onderzoek. Naast het zoeken naar achtergelaten sporen is het in een digitaal onderzoek ook mogelijk om te zorgen dat toekomstige sporen kunnen worden onderzocht. Een voorbeeld hiervan is het gedurende een periode vastleggen van e-mailverkeer, Internetgebruik en alle handelingen die op een werkstation plaatsvinden. Kort gezegd is forensisch IT onderzoek dus een specialisatie van forensisch onderzoek waar de focus voornamelijk ligt op het analyseren van digitale sporen van een al dan niet digitaal uitgevoerd delict. Eigen onderzoek Veel grote organisaties voeren van oudsher zelf onderzoeken uit en vinden dat zij ook een forensisch IT onderzoek kunnen uitvoeren. Het waarnemen van deze ‘nieuwe’ sporen is volgens hen namelijk niet erg ingewikkeld: het plaatje staat op de harde schijf of niet. Het e-mail bericht is verzonden door de medewerker of niet.

ir. P.J. Bakker CISSP CISA is Chief Technical Officer Crypto bij Fox-IT en heeft in het verleden veel forensische onderzoeken uitgevoerd en forensische software ontwikkeld. M. van der Wel MBA CISSP CISA RON was tot voorkort Business Unit

Toch is het belangrijk om deze keuze goed te overwegen. Hoewel een onderzoek grotendeels bestaat uit het verzamelen van sporen en bewijzen, is het vaak wel de bedoeling deze sporen en bewijzen te gebruiken in bijvoorbeeld een ontslagprocedure. Om rechtsgeldig te zijn, moet een dergelijk onderzoek ook volgens de juiste procedures uitgevoerd worden en ‘reproduceerbaar’ zijn.

Manager van de Business Unit Forensics & Audits bij Fox-IT en is nu verantwoordelijk voor de internationale sales.

Helaas komt het toch nog voor dat een gedeelte van de 26 | de EDP-Auditor nummer 2 | 2007

denking zijn, moet het onderzoek gericht plaatsvinden en spelen de begrippen subsidiariteit en proportionaliteit een rol. Subsidiariteit betekent dat als je de keuze hebt uit verschillende onderzoeksmiddelen, je het lichtste middel in moet zetten. Proportionaliteit geeft aan dat het gebruikte middel in relatie moet staan tot het doel. Aan beide voorwaarden moet in een forensisch onderzoek altijd zijn voldaan.

sporen en bewijzen niet in de rechtszaal bruikbaar is, doordat een systeembeheerder of beveiligingsmedewerker zelf al onderzoek uitgevoerd heeft op een verdacht systeem. Doordat er wijzigingen op het systeem hebben plaatsgevonden, is het moeilijk nog een goede analyse uit te voeren. Een betrokkene mag daarbij juridisch gezien altijd een contra-expertise laten uitvoeren. Als in de contra-expertise niet met hetzelfde bronmateriaal gewerkt kan worden, kan niet meer worden vastgesteld dat het bewijsmateriaal origineel en dus niet geprepareerd is. Een andere reden om niet zelf als organisatie het forensisch onderzoek te doen, is dat het vanuit onafhankelijkheidsoogpunt niet altijd gewenst is dat collega’s de handelingen van een collega-medewerker onderzoeken. Particulier recherchebureau Bij gegronde verdenkingen heeft iedere organisatie zelf het recht om een gericht onderzoek uit te voeren, maar mag dat recht ook overdragen aan een particulier recherchebureau. Een particulier recherchebureau mag niets méér onderzoeken dan de organisatie zelf mag doen; het onderzoekt uitsluitend de eigen middelen van de organisatie. Het gaat hier dus om de (IT) middelen die daadwerkelijk in eigendom zijn van de organisatie. Als een medewerker bijvoorbeeld zijn privé USB-stick gebruikt voor bedrijfsdoeleinden, mag een organisatie deze USB-stick niet zonder meer betrekken in het onderzoek. Een uitzondering is als er sprake is van een wettelijk strafbaar feit. Dit onderzoek wordt dan uitgevoerd door het Openbaar Ministerie. Om te garanderen dat een onderzoek door een particulier recherchebureau aan bepaalde normen voldoet, stelt het Ministerie van Justitie eisen aan bedrijven die een vergunning Particulier Recherchebureau willen verkrijgen. Deze eisen houden onder andere in dat alle medewerkers een antecedentenonderzoek moeten ondergaan en het officieel erkende diploma ‘Particulier Onderzoeker’ moeten hebben gehaald. Ook worden eisen gesteld aan wanneer en op welke wijze een onderzoek plaatsvindt. Zo moet er een gegronde ver-

We zullen deze voorwaarden aan de hand van een voorbeeld toelichten. Als een organisatie een werknemer verdenkt van het via e-mail verhandelen van illegale films dan zal de organisatie dit nader willen onderzoeken. Dit kan bijvoorbeeld door alle IT middelen van de organisatie, inclusief USBsticks, mailboxen en bestanden van alle werknemers, te doorzoeken op illegale software, audio en video. Dit voldoet dit niet aan de voorwaarden van subsidiariteit en proportionaliteit en de eis om een zo gericht mogelijk onderzoek te doen. De verdenking gaat immers maar over één werknemer en slechts over videomateriaal. Om aan de voorwaarde van proportionaliteit te voldoen zal het onderzoek zich moeten beperken tot de verdachte werknemer. Om te voldoen aan de voorwaarde van subsidiariteit is het daarnaast nodig het onderzoek te beperken tot door de medewerker gebruikte IT middelen. Hierbij is het onderzoek zo gericht mogelijk uitgevoerd. Naast de eisen van het Ministerie van Justitie stelt het College Bescherming Persoonsgegevens (CBP) eveneens eisen aan particuliere recherchebureaus. Een particulier recherchebureau moet een openbare melding doen over de methodes die zij hanteert en het CBP geeft hierover haar goedkeuring. Tenslotte is er nog een aantal wettelijke regels en bepalingen die van belang zijn bij de uitvoering van een onderzoek door een particulier recherchebureau, zoals het instemmingsrecht en de geheimhoudingsplicht van de ondernemingsraad en de Wet Bescherming Persoonsgegevens, waarin ook een informatieplicht naar de betrokkenen staat. Onafhankelijkheid en objectiviteit Een van de eisen die aan de onderzoeker en het bedrijf worden gesteld is dat deze aan ‘objectieve waarheidsvinding’ doet. Objectieve waarheidsvinding houdt in dat de onderzoekers niet uitsluitend zoeken naar mogelijk belastende sporen, maar juist ook naar ontlastende sporen of alternatieve verklaringen. Het uitvoeren van ‘hoor en wederhoor’ zorgt dat een onderzoek ook andere mogelijke verklaringen meeneemt. Deze objectieve waarheidsvinding is ook terug te vinden in de omgang met de opgestelde eindrapportage. De betrokkene heeft altijd recht op inzage in het conceptrapport en heeft het recht deze van commentaar te voorzien. Daarnaast kan iedereen die met een onderzoeksrapport wordt geconfronteerd, een contra-expertise laten uitvoeren. Dit is de reden waarom het op de juiste wijze veiligstellen

27 | de EDP-Auditor nummer 2 | 2007

Artikel van de sporen cruciaal is. Hiervoor worden tijdens het veiligstellen van digitale sporen zogenaamde ‘hashwaardes’ berekend om later vast te kunnen stellen dat deze onveranderd zijn gebleven. Daarnaast is het vastleggen van een ‘chain of custody’ zeer belangrijk. Deze chain of custody geeft informatie over alle handelingen die uitgevoerd zijn op veiliggestelde informatie. De hashwaardes en de chain of custody geven een contra-onderzoeker de mogelijkheid om te controleren of deze hetzelfde bronmateriaal onderzoekt en om vast te stellen wie toegang heeft gehad tot het bronmateriaal. Het recherchebureau is verantwoordelijk voor het correct en volledig vastleggen van deze chain of custody. In de praktijk komt het soms voor dat onderzoekers tijdens een onderzoek ‘geprepareerd’ bewijsmateriaal tegenkomen. Geprepareerd bewijsmateriaal is bewust aangepast of toegevoegd om het onderzoek een bepaalde kant op te sturen. Een voorbeeld hiervan is het plaatsen van een compromitterende foto op een harde schijf. Door kritisch te kijken naar elk gevonden ‘bewijs’ is het mogelijk om geprepareerde sporen te herkennen. Een ander instrument wat nog eens extra bijdraagt aan de objectieve waarheidsvinding is het ‘schaduwonderzoeken’. Deze extra onderzoekers verifiëren het resultaat van de hoofdonderzoekers door met een andere onderzoeksmethode dezelfde gegevens nogmaals te onderzoeken. Overzicht stappen Hoewel ieder onderzoek anders is en haar eigen probleemstelling heeft, is het mogelijk een algemene beschrijving van de verschillende onderdelen van een forensisch onderzoek te geven. De stappen beschrijven een forensisch onderzoek vanuit de optiek van een organisatie die een recherchebureau inschakelt. De doorlooptijd van een dergelijk onderzoek kan variëren van een aantal dagen tot enkele weken. Stap 1: Voorbereiding

Voordat een particulier recherchebureau een forensisch (IT) onderzoek kan beginnen zijn een intakegesprek en een schriftelijk plan van aanpak nodig. In het intakegesprek met de opdrachtgever achterhaalt de hoofdonderzoeker de doelstelling van het onderzoek en beoordeelt hij of een onderzoek ook daadwerkelijk gerechtvaardigd is. Een onderzoek is slechts gerechtvaardigd als inderdaad sprake is van gegronde verdenkingen, proportionaliteit en subsidiariteit. Het gesprek dient ook als basis om te bepalen op welke locaties men het beste kan zoeken naar mogelijke sporen.

ties zijn vaak de IT afdeling, de Security afdeling en de interne Audit afdeling betrokken bij een forensisch onderzoek. Het plan van aanpak eindigt met een inschatting van de inzet en een planning voor de uitvoering van de verschillende activiteiten. Stap 2: Veiligstellen gegevens

Een van de belangrijkste onderdelen van een forensisch onderzoek is het adequaat en spoedig veiligstellen van de verschillende sporen die aanwezig zijn op een ‘plaats veiligheidsinbreuk’. Dit hoeft zich niet te beperken tot digitale sporen, maar kan ook een scala aan niet-digitale sporen behelzen. Het is echter wel zaak tijdig te beginnen met het veiligstellen van eventuele sporen om het verdwijnen of overschrijven hiervan te voorkomen (denk bijvoorbeeld aan overschrijven van logbestanden) of omdat het, naarmate de tijd vordert, moeilijker is om bepaalde sporen in verband te brengen met een natuurlijke persoon. Bij het veiligstellen van digitale sporen is het noodzakelijk dat men rekening houdt met het specifieke karakter van digitale gegevens. Digitale sporen zijn namelijk eenvoudiger manipuleerbaar dan traditionele sporen. Een groot voordeel van digitale sporen is dat het vaak mogelijk is een identieke kopie te maken van het spoor, iets dat met traditionele sporen vaak niet goed mogelijk is. Hiervoor zijn standaard digitale kopieermethodes echter niet toereikend. Een forensische kopie van bijvoorbeeld een harde schijf bestaat uit een volledige kopie van alle informatie op de schijf en niet slechts de voor de gebruiker zichtbare bestanden. Een forensische kopie bevat bijvoorbeeld ook alle gewiste bestanden, niet gebruikte ruimtes en besturingssysteeminformatie. Deze kunnen namelijk veel belangrijke en relevante informatie voor het onderzoek bevatten. Het veiligstellen van digitale sporen is specialistisch werk. Zo is het onder andere nodig om over de forensische kopieën zogenaamde hashwaardes te berekenen om in de toekomst altijd te kunnen controleren of het oorspronkelijke bronmateriaal niet gewijzigd of beschadigd is. Hiervoor maakt men gebruik van speciale apparatuur waarmee het mogelijk is snel, volledig en op meerdere manieren mogelijke sporen en gegevensdragers veilig te stellen. Een voorbeeld hiervan is het maken van een forensische kopie van een harde schijf uit een PC of laptop of het maken van een kopie van de gegevens uit een mobiele telefoon. In sommige speciale gevallen is het zelfs nodig om gegevens veilig te stellen uit een systeem dat nog ‘aan’ staat en niet ‘uit’ kan. Stap 3: Analyse

Naar aanleiding van het intakegesprek stelt de hoofdonderzoeker een plan van aanpak op. Hierin staat de situatie beschreven, evenals de onderzoeksvragen, en een voorstel voor de wijze van uitvoering van het onderzoek. Hierin staat ook beschreven welke partijen de verschillende onderzoeksactiviteiten uitvoeren of ondersteunen. Bij grotere organisa-

Voordat de verzamelde digitale informatie in een onderzoek bruikbaar is, wordt deze doorzoekbaar gemaakt en geïndexeerd. Met behulp van steekwoordenlijsten is het mogelijk snel en doeltreffend in deze grote hoeveelheden data te zoeken. De doorzochte data bestaat niet alleen uit de zichtbare bestanden op harde schijven, maar ook uit informatie

28 | de EDP-Auditor nummer 2 | 2007

die onder de oppervlakte verborgen ligt, zoals verwijderde bestanden of de niet gebruikte ruimte aan het eind van elk bestand. Forensische apparatuur en software kunnen deze verborgen informatie zichtbaar maken voor de onderzoekers. De onderzoeker onderzoekt de aangetroffen sporen en interpreteert deze in de gestelde context. Hierna is het zaak om de sporen aan natuurlijke personen te koppelen en waar nodig tijdlijnen op te stellen om een beeld te krijgen van de volgtijdelijkheid van specifieke sporen. De onderzoeker kan zo een helder beeld vormen van het gevonden bewijsmateriaal door het recherche-onderzoek en de juiste relatie tussen en interpretatie van de sporen. Om te illustreren dat de interpretatie en een tijdlijn van sporen belangrijk zijn, geven we het volgende voorbeeld. Binnen een organisatie is een e-mail verstuurd die een leidinggevende beledigt en bedreigt. De e-mail is anoniem verstuurd met een webmail account. Na onderzoek van het e-mailbericht en de logfiles, lijkt de e-mail verstuurd te zijn vanaf een specifieke vaste werkplek binnen het bedrijf. Hiermee is dus impliciet een medewerker aangewezen. Bij de ondervraging ontkent de medewerker alles en beweert dat iemand anders de e-mail vanaf zijn plek gestuurd moet hebben terwijl hij afwezig was. Het is dus van belang in het onderzoek ook daadwerkelijk aannemelijk te maken of deze medewerker ook op dit tijdstip op deze werkplek aanwezig was. Het onderzoeksteam onderzoekt hiervoor de PC en stelt vast dat het surfgedrag op de PC is gewist. Het onderzoeksteam weet deze historie bestanden terug te halen. De analyse laat vervolgens zien dat vlak voor en na de verstuurde e-mail ook gebruik is gemaakt van de privé-webmail van de medewerker. Hierdoor is het aannemelijk te maken dat de medewerker ook zelf de anonieme e-mail heeft verstuurd.

Stap 4: Rapportage

Ieder forensisch onderzoek eindigt met een onderzoeksrapportage. De onderzoeksrapportage schetst de situatie en geeft antwoord op de onderzoeksvraag. Verder staan in de rapportage de Stukken van Overtuiging: Het verzamelde ‘bewijsmateriaal’ waarop onderzoek heeft plaatsgevonden. De rapportage vervolgt met de uitkomsten van het onderzoek en de conclusies en aanbevelingen. In dit laatste hoofdstuk staat tevens het antwoord op de gestelde onderzoeksvraag. Het kan ook voorkomen dat het nodig is de onderzoeksrapportage in de rechtbank te presenteren om de rechtsgang te ondersteunen. Hierbij is de forensische onderzoeker dan getuige-deskundige in de rechtbank. Forensische softwaretools

Aangezien digitale gegevensdragers veel meer gegevens/ informatie bevatten dan mensen handmatig kunnen bekijken binnen redelijke tijd is het gebruik van een verzameling van forensische softwaretools onvermijdelijk. Deze forensi-

sche tools maken het mogelijk om de enorme hoeveelheid digitale gegevens snel en effectief te doorzoeken en te interpreteren. Het is ondanks de vele goede tools niet mogelijk om volledig op deze tools te vertrouwen. Een goed voorbeeld is het bestaan van de ‘Metasploit Anti-forensics’ toolkit. Deze set open source applicaties is juist bedoeld om de standaard forensische tools om de tuin leiden door valse sporen toe te voegen en echte sporen te verbergen of te wissen. Het is daarom belangrijk te weten hoe de resultaten van een bepaalde tool te interpreteren zijn, welke waarde hieraan verbonden kan worden en wat de beperkingen zijn. Ook hier is het gebruik van een schaduwonderzoek een goede vorm van kwaliteitsborging. Ook al zijn er veel commerciële en open source tools te verkrijgen, het komt vaak voor dat een onderzoek een uniek aspect heeft dat de bestaande tools niet kunnen afhandelen. Het komt dus regelmatig voor dat speciale forensische software specifiek voor een onderzoek wordt ontwikkeld. Bijvoorbeeld de ontwikkeling van software om honderden Outlook e-mailboxen geautomatiseerd te kunnen doorzoeken op een lijst met trefwoorden of het analyseren van logfiles van speciaal ontwikkelde applicaties, zoals de software van pinterminals. Ondanks dat tools vaak de basis vormen van een onderzoek, staat in de rechtszaal de validiteit van de gebruikte tools niet vaak ter discussie. De gebruikte tool is vaak niet erg interessant, omdat het gaat om de getrokken conclusies en of de resultaten objectief valideerbaar zijn. Een goede mogelijkheid om te bewijzen dat de tools goed hebben gewerkt is als schaduwonderzoekers met andere tools – onafhankelijk van het eerdere onderzoek – met dezelfde conclusie komen. Conclusie Dit artikel heeft een kijkje gegeven in de wereld van het forensisch onderzoek. Iedere organisatie heeft vroeg of laat eens te maken met delicten, verdenkingen of vermoedens. Een forensisch onderzoek kan duidelijkheid bieden over de toedracht, mogelijke motieven, daders en hulpmiddelen. Wij hebben uitgelegd dat het doen van een forensisch onderzoek anders is dan een ‘gewoon’ onderzoek. Om een forensisch onderzoek rechtsgeldig te kunnen gebruiken, is een degelijke uitvoering noodzakelijk en kan een particulier recherchebureau een rol spelen. Een goed en rechtsgeldig forensisch onderzoek volgt nauwgezette processtappen en is gebonden aan richtlijnen en moet worden uitgevoerd door forensisch deskundigen. En dat is nodig om bewijs echt als hard bewijs te kunnen gebruiken in de rechtzaal. De aanschaf van specialistische tools maakt nog geen goede forensisch IT onderzoeker. Dit is een (nieuw) vakgebied waarbij kennis, kunde en ervaring van essentieel belang zijn.

29 | de EDP-Auditor nummer 2 | 2007

Artikel Red en green teaming bij Defensie (deel I)

Een methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten) Maarten Buijs

In de praktijk blijkt steeds opnieuw dat penetratietesten een waardevolle aanvulling kunnen zijn op ‘standaard’ IT-audits. Er kan zelfs sprake zijn van bijstelling van een eerder uitgebracht oordeel. Helaas hebben penetratietesten nog een ‘cowboy-imago’ van nerds die maar van alles uitproberen. Dit artikel beschrijft een aanpak hoe dergelijke onderzoeken in te zetten en te structureren.

Organisaties zijn voor het goed functioneren van de informatievoorziening afhankelijk van betrouwbare geautomatiseerde informatiesystemen. Een voldoende mate van betrouwbaarheid wordt gerealiseerd door het treffen van een stelsel van organisatorische, procedurele, technische en fysieke beveiligingsmaatregelen. Het vaststellen van de toereikendheid van het getroffen stelsel van beveiligingsmaatregelen vindt doorgaans plaats door middel van een IT-audit. De IT-auditor kan voor het verzamelen van de benodigde evidence ter onderbouwing van het oordeel, gebruikmaken van verschillende technieken. De standaardaanpak van een IT-auditor bij het vaststellen van de toereikendheid van de technische maatregelen bestaat veelal uit het opvragen van systeemdocumentatie en technische instellingen van het onderzoeksobject. In veel gevallen zal de verantwoordelijke systeembeheerder, onder toeziend oog van de IT-auditor, zorgdragen voor het aanleveren van de voor de audit noodzakelijke evidence. Deze traditionele aanpak kent helaas enkele beperkingen. Als een auditor een risico signaleert, is het niet altijd eenvoudig om de hoogte van het risico in te schatten. De effectiviteit van maatregelen is soms lastig in te schatten evenals de mate waarin een bedreiging zich zal manifesteren. Daarnaast wordt bij een dergelijke aanpak vaak de omgeving van het object en de afhankelijkheid van het object met haar omgeving uit het oog verloren. Bedreigingen komen namelijk vooral uit de omgeving van het onderzoeksobject. Aan de hand van deze omgevingsfactoren wordt de zwakste schakel geïdentificeerd.

M.M. Buijs RE RI (Maarten) is teamleider IT-auditing bij de auditdienst van Defensie. Zijn taakgebied is ICT-infrastructuur en -beheerprocessen en fysieke en persoonlijke beveiliging. Dit artikel is mede gebaseerd op een afstudeerscriptie van de postdoctorale opleiding IT-Auditing aan de Erasmus Universiteit van Maarten Veltman, senior IT-auditor bij het Ministerie van Defensie.

Wat zijn penetratietesten Een penetratietest is een techniek die getroffen beveiligingsmaatregelen voor ICT-middelen onderwerpt aan uitgebreide beveiligingstests, uitgevoerd vanuit een perspectief van risicobeheersing. Deze tests proberen de werking van het stelsel van getroffen beveiligingsmaatregelen zodanig te beïnvloeden dat dit doorbroken of in enige mate negatief beïnvloed wordt. Het testen vindt plaats door de aanwezigheid van indringers en hieraan gekoppelde activiteiten in de (ICT-)omgeving van een organisatie te simuleren. In de uitvoering worden hiertoe methoden, technieken en middelen gehanteerd die binnen de hackergemeenschap gemeengoed zijn.

30 | de EDP-Auditor nummer 2 | 2007

TOOLS

ANALYSEREN

KENNIS DATABANK INTERNET

CROSS SITE SCRIPTING CODE REVIEW

ERVARING

INFORMATIE VERGARING

ONTWIKKELING

DENIAL OFSERVICE

FYSIEKE INSPECTIE

INRICHTING BACKDOORS

ONTWERP

BYPASSING

REPLAY

SESSION )3. PREDICTION HIJACKING WARDRIVING FINGERPRINTING

DUMPSTER DIVING

NETWORKMAPPING

VULNERABILITY SCANNING USER ENUMERATION

PINGING

)0

POORTSCANNING

KRAKEN WACHTWOORDEN BRUTEFORCE

GUESSING

MAN IN THE MIDDLE SLEUTELS

POORTSCANNING

WARDIALING SHOULDER SURFING

MISLEIDING SPOOFING

MAPPING  SCANNING

PLAATSEN BACKDOORS

AANVALLEN

GESLOTENBRONNEN

SOCIAL ENGINEERING

FLOODING

REROUTING

OPENBRONNEN

SNIFFING

DENIAL OFSERVICE

BUFFER OVERFLOW

REVERSE ENGINEERING

STRALING

PASSIEF

ACTIEF

PRIVILEGE ESCALATION

RACE INPUT CONDITION MANIPULATIE

#/43

OPEN

!20

SNIFFING

$.3 ZONETRANSFER

3.-0 POLLING

Tests met betrekking tot informatiebeveiliging kunnen in verschillende stadia van de levenscyclus1 van een product plaatsvinden. De in dit artikel beschreven penetratietestmethodiek heeft betrekking op objecten in een productieomgeving. Een team van professionals voert een penetratietest uit. Wanneer de direct voor een informatiesysteem of netwerk verantwoordelijke lijnmanagers en andere betrokkenen (beheerders en gebruikers) niet op de hoogte worden gebracht van de werkzaamheden van dit team, is sprake van een red team penetratietest. Red team-activiteiten komen voor de medewerkers als een verrassing. Deze situatie waarborgt dat de handelswijze van medewerkers natuurgetrouw is. Indien de penetratietesten plaatsvinden na voorafgaande kennisgeving aan de betrokkenen wordt het team ook wel een green team [SGAA02] genoemd. Doordat bij een green team of blue team penetratietest de betrokken medewerkers op de hoogte zijn, verkeren zij in een verhoogde staat van paraatheid en kunnen door kennisgeving vooraf, beveiligingsmaatregelen aangepast en aangescherpt zijn. De opdrachtgever bepaalt, eventueel in overleg met de auditors, of er sprake zal zijn van red of green teaming. Een penetratietest kan als audittechniek fungeren in aanvulling op de standaard IT-auditwerkzaamheden. De bevindingen worden in dat geval gebruikt ter ondersteuning van een uitspraak over de kwaliteit van het getroffen stelsel van beveiligingsmaatregelen in bestaan. Deze audittechniek kan echter ook als op zichzelf staande techniek gehanteerd worden om een specifieke onderzoeksvraag te beantwoorden. In de literatuur zijn penetratietesten getypeerd en aan de hand van de typering geclusterd. Door een clustering te han-

BANNERGRABBING

teren, is de werking en achtergrond van een techniek eenvoudiger te duiden. Op basis van literatuurstudie [NIST03] [RUSS02] en ervaring zijn wij gekomen tot een clustering op activiteitenniveau. Dit betekent een clustering in drie gebieden: informatie vergaring (in de methodiek stap 4a), analyseren (stap 4b) en aanvallen (stap 4c). In het gebied ‘aanvallen’ is onderscheid gemaakt tussen kwetsbaarheden in relatie tot het ontwerp, ontwikkeling en de inrichting. In bovenstaand figuur is door middel van mindmapping samenhang tussen de verschillende technieken en de onderkende clusters aangebracht. De mindmap in bovenstaand figuur geeft een indicatie van de diversiteit van technieken en de onderlinge samenhang. Hierbij wordt opgemerkt dat deze mindmap geen volledig beeld geeft van alle mogelijke technieken. Ook zijn vanwege de overzichtelijkheid niet alle kruisverwijzingen en relaties in het figuur opgenomen. Zo kan een techniek op verschillende manieren ingezet worden. Een buffer overflow kan bijvoorbeeld leiden tot een Denial-of-Service (beschikbaarheid) maar kan ook leiden tot ongeautoriseerde toegang (privilege escalation, exclusiviteit). Onderzoeksobjecten Het soort objecten waarop een penetratietest betrekking kan hebben, loopt sterk uiteen. Het onderzoek kan gericht zijn op: - apparatuur (servers, werkstations, netwerkcomponenten); - programmatuur (databases, toepassingsapplicaties); - gegevens (documenten, data); - mensen (handelswijze, gedrag); - de organisatie (procedures en verantwoordelijkheden); - de omgeving (locatie, invloeden van buitenaf) of een combinatie van de bovengenoemde objectcategorieën.

31 | de EDP-Auditor nummer 2 | 2007

Artikel Het onderzoeksdoel bepaalt uiteindelijk welke objecten onderdeel vormen van het onderzoek. Risicobepaling Het bepalen van het risico is vaak een impliciete vraag van de opdrachtgever. De IT-auditor moet aan de hand van een kans- en impactinschatting het risico duiden. In deze bepaling worden eigenschappen van de gehanteerde penetratietest technieken en middelen meegewogen. Aan de afzonderlijke technieken en geïdentificeerde kwetsbaarheden kunnen namelijk, ter bepaling van de risico’s, gewichten toegekend worden. Eigenschappen zoals het benodigde kennisniveau, complexiteit en benodigde middelen, bepalen mede het uiteindelijke risico (lees: kans dat een bedreiging manifest wordt). Ook factoren als tijd (hoe lang is de kwetsbaarheid bekend) en de verspreidingsgraad (bij wie is de kwetsbaarheid bekend) spelen hierbij een rol. Deze eigenschappen worden ook gehanteerd bij de vorming van een profiel (zie profielen en scenario’s). Een aantal van de genoemde eigenschappen vormt een onderdeel van beveiligingswaarschuwingen zoals de waarschuwingsdienst van GOVCERT. Deze dienst [WAAR07] geeft in haar waarschuwingen een risicoaanduiding aan. Microsoft kwantificeert eveneens de impact van een kwetsbaarheid in de waarschuwingen [MICR07]. Ook zijn er waarschuwingen van andere bedrijven waarin wordt aangegeven of de kwetsbaarheid lokaal of op afstand misbruikt kan worden. De ITauditor gebruikt al deze factoren als referentiepunt ter bepaling van het uiteindelijke risico dat gelopen wordt. Profielen en scenario’s De bovenstaande eigenschappen en niveaus kunnen gekoppeld worden aan een profiel. Door het aanmeten van een profiel kan de IT-auditor passende bedreigingen simuleren. Een profiel is een verzameling van eigenschappen (kenmerken en typeringen) welke tijdens de uitvoering van een penetratietest wordt gehanteerd. Bij een penetratietest is in beginsel sprake van twee profielen: een extern en een intern profiel. Op basis van de opdracht en de onderzoeksdoelstelling maakt de IT auditor een (gecombineerde) keuze. Extern profiel: dreiging van buitenaf De crux bij een extern profiel is dat er geen dan wel geringe voorkennis van de (detail)inrichting van het object van onderzoek en de omgeving beschikbaar is of gebruikt wordt. Ook is er in beginsel geen sprake van geautoriseerde fysieke toegang of andere speciale bevoegdheden tot het onderzoeksobject. Vervolgens kunnen binnen het profiel bepaalde factoren opgewaardeerd worden zodat een specifiek extern (dader)profiel ontstaat. Niveaubepalende factoren zijn het kennisniveau, complexititeit middelen en de factor tijd en geld. Op deze manier zijn er binnen het externe profiel verschillende gradaties te onderkennen (alles tussen reguliere internetgebruiker, script-kiddies tot buitenlandse inlichtingendienst).

Intern profiel: dreiging van binnenuit Bij een intern profiel is sprake van toegang tot gesloten informatiebronnen en autorisaties op omliggende infrastructuur dan wel fysieke toegang tot het object van onderzoek. Hierbij is enige mate van kennis van of toegang tot het object van onderzoek aanwezig. Voorbeelden van interne profiel typeringen zijn bezoekers, schoonmaker, medewerker, (eind)gebruiker, onderhoudsmonteur, systeembeheerder. Genoemde typeringen moeten vanwege de generalisatie genuanceerd worden gehanteerd. De ene eindgebruiker is de andere niet. Scenario’s In een scenario wordt de volgorde van gebeurtenissen en activiteiten vastgelegd. Op hoofdlijnen bestaan de volgende mogelijkheden: - eerst een extern profiel, gevolgd door een intern profiel; - het interne profiel en externe profiel parallel; - alleen het interne profiel; - alleen het externe profiel. Het klassieke scenario bestaat uit het in eerste instantie uitvoeren van een penetratietest volgens het externe profiel. Vervolgens worden penetratietests uitgevoerd met een intern profiel. De mogelijkheid bestaat om beide profielen afzonderlijk van elkaar te hanteren. Ook is het mogelijk de penetratietestactiviteiten van het interne profiel af te laten hangen van de resultaten van het externe profiel. Bij de activiteiten behorende bij het externe profiel van een red team penetratietest moet een auditor er altijd rekening mee houden dat de kans bestaat dat de activiteiten in een vroeg stadium worden opgemerkt, en het onderzoek daardoor noodgedwongen moet worden gestaakt. Afhankelijk van de onderzoeksdoelstelling en het exacte stadium waarin het onderzoek stukloopt kan dit enerzijds betekenen dat er geen conclusies getrokken kunnen worden. Anderzijds kan mogelijkerwijs de conclusie getrokken worden dat de beveiligingsmaatregelen (b.v. detectief) naar behoren functioneren. De IT-auditor kan vooraf scenario’s definiëren waarin ook theoretische gebeurtenissen in de praktijksituatie gebracht worden. Een scenario kan zijn om te onderzoeken welke informatie voor een schoonmaker toegankelijk is. Hiertoe wordt een intern profiel aangemeten en worden onderzoeksactiviteiten op het scenario afgestemd (bijvoorbeeld fysieke inspecties). In het scenario komt ook tot uitdrukking of de penetratietest op alle organisatieniveaus aangekondigd is (green team) of niet (red team). Wanneer het uitvoerend personeel op de hoogte gebracht wordt, kan teruggevallen worden op kennis en medewerking van het ondersteunend personeel (b.v. systeembeheer). Bij sommige penetratietestopdrachten is dit ook noodzakelijk. Een voorbeeld: een onderzoek

32 | de EDP-Auditor nummer 2 | 2007

naar de mate waarin gerubriceerde informatie op een netwerk aanwezig en verwerkt wordt, is eenvoudiger uit te voeren indien de volledige toegang tot de fileservers tot op systeembeheerdersniveau geregeld is (green team). Indien de opdracht echter het inschatten van de risico´s voor de toegang tot gerubriceerde informatie behelst, moet de ITauditor de kans inschatten dat deze bedreiging manifest wordt. De bijbehorende kansinschatting kan in dat geval bijvoorbeeld plaatsvinden door de kwetsbaarheid van de betreffende fileserver in kaart te brengen. In dat geval zal de systeembeheerder van de fileserver niet op de hoogte gesteld worden. Hierdoor kan ook een inschatting gemaakt worden van de alertheid van een systeembeheerder (red team). Penetratietesten bij Defensie Sinds 2002 is het testen van de beveiliging van de informatievoorziening door middel van het binnendringen in geautomatiseerde informatiesystemen door de Secretaris Generaal (SG) als taak toegewezen aan de Auditdienst Defensie (ADD). Eisen/randvoorwaarden voor methodiek

De methodiek voor penetratietesten en bijbehorende activiteiten moet voldoen aan een aantal randvoorwaarden. Bij Defensie is een aantal belangrijke randvoorwaarden vastgelegd in een aanwijzing van de SG [SGAA02] die herkenbaar in de penetratietesting-methodiek aanwezig moet zijn. Het betreft: reproduceerbaar. De resultaten van tests dienen reproduceerbaar te zijn. Hiermee wordt bedoeld dat alle onderzoeksactiviteiten en stappen vastgelegd dienen te zijn in die mate dat de tests achteraf op dezelfde wijze uitgevoerd kunnen worden en leiden tot dezelfde resultaten. De verwachte uitwerking van onderzoeksactiviteiten dient vooraf vastgelegd te zijn; doelmatig. De activiteiten mogen alleen uitgevoerd worden voor zover dit voor de beoordeling van de toereikendheid van de beveiligingsmaatregelen en de beantwoording aan de onderzoeksdoelstelling(en) noodzakelijk is. Voorts dienen de te hanteren technieken en middelen representatief te zijn voor de dreiging tegen het desbetreffende informatiesysteem of netwerk; beheersbaar. Onder beheersbaarheid zijn de volgende deeleisen geschaard: a. Schade aan het te onderzoeken informatiesysteem en hieraan gekoppelde systemen dient zoveel mogelijk te worden voorkomen; b. De wijze van uitvoering moet zodanig worden vastgelegd dat eventueel optredende schade op relatief eenvoudige wijze kan worden hersteld; c. Tijdens de activiteiten ontsloten informatie mag niet voor andere dan de vooraf vastgestelde doeleinden worden gebruikt of worden overgedragen aan derden; d. Gegevens en bestanden die gebruikers niet in het kader

van hun functie, maar kennelijk als privé-persoon creëren, worden na herkenning als zodanig niet opgeslagen, reeds opgeslagen gegevens worden dan terstond vernietigd. Indien echter een vermoeden van strafbare feiten bestaat, moeten de gegevens worden overgedragen aan de bevoegde opsporingsinstantie; e. Alle bevindingen dienen voorts vertrouwelijk te worden behandeld en de bevindingen in de rapportages mogen niet te herleiden zijn tot individuele personen. Voorts is vastgelegd dat de methodiek geschikt moet zijn in verschillende omgevingen en inzetbaar moet zijn in verschillende situaties. Bovendien moet de kwaliteit van de penetratietest en bijbehorende werkzaamheden door middel van toezicht en controles zijn gewaarborgd. De organisatorische inrichting en samenstelling van een penetratietestteam moet een onderdeel vormen van de methodiek. Inventarisatiemethodieken In 2003 hebben wij meerdere methodieken voor penetratietesten nader beschouwd op bruikbaarheid binnen het ministerie. Een drietal organisaties had een aanzet gemaakt voor een methodische benadering. Het betreft het National Institute of Standards and Technology (NIST), ISECOM (Institute for Security and Open Methodologies) en de Common Criteria (CC) evaluatiestandaard. Naar onze overtuiging voldeed op dat moment echter geen enkele methodiek volledig aan de eisen die door ons werden gesteld. De voornaamste bezwaren die op dat moment golden waren: - er is in het algemeen weinig aandacht voor de opstart- en afrondingsfase van een penetratietest. Deze fasen zijn met name van belang omdat hierin uitgangspunten en onderzoeksdoelstellingen besproken, afgestemd en vastgelegd worden. Dit vormt de basis van een penetratietest. In de opstartfase van een onderzoek moet bijvoorbeeld een plan van aanpak en werkprogramma worden opgesteld. Deze onderdelen komen niet in de bestaande methodieken aan bod; - in de bestaande methodieken vormt het beperken van de schade geen uitgangspunt. Bij een aantal methodieken wordt geen rekening gehouden met beperkingen ten aanzien van het gebruik van de verkregen evidence en geheimhouding; - in de methodieken zijn geen of onvoldoende afhankelijkheden met interne of externe profielen, red team of green team opdrachten; - de methodieken besteden onvoldoende aandacht aan de vastlegging van penetratietestobjecten, kwaliteitsaspecten en te hanteren normering. Deze randvoorwaarden behoren bij de opstartfase van een penetratietest vastgesteld en bekend te zijn; - kwaliteitsborging, kwaliteitscontroles en toezicht op de penetratietesten vormen geen onderdeel van de bestaande methodieken.

33 | de EDP-Auditor nummer 2 | 2007

Artikel

6//2"%2%)$).' &ORMULERENOPDRACHT 3TAPABEHANDELINGVERZOEK 3TAPBCONCRETISERINGOPDRACHT 3TAPCACCORDERINGOPDRACHT

5)46/%2).'

!&2/.$).'

5ITVOERINGPENETRATIETEST

!FRONDING

3TAPAINFORMATIEVERGARING 3TAPBANALYSEREN 3TAPCONDERNEMENVERVOLGSTAPPEN

3TAPARAPPORTEREN 3TAPBDOSSIERVORMING 3TAPCEVALUATIE

/PSTELLEN0LANVANAANPAK 3TAPAOPSTELLENPLANVANAANPAK 3TAPBBEPALENBENODIGDERESOURCES 3TAPCACCORDERING PLANVANAANPAK

6OORBEREIDINGPENETRATIETEST 3TAPAFORMATIETEAM 3TAPBACTUALISERENBENODIGDEKENNIS 3TAPCOPSTELLENWERKPROGRAMMA 3TAPD ACCORDERING WERKPROGRAMMA

'

'). "/2

)43 ,)4% ! +7

Methodiek defensie Op basis van literatuuronderzoek, inventarisatie van bestaande methodieken en opgedane ervaring is Defensie tot een eigen methodiek gekomen. In de uitwerking van de stappen zijn in enkele gevallen specifieke Defensiebepalingen opgenomen. Het gedachtegoed achter deze stappen kan echter eenvoudig geprojecteerd worden op andere (overheids)omgevingen. Bij het opstellen van deze methodiek is rekening gehouden met de gestelde eisen en is aansluiting gezocht met faseringen van een ‘standaard’ IT-audit [NORE02]. De nieuw ontwikkelde methodiek bestaat uit een vijftal stappen, zoals op hoofdlijnen in het bovenstaande figuur afgebeeld. Het stappenplan behandelt niet alleen de kern van de uitvoering van een penetratietest maar besteedt ook aandacht aan de opstart- en afrondingsfase. Deze fasen worden in de meeste andere penetratietest methodieken niet benoemd of nader uitgewerkt. De in bovenstaande figuur opgenomen stappen bij de voorbereiding, uitvoering en afronding zijn verdeeld in verdere (sub)activiteiten en nader beschreven in de Defensie-methodiek. In het vervolg van dit artikel beperken wij ons tot enkele belangrijke aandachtspunten en lichten wij deze verder toe. Voorbereiding Stap 1b: concretisering opdracht

Een belangrijke fase in deze stap is het vaststellen van de profielen die gebruikt gaan te worden. De opdrachtgever geeft de insteek van het onderzoek en de te hanteren profielen aan op advies van de opdrachtnemer. In deze profielbe-

schrijvingen komt impliciet een kansinschatting van een bedreiging en daarmee een risico tot uitdrukking. De opdrachtgever zal namelijk aangeven of een bepaald profiel als reële dreiging wordt gezien in de omgeving. Er moet ook bepaald worden of de penetratietest een red team activiteit of een green team activiteit betreft. Met andere woorden: wordt de activiteit aangekondigd of vindt de penetratietest ‘in het diepste geheim’ plaats. Vervolgens werkt de IT auditor de doelstelling uit tot één of meerdere onderzoeksvragen. Bij een opdracht met een extern profiel (black box) stelt de opdrachtgever (diepgaande) achtergrondinformatie in het beginsel niet beschikbaar aan de teamleden. Stap 2a: opstellen concept plan van aanpak

In het concept plan van aanpak legt de opdrachtnemer naast het object/omgeving en de opdracht ook de volgende voor penetratietesten specifieke onderdelen vast: • activiteiten. Als de opdracht helder en afgestemd is kunnen, op basis van profielen en de insteek (red team/green team), activiteiten beschreven worden. Uiteraard worden uit het oogpunt van doelmatigheid alleen die activiteiten ondernomen die noodzakelijk zijn voor de beantwoording van de onderzoeksvraag. De activiteiten in het plan van aanpak worden op hoofdlijnen beschreven. Op hoofdlijnen betekent dat men aangeeft wat de activiteit inhoudt en niet hoe de activiteit inhoudelijk invulling krijgt. De inhoudelijke invulling (hoe) van de activiteiten wordt in het werkprogramma (stap 3c) vastgelegd. Van elk van de activiteiten wordt aangegeven: - het detectierisico en de mate van complexiteit. Deze eigenschappen worden door middel van een laag, midden, hoog aanduiding geclassificeerd. Het detectierisico in deze con-

34 | de EDP-Auditor nummer 2 | 2007

text is de kans dat de gecontroleerde (bijvoorbeeld beheerders) of andere betrokkenen een activiteit opmerkt. Deze kansinschatting heeft alleen een waarde bij een red team opdracht. Het al dan niet signaleren van activiteiten uitgevoerd door het penetratietestteam is afhankelijk van de expertise en ervaring van de beheerders en de aanwezigheid van technische beveiligingsmechanismen zoals een intrusion detection systeem. Complexiteit is een van de eigenschappen waarmee de kans op misbruik wordt aangeduid. De kans op misbruik bepaalt uiteindelijk weer het risico dat de organisatie loopt; - wat het verwachtte resultaat is. Het doel van het op voorhand vastleggen van het verwachte resultaat is tweeledig. Enerzijds ter controle van de doelmatigheid van de uitgevoerde penetratietesten. Anderzijds biedt dit de mogelijkheid om te leren van fouten door een andere uitwerking dan beoogd (evaluatie). Afhankelijk van de opdracht en insteek van de penetratietest wordt vastgelegd welke afdelingen men binnen de organisatie op de hoogte brengt van de activiteiten. Commitment op het hoogste niveau is in alle gevallen gewenst. Door het commitment van het hoogste management worden mogelijke organisatorische problemen (bijvoorbeeld incidenten) of tegenwerking die tijdens de uitvoering ontstaan in belangrijke mate voorkomen. • risico’s. Er wordt een inschatting gemaakt van de risico’s die men loopt door het uitvoeren van de penetratietestactiviteiten. Er moet een doemscenario aanwezig zijn. Systemen kunnen namelijk uitvallen, data kan verloren raken of naar buiten lekken en de performance kan negatief beïnvloed worden. Al deze aspecten moeten worden onderkend. Zo dient enerzijds voor de opdrachtgever duidelijk te zijn wie van het penetratietestteam te benaderen als problemen ontstaan of gesignaleerd worden. Anderzijds moet het penetratietest team snel de juiste afdelingen in kunnen schakelen zodat een eventueel probleem snel en adequaat afgehandeld kan worden. Wij hebben met de verschillende betrokkenen een protocol opgesteld. Kort gezegd staat hierin: - Het beveiligingsbeheer signaleert bepaalde activiteiten en vraagt bij ons of wij bezig zijn met een onderzoek. Zo niet, dan kan dit duiden op een serieus probleem en een mogelijk veiligheidsincident. Zo ja, dan betekent dit in ieder geval voor een deel: einde red teaming. - Wij signaleren of voorzien een probleem en brengen het beveiligingsbeheer direct op de hoogte. Ook hier geldt: einde red teaming.

Binnen het team zijn een drietal rollen te onderkennen: een coördinerende rol, technisch expert rol (teamlid) en interne toezichthoudende rol. Een penetratietestteam bestaat hierdoor altijd uit tenminste twee personen. De coördinerende en technisch expert rol kan verenigd zijn in één persoon. Deze persoon moet in dat geval wel beschikken over voldoende (technische) kennis van de te onderzoeken objecten. De interne toezichthoudende rol ter waarborging van de kwaliteit van het onderzoek is noodzakelijk vanwege het belang en de gevoeligheid van penetratietesten, waardoor men ook nadrukkelijk achteraf verantwoording levert. De interne toezichthouder bekijkt het plan van aanpak en het werkprogramma kritisch. De toezichthouder treedt bovendien op als klankbord. De coördinator is het aanspreekpunt voor de opdrachtgever en coördineert de penetratietestopdracht. Hij draagt zorg voor de samenstelling van een team van specialisten. Deze specialisten kunnen zowel van binnen als buiten de organisatie van de opdrachtnemer afkomstig zijn (zie ook stap 2b). Elke specialist wordt toegewezen aan één of meerdere activiteiten. Doordat activiteiten zijn afgebakend hoeven de specialisten niet van elkaars werkzaamheden op de hoogte te zijn. De coördinator zorgt er voor dat de activiteiten elkaar tijdens de uitvoering niet belemmeren (planning van activiteiten, wie, wat, wanneer uitvoert). Met de teamleden worden heldere afspraken gemaakt over de te leveren bijdrage, planning van werkzaamheden, rapportagevorm en communicatie. Uitvoering De uitvoeringsfase van de penetratietest is voor wat betreft de detailinvulling in sterke mate afhankelijk van de onderkende benodigde activiteiten uit het plan van aanpak (stap 2) en het werkprogramma (stap 3). Een drietal generieke stappen (zie figuur op blz. 31) zijn echter tijdens de uitvoering van elke penetratietest te onderkennen. Het betreft: - informatievergaring door een verkenning van het object en de bijbehorende omgeving van het object (stap 4a); - het analyseren en interpreteren van deze informatie (stap 4b); - het nemen van vervolgacties (aanval) op basis van de geanalyseerde informatie (stap 4c). Van alle werkzaamheden en resultaten van deze werkzaamheden wordt tijdens de uitvoering verslag gedaan. Evidence, analyseresultaten en interpretaties moeten door de teamleden worden vastgelegd. De coördinator bepaalt welke delen in de rapportage worden opgenomen en welke delen alleen voor het dossier bestemd zijn (zie ook stap 5). Stap 4a: informatievergaring (verkenning)

Stap 3a: formatie team

De samenstelling en omvang van een penetratietestteam is afhankelijk van de onderzoeksdoelstelling, omvang en complexiteit van het onderzoeksobject en benodigde kennis en kunde in relatie tot de onderkende onderzoeksactiviteiten.

Het startpunt van elke penetratietest is een verkenning van het object en de omgeving. De verkenningsfase heeft tot doel zoveel mogelijk informatie over het onderzoeksobject en de omgeving te verkrijgen. Het verkrijgen van deze informatie kan op een actieve (bijvoorbeeld scannen of social

35 | de EDP-Auditor nummer 2 | 2007

Artikel engineering) en een passieve (publieke informatiebronnen zoals het Internet of foldermateriaal) wijze plaatsvinden. Welke technieken en middelen hiertoe ingezet worden, is mede afhankelijk van het gekozen profiel. Stap 4b: analyseren van informatie

De informatie die tijdens de verkenning (stap 4a) verzameld is, wordt vervolgens geanalyseerd en geïnterpreteerd. De analyse kan leiden tot feiten of een indruk geven van de situatie. De auditor beschrijft het onderscheid in de verslaglegging. Het resultaat van een mapping en scanning activiteit is bijvoorbeeld een overzicht van eigenschappen van systemen en netwerkservices. De IT-auditor kan vervolgens na analyse van de resultaten een indicatie van de kwetsbaarheidspotentie van de geïdentificeerde systemen geven. In een vervolgactiviteit (aanval) worden deze geïdentificeerde kwetsbaarheden gebruikt om toegang te verkrijgen tot systeemfuncties of andere doeleinden. Kwetsbaarheidanalyse De kwetsbaarheidanalyse richt zich op het vaststellen van de kwetsbaarheid van de geïdentificeerde platformen en services. De kwetsbaarheid kan op een tweetal manieren tot uitdrukking komen. Allereerst kan de kwetsbaarheid betrekking hebben op de inrichting (parametrisering). De verantwoordelijkheid voor de parametrisering en configuratie ligt bij de systeem- of applicatie-eigenaar. Een voorbeeld is een te ruime inrichting van toegangsautorisaties. Daarnaast kan de kwetsbaarheid betrekking hebben op het ontwerp of de implementatie van het ontwerp (ontwikkeling) van het platform of applicatie zelf. Een oplossing voor deze kwetsbaarheid kan in de meeste gevallen alleen door de leverancier van het product aangedragen worden. Tijdens een penetratietest in een productieomgeving is het verstandig het vaststellen van kwetsbaarheden te beperken tot bekende kwetsbaarheden. Het is namelijk zeer voor de handliggend dat onderzoek naar nieuwe kwetsbaarheden leidt tot uitval van het systeem, het netwerk of toepassing (Denial of Service). Uitval kan leiden tot grote schade. Stap 4c: ondernemen vervolgstappen en activiteiten De vervolgstappen en activiteiten zijn niet alleen afhankelijk van de onderzoeksdoelstelling maar tevens afhankelijk van de resultaten van de uitgevoerde activiteiten. Zo kunnen door de toepassing van verschillende profielen, tijdens de uitvoering, nieuwe inzichten ontstaan. Beslissingen over te nemen (vervolg)activiteiten worden altijd door de coördinator van het penetration testing team genomen. De coördinator (opdrachtnemer) zal in overleg treden met de opdrachtgever als grote afwijkingen ontstaan ten opzichte van het plan van aanpak. Alle nieuwe of aangepaste stappen die tijdens de penetratietest uitgevoerd worden, moeten op dezelfde wijze gedocumenteerd worden als de beschreven activiteiten uit het werkprogramma (stap 3c).

Aanvallen / binnendringen De IT-auditor kan afhankelijk van zijn of haar opdracht besluiten (in overleg met opdrachtgever) vervolgstappen te ondernemen. Concreet betekent dit dat de IT-auditor gebruik maakt van de tijdens de verkenningsfase en analysefase geïnventariseerde kwetsbaarheden. Een aanval wordt op dat moment op een gecontroleerde wijze gesimuleerd. Ook voor deze activiteit kan de IT-auditor geautomatiseerde tools inzetten. De IT-auditor kan het nemen van deze vervolgstappen op twee manieren motiveren. Allereerst door aantoonbaar te maken dat de geconstateerde kwetsbaarheid niet alleen in een theoretische omstandigheid aanwezig is, maar ook daadwerkelijk in de praktijk aanwezig en uitvoerbaar is. Dit kan de IT-auditor voor een nadere onderbouwing van het oordeel gebruiken omdat het risico op basis van een praktijksituatie beter te duiden is. Daarnaast kan de IT-auditor deze stap ondernemen als opstap binnen het onderzoek om te komen tot de beantwoording aan de onderzoeksdoelstelling. Het gebruikmaken van geïnventariseerde kwetsbaarheden kan namelijk leiden tot: toegang tot informatie, toegang tot faciliteiten en resources, opwaardering van rechten en een aanpassing of toevoeging op het systeem. Met het laatste moet uitermate voorzichtig worden omgegaan. Een aanpassing of toevoeging op het systeem kan leiden tot een instabiel systeem. Hulpmiddelen (tools)

De herkomst van tools die tijdens een penetratietest gebruikt worden kan verschillend zijn. In eigen beheer ontwikkelde tools bieden de meeste mogelijkheden en sluiten, indien juist uitgevoerd, het beste aan op een uit te voeren penetratietest. Het zelf maken van tools vereist wel kennis, tijd en dus geld. Wat meer voor de hand ligt is dat gebruik gemaakt wordt van commercial off-the-shelf (COTS) producten of opensource software. Onafhankelijk van de herkomst moeten alle middelen echter uitgebreid getest worden zodat de werking van het middel en eventuele negatieve gevolgen tijdens de inzet bij een penetratietest op voorhand bekend zijn. Het voordeel van de open-source programmatuur is dat er een grote keuze is in software en dat er geen of lage kosten voor het gebruik gerekend worden. Wel dient het geheel van kosten (incl. evalueren) in kaart gebracht te worden voordat een keuze op basis van kosten gemaakt wordt. Een ander voordeel van deze software is dat vaak de broncode beschikbaar is zodat gecontroleerd kan worden of backdoors of andere ongewenste code opgenomen is. Wanneer de broncode meegeleverd is, heeft dit ook als voordeel dat functionaliteit van de tool door de auditor zelf kan worden uitgebreid of kan worden aangepast, mits dit binnen de licentie mogelijk is. Voor wat betreft de vaststelling van de aanwezigheid van bekende kwetsbaarheden in een systeem of netwerk kan de

36 | de EDP-Auditor nummer 2 | 2007

IT-auditor gebruik maken van volledig geautomatiseerde tools. Ook hier is een grote keuze aan producten die elk eigen voor- en nadelen hebben. Belangrijk is dat de kwetsbaarhedendatabases waarvan de tools gebruikmaken, up-todate zijn en beschikken over de laatste bekende kwetsbaarheden. Het voordeel van geautomatiseerde tools is dat de kwetsbaarheidinformatie niet beperkt is tot één enkele applicatie of besturingssysteem. Ook is de outputrapportage van de tools overzichtelijk, is geen diepgaande kennis van de onderliggende materie noodzakelijk en geeft de tool een indicatie van het risico en oplossingsrichting aan. Het nadeel van deze tools kan zijn dat het gebruik ervan eenvoudig herkend wordt, doordat vaste patronen onderdeel vormen van de scanactiviteit. Dit maakt dergelijke tools minder geschikt tijdens een red team opdracht. Iets dergelijks geldt ook voor tools die een breed spectrum aan mogelijke bedreigingen gebruiken. Het is effectiever om specifieke tools in te zetten, zoals bijvoorbeeld voor databases of webapplicaties.

van een pentest kunnen daardoor in potentie sneller tot gewenste herstel- of correctieve acties leiden dan een reguliere audit. Overigens heeft de aansprekendheid van de resultaten geleid tot een behoefte aan onderzoeken, waarbij het accent zich lijkt te verleggen van pure netwerk- en systeemonderzoeken naar de kwetsbaarheid van specifieke toepassingen. Hierbij blijft natuurlijk de onderliggende infrastructuur in het vizier.

So far so good… In de afgelopen jaren hebben wij op een aantal objecten, vanuit verschillende invalshoeken en gericht op het beantwoorden van diverse onderzoekvragen, red teaming activiteiten uitgevoerd. Er hebben geen green teaming onderzoeken plaatsgevonden, steeds bleek de voorkeur van de opdrachtgever(s) uit te gaan naar het niet op de hoogte stellen van de organisatie, hooguit op enkele sleutel functionarissen na. De red teaming onderzoeken zijn erg leerzaam geweest, zowel voor ons als IT-auditors maar ook voor IT-beheerders en veiligheidsfunctionarissen. Tot nu toe hebben alle onderzoeken antwoord gegeven op de onderzoeksvragen, met andere woorden: de onderzoeken hebben geleid tot het gewenste resultaat, waarbij in sommige gevallen uiteraard sprake is van een ongewenst resultaat. Hierna volgt een samenvatting van onze belangrijkste ervaringen, ‘leermomenten’ en aandachtspunten, vertaald naar onderkende voordelen, nadelen en enige algemene opmerkingen.

Nadelen Ondanks de aansprekende resultaten is red teaming geen wondermiddel: ook hiermee kun je niet aantonen dat alles 100 procent geregeld is. Het geven van assurance is beperkt tot het duiden op de aanwezigheid en in mindere mate de afwezigheid van kwetsbaarheden. Penetratietesten heeft met name een aanvullende functie ten aanzien van vaststellingen in bestaan. Hierin openbaart zich tevens de beperking dat dit type onderzoek slechts een indirect raakvlak heeft met de output van beheerprocessen. Red teaming is primair gericht op parametrisering, inrichting en eigenschappen van een ICT component. Overigens is achteraf de relatie met beheerprocessen voor een deel te leggen door het opvragen van incident rapportages. Deze kunnen verduidelijken in welke mate de red teaming activiteiten zijn geregistreerd, en hoe beheerders hier eventueel op hebben gereageerd. Een andere beperking is gelegen in het feit dat het aantonen van een nieuwe (ontwerp)fout niet direct leidt tot een oplossing van het probleem. Meestal is alleen de leverancier degene die dit kan verhelpen.

Tenslotte dwingen penetratietesten af dat de IT-auditor omgevingsfactoren in zijn onderzoek betrekt. Waarnemingen vinden namelijk in eerste instantie vanuit de omgeving plaats. Penetratietesten bieden bovendien de mogelijkheid om een accuraat en realistisch beeld van de kwaliteit van de geïmplementeerde beveiligingsinrichting van een geautomatiseerd systeem te verkrijgen. Reële bedreigingen worden namelijk in de praktijk ten uitvoer gebracht.

Voordelen Het eerste voordeel betreft de relatieve snelheid waarmee een dergelijk onderzoek tot resultaat kan leiden ten opzichte van een reguliere audit naar ‘bestaan’. In sommige gevallen is het resultaat zo snel bereikt dat dit een positief effect heeft op de aanvaarding van het risico. Resultaten van red teaming onderzoek worden namelijk soms gebagataliseerd door uit te gaan van de veronderstelling dat alleen tot ‘nerds’ gemuteerde IT-ers dit voor elkaar kunnen krijgen. Snelle resultaten winnen hierbij echter aan overtuigingskracht.

De frequentie van een à twee red teaming onderzoeken per jaar blijkt een zwaar beslag te leggen op de beschikbare capaciteit. Het vastleggen van activiteiten, resultaten, de zorgvuldige dossiervorming en rapportage vergen veel tijd. Dit betekent dat, mede ook door het noodzakelijke op peil houden van kennis en vaardigheden, dergelijke onderzoeken alleen plaats kunnen vinden binnen organisaties met een zekere personeelsomvang en indien nodig aanvullende inhuur van externen.

Daarnaast vervult het onderzoeksresultaat door het aansprekende karakter vaak de rol van breekijzer voor het management. De ‘pentest’ (in het bijzonder hacking) is bovendien een begrip waarbij het gemiddelde management zich een levendige voorstelling van kan maken. Aansprekende bevindingen en voorbeelden dragen daar zeker aan bij. Resultaten

Tot slot De IT-auditor moet zich er van bewust zijn dat bij een penetratietest evidence als het ware wordt gegenereerd. Het genereren (actief) van evidence is een verschil met een ‘standaard’ IT-audit waarbij evidence verzameld wordt. Door tests van de IT-auditor kan namelijk daadwerkelijk een inci-

37 | de EDP-Auditor nummer 2 | 2007

Artikel dent optreden. Het is hierdoor mogelijk de effectiviteit van de werking van procedures zoals een calamiteitenprocedure, backup/restore, het resetten van wachtwoorden, rapportages te controleren. De penetratietest als activiteit kan dergelijke procedures initiëren.

geautomatiseerde informatiesystemen. 29 juli 2002. Aanwijzing A/882 Secretaris Generaal van het Ministerie van Defensie. [WAAR07] Waarschuwingsdienst tegen virussen, wormen en beveiligingslekken (software), onderdeel van GOVCERT.NL, april 2007. ( http://www. waarschuwingsdienst.nl/)

De aard van de bewijsvoering is ‘hard’. Dit heeft tot gevolg dat fase van hoor- en wederhoor eerder leidt tot het geven van een toelichting door de verantwoordelijke functionarissen over voorgenomen verbeteringen, dan het bijstellen van bevindingen. Tijdens de presentatie van de resultaten moet de IT auditor ervoor waken niet in de (verleidelijke) valkuil te trappen om al te zeer in te gaan op het uitleggen van de gebruikte technieken. Het zijn de blootgelegde risico’s die tellen. Sommige risico’s vragen hierbij wel om enige relativering omdat de organisatie zich daartegen slecht kan wapenen, zoals nieuwe fouten (bugs) in componenten. Een aspect dat in dit artikel niet is behandeld, is de juridische implicatie van penetratietesten. Het gehele spectrum van aansprakelijkheid, wet bescherming persoonsgegevens (WBP) en de wet computercriminaliteit (WCC) kan mogelijk beperkend werken op de uitvoering van penetratietesten. Of deze regelgeving voor onze red teaming onderzoeken mogelijk nog gevolgen heeft, is op dit moment niet geheel duidelijk en vergt onze aandacht. De tijd staat niet stil. Sinds onze inventarisatie, het inrichten en toepassen van de methodiek is er het een en ander aan ontwikkelingen geweest op het gebied van penetratiestesting. Een belangrijke bron voor geïnteresseerden is ISECOM, met de Open Source Security Testing Methodology Manual [OSST07] . In een vervolg op dit artikel gaan we dieper in op (delen van) het in de praktijk toepassen van penetratietesten. Noot 1 Ook [NIST03] koppelt het testen van beveiliging aan het system development life cycle model. In alle fasen kunnen beveiligingstests plaatsvinden. Referenties [MICR07] Microsoft Security Advisories, april 2007 (http://www.microsoft. com/technet/security/advisory/default.mspx) [NIST03] Guideline on Network Security Testing. Recommendations of the National Institute of Standards and Technology. NIST Special Publication 800-42, oktober 2003. [NOREA02] NOREA studierapport nr. 2: Een kwaliteitsmodel voor register EDP-auditors. Juli 1997. [OSST07] Open-Source Security Testing Methodology Manual. versie 2.2, December 2006. (http://www.isecom.org/osstmm/) [RUSS02] Hack proofing your network., Ryan Russel e.a., Syngress, maart 2002. ISBN: 1-928994-15-6. Opgevolgd door digitale versie d.d. 6 april 2006. [SGAA02] Testen beveiliging informatievoorziening door binnendringen in

38 | de EDP-Auditor nummer 2 | 2007

Interview

Paul van Kessel: ‘Global ontwikkelingen’ binnen het IT-auditvak Chris Wauters en Tobias Houwert

Paul van Kessel vervult sinds 1 juli 2006 de functie van Global Managing Partner Technology & Security Risk Services (TSRS) binnen Ernst & Young (E&Y). Hij is in zijn functie wereldwijd verantwoordelijk voor IT-assurance and IT-advsiory gerelateerde dienstverlening. Wij spraken hem in Amsterdam. In dit interview vertelt hij over zijn nieuwe functie, de ontwikkelingen in de markt en geeft hij tips aan toekomstige IT auditors die willen gaan werken binnen het vakgebied.

Wat houdt de functie van Global Managing Partner TSRS in? ‘Op de eerste plaats heeft mijn functie een sterk inhoudelijk en strategisch karakter. Uiteindelijk ben ik eindverantwoordelijk voor de strategische richting van onze TSRS diensten. Vanuit die strategische rol beslis ik over de scope van onze services, in welke landen we gaan investeren, wat voor carrièremogelijkheden we bieden aan onze mensen, welke innovaties we doorvoeren (zetten we in op privacy of doen we “continuous control monitoring”) en het gaat ook over de structuur van de organisatie en hoe je met andere onderdelen van E&Y samenwerkt. Naast mijn strategische werk vervul ik ook een tactische rol en zorg ik dat de uitgezette strategie wordt geïmplementeerd. Hiervoor ben ik veel in het buitenland. In de eerste 8 maanden in deze nieuwe functie heb ik 125 enkele vluchten gemaakt. Dat betekent dus overal naar toe en handen uit de mouwen.’ ‘Daarbij ben ik zowel intern als extern een boegbeeld. Als E&Y naar buiten treedt met internationale brochures of “research” rapporten, dan ben ik het eerste aanspreekpunt. Tenslotte vervul ik de functie van interne ambassadeur en leg ik bij evenementen uit wat er op wereldwijd niveau gebeurt op het gebied van IT-assurance en IT-advisory. Toen jullie binnenkwamen werkte ik bijvoorbeeld aan een presentatie die ik volgende week in Tokyo en Shanghai moet geven. Dit soort bijeenkomsten combineer ik zoveel mogelijk met een bezoek aan de buitenlandse vestigingen van een aantal multinationale klanten die ik bedien.’

Ernst & Young Technology & Security Risk Services Bij Ernst & Young werken ruim 114.000 medewerkers in 140 landen. In het boekjaar 2006-2007 werd een totale omzet gerealiseerd van 18,4 miljard dollar. TSRS, met 6.500 medewerkers, heeft wereldwijd een aandeel van circa 7%-8% in de totale bedrijfsomzet. Op dit moment wordt de

Hoe ziet die tactische rol er concreet uit? ‘Uiteindelijk moeten de zeven regio’s (area’s zoals wij die noemen) invulling geven aan de implementatie van de strategie en daar werk ik op heel veel fronten aan mee. Ik maak met regioleaders afspraken over hun targets en ondersteun bij de implementatie van nieuwe diensten en het ontwikkelen van markten. Als er belangrijke offertes moet worden geschreven, ben ik aanwezig om het offerteteam te adviseren. Eens in het kwartaal houden we review meetings om te kijken of doelstellingen zijn behaald. Dan ben je dus eigenlijk bezig met tactische bedrijfsvoering.’

meeste TSRS omzet gerealiseerd in de Verenigde Staten en Europa. Naast in de ‘volwassen’ markten liggen de groeimogelijkheden met name in Rusland, China, Japan, India en Zuid-Amerikaanse landen, aldus Paul van Kessel. Zie voor meer informatie: www.ey.com

Ben je eindverantwoordelijk binnen het domein IT-assurance en IT-advisory? ‘Ja, ik ben eindverantwoordelijk, maar ik doe dat natuurlijk niet alleen. Ik heb op “global niveau” 45 mensen die het “staf-gerelateerde-werk” doen. Deze groep is onder andere

40 | de EDP-Auditor nummer 2 | 2007

Paul van Kessel drs. P.L.A.M. (Paul) van Kessel RE RA Global Managing Partner Technology & Security Risk Services (TSRS) binnen Ernst & Young (E&Y). Daarvoor was hij Area Managing Partner voor TSRS in Central Europe. Paul van Kessel was voor aanvang van zijn nieuwe rol binnen de Global E&Y organisatie als hoogleraar accountancy verbonden aan de Universiteit van Tilburg.

verantwoordelijk voor Research & Development en buigt zich over de vraag wat de toekomstige producten en diensten zijn die E&Y aanbiedt. Ook de “global learning”, kennismanagement, tool ontwikkeling en “global marketing” wordt door deze groep verzorgd. Daarnaast heb ik veel steun van het management van de regio’s.’

IT services vanuit één winkel, het ‘one-stop-shop’ concept

Voor welke nieuwe uitdagingen sta je in je functie? ‘Dat zijn er een paar, maar de belangrijkste uitdaging in de afgelopen maanden was om onze IT-assurance en IT-advisory diensten binnen E&Y goed te positioneren. Uiteindelijk hebben we ervoor gekozen om een “one-stop-shop” voor IT services in te richten. Hiermee worden alle IT diensten van E&Y vanuit één en dezelfde afdeling geleverd: “seamless and consistent” noemen we dat.’

beeld kom je op due dilligence-vraagstukken. Er moet bijvoorbeeld een bedrijf gekocht worden, het bedrijf moet gewaardeerd worden en IT is natuurlijk een steeds belangrijker onderdeel van de waarde van een bedrijf. Na de transactie moeten de twee bedrijven geïntegreerd worden (transaction integration). Een steeds groter onderdeel van transaction integration is IT. Bedrijven hebben bijvoorbeeld 100 verschillende systemen staan. De vraag is hoe je deze gaat integreren. Bij TAX opdrachten gaat het bijvoorbeeld om ERP-systemen die transacties verwerken in vele landen van de wereld. Hoe ga je dan om met resultaten, hoe ga je om met “pricing”

‘Naast de IT services die we direct aan klanten leveren, zijn IT services steeds meer een belangrijk onderdeel van andere diensten. Bij Transaction Advisory Services (TAS) bijvoor-

41 | de EDP-Auditor nummer 2 | 2007

Interview

Mensen die in IT-assurance en IT-advisory werken hoeven zich de komende jaren niet te vervelen tussen de landen, hoe ga je om met BTW, hoe ga je om met waar de winst valt. Allemaal vraagstukken waar de IT auditor niet veel van afweet maar wel allemaal zaken die uiteindelijk ook hun beslag moeten krijgen in de bedrijfsprocessen en de parameters van het ERP-systeem. En wie maakt nu die verbinding tussen de inhoudelijke TAX aspecten en de manier waarop dat vertaald moet worden in het systeem?. Dat is ook zo’n gebied waar een enorme uitdaging ligt en waar ik mogelijkheden zie. IT-auditors zullen dus ook kennis moeten hebben van andere toepassingsgebieden en medewerkers van andere disciplines moeten voldoende “IT-aware” zijn om ITdeskundigen in te schakelen als dit nodig is.’ ‘Binnen E&Y hebben we – zoals gezegd – een one-stopshop voor deze diensten gecreëerd. Daarmee is het niet alleen voor iedereen duidelijk waar aan te kloppen voor IT diensten, maar kunnen wij onze mensen ook een afwisselende carrière aanbieden met veel mogelijkheden om te leren, te specialiseren en met vakgenoten te sparren.’ Wat is het alternatief voor een one-stop-shop? Paul legt uit dat ook gekozen had kunnen worden voor een model waarbij in elk onderdeel van E&Y IT deskundigen aanwezig waren. ‘Maar dan heb je een aantal problemen. Op de eerst plaats kom je elkaar tegen op de krappe arbeidsmarkt en ben je dus eerder “tegen elkaar” dan “met elkaar”. Daarnaast krijg je veel doublures in investeringen en onduidelijkheid bij klanten. Als je alles in één IT-winkel hebt zitten, ben je veel flexibeler en krachtiger. De markt merkt dat. De discussies die wij vandaag de dag met onze klanten hebben, is veel breder en onze toegevoegde waarde is hoger.’ Hoe kijk je aan tegen het IT kennis niveau van de verschillende disciplines? ‘Dat wordt over de gehele linie beter. Je ziet dat onderwijsinstellingen hebben geleerd dat elke specialist (van welke soort dan ook) kennis moeten hebben van IT. Belastingspecialisten kloppen dan ook vaker bij ons aan omdat ze met een opdracht bezig zijn waar IT een belangrijke rol speelt. Het blijft alleen nog wel bij IT-awareness. In de basisopleidingen wordt nog niet zoveel geïnvesteerd in IT dat accountants of belastingspecialisten eenvoudige IT-assurance of IT-advisory werkzaamheden zelf kunnen verrichten.’ ‘De IT Audit opleidingen daarentegen richten zich nog veel op de “solutions”, zoals database audit, rekencentrum audit

en system audit. Maar zij houden zich niet genoeg bezig met de vraag: “en wat als je zo’n audit moet doen in een internationale omgeving?”. Wat voor organisatorische aspecten, wat voor cultuuraspecten en communicatieaspecten kom je dan tegen, en hoe ga je om met verschillen in regelgeving. Als je kijkt naar de TAX- en TAS-opdrachten is het de vraag of je als IT-auditor in voldoende mate geëquipeerd bent om bij dit soort internationale vraagstukken gelijk mee te kunnen draaien. Wij verwachten IT-awareness aan de kant van andere specialisten waarmee wij werken, maar wij moeten ons als IT-auditors ook de vraag stellen of wij met onze basisopleiding in staat zijn om die andere specialisten te verstaan en om hedendaagse complexe vraagstukken in een multidisciplinaire context te helpen op te lossen.’ Welke ontwikkelingen zie je op global niveau? ‘Als ik kijk naar de wereldwijde ontwikkelingen, zie ik dat naast audit steeds meer nadruk komt te liggen op advies. Er is inmiddels voldoende regelgeving die voorkomt dat de onafhankelijkheid in gevaar komt. Ook de anderen van de big four leggen zich meer en meer toe op advisering en brengen dat door het veranderen van de naamgeving van hun IT auditpraktijk tot uitdrukking. Wij doen dat ook in onze naam AABS, de combinatie van Assurrance & Advisory Business Services, waarvan onze IT-assurance en IT-advisory afdeling deel uit maakt. Wij waren de eerste van de grote auditing bedrijven die hun consultantpraktijk verkochten: dat was destijds een goede beslissing en dat is het vandaag nog steeds. E&Y gaat derhalve niet terug in de consultancy: zo ontwikkelen en implementeren we geen IT-systemen, doen we geen IT-outsourcing en leiden we geen grote veranderingsprocessen. Het opbouwen van een advisory praktijk is derhalve duidelijk wat anders. Een andere ontwikkeling is dat wij vanuit het verleden gewend zijn om onze klanten op een lokaal niveau te behandelen. Onze klanten zijn in de loop van de jaren steeds meer “global organisaties” geworden. De consequentie daarvan is dat de klanten veel meer vanuit een “global visie” willen worden aangevlogen. Je doet dus niet meer een stukje van een klant in het ene land en een stukje van die klant in een ander land maar de klant ziet zichzelf als één bedrijf in de wereld en die verwacht ook dat E&Y de klant zodanig behandelt. En dat is met name waarom het zo belangrijk is om wereldwijd één gezicht te hebben. Als wij bijvoorbeeld binnen TSRS een dienst als Program Advisory Services neerzetten bij een Nederlandse vestiging van een wereldwijd opererend bedrijf, dan kan het zijn dat de klant deze dienst ook wil afnemen bij vestigingen in de UK, in Australië en Korea. De klant moet er dan op kunnen rekenen dat daar mensen zitten die dezelfde methodologie toepassen en de dienst kunnen leveren met de zelfde kwaliteit.’ ‘Een laatste ontwikkeling is dat in vele emerging economieën de wetgeving in snel tempo op een hoger niveau wordt gebracht. Parallel daaraan neemt de behoefte aan

42 | de EDP-Auditor nummer 2 | 2007

IT-security, privacy, Systems Asset Management, IT-controls monitoring, IT-continuity et cetera. hand over hand toe. Mensen die in IT-assurance en IT-advisory werken hoeven zich de komende jaren niet te vervelen.’ Wat voor invloed heeft deze globalisering op de IT-auditor? ‘De IT auditor is iemand die van oudsher pionieren in zijn bloed heeft. Eind jaren ’60 is IT audit in Nederland mondjesmaat begonnen met pionieren. In de jaren ‘70 hebben we een beetje vooruit gekropen, in de jaren ’80 hebben we geleerd om vooruit te rennen. Maar als je kijkt in het buitenland, ook binnen E&Y, dan is het merendeel van de IT audit afdelingen ontstaan ergens in de tweede helft van de jaren ’80. Die afdelingen hebben nog steeds zo iets van “wij zijn aan het pionieren”. Zo zijn wij ook begonnen. Er was geen hulp en geen “global methodologie”, dus gingen we het zelf uitzoeken. Die pioniersmentaliteit moet er uit. Het is niet meer zo dat je zomaar dingen kunt gaan doen, zonder rekening te houden met een “global visie”, methodologie, tools, scope afbakening en wet- en regelgeving. De vrijheid neemt wat af.’ Waar hangt het succes van IT-assurance en IT-advisory diensten van af? ‘Het succes van een IT services afdeling als het onze, hangt af van drie aspecten. Ten eerste, hoe snel kun je een nieuwe ontwikkeling in de markt herkennen, bijvoorbeeld is “continuous control monitoring”, iets wat de markt over een jaar in sterkere mate nodig heeft of niet? Ten tweede, wat is dan je “time to market”; hoe lang heb je nodig om het idee om te zetten naar methodologie en die wereldwijd uit te rollen? Ten derde, hoe snel heb je de mensen in de markt die de diensten ook kunnen verkopen en leveren?’ Voor die eerste en tweede stap, vertelt Van Kessel, zijn mijn medewerkers in de ‘global organisatie’ verantwoordelijk. Daarna gaat het naar de zeven regio’s en die moeten dan klaar zijn om het “op te vangen”. Dat laatste blijkt lastig te zijn en dat is iets waar nog steeds een groot deel van mijn energie in gaat zitten. ‘Nu hanteren we het principe van “parallel investment”. Als wij op “global niveau” iets gaan doen (ontwikkelen van de methodologie) moeten de regioleiders er tegelijkertijd voor zorgen dat er in de regio’s wordt geïnvesteerd in het trainen van mensen zodat wanneer de methodologie klaar is dat zij er gelijk mee aan de slag kunnen.’ Kan je nog wat vertellen over wat SOX bedrijven tot nu toe heeft opgeleverd? ‘Het is overduidelijk dat “Corporate Governance” (goed bestuur) en “internal control over financial reporting” nog nooit zo hoog op de agenda heeft gestaan. Laatst vroeg ik aan de CEO van een telecom operator in Singapore hoe vaak er in zijn Board werd gesproken over controls in de automatisering. Het antwoord: 52 keer per jaar (de board vergaderingen zijn wekelijks…..). Dat is toch wel een hele verandering.’

‘In dit kader krijgen IT auditors naar mijn idee te maken met de volgende vier verschillende vragen: (1) wat betekent de overgang van de PCAOB Audit Standard no. 2 naar no. 5 voor de aanpak van IT control, (2) hoe kunnen we bijdragen aan meer efficiency door manual controls te vervangen door IT controls, (3) wat is de betekenis van IT company level control and IT general controls op de mate van aandacht voor transaction controls en (4) op welke wijze is het testen van de controls verder te automatiseren?’ Hoe kijk je aan tegen de arbeidsmarkt voor IT auditors? ‘Op dit moment is sprake van een krappe markt. Dat geldt niet alleen in Nederland, maar ook in bijvoorbeeld China en zeker in Japan. Groeimogelijkheden die IT-audit afdelingen hebben worden voor een belangrijk deel beperkt door de arbeidsmarkt. In dit kader is onze one-stop-shop gedachte – waar ik zo even over sprak – zo van belang. Door een variëteit aan mogelijkheden op het gebied van IT kan je ook in bredere zin mensen werven en ben je voor een medewerker aantrekkelijk. Voor de Advisory Services kunnen we bijvoorbeeld mensen werven die niet per se IT-auditors hoeven te zijn. Hier kunnen wij in een grotere markt vissen, hetgeen ertoe leidt dat er meer mensen met het auditvak in aanraking komen. Wij hebben voorbeelden van IT professionals die bij ons zijn binnen gekomen en dan blijkt dat als ze in aanraking komen met het risk georiënteerde deel van ons werk dat zij een heel eind uit de voeten kunnen. Sommige gaan zelfs de IT-audit opleiding volgen: iets waar ze vroeger nooit aan gedacht zouden hebben.’ Wat zou je aanstormende (lees jonge) IT-auditors in ons vakgebied willen meegeven? ‘Iemand die een succesvolle IT-auditor wil worden moet – naast de vakinhoudelijke kennis – met name thuis zijn op het gebied van dynamisch risk management. We doen ons werk steeds minder in stabiele omgevingen. We zien dat bedrijven in beweging zijn doordat ze bezig zijn met omvangrijke implementatietrajecten of het in elkaar zetten van nieuwe organisaties.’ ‘Daarnaast vragen klanten steeds meer om “duurzaamheid”. Het naar een klant gaan, een audit doen, een rapport achter laten en dan weer verdwijnen gaat veranderen. Het succes van een IT auditor zal afhangen van de mate waarin die in staat is om de klant op een bepaald moment te helpen en er voor te zorgen dat voordat je weggaat de klant in staat is om het kwaliteitsniveau dat je daar hebt neergezet te handhaven.’ ‘Wat ik concreet mee zou willen geven is: sta open voor de combinatie van audit en advies. Het tweede is dat je IT diensten, met name in advisory, steeds meer alleen maar kunt leveren in een multidisciplinair team. Verder: houd er rekening mee dat je in de toekomst veel nadrukkelijker een keuze moet maken tussen werken in een lokale markt of in een internationale markt. En bovenal: zorg ervan dat je hetgeen je doet leuk vindt, anders houd je het niet vol.’

43 | de EDP-Auditor nummer 2 | 2007

Een dag uit het leven van

Rolf Daalder Nadat ik een eerdere uitnodiging om deze rubriek te vullen, vanwege (te) drukke werkzaamheden voorbij had laten gaan is dit een mooie gelegenheid om als vertrekkend secretaris van de NOREA mijn verhaal te doen

Rolf Daalder RE RA is auditmanager bij de Auditdienst van het Ministerie van Defensie en secretaris van het NOREA-bestuur

Een dag dus uit het leven van Rolf Daalder, secretaris van de NOREA en Auditmanager bij de Auditdienst van het Ministerie van Defensie. Een auditdienst met ca 110 medewerkers, bij een departement met ruim 60.000 personeelsleden en een begroting van ongeveer 7 miljard euro. Binnen de auditdienst ben ik werkzaam bij het Taakveld IT & Aspect Audits, een samenwerkingsverband van ongeveer 30 IT-, operational- , milieu- en integriteitsauditors. Mijn aandachtgebieden daarbinnen zijn met name de IT infrastructuur in het algemeen, de Defensie Telematica Organisatie (DTO; het eigen defensie rekencentrum) en de integrale beveiliging, dat wil zeggen de personele-, fysieke- en informatiebeveiliging. De dag begint op het Ministerie te Den Haag. We zitten nu net in een tussenfase. Deze week hebben we onze TPM besproken met de directie van ons rekencentrum. Dat betekent nu nog een paar dagen de formele afhandeling van de dertig onderliggende deelrapporten. Laatste schoonheidsfoutjes er uit, mededelingen en aanbiedingsbrieven tekenen en zorgen dat alles goed wordt aangeleverd richting repro en postverzending. Ondertussen moet ook de planning voor het komende jaar worden afgerond. Overleg dus met de Teamleiders. De hoofdlijnen staan wel vast. De afgelopen maanden hebben zij diverse gesprekken gevoerd om een goed beeld te krijgen wat er het komende jaar op ons af gaat komen. Wat zijn de laatste ontwikkelingen binnen DTO, hoe breiden we onze werkzaamheden bij DTO de komende jaren uit tot een oordeel over de Informatievoorzienings (IV) governance binnen Defensie en hoe passen we een aantal belangrijke grootschalige projecten in onze planning in. Bij deze projecten moet je denken aan de invoering van 44 | de EDP-Auditor nummer 2 | 2007

Enterprise Autorisation Management en de vervanging van de huidige multifunctionele chipcard, die tevens dienst doet als toegangspas, door een pas van een nieuwere generatie met tevens PKI functionaliteiten. Tenslotte brengt de Defensiebrede invoering van SAP met zich mee dat naast de application controls en de inrichting van het applicatie-, functioneelen technisch beheer het komende jaar ook de technische inrichting beoordeeld moet worden. Hoe gaat SAP samenwerken met het gekozen besturingssysteem en het nieuwe database managementsysteem en hoe gaat de interfacing verlopen met de overblijvende legacy systemen. Veel vragen richting de techniek en de gevolgen voor de informatiebeveiliging. En omdat het deels om nieuwe technieken gaat ook meteen de vragen: ‘waar en wanneer gaan we onze mensen opleiden’, ‘hoe stellen we teams

samen’ etc. Dus wie gaat wat doen en bij wie van onze inhuur partners kunnen we aanvullende capaciteit met de juiste kennis en kunde betrekken. Rond het middaguur vervolgens gauw naar Amsterdam, naar het NOREA bureau voor een vergadering met het dagelijks bestuur. Voorzitter Hans Donkers, penningmeester Cor Warmoeskerken, NOREA directeur Wilfried Olthof en ik als secretaris komen bijeen om de lopende zaken te bespreken en om de komende bestuursvergadering voor te bereiden. Zaken die deze middag aan de orde komen zijn het zoeken van nieuwe bestuursleden als vervanger voor Paul Harmzen en mijzelf. Voor mijn opvolging wordt opnieuw een aantal namen genoemd, nadat eerdere potentiële kandidaten om allerlei goede redenen niet beschikbaar bleken. Nu weer een goede kandidaat gevonden. Bespro-

ken wordt wat de consequenties zijn voor de andere klussen die deze kandidaat nu binnen NOREA vervult. Uiteindelijk besluiten we hem aan het hele bestuur voor te dragen alvorens hem te polsen. Rond de andere kandidaat zijn al wat verkennende gesprekken gevoerd. Afgesproken wordt hem uit te nodigen voor een kennismakingsgesprek. Lang staan we stil bij een probleem dat we samen met het NIVRA hebben met de belastingdienst en de vraag hoe we om moeten gaan met de adviezen van de belastingsadviseurs over de winstkansen bij een te starten procedure. We blikken terug op de eerste Young Professionals bijeenkomt en kijken vooruit naar de tweede IT auditdag die we samen met ISACA organiseren op 14 juni aanstaande. De dagvoorzitter is bekend, maar het programma kan nog wel wat beter en zou minder dan nu voorligt op IT(audit) inhoud moeten zijn 45 | de EDP-Auditor nummer 2 | 2007

gericht. Het maatschappelijk belang van IT audit zou juist op een dergelijke dag meer aandacht moeten krijgen. Inhoudelijke seminars zijn er immers genoeg. Verder met het onderwerp kwaliteitstoetsing. Een belangrijk onderwerp voor de komende tijd. Met het NIVRA zijn al contacten gelegd om aan te kunnen sluiten bij hun kwaliteitstoetsen. Met IIA vindt hierover binnenkort een gesprek plaats. Immers we willen voorkomen dat onze leden worden geconfronteerd met meerdere instanties die over hetzelfde onderwerp langskomen. De commissie die dit gaat uitwerken is inmiddels goed gevuld en kan aan de slag. Over het programma van deze bijeenkomst worden verdere afspraken gemaakt. Het volgende onderwerp gaat over het komende overleg tussen het bestuur en de vier IT audit opleidingen. Belangrijk onderwerp daarbij is de wijze waarop we de komende jaren

Een dag uit het leven van de visitatie van deze opleidingen gaan vormgeven. Een aantal alternatieven passeert de revue. Inmiddels is het vier uur geworden, verlaat Hans de vergadering en gaan Cor, Wilfried en ik richting de commissie herziening beroepsregels. Deze commissie is in het leven geroepen omdat met het vervangen van de Gedrags- en Beroepsregels door de Code of Ethics, de beroepsregels niet meer goed waren verankerd binnen de NOREA regelgeving. In de praktijk blijkt dit taaie materie te zijn. We moeten eigenlijk het hele bouwwerk met statuten, huishoudelijk reglement, richtlijnen, handreikingen en ga zo maar door weer goed in de steigers zetten. Kijkend hoe anderen dat hebben gedaan zie je dat het NIVRA een deels eigen invulling heeft gegeven aan de IFAC standards, voeg daarbij de keuze

om ons als NOREA aan te melden bij IFAC, dan lijkt een onderzoek of de IFAC regels ook voor NOREA toepasbaar zijn voor de hand te liggen. We kiezen daarbij bewust om IFAC te volgen en niet uit te gaan van de NIVRA variant. De commissie, die verder bestaat uit Henk de Zwart, Frank Kossen en Jurgen van de Vlugt worstelt nu met vragen als hoever willen we hierin gaan, moeten we onderscheid gaan maken tussen IT auditors in het externe beroep, het interne beroep en bij de overheid en hoe gaan we om met IT auditors ‘in business’, dus niet meer werkzaam zijn als auditor maar bijvoorbeeld als manager binnen een rekencentrum. Hoe definiëren we richtlijnen, mag je daarvan afwijken of juist niet. Hoe gaan we om met regels die je in principe moet naleven, maar waar het toch

mogelijk moet zijn om gemotiveerd van af te wijken. En de concept richtlijn Oordelen, hoe past die hierin. Deze middag hebben we Hans Suerink, de voorzitter van de Vaktechnische Commissie, op bezoek. De commissie heeft een voorstel gedaan om de NOREA producten te rubriceren; Richtlijnen, Handreikingen en Studies. Er volgt een levendige discussie over de vraag wat onder bepaalde omstandigheden moet en wat mag. Hans zal zijn stuk aanpassen aan de uitkomsten van de bespreking en de Commissie heeft het gevoel dat dat stuk vervolgens als een brok kan worden ingepast in het te ontwikkelen bouwwerk. Hans Suerink wordt bedankt voor zijn komst en bijdrage; vervolg afspraken worden gemaakt en zo rond half zeven zit de werkdag er op. Tijd om naar huis te gaan.

Tools

Auditsoftware in de praktijk bij Achmea Dennis Boersen, Margarethe van der Maat en Ralph de Haan

Achmea maakt deel uit van Eureko, een financiële dienstverlener met activiteiten in negen Europese landen. Binnen Eureko is Group Audit & Risk Services (GARS) de centrale auditafdeling. De functie van GARS is het geven van aanvullende zekerheid over de effecti-

N

iet GARS, maar een externe accountant voert de jaarrekeningcontrole binnen Eureko uit, waarbij de accountant maximaal steunt op de werkzaamheden van GARS. Daarnaast steunt hij, daar waar mogelijk, bij de uitvoering van de controle steeds meer op de systemen en ingerichte AO/IC.

viteit en efficiency van de interne beheersing aan de Executive Board en het management van Eureko. Voor het leveren van die assurance verricht GARS een breed scala aan auditactiviteiten, zoals operational, financial, IT en compliance audits.

Het aantal en de complexiteit van informatiesystemen binnen Eureko is de laatste jaren toegenomen en hiermee ook de samenhangende beheersingsmaatregelen in deze systemen. Om in een dergelijke situatie additionele zekerheid te krijgen is het gebruik van Audit Software een goed instrument. Met behulp van Audit Software kan onder bepaalde voorwaarden op een efficiënte wijze een gegevensgerichte controle worden uitgevoerd. Binnen Achmea wordt hiervoor sinds anderhalf jaar gebruik gemaakt van het product ACL (Audit Command Language). We beschrijven in het vervolg van dit artikel onze ervaringen met ACL. Gebruik data-analyse

D.S.P. Boersen RE en drs. M.C.E. van der Maat RE zijn beide als IT-Auditor werkzaam bij Achmea ing. R.A.C. de Haan RE is adviseur bij Novius Business & Information Management

Binnen GARS bestond al enige jaren de wens om meer gebruik te maken van specifieke gegevensgerichte controle met behulp van auditsoftware. Door gebrek aan gedegen kennis van een auditsoftwaretool werd er slechts sporadisch en ad hoc met dergelijke tools gewerkt. Doordat we auditors met kennis van auditsoftware aantrokken en auditsoftwarelicentries aanschaften, konden we anderhalf jaar geleden een eerste start maken om de auditwerkzaamheden van GARS te ondersteunen met een audittool. Gelijktijdig leidden we intern een groep van auditors op om met de aangeschafte auditsoftware te kunnen werken. De basisregels die we bij de opleidingen hanteerden waren: • Scripts gebruiken bij uitvoering van de controlewerkzaamheden; Scripts bevorderen het structureel denken wat nodig is bij data-analyse. In tegenstelling tot standaard knoppen bevorderen scripts herhaalbaarheid, overdraagbaarheid en eenduidigheid. • Structuur aanbrengen in de ontwikkelde scripts; Door het hanteren van structuur in de scripts is achteraf de uitgevoerde controle eenvoudiger vast te stellen. • Standaard naamgeving hanteren voor tables, scripts, workspaces etc.; het gebruik van standaard naamgeving voorkomt verwarring en bevordert de eenduidigheid. • Peerreviews laten uitvoeren op de controlewerkzaamheden. Peerreviews verhogen de kwaliteit van de uitgevoerde data-analyse.

48 | de EDP-Auditor nummer 2 | 2007

Hieronder geven we een drietal praktijkvoorbeelden van audits waar GARS gebruik maakte van ACL. Praktijkvoorbeeld 1: Verrekening zorgkosten Op 1 januari 2006 is de nieuwe basisverzekering ingegaan. Na de bekendmaking van de zorgpremies in het najaar van 2005, konden consumenten uit de verschillende aanbieders kiezen. De verzekerden kregen de mogelijkheid om tot 1 mei 2006 met terugwerkende kracht per 1 januari 2006 over te stappen naar een andere verzekeraar. Dit leidde ertoe dat zorgverzekeraars declaraties ontvingen voor verzekerden die op 1 januari niet meer bij hen waren verzekerd. Verzekeraars konden ervoor kiezen om deze declaraties te verhalen bij de vertrokken verzekerde. Deze verzekerde moest dan op zijn beurt deze nota’s weer verhalen bij de nieuwe zorgverzekeraar. Deze manier van verrekenen is vrij omslachtig en leidt tot vele individuele handelingen. Daarom hebben de zorgverzekeraars een onderlinge verrekening toepast via bestandsuitwisseling. Iedere zorgverzekeraar maakte allereerst een bestand met verzekerden aan die met terugwerkende kracht per 1 januari 2006 zijn overgestapt naar een andere verzekeraar en waarbij claims zijn uitbetaald. Deze gegevens werden vervolgens aangeleverd aan een centraal bestand, waardoor men inzicht kreeg naar welke verzekeraar de verzekerde was overgestapt en bekend werd met welke zorgverzekeraars er verrekend moest worden. In een controleprotocol zijn vervolgens afspraken vastgelegd hoe, wanneer en onder welke voorwaarden de bestanden uitbetaald moesten worden. Eén van de voorwaarden was dat het bestand werd voorzien van een juistheidverklaring door een externe accountant. Verzekerden zijn overgestapt naar tientallen verschillende zorgverleners. Voor iedere zorgverzekeraar moest een apart bestand voor de basisverzekering en een apart bestand voor de aanvullende verzekering worden opgemaakt. Achmea voert zorgverzekeringen onder 8 verschillende labels (Zilveren Kruis Achmea, Groene Land Achmea, Interpolis, OMS, SBZ, OZF, FBTO en Avéro). Hierdoor zijn enkele honderden verrekenbestanden aangemaakt. Met ACL zijn deze (honderden) bestanden aangesloten met de administratie, geanalyseerd en gecontroleerd op mogelijke fouten en afwijkingen van de voorwaarden van het controleprotocol. Vervolgens is per bestand, door middel van de euro-rangmethode1, met ACL een steekproef getrokken voor de controle door de interne en externe accountant. Praktijkvoorbeeld 2: Controle geldverkeer Achmea is voortdurend bezig haar processen verder te optimaliseren. Ter ondersteuning van de beoordeling van de processen maakt GARS onder meer gebruik van auditsoftware om naast de bestaande controles additionele zekerheid

te bieden. We zetten ACL bijvoorbeeld in voor de beoordeling van procuratierechten in systemen: worden facturen geaccordeerd door managers die daarvoor geen autorisatie hebben? Of hebben managers boven hun limiet geaccordeerd? Wordt er geaccordeerd voor verkeerde kostenplaatsen? En zijn er facturen zonder kostenplaatsen geaccordeerd? Worden de betaaltermijnen overschreden en wat zijn de gemiddelde doorlooptijden van facturen? Of worden facturen dubbel betaald? Door hierbij gebruik te maken van een auditsoftware is het mogelijk om bijvoorbeeld een kostenadministratie te koppelen aan het grootboek en vervolgens aan de betalingen. Vervolgens kunnen integraal analyses worden uitgevoerd (bijvoorbeeld dubbele betalingen, betalingen na vervaldatum, et cetera). Praktijkvoorbeeld 3: Verklaring basisgegevens Voor de verklaring bij de basisgegevens hebben we binnen GARS ACL ingezet om onder meer de aansluiting vanuit de pensioenadministratie met actuariaat te maken. De actuaris bepaalt namelijk op basis van deze aangeleverde basisgegevens de voorzieningen. Daarnaast hebben we de bestanden met de basisgegevens uit de verschillende pensioenadministraties veiliggesteld en voorzien van unieke controlegetallen. Dit om op een later moment – mocht dat noodzakelijk zijn – terug te kunnen grijpen naar de juiste gegevens. Tot slot, op het moment dat de gegevens beschikbaar waren, hebben we verschillende plausabiliteitscontroles uitgevoerd op de bestanden om onder meer extra zekerheid te geven over de betrouwbaarheid. Hierbij kun je denken aan de volgende controles (niet limitatief): • Verzekerden met negatieve aanspraken. • Verzekerden met nul aanspraken. • Geboortedatum controles. • Gemeentelijke Basis Administratie (GBA) verificaties. Voor- en Nadelen ACL Binnen Achmea is gekozen voor ACL als audit software tool. Natuurlijk is hier een selectietraject aan voorafgegaan waarbij voordelen en nadelen van de verschillende pakketten zijn onderzocht. Binnen dit hoofdstuk worden de voor- en nadelen van ACL verder toegelicht. Overigens moet hierbij opgemerkt worden dat enkele van de genoemde voor- en nadelen niet specifiek voor ACL gelden maar in algemene zin gelden voor het gebruik van audit software. Voordelen ACL 1. Herhaalbaarheid / uitwisselbaarheid

Éénmaal ontwikkelde werkprogramma’s (combinatie van een aantal scripts) kunnen ‘met 1 druk op de knop’ worden

49 | de EDP-Auditor nummer 2 | 2007

Tools herhaald. Uiteraard vergt dit wel een goede standaard voor het ontwikkelen van scripts, workspaces, et cetera. Dit verhoogt de uitwisselbaarheid van de ontwikkelde scripts enorm waardoor de afhankelijkheid van een enkele deskundige afneemt. 2. Controleerbaarheid / Audit trail

Het werkprogramma (stelsel van scripts) is door het logging mechanisme van ACL (audit trail) zeer goed te begrijpen voor een leek. Met name door het gebruik van zogenaamde control totals (controlegetallen) wordt het logbestand goed leesbaar / volgbaar. Uiteraard kunnen logbestanden worden gebruikt als audit evidence binnen de uitgevoerde onderzoeken.

2. Script kiddies

ACL is ogenschijnlijk heel eenvoudig in gebruik. Hier schuilt hier ook een gevaar in, indien ‘ondeskundige’ gebruikers ACL toepassen en hiermee onjuiste resultaten presenteren. ACL vergt toch een bepaalde attitude van de auditor en niet iedereen heeft deze. Zorg er dus altijd voor dat uitgevoerde werkzaamheden door junior gebruikers worden gereviewed door senior gebruikers. 3. Oneigenlijk gebruik

3. Gebruiksvriendelijkheid

Het wil nog wel eens gebeuren dat een ontwikkelde analyse wordt gebruikt binnen de operationele procesgang, zodat ACL een business applicatie wordt. ACL is een analyse tool en geen transactietool. Prototyping is iets dat met ACL kan worden uitgevoerd echter voor day to day processing is ACL niet geschikt.

ACL is door haar script-taal eenvoudig in gebruik en toepasbaar. Gemaakte scripts zijn ook door een niet-auditcollega zeer goed te begrijpen waardoor resultaten beter worden geaccepteerd. Temeer door de eerder genoemde logfunctionaliteit wordt direct invulling gegeven aan een stuk dossiervorming. Bij enkele andere tools wordt veelal verwacht dat de auditor kan programmeren hetgeen bij ACL dus zeker niet het geval is.

Als gemaakte analyses in ACL binnen de lijnorganisatie wenselijk zijn, moeten deze eigen systemen worden uitgebreid met dergelijke functionaliteit. Door de functionaliteit hierop aan te passen waarborg je bestaande beheersingsmaatregelen op het gebied van toegang en continuïteit. Je borgt kennis binnen het domein waar deze thuis hoort en voorkomt een wildgroei aan applicaties.

4. Manipulatie brongegevens

Tot slot

De gebruiker van ACL kan niet onbewust gegevens manipuleren zoals dat bij MS Excel bijvoorbeeld wel mogelijk is. Eenmaal aangesloten brongegevens kunnen daarmee behoed worden voor dit soort gebruikersfouten.

In dit artikel hebben we je geïnformeerd over het gebruik van data-analyse bij Achmea. Daarnaast hebben we kort de voor- en nadelen van ACL gegeven zoals wij deze ervaren.

5. Nauwelijks beperkingen

ACL kan nagenoeg ieder bestand met enige logica inlezen en verwerken, de bottle neck is veelal de harddiskcapaciteit. Dit betekent dat spoolfiles, EBCDIC, AS400 en andere formaat bestanden allemaal eenvoudig kunnen worden ingelezen. Belangrijk aandachtspunt hier is wel dat eenmaal ingelezen bestanden worden aangesloten zodat zekerheid wordt verkregen over de juistheid en volledigheid van een bestand. Zeker nu meer en meer gegevens elektronisch vastliggen en grenzen van de Microsoft suite worden bereikt (MS Excel en MS Access) is ACL een krachtige tool om gegevens mee te analyseren. Dit is ook weer vanuit een accountants-oogpunt belangrijk in het kader van gegevensgerichte controle en de concreetheid van de bevindingen.

Naar ons idee is alléén kennis van de ‘standaard knoppen’ niet voldoende, zoniet onmogelijk om een audit goed uit te voeren met behulp van ACL. Je acteert als auditor op het snijvlak van techniek, audit en business, alleen het kennen van een ‘tooltje’ is onvoldoende om een audit met behulp van ACL tot een kwalitatief goed einde te brengen. Door het aanschaffen van audit software en het in huis halen van kennis kan GARS audits uitvoeren die zonder de ondersteuning van audit software minder diepgaand of helemaal niet zouden worden uitgevoerd. Het gebruik van audit software is geen doel op zich geworden binnen Achmea. Altijd wordt gekeken of de audit doelstelling behaald kan worden met de inzet van ACL.

Nadelen ACL 1. Presentatie

ACL is nog altijd niet in staat fraaie ‘board level’ waardige rapportages op te leveren waardoor veelal de resultaten vanuit ACL moeten worden bewerkt alvorens deze gepresenteerd worden. Hierdoor wordt een extra (veelal handmatige) bewerking toegevoegd met alle risico’s van dien.

Noot 1

Euro-rangmethode: het toewijzen van rangnummers aan een geregistreerde verzameling posten (bestaande uit alle euro’s die in volgorde doorlopend zijn geteld), waarbij Eurorangnummers worden aangewezen als te onderzoeken euro’s.

50 | de EDP-Auditor nummer 2 | 2007

Tools Leidraad voor alle artikelen over tools In de moderne auditpraktijk zijn tools niet meer weg te denken. Toenemende grootschaligheid en complexiteit leidt ertoe dat het handmatig achterhalen en verzamelen van ‘bewijslast’ steeds lastiger is voor een auditor. Sommige onderzoeken zijn niet uit te voeren zonder het gebruik van deze hulpmiddelen. In ieder geval kunnen zij in grote mate bijdragen aan de doelmatigheid en doeltreffendheid van onze audits.

-

De redactie van de EDP auditor is nieuwsgierig naar de ervaringen en bevindingen van collega’s met audit tools. In brede zin, dus of het nu gaat om onderzoek naar bijvoorbeeld operating systemen, autorisatiestructuren, netwerken of compliance et cetera, elke bijdrage is mogelijk.

-

Om een leidraad te bieden bij het op schrift stellen van je ‘tool ervaringen’, staat hieronder een aantal (niet limitatieve) aan tools gerelateerde aspecten.

-

Algemeen - Wat is het doel van het tool? Enkele tools zijn specifiek opgezet vanuit een auditrol, andere voor ondersteuning van beheer, in sommige gevallen voor beiden; - De leverancier. Is het een reeds langer bestaande leverancier met een goede reputatie voor wat betreft betrouwbaarheid, of is het een nieuwe speler in het veld? - Is sprake van open source software of niet? Maakt de licentie het bijvoorbeeld mogelijk om het tool aan te passen? - Licentiestructuur/kosten. Bij een eenmalige audit of een audit in een kleinschalige omgeving kunnen commerciële tools relatief duur uitvallen. - Bestaat er een gebruikersgroep van het tool? In een community op Internet wisselen gebruikers ervaringen uit. Zijn er anderszins bijeenkomsten of manieren waarbij gebruikers en leveranciers elkaar op de hoogte brengen? - Wat zijn concurrenten van het tool, met andere woorden: is er nog iets vergelijkbaars op de markt? - Sommige tools voor het achterhalen van kwetsbaarheden maken veel ruis en laten zodanige ‘voetstappen‘ achter dat het gebruik gedetecteerd wordt dan wel opvalt. Wat zijn je ervaringen hierbij? Dit geldt ook voor de risico’s die sommige tools hebben voor de beschikbaarheid van de doelsystemen.

-

Gebruiksgemak - De mate waarin een opleiding nodig is om het tool te kunnen gebruiken is mede bepalend voor de inzetbaarheid. In de regel is de mate waarin de tool functies geautomatiseerd uitvoert, omgekeerd evenredig aan de benodigde cursus- of inwerktijd; - De interface: een grafische interface gebruikersvriendelijker dan een command line, waarbij de laatste echter vaak wel de gelegenheid biedt om dieper te ‘graven’; - een (eventuele) installatie die eenvoudig is uit te voeren heeft een positief effect op de snelheid waarmee het onder-

-

zoek wordt uitgevoerd. Een punt van aandacht is het systeem waarop het tool geïnstalleerd wordt, soms moet dit op het doelsysteem. Voor welke platforms is het tool geschikt? Een platform(on)afhankelijk tool vergroot de mogelijkheid om het in te zetten in diverse omgevingen met een uniforme functionaliteit; Voor welke hardware is het tool geschikt? Sommige tools zijn gebonden aan bepaalde hardware waardoor de inzetbaarheid weer wordt beperkt of extra uitgaven nodig zijn; Is het mogelijk het tool te customizen naar eigen wensen zoals plugins of eigen code? De mate waarin wordt voldaan aan een specifieke vraagstelling of technische randvoorwaarden bepaalt mede de doeltreffendheid van de audit; In hoeverre is uitwisseling met andere tools of software uit de KA omgeving mogelijk? Met name bij het opstellen van rapportages en het doornemen van bewijslast is dit een belangrijk aspect; Is sprake van een voldoende mate van ondersteuning vanuit de leverancier waardoor bijvoorbeeld de actualiteit van het tool is gegarandeerd? Heldere manuals zijn een pre voor het efficiënt en effectief toepassen van tools.

Rapportage - In bepaalde omstandigheden is het lastig om de resultaten van een tool te duiden. Duidelijkheid is hier gewenst. - Een tool dat een toelichting geeft op de onderliggende techniek en risico’s heeft een duidelijke meerwaarde waar het de ondersteuning van de IT-auditor betreft. Hierbij hoort ook een onderscheid van de mogelijke impact van risico’s (hoog/midden/laag) en een mogelijk oplossingsrichting (zie effectiviteit). - Acceptatie door het management van de resultaten bepaalt uiteindelijk de effectiviteit van de audit. Een rapportage die ook geschikt is voor het managementniveau draagt hier in grote mate aan bij; - Is het mogelijk om, afhankelijk van doelgroep en onderzoeksdoelstelling, de rapportage op een flexibele manier samen te stellen. Effectiviteit - Is er bij een commercieel tool kort gezegd sprake van value for money? In welke zin voldoet het wel en niet aan de verwachtingen? Zijn er inmiddels alternatieven gezocht/gebruikt? - In relatie tot het voorgaande punt: hoe is het gesteld met de betrouwbaarheid van het tool? Doet het wat het beloofd? Dit is met name een aspect voor shareware en freeware. - Geeft het mogelijke oplossingen/maatregelen aan, met andere woorden, heeft het tool ook nog een toegevoegde waarde door het doen van aanbevelingen? Suggestie of bijdragen kunnen aan de redactie worden gericht.

51 | de EDP-Auditor nummer 2 | 2007

Boekbespreking

Kracht van de vernieuwing 2007: visie op ICT Titel

: Kracht van de vernieuwing 2007: Visie op ICT

Auteur

: Dr. Abbas Shahim RE (red.)

Uitgever

: Academic Service

ISBN

: 978 90 12 11780 7

H

et hier besproken boek bundelt de visies van 13 auteurs in 12 hoofdstukken. De hoofdstukken kunnen worden gezien als korte artikelen, die een goed beeld geven van de huidige issues in de wereld van informatie technologie. De visies in het boek zijn niet gericht op één specifiek ICT onderwerp. Het boek bestaat uit een variatie van onderwerpen. Aangezien het boek is opgebouwd uit de meest uiteen lopende onderwerpen, worden in deze review alle hoofdstukken kort aangestipt om op die manier een kort overzicht te geven van de inhoud van dit boek. In de EDP Auditor nummer 3 in 2005 werd door T. Wijsman de eerste editie van 2004 besproken.

Martijn van der Burg Martijn van der Burg is junior EDP Auditor bij Ernst & Young EDP Audit in Den Haag.

De inhoud Hoofdstuk 1 staat in het teken van (IT)-risicomanagement. In de huidige maatschappij staat vrijheid van individuen en organisaties centraal. Om het gedrag van deze units binnen de perken te houden, is regelgeving noodzakelijk. De mate waarin men zich houdt aan de opgestelde regels is sterk afhankelijk van de waarde die men hecht aan deze regels. Coumou geeft in het artikel aan hoe de waarden van een organisatie (met behulp van de methode CTT) inzichtelijk gemaakt kunnen worden. Hoe hoger de waarde die men in de organisatie hecht aan regels, hoe minder risico de organisatie loopt dat deze regels worden overtreden. Op die manier kan een efficiënt risicomanagement worden gevoerd. 52 | de EDP-Auditor nummer 2 | 2007

In hoofdstuk 2 geeft Delen zijn visie over het onderwerp Shared Services. In het artikel wordt een beeld geschapen van de ontwikkeling van het gebruik van ICT. Na deze korte historische terugblik landt het artikel bij Shared Services. In dit gedeelte van het artikel worden factoren beschreven die het succes van een shared service center moeten garanderen. Deze succesfactoren zijn achtereenvolgend: - een positieve businesscase; - zorgvuldige ontvlechting uit de bestaande organisatie- structuren; - goed opdrachtgeverschap; - een planmatige aanpak. Hoofdstuk 3 is toegespitst op het IT-compliance vraagstuk. Het artikel gaat in eerste instantie in op de definitie van IT-auditing. Hierbij worden citaten van verschillende personen en instellingen gebruikt. Tevens wordt een beeld geschetst van het werkterrein van de IT-auditor. Het artikel eindigt dan ook als volgt: ‘voor opdrachtgevers geldt dat voor kwaliteitsvragen over ICT (met een sterke focus op IT-compliance vandaag de dag) de IT-auditor bij uitstek een geschikte gesprekspartner is. Of een opdrachtgever een controleur of een adviseur zoekt doet daarbij niet zoveel ter zake, als het probleem van de opdrachtgever maar wordt opgelost.’ In hoofdstuk 4 wordt net als in hoofdstuk 2 aandacht besteed aan sourcing. Dit maal is de focus echter gelegd op het gehele sourcing spectrum; te weten: shared services, outsourcing, captive en offshoring. Huibers en Schut presenteren een tweetal strategieën die kunnen worden gebruikt bij het veranderen van de huidige sourcing vorm. Het resultaat van deze twee strategieën dient uiteindelijk altijd te leiden tot offshore sourcing.

Hoofdstuk 5 is gericht op een vaak onderbelicht onderwerp binnen de informatica: recht. Kemna geeft in dit artikel haar visie op dit onderwerp. In het artikel wordt ten eerste ingegaan op de relatie tussen informatica en recht: informatica ontwikkelt zich voortdurend en het recht (regelgeving) moet op deze ontwikkelingen worden aangepast. Hierbij moet rekening gehouden worden met het feit dat recht altijd dienend is en ontwikkeling niet in de weg moet staan. Door de continue ontwikkeling van informatica (en dus ook van het recht) wordt het totale pakket steeds complexer. Het tweede deel van het artikel focust dan ook op deze multidisciplinaire relatie tussen recht en informatica. Hoofdstuk 6 richt zich in op risicomanagement. Overbeek en Shahim geven aan dat de toenemende focus op risicomanagement het gevolg is van een aantal factoren: • De voortdurende groei van IT. • De klantspecificaties aangaande (IT-)security. • De vraagstukken die ontstaan zijn aangaande ‘compliancy’ als gevolg van veranderde wet- en regelgeving. Deze trend leidt ertoe dat risicomanagement niet alleen benaderd kan worden door inventariseren en analyseren. In het artikel wordt daarom met behulp van ‘gebruikelijke modellen en groeifasen’ een benadering gepresenteerd waarmee een procesmatige aanpak wordt bevorderd en tevens de behaalde prestaties kunnen worden gemeten. Hoofdstuk 7 is gewijd aan CobiT. Roos gaat in het artikel in op de opbloei van CobiT. Eerst wordt CobiT in zijn geheel doorgelicht: Het ontstaan en de ontwikkeling naar CobiT 4.0 en een beknopte uitleg van het CobiT-framework passeren de revue. Hierna wordt ingegaan op de toepasbaarheid van CobiT in de praktijk. Het blijkt dat de scherpere eisen ten behoeve van interne controlemaatregelen (de invoer van SarbanesOxley Act en Code Tabaksblat) de

vraag naar een uitgebreid, doch bruikbaar raamwerk (CobiT), hebben vergroot. Hoofdstuk 8 is een artikel gericht op IT strategie. Ten eerste worden diversen begrippen besproken die met ITstrategie worden geassocieerd. Achtereenvolgends zijn dit: IT-management, IT-beleid, IT-plan en IT-strategie. Nadat de begrippen zijn uitgelegd, wordt in het volgende gedeelte de aandachtsgebieden van een IT-strategie besproken. Deze aandachtsgebieden bestaan uit functionaliteit, kwaliteit, personeel, security, architectuur en sourcing. Wanneer dit kader is geschetst gaat Shahim dieper in op het strategische vraagstuk. In de praktijk blijkt het nog altijd lastig het ultieme resultaat (klanttevredenheid) te bereiken en te behouden. Aan de hand van een voorbeeld uit de logistieke industriële tak wordt vervolgens een oplossing geschapen, die moet bewerkstelligen dat de ITstrategie wordt ingestoken vanuit verschillende invalshoeken. Hoofdstuk 9 heeft ook een strategie gerelateerd thema. De auteur (Thiadens) vergelijkt ICT met een fabriek. Dit komt door de inzet van standaard- infrastructuren en standaard applicaties. De belangrijkste vragen zijn dan ook: ‘Hoe sturen we de ICT fabriek?, Hoe innoveren we deze fabriek?’ In het verloop van het artikel wordt antwoord gegeven op deze vragen. De titel van hoofdstuk 10 is ‘een ITtheorie van internal control’. Een moderne organisatie kan niet meer functioneren zonder deze twee begrippen. Om de internal control in een organisatie op orde te krijgen is een standaard als CobiT ontwikkeld. De auteur behandelt dit framework dan ook in het eerste gedeelte van het artikel. Vaassen noemt IT het onderdeel van een drietal domeinen, die samen ‘in control’ dienen zijn. Tevens wordt ook een vierde domein, communicatie, geïntroduceerd. Deze domeinen dienen beheerst te worden door het opstellen van een strategie. Bij het opstellen van de strategie onderkent de auteur een aantal pro53 | de EDP-Auditor nummer 2 | 2007

blemen. Om deze problemen zo veel mogelijk in te perken zal gebruik moeten worden gemaakt van controls, zoals functiescheiding. Hoofdstuk 11 richt zich op het begrip offshoring. De visie van Wesselman op offshoring is gestoeld op verschillende thema’s. Dit is ten eerste het ontstaan van offshoring. Ook komen allerhande risico’s aanbod, die ontstaan op het moment dat een organisatie besluit te offshoren. Hierbij kan worden gedacht aan strategische, financiële, compliance, operationele en geografische risico’s. Tot slot geeft de auteur een aantal factoren die van belang voor effectieve en efficiënte offshoring. In het laatste hoofdstuk wordt ingegaan op het ontstaan van ‘virtueel netwerkende organisaties’. Organisaties zijn op een bepaalde manier met elkaar verbonden, vandaar het begrip netwerk. Virtueel staat voor het feit dat organisaties niet langer fysiek zijn en overal oproepbaar zijn door IT. Aan de hand van een ontwikkelcurve maakt van der Zee duidelijk dat veel organisaties op weg zijn een virtuele netwerk organisatie te worden. Een belangrijke katalysator hiervoor is de verbetering van de IT-infrastructuur. Tot slot Het boek is opgebouwd uit verschillende artikelen waarin de auteurs hun visie geven op onderwerpen die een belangrijke rol spelen in de hedendaagse ICT wereld. Door de grote verscheidenheid in onderwerpen biedt het boek helaas weinig ruimte voor diepgang. Voor de lezer die beschikt over een beperkte ICT kennis, schept de inhoud van het boek een goed beeld van de hedendaagse ICT problematiek. Echter voor personen met een boven gemiddelde ICT-affiniteit beperkt het boek zich tot een amusant naslagwerk waarmee bestaande kennis omtrent de beschreven onderwerpen kan worden uitgebreid dan wel opgefrist.

Uit de opleidingen

TIASNimbas: IT-auditing

D

e IT-auditing opleiding bij TIASNimbas is in januari 2007 gestart met de 24e leergang. Naast het reguliere programma wordt vanaf 2007 ook een kopopleiding IT-auditing aangeboden voor RA’s om daarmee optimaal in te kunnen spelen op de groeiende behoefte aan IT-kennis bij accountants. In het reguliere programma worden regelmatig vernieuwingen doorgevoerd. Vermeldenswaardig zijn: • de uitbreiding van de startmodule over Bestuurlijke informatieverzor-

ging en risicobeheersing. De traditionele administratieve organisatie aanpak is vernieuwd op basis van COSO inzichten en studenten worden getraind in het herkennen van risico's en het uitwerken van beheersingsmaatregelen. Deze benadering sluit direct aan op de ontwikkelingen in de praktijk. • versterking van de colleges omtrent informatiebeleid, netwerkorganisaties en outsourcing. De vakgroep informatiemanagement van de Universiteit van Tilburg (in de personen van

prof. P. Ribbers, prof. H. van der Zee en E. Beulen) vult deze colleges voortaan in. • uitbreiding van de juridische component in de opleiding in samenwerking met de juridische faculteit van de Universiteit van Tilburg. • een workshop Integriteit als onderdeel van de voorbereiding op de Slotopdracht. TIASNimbas onderstreept hiermee de nadruk op auditingvaardigheden en attitude, belangrijke peilers om het succesvol als IT-auditor te kunnen functioneren.

Erasmus School of Accounting & Assurance: postinitiële masteropleiding IT-Auditing Promotie Leen Paape op 22 juni 2007 Leen Paape hoopt op 22 juni 2007 om 11.00 uur met een openbare verdediging zijn proefschrift af te ronden. Het onderwerp van zijn proefschrift luidt: ‘Corporate Governance: The impact on the Role, Position, and Scope of Services of the Internal Audit Function’. Op basis van Agency Theory en Transaction Cost Economics heeft Leen onderzocht wat de effecten zijn van de veranderingen in de regelgeving op het terrein van corporate governance op het functioneren van internal audit functies. Hij heeft daartoe een viertal case studies uitgevoerd bij achtereenvolgens ABN AMRO, Bank Nederlandse Gemeenten, Informatie Beheer Groep en TNT. Daarnaast heeft hij een survey uitgevoerd onder internal audit functies en de leden van de betreffende Raden van Bestuur en Raden van Commissarissen. Nu inschrijven voor de Summercourse (20 PE-punten): Auditing voor het business management: zijn we ‘aligned’? In de summercourse voor (IT) auditors op 12, 13 en 14 juni 2007

wordt nader ingegaan op de relatie tussen de auditor en het management met de vraag: zijn we ‘aligned’? Met andere woorden: is er een goede aansluiting tussen de auditvraag vanuit het management en het auditaanbod vanuit interne en externe auditors. Leen Paape start met een beschouwing waarin de positionering van de auditfunctie in de organisatie centraal zal staan. Arno Nuijten gaat in op de wijze waarop managers omgaan met het inschatten van bedrijfsrisico’s en wordt de vergelijking getrokken met de wijze waarop auditors risico’s inschatten. Kees Maat bespreekt op een interactieve wijze de mogelijkheden om de kwaliteit van rapportages aan het management te verbeteren. Op de slotdag gaat Jan Matto in op de samenwerking tussen IT en financial auditor. Daarbij wordt vooral gekeken naar de mogelijkheden van het aanbieden van diensten met een grote toegevoegde waarde die vanuit een combinatie van auditvaardigheden mogelijk worden. De sprekers in het programma baseren hun uitspraken op een combinatie van praktische ervaring en academisch onderzoek. In de slotdiscussie met Gert van der Pijl wordt gezocht naar vertalingen 54 | de EDP-Auditor nummer 2 | 2007

voor de eigen beroepspraktijk van de deelnemers. Voor meer informatie: www.esaa.nl of bel: 010 – 408 2438. Verdergaande samenwerking I/OA en IT-Auditing Met ingang van het collegejaar 2007/2008 zijn de curricula van de opleidingen Internal / Operational Auditing en IT-Auditing vernieuwd en volledig op elkaar afgestemd. Zo is de mogelijkheid beter gestroomlijnd om (naar keuze) beide opleidingen in drie jaar te volgen en daarmee genoeg basis te hebben voor een brede auditor op het gebied van management control, leidend tot de titels EMIA en EMITA. Beide opleidingen hebben een kopjaar dat speciaal ontwikkeld is voor kandidaten die al een postinitiële masteropleiding hebben afgerond. In februari is het kopjaar voor IT-auditing gestart, in september 2007 zal het kopjaar I/OA weer starten. Met ingang van het collegejaar 2008/2009 zullen beide kopjaren voortaan in september van start gaan. Verdiepingsvakken De opleiding IT-Auditing sluit het theoretisch deel van de opleiding af

met verdiepingsvakken, waarin een aantal onderwerpen verder wordt uitgediept en de deelnemers op de hoogte worden gebracht van de laatste stand van zaken. Oud studenten en ‘buitenstaanders’ kunnen zich inschrijven voor deze colleges. Een goede gelegenheid om weer in de

collegebanken aan te schuiven en kennis op te frissen. In de maanden april, mei en juni worden de verdiepingsvakken gegeven. De volgende onderwerpen zullen aan bod komen: internationale regelgeving; laatste technologische ontwikkelingen; Audit Tools; ontwikkelingen

beroepsregels RE’s; elektronisch verantwoorden met XBRL; problematiek oordeelsvorming; privacycertificering; informatiebeveiliging; IT outsourcing; business continuity en digitale duurzaamheid. Voor een uitgebreide beschrijving zie www.esaa.nl of bel 010 – 4081508.

Amsterdam Business School: EMITA De opleiding Executive Master of IT-Auditing (EMITA) aan de Amsterdam Business School is inmiddels het derde jaar ingegaan. De eerste studenten hebben zich reeds ingeschreven voor het nieuwe collegejaar, dat start in september. Voor RA’s bestaat de mogelijkheid de opleiding te volgen in een ‘fast track’ van 11 maanden. Aangezien het aantal plaatsen beperkt is, adviseren wij belangstellenden zich tijdig in te schrijven. In 2006 zijn de volgende boeken gepubliceerd bij uitgeverij Academic Service: IT-auditing en de praktijk, geredigeerd door Rob Fijneman, Edo Roos Lindgreen en Kai Hang Ho, en Kracht van de Vernieuwing 2007, geredigeerd door Abbas Shahim. Op 27 februari 2007 ontving de Amsterdam Business School de EQUIS-accreditatie van de European Foundation for Management Development (EFMD). EQUIS, het European Quality Improvement System, is het meest toonaangevende internationale systeem voor kwaliteitsborging, verbetering en accredi-

tatie voor het hoger en wetenschappelijk onderwijs op het gebied van management en business administration. De Amsterdam Business School bevindt zich hiermee in het gezelschap van toonaangevende instituten als INSEAD, IMD en de London Business School. Begin 2007 zijn ook de eerste contouren geschetst van het EMITA Research Programme, een onderzoeksprogramme gericht op Information Systems Audit & Control. Samen met de onderzoeksschool Primavera van prof. dr. Rik Maes wordt gewerkt aan een onderzoeksprogramma op het gebied van Information Governance. De derde en laatste fase van de visitatie van de EMITA-opleiding door NOREA is afgerond. De Commissie van Toelating zal op basis van het rapport van de visitatiecommissie advies uitbrengen aan het NOREAbestuur. In juni organiseert EMITA een summer school voor een groep van 40 studenten van Dauphine Université Paris, die willen kennismaken

55 | de EDP-Auditor nummer 2 | 2007

met de wijze waarop IT-auditing in Nederland wordt vormgegeven. In september zullen EMITA-studenten een bedrijfsbezoek brengen aan het Europese datacenter van Tata Consultancy Services in Boedapest, Hongarije.

Uit de opleidingen Studiedag VUrORE/NOREA Amsterdam:

Vol programma over actuele ontwikkelingen Jan Dros

V

UrORE, de studentenvereniging van de postdoctorale opleiding IT-Auditing aan de Vrje Universiteit en tevens NOREA Amsterdam, heeft op 14 november 2006 een studiedag georganiseerd over actuele onderwerpen in IT-Audit land. Een beknopt verslag. Prof. dr. ir. R. Paans RE verzorgde een inleidende presentatie van de volle themadag met als thema: ‘Van rule based naar principle based IT-Audit, en hoe leiden wij hiervoor op?’. Via de verwachtingen die de markt heeft van de IT-Auditor en de opleiding hiervoor, zoomde Paans in op de aanpassingen in de collegestof die op de VU wordt aangeboden. Hij wees hierbij op het feit dat de auditor zich bewust moet zijn van zijn werkomgeving. Het ‘hoe’ van het inrichten wordt minder belangrijk (de IT-ers in de organisatie zijn immers goed in staat de complexe IT te runnen en veilig in te richten). Paans pleitte ervoor dat IT-Auditors hun tijd niet meer steken in rule based auditing, maar op de principes die de organisatie gebruikt om haar regels op te baseren, zodat zij audits efficiënter kunnen uitvoeren.

J. Dros RE is secretaris bij VUrORE/NOREA Amsterdam

Effectiviteit van IT-audits De heer Drs.ing. W.N.B. Tewarie RE is bezig met promotieonderzoek naar effectiviteit en efficiëncy van IT-Audits. Tewarie zoekt een oplossing voor het ontbreken van een methode c.q. raamwerk voor het opstellen van referentiekaders. Dit kan ertoe leiden dat referentiekaders niet gebaseerd zijn op formele structuren en subjectief van aard zijn. Het samenstellen van referentiekaders is organisatie- en individuspecifiek en het ontbreken van referentiekaders kan leiden tot wisselende kwaliteit en diepgang, wat een negatieve invloed heeft op de effectiviteit en efficiency van de IT-Audit. Hij pleitte ervoor 56 | de EDP-Auditor nummer 2 | 2007

dat er een beperkt aantal principes wordt gedefinieerd op basis waarvan uit ‘best practices’ normen worden geselecteerd om het referentiekader samen te stellen. Tewarie bewijst onder andere dat referentiekaders te structureren zijn. Tijdens hun studie aan de VU hebben G. Wesselink RE en J. Dros RE een afstudeerscriptie geschreven onder de titel ‘Van principes naar normenkaders’. Tewarie begeleidde hen hierbij. Wesselink en Dros presenteerden hun scriptie, met als onderzoeksvraag: ‘Beredeneer welke principes ten grondslag liggen aan een aantal best practices. Volgens welke principes hebben de originele auteurs deze documenten opgesteld?’ De verdiepingsvraag luidde: ‘Zoek in deze best practices naar gemeenschappelijke kenmerken aan de hand waarvan principes opgesteld kunnen worden.’ Wesselink en Dros lieten twee matrixen zien waarin zij twee principes uitwerken volgens de verschillende onderdelen van de definitie van bestuurlijke informatieverzorging. Zij pleitten – als afsluiting van dit drieluik over principle based auditing – voor de ontwikkeling van een structuur aan de hand waarvan principes kunnen worden geselecteerd. Nieuwe organisatie derde jaar Daarna stond Drs. Y.W. van Wijk RE RA, kerndocent van het derde jaar van de Post Graduate IT-Audit opleiding aan de VU, stil bij de nieuwe organisatie van dit studiejaar. In dit jaar gaat de opleiding uit van de competenties van de IT-Auditor, die vervolgens via synthese worden geëvalueerd. Zij staat nadrukkelijker stil bij de subjectieve aspecten als cultuur en omgevingsfactoren. Uiteraard blijven techniek en bedrijfsproces belangrijke opleidingsonderdelen, maar deze objectieve aspecten worden tegenwoordig in samenhang bezien met de subjectieve.

Oordelen van gekwalificeerde IT-auditors Namens de werkgroep Oordelen presenteerden de heren Mr. Drs. J. Roodnat RE RA en Drs. Ing. P.D. Verstege RE RA de stand van zaken ten aanzien van het ontwikkelen van de richtlijn Oordelen van gekwalificeerde IT-Auditors. Ze constateerden een sterke ontwikkeling in de regeldruk, zowel nationaal als internationaal. Deze ontwikkelingen maken standaard oordelen noodzakelijk. Zij stonden stil bij de verschillende soorten oordeel en de reikwijdte van de richtlijn. Hierbij was specifieke aandacht voor de oordeelsonthouding. Roodnat en Verstege gaven aan dit oordeel uitsluitend toe te passen in situaties die buiten de macht van de verantwoordelijke partijen liggen. Vervolgens presenteerden M. Hoetjes EMITA en ing. J. Jacobs EMITA hun afstudeerscriptie ‘Continuous auditing and continuous monitoring: countinuous solutions?’. Zij stonden stil bij de relatie tussen continuous auditing en countinuous monitoring en lieten een praktijkvoorbeeld zien. Tenslotte presenteerden ze een volwassenheidsmodel.

Moet er over dit onderwerp meer theorievorming plaatsvinden? En wat is de rol van NOREA en de IT-Audit opleidingen hierin? De dag werd afgesloten met een borrel, aangeboden door NOREA. VUrORE/NOREA Amsterdam heeft het voornemen om regelmatig dit soort themadagen te gaan organiseren. De tijdens deze themadag verzorgde presentaties zijn beschikbaar via de website van VUrORE (www.vurore.nl).

Incidenten De presentatie van ir. P. Kazil RE, onder meer werkzaam als docent voor het tweede jaar aan de Post Graduate IT-Audit opleiding aan de VU, betrof technical audits en monitoring. Hij ging uit van mogelijke incidenten als fraude en de mogelijke oplossingen daarvoor. Kazil gaf een aantal voorbeelden van het detecteren van misbruik en zwakke plekken in de organisatie. Hij wees onder andere op het bestaan van enkele tools in Windows om loggings te beoordelen. Kazil sloot af met een aantal vragen ter overdenking: zal er een centrale beoordeling en aanbeveling van tools moeten plaatsvinden? 57 | de EDP-Auditor nummer 2 | 2007

Van de Norea

Herziening Beroepsregels en Richtlijnen voor IT-auditors Voorstel nieuwe structuur voor de ledenvergadering van 20 juni 2007

I

n juli 2006 is de Code of Ethics (voortaan te noemen: Reglement Gedragscode voor IT-auditors) ingevoerd. Dit reglement geeft dwingende aanwijzingen omtrent het gedrag van de IT-auditor, gerelateerd aan de begrippen integriteit, onpartijdigheid, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedrag. De belangrijkste doelstelling van de keuze voor deze code door NOREA was om de aansluiting tot stand te brengen met internationaal erkende gedrags- en beroepsregels voor assurance-opdrachten. De internationaal geformuleerde regels voor de als openbaar en de niet als openbaar optredende IT-auditor, zijn niet in het Reglement Gedragscode opgenomen omdat die, gezien de rol die ITauditors in Nederland vervullen, een vooralsnog niet noodzakelijk geachte verdieping vormen. Bij de invoering van het reglement is de noodzaak onderkend om de overige beroepsregels en richtlijnen van NOREA op een aantal aspecten aan te passen, zodat er een geheel van relevante regelgeving ontstaat met een consistente en begrijpelijke structuur. Door het bestuur is daartoe in juli 2006 een Commissie Herziening Beroepsregels (CHBr 1) ingesteld die voor de aanpassing van de NOREAregelgeving aanbevelingen moet doen. Deze commissie stelt een structuur voor waarin enerzijds ‘verenigingregels’ worden onderscheiden (zoals Statuten, het huishoudelijk reglement) en reglementen die specifieke onderwerpen in de verenigingshuishouding regelen (zoals toelating of overstappers/herintreders). Daarnaast zijn er reglementen en richtlijnen die het niveau van de beroepsbeoefening moeten waarborgen. Dit zijn de het Reglement Gedragscode

en de overige beroepsregels en richtlijnen. In dit document wordt de voorgestelde structuur op hoofdlijnen aangeduid. De conceptrichtlijn Oordelen, die in december 2006 aan de ledenvergadering is gepresenteerd moet eveneens in de herziene structuur worden ingepast. Ook de voorstellen van de Vaktechnische commissie voor een herdefiniëring van de status van de in gebruik zijnde documenten (zoals richtlijn, aanbeveling, norm, handreiking, verkenning, studierapport) moeten daarbij worden betrokken. Ten aanzien van de regelgeving is naar de mening van de commissie de volgende structuur relevant2: • Statuten (waarin o.a. de doelstelling en beroepskwalificatie [RE] wordt geregeld plus de ‘status’ van een RE (dat wil zeggen al dan niet ‘actief optredend als RE’); • Verenigingsreglementen zoals huishoudelijk reglement, reglementen van tucht, toelating, beroep, etc. • Beroepsuitoefeningsreglementen zoals Reglementen Gedragscode voor IT-auditors en Reglement Beroepsbeoefening waarin een aantal begrippen uit de vervallen GBRE wordt opgenomen en ook de status van documenten wordt vermeld; • Richtlijnen, waaronder nieuwe richtlijnen zoals Het Raamwerk voor assurance-opdrachten, Richtlijn voor assurance-opdrachten, de Richtlijn Oordelen. De reeds bestaande richtlijnen zoals Opdrachtverwerving- en aanvaarding, Dossiervorming en –beheer, Rapportage, Permanente Educatie. • Handreikingen zoals normen, standaarden en beoordelingskaders (ZekeRE-business, ZekeRE zorg); • Publicaties en studierapporten die 58 | de EDP-Auditor nummer 2 | 2007

geen algemeen verbindende regels of voorschriften bevatten. De relatie tussen de hiervoor genoemde documenten is in het model op pagina 60 weergegeven. Betekenis Reglement Gedragcode NOREA baseert de herinrichting van de regelgeving zoveel mogelijk3 op de uitgangspunten van de International Federation of Accountants (IFAC). Een van de doelstellingen van de regelgeving van IFAC is zorg te dragen voor een goede beroepsbeoefening, ongeacht de aard van de opdracht. De ‘Code of Ethics’ is daardoor van toepassing op alle door een beroepsbeoefenaar verrichte opdrachten. Deze doelstelling van de IFAC-regelgeving wordt door het NOREAbestuur onderschreven zodat het Reglement Gedragscode van toepassing is op alle activiteiten van een ITauditor. Dit uitgangspunt vormt daarmee de basis voor de voorstellen door de CHBr. Soorten opdrachten en consequenties m.b.t. beroepsregels en richtlijnen 4 Bij het analyseren van de op een opdracht van toepassing zijnde regelgeving is het noodzakelijk dat de IT-auditor eerst bepaalt of sprake is van een: • Assurance-opdracht of een • Assurance gerelateerde en overige opdracht (inclusief adviesopdracht). Gezien het (maatschappelijk) belang van assurance-opdrachten (bijvoorbeeld op het gebied van financiële verantwoordingen) heeft IFAC zich op de eerste plaats gericht op het ontwikkelen van richtlijnen voor deze geconsolideerde Assurancefunctie. Daarvoor is een uitgebreide set van regelgeving ontwikkeld, die integraal op assurance-opdrachten van toepassing is.

Van de Norea De regelgeving voor aan assurance gerelateerde opdrachten en overige opdrachten is door IFAC weliswaar nog nauwelijks uitgewerkt, maar de onder punt 2 vermelde reikwijdte van het Reglement Gedragscode leidt tot de conclusie dat op de assurance gerelateerde en overige opdachten delen van de regelgeving voor assurance-opdrachten van toepassing zijn. Zo zullen voor adviesdiensten geen inhoudsvoorschriften kunnen worden gegeven, maar gelden wel de regels ten aanzien van onder meer opdrachtaanvaarding, definiëren object van opdracht, scope, reikwijdte, rapportage en dossiervorming. In Nederland bestaan opdrachten van IT-auditors op dit moment voor een belangrijk deel uit adviesopdrachten. Om te voorkomen dat delen van de regelgeving ten onrechte niet door een IT-auditor worden toegepast, is het noodzakelijk te bepalen of een opdracht een assurance-karakter heeft dan wel valt onder de andere categorie. Deze analyse moet zijn vastgelegd in het dossier en de uitkomst moet worden vermeld in de opdracht. Het hiervoor genoemde onderscheid in soorten opdrachten wordt aangeduid in Richtlijn 1000 ‘Raamwerk voor assurance-opdrachten’. Ten aanzien van de soorten opdrachten is het volgende onderscheid van belang: Assurance-opdrachten Een assurance-opdracht is een opdracht waarbij een IT-auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de partij die zich verantwoordt, in de uitkomst van de evaluatie of de toetsing van het object van onderzoek ten opzichte van de toetsingsnormen te versterken. Kenmerkend voor een assuranceopdracht zijn de volgende elementen: 1. Betrokkenheid van drie partijen (de auditor, een zich verantwoordende partij plus een beoogde gebruiker);

6OORSTELNIEUWESTRUCTUUR )4 AUDITINHOUD

0ROCEDURE

0RINCIPLES

3TATUTEN ³6ERENIGING´ „((2 „4UCHT „4OELATING „"EROEP „2EGELING OVERSTAPPERSETC

2EGL  'EDRAGSCODE 2EGL "EROEPSBEOEFENING 2AAMWERKEN2ICHTLIJN !SSURANCE OPDRACHTEN

2ICHTLIJNEN 2ULES

(ANDREIKINGEN 3TUDIESPUBLICATIESENSTUDIERAPPORTEN

2. Een geschikt object van onderzoek; 3. Toepasbare toetsingsnormen; 4. Toereikende Assurance informatie; 5. Een schriftelijk rapport. Er worden bij assurance-opdrachten twee zekerheidsniveaus onderscheiden: • een assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid; • een assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid. Tenslotte wordt met het oog op de rapportage een onderscheid gemaakt in: • ‘direct reporting opdrachten‘ en • ‘assertion-based opdrachten’, die op beide zekerheidsniveaus kunnen worden uitgebracht.

elementen, zijn overige opdrachten te onderscheiden in: • Aan assurance verwante opdrachten, zoals als het verrichten van overeengekomen specifieke werkzaamheden; • Consultancy- en adviesopdrachten, zoals managementadviezen. Voor de opdrachten in deze categorie gelden in ieder geval de richtlijnen die betrekking hebben op opdrachtverwerving- en aanvaarding, dossiervorming en rapportage. De wijzigingsvoorstellen en conceptreglementen beroepsbeoefening en Raamwerk en Richtlijn Assuranceopdrachten zijn vanaf 1 juni te raadplegen via de NOREA-website. Noten 1 Lid van CHBR zijn de collegae Daalder, Kossen, Olthof, Van der Vlugt,

Ten aanzien van deze assuranceopdrachten worden in onder meer het Raamwerk voor assuranceopdrachten en de Richtlijn voor assurance-opdrachten door IT-auditors nadere voorschriften en eisen gesteld aan de onderzoeksactiviteiten, de rapportage en de wijze waarop het oordeel wordt geformuleerd.

Warmoeskerken en De Zwart 2 Deze structuur is conform het advies inzake de classificatie Vaktechnische producten van de Vaktechnische Commissie 3 De verschillen in de objecten (financiële verantwoordingen versus IT-gerelateerde opdrachten) kunnen er toe leiden dat delen van de IFAC-regelgeving niet van toepassing zijn, moeten worden aangepast of kunnen vervallen

Assurance gerelateerde en overige opdrachten (inclusief adviesopdrachten) Naast assurance-opdrachten zoals gekenmerkt door de voornoemde vijf 60 | de EDP-Auditor nummer 2 | 2007

4 Voor deze beschrijving is gebruikt gemaakt van het artikel ‘Het Stramien voor assuranceopdrachten’: een opmaat voor de toekomst van Peter Eimers en Hans Verkruijsse in MAB, december 2006

Young Professionals bijeen in Utrecht

B

ij Mediaplaza in Utrecht vond op 12 maart de startbijeenkomst plaats van de Young Professional IT-auditors. Circa vijftig NOREA ‘Young Professionals’ waren daarvoor naar Utrecht gekomen. Door Mediaplaza werd aan de hand van een presentatie een indruk gegeven van actuele ontwikkelingen, trends en games in de digitale wereld. Tijdens een panelgesprek werd daarna de vraag opgeworpen of en in welke vorm deze ontwikkelingen invloed zullen hebben op de toekomstige rol en taak van de IT-auditor. NOREA-voorzitter Hans Donkers deed een oproep aan de aanwezigen om zelf invulling te geven aan vervolgactiviteiten van deze bijeenkomst voor de Young Professionals. Immers, deze groep kan een belangrijke impuls geven aan de vernieuwing en het eigentijdse gezicht van de beroepsorganisatie. Door middel van een initia-

‘Young Professional’ Miranda Beukenkamp (Deloitte) en NOREA-voorzitter Hans Donkers tijdens het paneldebat. tiefgroep hoopt het bestuur dat dit netwerk ‘zelfsturend’ tot volgende activiteiten komt. Naar aanleiding daarvan is de initiatiefgroep op

7 mei voor het eerst bijeen geweest. Voor aankondigingen en volgende activiteiten zie de NOREA-website: www.norea.nl

IT-auditdag 14 juni 2007

D

e tweede ‘IT-auditdag’, een gezamenlijk initiatief van de NOREA en ISACA NL Chapter, vindt op donderdag 14 juni 2007 plaats. Thema van de dag is dit jaar Audit en IT-architectuur. Dagvoorzitter is Ron Tolido, Chief Technology Officer van Capgemini. Verder verzorgt prof. Han van der Zee, hoogleraar informatiekunde van de Universiteit van Tilburg, een keynote presentatie. Uiteraard is er in het programma ook aandacht voor actuele maatschappelijke ontwikkelingen in relatie tot IT-audit. Bovendien worden de resultaten gepresenteerd van het jaarlijkse beloningsonderzoek onder IT-auditors. De IT-audit dag 2007 vindt plaats in het toonbeeld van Nederlandse Stijlarchitectuur: congrescentrum Zonnestraal te Hil-

Audit en IT-architectuur

Congrescentrum Zonnestraal Hilversum versum. De deelnemersbijdrage voor NOREA en ISACA-leden bedraagt 60 euro. Ontvangst vanaf 13.00 uur. 61 | de EDP-Auditor nummer 2 | 2007

De bijeenkomst wordt besloten met een aperitief en buffet. Aanmelding via het NOREA-bureau.

Van de Norea

Nieuwe leden

Met ingang van 23 mei 2007 ingeschreven in het register van gekwalificeerde IT-auditors (RE’s): H.G. Aelbers Belleperenlaan 36 Vleuten drs. C.G.R.M. Aldenhoven Pastoor van Laakstraat 58 Lent drs. G. Bijl Palladiostraat 30 Amersfoort drs. R.J. van Burk Doelstraat 20 a Haarlem mevr. drs. C.M.P. Gillon Perkstraat 38 Zoetermeer mevr. M. Hoetjes Zwanenkamp 934 Maarssen drs. S.J.A. Jansen Sonneveld 32 Amsterdam

mevr. drs. M.M.A. Kalvelagen Passeerdersstraat 47 a Amsterdam

ing. R.V. Wijne EMITA Hoogstraat 5 Haarlem

mevr. drs. P.M. Koppers CISA Hoogte Kadijk 136 a Amsterdam

Rectificatie In de EDP-Auditor, nummer 1/2007 stond in deze rubriek abusievelijk een postbusadres vermeld bij de publicatie van: drs. L. Dörr RE, Koolmees 84, 5161 SV Sprang-Capelle.

drs. P.N.M. Kromhout Teslastraat 14 Haarlem K. Niewold Groene Specht 4 Emmen ing. W.N.J. van der Peijl Piet Baarslaan 39 ’s-Gravenhage drs. C.M. Piek Tolhuislaan 4 Ede ir. J.W.N. Schreij Wilhelmina Druckerstraat 202 Apeldoorn mevr. H. Slatius Eline Verestraat 58 Amersfoort

Agenda 14 juni 2007: IT-auditdag (ISACA/NOREA) Congrescentrum Zonnestraal te Hilversum; 20 juni 2007: NOREA-ledenvergadering Congrescentrum Amstelveen; 10 oktober 2007: Congres Informatiebeveiliging/Joop Bautz Award (ECP.nl/GvIB/ISACA/PI/ NOREA) in Spant! te Bussum 28/29 november 2007: NOREA/VERA Update on ICT & Control(e) te Ermelo

62 | de EDP-Auditor nummer 2 | 2007