Inhoud 1. 2. 3. 4. 5. 6.
Doelstelling Hoofdlijnen systeemconcept Assurance object Inrichting assurance Meetpunten zekerheid Zekerheid of schijn?
12-11-2008
VUroRE
2
1. Doelstelling • Inzicht gewenste / haalbare zekerheid grootschalige HR-processen: – Wat is nodig? – Wat is haalbaar?
• Welke zekerheid kan IT-auditor bieden? • Conclusie (schijn)zekerheid • Hoofdlijnen 12-11-2008
VUroRE
3
2. Hoofdlijnen syst.concept - 1 • • • • •
Rijksdienst SSC: P-Direkt Ketenproces HRM-diensten rijksdienst > 100.000 medewerkers + > € 100n Politieke belangstelling Zekerheid nodig over: – € (v/j/t) + integriteit – Beschikbaarheid – Exclusiviteit (Wbp)
• Project Migratie SAP-HR: inrichting HR+ZB (5 dept. 6 HCS, 65.000 medewerkers) 12-11-2008
VUroRE
4
2. Hoofdlijnen syst.concept - 2 • Control filosofie HR-processen: – Controle vóóraf: • Overleg manager en medewerker • Controle op juistheid door automatisering
– Controle achteraf: • • • • •
12-11-2008
Terugkoppeling op gedrag vanuit systeem Controle op werking van hele proces Afwikkeling bevindingen op departement Controle Auditdiensten op basis van steekproef Kwaliteitstoets HR-processen IT-auditor
VUroRE
5
2. Hoofdlijnen syst.concept - 3 • Realisatie via SAP/R3 – HR = personeelsgegevens – PY = bruto-netto, afrekening, afdracht – PI = info uitwisseling (in en uit) – BI = infoverstrekking – EIC = ondersteuning zelfbediening – Relatie andere SAP-modules
• Uitbesteding delen ketenproces 12-11-2008
VUroRE
6
2. Hoofdlijnen syst.concept - 4 Relatie SAP-HR met andere SAP-modules Bedrijfsnummer
Personeels gebied aansluitnummer/ /externe instantie
Controlling gebied
Personeels subgebied
Kostenplaats
Personeels nummer
Organisatie eenheid
Formatieplaats
Medewerker subgroep
Medewerker groep
Afrekeneenheid
Organisatie structuur
Functie
Ondernemingsstructuur Personeelsstructuur Organisatiestructuur
12-11-2008
VUroRE
7
2. Hoofdlijnen syst.concept - 5
Manager
Backoffice / verwerking
2e Lijn
BZK
EC ……
Arbo ABP
Gemeenschappelijke Uitvoeringsprocessen
……
verwerkerr
HR-Ondersteuner
12-11-2008
Personele Diensten
Zelfbediening
informatie + transactie (zelfbediening )
1e Lijn
portal
Portal ondersteuning
Medewerker
HRM
Expert Advies
P&O Servicedesk Dienstverleningssystemen
Zelfbediening
HR-Verwerker
VUroRE
8
3. Assurance object - 1 Schets processen Betaling
Ik wil…
Wie ben ik?
Wat wil ik?
Mag ik wat Ik wil?
Opdracht
Verwerken
Salaris verwerking
Loon elementen
Identificatie autorisatie
Navigatie naar wens goedkeuring
Scherm formulier
Opslaan gegevens
Salaris verwerking Rapportage
12-11-2008
VUroRE
9
3. Assurance objecten - 2 Systeemschets Dept
Infosyst.
MSHR/CO
PI
P-D/DVS
A HR
Zelfbedien = 26 proc
Portaal
Handm Uitvoer Medew Mngr. HR-O 12-11-2008
PI
PY D
B C
Form. Bezet Journ. Div
E
HR-Verwerker
VUroRE
BI
Mini PY
Stroken Betalen Afdrachten Medew HR-O Extern 10
4. Inrichting assurance - 1 • Assurance kenmerken SAP i.r.t. HR: – Functionaliteit, controles, autorisaties in HR = ‘leeg’ – Standaard controles HR niet inzichtelijk – Controles customizing documenteren – SAP HR SAP BI / SAP EIC – Rapportages = complex
• Formele uitvoer HR-processen • ???? = in ontwikkeling! 12-11-2008
VUroRE
portaal
juridisch dicht
11
4. Inrichting assurance - 2 • Rol IT-auditors in keten – Departement: • € = samen met Financial Auditor • IT-aspecten lokale implementatie portaal, netwerk, koppelingen rijksweb, etc.
– Project: • • • •
12-11-2008
System audit opzet / bestaan / werking Audit HR-Verwerker opzet / bestaan / werking Audit ketenpartners werking = TPM / SAS70 Beheerverslag
VUroRE
12
4. Inrichting assurance - 3 • General controls in relatie tot; – Dienstenovereenkomsten klanten – Contracten - SLA’s – DAP’s – HR-Verwerker – Autorisaties – Etc.
• Systeemcontroles = A t/m E • Testtraject: ., ., KIT 12-11-2008
VUroRE
13
4. Inrichting assurance - 4 • Inrichting HR-Verwerker Manager Staf IC Relatiebeheer Taken:
Contact Centrum
Adm. verwerking
Autorisatiebeh.
=
=
=
=
Interface gegevens
1e-lijn klanten
Invoer mutaties HR
Toekennen rollen en analyse gebruik
systemen
12-11-2008
VUroRE
14
4. Inrichting assurance - 5 • Autorisaties – Normale problematiek (SAP All, vertrokken medewerkers, overrulen rollen vanuit andere modules, etc.) – Specifieke problematiek HR: • Relatie portaal HR • Autorisaties HR BI • Manager + HRO + HRV = 2 rollen: – Functionele rol – Medewerkers rol 12-11-2008
VUroRE
15
5. Meetpunten zekerheid • Belangrijkste controlemaatregelen per object Controlemaatregel / Subobject
A
Hashtotals / checksums / tellingen
X
Mutatieverslag voor departement
X
Logging + reproductie mutatie
B
C
D
E
X
X
X
4-ogenprincipe op basis autorisatie
X
Volledigheidscontrole infotypes HR en PY
X
Bestandsvergelijking
X
Diagonale beoordeling uitvoer
X
In combinatie maatregelen o.g.v A&K-analyse: generieke en geprogrammeerde maatregelen 12-11-2008
VUroRE
16
6. Zekerheid of schijn? -1 • Kerntaak IT-auditor: zekerheid bieden • Conclusie huidig inzicht: – € v/j/t + integriteit – Beschikbaarheid portaal + betalen – Exclusiviteit toegang / gebruik (Wbp)
lijkt oordeel met ‘redelijke mate’ zekerheid mogelijk • Schijn? 12-11-2008
VUroRE
17
6. Zekerheid of schijn? - 2 Wat wordt het?
of
12-11-2008
VUroRE
18
