Technology Risk Consulting. IT Risk management in een technologische wereld. Jeroen Devenyn & Olivier Naeyaert

r

Technology Risk Consulting

IT Risk management in een technologische wereld

UFSIA Forum Technologie en Management 16 Februari 2001 Jeroen Devenyn & Olivier Naeyaert

1

Structuur & timing van de presentatie

Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE 1

CASE 2

CASE 3

CASE 4

(10’)

(10’)

(10’)

(10’)

CASE 5 (10’)

Project Risk Management

Business Systems

Website Review

Security Audit

Reorganisatie IT Departement

Arthur Andersen (10’) Drinks !! (??? ’)

3

Technologie - Gisteren…

•

“I think there is a world market of maybe 5 computers.” Tom Watson, CEO IBM, 1943

•

“Computers in the future may weigh no more than 1.5 tons.” Popular Mechanics, 1949

•

“It would appear that we have reached the limits of what is possible to achieve with computer technology.” John Von Neumann, 1949

•

“There is no reason why anyone would want a computer in their home” Ken Olsen, Founder & CEO DEC, 1977

•

“640Kb ought to be enough for users to run all computer applications.” Bill Gates, Founder Microsoft, 1981

4

2

Technologie - Vandaag...

5

Structuur

• Cases – oplossen real life problemen – projecten van ons team in 2000 / 2001 – added value voor de klant

• Structuur Cases – Wat was het probleem / vraag van de klant – Wat hebben we gedaan – Lessons Learned

• Belangrijke lessen meegeven die je niet op school leert – stuff that really matters

6

3

IT Risk Management

Inleiding en structuur presentatie (5’)

IT Risk Management (20’) CASE 1

CASE 2

CASE 3

CASE 4

(10’)

(10’)

(10’)

(10’)

CASE 5 (10’)


Business Systems

Website Review

Security Audit



7

Algemene IT Risico’s

1. 2. 3. 4. 5. 6. 7. 8. 9.

Availability Performance Capacity/Scalability Integrity Access/Security Cost Management Continuity Strategic Alignment Infrastructure Flexibility/Nimbleness

8

4

IT management functies

•

•

Plan

•

Monitor

1. Strategy

10. Security Management

2. Organization

11. Service Management

3. Business Continuity Management

12. Asset Management

Operate

•

4. Application Management

Infrastructure Resource Planning 13. Enterprise Systems Management

5. Data/DBMS Management 6. Network Management

•

Project Management

7. Platform Management 8. Desktop Management 9. Computer Operations Management

Focus op management ! Wat houdt IT mgmt in ? 9

Strategy

– Risico indicatoren • Ontevredenheid met formele IT organisatie • Verhoogde backlog; • Verhoogd gebruik van consultants of outsourcers voor strategische taken • Hoge turnover; Problemen aantrekken van bepaalde IT profielen • Steeds overschrijding IT budget – Potentiële impact • Verlies opportuniteiten door onkunde van IT om tijdig oplossingen te bieden voor business • Overdadige investeringen in IT met minimale return • Oplossingen die niet beantwoorden aan business vereisten • Verhoogde turnover door dysfunctionele organisatie 10

5

Organization

– Risico indicatoren • Ontbrekend organigram veroorzaakt verwarring over rollen en verantwoordelijkheden • Overlapping rollen resulterend in zwak gecoördineerd werk • Veel gebruik externen - verlies van interne competenties en kennis • Zwak gedocumenteerde profielbeschrijvingen • Gebrek aan performantiemeting • Gebrek aan aandacht voor training • ”Parallelle" IT initiatieven vanuit de gebruikersorganisaties ontevredenheid met bestaande formele IT organisatie

11

Organization

– Potentiële impact • Inefficiënties in de werking van de dienst, resulterend in financiële en operationele risico’s • Problemen met betrouwbaarheid en beschikbaarheid van IT • Problemen met aantrekken en behouden van competenties

12

6

Business Continuity Management

– Risico indicatoren • Geen gedocumenteerd business continuity plan. • Geen Business Impact Analyse • Afwezigheid van service level agreements (aanvaardbare downtime) – Potentiële impact • Onmogelijkheid om snel terug tot een aanvaardbaar operationeel niveau te komen, wat eventueel tot het stopzetten van het bedrijf kan leiden. • Vals gevoel van veiligheid door gedateerde of niet geteste continuïteitsprocessen.

13

Application Management

– Risico indicatoren • SLA's en andere indicatoren zijn niet ontwikkeld om de performantie, beschikbaarheid en capaciteit van toepassingen na te gaan. • Hoog aantal wijzigingen in productietoepassingen, zonder voldoende change management controles, wat resulteert in systeem downtime en mogelijke integriteitsproblemen. • Toepassingen zijn frequent niet beschikbaar. – Potentiële impact • Zwakke responstijden gesignaleerd door gebruikers, waardoor de verwerking niet binnen redelijke tijd gebeurt. • Problemen met integriteit, beschikbaarheid en performantie.

14

7

Data/DBMS Management

– Risico indicatoren • Data zijn verloren of kunnen niet hersteld worden door gebrek aan back-up, restore of recovery procedures. • Gebruikers hebben geen vertrouwen in beschikbaarheid, integriteit, of relevantie van data. • Duplicate processen om data en informatie te vergaren, verwerken en verdelen. – Potentiële impact • Nemen van bedrijfsbeslissingen wordt ondermijnd omdat noodzakelijke data niet bestaan, moeilijk te verkrijgen of inaccuraat zijn. • Database integriteitsproblemen door inconsistente routine operations en onderhoud.

15

Network Management

– Risico indicatoren • Network performantie of capaciteitsproblemen • Verouderd plan IT architectuur • Gebrek aan metingen van netwerk performantie, beschikbaarheid, enz. • Veranderingen aan netwerk worden niet nagezien, gepland of gecommuniceerd naar gebruikers – Potentiële impact • Onstabiele omgeving en zwakke service levels naar gebruikers • Network is onder/over-sized • Migratie en onderhoud is complex en neemt tijd door inconsistent gedocumenteerde architectuur • Management richt zich op incorrect technisch plan 16

8

Platform Management

– Risico indicatoren • • • •

Systemen frequent niet beschikbaar Maintenance windows zijn niet gepland Te frequente veranderingen aan besturingssystemen Decentrale IT eilanden in business omdat IT hun noden niet kan beantwoorden

– Potentiële impact • Verlies inkomsten / kosten • Onstabiele omgeving; zwakke service naar gebruikers • Beschikbaarheid en operations risico’s

17

Desktop Management

– Risico indicatoren • Geen inventaris van hardware of software. Geen formeel licentie beheer. • Verschillende versies van dezelfde software; Upgrades gebeuren op ad-hoc basis. • Software distributie neemt veel tijd en is complex. • Users moeten regelmatig rebooten. • Departmenten kopen eigen materiaal en verwachten dat IT dit later ondersteunt.

18

9

Desktop Management

– Potentiële impact • Excessieve kosten door reactief problemen op te lossen • Productiviteit gebruikers (crashes) • Negatief imago IT omdat desktop niet werkt. • Overtreden licentie overeenkomst. • Gebrek aan schaalvoordelen bij aankopen • Gebrek aan standardisatie leidt tot hogere support kost & incompatibiliteit tussen systemen. • Onderhoud is duur en complex.

19

Computer Operations Management

– Risico indicatoren • Geen planning voor hardware/software upgrades • Geen capaciteitsplanning voor storage beperkingen. • Geen formele procedures of automatische tools voor batch scheduling en voor monitoring en dynamische aanpassing van toegewezen computing resources. – Potentiële impact • System response tijd met negatieve impact productiviteit en service. • Volledige jobs moeten herdraaid worden door gebrek recovery/restart procedures. • Productie jobs crashen door onvoldoende CPU resources, storage capacity, of slecht doorgevoerde programma wijzigingen.

20

10

Security Management

– Risico indicatoren • Geen formele security standaarden en procedures. Geen bescherming van data assets. • Geen controle toegangen op basis van "need-to-have" access volgens toegewezen verantwoordelijkheden – Potentiële impact • Niet geauthoriseerde wijzigingen, verwijdering, of publicering van data • Kosten voor recovery van beschadigde of gedelete files. • Legale exposure door overtreding van vereisten op vlak van data bescherming

21

Service Management

– Risico indicatoren • Geen formele Helpdesk functie. De Helpdesk gebruikt geen software pakket om tracking van problemen te doen. • Gebruikers hebben geen vertrouwen dat IT hen kan helpen. Gebruikers klagen over inconsistente service. – Potentiële impact • Niet alle problemen worden consistent behandeld. Trial-and-error antwoorden. Geen knowledge sharing. • Users vermijden Helpdesk en contacteren andere eindgebruikers of gaan direct naar andere profielen binnen IT. Return on investment van IT is gesuboptimaliseerd. • Geen continue verbetering van IT services mogelijk.

22

11

Asset Management

– Risico indicatoren • Geen inventaris van assets; geen periodieke inventarisatie. Decentrale technologie zit niet in centrale asset repository. • Inadequate link met problem management en aankopen. Totale kosten voor IT assets zijn niet bekend. IT kosten gaan altijd boven geplande budget. – Potentiële impact • Geen historiek van IT kosten voor assets • Overtollige (niet gebruikte) assets maar ook “verdwijningen” • Verhoogde technische complexiteit. Gebruik niet standaard materiaal / software bij desktop en servers

23

Enterprise Systems Management

– Risico indicatoren • Verschillende management tools voor IT infrastructuur zonder centraal en overkoepelend management. • Geen documentatie over kritische business process flows. – Potentiële impact • Te hoge kosten voor software tools (shelfware of onderbenutting); Zeker geen ‘best practice’ • Efficiëntie en effectiviteit van business processen.

24

12

Project Management

– Risico indicatoren • Projecten worden niet binnen de afgesproken termijnen en budgetten afgeleverd. • Scope van het project is niet eenduidig gedefinieerd en geauthoriseerd en verandert regelmatig. • Onaangepaste middelen voor het project (budget en personeel) • Kosten worden niet opgevolgd en vergeleken t.o.v. budget. • Projecten worden niet volgens een standaard methodologie beheerd. – Potentiële impact • Budgetoverschrijdingen en onvoldoende kwaliteit. • Reputatie van het bedrijf staat op het spel. • Niet-kwalitatieve Project Management processen leiden tot probleme met data-integriteit, beschikbaarheid, slechte performantie.

25

Aandachtsgebieden voor beheer IT risico’s

De domeinen

De taken 1. Tactical Alignment

1. Plan 2. Operate 3. Monitor 4. Enterprise Systems Management 5. Project Management

2. Stability and Reliability 3. Processes 4. Technology Leverage 5. Results Management 6. Human Capital

26

13

CASE 1: Project Risk Management

Inleiding en structuur presentatie (5’) IT Risk Management (20’) CASE

CASE 1

CASE 2

CASE 3

CASE 4

(10’) Een project Project Risk aanpak Management

(10’)

(10’)

(10’)

(10’)

Business Systems

Website Review

Security Audit


CASE 5


27

CASE 1: Project Risk Management

•

•

Plan

•

Monitor

1. Strategy


2. Organization




Operate

•




•

Project Management


28

14

CASE 1: Project Risk Management & E-Business

29


• Wat was het probleem / vraag van de klant – – – –

Klant is grote oliemaatschappij Heeft een aantal Ebiz ideeën… Wat moeten we nu aanvangen met het Net ? Hoe realiseren we het ?

• Wat hebben we gedaan – brainstorming sessies over gebruik e-business – market research voorbeelden in Oil & Gas industrie – Texaco Benelux was pionier in project • • • • •

doe alles zelf voor 1ste keer design implement test go-live 30

15


• Strategie • ‘customer self service’ voor informatie: localisatie service stations • bijkomende business opportuniteiten ter beschikking stellen service stations als pick up point frequent bezoek + 24/7 open

• Resultaat – Partnership tussen Texaco Worldwide en UPS betreft de levering van consumentengoederen via Texaco benzine stations. – Vatten markt online consumenten. Via website retailer toegang tot Texaco website voor pick-up point.

31


• Beslissing implementatie – begeleiding & coördinatie van alle bij het project betrokken partijen – risico management bij projectbeheer • quality deliverable • on time • on budget

– assistentie bij selectie partners • ontwikkeling website • ontwikkeling geografische kaarten • hosting

– Provider focus is teveel op verkoop technische oplossingen, niet de business. 32

16


Business Consulting •

Creatie statische screenshots van website

•

Voor negotiatie met partner voor design, ontwikkeling en implementatie van site

•

Voor negotiatie partnerships met online retailers

33


Technology Risk Consulting •

Selectie partner hosting services – negotiatie SLA interventies voor updates site

•

Selectie map provider om high-quality kaarten te maken

• • • • • •

Assistentie bij webdevelopers Registratie domeinnamen & diensten voor launch site Coördinatie partijen (stricte timing!) Advies voor technologie (server sizing, …) Testing & debugging site voor launch Monitoring van website performantie na launch

– geen copy paste van Internet…

34

17


• Lessons Learned – hoe meer partijen er bij een project betrokken zijn, hoe belangrijker een goed en efficiënt project management wordt. – spanningen tussen de verschillende partners kunnen dikwijls hoog oplopen (relaties bleven goed) – leer het Internet kennen: browse het WWW, koop af en toe eens iets online, maak je eigen homepage, … – you can make money on the net

35


36

18

CASE 2: Business Systems Risk Management


CASE 2

CASE 1 (10’) Project Risk Management

(10’)

CASE 3

CASE 4

(10’)

(10’)

(10’)

Website Review

Security Audit


Een project Business aanpak Systems

CASE 5


37


•

•

Plan

•

Monitor

1. Strategy


2. Organization




Operate

•




•

Project Management


38

19


• Wat was het probleem / vraag van de klant – groep actief in groothandel voor tabak (miljarden) – gedwongen vanuit groepsniveau om SAP te implementeren – one big mess door een ERP systeem

• Serieuze problemen waren bekend in aantal domeinen: – Incorrecte cost of sales (vervuiling van CO module data) – Incorrecte inventaris waardering (vervuiling van master data) – Problemen met account assignment (automatische boekingen)

• Problemen met audit. Getrouw beeld jaarrekening ? • Correctie van deze problemen & opkuis van data in SAP voor fiscal year 2000. 39


• problemen met lokaal management – desastreus projectbeheer – verschillende consultants – – – – – –

IT in absolute cowboy style lots of politics ; Dallas & Dynasty (lokaal niveau tov groep) compleet onbetrouwbaar systeem overal integriteitsproblemen oncontroleerbare firma (absoluut geen cijfers, geen zicht op marges) gigantisch kostenplaatje

40

20


• Wat hebben we gedaan: verschillende fasen – – – – –

beschrijving processen (minimum controles aanwezig) aktieplan opgesteld voor correcties projectcoördinatie (opvolgen teams, management) opvolging planning & zetten prioriteiten kwaliteitscontrole over uitgevoerde werk (testscenario ’s)

41


• Fase I: identificatie problemen - Overzicht infrastructuur + systemen + interfaces - Overzicht bedrijfsprocessen + Documenteren controles - Identificatie alle bronnen van vervuilde data

42

21


• Procesbeschrijvingen

43


44

22


• exceptierapportering

45


• Fase II: oplossing problemen - Master data review (Vendors, Customers, Articles, Sales Pricing) - Analyse en testen van data correcties - Analyse en testen van interfaces

• Fase III: project beheer - Project Coördinatie - Project Quality Assurance

46

23


47


• Lessons Learned – het gaat er veelal niet erg professioneel aan toe – leren werken in een groepsstructuur – doe je huiswerk op voorhand : in kaart brengen processen,... – quick & dirty: je betaalt altijd de prijs – management support bij IT projecten is essentieel – IT ondersteunt altijd de doelstellingen business – planning !!! – Voor ons: CYA - beperkingen in scope !!!

5 min BREAK

48

24

CASE 3: Website Review


CASE 1

CASE 2

CASE 3

CASE 4

(10’)

(10’)

(10’)

(10’)


Business Systems

(10’) Een project Website aanpak Review

Security Audit


CASE 5


49

CASE 3: Website Review

• Tactical Alignment • Stability and Reliability • Processes • Technology Leverage • Results Management • Human Capital

50

25

CASE 3: Website review

• Wat was het probleem / vraag van de klant – – – –

Selexion.be Groep van distributeurs in ‘bruin goed’ hadden eerste ecommerce site was behoorlijk professioneel; klant wou korte checkup

51


• Wat hebben we gedaan – Limited review – een paar dagen werk – Evaluatie van belangrijkste gebieden • • • •

Content Ergonomie Technologie Tax & Legal

52

26


• Content – Eerste indruk – URL - bruikbare info - look - … – Belangrijke feiten op Homepage – Naam - Mission Statement – welke business … – Feedback - Catalogus - details/product – prijzen - contact gegevens - search - geografische spreiding – coming events - doelstelling - ...

53


• Algemene ergonomie – Look & Feel – – – – – – – –

site map - 3 clicks - home link - … overal zelfde navigatieregels titels - … Lange web pagina’s - structuur inhoudstafel - download tijd - … werken alle interne & externe links (404) bereikt de site zijn doel duidelijk - imago & kleurenpallet - overtuigend om terug te komen - …

54

27


• Technologie – – – – – – –

Efficientie grafische elementen Metadata Resolutie optimalisatie compatibiliteit met Browsers Plug-ins - gebruik recente technologie. is de site geregistreerd bij Search engines Technical data - Ping

55


• Trust – – – – – – – – –

beveiliging secure transactions - welke middelen tot betaling shipment details - confirmatie gegevens transactie Wie doet web page ontwikkeling contact webmaster - last update Legal: disclaimers - copyrights - trademarks privacy clausules - overeenkomst BTW clausules & implicaties tax wetgeving.

56

28


• Belangrijkste bevindingen – afwezigheid van meta-data in de pagina’s, waardoor de site niet gevonden wordt via frequent gebruikte search engines (Lycos, Infoseek, etc.). Deze kunnen de traffic gevoelig verhogen. Monitor de ranking in de resultaten van de search engines.

57


• Belangrijkste bevindingen – Site is relatief traag, waardoor bezoekers de site vlug verlaten. Verander de formaten van beelden en grafische elementen, en analyseer maatregelen met de ISP.

58

29


59

60

30


• Various – .COM domein is geregistreerd door iemand anders. – In order module zijn shipping condities niet voldoende verduidelijkt, behalve voor de prijs. Wat als een Japanner betaalt voor een product met shipping? – Geen legale disclaimer, waardoor men problemen kan krijgen als foute prijzen vermeld zijn, ... – Gebruiker kan niet zien of de pagina beveiligd is op moment van gebruik van credit card. Kan barrière zijn voor de transactie. – Verschillen in versies tussen Nl & Fr: partners zijn niet dezelfde (versiecontrole) – typische schoonheidsfoutjes· • spelfouten: partenairs (in french) • Namur ligt niet in Henegouwen (bad links).

61

62

31


• Lessons Learned – downtime & buggy sites: happens all the time – Veel IT guys denken dat een site bouwen eenvoudig is – zelfs niet-ITers denken dat ze het kunnen – is vergelijkbaar met meer traditionele ontwikkelingsprojecten – checkup tools zijn beschikbaar op het Net • http://www.websitegarage.com

63


– zoniet, het Internet kerkhof...

Living.com Pets.com eToys.com

64

32

CASE 4: IT Security Audit


CASE 1

CASE 2

CASE 3

CASE 4

CASE 5

(10’)

(10’)

(10’)


Business Systems

Website Review

(10’) Een project IT Security aanpak Audit


(10’)


65


•

•

Plan

•

Monitor

1. Strategy


2. Organization




Operate

•




•

Project Management


66

33

67


• Wat was het probleem / vraag van de klant – belgische bank – geen sterke IT controle-omgeving – wensen audit beveiliging netwerk – verschillende ‘access paths’ • Internet • connectie filialen • dial-in voor thuiswerkers/remote access

68

34


• Wat hebben we gedaan – gebruiken analysetools voor scanning beveiliging – ‘ ethical hacking ’ Network Network Security SecurityPolicy Policy & Procedures & Procedures

Network Network Security Security Implementation Implementation

Network Network Security Security

Strategies & Policies Manage Monitor Events Technical Deployment Solutions Network Network Security Security Detection Detection

Process Application Data Management Platform

Network Network Incident Incident Response Response

Network Security Network Security Education & Education & Change Change

Network Physical

69


• Firewalls • Routers • Servers

70

35


• A. Firewalls : – Voor een bank is de creatie van een Demilitarized Zone (DMZ) tussen Internet en interne netwerk sterk aangewezen. – Installatie van Intrusion Detection tool om netwerk traffiek te monitoren, welke de firewall configuratie kan aanpassen bij een aanval of automatisch de administrator kan verwittigen. – Implementatie van website-blocking mechanisme. Internet gebruik is niet onder controle. Personeel en agentschappen bezoeken frequent pornosites, chatboxen en zelfs virtuele casino’s. Er is nood aan betere bewustmaking, toegangscontrole en opvolging.

71


• B. Routers : – Teveel mensen gedefinieerd op router die toegang geeft tot interne netwerk. Dit telefoonnummer is gekend door grote groep mensen. • Kunnen niet veronderstellen dat dit confidentieel blijft. Analyse van de lijst personen die gedefinieerd zijn op router voor remote access. Configuratie van dial-back waar mogelijk.

– Een groot aantal userid's hebben een paswoord dat hetzelfde is als userid. • Paswoorden dienen automatisch veranderd te worden bij eerste login, dienen 8 karakters lang te zijn, en aan een bepaalde structuur te voldoen (nummers & karakters).

– Configuratie van bepaalde routers van externe ISP is niet bijgewerkt sinds installatie. • Voor oudere versies van operating systemen zijn zwakheden zeer gekend. Hierdoor zijn o.a. Denial-of-Service aanvallen mogelijk die de webserver (incl. Homebanking) meerdere uren kunnen uitschakelen. 72

36


• C. Public Servers en Hosts: – Up to date blijven met de laatste security advisories en laatste patches installeren – de beveiliging van verschillende host-machines met paswoorden is kwetsbaar: • diverse belangrijke paswoorden staan gepubliceerd in publiek toegankelijke Lotus Notes DB met procedures • paswoorden voor de meeste systemen en toepassingen circuleren in leesbaar formaat tussen werkstations en servers (pakket sniffing) • gebruikers bewaren paswoorden in macro’s hoewel dit expliciet verboden is (automatisch inlog script)

73


• Lessons Learned – – – – –

security is bijna altijd zwak er zijn altijd achterpoortjes beveiligingspolitiek is even belangrijk als technische know-how harmonisatie beschermingsmaatregelen de ketting is zo sterk als zwakste schakel

74

37

CASE 5: IT HR Audit + Reorganisatie IT Departement


CASE 2

CASE 3

CASE

CASE 4

CASE 5 (10’) Een project Reorganisatie aanpak IT Departement

(10’)

(10’)

(10’)

(10’)


Business Systems

Website Review

IT Security Audit


75


•

•

Plan

•

Monitor

1. Strategy


2. Organization




Operate

•




•

Project Management


76

38


• Wat was het probleem / vraag van de klant – vakbond – IT departement : 50 man centraal + 40 decentraal – zwaar personeelsprobleem in IT – exploderend budget door o.a. (structurele) externe vervanging van vertrekken (-113 MBEF) – slechte service naar gebruikers toe – Hoe personeel fideliseren ondanks lagere compensatie? – Wat is impact op outsourcing?

77


• Wat hebben we gedaan (fase 1) – analyse van alle HR gerelateerde IT processen • hire, motivate & keep, train, terminate

8 6

• (zwaar) onderbetaald

– constatatie problemen bij :

Aantal personen

– vergelijking compensatie tov marktsituatie

4 2

in op 31/12

0 -2

out op 31/12 92

93

94

95

96

97

98

99 2000

netto eind jaar

-4 -6

-8 • niet marktconform organigram Jaren • zwak in uitvoeren management taken • onprofessioneel gestructureerde processen (zwak qua controles → onvermijdelijk problemen) • geen optimaal gebruik outsourcing; onvoldoende controle

78

39


• Taken uitgevoerd binnen IT dienst

79


• Wat hebben we gedaan (fase 2) – professionalisering & gedeeltelijke herstructurering dienst informatica – coaching IT management bij implementatie aanbevelingen – validatie acties en resultaten – – – – – – – – – –

hertekenen departementen in organigram hertekenen functiebeschrijvingen in kaart brengen decentrale IT component herallocatie taken tussen mensen opzetten nieuwe compensatiestructuur (via Tax) variabele component ter motivatie van performantie recruteringsplan; versterking management ontwikkelen service level agreements bijsturen of ontwikkelen procedures identificatie van belangrijke besparingsposten / cost control 80

40


• Nieuw organigram

81


• 5 fasen voor uitbesteding

82

41


• Lessons Learned – investeren in goede mensen loont – goed management is essentieel & is drijfveer achter verandering – consultants moeten duurzame verandering nastreven – IT kost heel veel geld – IT dient gemanaged te worden; zoniet krijg je cost control probleem

83

THANKS!!! Technology Risk Consulting

Sprekers: Jeroen Devenyn & Olivier Naeyaert

Voor vragen of verdere info: [email protected]

Slides beschikbaar op website Prof. Soudan 84

42

Bedrijfspresentatie


CASE 2

CASE 3

CASE 4

(10’)

(10’)

(10’)

(10’)

CASE 5 (10’)


Business Systems

Website Review

Security Audit


Arthur Andersen (10’) Drinks !! (??? ’) 85

r

Technology Risk Consulting

DO YOU WANT TO LEARN SOMETHING NEW EVERY DAY ?

Welcome to Arthur Andersen !

43

Arthur Andersen BeLux

Antwerp Brussels

Hasselt

Gent

Namur Zwijnaarde

Zwevegem

Luxembourg

87

Arthur Andersen BeLux (Cont'd)

Financial Figures (in Mio. Bef/Luf)

BELUX ABA BC T/L REAL EST.

'01 6.089 2.012 2.174 1.796 107

'00 5.293 1.717 1.890 1.615 71

'99 3.453 1.400 705 1.339

'98 2.393 1.129 450 810

88

44

Our Mission and Our Vision

Mission: To help our clients and our people realize there aspirations.

Vision: To be the partner for Success in the New Economy.

89

Arthur Andersen BeLux

Example of clients y Alcatel y Aldi y Associated Weavers

y Electrabel y Estee Lauder y Federal Express

y Red Cross y "SGB/GMB" y Sara Lee

y y

y y

y y

Barconet Bekaert

Ferrero Fiat - New Holland

Schweppes Solvay

y Belgacom y Usinor ((Cockerill Cockerill Sambre) Sambre) y Colgate Palmolive y CS2

y Fnac y GIMV y Glaverbel y Levi Strauss & Co.

y Ter Beke y Texaco y TotalFina y U.Z. Leuven

y Delhaize y Dredging International

y Melexis y Mexx

y VRT y Yves Rocher

90

45

Assurance and Business Advisory

The new economy marketplace

Our Internal service categories

Assurance Business Consulting

CLIENT NEEDS

Corporate Finance

ABA

CF

BC

TLBA

eBusiness Human Capital Outsourcing Risk Consulting Tax Services 91

Assurance and Business Advisory

(Cont'd )

Business Risk Consulting and Assurance → Business Process Risk Consulting → Technology Risk Consulting (incl. eBusiness)

We help clients understand and manage business risks that can impact performance and financial results, including risks relating to business processes, technology, regulatory compliance, government contracting, fraud, and treasury and trading activities.

92

46

Career Progression

• • • • •

Rapid Responsibility from day 1 Increasing responsibility every year Salary increase and promotion based on Performance Internal and International Career Orientation Opportunities

93

Salary Package

• •

• • • •

Gross Annual Salary Net Allowances - Lunch Allowance (monthly) - Dinner Allowance (> 2h OT)

1.112.000 BEF 4.479 BEF 325 BEF

Company Car or Car Allowance and km reimbursement Eligible to Bonus Group and Medical Insurance Annual Increases

94

47

We are ready for you. Are you ready for us?

48

Technology Risk Consulting. IT Risk management in een technologische wereld. Jeroen Devenyn & Olivier Naeyaert

Recommend Documents