Van de Redactie. Een dag uit het leven van Jan Pasmooij. IT-Auditors bijeen: The devil is in the details

Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA

Redactie M. M. Buijs RE RA drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE

Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) [email protected] Uitgever Reed Business Information BV Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl

Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2006 € 80,50 excl. btw. De verzendtoeslag voor België bedraagt € 6,95 en voor de Nederlandse Antillen en overige landen € 21,55. De prijs van losse nummers is € 22,60 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business Information BV Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail: [email protected]

Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583

Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Elsevier Media Amsterdam Tel.: 020-5159666 Fax: 020-5159633 E-mail: [email protected] www.ema-online.nl Geldend advertentietarief 1-1-2005 Vormgeving Studio Putto BNO, De Rijp

4

4 Van de Redactie 6 Column Thea Gerritse

8 Informatiebeveiliging – een gedragsbenadering Marcel Koers en Arno Nuijten

18 Business Activity Monitoring; de centrale bron van real-time managementinformatie Gabriel Cavalheiro

22 Interview Michel Bouten

28 Een dag uit het leven van Jan Pasmooij 30 IT-Auditors bijeen: ‘The devil is in the details’ 33 Boekbespreking: A new Era Without Data Warehouses, An Architectural Vision Andrew Cheung

35 IT-Auditors bijeen: Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? 40 Risisco’s van IT-outsourcingprojecten beperken met Transition Realtime IT-auditing Leon Dohmen

48 Van de NOREA: NOREA-richtlijn oordelen van gekwalificeerde IT-auditors

jaargang 15 - 2006

de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors

Inhoud

Van de redactie

Opleving

V

oor u ligt alweer het laatste nummer van ‘De EDP-Auditor’ van 2006. Daarmee ligt een jaar achter ons waarin we een opleving van de vraag naar IT-auditing hebben gezien. Externe kantoren en interne IT-audit-groepen zoeken soms wanhopig naar versterking, studentenaantallen in de opleidingen trekken aan. Een deel van de werkzaamheden wordt gedreven door de implementatie van IT-governance als onderdeel van de in de SOX-wetgeving nagestreefde corporate governance. Niet alleen grote op de Amerikaanse beurzen genoteerde bedrijven, maar in hun kielzog ook kleinere organisaties streven naar verbetering van de ‘control’ van business en ICT. In dit nummer komt op een aantal manieren naar voren dat voor het goed functioneren van organisaties meer nodig is dan het implementeren, aanscherpen en navolgen van steeds nieuwe regelgeving. Zo benadrukt Thea Gerritse in haar column dat regels en procedures het belang van goed vakmanschap niet mogen verdringen. Marcel Koers en Arno Nuijten laten in hun bijdrage zien dat ook informatiebeveiliging niet uitsluitend een zaak is van het treffen van goed gedocumenteerde beveiligingsmaatregelen maar dat ook en misschien wel vooral op andere manieren het beveiligingsgedrag van mensen is te beïnvloeden. Gabriel Cavalheiro wijst op een heel ander besturingsprobleem, namelijk het feit dat in veel gevallen ‘real time’ managementinformatie ontbreekt. Hij bespreekt de mogelijkheden van het Gartnermodel voor Business Activity Monitoring. Leon Dohmen stelt dat ook in het geval van outsourcingprojecten rekening moet worden gehouden met harde en zachte kanten van de transitie.

In het interview met Michiel Bouten betoogt deze dat IT-auditors een belangrijke bijdrage kunnen leveren aan de totstandkoming van de elektronische overheid. Totstandkoming van een goede architectuur, semantiek en open standaarden zijn daarbij van essentieel belang. Tot slot in dit nummer een verslag van de vijfde Rijksbrede IT-Audit Dag en van een bijeenkomst van de NOREA regio Apeldoorn. Uiteraard kent ook dit nummer een boekbespreking. Ditmaal komt in deze rubriek een boek aan de orde waarin de interessante stelling wordt geponeerd dat in navolging van de ontwikkelingen in de fysieke logistiek ook in de gegevenslogistiek tussenvoorraden zouden moeten worden afgeschaft. Niet alle bijdragen in dit blad zullen eenzelfde impact hebben als het in nummer 2 van dit jaar gepubliceerde artikel van Ed Ridderbeekx over de beveiliging van stemmachines, dat een duidelijke rol heeft gespeeld in de maatschappelijke discussie op dit terrein. Niettemin denken wij u ook met dit nummer weer een lezenswaardig geheel voor te leggen. ■

4 | de EDP-Auditor nummer 4 | 2006

Elk kwartaal het beste advies ES ADVI L A A FISC NU METING! KORT 20%

Aanbieding: Eén jaar Fiscaal Advies voor € 25,50 ELSEVIER FISCAAL ADVIES Praktisch en toegankelijk. Houdt u vier keer per jaar op de hoogte van het belangrijkste fiscale en financiële nieuws. Bevat veel bijdragen van de auteurs van de Fiscale Almanakken en is dé actuele aanvulling op uw almanakken. Bevat o.a. concrete tips en adviezen, achtergrondanalyses, ontwikkelingen op het gebied van inkomsten- en loonbelasting, fiscale rechtspraak, wetsvoorstellen, wetwijzigingen en interviews met fiscale en financiële kopstukken.

€ 25,50 incl. BTW (normale prijs: € 31,95) Verschijnt: 4x per jaar

BESTEL DIRECT!

KIJK OP WWW.ELSEVIERFISCAAL.NL OF BEL 0314 358 358

Elsevier Fiscale Media. Gemaakt om mee te werken.

column

Intensieve Menshouderij Thea Gerritse

O

ok dít jaar gingen weer de nodige boeken mee in de vakantiekoffer. Zoals meestal een aantal literaire romans, maar deze keer óók – op aanraden van een goede vriend – het boek ‘Intensieve Menshouderij’.1 Klinkt deze titel op zichzelf al uitdagend, de ondertitel ‘Hoe Kwaliteit oplost in Rationaliteit’ doet dat niet minder. En dat het boek kennelijk iets losmaakt blijkt, als je de titel intypt in Google – dat levert meer dan 29.000 hits! Intensieve Menshouderij – het is inmiddels kennelijk een begrip. Waar gaat het over in dit boek? De titel roept associatie op met het begrip ‘Intensieve landbouw’ en dat is dan ook de eerste aanwijzing die we van de auteurs krijgen. Aan de hand van de metafoor van de intensieve landbouw willen de auteurs ons iets laten zien van organisaties waar mensen werken…. Want wat er gebeurt in de landbouw, gebeurt ook in organisaties! In de intensieve landbouw is sprake van vervreemding. Een boer brengt steeds meer tijd door achter de computer, het beeldscherm toont hem kengetallen. Zelf neemt hij de groei van de gewassen of het gedrag van de dieren niet meer direct waar. Van (natuurlijke) onkruidbestrijding of het verbeteren van de grondconditie is geen sprake meer. Dat is ook niet nodig, want onkruid kan effectief worden bestreden met chemische middelen. En als de grond niet vruchtbaar genoeg is, wordt dankbaar gebruik gemaakt van kunstmest. De kwaliteit van landbouwproducten c.q. de voedingswaarde loopt de laatste decennia drastisch terug. Volgens de kengetallen op het beeldscherm is het allemaal in orde, maar ondertussen is de Kwaliteit met een grote K erg laag. Volgens een groeiende

groep kritische mensen komen er door het tekort aan mineralen steeds meer ziekten voor als kanker, hartaandoeningen, type II diabetes en zwaarlijvigheid. In organisaties nemen we dezelfde ontwikkeling waar als in de intensieve landbouw. Door meten willen we weten, maar de aldus getoonde resultaten zeggen weinig over de kwaliteit van de producten en de tevredenheid van de medewerkers. Kengetallen spelen een steeds grotere rol en we kennen de populariteit van benchmarks. De roep om vermindering van regeldruk en afbouw van de controletoren ten spijt, zien we onverminderd gedetailleerde regelgeving, procedures, handboeken, richtlijnen, protocollen, standaarden, voorschriften en contracten. Organisaties worden nog steeds gekenmerkt door een nadruk op rationele en economische principes als controle, efficiëntie en winstmaximalisatie. Het gaat er niet om dat mensen hun vakkennis inzetten om hun werk goed te doen, maar dat ze volgens de regels werken om vooraf vastgestelde resultaten te halen. In organisaties waar deze vervreemding is opgetreden is sprake van Intensieve Menshouderij. Zulke organisaties hebben een aantal kenmerken waarvan ik er twee hier wil noemen, omdat ze mij triggerden tot het schrijven van deze column. Eén kenmerk is dat vakmanschap steeds minder belangrijk wordt gevonden. Het tweede kenmerk is dat voorschriften, regels en procedures de werkwijze precies vastleggen. Binnen de Intensieve Menshouderij heerst de merkwaardige opvatting dat organiseren pas goed is gebeurd als er volgens regels wordt gewerkt. De ISO 9000-normen zijn daar prachtige voorbeelden van. 6 | de EDP-Auditor nummer 4 | 2006

Volgens de auteurs van het boek is het een misvatting om goed organiseren op één lijn te stellen met ‘goed geregeld’ en daarmee met massa’s handboeken, normen, procedures, regels en andere vormen van voorschriften. Zij stellen: ‘Als er sprake is van vakmanschap in de organisatie, zijn veel van deze expliciete regels overbodig. Goede monteurs kijken nooit in de handboeken. Wat erin staat weten ze en de dingen die ze niet weten, staan er niet in en zullen proefondervindelijk moeten worden ontdekt.’ Hun conclusie is dan ook dat de betekenis van vakmanschap vaak wordt onderschat. Erger nog: als je vakmensen onderwerpt aan een overdosis regels ontmoedig je en beledig je hen niet alleen, maar ontneem je hen ook de noodzakelijke vrijheid om hun vak goed uit te oefenen. Ik moet zeggen dat ik hierdoor aardig aan het denken werd gezet. Controle en beheersing, voorschriften, regels en procedures, het zijn de zaken waar we in ons vakgebied van de IT-auditing dagelijks mee te maken hebben. Ik vroeg me af in hoeverre wij, IT-auditors, meedoen aan de gesignaleerde trend of zelfs mede ‘schuld’ hebben aan het ontstaan en laten vóórtbestaan van de Intensieve Menshouderij bij onze klanten. Welke auditor kent het niet uit de eigen praktijk – je krijgt het verzoek om ‘opzet en bestaan’ vast te stellen. Met normering, controlewerkprogramma en vragenlijstje in je achterhoofd vraag je naar beleid, procedures, procesbeschrijvingen, werkinstructies, administratieve organisatie, beheerhandboeken. Maar hoe vaak is dat er allemaal? Up-to-date? Volledig?

Juist! Heel vaak is het er niet, of niet up-to-date en volledig. Maar – laten we eens heel eerlijk zijn – hoe vaak betekent dit dat het in de organisatie een chaos is en dat processen werkelijk niet worden beheerst? Veel minder vaak – dat is tenminste mijn ervaring. Meestal kom ik heel kundige mensen tegen, die precies weten wat ze moeten doen – en dat ook doen. Hun verantwoordelijkheidsgevoel en loyaliteit blijkt niet uit datgene wat er allemaal is opgeschreven en vastgelegd maar uit betrokkenheid bij hun dagelijkse activiteiten, hun oog voor details en adequaat reageren in uitzonderingssituaties. Het zijn de medewerkers die a tempo op de hoogte willen blijven van nieuwe ontwikkelingen en hun werkzaamheden daar op aanpassen. Dat zijn nu eenmaal niet de mensen die graag alles vastleggen in procedures en instructies, maar liever bij een nieuwe versie van de programmatuur nog extra even wat uitzonderingssituaties testen om zeker te weten dat het allemaal goed gaat verlopen. Opzet: - , bestaan: +! En dús de aanbeveling om het allemaal netjes op te schrijven én een procedure te bedenken om de beschrijvingen up-to-date en volledig te houden!

Drs. Th. M.J. (Thea) Gerritse RE is senior auditor bij EDP AUDIT POOL Noot 1 Jaap Peters & Judith Pouw, ‘Intensieve Menshouderij : Hoe Kwaliteit oplost in Rationaliteit’; uitgegeven bij Scriptum

En wij zelf, vroeg ik me vervolgens af. Ons beroep is ook onderworpen aan regels, procedures, richtlijnen et cetera. In de organisatie waar ik werk is een kwaliteitsbeleid waarmee invulling is gegeven aan de richtlijnen die door de beroepsorganisatie zijn opgesteld. We kennen allemaal het gemak van standaard normenkaders en controlewerkprogramma’s. Maar laten we – met de waarschuwing van Peters en Pouw in het achterhoofd – ervoor waken dat deze onze eigen verantwoordelijkheid en ons eigen vakmanschap niet gaan overnemen! ■ 7 | de EDP-Auditor nummer 4 | 2006

Artikel

Informatiebeveiliging – een gedragsbenadering Marcel Koers en Arno Nuijten

Organisaties worden geconfronteerd met de problematiek rond informatiebeveiliging. Managers en security officers zijn verantwoordelijk voor het structureren en implementeren van beveiligingsmaatregelen en moeten in toenemende mate daarover verantwoording afleggen aan belanghebbende partijen en toezichthouders. IT-auditors spelen een belangrijke rol in het beoor-

O

m op een gestructureerde en marktconforme wijze de beveiligingsmaatregelen in te richten en te beoordelen wordt vaak de Code van Informatiebeveiliging (ofwel ISO17799:2005) gehanteerd. Zoals figuur 1 weergeeft, bakent de Code domeinen af en beschrijft het een groot aantal te treffen beheersmaatregelen (‘controls’). Aan de basis van het treffen van maatregelen staat een analyse van beveiligingsrisico’s.

delen van de mate waarin de organisatie haar beveiligingsrisico’s beheerst. 4OEGANGS BEVEILIGING #ONTINUtTEITS MANAGEMENT "ELEID

0ERSONEEL

2ISICO

.ALEVING

6EILIGE ORGANISATIE ANALYSE

&YSIEKE BEVEILIGING

/RGANISATIE /NTWIKKELINGEN ONDERHOUD SYSTEMEN

Drs A.L.P. Nuijten RE werkt

Dhr. A.F. Koers werkt als

als zelfstandig IT-auditor en

management consultant

adviseur. Hij is docent en

en IT-auditor bij

onderzoeker bij de Erasmus

Ordina Security & Risk

Universiteit. Daarbij richt

Management.

hij zich vooral op de vraag hoe informatie over IT-risico’s de besluitvorming beïnvloedt.

#OMMUNICATIE BEDIENINGS PROCESSEN

Figuur 1. Positionering Code van Informatiebeveiliging

Voor ieder domein van de Code van Informatiebeveiliging neemt de organisatie een aantal technische, procedurele en organisatorische maatregelen zodat een ‘veilige organisatie’ wordt bewerkstelligd. De IT-auditor beoordeelt per domein van de Code of de maatregelen daadwerkelijk getroffen zijn. Hierin zit de veronderstelling dat het geheel aan getroffen maatregelen conform de Code een effectieve bijdrage levert aan een ‘veilige’ organisatie. Wij vragen ons echter af of een organisatie die de Code toepast daarmee automatisch de beveiligingsrisico’s met betrekking tot het personeel effectief beheerst. Onder ‘beheersen’ verstaan wij dat doelstellingen worden bepaald, maatregelen worden getroffen, effecten worden gemeten en dat wordt bijgestuurd, in dit geval op (on)veilig gedrag van medewerkers. 8 | de EDP-Auditor nummer 4 | 2006

In de Code wordt personeel namelijk als een verbijzonderd domein benaderd. Maatregelen binnen dit domein vinden we in de praktijk terug als bewustwordingscampagnes, flyers, e-learning modules en het communiceren van beveiligingsincidenten (hopelijk bij concurrenten). Deze maatregelen maken de mensen in de organisatie bewust van het belang van een adequate informatiebeveiliging. In de praktijk zien wij ook dat maatregelen gericht op het beveiligingsbewustzijn van personeel als een separaat traject worden ingericht. Ook de IT-auditor die de informatiebeveiliging toetst aan de Code zal voor maatregelen gericht op beveiligingsrisico’s van het personeel veelal op zoek gaan naar de security-awareness programma’s en vaststellen dat er een clean desk policy en een gedragscode is opgesteld en gecommuniceerd. Daarmee worden mogelijk de voorgeschreven maatregelen en aandachtspunten van het domein ‘personeel’ geadresseerd en bij een formele toetsing door de IT-Auditor zelfs goedgekeurd. De kern van de problematiek wordt echter daarmee mogelijk onvoldoende geraakt, namelijk of het gewenste “veilig gedrag” wordt bereikt en beheerst. Dit is een onbevredigende constatering als je in ogenschouw neemt dat: • Daarmee de doelmatige inzet van budgetten op het gebied van informatiebeveiliging onvoldoende wordt zeker gesteld; • Veel van de beveiligingsincidenten die de laatste jaren in de publiciteit zijn gekomen, juist werden veroorzaakt door menselijke fouten of onachtzaamheid (onveilig gedrag); • De effectiviteit van technische en procedurele beveiligingsmaatregelen veelal onderhevig is aan (on)veilig gedrag van de medewerkers, met als voorbeelden het onzorgvuldig omspringen met Pincode, toegangspas, e-mail, USB-sticks en notebooks. Daarom vinden wij het van belang om in dit artikel ‘informatiebeveiliging’ te beschouwen vanuit het perspectief ‘veilig gedrag’ van medewerkers binnen een organisatie. Dit is dus een ruimere scope dan alleen het domein ‘personeel’ binnen de Code. Omdat medewerkers ‘actoren’ zijn binnen de vele processen en beheersmaatregelen uit de overige domeinen (bijvoorbeeld wijzigingsbeheer, toegangsbeveiliging en beschikbaarheidsbeheer) strekt de problematiek van onveilig gedrag zich ook uit over die domeinen. De centrale vraag voor dit artikel is daarom of er vanuit een gedragsinvalshoek een model kan worden uitgewerkt dat bijdraagt aan een betere beheersing van (informatie)risico’s door onveilig gedrag van het personeel. Voor de beantwoording van deze vraag worden in dit artikel de volgende deelvragen onderzocht: a) Is volgens de literatuur gedrag van mensen in organisaties te beïnvloeden en door middel van welke variabelen/factoren is dit gedrag te beïnvloeden? b) Is op basis hiervan een model uit te werken gericht op de beheersing van risico’s door ‘onveilig gedrag’ van de medewerkers.

De indeling van dit artikel volgt deze vraagstelling. Paragraaf 2 beantwoordt de vraag of veilig gedrag van medewerkers te beïnvloeden is en via welke variabelen. In paragraaf 3 wordt dit uitgewerkt tot een beheersingsmodel gericht op ‘veilig gedrag’ van medewerkers. Om het model operationeel te maken wordt in paragraaf 4 een voorbeeld uitgewerkt waarin wordt ingegaan op doelstellingen, maatregelen, meting en bijsturing van risico’s van onveilig gedrag. In paragraaf 5 sluiten wij dit artikel af met conclusies ten aanzien van de vraagstelling van dit artikel. Daarbij beschrijven wij in welke zin het uitgewerkte model voor security officers en IT-auditors een aanvulling zou kunnen vormen op de Code van Informatiebeveiliging. Daarbij worden tevens kanttekeningen geplaatst bij het beschreven model. Beïnvloedingsfactoren van (on)veilig gedrag In deze paragraaf staat de vraag centraal of veilig gedrag van medewerkers te beïnvloeden is en welke factoren/variabelen daarbij een rol zouden kunnen spelen. Voor de beantwoording van deze vraag hebben wij literatuur onderzocht op het gebied van organisatiecultuur, omdat collectief gedrag in organisaties daarmee wordt geassocieerd. Daarnaast is onderzocht of literatuur uit het vakgebied ‘behavioral control’ inzicht verschaft in eventuele factoren die (on)veilig gedrag binnen organisaties zouden kunnen verklaren en wellicht beïnvloedbaar maakt. Cultuur

Allereerst gaan wij na of literatuur over organisatiecultuur duidelijke aanknopingspunten geeft voor het verklaren en beïnvloeden van (on)veilig gedrag binnen organisaties. Daarbij dient natuurlijk eerst vastgesteld te worden wat onder ‘cultuur’ wordt verstaan en in hoeverre de gedragscomponent daarin wordt belicht. Hofstede (Hofstede,1980) definieert cultuur als de collectieve programmering van de geest die de ene groep mensen van een andere onderscheidt. Simons (Simons,1992) geeft een soortgelijke definitie, namelijk het systeem van door leden gedeelde zingeving, waardoor de ene organisatie zich van de ander onderscheidt. Beide definities zien cultuur niet als gedrag, maar als gedeelde normen en waarden onder mensen en hoe die zich manifesteren (onder andere in gedrag). Het tweede element uit de definitie betreft dat juist cultuur groepen mensen van elkaar onderscheidt. Schein (Schein, 1992) komt met de volgende definitie van cultuur: ‘a pattern of shared basic assumptions that the group learned as it solved its problems of external adaptation and internal integration, that has worked well enough to be considered valid and, therefore, to be taught to new members as the correct way you perceive, think, and feel in relation to those problems.’

9 | de EDP-Auditor nummer 4 | 2006

Geen enkele van bovenstaande definities stelt specifiek gedrag van de medewerker of groepen medewerkers centraal. Cultuur wordt gezien als collectieve normering over dat wat gangbaar is in een organisatie, of juist niet. Een normering ook die volgens Schein aan verandering onderhevig is en kan worden aangeleerd (door nieuwe medewerkers). Ons literatuuronderzoek leert dat organisatiecultuur zeker van invloed is op het gedrag (en dus wellicht ook veilig/ onveilig gedrag) van medewerkers. Het verband tussen cultuur en gedrag resulteert echter niet in de beïnvloedingsfactoren voor gedrag waarnaar wij op zoek zijn. Omdat in de literatuur (Morgan, 1997) ook naar voren komt dat beïnvloeding van de organisatiecultuur complex is, lijkt het niet voor de hand liggend dat beïnvloeding van gedrag van medewerkers het meest direct en meetbaar te realiseren is via een cultuurverandering. Cultuur biedt daarom onvoldoende aanknopingspunten voor een uit te werken beheersingsmodel. Gedrag

Studie van gedragsliteratuur levert op dat ‘motivatie’ een belangrijke factor is die het gedrag van mensen bepaalt en die te beïnvloeden is. Motivatie wordt door Thierry (Thierry, 1989) omschreven als het proces dat zowel datgene betreft waarop een mens zich oriënteert als het specifieke handelen (gedrag) om dat doel te bereiken. In de motivatietheorieën zijn 2 stromingen te onderkennen: de zogenoemde ‘need’ theorieën en ‘goal’ theorieën (Vroom, 1964). De ‘need’ theorieën nemen als uitgangspunt dat als op een bepaald gebied of in een bepaalde behoefte bij de medewerker een tekort ontstaat, deze persoon gemotiveerd raakt om die behoefte te bevredigen. De ‘goal’ theorieën redeneren vanuit het feit dat een medewerker bepaalde doelen of opbrengsten aantrekkelijk vindt, waardoor hij zich inzet om deze te bereiken.

2ISICO PERCEPTIE

Motivatie zou een beïnvloedbare factor kunnen zijn gericht op het bewerkstelligen van veilig gedrag bij medewerkers. Dit veronderstelt echter dat medewerkers een intrinsieke behoefte hebben aan informatiebeveiliging, zodat deze behoefte of een tekort aan informatiebeveiliging hen motiveert tot veilig gedrag. Deze veronderstelling wordt in de praktijk niet bevestigd. Informatiebeveiliging wordt eerder als lastig dan als aantrekkelijk ervaren. Anders was er geen probleem geweest. Motivatietheorie lijkt derhalve onvoldoende aanknopingspunten te geven voor het beïnvloeden van veilig gedrag van medewerkers. De (negatieve) attitude die velen hebben ten opzichte van informatiebeveiliging zal onderdeel moeten uitmaken van het gedragsmodel. Een in de jaren ’70 en ’80 ontwikkeld model van Fishbein en Ajzen (Fishbein, 1975) beschouwt attitude als één van de factoren die van invloed kan zijn op het gedrag van mensen. Hun model staat bekend onder de naam Theory of Reasoned Action (TRA) en heeft zich geëvolueerd tot de Theory of Planned Behavior (TPB). Zij voegen een schakel toe tussen attitude en gedrag. Leidt een veranderende attitude niet direct tot ander gedrag, dan zeker wel tot een andere intentie bij de persoon dat gedrag te willen vertonen. Attitude omschrijven zij als het gevoel van iemand, negatief of positief, bij het verrichten van een bepaald gedrag (Fishbein, 1975). Plausibel is, dat iemand die een negatieve attitude ten opzichte van beveiliging erop nahoudt, zeker niet bereid is een inspanning te leveren voor veilig gedrag. Plausibel is ook, dat als iemand eerder last ondervindt van bepaalde veiligheidsmaatregelen, hij of zij een negatieve attitude vormt. Intenties vormen in het model van Fishbein en Ajzen de belangrijkste determinant voor gedrag, daarmee de gedachte

'EWOONTEN

+ENNIS )NTENTIE

6EILIG gedrag

!TTITUDE

3UBJECTIEVE NORM

3ANCTIES "ELONINGEN

Figuur 2. Gedragsmodel voor informatiebeveiliging

10 | de EDP-Auditor nummer 4 | 2006

vormgevend dat de mens bewust bepaald gedrag vertoont. Intenties van mensen zijn volgens Fishbein en Ajzen wel degelijk te beïnvloeden. Intentie wordt volgens hen niet alleen gevormd door de attitude, maar tevens door subjectieve groepsnorm1, en de behoefte van een individu zich hieraan te conformeren. In een later stadium is door Ajzen nog ‘perceived behavior control’ of ‘self efficacy’ toegevoegd. Het denkbeeld bij het individu over hoe moeilijk het is bepaald gedrag succesvol te vertonen, beïnvloedt ook zijn of haar gedrag. Gedragsmodel voor informatiebeveiliging

Het model van Fishbein & Ajzen is toepasbaar voor informatiebeveiliging. De gedachte dat intenties van medewerkers, en daarmee gedrag, te beïnvloeden is, biedt goede aanknopingspunten voor het uit te werken “beïnvloedings”model. In het toepasbaar krijgen van het model zijn die factoren van belang waarop invloed kan worden uitgeoefend, en die meetbaar zijn. Attituden en subjectieve normen zijn aan verandering onderhevig en te meten, bijvoorbeeld door de toepassing van de Likert-schaal. Vanuit het vakgebied informatiebeveiliging spelen nog enkele specifieke zaken die intenties bij medewerkers beïnvloeden. Bewustwording is bijvoorbeeld een belangrijk thema, gezien de dominante betekenis die aan awarenesscampagnes wordt toegekend. Als algemeen onderkende problemen worden een gebrek aan kennis over informatiebeveiliging onder medewerkers of een verkeerde risicoperceptie over de eventuele gevolgen van bepaald gedrag bij medewerkers genoemd (Wouters, 2002). Het model Fishbein en Ajzen gekoppeld aan de specifieke aandachtspunten voor bewustwording over informatiebeveiliging levert een model op voor gedragsbeïnvloeding, zoals weergegeven in figuur 2. In dit model zijn de mogelijkheden voor het beïnvloeden van de intentie van een individu of groepen individuen: • de kennis van een individu op het gebied van informatiebeveiliging; wat zijn kenmerkende bedrijfsrisico’s, hoe is de classificatie van de informatie waarmee men werkt, wat is het huidige beleid, welke maatregelen zijn van kracht; kennis is toetsbaar en bijvoorbeeld te beïnvloeden door middel van trainingen en bij het aannemen van personeel; • de risicoperceptie die een individu ervaart ten aanzien van informatieverlies of -schade; risicoperceptie is te meten en is bijvoorbeeld te beïnvloeden door middel het verschaffen van risico-informatie; • de attitude van een individu waarmee hij of zij beveiligingszaken waardeert of niet waardeert; attitude is te meten en bijvoorbeeld te beïnvloeden door positieve ervaringen met beveiliging; • de subjectieve norm van een individu die ontstaat door hoe hij of zij denkt dat de directe omgeving bepaald gedrag waardeert of niet waardeert; deze subjectieve norm

is te meten en bijvoorbeeld te beïnvloeden door duidelijkheid te creëren over wat wel en niet toelaatbaar wordt geacht. Of de medewerker het gedrag ook daadwerkelijk vertoont, of intenties worden omgezet naar gedrag, kan afhangen van andere stimuli, vooral door sancties en beloningen. Verder worden ‘gewoonten’ of ‘habits’ genoemd als een belangrijke determinant voor het feitelijke gedrag. Gewoonten zijn vormen van gedrag die onbewust plaatsvinden en waarbij de medewerker geen verdere afweging maakt over waarom hij of zij dit doet. De deur op slot draaien thuis, belangrijke papieren direct opbergen, zijn vormen van gewoonten. Het beïnvloeden van gewoontes volgens Maslow (Maslow, 1954) kan plaatsvinden door mensen eerst bewust te maken van onveilig gewoontegedrag, hen er vervolgens toe aan te zetten dat zij bewust veilig gedrag gaan vertonen, die vervolgens onderdeel gaat uitmaken van hun (onbewust) veilig gewoontegedrag. In deze paragraaf hebben wij aan de literatuurstudie over gedrag een model ontleend dat bruikbaar wordt geacht voor het beïnvloeden van (on)veilig gedrag in organisaties. Besturingsmodel voor veilig gedrag Nu we enig inzicht hebben verkregen in de beïnvloedbaarheid van veilig gedrag binnen een organisatie, is nu de vraag of een structurele en doelgerichte beïnvloeding van veilig gedrag mogelijk is. Daarbij hebben wij niet de illusie dat alle veilig gedrag ‘maakbaar’ is, maar een zekere mate van management-control over de risico’s door onveilig gedrag binnen de organisatie is wenselijk en interessant genoeg om uit te werken. Daartoe doen wij in deze paragraaf een aanzet, op basis van de eerder uitgewerkte beïnvloedingsfactoren. Management control vereist dat sprake is van een continu cyclisch proces van doelen bepalen, maatregelen implementeren, effecten meten en het bijstellen van doelen en maatregelen. Een eenmalige of periodieke losstaande awareness campagne of andersoortige “gedragsinterventie” leidt daarom niet tot management control. Onderstaand werken wij ons model uit, waarin de onderwerpen doelbepaling, implementatie, meting en bijsturing aan de orde komen. Doelbepaling

Doelbepaling is noodzakelijk om budgetten en instrumenten ter beïnvloeding van veilig gedrag effectief en efficiënt in te zetten. Daarom dienen we te bepalen welk veilig gedrag van medewerkers we nastreven (of onveilig gedrag we willen voorkomen). Aan welke vormen van (on)veilig gedrag we in een organisatie prioriteit wensen te geven kan niet worden los gezien van de karakteristieken van de organisatie en het

11 | de EDP-Auditor nummer 4 | 2006

beleid voor informatiebeveiliging (‘wat vinden we belangrijk’). De Code geeft vele handreikingen over wat onder veilig gedrag kan worden verstaan, zoals ‘clear desk’, het classificeren van informatie, het veiligstellen van informatiemiddelen, het gebruik van screensavers, bewustzijn over wat waar tegen wie wordt gezegd, tijdig je gegevens veiligstellen door backups et cetera. Deze zijn echter veeleer gekoppeld aan maatregelen dan aan gedragsdoelen. Vanuit het beleid van informatiebeveiliging en analyse van beveiligingsrisico’s bepalen wij gedragsdoelen: welk veilig gedrag willen we realiseren en welk onveilig gedrag willen we voorkomen. Niet van alle individuen in de organisatie wordt hetzelfde gedrag verwacht. Leidinggevenden hebben bijvoorbeeld een voorbeeldfunctie en een aansturende rol. Zij sanctioneren en belonen bepaald gedrag. Een buitendienstmedewerker werkt met andere informatie en gebruikt andere middelen dan de persoon op de crediteurenadministratie. De IT-ontwikkelaars binnen het bedrijf dienen ‘veilige’ programma’s en web-sites te bouwen. Wat de organisatie van verschillende medewerkers verwacht in termen van veilig gedrag, is verschillend. Door doelgroepen te onderscheiden in het stellen van gedragsdoelen kan veilig gedrag expliciet gemaakt worden. Op deze manier worden de doelen gerelateerd aan de werkbeleving van specifieke groepen medewerkers en hun specifieke gebruik van informatie of informatiemiddel. Gedragsdoelen dienen zo gekozen te worden, dat het past binnen de

"ELEID )NFORMATIEBEVEILIGING

mogelijkheden van de medewerker zich er aan te kunnen houden, hetgeen Fishbein en Ajzen aanduiden als Perceived Behavioral Control. Los van het bovenstaande blijft overeind dat bepaalde vormen van veilig gedrag organisatiebreed gelden (denk bijvoorbeeld aan de toegangsregeling tot panden, het gebruik van USB-geheugen, e-mail et cetera). In figuur 3 vindt u een schematische weergave van het bepalen van gedragsdoelen voor veilig gedrag. Daarbij worden deze gedragsdoelen tevens gekoppeld aan de eerder beschreven beïnvloedingsfactoren. Hierdoor kan worden nagegaan of verbeteringsimpulsen op kennis, attitude et cetera een zinvolle bijdrage leveren aan het gewenste veilig gedrag. Meting en bijsturing

Meten vormt een logisch beginpunt voor het treffen van maatregelen. Het is zinvol om na het formuleren van een gedragsdoel eerst de huidige situatie vast te stellen. Het meetinstrumentarium richt zich op de intentievariabelen onder de medewerkers of groepen medewerkers. Enquêtes of ander vormen van metingen maken duidelijk waaraan het schort. Het geeft aan wat het probleem is door vast te stellen of het onkunde is, gebrek aan kennis, een attitude probleem of het ontbreken van een groepsnorm? Een combinatie van bovenstaande intentievariabelen is ook mogelijk. De diagnose leidt tot een probleemdefinitie als startpunt voor een interventieprogramma (Gerichhauzen, 1994). Hetzelfde meetinstrumentarium wordt na het uitvoeren van het pakket van interventies ingezet om de verandering te meten. Het meet de effecten van de ondernomen acties. Op basis van dit vervolgonderzoek wordt de probleemstelling bijgesteld en dit vormt het startpunt van een nieuw pakket aan interventies met de leerpunten van en de aanpassingen op de eerste cyclus. Implementatie van maatregelen

6ERTALING

Implementatie van maatregelen gericht op gedragsverandering vindt plaats in de vorm van interventieprogramma’s (Gerichhauzen, 1994), zijnde een pakket van maatregelen die in samenhang bijdragen tot de beoogde gedragsverandering.

'EDRAGSDOELEN $OELGROEPEN 2ISICO +ENNIS !TTITUDE PERCEPTIE $OELGROEP! $OELGROEP" $OELGROEP#

6EILIG GEDRAG -EDEWERKERS

Figuur 3. Van Beleid naar veilig gedrag

3UBJECTIEVE NORM

Om de maatregelen binnen een interventie-programma in samenhang te brengen (zodat ze elkaar over en weer versterken) gebruiken wij het 7S-en model van McKinsey (Peters, 1982), voor deze specifieke toepassing enigszins aangepast, zoals weergegeven in figuur 4. Centraal in dit zogenoemde ‘bollen’-model staat het gewenste gedragsdoel, het doel van gestructureerd interveniëren. Het model plaatst de genoemde maatregelen of best practices uit de Code in een ander daglicht. De maatregelen uit de Code kunnen worden opgevat als interventies. Door deze te relateren aan gedragsdoelen, ontstaat op de eerste plaats een

12 | de EDP-Auditor nummer 4 | 2006

goede afweging of de manier van interveniëren wel past binnen de diagnose en opgestelde probleemdefinitie, en of de maatregelen leiden tot het gewenste effect. Vanuit de vijf bollen zijn allerlei vormen van interventies op te starten. Een aantal trefwoorden voor het doen van interventies worden genoemd in de kaders van het ‘bollen’-model. De eerste bol is ‘Structuur’. Deze bol definieert alle elementen van de formele organisatie. Voorbeelden van interventies voor informatiebeveiliging op dit gebied betreffen een gedragscode, functiescheiding, beleid, standaarden, instructies et cetera. Succesvolle interventies op dit gebied zijn vooral van invloed op de intentievariabelen kennis en subjectieve norm. Instructies en standaarden zijn vormen van kennis waarlangs (informatie)processen plaatsvinden. Ook wordt daarmee door de organisatie aan de medewerker een norm opgelegd: zo moet het. ‘Leiderschap’ in het bollenmodel richt zich op de formele leiding van de organisatie, of het management. Vooral direct leidinggevenden zullen commitment ten opzichte van het veranderdoel moeten tonen, door bijvoorbeeld voorbeeldgedrag, overdragen van kennis, belonen, sanctioneren en toezicht. Dergelijke handelingen worden in het model opgevat als interventies. Coaching en ondersteuning door de Security Officer is daarbij van belang. Hier geldt dat succesvolle interventies op dit gebied vooral van invloed zijn op de intentievariabele subjectieve norm. De derde bol is ‘Cultuur’. Na de eerdere verhandeling over cultuur is het een terechte vraag hoe dit begrip als een

middel terugkomt. De bol ‘Cultuur’ geldt hier echter als een containerbegrip aan interventies met vooral een visuele uitwerking. Soeters in (Gerrichhauzen, 1994) kent cultuur een aantal dimensies toe, waaronder ‘vorm’. Bij de verdere invulling van deze dimensies sluit hij aan bij de indeling van Hofstede in symbolen, helden, rituelen en waarden. Waarden zijn niet als beïnvloedingsinstrument in te zetten, maar visualisatie in de vorm van symbolen, helden en rituelen wel. Zo kunnen posters, kubussen of andere speeltjes met boodschappen op het gebied van informatiebeveiliging, worden opgevat als symbolen, het benoemen van ambassadeurs onder medewerkers als helden en een maandelijkse terugkerende stiptheidsactie voor ‘clear desk’ als een ritueel. Door te werken met symbolen, helden en rituelen als denkkader kan met de nodige creativiteit interventies worden verzonnen die inzetbaar zijn als onderdeel van een veranderingstraject. De intentievariabelen die hiermee worden beïnvloed, betreffen vooral de subjectieve norm in de organisatie en de attitude van de medewerker. De vierde bol is de bol ‘Mensen’. Het zijn de medewerkers die uiteindelijk invulling geven aan het gedragsdoel. Denkend in de intentievariabelen betreffen het hier vooral interventies op het gebied van kennis en risico perceptie. Deze bol is bedoeld de medewerkers een meer diepgaand begrip over de noodzaak van het gestelde gedragsdoel te geven, eventueel uitgebreid met verdergaande instructies. Trainingen in de vorm van bijvoorbeeld workshops zijn vooral bedoeld samen met de medewerker een goed beeld van de risico’s te creëren. Afhankelijk van het te stellen gedragsdoel zijn interventies meer of minder intensief.

/RGANISATIE

-ENSEN

-IDDELEN /NDERSTEUNINGDOORINZETVAN

4ECHNOLOGIE)#4

&YSIEKEMIDDELEN

+ANTOORMIDDELEN

,EIDERSCHAP

Figuur 4: ‘bollenmodel’

/PSTELLENVAN "ELEID /RGANISATIESTRUCTUUR 0ROCEDURES -AATREGELEN 2ICHTLIJNEN 3TANDAARDEN

6ERANDER DOELEN 6ERANDERDOELENGERICHTOP

+ENNIS

2ISICOPERCEPTIE

!TTITUDE

3UBJECTIEVENORM

#OMMITMENTDOOR

6OORBEELDGEDRAG

4OEZICHT

3ANCTIONEREN

"ELONEN

"EINVLOEDINGDOOR

4RAINING

)NFORMATIE

"EOORDELEN

#ULTUUR

5ITDRAGENVANNORMEN

2ITUELEN

(ELDEN

3YMBOLEN

13 | de EDP-Auditor nummer 4 | 2006

De laatste bol is de bol ‘Middelen’. De bol neemt een bijzondere plaats in. Onder deze bol worden alle technologische of andere middelen bedoeld, die ingezet worden om een bepaald gedragsdoel te bereiken. De bol is bijzonder, omdat door goed gekozen interventies gedrag direct afgedwongen wordt. Een ‘smartcard’ voor het inloggen op het netwerk betekent dat naast het wachtwoord ook een toegangskaart nodig is. Daarmee is verondersteld dat een hoger niveau van veiligheid wordt bereikt doordat het delen van elkaars wachtwoord aan banden wordt gelegd. Omdat natuurlijk altijd nog de toegangskaart met elkaar gedeeld kan worden, is het van belang om deze beveiligingsmaatregelen te blijven relateren aan (onveilig) gedrag.

resultaten), de verzekeringsmedewerkers (informatie over klanten en schades) en de IT-medewerkers (informatie-uitwisseling met IT-leveranciers over projecten en systemen). Analyse van het e-mail verkeer heeft geleerd dat medewerkers niet altijd gebruik maken van de procedure om vertrouwelijke informatie voldoende beveiligd te versturen. Het gedrag staat in contrast met het gestelde beleid. Op basis hiervan wordt het volgende gedragsdoel vastgesteld:

Verzekeringsbedrijf

Nader onderzoek is nodig voor het opzetten en inrichten van een interventieprogramma dat deze situatie bewerkstelligt. Met een enquête wordt het volgende over de intentievariabelen vastgesteld:

Het beschreven model wordt als voorbeeld uitgewerkt voor een verzekeringsmaatschappij. Er worden hoge eisen gesteld aan de interne bedrijfsvoering van verzekeringsbedrijven. Regelgeving is aan ingrijpende veranderingen onderhevig met belangrijke gevolgen voor de interne administratie van de verschillende verzekeringsvormen, zoals medische zorg, pensioen en arbeidsongeschiktheid. Tegelijkertijd stappen klanten makkelijker over naar de concurrent en is er sprake van reorganisaties en fusies.

Management, verzekeringsmedewerkers en IT-medewerkers versturen geen vertrouwelijke informatie per e-mail naar derden zonder de inzet van aanvullende beveiligingsmaatregelen.

Intentievariabele

Bevinding

Kennis

Doelgroepen hebben onvoldoende kennis over de spelregels in het gebruik van e-mail. Dit komt omdat de regels onvoldoende zijn uitgewerkt en niet gecommuniceerd. Ook is het

Een significant deel van de activiteiten van een verzekeringsmaatschappij is ‘mensenwerk’ (bijvoorbeeld het te woord staan van klanten, beoordelen van dossiers) waarbij gebruik gemaakt wordt van gevoelige informatie. Het mag duidelijk zijn dat het zorgvuldig en veilig omgaan met klantgegevens cruciaal is voor een verzekeringsmaatschappij. Vandaar dat in deze branche intensief gewerkt wordt aan informatiebeveiliging, vaak conform de Code voor Informatiebeveiliging. De vraag is of middelen daarmee effectief en doelmatig worden ingezet. Dragen de ingerichte maatregelen daadwerkelijk ertoe bij dat ‘veiliger’ wordt gewerkt? Wordt het gedrag van medewerkers echt beïnvloed? Kortom, zijn interventies effectief?

voor betrokkenen niet duidelijk wanneer informatie vertrouwelijk is. Risico

Doelgroepen ervaren e-mail niet als onveilig.

perceptie

Het feit dat berichten onderschept kunnen worden of niet juist bezorgd, zien zij als een gering gevaar dat sporadisch optreedt.

Attitude

Doelgroepen staan niet negatief tegenover nader te stellen regels over het gebruik van e-mail verkeer. Zij zien wel de risico’s als mailverkeer in de verkeerde handen komt. Zij hebben nooit stilgestaan bij het gebruiken van e-mail en over wat wel kan of niet kan.

Binnen het verzekeringsbedrijf onderkennen we de volgende doelgroepen: • Het management • De verzekeringsmedewerkers • De IT-medewerkers Op basis van de risicoanalyse conform de Code voor Informatiebeveiliging kwam naar voren dat een tweetal beveiligingsrisico’s prominent aanwezig zijn: • het gebruik van e-mail voor het versturen van vertrouwelijke informatie; • het gebruik van mobiele gegevensdragers, in het bijzonder USB-sticks. Het versturen van e-mail

De zorg over het gebruik van e-mail richt zich op de doelgroepen: het management (informatie over de bedrijfs-

Subjectieve

Doelgroepen geven aan elkaars gedrag nooit

norm

ter discussie te stellen, nooit elkaar hierop aan te spreken. Er is geen sprake van een groepsnorm op het gebied van e-mail verkeer.

Uit onderzoek naar het gebruik van e-mail in termen van de intentievariabelen blijkt dat het probleem zich vooral manifesteert door een gebrek aan kennis, een onjuist risico perceptie en de subjectieve norm. Een op te stellen interventieaanpak richt zich op deze elementen. De interventieaanpak is een sociotechnisch verandertraject met het zwaartepunt van interventies in de bollen ‘Leiderschap’, ‘Mensen’ en ‘Cultuur’. De volgende interventies worden verricht:

14 | de EDP-Auditor nummer 4 | 2006

Bol

Interventies

Structuur

• Classificatiemodel dat aangeeft welke informatie vertrouwelijk is. • E-mail verkeer opnemen in de gedragscode, met daarin de sancties bij foutief gebruik.

Leiderschap

• Actief uitdragen van de norm door de directie van de onderneming door communicatie hierover en voorbeeldgedrag. • Periodieke terugkoppeling aan directie over stand van zaken en vastgestelde overtredingen (incidenten).

Mensen

• Brochure met uitleg over hoe e-mail binnen de organisatie wordt gebruikt, de risico’s van

Het beveiligingsbeleid geeft in algemene termen richtlijnen over het gebruik van mobiele gegevensdragers. Dit is vertaald in het voorschrift dat USB-sticks niet toegestaan zijn voor zakelijk gebruik. Onderzoek stelt vast dat het gebruik van USB-sticks veelvuldig voorkomt, in de vorm van privé aangeschafte USBmemorysticks of in de vorm van mp3-spelers of iPods. De USB-stick is zelfs opgenomen in de interne productencatalogus. Kenmerkend is dat deze USB-sticks niet beveiligd zijn met encryptie of biometrie. De USB-poorten op de werkplekken zijn niet afgeschermd voor het gebruik van extern geheugen op de USB-sticks. Op basis hiervan wordt het volgende gedragsdoel vastgesteld: Management, Verzekeringsmedewerkers en IT-medewerkers gebruiken geen USB-sticks voor zakelijke doeleinden.

verkeerd gebruik, de gedragscode en verdere

Met een enquête wordt het volgende over de intentievariabelen vastgesteld:

uitleg van het e-mailproduct. Cultuur

• Screensavers met een compacte boodschap over hoe e-mail te gebruiken. • Terugkerende boodschap aan doelgroepen in het personeelsblad. • Melding in de headers van e-mails of elektro-

Intentie variabele Kennis

Bevinding Doelgroepen weten dat USB-sticks die ze

nische communicatie indien het vertrouwelijke

gebruiken onveilig zijn in geval van verlies of

informatie betreft en niet naar buiten mag.

diefstal. Het is voor betrokkenen niet duidelijk wanneer informatie vertrouwelijk is.

Techniek

• E-mail wordt altijd voorzien van classificatie voordat het kan worden verstuurd. Techniek

Risico per-

Doelgroepen weten uit de krant dat het ver-

voorkomt dat vertrouwelijke informatie naar

ceptie

lies van een USB-stick negatieve publiciteit

buiten gaat.

heeft. Dit beïnvloedt hun gedrag voor enkele

• Monitoring van mailverkeer op juiste toe-

dagen, echter ze vervallen daarna weer terug

passing van het classificatiemodel door

naar het oude gedrag. Zij achten de kans dat

gebruikers (door scan op steekwoorden).

zij zélf een USB-stick verliezen lager in dan de kans dat een collega deze verliest.

De techniek is hier niet leidend, maar eerder ter ondersteuning. Het doel is vooral een subjectieve norm te ontwikkelen onder gebruikers, zodat in het gebruik van e-mail rekening wordt gehouden met de vertrouwelijkheid van het verstuurde. De techniek voorkomt dat toch vertrouwelijke informatie via e-mail naar buiten gaat en helpt in het verzamelen van informatie hierover. Na een jaar vindt toetsing plaats van de interventieaanpak door de enquête te herhalen, worden de resultaten beoordeeld, en wordt besloten over een vervolg.

Attitude

Doelgroepen vinden dat beveiliging nodig maar hinderlijk is. Het verbieden van USBsticks en controle op het gebruik ervan wordt als betuttelend ervaren.

Subjectieve

Doelgroepen spreken elkaar niet aan op het

norm

gebruik van onveilige USB-sticks, ook omdat het management gebruik maakt van de USBsticks en ze in de inkoopcatalogus zijn opgenomen. De norm ‘USB-sticks mogen niet’ is niet zo zwart-wit.

Het gebruik van USB-sticks

De zorg over het gebruik van USB-sticks richt zich op medewerkers die de USB-stick mee naar huis nemen om daar aan documenten te werken. Dit komt voor bij het management (concept documenten over de interne organisatie en bedrijfsresultaten), de verzekeringsmedewerkers (bijvoorbeeld het verslag van een schadeopname) en ITmedewerkers (systeembeschrijvingen, testresultaten, projectverslagen etc).

Geconstateerd mag worden dat USB-sticks niet zijn weg te denken in een innovatieve organisatie maar dat het gebruik ervan niet onder controle is. Verbieden past niet bij de cultuur en wordt teniet gedaan als blijkt dat ook leidinggevenden (en zelfs beveiligingsfunctionarissen) de USB-sticks gebruiken.

15 | de EDP-Auditor nummer 4 | 2006

Zowel de attitude onder medewerkers als de subjectieve norm is anders dan het beleid en het gedragsdoel voorschrijft. Uit de analyse komt een ander beeld dan het geval in het gebruik van e-mail. Daar betrof het probleem vooral een gebrek aan voorlichting. In het geval van USB-sticks is sprake van een andere opvatting over veiligheid. De interventieaanpak is daarom anders. De kern van de aanpak richt zich niet op de opvattingen onder het personeel, maar op het voorkomen dat medewerkers gebruik maken van onbeveiligde USB-sticks. Het wordt als zinloos ervaren het gebruik volledig te verbieden en af te schermen. Het initiële gedragsdoel wordt bijgesteld: Management, Verzekeringsmedewerkers en IT-medewerkers gebruiken alleen met biometrie beveiligde USB-sticks. Door de inzet van middelen kan toch een veilige situatie worden gecreëerd, met het gebruik van de volgende interventies: Bol

Interventies

Structuur

• Classificatiemodel dat aangeeft welke informatie vertrouwelijk is. - Gebruik van mobiele gegevensdragers wordt

een organisatie te beïnvloeden is. Dit beïnvloedingsmodel is vervolgens uitgewerkt tot een model waarin op een doelgerichte, planmatige en gestructureerde wijze interventieprogramma’s worden uitgevoerd gericht op vastgestelde gedragsdoelen, gevolgd door meting van resultaten en bijsturingacties. Daarmee wordt invulling gegeven aan een zekere mate van management control op risico’s van (on)veilig gedrag in organisaties, zonder de illusie te willen wekken dat hiermee het risico van onveilig gedrag wordt gemitigeerd. Het beschreven model wordt een zinvolle aanvulling geacht op de Code van Informatiebeveiliging, doordat de beheersingsmaatregelen (‘controls’) uit het domein ‘Personeel’ maar ook uit andere domeinen van de Code worden geplaatst tegen het licht van gedragsdoelstellingen en risico’s. Daarnaast worden maatregelen uit de Code ondergebracht in een pakket van maatregelen die elkaar wederzijds versterken en daarmee aan effectiviteit winnen. In tegenstelling tot de Code strekt het analyseren en sturen van ‘veilig gedrag’ zich in dit model dus uit tot alle domeinen van de Code, dus ook de gedragscomponent binnen bijvoorbeeld wijzigingsbeheer, toegangsbeveiliging of beschikbaarheidbeheer. Daarmee wordt veilig gedrag van personeel minder een losstaand subsysteem (domein) maar meer een aspect van informatiebeveiliging dat in alle domeinen van belang is.

opgenomen in de gedragscode, met daarin de sancties bij foutief gebruik. Leiderschap

• USB-sticks worden uitgedeeld door senior medewerkers op de afdelingen.

Mensen

• Medewerkers worden getraind in het classificatiemodel.

Cultuur

• Elke medewerker krijgt een nieuwe beveiligde USB-sticks. De USB-stick wordt daarmee ook als een symbool van beveiliging ingezet, dat beveiliging leuk en innovatief kan zijn.

Techniek

• Gekozen wordt voor een met biometrie uitgeruste USB-stick. Er komt slechts één type in omloop. Deze wordt opgenomen in de productencatalogus. • Werkplekken worden uitgerust met een security patch dat alleen dit type USB-sticks toestaat.

Na een periode van een jaar wordt opnieuw het gedragsdoel gemeten en eventueel het interventieprogramma op de uitkomsten van deze meting aangepast.

Voor de security officer is het model bruikbaar om beperkte financiële middelen effectief en efficiënt te benutten. Voor de IT-auditor is het model een zinvolle aanvulling op de Code voor Informatiebeveiliging, omdat niet de aanwezigheid van ‘controls’ maar de ‘management control’ van gedragsrisico’s en de effectiviteit van maatregelen centraal kan worden gesteld in de beoordeling. Naast deze voordelen zijn er echter ook kanttekeningen te plaatsen bij het beschreven model: • het model is conceptueel afgeleid uit literatuuronderzoek en is nog slechts in beperkt toegepast in de praktijk. Het is daarom niet bedoeld als ‘recept’ voor veilig gedrag, maar wel als denk- en toetsingsmodel om de juiste vragen te stellen en de juiste acties te treffen; • Gedragsveranderingen zijn niet te realiseren met enkelvoudige en eenmalige interventies: de kracht zit in de herhaling. Daar waar traditionele beveiligingsprogramma’s afgerond worden als beveiligingsmaatregelen zijn ingericht, richt dit model zich op een het inrichten van een jaarlijkse cyclus van meten, plannen, handelen, bijstellen en weer meten. In perceptie kan dit leiden tot langer durende programma’s. ■ Literatuurlijst (Fishbein,1975) M. Fishbein & I. Aizen - Belief, Attitude, Intention, and

Conclusies

Behavior: An Introduction to Theory and Research, Addison-Wesley, 1975

In dit artikel is op basis van literatuuronderzoek vastgesteld via welke factoren (on)veilig gedrag van medewerkers binnen

(Gerrichhauzen,1994) J. Gerrichhauzen, A. Kamperman en F. Kluytmans Interventies bij Organisatieverandering, 1994

16 | de EDP-Auditor nummer 4 | 2006

(Hofstede,1980) G. Hofstede - Culture’s consequences, International

Eindnoot

differences in work-related values, 1980

Dit artikel is gebaseerd op het afstudeer referaat van de heer Koers aan

(Maslow,1954) A.H. Maslow – Motivation and Personality, 1954

de EDP Audit opleiding van de Erasmus Universiteit te Rotterdam.

(Morgan,1997) G. Morgan - Images of Organisation, Sage, 1986/1997

Aan de thematiek en oplossingsrichting is mee-ontwikkeld vanuit het

(Peters,1982) Peters and Waterman - In search for excellence, 1982

adviesbureau Xion Consulting bv te Amstelveen, waar hij gedurende het

(Schein,1992) E.H. Schein – Organizational Culture & Leadership,

schrijven van zijn referaat werkzaam was.

Jossey-Bass, 1992 (Simons,1992) S. Simons, Gedrag in organisaties, Prentice Hall, 1992

Noot

(Thierry, 1989) H. Thierry en A. Koopman-Iwema, Motivatie en

1 Het begrip en de meetbaarheid van een subjectieve groepsnorm is uit

satisfactie uit het handboek arbeids- en organisatie-psychologie,

te leggen aan de hand van hoe onze maatschappij omgaat met roken.

redactie P. Drenth, H. Thierry, P. Willems, Ch. De Wolff, 1989

Vroeger was roken op de werkplek heel normaal, keek hier niemand

(Vroom,1964) H. Vroom, Work and Motivation, Wiley, 1964

van op. Tegenwoordig is de subjectieve groepsnorm dat dit niet kan,

(Wouters,2002) E. Wouters - Alle zegen komt van boven, in Jaarboek

roken op de werkplek. Het gebeurt ook niet meer. De overheid is o.a.

Informatiebeveiliging 2001/2002;

door wetgeving zeer actief geweest in het veranderen van deze norm, met succes.

17 | de EDP-Auditor nummer 4 | 2006

Artikel

Business Activity Monitoring; de centrale bron van real-time managementinformatie Gabriel Cavalheiro

Dit artikel gaat in op het Gartner-model voor Business Activity Monitoring (BAM) dat een organisatie de mogelijkheid biedt om het real-time managementinformatieproces te versterken. Daarnaast komen de eigenschappen en voorbeeldtoepassingen van BAM oplossingen uitgebreid aan bod. Het artikel is gebaseerd op de afstudeerscriptie: ‘Defining Business Activity Monitoring; Understanding a Real-Time Event-Driven Infrastructure’ (Faculteit Techniek, Bestuur en Management, TU Delft).

ir. G (Gabriel) Cavalheiro is werkzaam bij Ernst & Young als junior EDP auditor. Voorheen heeft hij onderzoekstage gedaan bij het ‘Center for Process Innovation’ (CEPRIN) van Georgia State University in Atlanta, USA, met als

D

oor ontwikkelingen zoals toenemende intensiteit van concurrentie, druk van aandeelhouders om hogere winstgevendheid en toename van complexiteit en dynamiek van interne processen, is het noodzakelijk voor organisaties om hun operationele kosten te minimaliseren. Aangezien afwijkingen zoals het plaatsen van ‘last-minute’-orders, de vertraging of annulering van een vlucht of de overschrijding van een ‘service level agreement’ (SLA) vaak een doorslaggevende invloed hebben op de financiële performance van operationele processen, is het van groot belang om tot effectieve reactie op afwijking te komen. Proceseigenaren dienen derhalve in staat te worden gesteld om effectief te reageren op afwijkingen die potentiële bedreigingen en kansen vormen. Een effectieve reactie betekent vaak dat beslissingen sneller genomen dienen te worden. Ondanks de groeiende behoefte aan bruikbare en solide real-time management informatie, blijkt dat de beschikbare managementinformatie vaak niet voorziet in de behoeften van proceseigenaren. Dit komt omdat de meeste organisaties met ongeschikte informatievoorzieningen kampen die niet in staat zijn om real-time inzicht te geven in de performance van operationele processen. In feite zijn de meeste organisaties afhankelijk van informatiesystemen die onvoldoende inzicht in de huidige toestand van operationele processen geven. Steeds meer operationele processen worden ondersteund door transactiesystemen die effectief zijn in het uitvoeren van transacties op een snelle en betrouwbare manier, maar niet ontworpen zijn om managementrapportages te maken. Om de performance van bedrijfsprocessen te monitoren, maken veel organisaties gebruik van datawarehouses [INMO99]. Datawarehouses zijn gevuld op basis van ETL-processen (Extracting, Transforming & Loading) die te karakteriseren zijn als batch-verwerking van data met refresh-cycles die variëren van uren tot een aantal dagen [KIMB04]. Hierdoor is het verstrekken van de juiste data uit de datawarehouse een tijdrovend proces dat vaak niet in de behoeften van proceseigenaren voorziet.

onderwerp Business Activity Monitoring (BAM).

Om tot een effectieve reactie op afwijkingen te komen, dienen organisaties derhalve hun operationele processen real-time te monitoren. Met het oog op een grote markt voor software oplossingen die in deze informatiebehoefte van proceseigenaren voorzien, heeft een aantal softwareproducenten zich in de afgelopen jaren intensief beziggehouden met de vraag: hoe kunnen proceseigenaren effectiever reageren op afwijkingen in hun bedrijfsprocessen? Door nieuwe 18 | de EDP-Auditor nummer 4 | 2006

ontwikkelingen - zoals de toenemende mate van integratie en betere analytische tools - was het mogelijk voor diverse softwareontwikkelaars om analytische oplossingen te ontwikkelen die het real-time managementinformatieproces versterken. Door deze ontwikkelingen te observeren, kwam Gartner met de term Business Activity Monitoring op de proppen [CAVA05]. BAM kan worden getypeerd als een real-time systematisch en gestructureerd proces van informatieverwerving en -verwerking. BAM wordt omschreven door de Gartner Group als: ‘systemen die real-time toegang geven tot kritische prestatie-indicatoren om de snelheid en effectiviteit van operationele processen te verhogen’ [MACC02]. Uitgangspunt is overigens dat BAM-oplossingen gegevens verzamelen uit diverse bronsystemen in een separate omgeving, waarmee vervolgens real-time alerts gegenereerd kunnen worden. Op deze manier hebben BAM-oplossingen geen invloed op de operationele gegevensverwerking. BAMoplossingen zijn derhalve systemen die ervoor kunnen zorgen dat proceseigenaren tijdig geïnformeerd worden over de toestand van hun bedrijfsprocessen zodat potentiële bedreigingen en kansen vroegtijdig gesignaleerd kunnen worden. In tegenstelling tot datawarehouses gaat het niet om oude en gedetailleerde managementinformatie, maar om waarschuwingen over geconstateerde afwijkingen die proceseigenaren ondersteunen bij het ondernemen van corrigerende vervolgacties. Hierdoor, als we een analogie trekken naar het menselijke lichaam, vormen BAM-oplossingen het zenuwstelsel van organisaties. Het artikel heeft als doel om inzicht te verschaffen in de invloed van de implementatie van BAM-oplossingen op het auditwerk. In dit artikel zal ingegaan worden op de eigenschappen van het Gartner-model voor BAM. Vervolgens komen voorbeeldtoepassingen en het implementatieproces van BAM-oplossingen uitgebreid aan bod. BAM model Om BAM-oplossingen weer te geven, heeft Gartner een conceptueel model ontwikkeld voor BAM in 2002, dat als denkkader kan dienen. Dit model bestaat uit drie lagen die als een BAM oplossing te karakteriseren zijn: ‘Event Absorption’, ‘Event Processing and Filtering’ en ‘Event Delivery and Display’ [GASS04]. In figuur 1 wordt het Gartner BAM-model weergegeven. Event Absorption

In de laatste jaren hebben zich ingrijpende veranderingen voorgedaan in de informatievoorziening van organisaties. In de meeste organisaties was er sprake van een veranderingsproces, waarbij vooral systeemintegratie een belangrijke rol speelt. Informatiesystemen zijn steeds vaker verbonden met andere informatiesystemen binnen en buiten de organisatie [SUER02]. Door de toenemende mate van systeemintegratie kunnen BAM-oplossingen gegevens accepteren uit diverse bronsystemen [GASS04]. Op deze manier accepteert de

%VENT!BSORPTION,AYER 6ALID%VENTS

.EW%VENTS

%VENT0ROCESSINGAND&ILTERING 2EAL TIME

$ATA!NALYSIS -ODELLING

4UNING

%VENT$ELIVERYAND$ISPLAY

Figuur 1: Gartner BAM-model

‘Event Absorption’ laag van de BAM-oplossing gegevens uit online transactieverwerkende systemen en e-business-applicaties en het internet, maar ook uit wireless sensoren, zoals GPS en RFID [CAVA05]. Event Processing and Filtering

Na het verkrijgen van real-time gegevens worden de volgende stappen doorlopen. Ten eerste, dienen de gegevens verzameld te worden in een aparte omgeving zodat de operationele gegevensverwerking niet wordt verstoord. Het gaat hier om het tijdelijk opslaan van de geïntegreerde gegevens in een off-line database. Doordat gegevens uit meerdere systemen samengevoegd dienen te worden, is het noodzakelijk om conversies uit te voeren om de gegevens in het benodigde formaat te krijgen voor analyse- en rapportage processen. Door de verschillende conversiestappen in een workflow vast te leggen is het mogelijk om gegevens continu te controleren. Vervolgens dienen events geanalyseerd te worden. Hier dienen voorgedefinieerde prestatie-indicatoren gefilterd te worden om te bepalen of het noodzakelijk is om een actie te ondernemen. Indien de prestatie-indicatoren bepaalde grenswaarden overschrijden, wordt automatisch een alert gegenereerd dat uiteindelijk in een off-line database terechtkomt. Om de filters te ontwerpen en testen, bevatten BAM-oplossingen ingebouwde ontwerptools [GASS04]. Heel vaak bevatten BAM-oplossingen ook een ingebouwde rapportagefunctie met volledige drill-down. Event Delivery and Display

De ‘Event Delivery and Display’-laag kan gezien worden als de interface tussen de BAM-oplossing en de gebruiker of de ontvanger van BAM-alerts. Deze laag zorgt in de praktijk voor het grafisch afbeelden van de gedetecteerde afwijkingen zodat proceseigenaren op diverse manieren kunnen worden geïnformeerd over afwijkingen en de noodzaak van een vervolgactie. Datavisualisatie kan plaatsvinden via dashboards, waarin processen en activiteiten op een grafische wijze getoond worden, maar ook via SMS indien de proceseigenaar op verschillende locaties werkt. In figuur 2 wordt een voorbeeld van een dashboard weergegeven.

19 | de EDP-Auditor nummer 4 | 2006

%VENT7INDOW %VENT DESCRIPTION %VENT RESPONSE

!IRFREIGHTCANCELLED 3ELECTOTHERTRANSPORTATIONMODALITY

voorkomen die een negatieve impact hebben op de performance van bedrijfsprocessen [CAVA06]. We kunnen dan diverse situaties onderscheiden in verschillende sectoren die een tijdige reactie van proceseigenaren vergt. Op deze plaats noemen wij een aantal voorbeeldtoepassingen, waarin BAM een duidelijk toegevoegde waarde oplevert. Van elk van deze voorbeelden wordt een korte beschrijving gegeven.

4RANSPORTATION6OLUMES  0RODUCTIE ,EVEL

Walkthrough BAM-implementatieproces

     4IME

Figuur 2: Conceptvoorbeeld van event display dashboard

Voorbeeldtoepassingen van BAM BAM-oplossingen dienen toegepast te worden om bedrijfsprocessen te monitoren, waarin systematische afwijkingen Toepassing ‘Weight & balance’

BAM-implementatieprocessen beginnen bij het in kaart brengen van de performance-indicatoren die inzicht geven in de kwaliteit en voortgang van bedrijfsprocessen. Deze zijn van groot belang voor de uitbouw van een effectieve BAM-applicatie, want deze prestatie-indicatoren dienen in informatiebehoeften van de proceseigenaren te voorzien [GASS04]. Door na te gaan welke prestatie-indicatoren real-time gecontroleerd dienen te worden, is het mogelijk belangrijke afwijkingen te inventariseren [IBAR05].

Beschrijving Door prestatie-indicatoren zoals het gewicht en positie van lading van vliegtuigen te monitoren, is het mogelijk om bij het laden en lossen significante wijzigingen in het zwaartepunt van vliegtuigen te detecteren en de piloten te waarschuwen.

‘Call management’

Het sturen van de helpdesk bij de afhandeling van calls. Herhaalde pogingen om een helpdesk te bellen die via een call center bereikbaar is, kunnen aangeven dat het om een belangrijke belangrijk issue gaat.

‘Health surveillance and

In deze toepassing in de gezondheidszorg, dienen gegevens met betrekking tot patientopnames uit ver-

disease control’

schillende ziekenhuizen real-time te worden verzameld en geanalyseerd om de beginfase van epidemieën sneller te signaleren

‘Inventory management’

Retailorganisaties (supermarkten) die terugkoppeling nodig hebben om beslissingen te ondersteunen ten aanzien van bevoorrading.

‘Employee monitoring’

Het detecteren van niet-toegestane handelingen van werknemers op computers.

‘Supply chain management’

Ondersteuning bij de handling van kort houdbare producten zoals bloemen en melkproducten.

‘Freight refusal’

Waarschuwing over onbenutte ladingcapaciteit vóór het vertrekken van vrachtwagens, treinen en schepen binnen logistieke ketens.

‘Enterprise performance

Met behulp van real-time inputs bij simulatiemodellen van bedrijfsprocessen kunnen voorspellingen gedaan

prediction’

worden om capaciteitsplanning te ondersteunen door inzicht te krijgen in verwachte bezettingsgraden.

‘Service level management’

Het real-time monitoren van SLA’s.

‘Continuous auditing’

Door een toenemend aantal vragen vanuit toezichthouders door boekhoudschandalen en terroristische activiteiten is het verstrekken van real-time informatie aan toezichthouders een nieuwe optie om transparantie in de bedrijfsvoering drastisch te verhogen (voorkomen van het witwassen van zwartgeld). Financiële transacties kunnen real-time gefilterd worden op basis van afwijkingslijsten om verdachte transacties te onderscheppen en te rapporteren.

Tabel 1: Voorbeeldtoepassingen van BAM

20 | de EDP-Auditor nummer 4 | 2006

Zodra de prestatie-indicatoren en grenswaarde gedefinieerd zijn, kunnen de filters worden ingericht en getest. Aandachtspunt bij de implementatie is dat de filters dienen te worden getest om het risico van false-positive BAM-alerts te minimaliseren. Hiervoor dienen applicaties getest te worden. Dit gebeurt door applicaties te draaien met historische data uit bijvoorbeeld log files.

Theory of BAM into a Working Reality. Gartner, 2002. [IBAR05] Ibarra, F., The Evolution of BAM. Business Integration Journal, 2005. [INMO04] Inmon, W.H., Imhoff, C., en Sousa, R., Corporate Information Factory. Wiley, New York, 1999. [KIMB04] Kimball, R., en Caserta, J., The Data Warehouse ETL Toolkit; Practical Techniques for Extracting, Cleaning, Conforming and Delivering Datas. Wiley, New York, 2004.

Als laatste kan nog opgemerkt worden dat de ontwikkeling van filters binnen een BAM-oplossing voorzichtig dienen te worden gehanteerd. Indien er teveel filters worden aangemaakt en teveel BAM-alerts worden gegenereerd, kan een proceseigenaar een aantal belangrijke BAM-alerts negeren. Dit komt omdat mensen een beperkte capaciteit hebben om informatie te analyseren. Dit probleem wordt de ‘cognitieve overload’ van de ontvanger van BAM-alerts genoemd [GOVE02]. Meer alerts betekent om die reden niet een betere reactie op afwijkingen. De hoeveelheid managementinformatie die proceseigenaren bereikt kan namelijk te groot zijn.

[MACC02] McCoy, D., Business Activity Monitoring, Calm before the Storm. Gartner, Atlanta, 2002. [MACC04] McCoy, D., The convergence of BPM and BAM. Gartner, Atlanta, 2002. [SUER02] Suerink, H., en J. van Praat, Inleiding EDP-auditing. Ten Hagen Stam, Den Haag, 2002.

Conclusies De ontwikkelingen in de omgeving van organisaties maken het noodzakelijk om steeds sneller te reageren op afwijkingen. Daarnaast zijn de organisaties sterk afhankelijk van transactieverwerkende systemen. Hierbij bestaat in diverse sectoren de behoefte aan geïntegreerde informatie en gaat de ontwikkeling van real-time geprogrammeerde controles een steeds prominentere rol spelen in organisaties. Dit komt doordat proceseigenaren in staat dienen te zijn om vroegtijdig en gefundeerd keuzes te maken in het aansturen of bijsturen van hun bedrijfsprocessen. De informatievoorziening van organisaties kan worden verbeterd door de toevoeging van BAM-oplossingen aan hun controleomgevingen. Het gaat daarbij om het proces van real-time definiëren, vergaren, analyseren en communiceren van managementinformatie. Hierdoor kunnen BAM-oplossingen een belangrijke bijdrage leveren aan de verbetering van de interne controle van geautomatiseerde gegevensverwerking door het real-time managementinformatieproces verder te versterken. Hiertoe dienen BAM-oplossingen beoordeeld te worden om de betrouwbaarheid van BAMalerts veilig te stellen. Met de komst van deze nieuwe vorm van real-time geprogrammeerde controles, krijgt het auditproces derhalve een steeds belangrijkere functie. ■ Referenties [CAVA05] Cavalheiro, G., Defining Business Activity Monitoring, Understanding a real-time event-driven infrastruture. TU Delft, 2005. [CAVA06] Cavalheiro, G., Dahanayake, A., en Welke, R., Combining Business Activity Monitoring with the Data Warehouse for Event-Context Correlation, Examining the Applicability of this BAM approach. ICEIS, 2006. [GASS04] Gassman, B., How the Pieces in a BAM architecture work. Gartner, 2004. [GOVE02] Govekar, M., McCoy, D., Dresner, H., en Correia, J., Turning the

21 | de EDP-Auditor nummer 4 | 2006

Interview

Met e-architectuur op weg naar de overheidsdienstverlening van de toekomst Chris Wauters en Thea Gerritse

Architectuur is het ‘toverwoord’ binnen de Elektronische Overheid stelt Michel Bouten, plaatsvervangend directeur en programmamanager van de ICTU. Al een kleine tien jaar is hij zeer intensief betrokken bij het opzetten van de Elektronische Overheid in Nederland. Bouten heeft zelf een audit-achtergrond en volgens hem kan de auditor bij het creëren van de Elektronische Overheid niet vroeg genoeg in het proces worden betrokken. In dit interview geeft hij zijn visie op de ontwikkeling van de Elektronische Overheid en de rol die de auditor hierin kan spelen.

D

e Elektronische Overheid moet ervoor zorgen dat burger en bedrijfsleven ‘in control’ is van de overheidsdienstverlening vindt Bouten. Stichting ICTU (zie kader) bouwt daarom mee aan de e-overheid met omvangrijke programma’s als bijvoorbeeld architectuur Elektronische Overheid, modernisering Gemeentelijke Basis Administraties en DigiD. Elektronische Overheid is volgens Bouten geen doel op zich. Uiteindelijk gaat het om het verbeteren van de performance van de overheid in zijn geheel door gebruik te maken van ICT. Architectuur speelt hierin een essentiële rol, want binnen de Elektronische Overheid hangt alles met elkaar samen. Met een goede architectuur kunnen de bouwstenen in de juiste samenhang worden gebracht. Daarbij, zegt hij, speelt ook informatie-uitwisseling binnen de overheid een zeer belangrijke rol. Goede informatie-uitwisseling is bijvoorbeeld dé uitdaging in de jeugdketen, de justitiële keten, in de zorg maar ook binnen het onderwijs. Volgens Bouten gaat het erom dat overheden dezelfde ‘taal’ gaan spreken. Je moet in de eigen werkprocessen ook kunnen omgaan met de diensten van collega-overheden. Door een goede architectuur, semantiek en open standaarden met elkaar af te spreken zorgen we ervoor dat overheden efficiënter en effectiever kunnen werken.

Burgerperspectief Burgers worden terecht steeds veeleisender. Om hierin tegemoet te komen krijgt iedere burger over enige tijd zijn eigen Persoonlijke Internet Pagina van de Overheid (PIP). Dit is dé portal voor de burger waar hij of zij interactie heeft met de overheid. Bedrijven hebben tegenwoordig al een vergelijkbare communicatievoorziening via de Overheids Transactie Poort (OTP) en het bedrijvenloket waarmee ze met de overheid informatie kunnen uitwisselen.

Stichting ICTU De stichting ICTU werd op 11 april 2001 opgericht door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Vereniging voor Nederlandse Gemeenten. ICTU is een instelling van en voor overheden. De verantwoordelijkheid voor het beheer van ICTU ligt primair bij het ICTU-bestuur, waarin alle overheidslagen zijn vertegenwoordigd. Het werkveld van ICTU is de Elektronische Overheid die zorgt voor het verbeteren van zowel de werkprocessen bij overheden als de dienstverlening aan de maatschappij en de interactie met burgers. Voor meer informatie zie www.ictu.nl.

22 | de EDP-Auditor nummer 4 | 2006

‘Qua modernisering van Gemeentelijke Basisadministraties loopt Nederland internationaal vooruit’

23 | de EDP-Auditor nummer 4 | 2006

‘Kennis en kunde van de auditor worden vaak te laat in het proces aangeboord’

Het vaak opgebrachte vraagstuk in het kader van de tweedeling in de maatschappij van de do’s en de don’ts is volgens Bouten geen reden om niet maximaal te investeren in de Elektronische Overheid. De Elektronische Overheid zal een nieuw communicatiekanaal openen, maar niet het oude kanaal volledig vervangen. Het baliepersoneel van een gemeente kan samen met de wat oudere burger ook gebruikmaken van dezelfde elektronische voorzieningen als de wat jongere burger die het zelf doet via internet. Hoe doen we het internationaal? Nederland doet het internationaal gezien zo slecht nog niet op het gebied van de Elektronische Overheid. Conceptueel is Nederland goed, aldus Bouten. Waar in Nederland het probleem zit is dat de realisatie stokt. Daar komt onze ‘poldercultuur’ om de hoek kijken. Het kost wat tijd en inspanning, maar als we hier iets realiseren dan is het ook een duurzame oplossing. Nederland is best bescheiden, want we

Michel Bouten Michel Bouten is plaatsvervangend directeur van de ICTU en programmamanager Architectuur e-overheid en projectleider van de modernisering van het GBA. Bouten heeft een zeer ruime ervaring binnen de Rijksoverheid. Na zijn registeraccountantopleiding heeft hij onder meer gewerkt bij de departementale Auditdienst van het ministerie van Volkshuisvesting Ruimtelijke Ordening en Milieubeheer (VROM) waarna hij binnen VROM is gaan werken als verantwoordelijke voor financiële informatievoorziening/projectleider. In deze hoedanigheid was hij binnen milieubeheer onder andere verantwoordelijk voor de Millennium-operatie en de invoering van de euro. Vanaf eind 1999 was hij programmamanager van de ICTU-programma’s PKI-overheid, OverheidsNetwerk 21 (OT2000) en Rijksoverheidsintranet.

24 | de EDP-Auditor nummer 4 | 2006

Experience Shows.

Als u een Jefferson Wells team inhuurt, hoeft u ze niet eerst wegwijs te maken. Ze doen het al jaren - en dat merk je. Niet alleen aan hun gezicht, maar vooral aan hun werkwijze. Ze weten wat ze doen en dus behalen ze sneller resultaat. We hebben alleen ervaren professionals, die we bij u aan het werk zetten. Plaza Arena, gebouw Apollo Herikerbergweg 9 1101 CN Amsterdam Z.O. Tel: +31 20 346 89 00 www.jeffersonwellsnl.nl

Internal Audit • Technology Risk • Tax • Finance & Accounting ©2006 Jefferson Wells International, Inc. All rights reserved.

hebben ook al een aantal internationale awards gewonnen. De Belastingdienst, de IB-Groep, het Kadaster, het SUWIdomein en ook Justitie doen het bijvoorbeeld heel goed. Ook op het gebied van de modernisering van de Gemeentelijke Basisadministraties lopen we internationaal voorop. Nederland wordt regelmatig gevraagd hierover in het buitenland presentaties te geven. Canada is in alle benchmarks één van de koplopers. Dat is overigens alleen de Canadese federale overheid. De lokale overheid loopt daar nog een stuk achter. In Nederland is dit een stuk meer in balans onder meer door het programma E-Gem (gemeenten) van de ICTU. Bouten vindt dat de Scandinavische landen het echt goed doen. Daar zijn de randvoorwaarden in de jaren ‘80 al goed geregeld, zoals de basisregistraties en het Burger Service Nummer (BSN). In Nederland lopen deze ontwikkelingen, maar er is zeker nog wat werk te verzetten. Grote interdepartementale projecten Waarom gaan grote interdepartementale projecten zoals P-Direkt zo vaak mis binnen de overheid? Volgens Bouten zijn daar twee belangrijke redenen voor. De eerste reden, zegt hij, is dat er gestuurd wordt door besluitvormers die te ver van de inhoud afstaan en het de direct betrokkenen niet lukt de consequenties van de besluiten helder in beeld te brengen. Een tweede reden die hij noemt, is dat interdepartementale projecten vaak organisatorisch onnodig complex worden gemaakt. We beginnen met té grote ambities. Het ‘zwaan kleef aan’ principe werkt vaak zeker zo goed, waarbij een aantal partijen elkaar vindt en de overige partijen op een later moment aansluiten, als ze hieraan toe zijn. Rol van de auditor De auditor heeft volgens Bouten een belangrijke rol in de totstandkoming van de Elektronische Overheid. Bestuurders hebben tegenwoordig steeds vaker de behoefte aan zekerheid over de vraag of ze de goede dingen doen. Wel vindt hij dat de kennis en kunde van de auditor vaak te laat in het proces worden aangeboord. Binnen ICTU worden zeer regelmatig opgeleverde producten door externe auditors beoordeeld. Bouten ziet het liefst dat de auditor al een rol speelt in het traject van functionele en technische eisen. Hij geeft aan dat hij daarbij een spanningsveld ziet tussen controle versus advies dan wel een spanning bij de auditor om mee te gaan in de dynamiek van het proces. We moeten hierin een modus zien te vinden. Auditors moeten niet de laatste procent zekerheid aan de achterkant zoeken terwijl de voorkant omgeven is met onzekerheden. Dat kan nog veel beter met elkaar in balans worden gebracht. Een tweede belangrijk punt is volgens Bouten dat we niet met zijn allen de informatie kapot moeten controleren. Het gevaar is dat de iedere overheidsorganisatie een eigen verklaring gaat vragen over de kwaliteit van de Elektronische Overheidsbouwstenen waarbij eigen normen worden gesteld. Er zou meer hergebruik moeten zijn van oordelen op basis van een single-audit principe.

‘We moeten de informatie niet kapot controleren’

Tot slot Een grote uitdaging binnen de Elektronische Overheid, vindt Bouten, is de primaire overheidsbusiness goed te betrekken bij de IT-ontwikkelingen. De organisatorische uitdaging die daarbij hoort, is hoe we binnen de overheidsorganisaties omgaan met ICT. De overheid moet meer leren vanuit de business te denken en zij moet IT-projecten een eigenaar geven, zodat de landing binnen de overheidsorganisaties ook geborgd is. Een ander belangrijk aandachtspunt dat Bouten onderkent, is dat e-architectuur voor organisaties niet iets statisch is, maar juist iets wat dynamiek veroorzaakt. Organisaties zullen constant bezig moeten zijn met wat de e-architectuur betekent voor hun organisatie en informatievoorziening. Technisch zijn er natuurlijk ook uitdagingen, maar deze zijn tegenwoordig wel oplosbaar. Vergeet ook zeker niet het organisatorische aspect. Je kunt e-voorzieningen en e-architectuur niet los zien van de inrichting van je eigen organisatie. Soms leidt het gebruik van een architectuur ook tot wijzigingen in je organisatie en in de rol die je organisatie heeft. Daar moet je voortdurend bij stilstaan. De organisatieontwikkelingen bepalen de snelheid van de ontwikkeling van de Elektronische Overheid, niet de technische ontwikkelingen. Al met al zijn we met een geïmplementeerde e-architectuur zeker op de goede weg naar de overheidsdienstverlening van de toekomst. ■

26 | de EDP-Auditor nummer 4 | 2006

IT-beheersingsvraagstukken. Bent u in control? De adviseur die je kent Meer weten? Neem voor een verfrissende aanpak contact op met IT Audit & Risk Management, Rainer Steger, tel: (030) 258 70 70 of [email protected]. Kijk voor een baan als IT-auditor bij Berk op www.berk.nl

BEST

DE

OF

BUSINESS SCHOOLS

ESSENTIE VOOR MANAGEMENTPROFESSIONALS “…zonder uitzondering actueel, geschreven door toppers op het terrein van bedrijfsleven, consultancy en wetenschap. De artikelen munten uit in leesbaarheid en compactheid.Voor drukbezette professionals een ideale ‘kennis- en kunde-ruif.” Prof. dr. P.K. Jagersma “In Holland Management Review vindt u een mooie combinatie van buitenlandse literatuur met bijdragen van nationale auteurs. Het is een veelzijdig magazine dat prachtig uitgevoerd is en goed gebruikt kan worden als naslagbron.” Prof. dr. P.S.H. Leeflang Holland Management Review brengt u volledig op de hoogte van: - alle disciplines van de managementpraktijk - actuele managementtrends en -ontwikkelingen - praktische methoden, technieken en casestudies

MAAK VOORDELIG KENNIS MET HOLLAND MANAGEMENT REVIEW: 3 NUMMERS VOOR SLECHTS € 30,BEL GRATIS 0800-0227766 OF GA NAAR WWW.HMR.NL

Een dag uit het leven van

Jan Pasmooij J. Pasmooij RA RE RO is sinds 2001 als Manager ICT Knowledge Center werkzaam bij het Koninklijk NIVRA. Daarnaast is hij als plaatsvervangend Program Director (in deeltijd) verbonden aan de postinitiële

M

ocht de indruk bestaan dat het werken voor een beroepsorganisatie saai en weinig uitdagend is, dan bewijst onderstaand dagboek naar verwachting het tegendeel.

masteropleiding IT-Auditing aan de Erasmus School of Accounting & Assurance.

Woensdag 25 oktober Voor de verandering vandaag voor mij een dag zonder files. Uiterlijk 06.15 uur van huis om de trein van 06.38 uur naar Amsterdam te kunnen halen. Een korte rit met de auto naar het station van Arnhem, waarna een wandeling volgt, die ons sinds begin oktober verplicht tot een omweg langs de winkels in het tijdelijke station. Een beslissing van ProRail die aangeeft dat winkels belangrijker zijn dan reizigers. Een treinrit van ruim een uur waarin ik de kranten van die dag kan doornemen en mijn meegebrachte botenhammen kan opeten. Vandaag geen vertragingen, zodat ik al om 07.50 uur in mijn kantoor bij het NIVRA – vlakbij station RAI – mijn laptop kan opstarten en een eerste koffie kan nuttigen. Tot 09.00 uur tijd voor de afhandeling van mails, in afwachting van een afspraak met een bestuurslid van de NOREA om over de voortgang van lopende projecten (samenwerking RA/RE) en nieuwe activiteiten te spreken (SAS 70). Om 09.30 uur de eerste vergadering van de NIVRA werkgroep SAS 70, waarin ook NOREA deelneemt. De aanleiding voor dit overleg is de toegenomen belangstelling voor SAS 70 en daarmee ook de zorg dat verkeerd gebruik het product een slechte naam kan bezorgen. We hebben het over de wenselijkheid van afspraken over het gebruik en een informatieve publicatie voor (potentiële) gebruikers. Na deze vergadering snel door naar een international conference call met de manager van International Innovation Network (IIN) over mijn afspraak in Londen op 2 november en onze jaarlijkse conferentie in Valencia 28 | de EDP-Auditor nummer 4 | 2006

in januari 2007. IIN, waarvan ik op dit moment de voorzitter ben, is een organisatie die (op dit moment) bestaat uit zestien vooraanstaande accountantsinstituten met als doel de uitwisseling van kennis en ervaringen ten behoeve van (gemeenschappelijke) ontwikkeling en/of gebruik van producten en diensten voor de leden en de markt. Een belangrijke activiteit in een tijd dat aan de instituten steeds hogere eisen worden gesteld op het terrein van de dienstverlening aan hun leden. Na deze call een korte lunch waarna ik voor de deadline moet reageren op de concepttekst die naar aanleiding van een interview over beveiligde e-mail in de komende Automatisering Gids wordt gepubliceerd. Om 13.00 uur een telefonische bespreking met HOI (Instituut voor Media Auditing) over de voorwaarden waarop met ingang van 2007 als proef oplageverklaringen over 2006 ook langs elektronische weg kunnen worden gegeven. Na dit gesprek besteed ik de rest van middag aan activiteiten met betrekking tot XBRL en assurance, zoals het voorbereiden van een vergadering van de international Assurance Working Group in Toronto op 6 en 7 november waarin een document moet worden afgerond dat op 15 november beschikbaar moet zijn voor een workshop over XBRL en Assurance tijdens het ‘World Congress of Accountants’ in Istanbul. Ook maak ik die middag afspraken over een stand van XBRL Nederland tijdens de Accountantsdag 2006 op 22 november en de aanpassing van een bestaande NIVRA/ XBRL Nederland-publicatie over de impact van XBRL voor de accountantspraktijk. Omdat ik die dag verder geen afspraken meer heb, neem ik om 17.18 uur de internationale trein (ICE) terug naar Arnhem. Dit geeft mij de mogelijkheid in alle rust onder het genot van een drankje de NRC van die dag door te nemen en vast

wat e-mails voor te bereiden die ik in de avond kan versturen. Donderdag 26 oktober 2006 Vandaag weer een ‘file-dag’ met een afspraak buiten de deur. Om 07.30 uur van huis om voor 09.00 uur bij KPMG in de Meern te kunnen zijn. Een afspraak in het kader van een verkenning over het gebruik van een digitale handtekening door accountants en IT-auditors. Daarna terug naar kantoor voor een afspraak met ons hoofd public relations/public affairs over de inbreng van het NIVRA tijdens de jaarlijkse meerdaagse IIN-conferentie in Valencia. Hierna stel ik op verzoek van de Platformcommissie MKB een overzicht samen van de stand van zaken met betrekking tot XBRL. Dit overzicht staat op de agenda van hun periodiek overleg op 30 oktober 2006. Om 14.00 uur een telefonisch interview door het marktonderzoeksbureau Ipsos Public Affairs over technologische ontwikkelingen. Na dit interview door met het aanpassen van de huidige ‘Privacyrichtlijn’ aan de nieuwe wet- en regelgeving, zodat deze kan worden opgenomen in de nieuwe ‘Verordeningen’ die in het kader van de WTA, et cetera met ingang van 2007 van kracht worden. De rest van middag besteed ik aan het afwerken van mails en het bij elkaar zoeken van stukken die ik vrijdag en in het weekend nodig heb. Rond 18.30 uur terug naar Arnhem in de hoop dat de file op de A1 richting Amersfoort inmiddels is opgelost, wat helaas nog niet het geval blijkt, waardoor Arnhem pas om 20.00 uur in zicht komt. Indien dit dagboek uw belangstelling heeft gewekt, dan verwijs ik u graag naar de vacature van vaktechnisch medewerker IT-assurance (RE/RA). Voor nadere informatie zie www. norea.nl. 29 | de EDP-Auditor nummer 4 | 2006

IT-auditors bijeen

‘The devil is in the details’

Verslag van de vijfde Rijksbrede IT-auditdag georganiseerd door EDP AUDIT POOL

Nathalie Timmer en Peter Doorduin

Details kunnen de doorslag geven tijdens een audit. Een voorbeeld hiervan is een onderzoek naar het beheer van een applicatie wat een positief oordeel kan opleveren. Maar door in de details te duiken en de beveiligingsinstellingen van deze applicatie te beoordelen, kan een ander beeld ontstaan. The devil zit dus in the details! Het centrale thema van de Rijksbrede IT-auditdag 2006 stond dan ook in het teken van de details en

J

eanot de Boer, directeur van EDP AUDIT POOL, opende de dag en heette de aanwezige IT-auditors welkom. Vervolgens gaf hij het woord aan de dagvoorzitter Boudewijn Peters die de aftrap tot een afwisselende dag gaf met een analyse van het logo en een anamnese van EAP. Ook stelde hij dat onderzoeken naar details nodig zijn in een tijd waar de debatten in Den Haag voornamelijk op hoofdlijnen worden gevoerd. Daarnaast spoorde hij iedereen aan om deze dag niet te lummelen, maar actief kennis bij te spijkeren en toe te passen in de workshops.

de hulpmiddelen om de details boven water te krijgen.

Mw. Drs. Ing. N.D. Timmer en Drs. P.A. Doorduin RE zijn als IT-auditor werkzaam bij EDP AUDIT POOL in Den Haag en maakten deel uit van de organisatie van

Na de inleiding in het thema volgde een parallelle sessie van een viertal workshops. In de ochtend ging men in op audits met een brede scope. In deze workshops stonden ervaringen uit de praktijk centraal. De workshops werden begeleid door medewerkers van EDP AUDIT POOL en diverse gastsprekers.

dit symposium.

EDP AUDIT POOL (EAP) organiseerde op 4 oktober in Den Haag de vijfde Rijksbrede IT-auditdag. Een groot deel van de IT-auditors werkzaam bij de rijksoverheid was aanwezig op deze dag.

Bewustwording informatiebeveiliging Kees van der Maarel (EAP) en Ernst Cornips (EAP) Technische oplossingen om een betrouwbare informatievoorziening te realiseren, zijn nuttig maar niet zaligmakend, want die vermaledijde medewerkers! De deelnemers aan deze workshop hebben ‘het probleem’ van de medewerkers niet opgelost. Wel hebben zij aan de hand van een praktijkcasus op interactieve wijze nagedacht over informatiebeveiliging en de mogelijke maatregelen die getroffen kunnen worden vanuit de verschillende functies in een organisatie. In de verhitte discussies is de deelnemers een spiegel voorgehouden, wat tot gevolg heeft gehad dat oplossingen die normaal als lastig ervaren worden, nu heel reëel overkwamen. 30 | de EDP-Auditor nummer 4 | 2006

Een uitdagende gegevensconversie Evert van Donk (EAP), Frans Larmené (Raad van de Kinderbescherming) en Thijmen Moerland (Accenture) Waar loop je tegenaan als auditor bij een gegevensconversie? Medewerkers van de Raad voor de Kinderbescherming zijn met de deelnemers van de workshop ingegaan op de uitdagingen die zij zijn tegengekomen bij de conversie van 22 vervuilde decentrale databases naar één geschoonde en betrouwbare centrale database in een nieuw computersysteem. Aan de hand van dit praktijkvoorbeeld zijn de deelnemers uitgedaagd na te denken over mogelijke problemen en oplossingen bij het auditen van deze conversie. Na enige discussie zijn de deelnemers tot de conclusie gekomen dat er geen standaard aanpak is voor gegevensconversie. De praktijkcasus is opgelost door eerst lokaal te schonen en dan volgtijdelijk samen te voegen. TPM of SAS70 verklaring? Peter Jacobs (EAP), Jan Roodnat (EAP) en Herman van Gils (KPMG) In het geval van het outsourcen van de IT, kan een departement met een Third Party Mededeling aantonen dat de uitbestede IT wordt beheerst en dat het departement in control is met zijn IT. Vanwege regelgeving als Sarbanes Oxley vragen gebruikers van serviceorganisaties echter vaak om een SAS70 verklaring. Tijdens de workshop is de vraag beantwoord of de overheid nog wel op de goede weg is of dat zij ook om een SAS70 verklaring moet vragen. Na een lange discussie was de conclusie dat departementen die geïnformeerd willen worden, of rekencentra zich als een goed huisvader gedragen, een TPM prefereren boven een SAS70 verklaring vanwege de vastgestelde normen waaraan getoetst wordt. Indien een

Jaap van Oss en Boudewijn Peters SAS70 uitgebreid wordt met de normen voor een TPM, kan een SAS70 interessant genoeg zijn. PRINCE2 Loubna Zarrou (EAP) en Gert Touw (Defensie Telematica Organisatie) Binnen de Rijksoverheid wordt PRINCE2 steeds meer geadopteerd als methode voor effectief projectmanagement. IT-auditors krijgen dan ook steeds meer te maken met deze methode bij het uitvoeren van projectaudits. Tijdens de workshop is kort ingegaan op de werking van PRINCE2 en de achterliggende principes. Er is expliciet aandacht besteed aan de projectorganisatie, risicomanagement en kwaliteitsmanagement binnen PRINCE2. Om ervoor te waken dat PRINCE2 in de praktijk niet meer is dan PINO (PRINCE in name only), is aan de deelnemers de PRINCE2 Health Check uitgedeeld, waarmee kan worden vastgesteld dat PRINCE2 ook daadwerkelijk is gehanteerd.

Details in de wereld van de High Tech Crime Jaap van Oss (Korps Landelijke Politie Diensten, Unit Operationele Expertise, Team Digitale Expertise) Aan het begin van de middag verzorgde Jaap van Oss een plenaire lezing. Van Oss is senior adviseur digitale expertise bij het Korps Landelijke Politie Diensten (KLPD). Hij toonde de details van de wereld van High Tech Crime. De belangrijkste boodschap van Van Oss was dat cybercrime zich aan het professionaliseren is. Het gaat de hackers niet meer om de kick, maar om het harde geld. Jaap laat zien dat met behulp van het principe van botnets honderdduizenden computers tegelijk aanvallen kunnen uitvoeren die geregisseerd worden door één hacker. Via zelfgeschreven virussen trachten hackers met onder andere pishing en key logging gegevens van gebruikers te achterhalen. Deze gegevens worden gebruikt om zo veel mogelijk geld te 31 | de EDP-Auditor nummer 4 | 2006

‘verdienen’. Deze aanvallen zullen volgens Van Oss in de toekomst veel meer gericht zijn op beperkte IPranges van bijvoorbeeld een land, maar ook van een bedrijf. Zo kunnen cybercriminelen gerichter aanvallen uitvoeren. Na de plenaire sessie volgde weer een parallelle sessie met ditmaal vijf workshops. In deze workshops is ingezoomd op de details en de tools om deze details te onderzoeken. CSI – Op zoek naar SAP DNA Ron van ’t Boveneind (EAP) en Mohammed Benhaddya (EAP) De opmars van SAP binnen de Rijksoverheid gaat steeds verder, ook op interdepartementaal niveau. De toegangsrechten binnen SAP vormen een belangrijk aandachtsgebied voor (IT-)auditors. Het beoordelen van deze rechten is een tijdrovende klus, de oorzaak ligt in het diepgaande autorisatiemechanisme van SAP. Om

de autorisaties in SAP te beoordelen, maakt EDP AUDIT POOL gebruik van de tool CSI Authorisation Auditor. Tijdens de workshop gaven de sprekers uitleg over het autorisatieconcept van SAP. Tevens werd gedemonstreerd hoe de tool werkt en welke detailinformatie met deze tool aan het licht kan worden gebracht. Snoracle in Oracle Frank Blom (EAP) en Angelo Montero (EAP) In de workshop geeft Frank Blom een overzicht van de technische ontwikkelingen die hebben bijgedragen tot de huidige versie Oracle 10g. Samen met Angelo Montero heeft hij verder gekeken naar de toegangsmogelijkheden tot een Oracle database server en de ‘best security practices’. Tot slot hebben ze laten zien welke tools en scripts beschikbaar zijn ter ondersteuning van een onderzoek naar de technische inrichting van een Oracle database server. Samen zijn de deelnemers afgedaald naar de technische beveiligingsinstellingen en parameters van Oracle, die in de dagelijkse praktijk door beheerders over het hoofd gezien worden. Voor de meeste deelnemers was dit een eye-opener. Spoorzoeken en speuren met tools Petr Kazil (EAP), Andre Streutker (Auditdienst Financiën) en Menno Mulller (Govcert) Vertrouwen in ICT-beheerders en ICT-infrastructuren is goed, maar controle is beter. In deze workshop werden een aantal ict-bloopers gepre-

senteerd en de audit-tools waarmee deze ontdekt zijn. In de workshop werd het nut van detectieve maatregelen in ict-infrastructuren besproken. De deelnemers kregen een presentatie van een aantal audit-tools waarmee aanvallen op de infrastructuur en slordig beheer kunnen worden ontdekt. Die tools kunnen beheerders tevens inzetten om hun systemen beter te controleren en beheren. Beveiligingsapparatuur getest? Gabe Langhout (Nationaal Bureau voor Verbindingsbeveiliging) Gabe begon zijn betoog met een aantal anekdotes. Zo zijn bijvoorbeeld in Griekenland onder andere mobiele telefoongesprekken van de minister afgeluisterd door onbekenden met behulp van hightech afluisterapparatuur1. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) stelt de Nederlandse overheid in staat haar bijzondere informatie door middel van ICT-oplossingen zodanig te beveiligen, dat voor elk rubriceringniveau de juiste vertrouwelijkheid en integriteit gewaarborgd is. In deze workshop werd daarom ingegaan op de speciale problematiek rond de beveiliging van gerubriceerde informatie: wat zijn de dreigingen waartegen beschermd moet worden en wat zijn de mogelijkheden van de beveiliging van gerubriceerde informatie?

die kunnen optreden bij een conversie c.q. migratie van bijvoorbeeld een ERP-pakket. Jos heeft met vallen en opstaan veel geleerd over conversietrajecten en migratietrajecten. Na het theoretische gedeelte, waarbij de lessons learned van een ERP-conversietraject werden gepresenteerd, gaf Jos een demonstratie met IDEA. Met dit tool heeft hij laten zien hoe de salarisgegevens, na een migratie naar een nieuw systeem, gecontroleerd kunnen worden. Met IDEA kan tot op detail worden gecontroleerd welke mutaties er zijn geweest en kunnen dwarsverbanden worden gelegd. Vragenuurtjes Om de kennis van de aanwezige ITauditors te testen, moesten de aanwezigen een aantal vragen beantwoorden. In de wrap-up van de workshops werd plenair een aantal meerkeuzevragen gesteld. De aanwezigen konden met stemkastjes direct antwoord geven op verschillende vragen, die betrekking hadden op wat in de workshops aan de orde was geweest. Dat de vragen moeilijk werden gevonden, was te merken aan de reacties in de zaal. Zeker voor de technische detailvragen was duidelijk dat degenen die de betreffende workshop hadden bijgewoond in het voordeel waren. Tot slot Bij het overzicht van de scores bleek the devil echt in the details te zitten, want er stonden wel erg veel medewerkers van EAP in de top tien. De vraag van het publiek of de score wel betrouwbaar was, was dan ook legitiem. Na het tonen van de officiële scores en de prijsuitreiking rondde dagvoorzitter Boudewijn Peters af met een korte samenvatting. Hierna konden de deelnemers nog eens rustig met collega-auditors napraten tijdens de borrel. ■ Noten

Conversie + migratie = migraine? Jos van Asten (EAP) In deze workshop werd een tipje van de sluier opgelicht van de problemen 32 | de EDP-Auditor nummer 4 | 2006

1 The Observer, Sunday September 17, 2006 Website Voor meer informatie, zie www.eap.nl.

Boekbespreking

A New Era Without Data Warehouses, An Architectural Vision Andrew Cheung

Doel van het boek is het bespreken

wordt besteed aan de flexibiliteit van de informatiesystemen. Het gevolg van deze verminderde aandacht is dat veranderingen in de omgeving van de informatiesystemen resulteert in veranderingen in ontwerp en ontwikkeling van software. Het is van belang flexibele informatiesystemen te ontwikkelen, om op die manier concurrerend te blijven en om zo te kunnen reageren op de veranderingen in de markt die zich soms in een hoog tempo voltrekken.

van architecturen om informatie direct aan gebruikers te verschaffen vanuit bestaande broninformatie zonder tussenkomst van klassieke Data Warehouses. Het boek gaat ook in op de tekortkomingen van huidige architecturen (zoals data warehousing) en welke mogelijke alternatieven hiervoor bestaan. Het boek beschrijft ook specifiek het concept ‘Information Provision In Time

Titel:

A New Era Without Data Warehouses, An architectural Vision

(IPIT)’, een architectuur die de benodigde informatie beschikbaar stelt zodra de gebruiker hierom

Auteur:

Dr. Abbas Shahim RE

Uitgever:

Academic Service

ISBN:

90-395-2398-3

vraagt.

H

et boek is bedoeld voor CFO’s, CIO’s, gebruikers, informatiearchitecten, studenten en adviseurs. Het boek is in het Engels geschreven en is ingedeeld in zeven hoofdstukken; het telt ruim 248 pagina’s. De tekst leest niet al te moeilijk. Dit komt voornamelijk door de goede opbouw van de hoofdstukken: in de loop van elk hoofdstuk en in de opbouw van het boek wordt steeds dieper op de complexiteit van het onderwerp ingegaan. In de hoofdstukken maakt de auteur nuttig gebruik van zowel tabellen als figuren.

Deze boekbespreking is op persoonlijke titel geschreven door drs. H.W. (Andrew) Cheung, werkzaam als EDP-Auditor bij Ernst & Young.

Algemene indruk en beschrijving van het boek In het eerste hoofdstuk wordt ingegaan op de kloof tussen theorie en praktijk als het gaat om ontwerp van informatiesystemen. Hierbij wordt gesteld dat onvoldoende aandacht 33 | de EDP-Auditor nummer 4 | 2006

In hoofdstuk twee worden definities uiteengezet en de primaire concepten besproken. Het betreft de volgende concepten: • Logistiek: gericht op de vraag hoe zo efficiënt mogelijk gebruik kan worden gemaakt van logistieke principes in de IPIT architectuur; • Managementinformatie: is een essentieel onderdeel van organisaties en moet daarom op de juiste manier worden voorzien nadat bepaald is wat welke managementinformatie nodig is. • Informatiebeveiliging: aanwijzingen voor de kwaliteitsaspecten van de IPIT architectuur liggen besloten in informatiebeveiliging. • Data Warehouse Technologie: een introductie in de gelaagde structuur van data warehouses. Bovengenoemde concepten vormen de basis voor de verdere discussie in het boek en het IPIT-concept. De concepten zijn van belang omdat ze de basis vormen voor processen rondom de informatiestroom van data naar gebruikers en de aspecten die van invloed kunnen zijn op deze stroom van informatie. Er wordt ook ingegaan op het belang van de juiste managementinformatie. Hierbij wordt specifiek ingegaan op

het tolmodel van Van Leeuwen. Dit model bepaalt de informatiebehoeften van gebruikers en reduceert de complexiteit van het proces. Een interessant en voor IT-auditors zeer herkenbaar concept dat ook wordt besproken, is informatiebeveiliging. Hierbij wordt ingegaan op de kwaliteitsaspecten vertrouwelijkheid, integriteit en beschikbaarheid. Alhoewel deze drie kwaliteitsaspecten voldoende zijn in de meeste gevallen, veronachtzamen zij volgens de auteur de kwaliteitsaspecten Controleerbaarheid en Authenticiteit die ook aspecten zijn binnen het domein van informatiebeveiliging. Als laatste onderwerp wordt in dit hoofdstuk de data warehouse architectuur besproken. Hierin worden de volgende drie lagen onderscheiden: • Informatieacquisitie: zorgt voor de data transformatie; • Informatieopslag: plaats waar de data wordt opgeslagen; • Informatieoplevering: zorgt ervoor dat de informatie aan de gebruikers wordt geleverd. Het derde hoofdstuk gaat in op architecturen van informatiesystemen en met name hun kwaliteiten vanuit een technisch, conceptueel en logistiek oogpunt zoals deze voorkomen in de praktijk. Wat duidelijk naar voren komt, is dat er geen relatie bestaat tussen het type organisatie en de gekozen architectuur. Architecturen blijken vaak gebaseerd te zijn op het data warehouse concept. Daarnaast wordt niet goed nagedacht over beveiliging, uitbreidbaarheid, coherentie van het data warehouse. Dit geldt ook voor integriteit en consistentie van informatie. Vanuit een logistiek oogpunt is de flexibiliteit van de data warehouses erg laag, het voorraadniveau hoog en de nuttige toepassing van de middelen laag. In het vierde, en meest centrale hoofdstuk van het boek, wordt een beschrijving gegeven van de Information Provision In Time (IPIT) architectuur en de componenten en voor-

delen van IPIT. De IPIT-architectuur past de Just In Time (JIT) principes toe. De IPIT-architectuur is niet gebaseerd op de huidige informatiebehoefte van gebruikers, maar eerder gebaseerd op een reflectie van alle bedrijfseenheden in de verbonden gegevensbronnen, welke centraal beschreven en onderhouden worden. De complete logica en regels die ten grondslag liggen aan de besturing van de organisatie, worden centraal opgeslagen en onderhouden in een centrale database van metadata. Dit zorgt ervoor dat flexibiliteit gehandhaafd blijft, wijzigingen kunnen betrekkelijk eenvoudig doorgevoerd worden omdat dit maar op één plaats moet worden doorgevoerd. Het gebruik van dit concept brengt twee essentiële voordelen met zich mee. Omdat het ‘storage-free’ is, is er geen sprake van onbruikbare of verouderde informatie. Daarnaast blijft het beheer (integriteit en consistentie) van de data bij de data-eigenaar. Een ander belangrijk aspect hierbij is beveiliging. Doordat IPIT een ‘zero inventory’ architectuur betreft, wordt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie gewaarborgd. De IPIT-architectuur heeft ook een rapporteringmechanisme, dit zorgt ervoor dat adequate managementinformatie kan worden verschaft, afhankelijk van de vraag van de gebruiker. Belangrijke randvoorwaarden die de auteur stelt voor de IPIT-architectuur zijn: (1) een snel en goed onderhouden netwerk met onbeperkte verwerkingscapaciteit en bandbreedte; (2) implementatie vereist een standaardisatieproces binnen de organisatie om de uniforme werking van de architectuur te waarborgen; (3) Beschikbaarheid van historische gegevens. In hoofdstuk vijf wordt een case study besproken. Hierbij wordt de IPIT-architectuur getoetst in de praktijk. De uitgangspunten uit hoofdstuk vier worden hierbij over het algemeen onderschreven. De IPIT-architectuur scoort hoger dan de extraction- en 34 | de EDP-Auditor nummer 4 | 2006

splitting-architectuur. De extractionarchitectuur betreft een meer traditionele data warehousing technologie (ETL, OLAP). De splitting-architectuur heeft in tegenstelling tot de extraction-architectuur meer een afdelingsspecifieke karakteristiek. In het zesde hoofdstuk worden de ontwikkelingen omtrent data warehousing besproken. Hierbij worden de storage-based- en storage-free concepten uitgelicht en ook wordt er een vergelijking gemaakt met IPIT. Storagebased is gebaseerd op de traditionele data warehousing concept. Het storage-free concept is tot op een zekere hoogte vergelijkbaar met IPIT, maar heeft ten opzichte van het IPIT nog een aantal tekortkomingen, die in dit hoofdstuk nader worden toegelicht. In het laatste hoofdstuk wordt een korte uiteenzetting gegeven over wat er behandeld is in de voorgaande hoofdstukken. Wat ook niet als een verassing naar voren komt, is het feit dat de IPIT-architectuur in vergelijking tot andere architecturen goed scoort en daarnaast vele voordelen met zich meebrengt. Wel wordt er een voorstel gemaakt voor verder onderzoek naar onder andere het vertalen van data naar beslissingen en daarnaast ook ‘expert systems’. Tot slot De doelstellingen van het boek worden waargemaakt. De data warehousing architecturen worden besproken en de tekortkomingen van de huidige architectuurconcepten worden duidelijk in kaart gebracht. De auteur komt met een nieuwe architectuur waarvan de voordelen en randvoorwaarden duidelijk in kaart worden gebracht. Kanttekening die bij dit onderzoek geplaatst kan worden, is dat het op beperkte schaal getest is in de praktijk. De IPIT-architectuur moet daarom eerst op grotere schaal toegepast worden, voer voor nader onderzoek. Tevens kan de vraag gesteld worden hoe historische data on-line beschikbaar kan blijven zonder dat daar extra opslag capaciteit voor nodig is. ■

IT-auditors bijeen

Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn Thea Gerritse

De Regio Apeldoorn van de NOREA hield op 1 mei een bijzondere avond over de toepasbaarheid van SAS70 verklaringen en Third Party Mededelingen. De organisatie had een viertal gerenommeerde vakgenoten (zie kaders) bereid gevonden zitting te nemen in een panel dat onder leiding van Adri de Bruijn (zie kader) op interactieve wijze met de mensen in de zaal in discussie wilde gaan over de toepasbaarheid van SAS70 verklaringen en TPM’s.

Drs. Th. M.J. Gerritse RE is senior auditor bij EDP AUDIT POOL

zaal welkom heeft geheten nodigt hij de sprekers uit zichzelf voor te stellen, en een stelling te poneren, waarna de zaal hierop kan reageren. Joop Winterink geeft aan dat hij vooral vanuit de gebruikerskant met SAS70 verklaringen te maken heeft en hij vindt dat hij daar niet zo veel aan heeft. Zijn stelling is dan ook: ‘Of ik nu een SAS70 verklaring of een TPM verklaring krijg, ik vind dat ik er nog steeds zo weinig aan heb. Ik ben teleurgesteld over wat ik krijg aangeleverd, ondanks de standaard.’ De stelling van Herman van Gils kent een heel andere invalshoek. Vanuit zijn ervaring en betrokkenheid met SOX verkondigt hij dat ‘SAS70 misplaatst is in een SOX-omgeving, er moet een SOX-70 komen!’ Jan Roodnat is kort maar krachtig in zijn stelling: ‘Een SAS70 verklaring is één van de verschijningsvormen van een TPM.’ Hans Nijhuis daarentegen poneert dat een SAS70 verklaring een TPM+ is, omdat een SAS70 verklaring verder gaat dan een TPM. De voorzitter doet de aftrap. Gegeven de mooie tegenstelling die er is tussen de stellingen van Roodnat en Nijhuis, vraagt hij hen om hun stellingen toe te lichten.

M

et een bijzonder wervende uitnodiging hadden de organisatoren ongeveer vijftig mensen naar deze discussiebijeenkomst ‘gelokt’. En zij zijn niet teleurgesteld. Een aantal interessante kwesties passeerde de revue. Nadat de voorzitter de mensen in de

SAS70: TPM+ of TPM-? De gevraagde toelichting van Roodnat begint met een definitie van een TPM: ‘Een TPM is een rapportage naar aanleiding van een onderzoek van een onafhankelijke auditor waarbij de beoordeelde organisatie, bijvoorbeeld een rekencentrum of een serviceorganisatie, een andere is dan de organisatie waarvoor de rapportage bestemd is.’ Hij constateert dat de wijze van uit35 | de EDP-Auditor nummer 4 | 2006

voering van een TPM onderzoek gelijk is aan een SAS70 onderzoek. Argument daarvoor is dat een TPM een aantal verschijningsvormen kent, bijvoorbeeld een onderzoek op basis van algemene normen, zoals Cobit, of juist op basis van specifieke normen, op basis van webtrust et cetera. Zo kan het onderzoek ook uitgevoerd worden op basis van SAS70. Het is afhankelijk van wat je wilt met een TPM en afhankelijk van de behoefte van de gebruikers welke verschijningsvorm je kiest. Staat het onderzoek vooral ten dienste van de processen die van invloed zijn op de jaarrekening dan kies je SAS70. En dus… is een SAS70 verklaring één van de verschijningsvormen van een TPM. Het lijkt een korte avond te worden als Nijhuis zijn toelichting begint met de mededeling dat hij het eens is met Roodnat. Maar dan komen de verschillen in opvatting toch duidelijk naar voren. Nijhuis constateert dat een TPM vooral over geautomatiseerde gegevensverwerking gaat. Voor veel processen in de organisatie is automatisering essentieel. Daarom wil een uitvoeringsorganisatie die de automatisering heeft uitbesteed natuurlijk een TPM. Maar een SAS70 verklaring gaat verder. Een organisatie kent uiteraard ook nog handmatige processen waarover je afspraken hebt gemaakt als klant en doelstellingen hebt afgesproken en waarvan je wilt weten of je doel wordt bereikt. Daarover gaat de SAS70 verklaring en die is dus breder dan de TPM die alleen over de automatisering gaat. Voor Nijhuis geldt dan ook dat een TPM een basis voorwaarde is om aan een SAS70 verklaring te komen.

SAS70: een lege rapportagehuls? Vanuit de zaal wordt gereageerd. De discussie tussen Roodnat en Nijhuis is er een van kwasten vergelijken zonder dat we weten wat we moeten verven. Bedrijven ervaren vooral problemen rondom SOX. Er worden eisen gesteld vanuit SOX en je bent er niet met een SAS70 verklaring. Gechargeerd gesteld is het een holle rapportagehuls, de belangrijkste oorzaak daarvan is dat je de normeringen er niet in terugvindt. Volgens Winterink mag je dat niet van SAS70 verwachten. Het is een auditstandaard die bedoeld is om de accountant die verantwoordelijk is voor de jaarrekening informatie aan te reiken. Het is niet de bedoeling die standaard voor andere doeleinden te gaan gebruiken. Van Gils valt hem bij. ‘Op zichzelf is er met SAS70 niet zoveel mis, maar we zien – vooral in Nederland – een tendens dat er vanuit SOX eisen gesteld worden aan organisaties en die bedrijven antwoorden met een generieke SAS70. Die aanpak is formeel en niet voldoende inhoudelijk.’ Nijhuis geeft toe dat zijn organisatie in het begin ook heeft geworsteld met de normeringen. Ze hebben daarbij veel naar Amerika gekeken. Zijn ervaring is dat SOX juist een belangrijke rol kan spelen in het ontwikkelen van de normering. En de gevolgen voor IT-auditors? Een van de auditors in de zaal wil een lans breken voor de TPM. Hij beargumenteert dit met het feit dat de standaarden voor SAS70 afkomstig zijn uit Amerika en tot dikke rapportages leiden. Die rapportages

zijn bedoeld voor de jaarrekeningaccountant en die weet in veel gevallen niet wat hij ermee aan moet. Bovendien verwacht hij dat het werk voor IT-auditors aanzienlijk minder creatief wordt in vergelijking met TPM onderzoeken. Voor SAS70 onderzoeken is strak voorgeschreven wat je moet onderzoeken en hoe je dient te rapporteren. Vanuit de zaal wordt dit nog aangevuld met de opmerking dat er geen goed gericht handvat is voor de IT-auditor over de wijze waarop je een SAS70 onderzoek moet inrichten. Onder andere Van Gils reageert hierop. Hij bevestigt dat er sprake is van formele regels, maar hij benadrukt ook dat er ruimte is voor eigen interpretatie, vooral als het om het normenstelsel gaat. Dat is tenslotte niet voorgeschreven. En die lege huls? We moeten er met ons allen aan werken om die te vullen. De vraag is of dat bij een TPM anders is. Hoe klantspecifiek is een SAS70verklaring? Volgens Roodnat is het normaal om ten behoeve van het uitbrengen van een SAS70 rapportage overleg te hebben met de klant over de beheersmaatregelen zodat je een klantspecifieke invulling kunt geven. Daarom snapt hij niet zo goed waarom Winterink stelt dat hij als gebruiker zo weinig heeft aan een SAS70 verklaring. Winterink licht zijn stelling nog eens toe. ‘Je bent niet de enige die de verklaring krijgt, een SAS70 rapportage gaat naar meer gebruikers.’ Hij formuleert het probleem als volgt. In

een SAS70 worden control objectives gedefinieerd, die zijn gekoppeld aan risico’s. Die risico’s worden echter niet uitgewerkt. Daarmee lijken die control objectives uit de lucht te komen vallen. De standaard schrijft verder alleen voor dat de beheersmaatregelen en de controletechnieken worden beschreven, maar niét de specifieke bevindingen. Verder zegt de standaard dat gebruiker en serviceorganisatie de norm waaraan getoetst wordt moeten overeenkomen. Van Gils reageert hierop – en wel met de opmerking dat er geen ‘formele’ SAS70 standaard is, er is helemaal niet zoveel ‘voor’geschreven. De SAS70 standaard is een klein document, waar veel ‘omheen’ gedacht is. Ook Nijhuis wil de uitspraken van Winterink wat nuanceren: Risico’s zijn wel degelijk meegenomen in de opzet en uitwerking van het onderzoek. Dat ze niet in het rapport staan heeft een pragmatische reden, het rapport zou al gauw vijf keer dikker worden, maar het rapport is voor de externe accountant die dat wel degelijk kan inzien. Er is ook veel overleg en er is ook een evaluatie of het aan de eis van de externe accountant voldoet. Een van de mensen in de zaal ziet een tegenstrijdigheid in het feit dat ten behoeve van een SAS70 verklaring afspraken worden gemaakt over de control objectives – terwijl er ook sprake is van algemene verklaringen – SAS70 lijkt dan niet klantspecifiek te zijn afgegeven. Is het niet logischer dat als er meer klanten zijn, meer accountants, die dan ook te betrekken bij het bepalen van de control objectives, de normering.

Drs. Herman G.Th. van Gils RE RA

Hans Nijhuis RE RO

Mr. drs. Jan Roodnat RE RA

Herman van Gils is senior manager bij KPMG

Hans Nijhuis is manager Financial Audit

Jan Roodnat werkt ruim 17 jaar bij EAP, op

Information Risk Management en docent

binnen Group Audit Risk Services, de accoun-

dit moment als IT-audit manager – volgens

aan de post-doctorale opleiding

tantsdienst van Achmea/Eureko. Zijn werk-

hem een fantastische organisatie. Hij is

Accountancy en IT-auditing aan de

zaamheden richten zich op de business unit

geïnteresseerd in nieuwe ontwikkelingen

Universiteit van Amsterdam. De laatste

pensioenen van Achmea waar hij actief

en lid van diverse werkgroepen van NOREA,

jaren is hij vooral betrokken bij certificering-

betrokken is bij de realisatie van SAS70 type II

waaronder de werkgroep normen en stan-

opdrachten en –onderzoeken. (pakketten,

rapportages.

daarden, de werkgroep oordelen en de

privacy, TPM en SAS 70).

NOREA commissie vaktechniek.

36 | de EDP-Auditor nummer 4 | 2006

Volgens Nijhuis kan dat niet – de SAS70 verklaring is er principieel voor de accountants van de opdrachtgever en niet voor de toetsing van de individuele afspraken, waaronder bijvoorbeeld de effectiviteit van de beheersmaatregelen bij een individuele gebruikersorganisatie. Volgens Van Gils is het logisch en ook praktijk dat hij als externe accountant van de gebruikersorganisatie wel betrokken is bij het bepalen van de normering. Hier ziet van Gils een verschil tussen SAS70’s die nadrukkelijk op verzoek van de gebruikersorganisatie worden uitgevoerd (vooral nu in het kader van SOX, en dan met een heel specifiek normenstelsel) en SAS70 onderzoeken die door de serviceprovider voor meer gebruikersorganisaties worden opgesteld, waarbij de serviceprovider er belang bij heeft het normenstelsel wat generieker te houden. Uitdaging voor de beroepsorganisatie? De voorzitter vat de discussie samen. De conclusie is dat SAS70 wordt ervaren als een soort van rapportagehuls, waarin control objectives en beheersmaatregelen zijn beschreven. We kunnen erover discussiëren, wat de auditor daar nu precies aan heeft gedaan. Er is geen hard normenkader waaraan het object is getoetst. Wil je de SAS70 verklaring meer klantspecifiek maken dan zou je alle control objectives moeten afstemmen met de auditors van de klant, anderzijds zou het wellicht handig zijn om een generiek normenkader te hebben waar we – of het nu om een TPM of een SAS70 gaat – naar believen uit kunnen putten. Is het een uitdaging

voor de beroepsorganisatie om een compleet standaard generiek normenkader op te stellen? Volgens Winterink is er sprake van een open norm. Wanneer uitbesteding plaatsvindt van werkzaamheden, blijf je als organisatie zelf verantwoordelijk. Je draagt die verantwoordelijkheid door de verantwoording die je terugkrijgt van de partij aan wie je uitbesteedt. SAS70 geeft alleen maar inzicht in de maatregelen die zijn getroffen in relatie tot de control objectives. De gebruiker van zo’n verklaring moet zelf nog beoordelen of hij de beschreven maatregelen voldoende vindt. SAS70 is bedoeld om inzicht te geven, zodat je kunt interpreteren wat je aantreft, en daarom is het ook nooit een certificaat. Of, zoals iemand in de zaal samenvat: het is een stukje testen van de werking achter de klapdeuren – het resultaat krijg je te zien. Volgens Winterink klopt dat: SAS70 stelt als eis dat de maatregelen die zijn beschreven waar zijn en moeten passen bij de control objectives. De auditor doet daar een uitspraak over en geeft zijn bevindingen. In hoofdstuk 1 geeft hij een totaaloordeel: wat ik in dit rapport heb aangetroffen is waar en dat heb ik gecheckt. Het oordeel houdt dus niet meer in dan ‘ik heb dit aangetroffen en dat heb ik gecheckt’. SAS70 en TPM: een certificaat? Vanuit de zaal wordt een nieuwe kwestie aangeboord. Achmea heeft in een advertentie aangegeven dat ze een SAS70 type II verklaring hebben

Joop A.W. Winterink RE RA

Adri J.M. de Bruijn RE RA

Joop Winterink is sinds 1 april 2004 werkzaam

Adri de Bruijn is partner van Pricewatehouse

als hoofd Internal Audit bij het pensioenfonds

Coopers Advisory, docent EDP-Auditing aan

PGGM. Zijn carrière ontwikkelde zich van

de Erasmus School of Accounting &

accountancy & IT-auditing in het interne en het

Assurance en (ten tijde van deze bijeen-

openbare beroep (Philips, KPMG) naar manage-

komst nog) voorzitter van NOREA, de

ment functies in IAD en IT bij Rabobank

beroepsorganisatie van IT-auditors.

Nederland om tenslotte weer in de accountancy te belanden bij De Nederlandse Bank, waar hij van 1999 tot 2004 heeft gewerkt.

37 | de EDP-Auditor nummer 4 | 2006

gekregen. De vraagsteller vindt dat de organisatie daarmee aan het maatschappelijk verkeer doet voorkomen dat ze een bepaald kwaliteitsstempel hebben gekregen. Uit de deze avond gevoerde discussie blijkt echter dat de onderliggende onderbouwing nog wel wat vragen oproept en de vraag is dan ook of dat geen risico vormt voor het aanzien van de beroepsgroep? Natuurlijk wil Nijhuis daarop reageren. Hij memoreert dat een SAS70 verklaring een grote impact heeft op de organisatie en een groot beroep doet op capaciteit. Daar moet wel iets tegenover staan. Aan het eind van de rit is het ook een bedrijfseconomisch aspect. Je kunt het resultaat communiceren aan de partijen met wie je zaken doet, of je presenteert het aan de markt. De campagne die door Achmea is gevoerd, is om aan de partijen in de markt te laten weten ‘we hebben ‘m’. Dat is eigenlijk relatief besloten verkeer. Dat heeft ook te maken met het product. Als je individuele opdrachtgevers hebt, heeft een dergelijke advertentie een heel andere impact. Volgens Nijhuis is dat in de afweging betrokken. Daarnaast geldt dat het rapport zelf niet wordt verspreid buiten het besloten verkeer. Winterink ziet in het ‘besloten verkeer’ nu net het probleem. ‘Je kunt niet eens de inhoud van een SAS70 met elkaar bespreken.’ De standaard legt ons de beperking op. Die belemmert ons om tot een generieke standaard te komen – om met elkaar te bespreken wat SAS70 nou eigenlijk inhoudt. Roodnat ziet een ander probleem. Daarvoor citeert hij uit de advertentie: ‘daarmee is gewaarborgd dat onze controls, niet alleen van de processen, maar ook van de uitkomsten, van het allerhoogste niveau, inzichtelijk én correct zijn. Hij vraagt zich af of je door deze formulering niet suggereert dat de inhoudelijke juistheid is vastgesteld. Nijhuis geeft toe – het statement dat Roodnat voorleest is ook door het NIVRA kritisch beoordeeld. Dat Achmea trots is geeft hij toe, maar ook dat die frase een stap te ver is.

Een SAS70 is dus geen certificaat, geen verklaring dat de zaak inhoudelijk juist is. Dat klopt, zegt Nijhuis, want het is aan de individuele gebruiker/accountant om daar een oordeel over te geven. De vraag is of een TPM wél een certificaat oplevert waarmee we mogen adverteren. Volgens Roodnat wordt door organisaties ook wel geadverteerd omdat ze trots zijn dat ze een TPM hebben. Ze zijn dan niet altijd even precies in het aangeven voor welke processen die TPM geldt, terwijl het toch van belang is om de scope aan te geven. Maar voor de TPM geldt dat hij niet beperkt is tot het ‘besloten verkeer’. Een TPM kent wel een non-disclosure: dan is aangegeven voor welke partijen de mededeling bedoeld is. Als deze bedoeld is voor specifieke partijen is dat altijd vermeld. SAS70 type I en SAS70 type II Uit de zaal komt het verzoek om het onderscheid tussen een SAS70 verklaring type I en type II te verhelderen. Een SAS70 verklaring is een verantwoording over de risicobeheersing, voornamelijk gericht op de jaarrekening. Een type I verklaring documenteert opzet en bestaan, een type II verklaring voegt daar de werking van de maatregelen aan toe. In hoofdstuk 2 van een type I en type II verklaring worden de control environment, control objectives en beheersmaatregelen gedocumenteerd en in hoofdstuk 1 geeft de accountant twee oordelen; één over de opzet en bestaan en één over de werking. Voor een type II verklaring geeft de auditor in hoofdstuk 3 expliciet aan hoe iedere beheersmaatregel is getest en wat de bevinding is. De vraag is natuurlijk wat het oordeel inhoudt: betekent dit dat wat beschreven is ook goed beschreven is, of ook dat het voldoet aan de kwaliteitseisen? Waar gaat het oordeel over opzet en bestaan over? Volgens Nijhuis ligt in de controle van de werking en het oordeel daarover besloten dat de opzet ook inhoudelijk juist is. Het is de organisatie die beschrijft en de accountant die oor-

deelt of de beschrijving de doelstelling realiseert en in opzet en bestaan aanwezig is. De accountant bedenkt die maatregelen niet zelf, maar hij moet wel vaststellen of ze de control objectives voldoende afdekken. Winterink licht voor de duidelijkheid nog toe dat een type I verklaring éénmalig wordt afgegeven en dat het jaar erna een type II verklaring wordt gegeven. Nijhuis vult hem aan. ‘Je moet het ook zien als een soort groeipad. Als er bevindingen komen uit de type I verklaring moet je als organisatie aan het werk. Een organisatie moet ook de tijd krijgen iets te doen aan die bevindingen voordat er gecontroleerd gaat worden op de werking.’ Wat heb je als gebruiker aan een SAS70 rapportage? Winterink stelt dat het in de praktijk niet duidelijk is wat de invulling van de SAS70 is, de wijze waarop de beheersmaatregelen zijn beschreven. Hij zou graag meer inzicht daarin hebben, maar hoe meer inzicht een rapport geeft des te meer ‘unheimisch’ hij zich gaat voelen over de zekerheid die hem dat moet geven. Volgens Roodnat komt dat omdat een SAS70 rapportage voor meer klanten wordt opgesteld - dat vraagt om schrijven voor de grootst gemene deler. Een rapportage voor één klant kan uitgebreider zijn. Voor meer gebruikers schrijven betekent meer globale formuleringen gebruiken, dan kom je al gauw op het niveau van control objectives. Nijhuis geeft aan dat we het oorspronkelijke doel niet uit het oog moeten verliezen. De verklaring is bedoeld voor het financial statement van de accountant, maar de gebruikers zijn heel divers, je wilt tegelijk alle partijen terwille zijn, dus moet je met partijen overleg voeren. Het is een dilemma uit de dagelijkse praktijk – SAS70 is voor meer gebruikers die nogal divers kunnen zijn – het is dus noodzakelijk de partijen te kennen en op voorhand met elkaar te overleggen. Van Gils beaamt dit en geeft met behulp van een anekdote aan dat het 38 | de EDP-Auditor nummer 4 | 2006

in de praktijk ook wel zo gaat. In de hoedanigheid van externe auditor heeft hij meegemaakt dat een klant de IT wil uitbesteden. Daarvoor wordt een SAS70 verklaring gevraagd aan de aanbiedende serviceprovider. De serviceprovider geeft een presentatie van wat de mogelijkheden zijn (het winkelwagentjesidee) en het is dan afhankelijk van wie er aan tafel zitten wat er uit gaat komen. En het is duidelijk dat je als externe auditor van de gebruikersorganisatie ook zo je wensen hebt. Volgens Winterink gaan gebruikers anders om met de rapportage dan je als accountant zou verwachten. Het gebruik van een dergelijke rapportage vraagt veel inspanning van de organisatie, je moet goed naar de scope kijken en bepalen wat je eraan hebt. De gebruikers staan daar echter niet altijd bij stil. Zij zien niet dat het een instrument is en geen ‘eindproduct’. Daar zit een misverstand. Dat roept de vraag op of we als auditors wel moeten meewerken aan SAS70 onderzoeken. Nijhuis vindt dat je als auditor er voor moet zorgen dat er geen misverstanden over bestaan. Vooral op het gebied van normeringen en het managen van verwachtingen is er nog veel werk aan de winkel. Overigens geldt dat ook voor TPM en SOX, dit is niet uniek voor SAS70. Roodnat suggereert dat het opstellen van een algemeen aanvaard normenstelsel (op basis van en met behulp van de normeringen die nu al gehanteerd worden) een bijdrage zou kunnen leveren aan het managen van de verwachting. Nogmaals SAS70 of TPM? Voor Roodnat is deze discussie aanleiding om nogmaals een lans te breken voor een TPM. In een TPM kan er een heel nadrukkelijke relatie liggen tussen normen en kwaliteitscriteria. De werkwijze is dat je vanuit de kwaliteitscriteria de normen formuleert. Dat is bij een SAS70 anders omdat control objectives niet specifiek op de kwaliteitscriteria zijn gericht, maar op

de jaarrekeningcontrole. Voor Nijhuis roept dit nou juist de vraag op of we over een paar jaar überhaupt nog TPM’s zullen hebben. Er komen steeds meer grote ondernemingen die internationaal opereren en volgens hem hebben we een meer generieke soort van verklaringen nodig die internationaal geaccepteerd worden. Een SAS70 ligt dan meer voor de hand. Van Gils betwijfelt dit omdat een SAS70 een andere doelstelling heeft dan een TPM. Het is afhankelijk van de doelstelling wat het beste past: een SAS70 of een TPM. Feitelijk is de doelstelling van een SAS70 éénduidig en daarmee het gebruik ingekaderd. Een TPM kent geen vooraf opgelegde doelstelling een kan dus ruimer worden ingezet. Nijhuis stelt dat het dan wellicht mogelijk is om een SAS70 breder te maken en ook niet-jaarrekening gerelateerde control objectives in te passen zodat de TPM er onder kan vallen. Van Gils beaamt dit en ziet dat nu al gebeuren, maar zou het jammer vinden als de TPM, die in een behoefte voorziet in het keurslijf van een SAS70 gedwongen zou worden. Bijvoorbeeld het toetsen van de control environment à la COSO (verplicht bij SAS70) is overkill als een gebruikersorganisatie zekerheid wil over de vertrouwelijkheid bij de uitbestede webhosting. Roodnat voegt toe dat ook een TPM, weliswaar minder dan een SAS70, internationaal is geaccepteerd. Hij hoopt dat de TPM blijft maar ziet wel in dat het wellicht toch de kant van SAS70 op zal gaan. Winterink geeft een voorbeeld uit zijn praktijkervaring. Toen de organisatie waar hij werkte softwareonderhoud uitbesteed had in India, kreeg hij als klant zonder problemen een SAS70 en een ISO-certificaat. In India worden de internationale standaarden als vanzelfsprekend toegepast. Vanuit de zaal wordt dit bevestigd. Het gaat er eigenlijk niet om hoe het heet, waar het om gaat is dat je een ‘in control statement’ krijgt van een proces dat is uitbesteed.

De voorzitter stelt vast dat we het er met elkaar over eens zijn dat je wellicht de waardevolle elementen uit de TPM in SAS70 zou kunnen opnemen. Maar geldt dat bijvoorbeeld ook voor een kwaliteitscriterium als continuïteit? Volgens Nijhuis zou dat wenselijk kunnen zijn – als het de behoefte is van de accountant – maar hij vraagt zich af hoe je van continuïteit, waarvan de opzet is vastgelegd in afspraken en procedures met bijvoorbeeld uitwijkcentra, de werking over een heel jaar kunt toetsen. Volgens Roodnat valt bij SAS70 continuïteit niet onder de mededeling van de auditor. Je kunt wel de informatie daarover in een apart hoofdstuk van de SAS70 rapportage opnemen. Volgens Winterink geldt dit ook voor compliance. Van Gils stelt dat vanuit SOX gezien het management geen behoefte heeft aan meer zekerheid over uitbestedingsdiensten, inclusief continuïteit, omdat de continuïteit van de IT-voorziening in relatie met de waarderingscriteria (financiële criteria) minder relevant zijn. Daarom valt het buiten de scope. Maar het is natuurlijk zeer goed denkbaar dat het toch in een SAS70 wordt opgenomen, omdat een SAS70 niet alleen voor SOX wordt afgegeven. Moeten we naar een SOX70 of TPM70? Van Gils memoreert dat een SAS70 een bepaald doel heeft, namelijk de externe accountant van de gebruikersorganisatie zekerheid te verschaffen over uitbestede diensten die een materiële invloed kunnen hebben op de jaarrekening en waarbij de accountant bij de gebruikersorganisatie zelf onvoldoende controlemogelijkheden heeft. Hoewel SOX dat ook in het vaandel heeft staan is er toch een groot verschil. De externe accountant wil graag dat de financiële processen het gehele jaar betrouwbaar zijn en niet alleen op jaareinde, zoals bij SOX. Dat betekent dat de controle anders ingestoken zal moeten worden, bijvoorbeeld spreiding over het hele jaar. Het verschil inzake het 39 | de EDP-Auditor nummer 4 | 2006

kwaliteitsaspect continuïteit is al eerder aan de orde geweest. In die zin zou het dus wenselijk zijn een onderscheid te maken tussen een SAS70 en een SOX70. Maar of de markt begrijpt …. Roodnat vult aan. Doelstelling van SOX is het voorkomen van fraude. SOX70 is daarom minder relevant, de relatie tussen SOX en IT is dun. Als het gaat om IT is de relatie met een TPM hechter. Volgens Winterink maakt de markt het onderscheid niet. Als je in Google de termen TPM en SAS70 intypt krijg je veel dezelfde hits. Maar als SAS70 een bekender begrip is bij managers dan TPM, moeten we daar dan niet op inspelen? SLA en SAS70 Een vraag uit de zaal betreft de relatie tussen SLA’s en SAS70. Zou een SLA de gebruiker kunnen ondersteunen om de SAS70 te interpreteren? Is het niet makkelijker om een SAS70 onderzoek te doen als je op de SLA kunt terugvallen? Van Gils beaamt dat. Als je zoveel mogelijk afspraken vastlegt in de SLA dan is dat de normering voor je SAS70. Het gebeurt volgens hem ook wel dat je afspreekt dat het normenstelsel deel uitmaakt van de SLA, veelal afzonderlijk uitgewerkt in het DAP (Dossier Afspraken en Procedures). Dit wordt bevestigd door Roodnat. Voor een TPM binnen de Rijksoverheid geldt dit ook. De TPM is terug te voeren op een SLA (binnen de overheid worden deze ook SNO genoemd). Die vormen dan het uitgangspunt voor je normering. Maar dat brengt met zich mee dat je zaken moet afspreken die je kunt beheersen én meten. Tot slot De voorzitter sluit af: dankt het publiek voor kritische vragen en opmerkingen en het panel voor hun ervaringen en hun boodschap. Het publiek gaat tevreden naar huis, mét antwoorden en wellicht nieuwe vragen! ■

Artikel

Risico’s van IT-outsourcingprojecten beperken met Transition Realtime IT-auditing De harde en zachte kant van een transitie

IT-outsourcingprojecten verlopen lang niet altijd zoals gewenst. Onderzoek en publicaties tonen aan dat veel van deze projecten uiteindelijk tot een onbevredigende situatie leiden voor de betrokkenen. Een reguliere IT-audit stelt de oorzaken voor het niet-slagen van een IT-outsourcingproject achteraf vast. Doch het kwaad is dan geschied en (bijna) alle projectkosten zijn dan al

Dit artikel legt aan de hand van een praktijksituatie uit wat een IT-outsourcingproject is en uit welke fasen dit project bestaat. Hierbij wordt ingezoomd op de transitiefase. Daarna volgt een beschrijving van wat Transition Realtime IT-auditing is en welke rol de IT-auditor hierbij speelt. Vervolgens komt aan de orde hoe het normenkader voor de harde en zachte kant van de transitiefase is bepaald en hoe de IT-auditor over de risico’s rapporteert. Afgesloten wordt met een conclusie.

gemaakt. Transition Realtime IT-auditing is een vorm van IT-auditing die het verloop van de transitiefase van een IT-outsourcingproject realtime toetst. Deze toetsing richt zich op zowel de harde kant als de

Een IT-outsourcingproject Het hierna beschreven IT-outsourcingproject handelt over een praktijkvoorbeeld rond het uitbesteden van IT-diensten op het gebied van:

zachte, meer menselijke, kant van het project. Hierdoor is het mogelijk om direct bij te sturen wanneer risico’s dreigen te ontstaan. Risico’s worden meteen weer teruggebracht tot een acceptabel niveau, waardoor de slaagkans van het project vergroot.

• Het beheer van 2.200 PC’s & laptops. • Het beheer van 8 servers voor bestand- en printerbeheer verdeeld over 8 locaties (kantoor- en productievestigingen). • Helpdesk en werkplekondersteuning en de bijbehorende processen incident management, problem management en change management. Hierbij gaat het om outsourcing van IT-diensten van een interne IT-organisatie naar een externe IT-dienstenaanbieder. Dit project was onderdeel van een wereldwijde implementatie van een IT-outsourcingcontract.

L. (Leon) Dohmen RI is senior ICT Management Consultant bij LogicaCMG en docent

Figuur 1 onderscheidt vier fasen binnen IT-outsourcing. Tijdens de Initiation en de Negotiationfase worden de externe IT-dienstenaanbieder (leverancier) gekozen en het contract opgesteld. Onderdeel van het contract is het Service Level Agreement (SLA) waarin de uit te besteden IT-diensten en overeengekomen kwaliteitsniveaus beschreven zijn.

Management of Technology voor MBA en Master studenten aan de Rotterdam Business School. Leon heeft veel ervaring op het gebied van organisatieveranderingen en de invloed van IT hierbij. Hij heeft hierover verschillende artikelen gepubliceerd.

De Transitionfase (transitiefase) regelt de feitelijke overdracht van de uit te besteden IT-diensten naar Operations. De activiteiten binnen de transitiefase worden in projectverband uitgevoerd. Daar waar dit artikel spreekt over een IToutsourcingproject worden hiermee de activiteiten in de transitiefase bedoeld. De transitiefase Zoals gezegd regelt de transitiefase de voorbereiding en feitelijke overdracht van de uit te besteden IT-diensten. Volgens figuur 1 levert de transitiefase het operationele beheermodel en de technische oplossing. Vragenlijsten 40 | de EDP-Auditor nummer 4 | 2006

.EGOTIATION

)NITIATION

4RANSITION

/PERATIONS

1UALIFICATION (IGH,EVEL3OLUTION $EAL3HAPING 0ROPOSITION

0ROPOSAL 3ERVICE#OSTVALIDATION

#ONTRACT

-ANAGE"USINESS#ASE

)MPLEMENT/PERATING-ODEL

3ERVICE2EPORTING

$UE$ELLIGENCE )MPLEMENTATION0LAN

4RANSITION )MPLEMENT4ECHNICAL3OLUTION

)MPLEMENTATION2EVIEW #ONTINUOUS)MPROVEMENT

0ROGRAMMAMANAGEMENT $ETERMINE/BJECTIVES

2ISK-ANAGEMENT

0ROJECT-ANAGEMENT

-ANAGEOPERATION

0ERFORMANCE-ANAGEMENT

Figuur 1: Fasen in IT-outsourcing (bron: Halfhide 2004)

zorgen voor het verzamelen van relevante gegevens van ITbeleidsrichtlijnen, IT-standaards, vestigingsspecifieke zaken zoals veiligheidsinstructies op productielocaties, gebruikers en vestigingen, gegevens van PC’s en servers, gegevens van processen, organisatiestructuren en overlegstructuren. Onder andere de CMDB (Configuratie Management DataBase) is een belangrijke gegevensbron voor het achterhalen van gegevens. Een analyse van de verzamelde gegevens brengt tekortkomingen in het operationele beheermodel en de technische oplossing in kaart. Tekortkomingen zijn van invloed op de kwaliteit van de uit te besteden IT-diensten. Afhankelijk van de ernst van deze tekortkomingen worden deze voor het moment van overdracht opgelost of wanneer de tekortkomingen minder kritisch zijn, nadat de overdracht van ITdiensten heeft plaatsgevonden. De volgende stap in de transitiefase is de feitelijke overdracht van de uit te besteden IT-diensten. Een van de belangrijke succesfactoren in deze fase is de kennisoverdracht van de interne IT-organisatie naar de externe IT-dienstenaanbieder. De basis voor deze kennisoverdracht is eerder gelegd bij het verzamelen en overdragen van gegevens. In de praktijk wordt hier vaak te simpel over gedacht. Kennis opbouwen over de inhoud van IT-diensten maar ook over de processen waarmee deze IT-diensten geleverd worden, kost leertijd. Gedurende de overdracht is samenwerking tussen de interne IT-organisatie en de externe IT-dienstenaanbieder erg belangrijk om de overdracht soepel te laten verlopen. Een document waarin taken, bevoegdheden en verantwoordelijkheden gedurende de overdrachtsperiode zijn beschreven is hierbij behulpzaam. Het formeel maken van de overdracht van de uit te besteden IT-diensten gebeurt met behulp van acceptatiecriteria en een acceptatierapport. Dit acceptatierapport bekrachtigt de overdracht naar de Operationsfase volgens figuur 1.

Een projectmanager leidt de transitiefase. De projectmanager is verantwoordelijk voor planning, kwaliteit en overdracht van de uit te besteden IT-diensten. Gangbare instrumenten voor de projectmanager zijn producten beheerplan, activiteitenplanning, resourceplanning en voortgangsrapportages over het verloop van de transitiefase. De projectmanager beschikt over een team van transitiemedewerkers die de noodzakelijke transitiewerkzaamheden in de verschillende deelfasen uitvoeren en ondersteunen. Transition Realtime IT-auditing Een reguliere IT-audit die de haalbaarheid van een IT-outsourcingproject tijdens de Initiation en Negotiationfase toetst is zeker waardevol, doch dit is een momentopname, voorafgaand aan de transitiefase. Een transitie voor het uitbesteden van het beheer van 2.200 werkplekken, 8 servers, helpdesk en werkplekondersteuning zoals deze eerder is beschreven, heeft al snel een doorlooptijd van 20 tot 24 weken. In deze periode kan er veel veranderen ten opzichte van de IT-audit uit de Initiation en Negotiationfase. Daarom is het van belang een IT-auditor gedurende de gehele transitiefase continu het ontstaan van risico’s te laten toetsen en wanneer deze risico’s zich voordoen ze zo snel mogelijk weer terug te brengen tot een acceptabel niveau. Om risico’s continu te toetsen is de IT-auditor regelmatig aanwezig bij reguliere projectmeetings, interviewt hij sleutelfunctionarissen uit het project en praat hij met management en medewerkers die het projectresultaat accepteren. Verder beoordeelt hij projectinstrumenten, documenten en voortgangsrapportages. Zo heeft de IT-auditor voortdurend een beeld van het verloop en de risico’s van het project en rapporteert hier over. Deze activiteiten vallen onder de noemer van Transition Realtime IT-auditing. Transition Realtime IT-auditing beperkt daarmee het risico op verlies van projectinvesteringen.

41 | de EDP-Auditor nummer 4 | 2006

Een normenkader voor Transition Realtime IT-auditing Eén van de instrumenten bij Transition Realtime IT-audi1 ting is de knelpuntenanalyse . Knelpunten zijn (beïnvloedbare) factoren die alleen of in combinatie doorslaggevend zijn voor het falen van een IT-outsourcingproject. Een knelpuntenanalyse is een periodieke inventarisatie en analyse van mogelijke knelpunten van een IT-outsourcingproject met als doel om inzicht te krijgen in de mogelijke risico’s en de daartegen te nemen maatregelen. De knelpuntenanalyse kent vijf risicocategorieën:

• Financieel; • Planning; • Technische kwaliteit; • Organisatie, acceptatie & motivatie; • Technologie. Tabel 1 toont per aandachtsgebied en risicocategorie voorbeelden van knelpunten die kunnen leiden tot belangrijke risico’s. Om het gevaar van ‘blinde vlekken’ te voorkomen onderscheidt de knelpuntenanalyse twaalf aandachtsgebie-

RISICO CATEGORIEËN Organisatie, acceptatie en

AANDACHTSGEBIEDEN

Financieel

Planning

Technische Kwaliteit

1. Projectdoelstellingen

Onvoldoende inzicht in de kosten en baten van een project

Prioriteit van het project is onbekend

Vage formulering van projectdoelen

2. Projectresultaten

Onvoldoende inzicht in (en bewaking van) de kosten en baten van de verschillende delen cq. functies van het projectresultaat

Geen inzicht in (optimale) benodigde tijd en capaciteit voor het bereiken van het projectresultaat

Slechte specificatie func- Ontbreken totaalbeeld bij tioneel en kwalitatief van gebruikers projectresultaten

3. Projectomgeving

Onduidelijke randvoorwaarden

Geen analyse en accepta- Onvoldoende ruimte voor Beperkingen t.a.v. gebruikers Geen analyse van tie van startcondities effectieve kwaliteitsdie in het project kunnen en de technologische controle mogen participeren beperkingen

4. Projectorganisatie

Slechte afbakening van verantwoordelijkheden

Onvoldoende afstemming en geen afspraken over periodieke rapportage

Geen scheiding tussen ontwikkeling en controle (functie kwaliteitsbeheersing)

Onvoldoende aandacht voor een adequate participatie

Afstemming met leveranciers onvoldoende geregeld

5. Projectbemanning

Te hoge personeelskosten

Kwalitatief en of kwantitatief onvoldoende personeel

Onvoldoende kennis en ervaring inzake probleemgebied

Geen opleiding participerende gebruikers

Te laag kennis en ervaringsniveau m.b.t. technologie

6. Projectmethode

Dogmatische aanpak

Onvoldoende adequate planning en voortgangsrapportage

Verificatie en validatie onvoldoende gepland

Geen acceptatie van gekozen aanpak door gebruikers, ongestructureerde kennisvergaring

Onvoldoende gebruik van geautomatiseerde hulpmiddelen

Projectbeheersing

7. Beheersing budget

8. Beheersing voortgang

9. Beheersing kwaliteit

10. Beheersing communicatie

11. Beheersing hulpmiddelen

Geen inzicht in de status van het project in relatie tot de begroting

Geen regelmatige controle op de voortgang van het project. Onvoldoende aandacht voor potentiële verstoringen van de voortgang

Dogmatische aanpak. Slechte standaarden en richtlijnen. Procedures niet vastgelegd en geen controle op naleving ervan.

Onduidelijkheid over communicatielijnen (distributie van besprekingsverslagen en mijlpaalproducten)

Onvoldoende aandacht voor het tijdig beschikbaar zijn van infrastructurele voorzieningen

motivatie Gebruikers hebben geen goed beeld van de baten van een project

Technologie Slechte koppeling met het beleid inzake (toekomstige) infrastructuur Eisen inzake infrastructuur zijn onbekend

Onduidelijke koppeling tussen het projectresultaat (wat) en de projectdoelen (waarom)

12. Beheersing bedreigingen Geen open communicatie over twijfels van gesignaleerde tekortkomingen

Tabel 1: Voorbeeld van knelpunten per aandachtsgebied en risicocategorie (bron: zie voetnoot 1)

42 | de EDP-Auditor nummer 4 | 2006

4HERE!RE4WO3IDESOF/RGANIZATIONAL#HANGE

herkennen die het karakter hebben van het beheersen van de lopende activiteiten binnen een IT-outsourcingproject.

4(%(!2$3)$%/&#(!.'%

4(%3/&43)$%/&#(!.'%

Het per aandachtsgebied zoeken naar knelpunten en deze categoriseren brengt structuur in de beoordeling van mogelijke risico’s van een IT-outsourcingproject.

ISABOUTPROCESSES MEANSUREMENTTOOLS STRUCTURESAND PROCEDURES

ISABOUT BUYIN COMMITMENT SELF LEADERSHIP ATTITUDE CREATIVITY AND OVERCOMINGRESISTANCE TOCHANGE

4HEHARDSIDEISABOUT -!.!'%-%.4

De harde en zachte kant van een IT-outsourcingproject

4HESOFTSIDEISABOUT ,%!$%23()0

/RGANIZATION$EVELOPMENT3ERVICESDEALWITHBOTHSIDES

Figuur 2: Harde en zachte kant van een organisatieverandering (Bron: Rotterdam Business School2)

den waarbij de eerste drie zich richten op de relatie tussen het IT-outsourcingproject en de omgeving. De aandachtsgebieden vier tot en met zes hebben betrekking op de opzet en inrichting van het project. In de groep projectbeheersing, de aandachtsgebieden zeven tot en met twaalf, zijn de meer ‘klassieke’ aandachtsgebieden van projectmanagement te

Een IT-outsourcingproject dat de overdracht van IT-diensten regelt van de interne IT-organisatie naar een externe IT-dienstenaanbieder moet gezien worden als een organisatieverandering. Een formelere werkwijze, anders werkende processen, de grotere afstand tussen de helpdesk en de gebruikers zijn kenmerken die deze verandering typeren. Figuur 2 maakt duidelijk wat het verschil is tussen de harde en zachte kant van een organisatieverandering. De knelpuntenanalyse richt zich vooral op de harde kant van een IT-outsourcingproject. Deze harde kant betreft processen, (meet)instrumenten, tooling, structuren en procedures die nodig zijn om de transitie te ondersteunen. De zachte kant komt in de knelpuntenanalyse beperkt aan de orde in de risicocategorie organisatie, acceptatie en motivatie. Maar IT-outsourcingprojecten gaan niet alleen fout door oorzaken aan de harde kant. Weerstand tegen verandering, zelfleiderschap, attitude en betrokkenheid zitten vooral verborgen in de zachte kant van een IT-outsourcingproject.

Doelvariabele

Definitie

Structuur

Delen van een organisatie en de relatie tussen deze delen

Proces

(Een herhaling van) activiteiten

(Informatie) systemen

Geautomatiseerde regels en procedures

Cultuur

Gedrag van mensen in een organisatie

Competenties

Karakteristiek (gewenst) gedrag dat leidt tot effectieve of excellente prestaties

Tabel 2: Veranderdoelen en definities APPROACH

Tell & sell

Directing

Developing

Negotiating

(Rooddruk)

(Blauwdruk)

(Groendruk)

(Geeldruk)

The success of project

Convincing and

Key people who

Create settings for

depends on

stimulating people

make plans

(collective) learning

Change process

Prescriptive (push)

Planned (pull), rational

Learning process

CHARACTERISTIC

Interventions

Structured working

Judging, rewarding,

(within projects),

social meetings

Strategic analysis

Focus on

Procedures and atmosphere

Measuring is knowing

Role type change leader

HRM-expert

Content expert

Foreseen but not guaranteed

Project result was

Discussions, coaching, training Building and maintaining a learning culture

Bringing people with common interests together Power game

Making coalitions

A feasible solution

Process manager sup-

Process manager

porting people

using power

Described, predictable

Envisioned,

Partially unknown,

and guaranteed

not guaranteed

shifting

Tabel 3: veranderaanpakken en hun karakteristieken

43 | de EDP-Auditor nummer 4 | 2006

Nr.

Aandachtsgebied

Risico categorie

Risico (knelpunt)

Impact

Probability

1

Projectdoelstelling

2

Projectdoelstelling

Financieel

Onvoldoende inzicht in de kosten en baten

1

1

Planning

Prioriteit van het project is onbekend

1

1

3

Projectdoelstelling

Technische kwaliteit

Vage formulering van projectdoelen

3

3

4

Projectdoelstelling

Organisatie, acceptatie en motivatie

Gebruikers hebben geen goed beeld van de baten

1

1

5

Projectdoelstelling

Technologie

Slechte koppeling van het beleid inzake (toekomstige) infrastructuur

1

1

6

Projectresultaat

Financieel

Onvoldoende inzicht in (en bewaking van) de kosten en baten van de verschillende delen cq. functies van het projectresultaat

1

1

7

Projectresultaat

Planning

Geen inzicht in (optimale) benodigde tijd en capaciteit voor het bereiken van het projectresultaat

2

2

8

Projectresultaat

Technische kwaliteit

Slechte specificatie functioneel en kwalitatief van projectresultaten

3

3

9

Projectresultaat

Organisatie, acceptatie en motivatie

Ontbreken totaalbeeld bij gebruikers

2

2

10

Projectresultaat

Technologie

Eisen inzake infrastructuur zijn onbekend

1

1

11

Projectomgeving

Financieel

Onduidelijke randvoorwaarden

1

1

12

Projectomgeving

Planning

Geen analyse en acceptatie van startcondities

1

1

13

Projectomgeving

Technische kwaliteit

Onvoldoende ruimte voor effectieve kwaliteitscontrole

1

1

14

Projectomgeving

Organisatie, acceptatie en motivatie

Beperkingen t.a.v. gebruikers die in het project kunnen en mogen participeren

1

2

15

Projectomgeving

Technologie

Geen analyse van de technologische beperkingen

1

1

16

Projectorganisatie

Financieel

Slechte afbakening van verantwoordelijkheden

1

1

17

Projectorganisatie

Planning

Onvoldoende afstemming en geen afspraken over periodieke rapportage

1

1

1

1

18

Projectorganisatie

Technische kwaliteit

Geen scheiding tussen ontwikkeling en controle (functie kwaliteitsbeheersing)

19

Projectorganisatie

Organisatie, acceptatie en motivatie

Onvoldoende aandacht voor een adequate participatie

1

1

20

Projectorganisatie

Technologie

Afstemming met leveranciers onvoldoende geregeld

1

1

21

Projectbemanning

Financieel

Te hoge personeelskosten

1

1

22

Projectbemanning

Planning

Kwalitatief en of kwantitatief onvoldoende personeel

1

1

23

Projectbemanning

Technische kwaliteit

Onvoldoende kennis en ervaring inzake probleemgebied

3

3

24

Projectbemanning

Organisatie, acceptatie en motivatie

Geen opleiding participerende gebruikers

1

1 1

25

Projectbemanning

Technologie

Te laag kennis en ervaringsniveau m.b.t. technologie

1

26

Projectmethode

Financieel

Dogmatische aanpak

1

1

27

Projectmethode

Planning

Onvoldoende adequate planning en voortgangsrapportage

1

1

28

Projectmethode

Technische kwaliteit

Verificatie en validatie onvoldoende gepland

1

1

29

Projectmethode

Organisatie, acceptatie en motivatie

Geen acceptatie van gekozen aanpak door gebruikers, ongestructureerde kennisvergaring

3

2

30

Projectmethode

Technologie

Onvoldoende gebruik van geautomatiseerde hulpmiddelen

1

1

31

Projectbeheersing

Beheersing budget

Geen inzicht in de status van het project in relatie tot de begroting

1

1

32

Projectbeheersing

Beheersing voortgang

Geen regelmatige controle op de voortgang van het project. Onvoldoende aandacht voor potentiële verstoringen van de voortgang

2

2

33

Projectbeheersing

Beheersing kwaliteit

Dogmatische aanpak. Slechte standaarden en richtlijnen. Procedures niet vastgelegd en geen controle op naleving ervan.

1

1

34

Projectbeheersing

1

Projectbeheersing

Onduidelijkheid over communicatielijnen (distributie van besprekingsverslagen en mijlpaalproducten) Onvoldoende aandacht voor het tijdig beschikbaar zijn van infrastructurele voorzieningen

1

35

Beheersing communicatie Beheersing hulpmiddelen

1

1

36

Projectbeheersing

Beheersing bedreigingen

Geen open communicatie over twijfels van gesignaleerde tekortkomingen

1

1

Tabel 4a: Risicoregister voor de risicobeheersing van de harde kant van een IT-outsourcingproject 44 | de EDP-Auditor nummer 4 | 2006

Risico factor

Bevindingen risico (knelpunt)

Risicobeperkende maatregel

Het is niet duidelijk welk doel wordt nagestreefd. Betrokkenen in het project hebben het gevoel doelloos bezig te zijn.

Formuleer duidelijke en concrete projectdoelen en communiceer deze.

B

Projectplanning is een verzameling van losse acties waarbij de samenhang en logica van de acties moeilijk te begrijpen is.

Breng overzicht en samenhang aan in noodzakelijke acties en schat de benodigde tijd in. Leg een duidelijke relatie tussen uit te voeren acties en het te behalen projectresultaat.

A

Niet duidelijk is welk resultaat wordt nagestreefd en aan welke kwaliteitseisen dit resultaat moet voldoen.

Definieer het te behalen projectresultaat concreet en helder. Stel kwaliteitsnormen op waar het projectresultaat aan dient te voldoen.

B

Gebruikers snappen niet waar het project voor is, wat het vertrekpunt is en wat de bestemming moet zijn.

Stel een communicatieplan op hoe gebruikers geïnformeerd worden over het project en voer dit plan ook uit.

Gebruikers vinden dat er muren zijn om het project en dat ze niet de kans krijgen om mee te mogen doen.

Maak het project toegankelijk voor de gebruikers. Stimuleer en faciliteer een actieve bijdrage.

Sommige betrokken sleutelfiguren zijn extern ingehuurd of komen van een andere afdeling. Hierdoor hebben ze niet de benodigde kennis om hun rol in te vullen.

Train de betreffende projectmedewerker(s) of stel (een) nieuwe projectmedewerker(s) aan.

Gebruikers vinden dat er teveel wordt gepusht en dat er te weinig rekening wordt gehouden met omstandigheden.

Stem af over de gewenste aanpak en leg uit waarom deze eventueel anders is dan dat wat de gebruikers wensen. Stel eventueel de aanpak bij.

Geen periodiek overleg over voortgang en ook is de voortgangsrapportage niet juist en compleet.

Zorg voor structurele voortgangscontrole door bijv. het houden van een periodiek voortgangsoverleg. Zorg dat de voortgangsrapportage van een deugdelijke kwaliteit is.

C C A C C C

C C C C C C C C C C C C C A

C C C C C B C C B

C C C C

45 | de EDP-Auditor nummer 4 | 2006

Nr.

Aandachtsgebied

Risico categorie

Risico (knelpunt)

Impact

Probability

37

Developing change approach

The succes of the project depends on …

No creation of settings for collective learning

3

3

38

Developing change approach

Change process …

Hampering learning process

1

1

39

Developing change approach

Interventions …

Wrong interventions. Not enough discussions, coaching, training

3

2

40

Developing change approach

Focus on …

To less focus on building and maintaining a learning culture

1

1

41

Developing change approach

Role type change leader …

Roletype not based on a process manager who is supporting people

3

3

42

Developing change approach

Project result is …

The project resultshould be envisioned, not garanteed. The definition of the project result does not match the change approach.

1

1

43

Tell & sell change approach

The succes of the project depends on …

To less attention for convincing and stimulating people

1

1

44

Tell & sell change approach

Change process …

Change process is not prescriptive

1

1

45

Tell & sell change approach

Interventions …

Wrong interventions. No judging, rewarding, social meetings

1

1

46

Tell & sell change approach

Focus on …

To less focus on procedures and atmosphere

1

1

47

Tell & sell change approach

Role type change leader …

Roletype not based on human resource manager expert

1

1

48

Tell & sell change approach

Project result is …

The project result should be foreseen but not guaranteed. The definition of the project result does not match the change approach.

1

1

Tabel 4b: Risicoregister voor de risicobeheersing van de zachte kant van een IT-outsourcingproject

Een normenkader voor de zachte kant

Deze zachte kant van een IT-outsourcingproject moet dus ook meetbaar worden gemaakt en in een normenkader worden uitgedrukt. Het artikel ‘Wat is de beste veranderaanpak’3, legt uit hoe de best passende veranderaanpak voor een project wordt bepaald. De aanpak verdient afstemming op het veranderdoel. Het artikel onderkent vijf veranderdoelen (zie tabel 2). Er bestaat een sterk verband tussen het veranderdoel en de veranderaanpak. Tabel 3 onderscheidt een aantal veranderaanpakken. De kleuraanduiding van de verschillende veranderaanpakken refereert aan de kleurentheorie van Leon de Caluwé4. De Caluwé hanteert bij zijn kleurentheorie voor organisatieveranderingen een palet van kleuren waarbij elke kleur een specifieke veranderaanpak voorstelt. Elke veranderaanpak kent zijn eigen karakteristieken. Een IT-outsourcingproject dat de overdracht van IT-diensten regelt van de interne IT-organisatie naar een externe IT-dienstenaanbieder, is een verandering waarbij vooral processen en cultuur veranderen. Zoals gezegd zijn een formelere werkwijze, anders werkende processen, de grotere afstand tussen de helpdesk en de gebruikers kenmerken voor het typeren van deze verandering. Volgens het artikel ‘Wat

is beste veranderaanpak’5 zijn de tell & sell en de developing aanpak de twee best passende veranderpakken voor het veranderen van processen en cultuur. De tell & sell aanpak stelt belonen centraal terwijl de developing aanpak het leerproces koestert. De gekozen veranderaanpak voor een IT-outsourcingproject zoals in dit artikel beschreven, dient dan ook vooral karakteristieken te vertonen van de tell & sell en de developing veranderaanpak. Veel voorkomende interventievormen zijn dus oordelen, belonen en sociale bijeenkomsten voor de tell & sell aanpak. Bij de developing aanpak zijn dit interventievormen zoals discussiëren, coachen en trainen. De karakteristieken van de tell & sell en de developing veranderaanpak uit tabel 3 vormen het normenkader voor de zachte kant van een IT-outsourcingproject. Met de knelpuntenanalyse als normenkader voor de harde kant en de karakteristieken van de tell & sell en developing veranderaanpak als normenkader voor de zachte kant beschikt de IT-auditor over een complete set met normen voor het beheersen van de risico’s van een IT-outsourcingproject. De Transition Realtime IT-auditing rapportage In tabel 4a en b zijn de normen voor het meten van de risico’s van de harde en zachte kant van het beschreven IToutsourcingproject verwerkt tot een risicoregister. Naast de

46 | de EDP-Auditor nummer 4 | 2006

Risico factor

Bevindingen risico (knelpunt)

Risicobeperkende maatregel

A

Mensen vinden dat ze geen tijd wordt geboden om te wennen aan de nieuwe situatie en dat ze ook geen tijd krijgen om zich de nieuwe dingen eigen te maken.

Creëer een interventiestructuur waarbinnen collectief leren wordt mogelijk gemaakt. Zorg ervoor dat dit ook zo wordt uitgevoerd.

Mensen vinden dat ze geen tijd krijgen om te wennen aan de nieuwe situatie en dat ze ook geen tijd krijgen om zich de nieuwe dingen eigen te maken. Ze moeten alles zelf uitzoeken. Mogelijkheden om te praten over de nieuwe situatie worden niet geboden en begeleiding is er niet of onvoldoende.

Creëer een interventiestructuur waarbinnen collectief leren wordt mogelijk gemaakt. Zorg ervoor dat dit ook zo wordt uitgevoerd.

De projectmanager roept alleen maar dat er achterstand is op de projectplanning. Projectmedewerkers geven aan dat ze niet goed begrijpen wat hun bijdrage moet zijn.

Begeleid of coach de projectmanager bij het hanteren van een meer participatieve stijl van transitiemanagement of stel een nieuwe projectmanager aan.

C

B

C A

C

C C C C C C

elementen aandachtsgebied, risicocategorie en risico die structuur geven en de risico’s beschrijven, bevat het register ook de elementen impact en probability (mogelijkheid van optreden). Impact en probability zijn in cijfers 1 (hoog), 2 (medium) en 3 (laag) uitgedrukt. Vermenigvuldiging van de cijfers van de impact en probability levert een risicofactor op. A-risico’s - de risicofactor is > 6 - zijn risico’s van de hoogste categorie terwijl C-risico’s - risicofactor is < 4 - risico’s van de laagste categorie zijn. Het rapportagevoorbeeld volgens tabel 4a en b is een momentopname tijdens de transitiefase van het IT-outsourcingproject waaraan wordt gerefereerd in dit artikel.

het project in kaart. Hierdoor is het mogelijk om bij te sturen met risicobeperkende maatregelen en risico’s terug te brengen tot een acceptabel niveau. Hiermee vergroot men de slaagkans van het IT-outsourcingproject. ■ Noten 1 Swinkels G.J.P. en Gielen L.J.M.W. Knelpuntenanalyse projectmanagement: Handboek EDP-auditing. 2 Rotterdam Business School: module Management of Technology voor MBA en Master studenten. 3 Reitsma E, Jansen P, Van der Werf E, Van den Steenhoven H. Wat is de beste veranderaanpak: Management Executive, juli / augustus 2004. 4 Caluwé L. de & Vermaak H. (2003). Leren veranderen. Alphen a/d Rijn:

Risico’s 1 tot en met 36 komen voort uit de knelpuntenanalyse. Risico’s 37 tot en met 48 zijn afgeleid van de karakteristieken van de developing en tell & sell veranderaanpak uit tabel 3. De kolom bevindingen geeft de risico’s weer en de kolom risicobeperkende maatregel de uit te voeren corrigerende acties.

Kluwer. 5 Zie voetnoot 3

Conclusie Een IT-outsourcingproject kent vele risico’s en levert dan ook lang niet altijd het gewenste resultaat. Met een Transition Realtime IT-audit brengt de IT-auditor zowel de risico’s van de harde als de zachte kant van de transitiefase van 47 | de EDP-Auditor nummer 4 | 2006

Reacties op het artikel zijn welkom via [email protected].

Van de Norea

NOREA-Richtlijn oordelen van gekwalificeerde IT-auditors Jan Roodnat en Peter Verstege*

De Werkgroep Oordelen van NOREA kreeg in 2001 van het Bestuur van NOREA tot opdracht ‘Het creeren van een stelsel van duidelijke oordelen (synoniemen: certificaten, verklaringen, mededelingen, opinions), te hanteren door gekwalificeerde IT-auditors wanneer zij in hun attest(certificerings)functie rapporteren over audit-objecten. Dit stelsel moet alle mogelijke oordelen afdekken.’ In 2003 is de ‘Handreiking Oordelen van gekwalificeerde IT-auditors’ aan de leden van NOREA aangeboden. De in de handreiking geformuleerde uitgangspunten zijn nu uitgewerkt in een richtlijn. Hierbij is rekening gehouden met de praktijkervaringen met de toepassing van de handreiking, de van de leden ontvangen commentaren op de handreiking en de internationale ontwikkelingen op het gebied van assurance-opdrachten. Bij de uitwerking van de richtlijn zijn onder meer de volgende uitgangspunten gehanteerd: • Volgen van het ‘Stramien voor assurance-opdrachten’ zoals opgenomen in de IFAC-richtlijnen.

De richtlijn is van toepassing op assurance-opdrachten zoals gedefinieerd in het stramien1. Gelet op het grote aantal opdrachten dat IT-auditors uitvoeren voor opdrachtgevers die tevens verantwoordelijk zijn voor het te onderzoeken object wordt de toepassing van richtlijn in deze situatie ook dringend geadviseerd2. De richtlijn staat het afgeven van oordelen door IT-auditors werkzaam bij interne- en overheidsdiensten toe3. Tevens biedt de richtlijn voldoende mogelijkheden om binnen organisaties gehanteerde specifieke stelsels voor het formuleren van oordelen te blijven gebruiken.

• Oordeel per onderzocht kwaliteitsaspect en / of samenvattend oordeel

IT-auditors voeren een breed scala aan assurance-opdrachten uit. Deze kunnen gericht zijn op 1 of meerdere (kwaliteits)aspecten. De IT-auditor dient zijn oordeel per onderzocht (kwaliteits)aspect en over het geheel van de onderzochte aspecten tot uitdrukking te brengen. Indien het oordeel over alle onderzochten aspecten eensluidend is kan worden volstaan met het samenvattende oordeel. • Hanteren twee niveaus van zekerheid

In lijn met het Stramien voor assurance-opdrachten worden twee soorten van assurance-opdrachten onderkend: de assurance-opdracht tot het verkrijgen van een redelijke mate en de assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid4. Bij een assurance-opdracht met beperkte zekerheid dient de IT-auditor zijn oordeel negatief te formuleren. • Beperkt aantal mogelijke strekkingen oordelen

Als mogelijke strekking voor de oordelen is gekozen voor: goedkeuring, beperking, afkeuring en oordeelonthouding. Een goedkeurend oordeel met beperking is wenselijk om een afwijkend oordeel op een onderzocht (kwaliteits)aspect tot uitdrukking te brengen. Dit geldt in het bijzonder voor het samenvattende oordeel. De introductie van een oordeelonthouding is noodzakelijk in die omstandigheden waarin de IT-auditor niet tot een oordeel kan komen en de oorzaken daarvoor buiten de macht van de verantwoordelijke partij 48 | de EDP-Auditor nummer 4 | 2006

liggen. Geadviseerd wordt om uiterst terughoudend om te gaan met de oordeelonthouding. Steeds meer verantwoorden organisaties zich over de door haar verrichte activiteiten en / of bereikte doelstellingen op IT-gebied. In de richtlijn is een oordeel bij een verantwoording uitgewerkt. • Standaard redactie oordeel

In de richtlijn zijn per strekking van het oordeel de daarvoor te gebruiken kernwoorden van het oordeel opgenomen. Daarnaast is gekozen voor het standaardiseren van de redactie van het oordeel als geheel. Hiertoe behoren aspecten als opdracht, onderzoeksobject, reikwijdte onderzoek ((kwaliteits) aspecten, normen, onderzoeksperiode), uitgevoerde werkzaamheden, etc. Deze standaardisatie is vooral wenselijk tegen de achtergrond van het brede scala aan assurance-opdrachten dat door IT-auditors wordt uitgevoerd en waarvoor, in vergelijking met bijvoorbeeld financial-auditors, in veel mindere mate sprake is van uniforme regelgeving rond objecten van onderzoek. In geval van een assurance-opdracht is het gebruik van de in de richtlijn aangegeven elementen van het oordeel verplicht. Het toepassen van de gestandaardiseerde redactie van het oordeel is alleen verplicht bij een assurance-opdracht waarbij de beoogde gebruikers van het oordeel onbekend zijn. De richtlijn is in concept ter goedkeuring aan het Bestuur van NOREA voorgelegd. Naar verwachting zal de richtlijn op korte termijn aan de Algemene Ledenvergadering van NOREA ter vaststelling worden voorgelegd5.

* Mr. Drs. J. (Jan) Roodnat RE RA is sedert 1989

woordelijke partij, in de uitkomst van de eva-

4 Stramien voor assurance-opdrachten, par 11:

werkzaam bij EDP Audit Pool. Drs. Ing. P.

luatie van of de toetsing van het object van

Het onderscheid in de mate van zekerheid

(Peter) D. Verstege RE RA is sedert 2000 werk-

onderzoek ten opzichte van de criteria, te ver-

wordt bepaald door de omstandigheden

zaam bij Deloitte Accountants B.V. Zij maken

sterken.’

waarin de opdracht wordt uitgevoerd hier-

respectievelijk als lid en voorzitter deel uit van de Werkgroep Oordelen van NOREA.

2 Stramien voor assurance-opdrachten, par. 16:

kenmerken van het object van onderzoek,

duid als “advies-opdracht”. Opdrachtgever en

relevante kenmerken van de verantwoorde-

Noten

accountant kunnen overeenkomen dat de

1 Stramien voor assurance-opdrachten, par. 7:

uitgangspunten voor assurance-opdrachten

‘Een “assurance-opdracht” is een opdracht waarbij een accountant een conclusie formu-

onder begrepen de opdrachtaanvaarding, de

De betreffende opdrachten worden aange-

op dit type opdracht van toepassing zijn. 3 Nadere uitwerking van richtlijnen is voorbe-

lijke partij en zijn omgeving, etc. 5 De auteurs danken de leden van de Werkgroep Oordelen van NOREA en de leden van de Vaktechnische Commissie van NOREA

leert die is bedoeld om het vertrouwen van

houden aan het Bestuur en de Commissie

voor hun inbreng bij het tot stand brengen

de beoogde gebruikers, niet zijnde de verant-

Beroepsethiek van NOREA.

van dit artikel.

Eerste keurmerk ‘Privacy-Audit-Proof’ verleend Op basis van een positief oordeel van een ‘privacy-auditor’ is voor het eerst het keurmerk ‘Privacy-Audit-Proof’ uitgereikt aan Progis (Projectorganisatie Geluidsisolatie Schiphol van het Ministerie van Verkeer en Waterstaat). De audit is uitgevoerd door Mazars en heeft steeds betrekking op een specifieke verwerking, zoals deze is aangemeld bij het College bescherming persoonsgegevens. Het oordeel van de privacy-auditor is gebaseerd op de NIVRA/NOREA Richtlijn 3600 ‘Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (Privacyaudits)’. Doel van deze richtlijn is grondslagen vaststellen en aanwijzingen geven voor de uitvoering van assurance-opdrachten op dit terrein.

De richtlijn is een antwoord op de toenemende vraag uit de markt naar een onafhankelijk oordeel van een derde over het stelsel van maatregelen en procedures van een organisatie met betrekking tot de bescherming van persoonsgegevens. Het College bescherming persoonsgegevens (CBP) hecht veel waarde aan het certificaat in het kader van het streven om bedrijven en organisaties hun eigen verantwoordelijkheid te doen nemen voor het nakomen van de Wet bescherming persoonsgegevens (WBP). Het certificaat kan naast vertrouwen van de consument (imagoverbetering) voor organisaties ook de kwaliteit van de bedrijfsvoering positief beïnvloeden.

‘Maturity of Security’ 7 december 2006, Hotel Figi Zeist Onder het thema ‘Maturity of Security’ houden ISACA, GvIB, NOREA en Platform Informatiebeveiliging op 7 december het jaarlijkse securitycongres. In hotel Figi te Zeist wordt u vanaf 12:30 uur verwacht voor een middag- en avondvullend programma. Tijdens het congres wordt wederom de Joop Bautz Award uitgereikt. Key-note sprekers zijn Albert Brouwer en Ronald Paans. In maar liefst acht parallelsessies

wordt u daarnaast bijgepraat door vooraanstaande sprekers op het gebied van informatiebeveiliging over actuele onderwerpen binnen het thema. Daarbij moet u onder meer denken aan de nieuwe code voor informatiebeveiliging en social engineering. Het definitieve programma ontvangt u met de uitnodiging per post en is ook te raadplegen via www.norea.nl.

49 | de EDP-Auditor nummer 4 | 2006

NOREA Algemene Vergadering op woensdag 13 december 2006 De eerstvolgende Algemene Vergadering van de NOREA vindt op woensdag 13 december plaats in ‘de Eenhoorn’ te Amersfoort. Op de agenda staan onder meer de presentatie van de Handreiking Automatiseringscontracten en de conceptrichtlijn Oordelen. Daarnaast worden het beleidsplan en de begroting 2007 behandeld. De definitieve uitnodiging en agenda ontvangen de leden per post, terwijl de vergaderstukken vanaf 1 december ook via de NOREA website zijn te raadplegen.

‘IT-auditors willen toezicht op stemmachines’ De NOREA heeft zich middels een persbericht gemengd in de discussie over de betrouwbaarheid van stemcomputers. Onder andere in Automatisering Gids en via de TROS radio is hier aandacht aan besteed. In ‘de Peiling’ (Automatisering Gids van 20 oktober 2006) wordt de vraag gesteld: ‘Verhoogt het uw vertrouwen in verkiezingen per stemcomputer als IT-auditors toezicht zouden houden?’ Uitslag: Ja 51%; Nee 26%; Is hoog genoeg: 23%.

Vacature vaktechnisch medewerker IT-assurance (RE/RA) De NOREA en het Koninklijk NIVRA zoeken per direct een vaktechnisch medewerker IT-assurance voor minimaal 32 uur per week. U ontwikkelt projectvoorstellen op het gebied van IT-assurance en geeft hier uitvoering aan in samenwerking met vaktechnische commissies van NOREA en NIVRA. U volgt de ontwikkelingen op het gebied van ITGovernance en Information Risk Management op de voet. Op basis van die kennis, uw contacten met commissies, universiteiten en andere onderzoeksinstituten bereid u publicaties voor waarin NOREA en NIVRA standpunten innemen over de door u geïdentificeerde onderwerpen. Kwalificaties: • Bij voorkeur een afgeronde postdoctorale opleiding tot Register EDP-Auditor en Register Accountant; • Indien u over één kwalificatie

beschikt, aantoonbare affiniteit met de andere discipline; • Minimaal 5 jaar werkervaring bij voorkeur in de IT-assurance praktijk of een aanverwante discipline; • Praktische uitvoerder met een dienstverlenende instelling; • Praktische en theoretische up-todate kennis van de ontwikkelingen in de IT-assurance; • Uitstekende communicatieve vaardigheden in woord en geschrift, in de Nederlandse en Engelse taal. Wij bieden: Een zeer professionele werkomgeving in een informele sfeer. Werken in een resultaatgerichte omgeving tegen marktconforme arbeidsvoorwaarden. Het betreft een functie voor 32 uur, maar een fulltime dienstverband is desgewenst mogelijk. Nadere informatie over de functie: drs. W.J.A. Olthof, directeur NOREA, tel. 020-3010385

50 | de EDP-Auditor nummer 4 | 2006

U kunt uw sollicicitatie richten aan Vijzelaar en Van Eijkeren ter attentie van de heer M.S. Beemsterboer, Parklaan 2, 1406 KL Bussum. tel. 032-692 5530, fax 032-693 6019, e-mail: [email protected], internet www.venve.nl.

Nieuwe leden In de maand december 2006 worden 37 nieuwe leden ingeschreven in het register van gekwalificeerde IT-auditors (RE’s). De namen van deze nieuwe leden verschijnen in de EDP-Auditor nummer 1/2007.