Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA
Redactie M. M. Buijs RE RI drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE
Bureauredactie D. Mensink (Lensink Van Berkel Communicatie)
[email protected] Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl
Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2008 € 88,75 excl. btw. (Studentenprijs € 31,80) De verzendtoeslag voor België bedraagt € 7,37 en voor de Nederlandse Antillen en overige landen € 22,85. De prijs van losse nummers is € 24,95 excl. btw. Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd. Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail:
[email protected]
Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583
Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl
[email protected] Geldend advertentietarief 1-1-2008 Vormgeving Studio Putto BNO, De Rijp
1
4 Van de redactie 5 Leren schrijven Column Chris Wauters
6 Introductie Web 2.0 Mauriche Kroos en Nils van der Laan
11 Uitbesteding bij financiële ondernemingen Jeroen van Puijenbroek
21 CobiT en rapporteren over IT Governance Bob van Kuijck en Bart Overbeek
27 Opzet van wereldwijde software compliance audits bij Philips Nan Zevenhek
32 Samenwerking tussen business, project en auditors Margarethe van der Maat, Luc van Peer, Eric Bijlsma en Ivo Brand
36 Het auditen van corporate governance Ruth van den Heuvel-Slappendel
44 Governance van interdepartementale IT-projecten Nathalie Timmer en Ivo Kerkkamp
52 IT-auditing en de praktijk Boekbespreking door Tjeerd Inia, Lucien van Riel en Olivier Tielen
54 Een dag uit het leven van Ronald van Langen 56 ISF World Congress 2007 IT-auditors bijeen
58 Uit de opleidingen 58 Van de NOREA
jaargang 17 - 2008
de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors
Inhoud
Van de redactie
Variëteit troef
V
ariëteit is troef in deze eerste editie van ‘De EDP-auditor’ van 2008. Chris Wauters bevraagt ons in zijn column over de, niet onbelangrijk, schrijverskwaliteiten van IT-auditors. Een uitdaging dus voor alle auteurs verder in dit nummer. De uitdaging wordt om te beginnen opgepakt door Mauriche Kroos en Nils van der Laan die ons meenemen op een reis door ‘Web 2.0’. Weg met de eenzijdigheid. Actieve betrokkenheid van de gebruikers van informatie is daar een belangrijk devies. Vervolgens haakt Jeroen van Puijenbroek in op een andere trend: het uitbesteden van taken en activiteiten. Voor financiële instellingen is daarbij van belang dat zij blijven binnen de kaders van Wet Financieel Toezicht (Wft). Voor het verrichten van audits in deze context is, zo stelt Jeroen, een voldoende mate van juridische kennis noodzakelijk. Bob van Kuijck en Bart Overbeek bespreken aan de hand van een praktijksituatie de verdiensten van CobiT bij het rapporteren over IT governance. Binnen de VION-groep heeft CobiT naar hun mening zijn nut bewezen. Ook de volgende bijdrage van de hand van Nan Zevenhek beschrijft een praktijksituatie bij een groot concern. Zij gaat in op de opzet van wereldwijde software compliance audits bij Philips. Het gaat daarbij om de vraag of bedrijven voldoen aan de bepalingen van hun softwarelicenties. En dan komt de overheid aan de orde. Daar waar ministeries steeds meer amenwerken bij het verzorgen van de informatievoorziening aan de burger ontstaat er ook meer behoefte aan sturing van grote interdepartementale IT-projecten. Ivo Kerkkamp en Nathalie Timmer presentering een raamwerk waarmee deze sturing vormgegeven kan worden. Tenslotte dan terug naar de financiële wereld en terug naar corporate gover-
nance met de bijdrage van Margarethe van der Maat, Luc van Peer, Eric Bijlsma en Ivo Brand. Samenvoeging van systemen van fuserende organisatieonderdelen leidt tot grootschalige conversietrajecten. Aan de hand van een voorbeeld van zo een traject beschrijven de auteurs hoe samenwerking tussen de business, het project en de interne auditor kan leiden tot een beheerste uitvoering. En uiteraard sluiten we het nummer af met inmiddels vertrouwde rubrieken als de boekbespreking, Een dag uit het leven van…, Uit de opleidingen en nieuws van de NOREA. In Uit de opleidingen deze keer uitvoerig aandacht voor het afscheid van voormalig NOREA-voorzitter en erelid Kor Mollema als hoogleraar ITauditing aan de Erasmus Universiteit. In Van de NOREA een terugblik op de laatste ledenvergadering en wat daaruit naar voren is gekomen.
4 | de EDP-Auditor nummer 1 | 2008
Column
Leren schrijven Chris Wauters
W
e weten het waarschijnlijk nog allemaal. We zaten in de eerste klas, of voor de jongere auditors onder ons groep 3, en de juf of meester leerde ons voor het eerst schrijven. Onze eerste woordjes op papier waren met vlekkerige vul- of kroontjespennen. Na heel veel oefenen werden woordjes zinnen en kregen we de opdracht om een opstel te schrijven. Dat viel niet mee. Uren zitten turen naar een leeg vel papier en met veel bloed zweet en tranen lukte het dan om een half A4’tje te vullen. Nu is dat wel anders. We produceren het ene auditrapport na het andere. Schrijven is dan ook één van de vaardigheden die we misschien wel het meest in ons dagelijks werk gebruiken. We besteden dan ook veel tijd aan onze rapporten. Ze moeten vaktechnisch in orde zijn en onze bevindingen en conclusies formuleren we zo zorgvuldig mogelijk. Natuurlijk kennen we als deskundig auditor nagenoeg alle ingewikkelde normatiek en hebben we veel verstand van complexe beheersingsvraagstukken. Maar hoe is het eigenlijk gesteld met onze taalvaardigheid en taalkennis? Zouden we allemaal de veelbesproken ‘taaltoets’ halen? Wat weten we bijvoorbeeld van lijdende vormen, naamwoordstijlen en tangconstructies? Moeten we deze nu wel of niet gebruiken in onze auditrapporten? En weten we hoe we een tekst logisch opbouwen? Dit is in onze IT-auditopleiding vast niet behandeld. Opdrachtgevers klagen regelmatig over rapporten van auditors. Conclusies en aanbevelingen zijn niet helder, rapporten staan bol van het jargon en door de vele detailbevindingen zie je door de bomen het bos niet meer. Onze rapport zijn hierdoor soms gewoonweg niet te begrijpen. Laatst kreeg ik een vraag van de 5 | de EDP-Auditor nummer 1 | 2008
hoofddirectie van een publieke organisatie om in gewone mensentaal uit te leggen wat nu precies de conclusies en aanbevelingen betekenden van een beveiligingsaudit. Het rapport van meer dan 100 pagina’s was vaktechnisch zeer correct, maar het gerenommeerde accountantskantoor was vergeten dat de klant het rapport ook nog moest begrijpen om er iets mee te kunnen doen. Ook een zorgelijke trend voor onze rapporten is de uit Amerika overwaaiende claimcultuur. We doen dan onze uiterste best om zo te formuleren dat wij als auditor zo min mogelijk risico lopen. Zo zie je bijvoorbeeld dat we bij sommige kritische rapporten (on)bewust vaag gaan formuleren. We trekken dan een rookgordijn op van dubbele ontkenningen (‘we hebben niet geconstateerd dat de maatregelen niet zijn getroffen’) en onbegrijpelijk lange zinnen, waar we in het midden laten wie iets vindt en over wie het gaat. Wel zo veilig voor ons, maar niet erg duidelijk voor de klant. Kunnen we hier nu niets aan doen? Om onze vaktechniek op peil te houden hebben we de richtlijn Permanente Educatie (PE) in het leven geroepen. Volgens de letter van het reglement zijn ‘sociale of andere niet strikt vaktechnische vaardigheden’ zeer belangrijk in ons werk, maar vallen ze niet onder deze richtlijn. Een gemiste kans lijkt me. Een cursus schrijfvaardigheid is een absolute must voor iedere auditor en zou juist extra PE bonuspunten moeten opleveren. Opnieuw leren schrijven dus! Misschien iets voor de nieuwe PErichtlijn?
Artikel
Introductie Web 2.0
Mauriche Kroos en Nils van der Laan
Sinds het ontstaan in de jaren 60 heeft het Internet een meer dan voorspoedige ontwikkeling doorgemaakt. De introductie van het World Wide Web was daarbij een bepalende factor. Inmiddels is het World Wide Web zo uitgegroeid, dat niet meer de technologie, maar het feitelijke gebruik leidend is. Dit artikel geeft een indruk van de nieuwe ontwikkelingen die bekend staan onder de noemer ‘Web 2.0’.
Auteurs Ing. M.R. (Mauriche) Kroos RE CISSP is Information Security Manager bij
Het World Wide Web, in 1989 bedacht door Tim BernersLee en op het Internet geïntroduceerd op 6 augustus 1991. Oorspronkelijk opgezet voor het uitwisselen van informatie tussen universiteiten en onderzoeksinstellingen en in eerste instantie vooral een bron van statische informatie. Gebruikers kregen gaandeweg echter steeds meer invloed op wat zij te zien kregen en hoe zij dit wilden zien. Wat lange tijd ongewijzigd bleef, was dat het vooral om éénrichtingverkeer ging. Er bestond een strikte scheiding tussen publicisten en gebruikers van informatie. De meest recente ontwikkeling is echter dat bezoekers van sites niet langer alleen informatie consumeren, maar zelf ook informatie toevoegen. Deze nieuwe fase in de ontwikkeling van het Web wordt, samen met een aantal sociale en technologische aspecten die aan deze ontwikkeling verbonden zijn, veelal aangeduid met de term ‘Web 2.0’. Twee-punt-nul? De term Web 2.0 verwijst naar een nieuwe stap in de ontwikkeling van het Web, waarbij termen als participatie en ‘user-content’ kernwoorden zijn. Het is moeilijk, zo niet onmogelijk, om een exacte, allesomvattende omschrijving te geven; Web 2.0 is eerder een begrip dan een gedefinieerde standaard. Voor de één verwijst Web 2.0 naar een marketing hype, voor de ander is het een fundamentele verandering in de manier waarop webtechnologie wordt toegepast. Uiteindelijk is de toevoeging ‘2.0’ wellicht meer een verwijzing naar een gevoel van verandering en vernieuwing.
Ordina BPO en is vanuit die rol mede verantwoordelijk voor informatiebeveiliging vanuit de afdeling Security & Compliance. Hij heeft negen jaar ervaring als IT-auditor (onder andere bij Ernst & Young EDP Audit en Fortis Audit Services). N.R.M.J. (Nils) van der Laan RE is Information Security Specialist bij ASML, wereldmarktleider op het gebied van lithografiesystemen voor de halfgeleiderindustrie. Hij heeft tien jaar ervaring als IT-auditor (onder andere bij Ernst & Young EDP Audit en Audit Rabobank Groep) en is specialist op het gebied van informatiebeveiliging, zowel waar het de organisatorische als technische kant betreft. De auteurs hebben het artikel op persoonlijke titel geschreven.
Hoewel een eenduidige definitie dus niet te geven is, delen Web 2.0-websites (in de regel) wel een aantal eigenschappen: • Ten eerste gaat het, dat moge duidelijk zijn, om toepassingen die volledig web-based zijn; hoewel het niet ondenkbaar is dat ook businessapplicaties, die niet webbased zijn, toch gebruik kunnen maken van Web 2.0-technologie. • De content wordt geleverd door de bezoekers van de site; het platform door de aanbieders. • Centrale redactie van de content ontbreekt. Enige vorm van centrale ‘moderatie’ is in een aantal gevallen wel aanwezig, waarmee in die gevallen nog enige vorm van kwaliteitsborging aanwezig is. Sites zoals Wikipedia steunen voor deze kwaliteitsborging op de aanname dat gebruikers elkaars content aanvullen en corrigeren.
6 | de EDP-Auditor nummer 1 | 2008
functionele en technische platform. De gebruikers geven verder vorm aan de inhoud en vormen daarmee het bestaansrecht van de site. Een vergelijkbare site die recentelijk sterk in opkomst is, is Plaxo [3]. Hier delen gebruikers niet alleen contacten, maar ook informatie over interesses, hobby’s en zelfs muziekvoorkeuren.
Afbeelding 1: YouTube • De toegang is over het algemeen zeer open. Iedereen mag de sites bezoeken, bekijken, commentaar leveren en content toevoegen, soms anoniem en soms na registratie. Vaak is het zelfs niet mogelijk om bezoekers uit te sluiten. • Meestal kennen bezoekers elkaar niet of niet direct (met uitzondering van Social Networking sites zoals LinkedIn, Hyves, of Facebook). • In veel gevallen bieden Web 2.0 sites uitgebreide mogelijkheden (in de vorm van goed beschreven API’s, Application Programming Interfaces) voor uitbreiding of informatie-uitwisseling met andere sites. Dit is bijvoorbeeld het geval bij Google Maps en Facebook. Verschijningsvormen In de voorgaande paragraaf is al een aantal sites genoemd die het stempel Web 2.0 dragen. Natuurlijk zijn er meer voorbeelden van websites die in meer of mindere mate het begrip Web 2.0 verduidelijken. Het populaire YouTube [1], een site voor het bekijken, plaatsen en becommentariëren van videofragmenten (zie Afbeelding 2), is wellicht één van de meeste bekende voorbeelden. Deze kan slechts bestaan door de actieve bijdrage van bezoekers. Omdat steeds nieuwe video’s door bezoekers worden geplaatst, blijft YouTube interessant. Hierdoor blijven bezoekers terugkomen; een perfect middel voor virale marketing1. Daarnaast maken steeds meer sites gebruik van de video’s die op YouTube zijn geplaatst. Niet door deze over te nemen, maar door te ‘linken’ naar YouTube. Daarmee hebben de beheerders van YouTube dus veel invloed op hoe gebruikers de video’s uiteindelijk op hun scherm krijgen. Google zag de (reclame)potentie van YouTube en kocht de site in oktober 2006 van de bedenkers voor een bedrag van 1,65 miljard dollar. Een ander voorbeeld is LinkedIn [2], een social networking website voor het onderhouden van zakelijke contacten (met bijvoorbeeld businesspartners, oud-studiegenoten en (ex-)collega’s). Bij LinkedIn wordt de inhoud, met uitzondering van de advertenties, gedomineerd door bezoekers die hun eigen gegevens plaatsen en vervolgens zelf contact leggen met bekenden, geïnteresseerden of toevallige bezoekers van de website. De bemoeienis van het bedrijf achter LinkedIn is hierbij beperkt. LinkedIn biedt in feite alleen het
Een heel interessant voorbeeld van een Web 2.0-toepassing is Google Maps [4]. Google Maps is in de basis ‘niet meer’ dan een database vol met kaartgegevens en satellietfoto’s. Google Maps kent echter twee belangrijke faciliteiten die de kwalificatie Web 2.0 legitimeren. Ten eerste kunnen gebruikers zelf kaartgegevens toevoegen. Hiervoor heeft Maps de optie ‘mijn kaarten’. Deze kaarten kunnen persoonlijke informatie projecteren op de kaarten van Google Maps. De door gebruikers toegevoegde informatie kan vervolgens worden gedeeld met andere gebruikers. Deze mogelijkheid kan worden uitgebreid door het creëren van zogenaamde ‘content layers’, waarmee gegevens uit bijvoorbeeld een database worden geprojecteerd op de Google Maps kaarten. Een goed voorbeeld hiervan is de toevoeging van informatie van Funda (zie Afbeelding 3). Hiermee is in één oogopslag te zien welke huizen in een bepaalde buurt te koop staan. Een dergelijke toepassing heet een ‘mashup’. Deze mashups zorgen vaak voor nieuwe, interessante en nuttige toepassingen. Zo biedt Misdaadkaart [5] een kaart van Nederland waarop de actuele misdaden (voor zover bekend uiteraard) worden geprojecteerd. Meer voorbeelden van op Google Maps gebaseerde mashups zijn te vinden op Nederkaart [6]. Om de content layers mogelijk te maken, biedt Google een uitgebreide API voor Google Maps. Op basis van deze API zijn niet alleen layers binnen de Google Maps site zelf mogelijk, maar is het ook mogelijk om zelf websites te bouwen die gebruik maken van Google Maps functionaliteit. Buiten de toepassingen zelf ontstaan ook steeds meer hulpmiddelen om zelf, via het web, mashups te maken. Zo heeft Yahoo! de website Yahoo! Pipes [7] en Microsoft zijn eigen Popfly [8] (zie hiervoor Afbeeldingen 4 en 5). Via deze sites, eigenlijk web-based ontwikkelomgevingen, kunnen gebruikers op een relatief simpele manier informatiebronnen aan elkaar koppelen en zo nieuwe toepassingen creëren (zoals bijvoorbeeld misdaadkaart.nl). En dit alles omdat al deze informatiebronnen via eigen API’s toegang van ‘buitenaf’ mogelijk maken. Een kijkje onder de motorkap Web 2.0 heeft weinig te maken met vernieuwing van technische infrastructuren of platforms. Deze zijn in de regel niet anders dan bij de meer traditionele webtoepassingen. Vaak worden echter wel nieuwe programmeertalen, -frameworks en -technieken gebruikt. Web 2.0 steunt voor een groot deel op de open standaarden HTML en CSS (Cascading Style Sheets, een technologie
7 | de EDP-Auditor nummer 1 | 2008
Artikel in gebruikersvriendelijkheid. Ze kunnen zich op deze manier namelijk steeds meer gaan gedragen op manieren die gebruikers al gewend zijn van ‘normale’ applicaties. Ook geeft het grote voordelen wanneer webapplicaties worden gebruikt vanaf netwerken waar de bandbreedte beperkt is (zoals mobiele netwerken), waardoor het toepassingsgebied flink groter is geworden. Wat overigens opvallend is, is dat het idee achter AJAX al meer dan tien jaar bestaat2. Pas de laatste paar jaren wordt AJAX echter op grote schaal toegepast en is er eigenlijk geen (populaire) website meer die zonder AJAX zijn werk kan doen. In de praktijk wordt AJAX geïmplementeerd door een combinatie van HTML en CSS voor de opmaak van de webpagina, HTTP voor de communicatie tussen server en webclient en Javascipt voor de programmeerlogica aan de kant van de webclient.
Afbeelding 2: Google Maps in combinatie met Funda-informatie (Bron: google maps) voor het opmaken van webpagina’s). Eén van de belangrijkste technieken, die eigenlijk de basis vormt voor de mogelijkheden die Web 2.0 toepassingen op dit moment bieden, is AJAX. AJAX is een afkorting voor ‘Asynchronous Javascript and XML’. Het uitweiden over deze techniek gaat te ver voor dit artikel. Het komt er in het kort op neer dat het inzetten van AJAX het onder andere mogelijk maakt om delen van een webpagina, dus niet meer de gehele pagina in één keer, te verversen. Dit gebeurt meestal op basis van input van de gebruiker. Een simpel voorbeeld hiervan is het scherm voor het maken van een nieuw mailbericht in Google Mail. Bij het invoeren van de geadresseerde, verschijnt bij elke ingetoetste letter een lijstje van mogelijke namen uit het adresboek. Dit zonder dat de webpagina opnieuw geladen wordt. Dit lijkt niet wereldschokkend, maar voor webapplicaties was deze mogelijkheid een flinke stap voorwaarts
AJAX vormt ook steeds vaker de basis voor de hulpmiddelen die ontwikkelaars gebruiken. Wat de programmeertalen en -frameworks betreft, is het streven vaak om op een zo simpel mogelijke wijze nieuwe dingen te creëren. Programmeertalen als het objectgeoriënteerde Ruby en het hiermee verbonden framework ‘Ruby on Rails’ zijn nieuwe ontwikkelingen die duidelijk als vernieuwend kunnen worden aangemerkt. Ruby on Rails, ook vaak aangeduid als RoR, is een raamwerk dat bedoeld is om snel en efficiënt webtoepassingen op basis van de programmeertaal Ruby te ontwikkelen. Uitgangspunt bij RoR is de scheiding van businesslogica, presentatie en interactie met de gebruiker (de zogenaamde ‘ModelView-Controller’ architectuur, die overigens een stuk ouder is dan RoR). Voordeel hiervan is dat relatief simpel aanpassingen aan één van de lagen kunnen worden doorgevoerd zonder dat andere lagen daar last van hebben. Risico’s (gezien door de ogen van de auditor). De toepassing van nieuwe webtechnologieën heeft vaak tot gevolg dat slimme hackers op een nog slimmere wijze toegang kunnen krijgen tot nog meer kritische (bedrijfs)gegevens en andere informatie. De populariteit van Web 2.0 heeft de afgelopen jaren een grote vlucht genomen en is daardoor ook steeds vaker het doelwit van aanvallen. De komende jaren zal het speelveld van hackers logischerwijs steeds meer worden uitgebreid met het uitbuiten van zwakke plekken Web 2.0 technologieën in webtoepassingen. Aan de introductie van Web 2.0toepassingen zijn diverse risico’s verbonden. Veel van deze risico’s
Afbeelding 3: Yahoo Pipes 8 | de EDP-Auditor nummer 1 | 2008
Afbeelding 4: Microsoft Popfly zijn gerelateerd aan informatiebeveiliging, zoals onder andere: • ‘Pervasive content’ Een inherent risico aan het gebruik van Web 2.0 toepassingen is het feit dat data niet meer centraal op een punt hoeft te zijn opgeslagen. Bronnen van informatie kunnen over het gehele internet verspreid zijn. Dit heeft tot gevolg dat ook hier de kwaliteit van de informatiebeveiliging afhankelijk is van de zwakste schakel in het geheel. • ‘Pervasive logic’ Naast decentrale data, is bij mashups sprake van decentrale logica. Mashups maken immers gebruik van functionaliteit van andere websites. De eigenaar van de mashup heeft geen invloed op een (vaak belangrijk) deel van de werking van de onderliggende websites (zoals bijvoorbeeld Google Maps). • Profiling (het verzamelen van informatie) Door het handig zoeken in diverse websites is het relatief eenvoudig om een persoon te ‘profilen’ en zodoende veel informatie te verzamelen. Zo bevat LinkedIn gegevens over iemands carrière, bevatten sites als Hyves vaak persoonlijke foto’s en andere persoonlijke informatie en kunnen andere websites worden gebruikt om nog veel meer informatie over een persoon te achterhalen. Tevens worden, zoals ook bij vele niet-Web 2.0 websites, gegevens van bezoekers (ongemerkt) verzameld en is niet altijd duidelijk wat er met deze gegevens gebeurt. • Nieuwe kwetsbaarheden in web 2.0 toepassingen Een Web 2.0-toepassing is in feite een interactieve applicatie binnen een website. Het gebruik van AJAX in zo’n applicatie vergroot het risico van diverse webapplicatie specifieke aanvallen zoals bijvoorbeeld cross site scripting (XSS) en SQL Injection. Ook verhoogt de toepassing van bijvoorbeeld Ruby on Rails kans op tekortkomingen in de
beveiliging (RoR biedt weinig inherente beveiligingsmaatregelen); veel beveiligingsmaatregelen moeten handmatig ingebouwd worden en worden daardoor geregeld vergeten of onvolledig geïmplementeerd. Dit illustreert duidelijk de noodzaak van goed en uitgebreid testen; niet alleen op basis van functionele criteria, maar juist ook op basis van criteria met betrekking tot beveiliging. • Beveiliging deels afhankelijk van de client Web 2.0-sites steunen voor een belangrijk deel op clientside logica zoals Javascript. Hierdoor komt een deel van de beveiliging bij deze client te liggen en moeten mogelijke tekortkomingen hierin op de server worden afgevangen. • Betrouwbaarheid van informatie Door het ontbreken van centrale redactie, kan in veel gevallen niet worden gesteund op de betrouwbaarheid van informatie. Daarnaast hoeft ook de beschikbaarheid niet te zijn gewaarborgd. Hiermee moet terdege rekening worden gehouden wanneer Web 2.0 toepassingen worden gebruikt bij de ondersteuning van bedrijfsprocessen. • Beta Veel Web 2.0-sites beginnen als ‘public beta’, oftewel: de toepassing is eigenlijk nog niet af maar is al wel voor het publiek beschikbaar (bijvoorbeeld Google Mail). Vaak blijven dergelijke sites tot in lengte van dagen deze status houden. Ook hierdoor is de betrouwbare werking op geen enkele manier gegarandeerd en kan functionaliteit zomaar wijzigen of verdwijnen. Toekomst Wat de toekomst Web 2.0 brengt, is moeilijk te voorspellen. Feit is dat steeds meer toepassingen zullen ontstaan die steeds weer nieuwe mogelijkheden laten zien. Voorlopig is vooral de creativiteit en de durf van gebruikers en ontwikkelaars bepalend voor de toekomst. En omdat de grens
9 | de EDP-Auditor nummer 1 | 2008
Internet Artikel tussen deze twee groepen soms erg vaag is, zullen de wensen van gebruikers steeds vaker en sneller worden vertaald naar écht bruikbare toepassingen. De praktijk wijst uit dat één van de filosofieën achter Web 2.0, namelijk dat gebruikers ook leverancier van content zijn, inmiddels ook buiten het web zichtbaar is. Zo heeft TomTom recentelijk een nieuwe versie van zijn navigatiesysteem op de markt gebracht waarbij gebruikers zelf informatie aan kaarten kunnen toevoegen en deze kunnen delen met andere gebruikers. Een nieuwe stap in een ontwikkeling waarvan het einde voorlopig nog niet in zicht is. ■
Bron- en andere verwijzingen Over het World Wide Web en Web 2.0 Wikipedia over de historie (http://en.wikipedia.org/wiki/Www) Weaving the Web (The Past, Present and Future of the World Wide Web by its Inventor), Tim Berners-Lee, ISBN 978-0752820903 Wikipedia over Web 2.0 (http://en.wikipedia.org/wiki/Web_2.0) In het artikel genoemde websites en hulpmiddelen [1] YouTube (http://www.youtube.com) [2] LinkedIn (http://www.linkedin.com) [3] Plaxo (http://www.plaxo.com) [4] Google Maps (http://maps.google.com) [5] Misdaadkaart (http://www.misdaadkaart.nl) [6] Nederkaart (http://www.nederkaart.nl) [7] Yahoo Pipes (http://pipes.yahoo.com) [8] Microsoft Popfly (http://popfly.ms) Andere voorbeelden NewsVison (http://www.rnw.nl/newsvision) TagZania (http://www.tagzania.com/) Ruby on Rails (http://www.rubyonrails.org) Prototype Javascript Framework (http://www.prototypejs.org) Script.aculo.us (http://script.aculo.us) Dit artikel kwam tot stand met een initiële bijdrage van ing. R.C. de Vos RE (Fortis Audit Services) Noten 1 Virale marketing is een marketingtechniek die poogt om bestaande sociale netwerken te exploiteren om zo de bekendheid van het merk te vergroten of positieve associaties te bewerkstelligen op een wijze die te vergelijken is met een virale epidemie. In die zin lijkt het op mond-tot-mondreclame die versterkt wordt door het internet, waardoor zeer snel en veelal op goedkope wijze een groot aantal mensen bereikt kan worden. http://nl.wikipedia.org/wiki/Virale_marketing 2 Het concept van asynchroon verversen, dus zonder de gehele pagina opnieuw te laden, stamt al uit 1996. Toen werden het iframe element geïntroduceerd in Internet Explorer 3.0 en het layer element in Netscape 4.0. Deze elementen boden toen al dezelfde mogelijkheden die nu onder de noemer AJAX vallen. Toepassingen die van deze elementen gebruik maakten, werden toen geschaard onder de noemer ‘Dynamic HTML’ (DHTML).
10 | de EDP-Auditor nummer 1 | 2008
Artikel
Uitbesteding bij financiële ondernemingen Wet- & regelgeving en de IT-auditor (Deel 1 - Wft)
Jeroen van Puijenbroek
Het uitbesteden van taken en activiteiten door financiële ondernemingen is tegenwoordig aan de orde van de dag. De voornaamste redenen? Kostenreductie en verhoging van de kwaliteit. Aan uitbesteding kleven echter ook risico’s. Daarom worden op grond van weten regelgeving eisen gesteld aan uitbesteding bij financiële ondernemingen
Auteur Mr. drs. J.P.M. (Jeroen) van Puijenbroek RE werkt als senior auditor bij de Audit Rabobank Groep van Rabobank Nederland. Van Puijenbroek is voornamelijk werkzaam op het gebied van het ontwikkelen en (mede)uitvoeren van compliance audits. De auteur heeft het artikel op persoonlijke titel geschreven.
Het feit dat een financiële onderneming zijn back office uitbesteedt aan een andere partij haalt de kranten vaak niet meer. Enkele voorbeelden uit het afgelopen decennium. AEGON behoort in Nederland tot de voorlopers op het gebied van uitbesteding. Het bedrijf begon in 1998 met het uitbesteden van applicaties bij Pink Elephant en in 2000 volgden de infrastructuur en de ondersteuning van de werkplekken.1 ABN AMRO besteedde in 2002 een groot deel van zijn wereldwijde IT-activiteiten in de Wholesale divisie uit aan EDS.2 De Rabobank heeft eind 2006 gekozen voor de uitbesteding van een deel van haar systeemontwikkelingsproces aan Ordina en Cognizant Technology Solutions. Sinds enkele jaren moeten ook bedrijfsprocessen er aan geloven. Zo besteedde de ABN-AMRO in 2004 haar ‘asset & fund’ management uit aan een Amerikaanse bank; het portfoliomanagement (de beslissing over wat moet worden gekocht en verkocht) werd als ‘core’ beschouwd, maar alles wat daarna gebeurt (het daadwerkelijk kopen of verkopen van aandelen, obligaties, opties, etc.) kan worden uitbesteed aan een bank die het beter en/of goedkoper kan.3 Waarom worden zoveel bedrijfsactiviteiten tegenwoordig overgedragen aan gespecialiseerde derden (serviceorganisaties), die deze activiteiten vervolgens terugleveren als diensten? Een belangrijke reden om activiteiten of processen uit te besteden is kostenreductie. Deze wordt bereikt doordat de serviceorganisatie schaalvoordelen kan behalen door deze activiteiten voor meerdere partijen uit te voeren. Dit resulteert in een lagere kostprijs. Behalve de kostenreductie is de verhoging van de kwaliteit een belangrijke drijfveer. Dit kan worden gerealiseerd door betere IT, beter ingerichte processen en op dat gebied toegewijd en deskundig management. Ook vastlegging van afspraken in een SLA (Service Level Agreement) kan leiden tot een verbetering (en vooral een betere voorspelbaarheid) van de kwaliteit.4 Naast de voordelen zijn aan uitbesteding ook nadelen (lees: risico’s) verbonden. Hierbij kan worden gedacht aan: • een serviceorganisatie die niet in staat is de service te leveren volgens de in de SLA vastgestelde normen; • de afhankelijkheid van een serviceorganisatie terwijl de financiële onderneming juist maximale flexibiliteit nodig heeft; • de mogelijkheid dat de strategische focus van de serviceorganisatie verandert; • de mogelijkheid dat uitbesteding heeft plaatsgevonden
11 | de EDP-Auditor nummer 1 | 2008
Artikel naar een serviceorganisatie die in een later stadium word gekocht door een concurrent; • de kans op insolventie of faillissement van de serviceorganisatie; • het in rekening brengen van hoge kosten door de leverancier voor het leveren van extra service als gevolg van slecht gedefinieerde contractuele voorwaarden voor de geleverde diensten. Wanneer een onderneming uitbesteedt, dient zij naast bovenstaande risico’s (waarop in deze publicatie overigens niet verder wordt ingegaan) ook rekening te houden met diverse (sectorale) wet- en regelgeving. In dit artikel geven we aan de hand van de compliance chart een overzicht van de relevante regelingen voor een financiële onderneming. Op een van deze wetten, namelijk de Wft, zal vervolgens nader worden ingegaan. Naast een korte uitleg over de uitgangspunten en de structuur van de Wft zal ook per fase van het uitbestedingproces worden aangegeven waar de IT-auditor rekening mee moet houden respectievelijk wat zijn rol kan zijn. Voordat wordt ingegaan op regelgeving en IT-auditor zal eerst worden ingegaan op de fasen van het uitbestedingproces. Fasen uitbestedingproces Het uitbestedingproces bestaat grofweg uit vijf fasen5, te weten: 1. Analysefase 2. Selectiefase 3. Contractfase 4. Transitiefase 5. Contractmanagement
In figuur 1 is dit grafisch weergegeven. Ad. 1) Analysefase Het proces start met de analysefase. In deze fase analyseert het projectteam de activiteit(en) die in aanmerking komen voor uitbesteding, met als resultaat een uitvoerige business case en een concreet plan van aanpak. Vervolgens wordt het analyserapport – het plan van aanpak met de business case – ter beoordeling voorgelegd aan de betreffende directie, bijvoorbeeld de afdeling Automatisering. Belangrijkste op te leveren producten (‘deliverables’) en/of activiteiten in deze fase zijn projectinitiatiedocument, analyserapport (plan van aanpak, business case, communicatieplan), specificatie & concept SLA goedkeuring directie en -adviesaanvraag Ondernemingsraad. Ad. 2) Selectiefase Bij goedkeuring kan het projectteam starten met de volgende fase, de selectiefase. De kwalificaties waaraan verschillende leveranciers moeten voldoen en de mate waarin zij hieraan voldoen worden in deze fase naast elkaar gezet. Belangrijkste op te leveren producten en/of activiteiten in deze fase zijn preselectie (type leveranciersrelatie, leveranciersprofiel, contractvorm), selectie (longlist, shortlist, keuze 1 of 2, evaluatie HR-beleid leverancier, arbeidsvoorwaardenvergelijking, ontwikkeling business case), postselectie (due diligence, initial bid, best and final order) en goedkeuring management. Ad. 3) Contractfase Het onderhandelingsproces wordt in de selectiefase al in gang
Projectinitiatiedocument Analysereport - Plan van aanpak - Business case - Communicatieplan Specificatie en SLA Goedkeuring van directie OR-adviesaanvraag
Inrichting contractmanagement: - Operationeel niveau - Tactisch niveau - Strategisch niveau
Analysefase
Evaluatie van het project
Contract management
Selectiefase Pre-selectie: - Type leveranciersrelatie - Leveranciersprofiel - Contractvorm
Transitiefase
Omschrijving van activiteiten en te nemen stappen door de serviceorganisatie en de betreffende afdeling m.b.t. de transitiefase
Contractfase
Ondertekening van: - Service Agreement - Service Level Agreement - Transfer Agreement
Figuur 1: Fasen uitbestedingproces
12 | de EDP-Auditor nummer 1 | 2008
Selectie: - Longlist, shortlist, keuze 1 of 2 - Evaluatie HR beleid leverancier - Arbeidsvoorwaardenvergelijking - Ontwikkeling business case Postselectie - Due diligence - Initial bid - Best and Final order Goedkeuring management
gezet en loopt door in de contractfase. In de contractfase vinden de laatste onderhandelingen plaats en worden de gemaakte afspraken in een contract vastgelegd. De op te leveren producten in deze fase zijn de ondertekende Service Agreement, Service Level Agreement en Transfer Agreement. Ad. 4) Transitiefase Na het tekenen van het contract volgt de transitiefase, de feitelijke transitie van mensen, processen, services, technologieën en assets. De belangrijkste op te leveren producten in deze fase zijn een omschrijving van activiteiten en te nemen stappen door de leverancier en de betreffende directie. Ad. 5) Contractmanagement De laatste fase, wellicht de belangrijkste fase van het uitbestedingproces, betreft het managen van het contract. De belangrijkste op te leveren producten en/of activiteiten zijn inrichting contract management op operationeel, tactisch en strategisch niveau en de evaluatie van het project. Compliance chart Het is van belang om direct aan het begin van een uitbestedingproject inzicht te hebben welke wet- en regelgeving van toepassing is. Dit geldt zeker bij financiële ondernemingen, die te maken hebben met toezichthouders als De Nederlandse Bank (DNB) en de Stichting Autoriteit Financiële Markten (AFM). Welke eisen worden door hen gesteld aan uitbesteding? Zijn er activiteiten die niet mogen worden uitbesteed? Et cetera. Het kost immers veel minder tijd en dus ook minder geld als vooraf de kaders zijn vastgesteld die inzichtelijk maken waaraan moet worden voldaan dan wanneer achteraf allerlei zaken moeten worden aangepast. Niet dat die wetten en regels allerlei exotische eisen stellen aan uitbesteding. Aan het overgrote deel van de onderwerpen die bij wet of regelgeving is geregeld, zou een onderneming op grond van goed ondernemerschap toch al aandacht (moeten) hebben besteed. Het management van een onderneming wil immers zelf toch ook weten of ze nog steeds ‘in control’ is na uitbesteding van de activiteit en niet alleen omdat de toezichthouders dat graag willen weten. De compliance chart is een overzicht van alle van toepassing zijnde regelgeving. Per uitbestedingproject dient een overzicht van de volgende typen regelgeving te worden opgesteld6: • Externe regelgeving betreffende uitbesteding. • Interne regels/richtlijnen/beleidslijnen (interne regelingen) betreffende uitbesteding. • Specifieke regelgeving die van toepassing is op de uit te besteden dienst. Naast de meer generieke wetten (intellectueel eigendomsrecht, arbeidsrecht, fiscaal recht en mededingingsrecht) dient bij externe regelgeving ook aandacht te worden besteed aan specifieke wet- en regelgeving op grond van de sector waarin de organisatie opereert, de aard van de uit te
besteden activiteit, de aard van de onderneming, of de uitbesteding binnen of buiten Europa plaatsvindt, et cetera. Voor financiële ondernemingen is bij uitbesteding onder meer de volgende wet- en regelgeving relevant: • Wet financieel toezicht (Wft). • Markets in Financial Instruments Directive (MiFID). • Wet bescherming persoonsgegevens (Wbp). Bij specifieke regelgeving die van toepassing is op de uit te besteden dienst moet bijvoorbeeld worden gedacht aan de Voorwaarden en Normen Nationale Hypotheekgarantie in geval van het uitbesteden van (delen van) de hypotheekverstrekking. Deze en andere specifieke regelgeving blijft in deze publicatie buiten beschouwing. Het opstellen van de compliance chart zal veelal een taak zijn van de compliancefunctionaris. Bij een audit naar het uitbestedingproces kan de IT-auditor de totstandkoming van de chart en de betrokkenheid van de compliancefunctionaris beoordelen. Welke functionarissen waren betrokken bij het opstellen van de chart, heeft er een review op plaats gevonden, wordt onderscheid gemaakt naar type regelgeving (extern, intern en specifiek), op welke wijze is geborgd dat de financiële instelling en de dienstverlener aan de opgenomen regelgeving (gaan) voldoen, et cetera. In de rest van deze publicatie zal nader worden ingegaan op de Wft in relatie tot uitbesteding. In een eerder artikel in dit tijdschrift zijn Bolderhey en IJpeij al ingegaan op de gevolgen van de per 1 november 2007 van kracht geworden MiFID.7 In een van de volgende uitgaven van de IT Auditor zal de Wbp in relatie tot uitbesteding door financiële ondernemingen aan bod komen. Wet financieel toezicht In dit deel gaan we in op de achtergrond van de Wft, de structuur van de wet en de belangrijkste uitgangspunten bij het opstellen ervan. Daarna gaan we nader in op die delen van de Wft waarin eisen zijn opgenomen over uitbesteding. Achtergrond Op 1 januari 2007 is de Wft in werking getreden. De Wft is het resultaat van de hervorming van de financiële toezichtwetgeving. Met de inwerkingtreding heeft een ´kanteling van toezicht´ plaatsgevonden, van een sectoraal model naar een functioneel model. Deze hervorming is mede ingegeven door een aantal ontwikkelingen binnen de financiële marktsector, zoals de toenemende internationalisering van financiele markten en de vervlechting van financiële producten en diensten, het ontstaan van internationaal en sectoroverstijgend actieve ondernemingen, en conglomeraatvorming. Het oude sectorale model, waarin per categorie financiële ondernemingen een aparte toezichtwet bestond, voldeed hierdoor niet meer. In de Wft zijn maar liefst zeven oude toezichtwetten opgenomeni. Onder de Wft is de term ‘financiële onderneming’ dan ook een heel ruim begrip. In figuur
13 | de EDP-Auditor nummer 1 | 2008
Artikel
Beleggingsmaatschappij Beleggingsfonds
Beheerder
Onderremisier
Beleggingsinstelling
Effectenmakelaar Beleggingsonderneming Transactie op eigen boek Financiële onderneming
Bewaarder
Effectenrekening Emissiemaatschappij
Clearinginstelling
Market maker Kredietinstelling Plaatselijke onderneming Financiële instelling
Vermogensbeheerder Bank
Verzekeraar
Elektronische geldinstelling
Financiële dienstverlener
Bij rule based toezicht streeft de wetgever ernaar de regels waaraan moet worden voldaan zo nauwkeurig mogelijk te omschrijven. Daarbij wordt dus uitwerking gegeven aan de achterliggende gedachte van de regels, met als resultaat zoveel mogelijk helderheid voor de gebruiker. Het risico hiervan is dat in sommige gevallen de regels worden uitgewerkt op een wijze die in de praktijk niet de meest gunstige is voor de onderneming. Dat risico wordt bij rule based toezicht door de wetgever voor lief genomen. Bij principle based toezicht volstaat de wetgever met een open norm en laat hij het aan de ondernemingen over om te bepalen op welke wijze zij eraan voldoen. Dit lijkt soft, aldus voormalig minister Zalm in een toespraak op het Wft-seminar 20069, maar dient om te voorkomen dat gebruik wordt gemaakt van juridische redeneringen of constructies die volgens de letter van de wet kloppen, maar tegen de geest van de wet zijn. Denk bijvoorbeeld aan Enron: heeft deze onderneming gehandeld in strijd met de letter of met de geest van de geldende Amerikaanse wetgeving?
Levensverzekeraar Natura-uitvaartverzekering Schadeverzekeraar
Figuur 2: Overzicht van financiële ondernemingen (bron: EYe on 8
Finance – Special Wet op het financieel toezicht )
2 is dit schematisch weergegeven. Structuur: Prudentieel en gedragstoezicht Het financieel toezicht is in de Wft ingedeeld op basis van twee pijlers, te weten: • Prudentieel toezicht op financiële ondernemingen, dat wordt uitgevoerd door DNB. Prudentieel toezicht is gericht op de bedrijfseconomische prestaties van individuele financiële ondernemingen. Het prudentieel toezicht van DNB bestaat uit het toezicht op de solvabiliteitspositie, de liquiditeitspositie en op operationeel risico. • Gedragstoezicht op financiële markten, dat is opgedragen aan AFM. Gedragstoezicht is gericht op de integriteit van een financiële onderneming en haar medewerkers. Belangrijke onderdelen van het gedragstoezicht zijn bijvoorbeeld regels met betrekking tot Chinese Wallsii, koersgevoelige informatie/privé-beleggingtransacties en gedragsregels voor individuele medewerkers. In figuur 3 is de structuur van de Wft weergegeven. De delen waarin artikelen over uitbesteding zijn opgenomen zijn donker weergegeven. Hierin ziet men de twee pijlers van prudentieel toezicht en gedragstoezicht ook terugkomen. Uitgangspunt: ‘Principle based’ in plaats van ‘rule based’ toezicht Een van de belangrijke uitgangspunten van de Wft is dat sprake is van principle based toezicht in plaats van rule based toezicht. Wat houden deze begrippen eigenlijk in en wat betekent dit voor de financiële onderneming?
Bij principle based toezicht worden de algemene normen in een wet minder strikt uitgewerkt in lagere regelgeving dan bij rule based toezicht en wordt bij de uitvoering van het toezicht vooral gekeken of aan de doelstellingen van een wettelijke norm wordt voldaan en niet zozeer naar de wijze waarop dat exact gebeurt. De open norm geeft alleen het doel weer; hoe de dienstverlener het doel wil bereiken is aan hem en hij zal zelf de normen moeten gaan interpreteren. Niet wordt voorgeschreven hoe de dienstverlener zijn bedrijfsvoering dient in te richten om aan te tonen dat hij aan de wetgeving voldoet; de open norm is dus tevens vormvrij. Dit geeft partijen de meeste vrijheid om een bij hun situatie passende wijze van naleving te waarborgen. De onderneming kan hierdoor dicht bij haar eigen situatie blijven, wat lagere kosten betekent. De open norm leidt tot grotere eigen verantwoordelijkheid, het dwingt tot nadenken in plaats van slaafse navolging, maar kan ook tot grotere onzekerheid leiden (gaat DNB akkoord? gaat AFM akkoord?). AFM stelt zelf: ‘De open normen in wet- en regelgeving, alsmede de benodigde interpretatie van nieuwe regels, maakt de uitvoerbaarheid en het toezicht complexer’. 10 Door de harmonisering van de sectorale regelgeving en het uitgangspunt van open normen is de wet compacter maar ook een stuk abstracter geworden. Dit heeft geleid tot wat wel eens het ‘zwarte gat’ van de Wft wordt genoemd, de lezer ziet het niet maar het heeft wel veel impact. De abstractere formulering van de wet ‘triggert’ minder snel tot de vraag ‘heeft het in onze onderneming invloed?’. Wft en uitbesteding In deze paragraaf wordt uiteengezet wat de Wft onder uitbesteding verstaat en wordt aangegeven in welke delen van de wet er eisen worden gesteld aan uitbesteding.
14 | de EDP-Auditor nummer 1 | 2008
Figuur 3: Structuur Wft en uitbesteding
Deel 1 Wft (Algemeen deel)
In het algemene deel van de Wft is in artikel 1 lid 1 de definitie van uitbesteden opgenomen.11 Deze luidt: Uitbesteden: het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: a. die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of b. die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan.12 Van uitbesteden is volgens de toelichting op de definitie sprake indien ‘werkzaamheden die normaal worden verricht binnen de financiële onderneming worden verricht door derden, waaronder ook wordt verstaan andere ondernemingen binnen de groep waartoe de financiële onderneming behoort. Te denken valt aan het uitbesteden van de automatisering. Het laten leveren van gestandaardiseerde producten als marktinformatie of kantoorinventaris (inkoop) door andere ondernemingen binnen de groep waartoe de financiele onderneming behoort of door derden valt niet onder het uitbesteden van werkzaamheden’.13 De inkoop van goederen of advieswerkzaamheden ten behoeve van die bedrijfsprocessen vallen evenmin onder uitbesteding. Het moet wel gaan om (delen van) wezenlijke bedrijfsprocessen die worden uitbesteed. In dat verband is een juridische dienst voor een financiële onderneming over het algemeen niet wezenlijk. Dit kan echter anders zijn, bijvoorbeeld in het geval van een rechtsbijstandverzekeraar die niet de kosten van rechtsbijstand vergoedt, maar de rechtsbijstand in natura aanbiedt.14 Met de term ‘wezenlijk’ in de definitie van uitbesteden wordt tot uitdrukking gebracht dat niet elk bedrijfsproces voor het toezicht van DNB of AFM van belang is.
Onder het uitbesteden van werkzaamheden valt evenmin de inhuur van externen, zoals uitzendkrachten, inleenkrachten, gedetacheerde ICT-ers, et cetera. Deze personen zijn immers werkzaam binnen de eigen organisatie en vallen direct onder interne leidinggevenden. Deel 3 en 4 Wft
Door de invoering van de Wft zijn de uitbestedingregels geharmoniseerd voor banken, verzekeraars, beleggingsinstellingen, beleggingsondernemingen en clearinginstellingen. De wettelijke grondslag voor het stellen van grenzen en voorwaarden aan (toelaatbare) uitbesteding is opgenomen in artikel 3:18 Wft (deel 3) voor banken en andere instellingen die onder prudentieel toezicht vallen en in artikel 4:16 Wft (deel 4) voor ondernemingen die onder gedragstoezicht vallen. Er is een duaal toezicht op uitbesteden van werkzaamheden. DNB houdt toezicht op uitbesteding voor zover het gaat om algemene aspecten, integriteitaspecten en het invloed kan hebben op de soliditeit. AFM houdt toezicht op uitbesteding voor zover het gaat om transparante financiële marktprocessen, de zuivere verhouding tussen marktpartijen en zorgvuldige behandeling van klanten. In het Besluit prudentiële regels Wft (Bpr) en in het Besluit gedragstoezicht financiële ondernemingen Wft (BGfo) zijn de nadere voorschriften opgenomen. De tot 1 januari 2007 bestaande toezichthouderregels betreffende uitbesteding zijn ingetrokken zoals de Regeling Organisatie en Beheersing (ROB), de Regeling Uitbesteding Verzekeraars (RUV), de Nadere regeling gedragstoezicht effectenverkeer 2002 (NRge2002). De artikelen in de hierboven genoemde besluiten zijn over het algemeen principle based. Wft en de IT-auditor In tegenstelling tot rule based toezicht, waarbij de specifieke eisen uit de wet- en regelgeving een concrete basis vormen
15 | de EDP-Auditor nummer 1 | 2008
Artikel voor het op te stellen normenkader, moet de auditor bij principle based toezicht deze normen zelf invullen en interpreteren. Welke handvatten heeft de IT-auditor voor het invullen en interpreteren van de open normen van de Wft bij een audit naar de rechtmatigheid van de uitbesteding van de werkzaamheden bij een financiële onderneming? Naast de Nota van toelichting op het besluit kunnen hierbij ook de oude toezichtregels (ROB, RUV, NGre2002, Interpretatie AFM uitbesteding door effecteninstelling, et cetera) als handreiking dienen bij het concretiseren. Voor de interpretatie van een norm kan de auditor ook nog de hulp inroepen van DNB of AFM. AFM heeft bijvoorbeeld in het beleidsplan 2007-2009 aangegeven dat ze in gevallen waar de wetgeving bewust ruimte laat voor interpretatie een duidelijk oriëntatiepunt wil vormen.15 Om dit soort complianceaudits goed te kunnen uitvoeren dient de IT-auditor, dan wel het auditteam, te beschikken over voldoende kennis van de Wft en de onderliggende besluiten en regelingen. Indien deze kennis niet aanwezig is, kan ondersteuning worden gegeven door een juridisch adviseur. Hieronder is een aantal open normen van de Wft voor de fasen van het uitbestedingproces geconcretiseerd. Analysefase De normen uit de Wft hebben betrekking op de aard van de uit te besteden werkzaamheden, of beter gezegd het verbod om bepaalde werkzaamheden uit te besteden, en het uitvoeren van een risicoanalyse Verbod uitbesteden
Bij de afweging tussen uitbesteden en de activiteit in huis houden/(terug)nemen speelt naast de eerdergenoemde voordelen en nadelen, het onderscheidend vermogen van de betreffende activiteit en de mate van efficiëntie en effectiviteit van de uitbestedende onderneming ook nog ander aspect een rol. Op basis van de Bpr en BGfo mogen bepaalde activiteiten niet worden uitbesteed. Zo mogen in het algemeen werkzaamheden niet worden uitbesteed indien die uitbesteding een belemmering kan vormen voor het adequaat toezicht door DNB of AFM. Meer specifiek, de taken en werkzaamheden van personen die het dagelijks beleid bepalen mogen niet worden uitbesteed en de interne auditafdeling mag (in principe) niet worden uitbesteed. Raamwerk voor maken afweging in-huis / uitbesteden
Wettelijk verplicht
Onderscheidend
Niet onderscheidend
In-huis, efficiënt/effectief houden of maken
In-huis, efficiënt/effectief houden of maken
In-huis, indien even efficiënt/effectief als uitbesteden
Uitbesteden als efficiënter/effectiever dan in-huis
Figuur 4: Raamwerk afweging in-huis/uitbesteden
De afweging of bepaalde activiteiten zelf moeten worden uitgevoerd (in-huis) dan wel beter kunnen worden uitbesteed, is in figuur 4 als volgt weergegeven:16 Risicoanalyse Het is van belang dat een financiële onderneming die op structurele basis werkzaamheden uitbesteedt, de risico’s die daarmee samenhangen analyseert. Risicoanalyse is een essentieel element om te beoordelen of de werkzaamheden wel of niet kunnen worden uitbesteed. Gedacht kan worden aan bijvoorbeeld procedures die worden gevolgd en maatregelen die kunnen worden genomen in geval van tekortschietende dienstverlening door de derde en calamiteiten. Het uitbesteden van werkzaamheden valt onder het operationeel risico aldus de Nota van toelichting op de open norm van artikel 29 Bpr. Dit artikel luidt: ‘…een clearinginstelling, kredietinstelling, verzekeraar, …, voert een adequaat beleid en beschikt over procedures en maatregelen met betrekking tot het op structurele basis uitbesteden van werkzaamheden.’ Ik kan me voorstellen dat niet elke lezer bij dit artikel direct de associatie heeft met het uitvoeren van een risicoanalyse naar de uit te besteden werkzaamheden door de financiële onderneming èn het op grond daarvan inrichten van maatregelen/procedures om de risico’s te mitigeren. Degenen die in het verleden audits hebben uitgevoerd op basis van de ROB of de RUV leggen dat verband waarschijnlijk wel. In de transponeringstabel Bpr – oude toezichtwetgeving (zie tabel 1 aan het einde van deze publicatie) zijn namelijk de artikelen met betrekking tot de risicoanalyse uit de ROB en de RUV gekoppeld aan artikel 29 Bpr. De gekoppelde artikelen uit de ROB zijn bijvoorbeeld: • De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van de risico’s die samenhangen met het uitbesteden van werkzaamheden. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling (art 58 ROB). • De instelling draagt zorg voor een systematische analyse van risico’s die samenhangen met de uitbesteding van werkzaamheden. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen (art. 60 ROB). • De instelling werkt de beleidsuitgangspunten ter beheersing van uitbestedingrisico’s nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen (art 61 ROB)iii. Door gebruik te maken van de Nota van toelichting en de transponeringstabel kunnen de open normen uit de Wft enigszins worden geconcretiseerd. Selectiefase Voor de selectiefase zijn geen normen in de Wft opgenomen waaraan de IT-auditor moet toetsen. Het projectteam kan in
16 | de EDP-Auditor nummer 1 | 2008
deze fase wel de hulp van de IT-auditor inroepen. Bijvoorbeeld in het kader van een due diligence onderzoek naar het in opzet vaststellen dat de dienstverlener aan de opgenomen regelgeving kan voldoen. In de praktijk is het niet altijd mogelijk (of erg kostbaar) om de interne regels aan de dienstverlener op te leggen. Vaak hebben deze partijen al eigen interne regelingen (gedragscodes en dergelijke) die hetzelfde doel dienen. Het is dan van belang vast te (laten) stellen of, en zo ja, waar afwijkingen bestaan tussen de interne regelingen van de financiële onderneming en die van de dienstverlener.17 Contractfase De normen uit de Wft hebben in deze fase betrekking op de inhoud van de schriftelijke overeenkomst met de dienstverlener. Voor de lessons learned met betrekking tot uitbestedingovereenkomsten wordt verwezen naar de uitgave ITREcht van 2006 waarin de door de Werkgroep juridisch Platform Outsourcing Nederland geïnventariseerde problemen integraal zijn weergegeven.18 In artikel 31 Bpr is een uitgebreide lijst verplichte onderwerpen voor de SLA opgenomen. Dit is niet geheel in lijn met het uitgangspunt van ‘principle based’. In de overeenkomst moet op grond van de Wft in ieder geval het volgende worden geregeld: • de onderlinge informatie-uitwisseling, met inbegrip van afspraken over het beschikbaar stellen van informatie waarom de toezichthouders ter uitvoering van hun wettelijke taak verzoeken. • de mogelijkheid voor de financiële onderneming om te allen tijde wijzigingen aan te brengen in de wijze waarop de uitvoering van de werkzaamheden door de derde geschiedt; • de verplichting voor de derde om de financiële onderneming in staat te stellen blijvend te voldoen aan het bij of krachtens de wet bepaalde. • de mogelijkheid voor de toezichthouders om onderzoek ter plaatse te doen of te laten doen bij de derde. • de wijze waarop de overeenkomst wordt beëindigd, en de wijze waarop wordt gewaarborgd dat de financiële onderneming de werkzaamheden na beëindiging van de overeenkomst weer zelf kan uitvoeren of door een andere derde kan laten uitvoeren. Wanneer de werkzaamheden worden uitbesteed aan een onderneming met een zetel in een lidstaat, die deel uitmaakt van de groep waartoe de financiële onderneming behoort, is een verlicht regime van toepassing. Dit betekent in ieder geval dat bovengenoemde vereisten niet in de SLA hoeven te worden opgenomen. Financiële ondernemingen die al activiteiten hebben uitbesteed, doen er goed aan hun contracten te toetsen of deze wel volledig aan de vernieuwde regeling voldoen. Op grond van de overgangsregeling kunnen de bestaande uitbestedingovereenkomsten in stand blijven maar dienen ze na contractherziening wel te voldoen aan de in het besluit opgenomen vereisten.
Naar aanleiding van de in de analysefase uitgevoerde risicoanalyse is duidelijk geworden welke risico’s de financiële onderneming loopt bij het uitbesteden van de werkzaamheden en welke maatregelen zij verwacht van de serviceorganisatie. Door deze verwachte maatregelen als vereisten in de SLA op te nemen worden de met uitbesteding verbonden risico’s gemitigeerd. Een aantal van deze vereisten is op grond van artikel 31 Bpr al verplicht gesteld (zie hierboven). De SLA is ook een instrument om vraag en aanbod tussen de klant en de leverancier bij het uitbesteden van diensten te synchroniseren, door daarin goede afspraken te maken over het gewenste niveau van dienstverlening. Een SLA biedt naast een bijdrage aan de doelen die met de uitbesteding worden nagestreefd (kostenreductie en/of kostenbeheersing, vergroting flexibiliteit, oplossen van een kennisprobleem, verdere focus op kerntaken, et cetera), een basis voor de beheersing van de dienstverlening. Enerzijds ontstaan door het bepalen en vastleggen van het gewenste niveau van dienstverlening (Quality of Service ) en het meten van de gerealiseerde doelstelling mogelijkheden om op basis van objectieve cijfers sturing te geven aan die dienstverlening. Anderzijds wordt door overleg tussen de afnemer en de leverancier wederzijds inzicht in en begrip van eisen, wensen en mogelijkheid van de betrokken partijen verkregen. Dit ondersteunt het management in zijn steven naar een verbetering van effectiviteit en efficiency.19 De aandacht die in een uitbestedingovereenkomst moet worden besteed aan de relevante compliancerisico’s is volgens Schouten ook afhankelijk van de serviceorganisatie. Zij onderscheidt drie uitbestedingsmogelijkheden, namelijk uitbesteding aan een:20 • Nederlandse financiële instelling; • Nederlandse niet financiële instellingen; en • buitenlandse instelling. Volgens Schouten is er ten aanzien van de beheersing van de compliancerisico’s een wisselwerking tussen de Nederlandse wet- en regelgeving enerzijds en de inhoud van de uitbestedingovereenkomst anderzijds. In figuur 5 is schematisch weergegeven dat naarmate de invloed van de Nederlandse wet- en regelgeving voor wat betreft het prudentieel- en/of gedragstoe-
Uitbestedingsovk. Ned. wet- & regelgeving Ned. wet- & regelgeving
Uitbestedingsovk.
Nederlandse Financiële instelling
Nederlandse niet-financiële instelling
Uitbestedingsovk.
Buitenlandse instelling
wisselwerking tussen Nederlandse wet- en regelgeving vs. inhoud uitbestedingsovereenkomst
Figuur 5: Wisselwerking Nederlandse wet- en regelgeving vs. Inhoud uitbestedingovereenkomst.
17 | de EDP-Auditor nummer 1 | 2008
Artikel zicht afneemt, in de uitbestedingovereenkomst meer aandacht aan de relevante compliancerisico’s moet worden besteed. Transitiefase Voor de transitiefase zijn geen normen in de Wft opgenomen waaraan de EDP-auditor kan toetsen. Contractmanagement Wat voorheen alleen voor de uitbestedende verzekeraar gold (art. 7 RUV) geldt nu ook voor de uitbestedende bank. Zij dient naast procedures en maatregelen ook te beschikken over deskundigheid om de uitvoering van de op structurele basis uitbestede werkzaamheden te kunnen beoordelen (art. 30 Bpr). In de ROB werd dit niet expliciet gevraagd. Voor een adequate beoordeling van de uitbestede werkzaamheden dient de financiële onderneming te beschikken over voldoende informatie van de serviceorganisatie en dient de uitbestedende financiële onderneming over de deskundigheid te beschikken om die informatie te kunnen beoordelen.
Conclusie Audits naar de rechtmatigheid van de uitbesteding van werkzaamheden door een financiële onderneming zijn compliance audits waarbij de open normen van onder andere de Wft door de IT-auditor moeten worden geïnterpreteerd. Dit betekent dat de auditor juridisch moet zijn onderlegd of in zijn auditteam over juridische kennis moet kunnen beschikken. Voor de Wft zijn de open normen nog niet uitgekristalliseerd. Voor de interpretatie van de open normen van de Wft en de onderliggende besluiten en regelingen kunnen naast de nota van toelichting op de besluiten voorlopig de oude toezichthouderregels zoals de ROB, de RUV en NRge2002 als basis dienen. ■
21
Tabel 1: Transponeringstabel Bpr - oude toezichtwetgeving (gebaseerd op: Toelichting op Bpr) Besluit prudentiële regels Wft (Bpr)
Regeling Organisatie en beheer (ROB) van DNB
Regeling uitbesteding verzekeraars (RUV)
HOOFDSTUK 5. UITBESTEDEN VAN WERKZAAMHEDEN Bepalingen ter uitvoering van artikel 3:18, tweede en derde lid, van de wet Artikel 3 Beperkingen aan uitbesteding Onverminderd artikel 2 zijn die vormen van uitbesteding, die de verantwoordelijkheid van de verzekeraar voor de organisatie en beheersing van bedrijfsprocessen en het toezicht daarop kunnen ondermijnen, niet toegestaan.
Artikel 27 1. Een financiële onderneming of bijkantoor als bedoeld in artikel 3:18, eerste lid, 3:22, 3:23, 3:25, 3:26 of 3:27, van de wet gaat niet over tot het uitbesteden van werkzaamheden indien die uitbesteding een belemmering kan vormen voor een adequaat toezicht op de naleving van het bij of krachtens het Deel Prudentieel toezicht financiële ondernemingen van de wet bepaalde. 2. Een clearinginstelling, kredietinstelling, verzekeraar of bijkantoor als bedoeld in artikel 3:18, tweede lid, 3:23, 3:26 of 3:27 van de wet besteedt de taken en werkzaamheden van personen die het dagelijks beleid bepalen, daaronder mede verstaan het vaststellen van het beleid en het afleggen van verantwoording over het gevoerde beleid, niet uit.
Artikel 3 Beperkingen aan uitbesteding Onverminderd artikel 2 zijn die vormen van uitbesteding, die de verantwoordelijkheid van de verzekeraar voor de organisatie en beheersing van bedrijfsprocessen en het toezicht daarop kunnen ondermijnen, niet toegestaan.
Artikel 28 Een clearinginstelling, kredietinstelling, verzekeraar of bijkantoor als bedoeld in artikel 27, tweede lid, gaat niet over tot het uitbesteden van werkzaamheden indien dat afbreuk doet aan de kwaliteit van haar onafhankelijke interne toetsing als bedoeld in artikel 17, vierde lid.
Artikel 63 Niet toegestaan is de uitbesteding van – de in artikel 22 van deze regeling bedoelde interne auditfunctie aan een niet tot de groep behorende dienstverlener; – de financiële administratie en het opmaken van de jaarrekening aan de controlerende externe accountant van de instelling, dan wel aan het kantoor waarmee de externe accountant is verbonden.
-
Artikel 59 Ingeval de instelling onvoldoende waarborgen kan verkrijgen voor het handhaven van een beheerste en integere bedrijfsvoering, wordt niet tot uitbesteding van de desbetreffende bedrijfsprocessen overgegaan.
18 | de EDP-Auditor nummer 1 | 2008
Besluit prudentiële regels Wft (Bpr)
Regeling Organisatie en beheer (ROB) van DNB
Artikel 29 Een clearinginstelling, kredietinstelling, verzekeraar of bijkantoor als bedoeld in artikel 27, tweede lid, voert een adequaat beleid en beschikt over procedures en maatregelen met betrekking tot het op structurele basis uitbesteden van werkzaamheden.
Artikel 2 Beleid ter zake van uitbesteding Artikel 58 De instelling beschikt over helder geformuleerde beleidsuit- 1. De verzekeraar stelt beleid vast met betrekking tot de beheersing van risico’s die samenhangen met de uitbestegangspunten ter beheersing van de risico’s die samenhangen ding van bedrijfsprocessen. met het uitbesteden van werkzaamheden. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan 2. Het beleid betreft in ieder geval: a. het bepalen dat de verzekeraar voldoende waarborgen alle relevante geledingen van de instelling. verkrijgt voor het handhaven van een beheerste en integere bedrijfsvoering alsmede dat de uitvoerende organisatie maatregelen treft inzake fraudepreventie; b. het vaststellen dat de verzekeraar niet tot uitbesteding zal overgaan van bedrijfsprocessen indien niet aan onderdeel a wordt voldaan Artikel 60 De instelling draagt zorg voor een systematische analyse van risico’s die samenhangen met de uitbesteding van werkzaamheden. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.
Regeling uitbesteding verzekeraars (RUV)
Artikel 4 Risicoanalyse De verzekeraar draagt zorg voor een systematische analyse van risico’s die samenhangen met de uitbesteding van bedrijfsprocessen. De analyse wordt uitgevoerd zowel op het niveau van de organisatie van de verzekeraar in zijn geheel als op het niveau van de onderscheiden bedrijfsonderdelen.
Artikel 5 Procedures en maatregelen Artikel 61 De instelling werkt de beleidsuitgangspunten ter beheersing 1. De verzekeraar draagt zorg voor de uitwerking en implementatie van het beleid in organisatorische en administravan uitbestedingrisico’s nader uit in organisatorische en tieve procedures en maatregelen. administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van 2. De in het eerste lid bedoelde procedures en maatregelen omvatten in ieder geval: alle relevante geledingen. a. de procedures inzake de besluitvorming ten aanzien van een voorgenomen nieuwe of gewijzigde uitbesteding, waaronder de in artikel 4 bedoelde risicoanalyse; b. de beoordeling van de uitvoerende organisatie. Artikel 30 Een clearinginstelling, kredietinstelling, verzekeraar of bijkantoor als bedoeld in artikel 27, tweede lid, beschikt over toereikende procedures, maatregelen, deskundigheid en informatie om de uitvoering van de op structurele basis uitbestede werkzaamheden te kunnen beoordelen.
Artikel 64 De instelling beschikt over procedures en maatregelen om toezicht te houden op de wijze waarop de externe dienstverlener/leverancier invulling geeft aan de uitbestede werkzaamheden.
Artikel 6 Controle De verzekeraar toetst regelmatig of de wijze waarop de uitbestede bedrijfsprocessen worden uitgevoerd nog in overeenstemming is met de gemaakte afspraken. Daartoe beschikt de verzekeraar over toereikende procedures, deskundigheid en informatie om de werkzaamheden van de uitvoerende organisatie op adequate wijze te kunnen beoordelen en zonodig bij te sturen.
Artikel 31 1. Een clearinginstelling, kredietinstelling, verzekeraar of bijkantoor als bedoeld in artikel 27, tweede lid, legt de overeenkomst met de derde waaraan de werkzaamheden op structurele basis worden uitbesteed schriftelijk vast. 2. In de overeenkomst wordt in ieder geval het volgende geregeld: a. de onderlinge informatie-uitwisseling, met inbegrip van afspraken over het beschikbaar stellen van informatie waarom de toezichthouders ter uitvoering van hun wettelijke taak verzoeken; b. de mogelijkheid voor de financiële onderneming of het bijkantoor om te allen tijde wijzigingen aan te brengen in de wijze waarop de uitvoering van de werkzaamheden door de derde geschiedt; c. de verplichting voor de derde om de financiële onderneming of het bijkantoor in staat te stellen blijvend te voldoen aan het bij of krachtens de wet bepaalde; en d. de mogelijkheid voor de toezichthouders om onderzoek ter plaatse te doen of te laten doen bij de derde; en e. de wijze waarop de overeenkomst wordt beëindigd, en de wijze waarop wordt gewaarborgd dat de financiële onderneming of het bijkantoor de werkzaamheden na beëindiging van de overeenkomst weer zelf kan uitvoeren of door een andere derde kan laten uitvoeren. 3. De toezichthouders maken slechts gebruik van de mogelijkheid, bedoeld in het tweede lid, onderdeel d, indien niet op andere wijze kan worden vastgesteld dat ten aanzien van de uitbestede werkzaamheden wordt voldaan aan het bij of krachtens de wet bepaalde.
Artikel 62 De instelling legt de afspraken inzake uitbesteding met de externe dienstverlener/ leverancier vast in een schriftelijke overeenkomst. Deze overeenkomst dient mede te voorzien in de bevoegdheid van de Bank om informatie in te winnen omtrent de uitbestede werkzaamheden bij de externe dienstverlener/leverancier respectievelijk bij zijn externe accountant en desgewenst onderzoek te doen of te laten doen bij de externe dienstverlener/leverancier. Deze laatste verplichting geldt niet voor deelname aan een systeem als bedoeld in artikel 212a, onder b, van de Faillissementswet.
Artikel 6 Controle De verzekeraar toetst regelmatig of de wijze waarop de uitbestede bedrijfsprocessen worden uitgevoerd nog in overeenstemming is met de gemaakte afspraken. Daartoe beschikt de verzekeraar over toereikende procedures, deskundigheid en informatie om de werkzaamheden van de uitvoerende organisatie op adequate wijze te kunnen beoordelen en zonodig bij te sturen.
Artikel 32 De artikelen 29 tot en met 31 zijn niet van toepassing op het uitbesteden van werkzaamheden aan ondernemingen met zetel in een lidstaat die deel uitmaken van de groep waartoe de financiële onderneming behoort. 19 | de EDP-Auditor nummer 1 | 2008
Artikel 7 Overeenkomst van uitbesteding 1. De verzekeraar legt de afspraken met de uitvoerende organisatie inzake uitbesteding vast in een schriftelijke overeenkomst. Deze overeenkomst dient het geheel van relevante aspecten betreffende de uitbestede bedrijfsprocessen te omvatten, zoals aard, omvang, kwaliteit, tijdigheid, servicegraad, deskundigheid, informatievoorziening, eigendom van gegevens en verplichting tot naleving van relevante wet- en regelgeving. 2. In het geval van volmacht wordt in de in het eerste lid bedoelde overeenkomst vastgelegd dat de gevolmachtigd agent de financiële jaarrapportage over de volmacht voorziet van een verklaring van een accountant als bedoeld in artikel 2:393, eerste lid, van het Burgerlijk Wetboek. 3. De in het eerste lid bedoelde overeenkomst moet waarborgen dat de verzekeraar de uitbesteding van de bedrijfsprocessen onder bepaalde, van tevoren overeengekomen nauwkeurig omschreven omstandigheden kan beëindigen en dat de verzekeraar de desbetreffende bedrijfsprocessen zelfstandig kan voortzetten of elders kan onderbrengen. De beëindiging dient te zijn omgeven met financiële en uitvoeringstechnische waarborgen. 4. Als onderdeel van de in het eerste lid bedoelde overeenkomst verklaart en garandeert de uitvoerende organisatie, indien zij voor meer dan één opdrachtgever werkt, dat de gegevens en bestanden van de verschillende opdrachtgevers logisch te scheiden zijn, dat de privacyaspecten zijn gewaarborgd en dat de gescheiden informatieverstrekking naar de verschillende opdrachtgevers voldoende is gewaarborgd. 5. De in het eerste lid bedoelde overeenkomst moet waarborgen dat de uitvoerende organisatie aan de Pensioen- & Verzekeringskamer alle gevraagde inlichtingen - met inachtneming van eventueel bestaande wettelijke geheimhoudingsverplichtingen - verstrekt, de Pensioen- & Verzekeringskamer desgevraagd de toegang verschaft tot de relevante boeken en administratieve bescheiden en de aanwijzingen van de Pensioen- & Verzekeringskamer zal opvolgen die verband houden met de door de verzekeraar uitbestede bedrijfsprocessen.
Artikel 19 Nederlandse vereniging van Banken (NVB) – Commissie EDP Auditing,
Noten i De zeven oude toezichtwetten die in de Wft zijn opgenomen zijn: de Wet toezicht kredietwezen 1992 (Wtk 1992), de Wet toezicht verzekeringsbedrijf 1993 (Wtv 1993), de Wet toezicht natura-uitvaartverzekeringsbedrijf (Wtn), de Wet toezicht beleggingsinstellingen (Wtb), de Wet toezicht effectenverkeer 1995 (Wte 1995), de Wet financiële dienst-
Outsourcing; Handreiking Service Level Agreements (SLA) en Service Level Management, Amsterdam, 2e druk, maart 2005, p. 5 20 Schouten, L.E., ´Compliance: ook bij uitbesteding´, Tijdschrift voor Compliance, 2004, nr. 6, p. 136 21 Staatsblad 2006 519, p. 188
verlening (Wfd) en de Wet melding zeggenschap en kapitaalbelang in effectenuitgevende instellingen (Wmz) ii Regels inzake Chinese Walls hebben betrekking op de organisatie van een effecteninstelling en banken met effectenafdelingen. Deze organisaties moeten maatregelen treffen om belangenconflicten tussen de instellingen en hun cliënten of tussen cliënten onderling te voorkomen. Deze maatregelen moeten ook voorkomen dat binnen de organisatie koersgevoelige informatie wordt verspreid. Chinese Walls houden bijvoorbeeld in dat kredietverlening aan beursgenoteerde ondernemingen organisatorisch gescheiden moet zijn van de effectenbemiddeling en -advisering iii Hoewel artikel 61 ROB niet in de transponeringstabel is opgenomen zou men kunnen stellen dat het ook onder 29 Bpr kan worden gelezen, aangezien het artikel een uitwerking is van artikel 58 ROB. iv Hoewel artikel 61 ROB niet in de transponeringstabel is opgenomen zou je kunnen stellen dat, aangezien het artikel een uitwerking is van artikel 58 ROB, het ook onder 29 Bpr kan worden gelezen Literatuurverwijzingen 1 Cazemier, F. ‘Sourcing voor gevorderden’, CIO Magazine, mei-juni 2007, nr. 3 2007, p. 100 2 Jongen, H.D.J., ‘Inleiding Outsourcing’ in Brunt, G. et al., (IT)Outsourcing, Elsevier 2004, p. 11 3 Jongen, H.D.J., ‘Inleiding Outsourcing’ in Brunt, G. et al., (IT)Outsourcing, Elsevier 2004, p. 12 4 Bloemer, A., ‘Outsourcing in de financiële sector’, Bank- en Effectenbedrijf, januari/februari 2004, p. 18 5 Rabobank, Handboek Outsourcing Rabofacet, juli 2004, versie 1.1, p. 9 6 Bakkers, R.W.A., ‘De rol van de compliancefuncite in het uitbestedingsproces, Tijdschrift voor Compliance, 2006, nr 5, p. 141 7 Bolderhey, I.A.J en F. IJpeij, ´MiFID: zelfs bij ‘business as usual’ verandert er veel’, EDP Auditor, jaargang 16, 2007 nr. 3 8 Ernst & Young Financial Services, ‘Special Wet op het financieel toezicht’, EYe on Finance, april 2007, p. 17 9 Openingstoespraak minister Zalm, Wft-seminar 2006, 17 januari 2006 10 AFM, Beleid en prioriteiten AFM, periode 2007 / 2009, p. 15 11 Wet van 28 september 2006, houdende regels met betrekking tot de financiële markten en het toezicht daarop (Wet op het financieel toezicht), Staatsblad, 2006, 475 12 De definitie van uitbesteden is gebaseerd op de inleidende toelichting bij paragraaf 2.6 van de Regeling organisatie en beheersing (Rob)3 en artikel 1 van de Regeling uitbesteding verzekeraars (Ruv) 13 TK 2005-2006, 28 709 , nr 34, Vijfde Nota van wijziging, p. 21 14 TK 28 709, Amendement 15 AFM, Beleid en prioriteiten AFM, periode 2007 / 2009, p. 19 16 Beleidskader uitbesteding Rabobank, versie 1.1, 2006, p. 3 17 Bakkers, R.W.A., ‘De rol van de compliancefuncite in het uitbestedingsproces, Tijdschrift voor Compliance, 2006, nr 5, p. 141 18 Voulon, M.B., A.W. Duthler, ’IT-REcht – Automatiseringscontracten; een handreiking voor IT-auditors’, Kluwer, december 2006, p. 31 – 32
20 | de EDP-Auditor nummer 1 | 2008
Artikel
CobiT en rapporteren over IT Governance
Bob van Kuijck en Bart Overbeek
De afgelopen jaren is duidelijk geworden dat de financiële markten geen genoegen meer nemen met enkel financiële berichtgeving van ondernemingen. De rapportage over interne beheersing in de vorm van ‘In Control Statements’ heeft haar entree gemaakt. Maar hoe sluit een dergelijke verklaring aan bij reeds aanwezige verklaringen over deelprocessen binnen ondernemingen? Neem nu het voorbeeld van een verzekeringsmaatschappij. De pensioenuitvoerder wil als serviceorganisatie van een deelproces een SAS 70 verklaring ten behoeve van zijn klanten afgeven, de interne compliance-afdeling vraagt om aantoonbaar te voldoen aan de Wet Bescherming Persoonsgegevens en de organisatie als geheel wil een bedrijfsbreed In Control Statement afgeven. Ook bij de Vion Food Group1 speelt een dergelijk issue aangezien de Raad van Bestuur een In Control Statement wil afgeven. Dit artikel gaat specifiek in op de vraag hoe het management invulling kan geven aan de behoefte aan transparantie en zekerheid omtrent het functioneren van de ICT-organisatie als onderdeel van een ‘Internal Control’-project.
Auteurs dr. J.R.H.J. (Bob) van Kuijck RA RC, Corporate Director Internal Audit bij VION Food Group en Universitaire Hoofddocent aan de IT-auditopleiding van de VU. drs. B. (Bart) Overbeek RE is Senior Internal Auditor bij VION Food Group.
Na enkele financiële debacles werd medio 2002 de Sarbanes Oxley wetgeving ingevoerd in de Verenigde Staten. Deze wetgeving heeft in de afgelopen jaren bij een behoorlijk aantal ondernemingen wereldwijd de projectenkalender beheerst. Voor een aantal Nederlandse ondernemingen die een beursnotering hebben in de Verenigde Staten was het boekjaar 2006 zelfs het jaar van de waarheid. Het jaarverslag over 2006 dient namelijk een ‘Internal Control Statement’ te bevatten dat beoordeeld is door een externe accountant. Ook de Nederlandse Code Tabaksblat heeft vele ondernemingen ertoe aangezet om transparant te maken hoe zij hun intern risicobeheersings- en controlesysteem hebben ingericht. Een behoorlijk aantal organisaties heeft in dit kader een proactieve houding aangenomen [KUIJ03] en heeft Internal Controlprojecten opgestart zonder dat direct aan de SOx eisen voldaan moest worden. Daarbij hebben sommige ondernemingen gekozen voor een SOx-lite benadering [KUIJ06]. Een organisatie die een Internal Control-project opstart maakt veelal gebruik van templates die richting geven aan de uitwerking van de risicoanalyse en interne controle binnen reguliere bedrijfsprocessen, zoals inkoop en verkoop. Deze templates bevatten een algemene procesbeschrijving en een set van ‘standaard’ interne controlemaatregelen. In de praktijk zien we echter vaak dat ICT-processen en activiteiten summier worden behandeld of zelfs buiten beschouwing worden gelaten. Hoewel geautomatiseerde interne procescontroles onderdeel zijn van de bedrijfsprocessen, blijken er veelal geen templates beschikbaar voor de algemene processen in de ICT-organisatie (onder ander change management en configuration management). Zijn deze wel beschikbaar dan zijn ze vaak niet geïntegreerd of aan elkaar gerelateerd. Bovendien gebruikt de ICT-afdeling vaak haar eigen beheersingsmodellen om structuur aan te brengen in haar activiteiten. Daarbij kan worden gedacht aan ITIL, CMMI, ISO17799, CobiT [COBI05], Val IT en PRINCE2. Het beoordelen van de ICT in een Internal Control-project is dan ook een lastige zaak als rekening moet worden gehouden met deze verschillende raamwerken en standaarden. Het leidt er toe dat ICT als een losstaand onderdeel van een Internal Control-project wordt gezien. Dit artikel beoogt een aantal handvatten aan te reiken voor een organisatie om de beheersing van de ICT te operationaliseren in het kader van een Internal Control-project.
21 | de EDP-Auditor nummer 1 | 2008
Artikel Diversiteit aan ICT-beheersingsmodellen Een centrale ICT-afdeling van een grote organisatie krijgt de laatste jaren van haar interne klanten allerlei vragen en verzoeken die direct gerelateerd zijn aan Internal Control-projecten of andere kwaliteitsprogramma’s. In de basis hebben al deze vragen betrekking op de kerngebieden van interne beheersing zoals genoemd in het COSO-model, te weten betrouwbaarheid van de financiële verslaggeving, effectiviteit en efficiëntie van de beheersing van processen en het voldoen aan wet- en regelgeving. De vraag naar zekerheid over de interne ICT-beheersing kan uit verschillende hoeken van de organisatie komen en qua aard, diepgang en timing nogal eens verschillen. Het ‘Service Level Management’-proces, waarbinnen de ICTorganisatie verantwoording aflegt over haar dienstverleningsniveau aan de organisatie, biedt onvoldoende informatie over de ICT-beheersing zoals bedoeld vanuit COSO perspectief. Veelal gaat het daarbij om de effectiviteit en efficiëntie van een bepaald deel van de ICT-organisatie. In Control-vraagstukken vereisen toch een bredere aanpak waarbij betrouwbaarheid van geautomatiseerde gegevensverwerking ten behoeve van een betrouwbare financiële verslaggeving en het voldoen aan wet- en regelgeving tenminste ook aandachtsgebieden zijn. Mulders beschrijft dit bijvoorbeeld in het kader van SAS 70 implementaties [MULD05]. Omdat veel van de door de ICT-organisatie gebruikte beheersingsmodellen toegesneden zijn op de beheersing van een specifieke problematiek is het begrijpelijk dat ieder model op zijn eigen gebied wordt ingezet. Het gevolg hiervan is dat er ook op verschillende plaatsen documentatie voorhanden is en modellen elkaar (deels) overlappen. In het kader van het afgeven van zekerheid over de kwaliteit van de ICT-beheersing is het duidelijk dat er behoefte is aan een eenvoudige – zelfs
modulaire – ontsluiting van deze fragmentarische documentatie van risicoanalyses en interne beheersmaatregelen. Dit komt de efficiency ten goede en kan het afgeven van een In Control Statement vereenvoudigen. Ook Van den Biggelaar [BIGG04] geeft aan dat standaardisatie van de ICT-omgeving een ‘Internal Control’-project efficiënter kan maken. Maar is het mogelijk om één, overkoepelend model in te zetten? Structuur in ICT-beheersing Alvorens in te gaan op een dergelijk overkoepelend model voor ICT-beheersing, wordt aandacht besteed aan de plaats van ICT-beheersing binnen de organisatie. Het ICT-management is primair verantwoordelijk voor de beheersing van de ICT-processen en ondersteunt de gebruikersorganisatie met ICT in de bedrijfsprocessen. De gebruikersorganisatie bepaalt in belangrijke mate hoe de bedrijfsprocesbeheersing wordt ondersteund door ICT-applicaties. Door de verantwoordelijkheden scherp te definiëren tussen enerzijds de gebruikersorganisatie en anderzijds de ICT-organisatie, wordt voorkomen dat overlap ontstaat tussen de verantwoordelijkheid in de verschillende beheersingsgebieden. Om dit duidelijk te maken wordt verwezen naar de relatie tussen bedrijfsprocessen en de financiële verslaglegging binnen een onderneming zoals weergegeven door het IT Governance Institute (zie figuur 1). In een notendop laat figuur 1 zien dat general controls de beheersing waarborgen van de IT infrastructure services, die vervolgens applicaties ondersteunen. De applicaties bevatten application controls, die een bijdrage leveren aan de beheersing van bedrijfsprocessen. Deze bedrijfsprocessen voeden vervolgens de (financiële) verslaglegging binnen de onderneming.
Significant Accounts in the Financial Statements Balance sheet
Income Statement
SCFP
Notes
Other
Business Processes/Classes of Transations Process A
Process B
Process C
Financial Applications Application A
Application B
Application C
General Controls • Program development • Program changes • Computer operations • Access to programs and data • Control environment
IT Infrastructure Services Database Operating System Network
Figuur 1: Positie van application controls en general controls binnen de organisatie (Bron:[ITGI06]).
22 | de EDP-Auditor nummer 1 | 2008
Application Controls • • • • •
Completeness Accuracy Validity Authorization Segregation of duties
General controls
door de ICT-organisatie wordt vertaald in oplossingen. Voor het programma van eisen kan de ICT-organisatie echter geen verantwoordelijkheid nemen. Het snijvlak van ‘business’ en ICT is dan ook een gedeelde verantwoordelijkheid, waarbij naar onze mening de ICT-organisatie vanuit dienstverleningsoogpunt het initiatief neemt. De conclusie is dan ook dat activiteiten die moeten leiden tot een In Control Statement voor de ICT-organisatie, zich dienen te concentreren op de general controls. Application controls worden al meegenomen in de beoordeling van de reguliere bedrijfsprocessen.
De general controls kunnen worden omschreven als de maatregelen die zich richten op de beheersing van de basis ICTprocessen. In figuur 1 is aangegeven dat deze controls met name betrekking hebben op de databases, operating systemen en netwerken. Daarnaast hebben ze ook betrekking op de algemene applicatiebeheersing, zoals het invoeren van wijzigingen in de programmatuur en algemene beveiligingsinstellingen van een applicatie. De gedefinieerde categorieën van controls, zoals ‘Program Changes’ en ‘Computer Operations’ vormen de minimale vereiste voor de betrouwbaarheid van financiële verslaglegging. Binnen de scope van een Internal Control Statement wordt uiteraard aan een meer brede beheersing van ICT-activiteiten geappelleerd.
CobiT als overkoepelend model De SOx-wetgeving in de VS heeft er voor gezorgd dat de aandacht voor interne beheersing is toegenomen en dat het COSO-model als standaard voor interne beheersing wereldwijd nog meer is geaccepteerd. Het COSO-model wordt veel toegepast binnen organisaties voor de bedrijfsbrede beheersing van risico’s. Het is echter niet specifiek ontwikkeld voor ICT-beheersing. ISACA heeft de afgelopen jaren nadrukkelijk geijverd om CobiT te laten aansluiten op IT-beheersing in het licht van de SOx-wetgeving. Maar sluit het model aan op de verschillende beheersingsmodellen die in gebruik zijn bij een onderneming, in feite de bestaande IT-governance structuur?
Application controls
Naast general controls zijn ook application controls van belang bij het beheersen van ICT. Application controls zijn beheersmaatregelen die opgenomen zijn in applicaties (onder andere invoercontroles en autorisaties). Application controls maken daarmee onderdeel uit van de interne controle van een bedrijfsproces. Het bestaan van application controls in een applicatie op zich, is nog geen garantie voor een effectieve werking gedurende een bepaalde periode.
Het CobiT-model [COBI05] van het IT Governance Institute (ITGI) komt in diverse publicaties naar voren als overkoepelend raamwerk voor ICT-beheersing. Van den Biggelaar e.a. [BIGG06] spreken over een bruikbaar handvat voor het definiëren en implementeren van key controls. NOREA [NORE04] positioneert CobiT als governancemodel voor ICT-processen (general controls).
deep
Het ICT-management is primair verantwoordelijk voor de general controls, terwijl de rest van de organisatie primair verantwoordelijk is voor application controls. Een dergelijk onderscheid maakt scherpere sturing binnen de organisatie mogelijk. De application controls zijn onderdeel van de reguliere bedrijfsprocessen. Op het snijvlak van ‘business’ en ICT komen de vraag naar ICT en het aanbod van ICT samen, ook wel het ontkoppelvlak genoemd. De vraag naar ICT wordt doorgaans vastgelegd in een programma van eisen, welke
CMMI IT-BPM 15408 TOGAF
Vertical
Het IT Governance Institute (ITGI) heeft in een publicatie een overzicht van International IT Guidance [ITGI06-1]
ITIL
COBIT
13335 17799
NIST TickIT
shallow
FIPS
PMROK COSO
PRINCE2
narrow
Horizontal
Figuur 2: De diepgang van ICT-beheersingsmodellen uitgezet tegen reikwijdte (Bron: ITGI06-1).
23 | de EDP-Auditor nummer 1 | 2008
broad
Artikel gegeven met daarbij een referentie aan haar ‘eigen’ model CobiT. De publicatie geeft inzicht in het toepassingsgebied van een aantal internationaal bekende ICT-beheersingsmodellen. De publicatie evalueert de reikwijdte en diepgang van de modellen. De reikwijdte van het model zegt iets over de mate waarin en de wijze waarop ICT-activiteiten binnen een organisatie door het model worden afgedekt. De diepgang van een model is van belang binnen een Internal Control-project. Enerzijds is dit noodzakelijk om de beheersing voldoende concreet te maken, zodat de ICT-beheersing vanuit de bestaande situatie aan het paraplumodel gekoppeld kan worden. Anderzijds moet het model voldoende fijnmazig zijn om tot een gebalanceerde verklaring te kunnen komen ten aanzien van de ICT-activiteiten binnen de onderneming. De diepgang en reikwijdte van de vergeleken modellen uit de eerder genoemde ITGI-publicatie zijn weergegeven in figuur 2. Uit figuur 2 is op te maken dat CobiT zowel qua diepgang als ook reikwijdte het beste scoort ten opzichte van de andere modellen. Ook hier wordt weer benadrukt dat COSO voldoende breed is voor ICT-beheersing, maar zoals eerder besproken de diepgang ontbeert. Modellen als ITIL, CMMI en ISO17799 scoren relatief goed, maar missen de breedte die een paraplu-model in zich moet hebben. Efficiency Het transparant maken van de interne beheersing op ICT gebied dient op een efficiënte wijze te geschieden. Het overkoepelend model voor ICT-beheersing dient idealiter dan ook aan te sluiten bij de beheersingsmodellen die de onderneming reeds gebruikt bij specifieke ICT-processen. Daarbij moet zoveel mogelijk gebruik worden gemaakt van de reeds aanwezige documentatie, zodat zo min mogelijk aanvullende documentatie moet worden vervaardigd. Relatief veel organisaties die werken aan een In Control Statement, hebben het COSO-model als uitgangspunt gehanteerd bij de start van een Internal Control-project en er bestaan diverse mappings van de control objectives uit CobiT naar het COSO-model. Daarnaast kan CobiT gebruik maken van de meer gedetailleerde modellen binnen de ICTorganisatie, zoals ITIL of CMMI. Ook het ITGI bevestigt deze zienswijze. Daarnaast wijst Fabian bijvoorbeeld op de onderlinge afhankelijkheid van ITIL en CobiT [FABI07]. De relatie tussen CobiT en andere modellen wordt weergegeven in figuur 3. Het voorgaande maakt duidelijk dat CobiT voldoet aan de gestelde eis van efficiency en bovendien de gewenste breedte en diepgang mogelijk maakt. CobiT kan dus fungeren als paraplumodel binnen een bedrijfsbreed Internal Controlproject. Kortom, COSO kan als algemeen raamwerk voor beheersing van bedrijfsrisico’s worden gebruikt (inclusief process controls en application controls) en CobiT specifiek voor de beheersing van ICT-processen. Door de inzet van CobiT wordt maximaal een aansluiting gemaakt met de bestaande IT governance-structuur en wordt additionele documentatie binnen de organisatie beperkt.
COSO
ICS
CobiT
ITIL
CMMI
ISO17799
................
Figuur 3: CobiT en bestaande ICT-beheersingskaders.
De theorie in de praktijk De vraagstelling uit de introductie van dit artikel was hoe het management binnen een organisatie zekerheid en transparantie kan verschaffen omtrent het functioneren van de ICT-organisatie. Uit de evaluatie van de eisen te stellen aan een ICT-beheersingsmodel blijkt dat CobiT voldoet als te hanteren procesmodel. Maar hoe kan dit worden geoperationaliseerd in de praktijk? Concreet zal er een aantal stappen doorlopen moeten worden om tot een ‘gevuld’ ICT-beheersingsmodel te komen. Hieronder worden de stappen weergegeven en aansluitend besproken. Vervolgens wordt besproken hoe de VION Food Group CobiT operationaliseert binnen het lopende Internal Control-project. Stap 1: Inventariseren bestaande detailmodellen Stap 2. Inventariseren bestaande ‘control activities’ Stap 3: Vaststellen van de volledigheid van ‘control activities’ Stap 4: Selectie van ‘key controls’ Stap 5: Operationalisering van het Internal Control-raamwerk Stap 1: Inventariseren bestaande detailmodellen
Het invoeren van CobiT start met de inventarisatie van reeds bestaande ICT-beheersingsmodellen in de organisatie. De gebruikte modellen zullen veelal op deelgebieden ingezet zijn binnen de organisatie. Zo zal bijvoorbeeld ITIL een geschikt model zijn voor de beheerorganisatie, terwijl CMMi meer geschikt is voor de ontwikkelorganisatie. De modellen worden geïnventariseerd en gepositioneerd binnen CobiT. Op deze wijze kan ook worden vastgesteld of alle ICT-elementen die nodig zijn voor het ‘Internal Control Statement’ (ICS) op hoofdlijnen zijn afgedekt. Stap 2: Inventariseren bestaande control activities
De volgende stap betreft het inventariseren van bestaande control activities binnen de ICT-organisatie. Deze activiteiten hebben vaak al een plek gekregen binnen de detailmodellen zoals ITIL en CMMI. De control activities worden zo veel mogelijk via de bestaande modellen gekoppeld aan CobiT-processen. Bij deze inventarisatie is het erg belangrijk om de meest belangrijke controls op te nemen in het CobiT raamwerk, de zogenaamde key controls. Hoewel de key controls pas in een later stadium worden vastgesteld is het goed om de inventarisatie met deze focus uit te voeren. Op deze
24 | de EDP-Auditor nummer 1 | 2008
wijze kan het aantal te monitoren beheersmaatregelen beperkt worden gehouden. Stap 3: Vaststellen van de volledigheid van control activities
De bestaande control activities worden voorts gekoppeld aan het CobiT-model. Hierdoor wordt duidelijk op welke vlakken nog geen control activities in de organisatie aanwezig zijn. In feite wordt CobiT gebruikt om de volledigheid van de ICTbeheersing te toetsen. CobiT-processen die niet zijn afgedekt kunnen alsnog ingevuld worden door nieuwe control activities te ontwerpen. Op het laagste niveau wordt binnen CobiT gesproken van meetbare indicatoren, die concreet genoeg aangeven in welke richting gezocht of ontworpen dient te worden. Kortom, CobiT is een goed hulpmiddel bij het opsporen of formuleren van ontbrekende control activities. Stap 4: Selectie van key controls
In deze stap dienen, in het hele spectrum van geïdentificeerde beheersmaatregelen binnen CobiT, de belangrijkste beheersmaatregelen (key controls) benoemd te worden. De key controls dienen voorts door de verantwoordelijke organisatie, in continuïteit, gemonitord te worden. Op deze wijze is het mogelijk periodiek een Internal Control Statement af te geven. Dit kan niet alleen voor de organisatie als geheel, maar ook specifiek voor (delen van) de ICT-beheersing. Stap 5: Operationalisering van het Internal Control-raamwerk
In de laatste stap dient het Internal Control-raamwerk, gebaseerd op CobiT, in gebruik te worden genomen. Dit betekent dat de key controls met de bijbehorende frequentie beoordeeld moeten worden op effectieve werking, dat dit proces gemonitord dient te worden door de reviewers en dat de bevindingen gedocumenteerd dienen te worden. In het navolgende wordt de uitvoering van het stappenplan binnen VION Food Group behandeld. CobiT binnen VION Food Group In de inleiding van dit artikel werd aangegeven dat VION Food Group (VION) werkt aan een project dat moet leiden tot een Internal Control Statement in het voorjaar van 2008. Ook de ICT-organisatie binnen VION is integraal onderdeel van dit Internal Control-project. Door VION is op basis van een voorstudie gekozen voor een combinatie van COSO en CobiT. De Internal Audit afdeling van VION ondersteunt de organisatie bij het bereiken van deze doelstelling, een werkwijze die wordt onderschreven door Lambeth [LAMB07]. De Internal Audit afdeling heeft eind 2006 binnen VION een ICT risico-inventarisatie uitgevoerd die is uitgemond in een strategie en een plan voor de audit van de ICT-organisatie in 2007-2008. Bij deze inventarisatie is gebleken dat de inzet van beheersingsmodellen binnen de ICT-organisatie nog beperkt is, waardoor deze ook nog onvoldoende bij kunnen dragen aan de vulling van het CobiT-model. Daarentegen wordt de invoering van CobiT dan ook niet belemmerd door reeds bestaande beheersingsmodellen en docu-
mentatie op het gebied van ICT. Ondanks dat modellen voor ICT-beheersing nog beperkt zijn ingevoerd en control activities niet of nauwelijks zijn gedocumenteerd, zijn deze in praktijk vaak wel (impliciet) aanwezig. Bij het inventariseren van aanwezige control activities binnen VION heeft de Internal Audit afdeling een instrumentele rol. Door ICT-audits uit te voeren binnen de ICT-organisatie wordt gezamenlijk met de betrokkenen vastgesteld welke control activities op ICT gebied reeds beschikbaar zijn en welke nog ontbreken. Door gebruik te maken van actieplannen wordt invulling gegeven aan het proces van verbetering van ICT-beheersing. Hierbij worden niet alleen beheersmaatregelen benoemd die een betrouwbare geautomatiseerde gegevensverwerking moeten waarborgen, maar wordt ook aandacht besteed aan de efficiency en effectiviteit van ICT-processen. Tegelijkertijd wordt in dit proces documentatie gegenereerd en de key controls geselecteerd die worden opgenomen in CobiT. Vervolgens wordt de structurele monitoring opgestart. Conform het ICT-auditplan 2007-2008 zal in de beginjaren de focus zich richten op de belangrijkste processen en in de loop van de jaren worden gradueel alle ICTprocessen in kaart gebracht. Het documentatie- en monitoringproces in de organisatie kan ondersteund worden door een geautomatiseerde tool die de documentatie, de noodzakelijke monitoring en de rapportage over de effectiviteit mogelijk maakt. Binnen VION wordt hiervoor reeds gebruikgemaakt van de tool BWise die ook wordt ingezet voor het SOx-lite project [KUIJ06]. De documentatie bestaat doorgaans uit procesbeschrijvingen waarin de key controls geïdentificeerd worden, daarnaast worden de key controls nader gespecificeerd in matrices. Per key control worden een aantal kenmerken vastgelegd, zoals het risico dat wordt gemanaged, de frequentie waarmee de key control wordt gemonitord en de verantwoordelijke reviewer. De CobiT-processen zullen binnen BWise op vergelijkbare wijze als de andere bedrijfsprocessen binnen VION worden vastgelegd. De verantwoordelijke ICT-managers worden vervolgens periodiek gevraagd om van de benoemde key controls aan te geven of deze effectief werken binnen de processen. Deze informatie over de ICT-beheersing vormt de basis om tot een In Control Statement te komen voor de ICTorganisatie als onderdeel van het bedrijfsbrede In Control Statement. Conclusie De combinatie COSO-CobiT is een veel voorkomende combinatie binnen organisaties die een In Control Statement (willen) afgeven. Met name op het terrein van control over financial reporting ten behoeve van SOx-compliance komt het gebruik van COSO en CobiT regelmatig voor. Ondanks dat de scope binnen dergelijke omgevingen beperkt blijft tot de betrouwbaarheid van financiële verslaglegging, kan CobiT ook goed in een breder kader worden ingezet. De Internal Control-projecten die binnen veel organisaties momenteel
25 | de EDP-Auditor nummer 1 | 2008
Artikel worden uitgevoerd, zoals ook binnen de VION Food Group, hebben behoefte aan een dergelijk breed inzetbaar model dat bovendien de juiste diepgang kent. Daarnaast is met name de inpasbaarheid van CobiT binnen bestaande beheersingsmodellen op het gebied van ICT een belangrijke eis. CobiT geeft hier goed invulling aan doordat het model als paraplu kan fungeren voor de ICT-beheersing. Bestaande beheersingsmodellen, zoals ITIL en CMMI, kunnen binnen het CobiTraamwerk worden verankerd en geven meer in detail aan hoe de ICT-activiteiten kunnen worden ingericht en beheerst. CobiT heeft in dit opzicht met name de control-focus en bewaakt de volledigheid van de ICT-beheersing. ■
[ITGI06-1]
IT Governance Institute, CobiT Mapping, Overview of
[KUIJ03]
dr. J.R.H.J. van Kuijck RA RC, drs. R.J. Bogtstra RA CIA, De
Literatuurverwijzingen
[NORE04] NOREA, IT Governance, een verkenning, 2004.
International IT Guidance, 2nd Edition, 2006. managementverklaringen in Sarbanes-Oxley, Naar een beheerst en transparant proces van externe informatieverschaffing, Compact, 2003/3. [KUIJ06]
dr. J.R.H.J. van Kuijck RA RC, SOx-lite approach, Column de toestand in de auditwereld, Audit Magazine, december 2006.
[LAMB07]
J. Lambeth, CISA, CISSP, Using CobiT as a Tool to Lead Enterprise IT Organizations, Information Systems Control Journal, Volume 1, 2007.
[MULD05] drs. H.A. Mulders RA, SAS 70-implementaties: kansen en bedreigingen, Audit magazine, 2005/9.
[BIGG04] [BIGG06]
[COBI05] [FABI07]
drs. ing. S.R.M. van den Biggelaar RE, Standaardisatie van alles: de laatste trend?, Compact, 2004/4.
Noten
drs. ing. S.R.M. van den Biggelaar RE, drs. S. Janssen RE, drs. G.J.L
1. De Vion Food Group genereerde in 2007 wereldwijd een omzet van
Lamberiks; SAS 70 in een ICT-fabriek; Accesoire, fabrieksoptie
meer dan circa € 7,5 miljard met meer dan 15.000 medewerkers (www.
of onderdeel van de standaard?; Compact, 2006/1.
vionfood.com). De Internal Audit afdeling biedt het hoofdkantoor van
IT Governance Institute, Control Objectives for Information
VION ondersteuning bij de invoering van het bedrijfsbrede ‘In Control
and Related Technology, 4th Edition, 2005.
Statement’.
R. Fabian, Ph.D., I.S.P., Interdependence of CobiT and ITIL, Information Systems Control journal, volume 1, 2007.
[ITGI06]
IT Governance Institute, IT Control Objectives for SarbanesOxley, The Role of IT in the Design and Implementation of Internal Control over Financial Reporting, 2nd Edition, September 2006.
26 | de EDP-Auditor nummer 1 | 2008
Artikel
Opzet van wereldwijde sofware compliance audits bij Philips Nan Zevenhek
Steeds meer organisaties worden zich bewust van de noodzaak tot software compliance en vooral van het belang van een goede bewijsvoering. In contracten van softwareleveranciers staat vaak dat deze audits mogen uitvoeren om te controleren of bedrijven voldoen aan de bepalingen van hun softwarelicenties. Philips heeft afgelopen jaren een aanpak ontwikkeld om de risico’s met betrekking tot software compliance te kunnen beoordelen en verminderen.
Auteur
Bedrijven zijn wettelijk verplicht om voor software die geïnstalleerd is op hun computers de eventuele licenties te betalen of een ander soort vergoeding te voldoen. De laatste jaren vragen steeds meer softwareleveranciers om zogenaamde software compliance audits, om zekerheid te krijgen over de volledigheid van dergelijke betalingen. Philips vindt het ongewenst dat leveranciers dat zelf intern uitvoeren, omdat er dan heel veel Philips locaties zijn die met externe partijen hierover moeten communiceren. Tegelijkertijd zijn bedrijven zich bewust van de kosten van software en willen niet meer licentiekosten betalen dan strikt noodzakelijk. In beide gevallen spelen er financiële aspecten: qua boetes en qua bedrijfsvoering. Bij het niet-compliant zijn is er ook het risico van imagoschade. Tijdens een conferentie in maart 2007 in Utrecht over IT Asset Management werd duidelijk dat veel bedrijven geen zekerheid kunnen geven over het compliant zijn met de bepalingen van hun softwarelicenties1. Sinds vier jaar voert Philips Corporate Internal Audit jaarlijks interne software compliance audits uit. De scope wordt vastgesteld door het Philips Audit Committee IT met als voorzitter de Chief Financial Officer. Deze audits staan in principe los van verzoeken van externe leveranciers, maar houden er wel rekening mee. Dit artikel beschrijft ‘meetaspecten’ van de bewijsvoering, softwarelicenties bij Philips en de wereldwijde opzet van software compliance audits bij Philips en ervaringen daarmee.
Drs. N. (Nan) Zevenhek RE is sinds 1 januari 2008 verantwoordelijk voor Global IT Asset Management bij Philips. In haar vorige functie bij Internal Audit heeft ze software compliance audits opgezet. Ze heeft ervaring in internationale logistieke en financiële systemen. Zevenhek is eveneens fractievoorzitter van het CDA te Waalre – zie www.cdawaalre.nl – en lid van het Algemeen Bestuur van Waterschap de Dommel.
Meten van software en licentieadministratie Bij veel softwarepakketten is bij de ontwikkeling geen rekening gehouden met de wijze waarop het aantal installaties of het gebruik ervan gemeten kan worden. Ook de licenties zelf hanteren verschillende gebruikscriteria. Daardoor zijn er heel veel variaties in de wijze van meten van software en de administratie van licenties. Voorbeelden van meting van het gebruik van geïnstalleerde software op de machines zijn: • Agents, die automatisch tijdens het inloggen van een gebruiker een scan maken van welke software geïnstalleerd is op de computer, of scans die regelmatig draaien op computers die verbonden zijn aan het lokale netwerk. • Handmatige metingen, waarbij alleen een geautoriseerde persoon in staat is software te installeren en er regelmatig
27 | de EDP-Auditor nummer 1 | 2008
Artikel een onafhankelijke steekproef genomen wordt van wat daadwerkelijk geïnstalleerd is. Dit is alleen werkbaar bij kleine organisaties. • Een leveranciersspecifieke oplossing die apart meten overbodig maakt, zoals een licentiesleutel, waarmee een beperkt aantal installaties mogelijk is. Of een ingebouwde logfile, die het aantal gebruikers bijhoudt en die niet aangepast kan worden. Het maximum aantal gebruikers dat gemeten is, moet dan bijvoorbeeld betaald worden. Speciale aandacht is nodig voor computers die op voorraad liggen met daarop geïnstalleerd software. Afhankelijk van de contractvoorwaarden moet die wel of niet meegeteld worden in de metingen. Voorbeelden van administratie van beschikbare softwarelicenties zijn: • Excel sheets, waarop handmatig de ingekochte licenties worden vermeld, met de geldigheidstermijn en andere gegevens. • Databases die vanuit bijvoorbeeld een SAP-systeem gegevens krijgen van aangekochte softwarelicenties en automatisch of handmatig gevuld worden met informatie van een systeem dat geïnstalleerde software scant. • Configuration Management Database systemen die handmatig worden bijgehouden. Softwarelicenties bij Philips Phlips heeft wereldwijd 121.700 mensen in dienst, verspreid over 26 landen. Bij de aanvang van 2007 waren er vier verschillende Product Divisies. Omdat er geen standaards waren hebben IT-managers van Philips zelf een methode ontwikkeld die voorziet in de mogelijkheid om het aantal beschikbare licenties ten opzichte van het aantal geïnstalleerde licenties te meten en daarover te rapporteren. Bij wie of welke functie ligt de verantwoordelijkheid voor software compliance? Softwarelicenties worden beschouwd als een asset. De verantwoordelijkheid voor de asset en de software compliance ligt altijd bij de business die gebruik maakt van de software. Afhankelijk van het soort software, kan de verantwoordelijkheid gedelegeerd zijn. Voor een aantal grote contracten (bijvoorbeeld SAP, Oracle en IBM) is General Purchasing IT verantwoordelijk en onderhoudt het primaire contact met een leverancier. De licenties worden centraal voor Philips ingekocht en kunnen via een zogenaamde License Desk gefactureerd worden aan bedrijfsonderdelen. Voor andere centrale contracten worden lokaal inkooporders bij het afgesproken verkoopkanaal geplaatst. Voor standaard kantoorsoftware is er een centrale uitvoerende IT-organisatie, die handelt namens de business. Deze zorgt ervoor dat een aantal softwarepakketten vooraf betaald zijn (bijvoorbeeld Windows XP Professional) en zorgt tevens voor distributie van (updates van) de software. De business rappor-
teert hoeveel Qualified Desktops ze van een pakket geïnstalleerd heeft en betaalt daarvoor maandelijks een bedrag. De wijze waarop bedrijfsonderdelen intern hun software compliance regelen is sterk afhankelijk van de eisen en karakteristieken van de business. In fabrieksomgevingen of bedrijfsonderdelen met een lage winstmarge zijn er strikte regels voor de aankoop van software. Als een business daarentegen hoge winstmarges heeft, wordt er minder gelet op mogelijke kosten, maar wordt er bijvoorbeeld wel sterk gelet
Philips Research ICT Security Rules & Regulations “We aim to protect Intellectual Property and other Philips (Research) assets while supporting a creative climate in an open innovation setting and be compliant with Philips (control) standards.”
– Philips Research ICT Eindhoven – While many organisations have chosen to implement a ‘full-control’ model where the ICT department stipulates what is or is not allowed, Research ICT has opted for an ‘allow-and-audit’ model that allows users some freedom of choice. A method that has proven compatible with the general Reasearch approach. What we expect from you: • Do not make use of illegal software • Do not install unknown software What you may expect from us: • The allow-and-audit model that we work with involves regulat audits to ensure that users stay within the legal boundaries of what we ‘allow’.
Figuur 1: ‘Allow and audit statement’ bij research
28 | de EDP-Auditor nummer 1 | 2008
op beveiliging. Bij researchafdelingen moeten onderzoekers juist de vrijheid hebben om het nieuwste van het nieuwste uit te proberen, waaronder softwarepakketten. Behalve een potentieel licentieprobleem is er ook een beveiligingsrisico, omdat onbekende en ongeteste software ongewenste effecten kan hebben. Hier zijn harde (ondertekende) afspraken met gebruikers nodig en wordt een zogenoemd ‘Allow and audit’ model toegepast. Gebruikers mogen zelf software installeren, maar dienen de IT-afdeling hiervan op de hoogte te brengen, zodat die de software kan onderzoeken. Men dient zelf te regelen dat er voldoende licenties zijn aangekocht. Regelmatig voert de IT-afdeling audits uit op de naleving van deze afspraak.
Bij software waar men lokaal verantwoordelijk voor is, heeft Internal Audit een opzet gemaakt voor de compliance audit. De aanpak is afgelopen vier jaar sterk verbeterd. Er worden wereldwijd locaties geselecteerd en fysiek bezocht. In eerste instantie was er een willekeurige selectie van locaties, waarbij één auditor de hele wereld rond reisde. Pas in het tweede jaar werd achteraf gekeken hoe representatief de geselecteerde locaties waren ten opzichte van het geheel en naar de verdeling over de Product Divisies en de regio’s. R e p re s e n ta tiv ite it p e r P ro d u c t D iv is ie 70 60 50
2005
40
Auditen van software compliance bij Philips Internal Audit van Philips maakt gebruik van een zogenaamde ‘risk based approach’. Daarbij gebruikt ze een inschatting van de risico’s voor de opzet van haar audits.
2006
30
2007
20 10 0 CE
Voor software compliance zijn de volgende algemene risico’s gedefinieerd: • ontbreken van voldoende kennis op het gebied van softwarelicenties. • illegale software is geïnstalleerd, met gerelateerde beveiligingsrisico’s of ongeplande interactie met reguliere software. • onjuiste of onvolledige administratie van het aantal geïnstalleerde softwarepakketten. • onjuiste of onvolledige administratie van aantal beschikbare softwarelicenties. • teveel en te dure software is geïnstalleerd. Het laatste risico kan ook geformuleerd worden als ‘ontbreken van kostenbewustzijn’. Adobe Acrobat Professional is bijvoorbeeld veel duurder dan Adobe Acrobat Elements. De meeste gebruikers maken alleen een PDF-file aan, waarbij Elements al voldoende is. Het financiële risico is afhankelijk van het softwarepakket, hoe de inkoop van de licenties verloopt – centraal of decentraal – en hoe de fysieke distributie van software plaatsvindt. Voor de grote centraal beheerde softwarepakketten worden Philips-breed gegevens opgevraagd en vergeleken met het aantal licenties. Afhankelijk van de details van het licentiecontract moeten gegevens tussen bedrijfsonderdelen afgestemd worden, om te voorkomen dat gebruikers dubbel meetellen. Internal Audit zorgt hierbij voor ondersteuning en een controleerbare opzet van de metingen en wijze van rapporteren. Bijvoorbeeld voor SAP heeft Internal Audit meegeholpen met een draaiboek voor het uniform meten van de SAP installaties per Product Divisie en het definiëren van de te meten grootheden, zodat de verzamelde gegevens vergelijkbaar waren. De wijze van ondersteuning of auditen is geheel afhankelijk van het soort pakket, de contracten en de achtergronden van de vraag. Dit artikel gaat daar niet verder op in, maar gezien de grote juridische en financiële risico’s heeft software compliance van deze pakketten veel aandacht binnen Philips.
PMS
DAP
Lighting
Other
Product Divisie
Figuur 2: Representativiteit van geaudite locaties per Product Divisie
R e p re s e n ta tiv ite it p e r re g io 60 50 40
2005
30
2006
20
2007
10 0 Europa
Amerika
Azie
Regio
Figuur 3: Representativiteit van geaudite locaties per regio
In 2006 werd al bij de selectie van locaties gekeken of de verdeling over de continenten en Product Divisies evenredig was. De toen onderzochte locaties waren verantwoordelijk voor beheer van 22,5 procent van het totale aantal ‘Qualified Desktops’ binnen Philips. Door de inspanningen voor SOx waren er beduidend minder locaties bezocht. Omdat het reizen toch relatief veel tijd kostte, is in 2007 een andere strategie voor de selectie van locaties gekozen. Bij al geplande operationele audits is nagegaan of gelegenheid was een software compliance audit uit te voeren en of er totaal voldoende verdeling was over de regio’s en Product Divisies. Deze aanpak was weer efficiënter omdat er geen tijd (en geld) aan reizen verloren ging. Er was echter meer coördinatiewerk nodig, om de compliance audits toe te voegen aan reeds geplande audits. In 2008 zal de software compliance audit onderdeel worden van de reguliere Performance Reviews. Daarbij worden vele aspecten van de bedrijfsvoering geaudit. De representativiteit van de daarbij geselecteerde bedrijfsonderdelen ten opzichte van het totaal aantal PC’s is nog onbekend.
29 | de EDP-Auditor nummer 1 | 2008
Artikel
Jaartal
2004
2005
2006
2007
Aantal uitvoerende auditors
1
9
4
11
Aantal onderzochte locaties
19
32
20
30
Totaal benodige uren per locatie inclusief voorbereiding en reizen
23
13
10
10
Wijze van selectie locaties
random
random
dekkings-
operationele
graad
audits
Representativiteit geaudite locaties t.o.v. total aantal PCs
?
30%
20%
35%
Tabel 1: Karakteristieken van software compliance audits bij Philips
Bij grote tekortkomingen vindt een jaar later altijd weer een software compliance audit plaats, soms door een nieuw lokaal bezoek, maar ook door een telefonisch interview en opvragen van digitale bewijzen. Auditvoorbereiding, veldwerk en rapportage Bij de wereldwijde software compliance audits van de desktops en laptops is een coördinerend Audit Manager verantwoordelijk voor de administratieve voorbereiding, planning, ondersteuning en eindrapportage. Alle Chief Information Officers van de Product Divisies krijgen een algemene Engagement Letter met een aankondiging van de onderwerpen en de opzet van de audit, zonder de geselecteerde locaties zelf te noemen. De lokaal verantwoordelijk auditor, stuurt uiterlijk drie dagen voor het fysieke bezoek een aankondiging. Dit kan omdat het auditveldwerk zelf bij goede voorbereiding maar een paar uur in beslag neemt. Per locatie is er een template file beschikbaar, waarin per risico kan worden aangegeven welke maatregelen zijn genomen om het risico te beperken. De toelichtende informatie is zodanig dat er bijna geen uitleg nodig is. Bij de voorbereiding beoordeelt de Audit Manager de ontwikkelingen in de centraal gerapporteerde cijfers van het aantal Qualified Desktops en de geïnstalleerde standaardsoftware. Hij formuleert daarbij vragen die de lokale auditor kan stellen, naast de algemene vragen. • Het is bijvoorbeeld zeer onwaarschijnlijk dat er drie kwartalen achtereen hetzelfde aantal gerapporteerd wordt: aantallen computers en softwarepakketten in een organisatie zijn vrijwel altijd aan verandering onderhevig. • Een grote variatie in de tijd is echter ook onwaarschijnlijk en vereist een goede (organisatorische) uitleg. • Om het kostenbewustzijn te beoordelen wordt gekeken naar de verhouding tussen het aantal dure pakketten en het aantal goedkope pakketten met ongeveer dezelfde functionaliteit. Tijdens het veldwerk legt de lokale auditor de antwoorden op de vragen in de template vast. Bij tekortkomingen, bijvoorbeeld te weinig of te veel licenties, wordt de ernst van de tekortkoming (‘rating’) bepaald op basis van het bedrag
dat er mee gemoeid is. De software compliance wordt beoordeeld als inadequaat als: • Uit de beantwoording van de vragen blijkt dat er lokaal geen kennis aanwezig is over softwarelicenties en er geen duidelijke procedure is voor installeren en deïnstalleren van software en beheer van aangekochte licenties. • Als er geen automatische scan is van geïnstalleerde software en aantoonbaar compenserende maatregelen ontbreken. Het aantal bevoegde personen voor Admin rechten op een PC of Laptop moet bijvoorbeeld beperkt zijn en regelmatig moet handmatig de geïnstalleerde software vergeleken worden met de administratie. Anders wordt de werkwijze beschouwd als een groot risico en belangrijke tekortkoming. • Als het gerapporteerde aantal niet overeenkomt met het gescande aantal en er geen reële verklaring is voor de afwijking. Als bewijs vraagt de auditor om ter plekke een aantal systeemscans te verrichten en/of beoordeelt hij/zij de gebruikte systeemscan. Voor vooraf centraal geselecteerde softwarepakketten vraagt de auditor kopieën van de facturen voor de betreffende software. Bij concurrent softwarelicenties controleert de auditor in het systeem of daar het maximum aantal overeenkomt met datgene wat in de licentie staat. De auditor maakt zo snel mogelijk een samenvatting van zijn bevindingen en legt de verzamelde bewijzen digitaal vast. Dit kan ook in de vorm van screenprints. Na overeenstemming met de auditee over de bevindingen, kan de locatie direct met eventuele verbeteracties beginnen. Bij grote tekortkomingen worden hogere managementniveaus en de Financial Controller geïnformeerd. In november/december maakt de coördinerende Audit Manager een formeel rapport per Product Divisie. Algemene bevindingen worden onderscheiden van bevindingen per Product Divisie of per regio. Om de kennisuitwisseling te verbeteren, verwijzen bijlagen van het rapport naar Best Practices of internationale ontwikkelingen. Effecten Er gaat een preventieve werking uit van software compliance audits: Product Divisies gebruiken bijvoorbeeld de Engagement Letter om bij hun lokale IT-personeel het belang van
30 | de EDP-Auditor nummer 1 | 2008
software asset management extra te benadrukken. Informatie uit de rapporten wordt gebruikt voor distributie van kennis. De software compliance en vooral het bijhouden van de licentiepositie door bedrijfsonderdelen van Philips is sterk verbeterd. Het algemene bewustzijn van het belang van Software Asset Management is sterk vergroot. Ook op hogere niveaus in de organisatie beseft men dat software een asset is, waarbij goed beheer zichzelf terug verdient. Centrale afdelingen nemen een deel van de audit taak over, omdat op basis van de administratieve analyse van gerapporteerde cijfers vaak al te voorspellen is of een locatie adequaat softwarelicentiemanagement heeft of niet. Een regionale IT manager kan een bedrijfsonderdeel daardoor preventief adviseren en ondersteunen. Door de systematische opzet van de audits is redelijk in te schatten hoeveel tijd nodig is voor het coördinerende werk en het veldwerk lokaal.
‘sense and simplicity’ proces, dat zorgt voor beperking van de juridische en financiële risico’s en de mogelijke imagoschade. ■
Aanbevelingen Het bijhouden van Master data zoals ‘fingerprints’ of ‘DNA’ waaraan software herkend kan worden, kost veel tijd. Er is een ISO-norm 2
in ontwikkeling voor het definiëren van deze zogenaamde Tags . Herkenbaarheid van software is ook in het belang van de leverancier. Bedrijven kunnen de onduidelijkheid gebruiken als oorzaak dat het bewijzen van software compliance bemoeilijkt wordt, of een andere leverancier selecteren die het wel goed geregeld heeft. Er is afgelopen jaren een ISO-norm voor Software Asset 3
Management ontwikkeld , waar sommige bedrijfsonderdelen al gebruik van maken. Met deze ISO-norm kan ook het auditen zelf weer verbeterd worden, of zich richten op andere terreinen van Software Asset Management die voorwaardenscheppend zijn. Te eenvoudige installatie van software, zonder aan te geven welke keuzes met de daaraan gerelateerde kosten mogelijk zijn, kan leiden
Verbetering van de onderhandelingspositie
tot dure en veel te geavanceerde softwarepakketten. Door het aantal keuzes te beperken en te stimuleren (en regelmatig te controle-
Door kennis van de eisen van de business kunnen onderhandelin-
ren) dat er vooral standaardsoftware wordt gebruikt, kan dit
gen met leveranciers doelmatiger gevoerd worden. Daarbij gaat
voorkomen worden.
het niet alleen over de prijs, maar ook of er specifiek gemeten moet
Belangrijk is dat de meeteenheid van een softwarelicentie of con-
worden en wat de meeteenheid is.
tract eenduidig vastligt. Als dit onduidelijk is, kan de organisatie
Een bedrijfsonderdeel van Philips heeft bijvoorbeeld bereikt dat ze
hierop onvoldoende sturen en kunnen onverwachte financiële
een ‘named user’ licentie mocht vervangen door een ‘concurrent
verplichtingen het gevolg zijn.
users’ licentie. Voor de leverancier had dit als voordelen een ver-
Veel softwarelicenties blijven ongebruikt, die mogelijk op andere
groot draagvlak voor betaling van een weinig gebruikt pakket en
plaatsen in het bedrijf ingezet kunnen worden. Informatie hierover
een sterk vereenvoudigde controle.
is vaak onvoldoende bekend of bereikt niet de juiste personen.
Ook omzetting van een licentie van serverniveau naar een hoger
Een lokale ‘License Advisory Board’ en een speciale softwarelicen-
niveau (meestal een fysieke locatie met meerdere bedrijfsonderde-
tiemanager kunnen veel geld besparen: bedrijfsonderdelen die
len), kan een interessante optie zijn. K-SOL Project Reader staat het
hun licentiepositie goed beheersen en zich bewust waren van de
bijvoorbeeld toe dat er op een locatie ongelimiteerd gebruik van dit
kosten, concentreerden zich op het efficiënter gebruik van de soft-
pakket kan worden gemaakt, zonder het actuele aantal installaties
warelicenties, door ongebruikte software te deïnstalleren en goed-
of gebruik te hoeven meten.
kopere pakketten aan te bieden. Ook ging men in onderhandeling met leveranciers. Er zijn bedrijfsonderdelen waarbij de complianceverplichting met een paar miljoen euro verminderd is.
Conclusies Een systematische aanpak van software compliance audits loont. De afgelopen jaren is bij Philips het software asset management sterk verbeterd en kan audit zich specifiek richten op regio’s of bedrijfsonderdelen waar risico’s liggen of op grotere softwarepakketten. Bij software waar bedrijfsonderdelen zelf volledig verantwoordelijk voor zijn, kunnen lokale auditors heel goed de compliance beoordelen. Voorwaarde is dat er een compacte, maar heldere instructie is met achtergrond, vragen, mogelijke antwoorden en voorbeelden van bewijsvoering. Voor de grote centraal beheerde pakketten lijkt een vast aanspreekpunt voor uitvoering van software compliance audits essentieel. Bijvoorbeeld voor tussentijdse advisering. Daarbij is een specialisatie in Software Asset Management van de auditor onvermijdelijk gezien de complexiteit van de bewijsvoering en betrokkenheid van verschillende disciplines. Naar aanleiding van de bevindingen ontwikkelt Philips een
Voor totaal Philips is het bedrag onbekend.
Noten 1 Conferentie IT Asset Management 21 maart 2007, Heliview, Utrecht 2 De laatste ontwikkelingen staan op http://www.iso19770.com 3 ISO/IEC 19770-1 over Software Asset Management, zie http://www.iso. org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=33908&I CS1=35&ICS2=80&ICS3=&scopelist
31 | de EDP-Auditor nummer 1 | 2008
Artikel
Samenwerking tussen business, project en auditors Sleutel tot succesvolle conversies Margarethe van der Maat, Luc van Peer, Eric Bijlsma en Ivo Brand
Achmea maakt deel uit van Eureko, een financiële dienstverlener met activiteiten in elf Europese landen. Achmea is ontstaan door fusies van onder meer Centraal Beheer, FBTO, Avéro, Groene Land, Zilveren Kruis en Interpolis. Door deze fusies zijn vele systemen samengevoegd en aangepast, met als gevolg grote conversietrajecten.
Auteurs drs. M.C.E. (Margarethe) van der Maat RE werkt sinds 2005 als IT auditor bij Achmea binnen Group Audit & Risk Services. L.T.M. (Luc) van Peer RE RA werkt sinds 1999 als IT auditor bij Achmea binnen Group Audit & Risk Services. E. H. (Eric) Bijlsma is manager Credit Management bij Financial Services Achmea. drs. I. (Ivo) Brand werkt sinds 2002 bij Accenture en is conversiemanager binnen de projectgroep OCM bij Financial Services Achmea.
Door de fusies en het willen verbeteren van de dienstverlening aan de klant, is Achmea voortdurend bezig haar processen en de organisatorische inrichting te verbeteren. Hierdoor worden systemen samengevoegd of functionaliteiten aangepast, met als gevolg grote conversietrajecten. Zowel de externe als de interne accountant hecht grote waarde aan de betrouwbaarheid/kwaliteit van deze trajecten omdat de conversie veelal een direct verband heeft met de jaarrekening; resultaat en vermogen dienen in de jaarrekening juist en volledig te worden weergegeven. Maar naast het belang voor de accountant is er een groot business belang; van klanten moeten de contractafspraken maar ook de historie worden meegenomen om de klanten van dienst te kunnen blijven zijn. Alle reden om extra aandacht te besteden aan conversies omdat van de interne auditor wordt verwacht dat hij zowel de business als de jaarrekeningaspecten beoordeelt. We beschrijven in het vervolg van dit artikel aan de hand van een concreet project de methodiek die hierbij is gehanteerd en die heeft geleid tot een succesvolle conversie. De methodiek heeft als basis een goede samenwerking tussen de business, het project en de auditors (Group Audit & Risk Services, interne accountantsdienst), waarbij een ‘schone conversie’ met een adequate verslaglegging van aantoonbare correcte overgang het doel is. De beschrijving van het project wordt voorafgegaan door een aantal uitgangspunten die Achmea hanteert bij conversies in het licht van de risico’s die daarbij kunnen optreden. Uitgangspunten Achmea hecht grote waarde aan het juist en volledig verlopen van conversies. De volgende activiteiten dienen daarom onderdeel te zijn van de conversiemethodiek: • Bepaling stakeholders. In dit stadium is overleg met de business van belang om vast te stellen hoe de belangen van de stakeholders optimaal kunnen worden gewaarborgd. • Bepalen en inrichten van controlemaatregelen waarmee de juistheid en volledigheid van de conversie kan worden aangetoond. Ook hier is betrokkenheid van de business van belang, met name voor het bepalen van acceptatiecriteria. • Samen met de business organiseren van vroegtijdige schoning van bestaande dataomgevingen. • Ontwerp, bouw en test van schonings- en conversieprogrammatuur. • Uitvoeren van proefconversies.
32 | de EDP-Auditor nummer 1 | 2008
Figuur 1: Conversiestappen (© Accenture 2008)
• Opzetten van procedures met de business om uitval die tijdens de conversies ontstaat te kunnen afwikkelen. • Uitvoering van de conversie. • Uitvoeren volledigheid en juistheid controles en de vastlegging hiervan. • Besluit over acceptatie conform acceptatiecriteria. • Correctie van uitval conform procedures en besluit en transparante vastlegging hiervan. Voor deze bovenstaande aandachtspunten is de betrokkenheid van de business, project en auditors een sleutelfactor. Risico’s Conversietrajecten verschillen niet van andere IT-projecten, waarvan de complexiteit vaak wordt onderschat en waardoor IT-projecten in veel gevallen uitlopen of duurder worden dan gepland. Wanneer de functionaliteit toeneemt en datamodellen wijzigen neemt de complexiteit van de conversietrajecten toe. Wanneer conversies niet goed worden uitgevoerd kan dit nadelige gevolgen hebben: • Als er geen goede documentatie is van de uitgevoerde conversie of als hierin fouten aanwezig zijn kan de gebruikersorganisatie moeilijk tot acceptatie overgaan. • Er kan veel herstelwerk noodzakelijk zijn als er uitval is. Herstel is arbeidsintensief en waarborgen over herstel zijn vaak moeilijk te realiseren. • Wanneer data onvolledig en onjuist in de doelsystemen komt, moet de organisatie verder op basis van onbetrouwbare gegevens. Dit is voor klanten, organisatie en andere belanghebbenden zoals toezichthouders onacceptabel. • In het kader de van jaarrekening kan onvolledigheid van data leiden tot een onjuiste weergave van vermogen en resultaat. Project Optimalisatie Credit Management Omdat conversietrajecten meestal uniek zijn en veel capaciteit vragen, maakt Achmea de afweging om in specifieke conversietrajecten extra capaciteit in te schakelen door samen te werken met externe partijen met ervaring bij gelijksoortige trajecten. Voor het project Optimalisatie Credit Management (OCM), heeft Achmea aan Accenture gevraagd om ondersteuning te verlenen. Het doel van het OCM-project is het vervangen van het bestaande palet aan credit management systemen en processen door één nieuwe generieke systeemoplossing en bijbehorende uniforme processen. Onderdeel van het project is het converteren van de noodzakelijke gegevens om de credit management activiteiten in de nieuwe systemen te kunnen uitvoeren.
Gehanteerde methodologie De methodologie die voor het OCM-project is gehanteerd voor de conversie is gebaseerd op de Accenture Delivery Methods: een verzameling van de collectieve ervaring van Accenture wereldwijd die is vormgegeven in een eenduidige standaardmethodologie. Deze methodologie sluit aan bij de uitgangspunten van Achmea en draagt bij aan de beheersing van bovengenoemde risico’s. Een ‘schone conversie’ met een adequate verslaglegging van aantoonbare correcte overgang (juist en volledig) is de doelstelling die Achmea voor het OCM-project heeft geformuleerd. Hieronder wordt beschreven hoe bij het OCM-project invulling is gegeven aan de methodologie. De beschreven onderdelen hebben in belangrijke mate bijgedragen aan het realiseren van de doelstelling van Achmea: een ‘schone conversie’ met een adequate verslaglegging van aantoonbare correcte overgang. Prepare Data Conversion: Samenwerking tussen Business, Project en Auditors In de beginfase van het project zijn de voornaamste belanghebbenden geïdentificeerd: de klanten, de verantwoordelijke divisies en hun afdelingen, de externe toezichthouders en interne toezichthouder Group Audit & Risk Services (GARS). Tijdens het opstellen van de wensen en eisen, is de betrokkenheid vanuit zowel de business als toezichthouders een must. Dit traject is de eerste belangrijke stap om het project tot een succes te brengen. Door dit in een vroeg stadium te doen, kunnen wensen en eisen van de business en de auditor meegenomen worden in de ontwerpfase. Gedurende het hele conversietraject heeft periodiek afstemming met GARS plaats gevonden. Na de ontwerpfase is er met de business gekeken wat de impact is van het ontwerp op de huidige processen en welke dataschoning er plaats dient te vinden om tot een schone conversie te komen. Voor het OCM-project is een projectleider aangesteld om de business te ondersteunen bij het bepalen van de prioriteitstelling en het uitvoeren van de dataschoning. Het tijdig oppakken van de schoningsactiviteiten betaalt zich tijdens de conversie rijkelijk terug omdat de uitval door de aanpak te overzien is en verrassingen voor de business uitblijven. Create New Data heeft betrekking op het creëren van een elektronische versie van gegevens die uitsluitend op papier beschikbaar zijn. Dit is niet van toepassing geweest binnen het OCM-project.
33 | de EDP-Auditor nummer 1 | 2008
Artikel Cleanse Existing Data: Dataschoning Er is gekozen voor een conversietraject voorafgegaan door dataschoning, om ervoor te zorgen dat alleen betrouwbare en relevante data geconverteerd wordt. Dit reduceert het risico van foutieve transacties in de doelsystemen na conversie hetgeen bijvoorbeeld kan leiden tot ineffectieve of onjuiste communicatie richting klanten. Denk aan onjuiste postbestelling omdat de postcode niet bestaat uit vier cijfers en twee letters, of hetzelfde betalingskenmerk op acceptgiro’s naar verschillende klanten waardoor de aflettering van vorderingen met de betalingen niet goed gaat. Ook tijdens het conversieproces zorgt vervuilde data voor inefficiënt gebruik van mensen, tijd en middelen. Immers, vervuiling van data kan tot uitval leiden. Bijvoorbeeld bankrekeningnummers die niet aan de elfproef voldoen omdat het bronsysteem deze eis niet stelt maar het doelsysteem wel. Uitval zal geanalyseerd, gecommuniceerd (schoningsrapporten en werklijsten) en geschoond moeten worden en mensen zullen moeten worden getraind om nieuwe uitval te voorkomen . Schone data zorgt voor een verbetering van de efficiëntie en effectiviteit van de operationele processen. De kwaliteit van interne managementinformatievoorziening neemt toe omdat de gegevens waarop de managementinformatie gebaseerd is relevant en betrouwbaar zijn. De kosten van vervuilde data laten zich moeilijk in euro’s uitdrukken. De belangrijkste ‘kostenpost’ is de klantontevredenheid als gevolg van ineffectieve of onjuiste klantcommunicatie. Binnen het OCM-project is een dataschoningsteam opgenomen in het conversieteam. Het project omvat de conversie van meerdere portefeuilles. De doelsystemen zijn gelijk, dus zo ook de eisen die aan de gegevens van de verschillende portefeuilles worden gesteld. Het dataschoningsteam is zo ingericht dat de mensen en middelen (schoningsdatabase, schoningsqueries, rapporten en werklijsten) gedeeld kunnen worden. Voor het uitvoeren van de dataschoning is eerst de techniek opgezet: een database met voldoende capaciteit voor kopie-productiegegevens van de te converteren portefeuilles. Hiernaast zijn afspraken gemaakt tussen het project en de business over de timing, scope en het format van de aan te leveren gegevens. Vervolgens is gestart met het definiëren van de consistentiecontroles. Deze controles zijn gebaseerd op de eisen van de conversieprogrammatuur en doelsystemen, maar ook op ‘logische’ controles. De eisen van de conversieprogrammatuur en de doelsystemen kunnen worden afgeleid uit de ontwerpdocumentatie. Dit kan gaan om onder andere controle-eisen zoals de eerder genoemde ‘elfproef’ controle van bankrekeningnummers maar ook om lengtes van velden waarbij het bronsysteem adresvelden met meer karakters toestaat dan het doelsysteem waardoor gegevens worden afgebroken. Een voorbeeld van een logische controle die niet genoemd stond in de ontwerpdocumentatie was het controleren van ontbrekende telefoonnummers van klanten. Een telefoonnummer is bijvoorbeeld geen verplicht veld in het doelsysteem, wordt evenmin als eis door de conversieprogrammatuur gesteld en de klantgegevens vallen
dus ook niet uit tijdens conversie als het telefoonnummer ontbreekt. Het is echter wel van toegevoegde waarde om de klantgegevens in het doelsysteem zo volledig mogelijk te hebben, dus kan het interessant zijn om ontbrekende telefoonnummers aan te vullen. Wel krijgen dergelijke schoningsacties als gevolg van een logische controle doorgaans een lagere prioriteit dan schoningsacties die uitval voorkomen. Een andere indeling in consistentiecontroles is die in soort controle: controle op volledigheid (zijn alle gegevens daadwerkelijk aanwezig, het voorbeeld van de ontbrekende telefoonnummers), controle op consistentie (zijn dezelfde gegevens identiek indien deze in meerdere applicaties worden bijgehouden), controle op integriteit (controleer of er een aanmaningsobject is aangemaakt indien de som van de vorderingen groter is dan de som van de betalingen en er is een bepaalde periode verstreken) en controle op geldigheid (controle of waardes buiten de definities vallen, het voorbeeld van de postcode waarbij gecontroleerd wordt of deze uit vier cijfers en twee letters bestaat). Nadat de techniek was opgezet, afspraken waren gemaakt met de business aangaande de aanlevering van de gegevens, en de consistentiecontroles waren gedefinieerd is gestart met het daadwerkelijk controleren van de gegevens met behulp van proefconversies. De resultaten zijn geanalyseerd en gedocumenteerd in zogenaamde schoningsrapporten. Deze rapporten bevatten een overzicht van de geconstateerde datavervuiling, prioriteit en aantallen per portefeuille. Dit geeft inzicht in de hoeveelheid werk om te komen tot ‘schone’ data. Op basis van deze rapporten is door de business de capaciteit om te schonen vrijgemaakt. De scheiding die hierbij gemaakt wordt is dat het meten, analyseren en rapporten een projectverantwoordelijkheid is en het daadwerkelijk schonen van de gegevens een lijnverantwoordelijkheid. Uit de schoningsrapporten zijn operationele werklijsten gedestilleerd die door de business gebruikt zijn voor het daadwerkelijk opschonen van de gegevens. De operationele werklijsten bevatten de detailgegevens op veldniveau. De voortgang is gemeten door regulier nieuwe kopie-productiegegevens in te lezen in de schoningsdatabase en consistentiecontroles uit te voeren en te rapporteren. Door de resultaten in de tijd uit te zetten wordt inzichtelijk gemaakt
Onderzoek
Analyseer
Trainen Definieer
Schonen Communiceer
Figuur 2: Iteratief proces dataschoning (© Accenture 2008)
34 | de EDP-Auditor nummer 1 | 2008
Interface
C
Bron A
A
Doel A
A
Database B
B
Figuur 3: Controles (© Accenture 2008)
of de gestelde doelstellingen gehaald gaan worden of dat er bijgestuurd dient te worden. Een iteratief proces zoals weergegeven in figuur 2. Het moment waarop gestart dient te worden met dataschoning hangt van meerdere factoren af, zoals de grootte van de dataset en de mate van vervuiling. Binnen het OCM-project is een half jaar voor conversie gestart met dataschoning. Het resultaat was er dan ook naar: slechts één op de ruim 140.000 records is uitgevallen. Correcties achteraf zijn daardoor zeer beperkt gebleven. Create Back-up, Perform Data Conversion, Verify Data en Verify Converted Data: de conversie en controlemaatregelen Na het maken van een back-up van de bestaande situatie is de daadwerkelijke conversie uitgevoerd. De conversie bestaat uit de stappen extract, transfer, load (ETL). De extractie betreft meerdere attributen Master Data (stamgegevens), meerdere attributen Transactionele Data (financiële gegevens) uit meerdere systemen. De load betrof het laden van de verschillende attributen naar meerdere doelsystemen. Om een volledige en juiste conversie te borgen is in een vroeg stadium (in de ontwerpfase) in nauw overleg tussen de business, project en auditors een set van uit te voeren controlemaatregelen na de conversie opgesteld. Deze controlemaatregelen bestaan uit een drietal controles: 1. Verify Data: Step by Step controles (controle A in figuur 3) - deze tellingen borgen de volledigheid van de gegevens. Bij elke stap in het conversieproces, dus van extractie uit het bronsysteem tot en met inladen van gegevens in de doelsystemen worden tellingen uitgevoerd Hiermee wordt geborgd dat de extractiebestanden alle gegevens bevatten en dat er geen gegevens verloren gaan gedurende het conversieproces . 2. Verifiy Converted Data: End to End Controles (controle B in figuur 3) – deze tellingen borgen de juistheid van de gegevens. Hierbij wordt een extractie uit de bronsystemen en een extractie uit de doelsystemen in een separate database geladen. Op regelniveau (dus op de volledige set) worden de
gegevens vergeleken en worden afwijkingen inzichtelijk gemaakt. De vergelijking gaat op basis van een sleutel (bijvoorbeeld relatienummer of vorderingsnummer). 3. Verifiy Converted Data: Visuele Controles (controle C in figuur 3) – deze zijn bedoeld om aan de gebruikers / gedelegeerd acceptanten / testers te kunnen bewijzen dat de gegevens één op één in de nieuwe systemen zijn overgezet. Deze controles vinden steekproefsgewijs plaats. De betrouwbaarheid en nauwkeurigheid zijn bepalend voor de omvang van de steekproef. De steekproef is opgezet met een betrouwbaarheid van 95 procent en een onnauwkeurigheid van 5 procent. Zowel tijdens de test (proefconversies) als de daadwerkelijke conversie is een logboek bijgehouden met hierin in detail de aantallen geconverteerde gegevens, bedragen en uitval, controleresultaten step-by-step tellingen, controleresultaten end-to-end tellingen, resultaten visuele controles, resultaten grootboekcontrole en opmerkingen van de gedelegeerd acceptanten. Dit logboek heeft de basis gevormd voor formele acceptatie van de geconverteerde portefeuilles van Achmea in oktober 2007. Met behulp van het logboek kon de business verantwoording afleggen aan de diverse belanghebbenden waaronder GARS. Tot slot Conversies komen regelmatig voor binnen Achmea en kunnen zeer complex zijn. Het vroegtijdig betrekken van de business, auditors en het hanteren van een standaardmethodiek creëren waarborgen voor een schone conversie. Resultaat van de standaardmethodiek is een rapportage die de verantwoordelijken voor de conversie voldoende onderbouwde evidence geeft om tot formele acceptatie van de conversie te kunnen overgaan. Daarnaast zijn ook de andere belanghebbenden gediend bij een geslaagde conversie die goed is onderbouwd. Voor het succesvol toepassen van de standaardmethodiek is vroegtijdige betrokkenheid van de business en de projectorganisatie een voorwaarde. Toepassing van deze werkwijze heeft tot nu toe geleid tot twee conversies. ■
35 | de EDP-Auditor nummer 1 | 2008
Artikel
Het auditen van corporate governance
Ruth van den Heuvel-Slappendel
De scope van internal audit is in de afgelopen periode verbreed. Gezien de nadruk die de laatste jaren is gelegd op corporate governance, is de ontwikkeling van de rol van internal audit richting het beoordelen van corporate governance een logische stap. Op basis van literatuur en interviews met deskundigen is onderzocht over welke aspecten van corporate governance internal audit zekerheid zou kunnen verschaffen.
Auteur Drs. R. (Ruth) van den Heuvel-Slappendel RO is als auditor werkzaam bij Fortis Audit Services. Dit artikel beschrijft de resultaten van het onderzoek dat zij uitgevoerd heeft voor de afsluiting van de postinitiële opleiding Internal/Operational Auditing aan de Erasmus School of Accounting and Assurance (ESAA).
Het vakgebied internal audit heeft zich de afgelopen periode sterk ontwikkeld. Oorspronkelijk was internal audit vooral financieel georiënteerd, maar na de Tweede Wereldoorlog is haar aandachtsgebied uitgebreid met de operationele activiteiten van een organisatie. [GLEI06, 2; PAAP07, 58] Op dit moment richt internal audit zich vooral op primaire en secundaire processen binnen een organisatie. Een mogelijke nieuwe stap in de ontwikkeling van de rol van internal audit is het beoordelen van overkoepelende bestuurlijke processen en activiteiten, zoals corporate governance ofwel ‘ondernemingsbestuur’. Gezien de wereldwijde maatschappelijke aandacht voor een gezond corporate governance, zou dit een logische ontwikkeling zijn. Internal audit zou hierdoor meer aansluiten op bijvoorbeeld Standard 2060 van het Institute of Internal Auditors (IIA) [IIA01], die aangeeft dat internal audit moet rapporteren over onder andere corporate governance zaken: ‘… Reporting should also include significant risk exposures and control issues, corporate governance issues, and other matters needed or requested by the board and senior management’. Ook het European Confederation of Institutes of Internal Auditing (ECIIA) [ECII05] geeft aan dat internal audit het management inzicht moet bieden in corporate governance, en in haar werk de meest brede scope moet hanteren [PAAP03, 86]. Verder geven Cohen e.a. [COHE02, 585] aan dat internal audit zich momenteel te weinig op ‘corporate organisations and controls’ richt [PAAP07, 78]. Sarens [SARE07, 19] stelt dat internal audit dé functie bij uitstek is ‘om de Raad van Bestuur (RvB), het auditcomité en het management te ondersteunen bij het deugdelijk besturen van de onderneming’. Op grond van deze literatuur over internal audit in relatie tot corporate governance en de wereldwijde maatschappelijke aandacht voor een gezond corporate governance, is te verwachten dat de scope van internal audit zich in de toekomst uitbreidt met bepaalde corporate governance aspecten. Probleemstelling en afbakening Het verkennend onderzoek waarover dit artikel verslag doet, geeft inzicht in de mogelijke rol van internal audit ten aanzien van het verschaffen van zekerheid over corporate governance. Het gaat niet om het inventariseren van de rol die internal audit op dit moment vervult, maar om het in kaart brengen van de rol die internal audit zou kunnen vervullen.
36 | de EDP-Auditor nummer 1 | 2008
De probleemstelling luidt: Over welke corporate governance aspecten zou internal audit zekerheid kunnen verschaffen? Corporate governance is het systeem van besturing en beheersing van een onderneming, in het bijzonder het voldoen aan verantwoordelijkheden en verplichtingen door het topmanagement, gericht op het behartigen van de belangen van aandeelhouders en andere belanghebbenden, binnen de kaders van wet- en regelgeving. [Definitie gebaseerd op: IIA06, 4; CADB92, 14; AUST03, 3; BCCG98, 7] De probleemstelling wordt hoofdzakelijk beantwoord voor internal audit diensten van westerse beursgenoteerde ondernemingen. Het onderzoek maakt geen onderscheid tussen organisaties met het Rijnlands (two tier) en organisaties met het Angelsaksisch (one tier) bestuursmodel. De bewoordingen van dit artikel gaan uit van het Rijnlands (two tier) bestuursmodel. Zoals Paape [PAAP07, 47] aangeeft, laten verschillende onderzoeken een trend zien naar het rapporteren door internal audit aan een steeds hoger niveau in de organisatie, zoals het Audit Committee. Daarom gaat het onderzoek er vanuit dat internal audit organisatorisch is gepositioneerd onder de Raad van Commissarissen (RvC), als ondersteunende functie van het Audit Committee (AC). De mogelijkheden tot het geven van zekerheid over corporate governance door internal audit worden onderzocht. De adviserende, faciliterende en uitvoerende rollen van internal audit ten aanzien van corporate governance blijven buiten beschouwing. Het is dus mogelijk dat bepaalde corporate governance aspecten niet worden genoemd, maar wel binnen de scope van internal audit vallen, maar dan door adviesverlening, faciliteren of uitvoeren. Literatuur en deskundigen De handvatten die de literatuur biedt voor de beoordeling van corporate governance door internal audit, zijn op basis van gemeenschappelijke kenmerken naar eigen inzicht gegroepeerd naar de volgende negen onderwerpen (in volgorde van het aantal verschillende bronnen dat deze onderwerpen noemt, dus het eerstgenoemde onderwerp wordt het vaakst genoemd). 1. taakuitvoering Raad van Commisarissen; 2. communicatie door topmanagement; 3. strategie; 4. ethisch beleid; 5. bestuursstructuur en organisatiestructuur; 6. organisatie van de RvC; 7. internal control statement; 8. maatregelen voor bewustzijn van corporate governanceeisen; en 9. besturingsprincipes. Deze onderwerpen en de onderliggende aspecten zijn voorgelegd aan zeven deskundigen uit de praktijk die, zoals in de
onderzoeksverantwoording is beschreven, diverse disciplines vertegenwoordigen. Hieronder volgt per onderwerp steeds een korte weergave van de literatuur hierover, en vervolgens de mening van de deskundigen. 1. Taakuitvoering Raad van Commissarissen
Beoordeling van de taakuitvoering van de RvC en haar commissies kan bijvoorbeeld betrekking hebben op de beoordeling, beloning en onkostenvergoeding van topmanagement, waarvoor de RvC verantwoordelijk is. Internal audit moet geen individuele gevallen beoordelen, maar zou wel de aandacht van de RvC voor managementbeloning, de juistheid en volledigheid van aan de RvC verstrekte informatie of het proces voor beloning en vergoeding, kunnen beoordelen. [IIA06, 8; BLUE99, 58; OECD04, 62; MELV07; PAAP07, 134] Zes deskundigen zijn het hiermee eens. Zij geven aan dat internal audit inderdaad geen individuele gevallen dient te beoordelen, maar wel een indirecte beoordeling kan uitvoeren (het beoordelen van het functioneren van het remuneratiecomité). Eén deskundige vindt dat internal audit het remuneratiecomité niet mag beoordelen, omdat zij gepositioneerd is onder de RvC en dus onder het remuneratiecomité. Volgens het IIA [IIA06, 6; IIA-1, PA 2110-1, 3] kan internal audit de aandacht voor risico’s, de risicohouding en het inspelen op risico’s van de RvC beoordelen. PA 2110-1 geeft aan dat internal audit zou kunnen nagaan of de RvC op de hoogte is van de risicomethodologie die de organisatie hanteert. Andere bronnen noemen alleen het risicomanagement door de RvB en door andere niveaus in de organisatie [BCBS06, 20; BCBS02, 3; IIA01, Standard 2120; IIA-1, PA 2110; ECII05, 38 en 40; SARE07, 91-115]. Alle deskundigen vinden dat risicomanagement alleen tot het niveau van de RvB binnen de scope van internal audit valt. Het risicomanagement door de RvC valt volgens hen in eerste instantie buiten de scope van internal audit. Zij vinden het niveau van de RvC te hoog om door internal audit beoordeeld te worden. Zij verwachten dat de RvC dit niet zal accepteren en dat de beoordeling van de RvC de onafhankelijkheid van internal audit in gevaar brengt. Reden hiervoor is dat de RvC opdrachtgever is van internal audit. (Overigens geven de deskundigen aan dat internal audit de RvC wellicht wel kan beoordelen op verzoek en met adviesverlening als doel.) Verder zou internal audit kunnen beoordelen welke activiteiten de RvC en haar commissies uitvoeren en of zij vasthouden aan hun handvest [IIA06, 7; IIA-1, PA 2060-2, 4]. Ook de werving van senior management en van leden van de RvB kan onderwerp van audit zijn (niet het beïnvloeden van individuele beslissingen maar wel het herkennen en beoordelen van patronen) [IIA06, 8]. Het is belangrijk dat er een goede verhouding bestaat tussen de RvB en de RvC. Zij moeten voldoende communiceren, maar wel gescheiden blijven. Wanneer hier problemen bestaan, kunnen deze gesignaleerd en opgelost worden door ingrijpen van buitenaf [ADAM07; SUND03]. Dit ingrijpen zou door internal audit kunnen plaatsvinden door bijvoorbeeld de activitei-
37 | de EDP-Auditor nummer 1 | 2008
Artikel ten van de RvC en de communicatie tussen de RvC en de RvB te beoordelen of door te beoordelen of de RvC onafhankelijk is van de RvB [IIA-1, PA 2120.A1-4, 6]. Alle deskundigen zijn terughoudend over deze aspecten. Zoals hierboven beschreven vinden zij dat internal audit geen zekerheid dient te verschaffen over het functioneren van de RvC, omdat zij zelf onder de RvC valt. Overigens geven vier deskundigen aan dat deze aspecten wel beoordeeld kunnen worden op het niveau van de dochterondernemingen; internal audit is een ondersteunende afdeling van het AC en dus van de RvC van de groep, en kan daardoor de RvC niet beoordelen. Voor de RvC’s van de dochterondernemingen geldt dit niet. Volgens de deskundigen kan internal audit de taakuitvoering van de RvC dus wel beoordelen voor de dochterondernemingen, maar niet op het niveau van de groep. Elementen van de beoordeling, beloning en onkostenvergoeding van topmanagement kunnen volgens hen echter wel op het niveau van de groep beoordeeld worden. 2. Communicatie door topmanagement
Communicatie vindt plaats tussen diverse topmanagementpartijen onderling, en tussen het topmanagement en andere externe en interne partijen. De literatuur noemt verschillende werkzaamheden van internal audit. Zo kan internal audit nagaan of de organisatie voldoet aan haar beleid voor rapportage aan stakeholders (bijvoorbeeld voor wat betreft financiële rapportages, persberichten en communicatie tijdens crisissen) [IIA06, 8]. Ook kan internal audit de interactie tussen de RvC, de RvB en het senior management beoordelen [IIA06, 6; IIA01, Standard 2120.A1; IIA-1, PA 2120.A1-4]. Een ander voorbeeld is het beoordelen van de vergaderingen van de RvC en haar commissies (frequentie van de vergaderingen, vergaderschema’s, verspreiding van informatie vooraf, agenda, issues die besproken worden, de tijd die in vergaderingen besteed wordt aan open discussie) [IIA06, 6; IIA01, Standard 2060, IIA-1, PA 2060-2]. Zes deskundigen zijn het erover eens dat internal audit de communicatie in de organisatie kan beoordelen, met uitzondering van de communicatie van de RvC en haar commissies. Als reden geven zij de onafhankelijkheid van internal audit ten opzichte van haar opdrachtgever, zoals hiervoor beschreven. Eén deskundige geeft aan dat internal audit de communicatie van de RvC en haar commissies – bijvoorbeeld hun vergaderingen – wel mag beoordelen. 3. Strategie
Het IIA geeft aan dat de belangrijkste strategische keuzen worden gemaakt door het topmanagement, en daarom niet door internal audit beoordeeld mogen worden. Wel kan internal audit beoordelen of er geen tegenstrijdigheden in de verschillende elementen van de strategie voorkomen, en wat de impact is van de strategie op de organisatie en op externe stakeholders. [IIA06, 9] Ook Melville1 geeft aan dat de scope van internal audit wel zou moeten verschuiven van het operationele, naar het tactische en strategische niveau van de
organisatie, maar dat de kern van de strategische beslissingen niet tot de scope van internal audit mag gaan behoren. Alle geïnterviewde deskundigen zijn van mening dat internal audit de strategie van een organisatie niet inhoudelijk mag beoordelen. Enerzijds geven zij als motivatie dat de strategie bepaald is door de RvC, de opdrachtgever is van internal audit. Zij gaan er, zoals eerder beschreven, vanuit dat internal audit haar eigen opdrachtgever niet onafhankelijk kan beoordelen. Anderzijds geven zij aan dat internal audit ervan uit mag gaan dat het topmanagement voldoende deskundig is om strategische keuzen te maken, om zich bewust te zijn van tegenstrijdigheden in de strategie en om de impact van de strategie op de organisatie en op externe stakeholders te overzien. Drie deskundigen gaven nog aan dat internal audit het AC en de RvC wel zekerheid mag verschaffen over dat deel van het strategievormingsproces dat zich in de organisatie heeft afgespeeld, en over de uitvoerbaarheid van de strategie gezien de organisatie-inrichting. Alle deskundigen geven aan dat internal audit de consistente vertaling van de strategie in de organisatie zou moeten beoordelen. Elementen van de vertaling van de strategie in de organisatie zijn ook in de literatuur terug te vinden. Zo kan internal audit volgens het KAD+ model beoordelen of de strategie voldoende is geëxpliciteerd door het topmanagement, en daarmee duidelijk is voor de organisatie [HART06, 19]. Verder kan internal audit volgens het KAD+ model beoordelen of de strategie is vertaald naar financiële en niet-financiële doelstellingen en naar kritieke succesfactoren en prestatie-indicatoren [HART06, 11]. Deze vertaling naar doelstellingen past ook binnen het onderdeel Risicobeoordeling van het COSO model, en wordt genoemd door de FEE [FEE03, 53]. Verder kan internal audit beoordelen of het management zich houdt aan het beleid, de strategie, en de gewenste risicopositie van de RvC [BCBS06, 14; IIA01, Standard 2600; FEE03, 12]. De inhoudelijke beoordeling van de strategie past volgens de deskundigen dus niet binnen de taak van internal audit. Wel kan internal audit volgens hen de totstandkoming, de uitvoerbaarheid en de implementatie van de strategie beoordelen. Dit is in overeenstemming met wat hierover in de literatuur is aangegeven. 4. Ethisch beleid
Internal audit zou de inhoud van het ethisch beleid en de gedragsregels kunnen beoordelen: is het volledig, bevat het de passende onderwerpen en richtlijnen? Dit kan bijvoorbeeld door vergelijking met andere codes. [IIA06, 7; IIA01, Standard 2130.A1; IIA-1, PA 2130-1] Geen enkele deskundige geeft aan dat de inhoudelijke beoordeling van het ethisch beleid niet past binnen de taak van internal audit. Vier deskundigen vinden echter dat internal audit het ethisch beleid moeilijk inhoudelijk zal kunnen beoordelen, vanwege haar beperkte kennis op dit gebied. Twee deskundigen geven aan dat internal audit in plaats daarvan beter het proces kan beoordelen waarmee het ethisch beleid tot stand is gekomen.
38 | de EDP-Auditor nummer 1 | 2008
Verder kan internal audit de implementatie van het ethisch beleid beoordelen: vertoont het management voorbeeldgedrag, zijn ethische verantwoordelijkheden toegewezen, zijn er adequate leermogelijkheden, hoe wordt ethisch gedrag gestimuleerd, hoe is de acceptatie en het begrip [IIA06, 7; IIA01, Standards 2120.A1, 2130.A1; IIA-1, PA’s 2120.A14, 2130-1; ECII05, 36; PAAP07, 136-138]. Ook onderzoek naar overtredingen en toepassing van een eventueel sanctioneringsbeleid, kunnen door internal audit worden beoordeeld. Internal audit kan bijvoorbeeld nagaan of onderzoek onbevooroordeeld en door bekwame personen gebeurt, ondersteund wordt door relevante feiten, en resulteert in passende acties door het management. [IIA06, 8; BLUE99, 58; IIA-1, PA 1210.A2-2] Alle deskundigen geven aan dat implementatie van ethisch beleid, onderzoek naar overtredingen, en voorbeeldgedrag door de top, door internal audit beoordeeld kunnen worden. De deskundigen zijn dus van mening dat de beoordeling van het ethisch beleid en de toepassing daarvan, past binnen de taak van internal audit. Tegen de inhoudelijke beoordeling van het ethisch beleid heeft een aantal deskundigen bezwaren. 5. Bestuursstructuur en organisatiestructuur
Onder corporate governance valt zowel de bestuursstructuur (RvC, commissies van de RvC, RvB, en dergelijke) als de organisatiestructuur (indeling in business lines, ondersteunende functies, et cetera). Het KAD+ model [HART06] geeft aan dat internal audit dient te beoordelen of de organisatiestructuur aansluit op de strategische uitgangspunten van de organisatie. Ook het CEBS [CEBS06, 143] ziet in de beoordeling van de organisatiestructuur blijkbaar een taak voor internal audit, wanneer zij in haar Consultation Paper 10 aangeeft dat internal audit de onafhankelijkheid van de Operational Risk Management Functie moet beoordelen. Eén deskundige geeft aan dat het opstellen van een norm voor de beoordeling van de organisatiestructuur wellicht problemen zal geven. Een andere deskundige verwacht dat internal audit op dit gebied wellicht onvoldoende deskundig is. Toch vinden zij en de overige deskundigen dat de beoordeling van de organisatiestructuur, en dan vooral de aansluiting met de strategie, een mogelijke taak is van internal audit. Volgens het IIA dient internal audit de bestuursstructuur van de organisatie [IIA0606, 3] en de juiste en volledige toewijzing van corporate governance sleutelverantwoordelijkheden te beoordelen [IIA06, 7; IIA01, Standard 2130]. Ook de CBFA [CBFA06, 17] kent in dit opzicht een rol toe aan internal audit, wanneer zij aangeeft dat de leiding van een organisatie de bevindingen van internal audit vertaalt naar maatregelen om onder andere de bestuursstructuur te versterken. Alle deskundigen vinden dat de bestuursstructuur van de organisatie buiten de scope van internal audit valt, omdat dit een te hoog niveau is voor internal audit. Drie deskundigen vinden dat de toewijzing van corporate governance sleutelverantwoordelijkheden wel door internal audit beoordeeld kan worden.
Eén deskundige geeft aan dat hier onderscheid gemaakt moet worden tussen het niveau van de groep en het niveau van dochterondernemingen. De bestuursstructuur en de toewijzing van corporate governance sleutelverantwoordelijkheden op het niveau van de dochterondernemingen vallen, in tegenstelling tot die op het niveau van de groep, binnen de scope van internal audit. Twee deskundigen merken op dat internal audit (periodiek) zou moeten beoordelen of haar eigen positie haar onafhankelijkheid waarborgt en haar voldoende toegang tot het AC biedt. Dit is in overeenstemming met PA 2060-2, 5 en 1110-2, 2. Mijns inziens is dit voor internal audit geen kerntaak, maar een randvoorwaarde om haar taken uit te voeren. De organisatiestructuur kan volgens de deskundigen dus door internal audit beoordeeld worden, in tegenstelling tot de bestuursstructuur van de groep. De bestuursstructuur van de dochterondernemingen past volgens één van de deskundigen wel binnen de scope van internal audit. 6. Organisatie Raad van Commissarissen
Een ander corporate governance onderwerp dat door internal audit beoordeeld zou kunnen worden, is de organisatie van de RvC en haar commissies. Aspecten die in de literatuur genoemd worden, zijn: • de samenstelling van de RvC en haar commissies (aantal leden, belangenverstrengeling, bekwaamheid van leden) [IIA06, 6]; • de werving van leden van de RvC (niet het beïnvloeden van individuele beslissingen maar wel het herkennen en beoordelen van patronen) [IIA06, 8]; • de onderlinge verdeling van taken en verantwoordelijkheden en prestatiemeting binnen de RvC en haar commissies [IIA06, 7; IIA-1, PA 2060-2, 4]; • het proces van tot stand komen en onderhouden van het beleidshandboek [IIA06, 7; IIA-1, PA 2060-2, 4]; en • de door leden van de RvC te volgen trainingen [IIA06, 7; BLUE99, 44]. Over de beoordeling van de organisatie van de RvC en haar commissies zijn alle deskundigen terughoudend. Dit kan volgens hen hooguit in de vorm van advies. Reden hiervoor is, zoals eerder besproken, dat internal audit haar opdrachtgever volgens hen moeilijk onafhankelijk kan beoordelen. Vier deskundigen geven aan dat dit niet geldt voor de RvC’s van dochterondernemingen en hun commissies. 7. Internal control statement
Internal audit kan zekerheid geven over het proces van totstandkoming van het internal control statement [ECII05; PAAP03, 85; IIA98, 9], naast het geven van zekerheid over de inhoud ervan. Alle deskundigen zijn het hiermee eens en geven aan dat dit vaak al het geval is. Internal audit beoordeelt vaak het proces van totstandkoming van het internal audit statement, en gaat tevens na of de inhoud van het internal control statement niet in strijd is met haar eigen bevindingen.
39 | de EDP-Auditor nummer 1 | 2008
Artikel 8. Bewustzijn van corporate governance eisen
Om het bewustzijn van corporate governance eisen te waarborgen, dient een organisatie bijvoorbeeld processen in te richten en medewerkers te trainen. Dit kan een taak zijn van zowel het topmanagement als het bestuurssecretariaat. Internal audit zou kunnen beoordelen of de organisatie adequate maatregelen heeft genomen om het bewustzijn van corporate governance eisen te waarborgen [IIA06, 7]. Vijf van de zeven deskundigen vinden dat dit past binnen de taak van internal audit. Twee deskundigen zijn terughoudend omdat zij vinden dat internal audit dan een vrij hoog niveau in de organisatie beoordeelt waaronder, zoals eerder besproken, haar eigen opdrachtgever. 9. Besturingsprincipes
Het KAD+ model [HART06] geeft aan dat internal audit dient vast te stellen of het topmanagement haar besturingsprincipes voldoende heeft geëxpliciteerd. Besturingsprincipes zijn (principiële) uitspraken over: • normen en waarden van de organisatie; • uitgangspunten voor de allocatie van taken, bevoegdheden en verantwoordelijkheden, en voor samenwerken; • uitgangspunten voor besturing en wijze van leidinggeven; en • uitgangspunten voor eenheid van beleid. Alle deskundigen zijn van mening dat de beoordeling of besturingsprincipes voldoende geëxpliciteerd zijn, past binnen de taak van internal audit. Juist omdat besturingsprincipes vaak weinig zijn geëxpliciteerd, zou het goed zijn als internal audit hierop zou wijzen. Conclusie Doel van het onderzoek is inzicht te geven in de mogelijke rol van internal audit ten aanzien van het verschaffen van zekerheid over corporate governance. De probleemstelling luidt: ‘Over welke corporate governance aspecten zou internal audit zekerheid kunnen verschaffen?’ Wanneer we de literatuur vergelijken met de mening van de deskundigen, valt op dat vooral de beoordeling van de RvC op bezwaren stuit. De deskundigen verwachten dat de onafhankelijkheid van internal audit (de werkelijke onafhankelijkheid of de schijn van onafhankelijkheid) in gevaar wordt gebracht, wanneer internal audit haar eigen opdrachtgever beoordeelt. Daarom geven zij er de voorkeur aan dat de scope van internal audit reikt tot en met de informatievoorziening vanuit de organisatie aan de RvC, maar dat de RvC en haar commissies zelf buiten de scope van internal audit vallen. Opvallend is dat zes deskundigen geen moeite hebben met het verschaffen van zekerheid over de beoordeling, beloning en onkostenvergoeding van topmanagement, hoewel hierbij de taakuitvoering van de RvC (remuneratiecomité) wordt beoordeeld. Naast de onafhankelijkheid van internal audit noemen de deskundigen de acceptatie door de organisatie. Zij verwachten dat de RvC en haar commissies (op dit
moment) niet zullen accepteren dat internal audit hen beoordeelt, omdat internal audit organisatorisch onder hen is gepositioneerd. Vier deskundigen hebben aangegeven onderscheid te willen maken tussen de RvC en haar commissies van de groep, en die van dochterondernemingen. De RvC’s van dochterondernemingen en hun commissies kunnen volgens hen wel binnen de scope van internal audit vallen, omdat zij geen opdrachtgever zijn van internal audit. Enerzijds is het te begrijpen dat de deskundigen er moeite mee hebben dat internal audit haar eigen opdrachtgever zou beoordelen. Anderzijds is het merkwaardig dat er voor wat betreft de beoordeling van de RvC een groot verschil bestaat tussen de literatuur en de meningen van de deskundigen. Mijns inziens zou het probleem van onafhankelijkheid eigenlijk niet mogen bestaan, zowel vanuit de RvC als vanuit internal audit gezien. Wanneer internal audit het AC op haar verzoek een objectief en onderbouwd oordeel geeft over de RvC, mag dit geen reden zijn voor de RvC om bijvoorbeeld sancties te treffen. Bovendien dienen het AC, als opdrachtgever, en de beroepsorganisatie internal audit in een dergelijk geval te beschermen. Ook internal audit zelf zou zich in haar oordeelsvorming niet mogen laten beïnvloeden door een mogelijke reactie van de RvC. Natuurlijk is het belangrijk dat de RvC accepteert dat internal audit het AC zekerheid verschaft over haar activiteiten en haar organisatie. Ik verwacht echter dat dit geen onoverkomelijk probleem zal zijn. Wanneer het AC internal audit verzoekt de RvC te beoordelen, zal het AC ook de acceptatie door de RvC positief moeten beïnvloeden. Hoewel we dus niet voorbij mogen gaan aan onafhankelijkheid van internal audit en de acceptatie door de RvC, mag internal audit mijns inziens zekerheid verschaffen over de activiteiten en de organisatie van de RvC. Een andere afwijking tussen de literatuur en de meningen van de deskundigen betreft de inhoudelijke beoordeling van het ethisch beleid. Vier deskundigen vinden dat internal audit het ethisch beleid moeilijk inhoudelijk zal kunnen beoordelen, vanwege haar beperkte kennis op dit gebied. Naar mijn mening hoeft een eventuele beperking in de kennis van internal audit op dit gebied geen probleem te zijn. Internal audit kan het ethisch beleid bijvoorbeeld vergelijken met standaarden of andere codes. Ook kan internal audit samenwerken met deskundigen op dit gebied. Overige corporate governance aspecten die in de literatuur genoemd worden, passen volgens de deskundigen wel bij de taak van internal audit. Ook ik zie hierin geen bezwaren. Internal audit is een ondersteunende functie van het AC, en kan het AC dus ook zekerheid verschaffen over corporate governance activiteiten van de niveaus onder het AC en de RvC, en over de informatie die het AC en de RvC ontvangen. Tabel 1 geeft alle corporate governance onderwerpen weer waarover internal audit mijns inziens zekerheid kan verschaffen. Alle genoemde aspecten komen voor in de literatuur. Onderstreept zijn die aspecten die volgens de geïnterviewde deskundigen op bezwaren stuiten.
40 | de EDP-Auditor nummer 1 | 2008
CORPORATE GOVERNANCE ONDERWERPEN
CORPORATE GOVERNANCE ASPECTEN WAAROVER INTERNAL AUDIT ZEKERHEID KAN VERSCHAFFEN • Taakuitvoering RvC groep en dochterondernemingen, waaronder functioneren remuneratiecomité en risicomanagement RvC;
Taakuitvoering RvC
• Proces en informatie ten behoeve van beoordeling, beloning en onkostenvergoeding topmanagement. • Communicatie tot het niveau van RvC, informatievoorziening aan RvC, communicatie door
Communicatie topmanagement
de RvC. • Aanwezigheid van tegenstrijdige elementen in de strategie; • Impact strategie op interne en externe stakeholders; • Totstandkoming strategie tot niveau RvC;
Strategie
• Uitvoerbaarheid strategie; • Implementatie strategie, waaronder vertaling strategie in de organisatie, explicitering strategie door RvC en opvolging strategie door management. • Inhoudelijke beoordeling ethisch beleid;
Ethisch beleid
• Totstandkoming ethisch beleid; • Toepassing ethisch beleid, waaronder voorbeeldgedrag top en onderzoek naar overtredingen. • Bestuursstructuur groep en dochterondernemingen;
Bestuursstructuur en organisatiestructuur
• Organisatiestructuur.
Organisatie RvC
• Organisatie RvC groep en dochterondernemingen.
Internal control statement
• Totstandkoming internal control statement. • Maatregelen voor bewustzijn corporate governance eisen, waaronder functioneren
Corporate governance maatregelen Besturingsprincipes
bestuurssecretariaat en maatregelen door RvC en RvB. • Explicitering besturingsprincipes.
Tabel 1: Onderzoeksresultaten
Suggesties voor verder onderzoek In het beschreven onderzoek zijn mogelijkheden in kaart gebracht tot het geven van zekerheid over corporate governance door internal audit. Hiernaast zou onderzoek kunnen plaatsvinden naar de adviserende, de faciliterende en de uitvoerende rollen van internal audit ten aanzien van corporate governance. Wellicht dat corporate governance aspecten die in het beschreven onderzoek niet genoemd zijn, wel binnen de scope van internal audit kunnen vallen, maar dan door adviesverlening, faciliteren of uitvoeren. Verder onderzoek naar de mogelijke rol van internal audit ten aanzien van het beoordelen van corporate governance, zou zich specifiek kunnen richten op de mening van aandeelhouders en andere stakeholders hierover. Er zou een inventarisatie plaats kunnen vinden, in hoeverre internal audit de hier beschreven rollen al ingevuld heeft. Hierbij kunnen eventuele oorzaken van het niet auditen van corporate governance in kaart gebracht worden.
Tijdens de interviews noemden de deskundigen verschillende aandachtspunten voor de inrichting van het auditen van corporate governance. Zo gaven zij aan dat internal audit haar expertise zal moeten aanpassen. Er zal bijvoorbeeld meer juridische kennis nodig zijn. Ook de taakverdeling binnen internal audit werd genoemd. Een aantal deskundigen gaf aan dat het goed is om de beoordeling van corporate governance uit te laten voeren door een speciaal hiervoor ingesteld auditteam, of door de meest ervaren auditors. Andere deskundigen gaven echter aan dat de beoordeling van corporate governance onderdeel zal moeten zijn van reguliere audits. Onderzoek zou kunnen plaatsvinden naar de manier waarop het auditen van corporate governance ingericht moet worden. Afhankelijk van de mate waarin corporate governance al beoordeeld wordt door internal audit diensten, kunnen praktijkervaringen worden gebruikt voor dergelijk onderzoek. ■
41 | de EDP-Auditor nummer 1 | 2008
Artikel [CEBS06]
Committee of European Banking Supervisors, Consultation
Onderzoekverantwoording
Paper 10, Guidelines on the implementation, validation and
Doel van het beschreven onderzoek is inzicht te geven in de moge-
assessment of Advanced Measurement (AMA) and Internal
lijke rol van internal audit ten aanzien van het verschaffen van
Ratings Based (IRB) Approaches,
zekerheid over corporate governance.
http://www.c-ebs.org/pdfs/CP10rev.pdf, 2006.
Allereerst is via literatuuronderzoek nagegaan welke corporate
[COSO92]
governance aspecten internal audit zou kunnen beoordelen. Hiertoe zijn publicaties vanuit professionele beroepsorganisaties, Europese en Amerikaanse wet- en regelgeving en wetenschappe-
City, American Institute of Certified Public Accountants, 1992. [COSO87]
lijk onderzoek bestudeerd. Uit de vergelijking van enerzijds de kenmerken van corporate governance en anderzijds de taak van
[ECII05]
European Confederation of Institutes of Internal Auditing (ECIIA), Position Paper Internal Auditing in Europe, Brussel,
governance aspecten naar voren die door internal audit beoordeeld
2005. [FEE03]
Vervolgens is aan zeven deskundigen uit de praktijk gevraagd naar
Fédération des Experts Comptables Européens, Discussion Paper On The Financial Reporting And Auditing Aspects Of
hun mening over de resultaten van het literatuuronderzoek en naar eventuele aanvullingen. De deskundigen vertegenwoordigen
Committee of Sponsoring Organizations of the Treadway Commission, Treadwayreport, www.coso.org, 1987.
internal audit in de literatuur, komen verschillende corporate kunnen worden.
Committee of Sponsoring Organizations of the Treadway Commission, Internal Control - Integrated Framework, Jersey
Corporate Governance, Brussel, 2003. [GLEI06]
de disciplines internal audit, external audit, bestuurssecretariaat,
Gleim, I.N., CIA Review, Part I, Internal Audit Role in Governance, Risk, & Control, Gleim Publications, Inc,
en toezichthoudende instanties.
Gainesville, 2006.
Door de resultaten van het literatuur- en het praktijkonderzoek te
[HART06]
combineren, en de motivatie van de deskundigen te beoordelen, is ten slotte bepaald in hoeverre internal audit zekerheid kan verschaffen over de negen corporate governance onderwerpen.
Hartog, P., R. de Korte, J. Otten, KAD+, Model voor het auditen van Management Control, www.auditing.nl, Driebergen/ Rotterdam, 2006.
[IIA-1]
Institute of Internal Auditors, Practice Advisories,
[IIA06]
Institute of Internal Auditors, Organizational Governance:
http://www.theiia.org/Guidance. Guidance for Internal Auditors, Altamonte Springs, Florida,
Literatuurlijst [ADAM07] Adams, R.A, D. Ferreira, A Theory of Friendly Boards, in: The Journal of Finance, 62/1, 2007, 217-250. [AUST03]
2006. [IIA01]
Australian Stock Exchange Corporate Governance Council,
Professional Practice of Internal Auditing,
Principles of Good Corporate Governance and Best Practice Recommendations, http://www.asx.com.au/supervision/
http://www.theiia.org/Guidance, 2001. [IIA98]
governance/index.htm, 2003. [BCBS06]
[MELV07]
Internal Audit in Strategic Management’, 1-6-2007.
Basel Committee on Banking Supervision, The relationship
[OECD04] Organisation for Economic Co-operation and Development, OECD Principles of Corporate Governance, Parijs, 2004.
between banking supervisors and banks’ external auditors, Bank for International Settlements, 2002.
[PAAP07]
Belgium Commission on Corporate Governance, Corporate
ERIM Ph.D. Series Research in Management, Rotterdam, 2007. [PAAP03]
Brussels Stock Exchange,
[COHE02]
internal audit function and Corporate Governance in the
Blue Ribbon Committee, Improving the Effectiveness of
European Union – a survey, in: 20 over, Internal/ Operational
Corporate Audit Committees, The New York Stock Exchange
Auditing: bijdragen aan governance & control, Koninklijke
Cadbury Committee, Report of the Committee on the Financial
NIVRA, VERA, Amsterdam, 2003, p. 79-101. [SARE07]
Sarens, G., The role of internal auditing in corporate governan-
Aspects of Corporate Governance, Professional Publishing Ltd -
ce: qualitative and quantitative insights on the influence of
Gee, Londen, 1992.
organisational characteristics, PhD Series – Ghent University,
Cohen, J., G. Krishnamoorthy, A.M. Wright, Corporate Governance and the Audit Process, in: Contemporary
[CBFA06]
Paape, L., J. Scheffe, P. Snoep, The relationship between the
http://www.ecgi.org/codes/ code.php?code_id=14, 1998.
and The National Association of Securities Dealers, 1999. [CADB92]
Paape, L., Corporate governance, The impact on the Role, Position, and Scope of Services of the Internal Audit Function,
Governance for Belgium Listed Companies (The Cardon Report),
[BLUE99]
Melville, R., Erasmus School of Accounting & Assurance, opleiding Internal & Operational Auditing, College ‘The Role of
International Settlements, 2006.
[BCCG98]
Institute of Internal Auditors, A Perspective on Control SelfAssessment, Altamonte Springs, Florida, 1998.
Basel Committee on Banking Supervision, Enhancing corporate governance for banking organisations, Bank for
[BCBS02]
Institute of Internal Auditors, International Standards for the
Gent, 2007. [SUND03] Sundaramurthy, C, M. Lewis, Control and Collaboration:
Accounting Research, 19/ 4, 2002, p. 573-594.
Paradoxes of Governance, in: Academy of Management
Commissie voor het Bank-, Financie- en Assurantiewezen,
Review, 28/3, 2003, 397-415.
Voorontwerp van circulaire over de prudentiële verwachtingen van de CBFA inzake het deugdelijk bestuur van financiële instellingen, http://www.cbfa.be/nl/consultations/lop/pdf/corporategovernance_04-2006.pdf, 2006.
42 | de EDP-Auditor nummer 1 | 2008
Compleet werkt beter
Elsevier FiscaalTotaal. Alle fiscale antwoorden op een rij. Soms is het overduidelijk dat iets niet compleet is. Maar zo eenvoudig is het niet altijd voor fiscaal professionals. Kies daarom voor Elsevier FiscaalTotaal. Dan heeft u altijd alle fiscale informatie en actualiteiten snel, eenvoudig en gesorteerd op uw scherm. Vanuit één bron, één handige site. Met uw eigen aantekeningen. Dat bespaart u kostbare zoektijd. Bovendien weet u zeker dat u kwalitatief en compleet advies geeft. Ontdek het zelf op www.fiscaaltotaal.nl.
Elsevier Fiscale Media
0004-Ad_215x285_comp.indd 1
04-04-2007 15:04:07
Artikel
Governance van interdepartementale IT-projecten Nathalie Timmer en Ivo Kerkkamp
De overheid wil door de strategische inzet van IT de bedrijfsvoering optimaliseren en de informatievoorziening naar de burger verbeteren. Hiervoor zijn verschillende IT-projecten gestart, waarbij meerdere ministeries of overheidsorganisaties betrokken zijn. De laatste jaren heeft een aantal grote interdepartementale IT-projecten vertraging opgelopen of niet het gewenste resultaat opgeleverd.
Auteur Drs. I. (Ivo) Kerkkamp is sinds november 2004 als IT-Auditor werkzaam bij EDP Audit Pool. Drs. ing. N. D. (Nathalie) Timmer is sinds februari 2005 als IT-Auditor werkzaam bij EDP Audit Pool. Dit artikel is gebaseerd op de afstudeerscriptie die beide auteurs hebben geschreven in het kader van de afronding van de IT-audit opleiding aan de Vrije Universiteit in Amsterdam. De auteurs hebben dit artikel op persoonlijke titel geschreven.
De governance van interdepartementale IT-projecten in overheidsland is vaak complex. Doordat bijvoorbeeld afwijkende belangen spelen of omdat het onduidelijk is wie waarvoor verantwoordelijk is. Daarnaast is er vaak sprake van verschillende uitgangssituaties tussen de deelnemers ten aanzien van de bestaande processen, informatiearchitecturen en systemen. De overheid kan IT-auditors inschakelen om de inrichting en beheersing van interdepartementale IT-projecten te onderzoeken. Hierbij lopen zij tegen het feit aan dat bestaande raamwerken onvoldoende handvatten bieden voor de specifieke kenmerken van interdepartementale IT-projecten. In aanvulling op de bestaande raamwerken hebben wij een generiek projectgovernanceraamwerk voor deze specifieke kenmerken opgesteld. Dit kan worden gebruikt bij de beoordeling van de inrichting en beheersing van de initiatie-, ontwerp-, realisatie- en afsluitingsfase van interdepartementale IT-projecten binnen de rijksoverheid. In het eerste gedeelte van het artikel gaan we in op het begrip governance binnen de overheid en de samenhang tussen de verschillende vormen van governance die van toepassing zijn op IT-projecten. Daarnaast beschrijven we de specifieke kenmerken van interdepartementale IT-projecten. Vervolgens gaan we in op de praktijksituatie aan de hand van twee interdepartementale IT-projecten waarvoor is nagegaan of en welke maatregelen getroffen zijn in aanvulling op de bestaande modellen voor governance en projectbeheersing. Aan de hand van de confrontatie tussen de theorie en de praktijksituatie hebben wij een generiek projectgovernanceraamwerk opgesteld, dat van toepassing is op de inrichting en beheersing van interdepartementale IT-projecten binnen de rijksoverheid. Het opgestelde raamwerk biedt IT-auditors een handvat waaruit zij een normenkader specifiek voor het te beoordelen project kunnen afleiden. Tot slot hebben wij de mogelijke rollen van de IT-auditor bij interdepartementale IT-projecten belicht. Governance in de theorie Voor overheidsorganisaties is een goede governance, ‘goed bestuur’, van belang om resultaten te behalen. Daarnaast is governance van belang voor de verantwoording tegenover de Tweede Kamer, de Provinciale Staten, de Gemeenteraad en uiteindelijk de burger. Governance voorziet in de samenhang van de structuur en processen gericht op de realisatie
44 | de EDP-Auditor nummer 1 | 2008
van de doelstellingen, zoals vastgesteld door het parlement, en de daarbij benodigde transparantie. In de literatuur zijn verschillende definities van governance beschikbaar. In dit artikel hanteren we de definitie van governance zoals door het ministerie van Financiën is uitgewerkt namelijk:
middel van bestaande methoden en modellen. Voor interdepartementale IT-projecten is dit nog niet uitgewerkt en zullen bestaande modellen moeten worden aangevuld dan wel nieuwe modellen moeten worden opgesteld. Kenmerken interdepartementale IT-projecten
‘het waarborgen van de onderlinge samenhang van de wijze van sturen, beheersen en toezicht houden op een organisatie, gericht op een efficiënte en effectieve realisatie van doelstellingen, alsmede het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden’ [FIN]. In deze definitie staan vier governancecomponenten centraal, waar bestuurders van (overheids-)organisaties invulling aan moeten geven [FIN]: • sturing geven aan de strategische richting van een organisatie om te waarborgen dat de gestelde beleidsdoelstellingen worden gerealiseerd; • beheersen van de risico’s en ervoor zorgen dat de beschikbare middelen van een organisatie op een verantwoorde wijze worden ingezet. In dit artikel werken we dit governancecomponent beperkt uit onder de noemer risicomanagement. • toezicht houden op de uitvoering om te waarborgen dat de gestelde doelen worden bereikt; • afleggen van verantwoording zodat duidelijk is dat voldaan is aan de geldende wet- en regelgeving. Voor de governance van interdepartementale IT-projecten is een aantal vormen van governance van belang, namelijk ITgovernance, ketengovernance en projectgovernance. In figuur 1 zijn deze verschillende vormen van governance weergegeven in hun onderlinge samenhang. Hieruit blijkt een zekere gelaagdheid. Bínnen de afzonderlijke organisaties wordt invulling gegeven aan IT-, en projectgovernance door
De doelstelling van interdepartementale IT-projecten is meestal het verbeteren van de bedrijfsprocessen en informatievoorziening en in sommige gevallen ook het structureel verbeteren van de bedrijfsvoering. Donkers [DON] heeft een model opgesteld waarin hij op basis van de doelstelling van IT-projecten specifieke kenmerken onderscheidt. Op grond van hun doelstelling worden interdepartementale ITprojecten in dit model gekenmerkt door onder andere schaalgrootte, complexiteit en faalkans. Deze kenmerken hebben wij voor interdepartementale IT-projecten gerubriceerd naar de vier governancecomponenten: Sturing • Er zijn meerdere overheidsorganisaties betrokken, die samen niet kunnen worden beschouwd als een concernorganisatie waarbinnen één centrale beslissingsmacht aanwezig is. Hierdoor is het van belang dat de betrokken organisaties invulling geven aan een heldere besluitvormingsstructuur, taken, bevoegdheden en verantwoordelijkheden en inrichting van de projectstructuur. • De doelstelling van het interdepartementale IT-project wordt vaak niet vooraf helder geconcretiseerd en er is sprake van een door de politiek opgestelde planning, waardoor het bij de uitvoering van het project moeilijk is om deze planning op basis van tegenvallers aan te passen. Hierbij is het soms noodzakelijk beslissingen te nemen die in het belang zijn van het op te leveren eindproduct, maar misschien minder in het belang zijn van de deelnemende organisaties. • Interdepartementale IT-projecten betreffen meestal tevens
Ministerie A
Ministerie B
Governance (b.v. COSO II)
Governance (b.v. COSO II)
Project Governance (b.v. PRINCE 2)
IT Governance (b.v. COBIT)
Project Governance (b.v. PRINCE 2)
Ministerie C
Governance (b.v. COSO II)
IT Governance (b.v. COBIT)
Project Governance (b.v. PRINCE 2)
Ketengovernance
Interdepartementaal project
Projectbeheersingsmethode
Figuur 1: Overzicht van de gelaagdheid van governance
45 | de EDP-Auditor nummer 1 | 2008
IT Governance (b.v. COBIT)
Artikel organisatie-veranderingstrajecten, waarbij gelijktijdig gewerkt wordt aan veranderingen in de organisatie en uniformering in werkprocessen. De IT-systemen die deze geüniformeerde werkprocessen ondersteunen zijn in grote mate afhankelijk van de resultaten van deze trajecten. • Er moeten afspraken gemaakt worden tussen de deelnemende organisaties over het gebruik van standaarden binnen het project, zodat bijvoorbeeld de gehanteerde projectbeheersingsmethode, systeemontwikkelingmethode of architectuurprincipes aansluiten op de eisen die de deelnemende organisaties vanuit hun eigen IT-governanceproces hieraan stellen. • De opdrachtgever (en budgethouder) hoeft niet altijd de gebruiker te zijn van het op te leveren systeem. De opdrachtgever moet hierdoor balanceren tussen enerzijds het zorgen voor de betrokkenheid van de gebruikers en anderzijds het realiseren van het vastgestelde projectplan en de planning. Risicomanagement • Projecten waarbij meerdere organisaties zijn betrokken hebben een hoger risicoprofiel. De complexe aard van interdepartementale IT-projecten en de politieke dimensie versterken het belang van het adequaat toepassen van risicomanagement. Hiervoor moeten continu dreigingen worden geïdentificeerd, risicoanalyses worden uitgevoerd en vastgelegd, inclusief bewaking van restrisico’s, het monitoren van maatregelen en de communicatie hierover met de opdrachtgever. Hierbij is het van belang om niet alleen risico’s op operationeel niveau te adresseren maar ook die op tactisch en strategisch niveau. Toezicht op uitvoering • Indien deelproducten van het project door de verschillende betrokken organisaties worden gerealiseerd, moeten de afhankelijkheden en koppelvlakken tussen deze deelproducten worden geïdentificeerd, zodat de relatie en afhankelijkheid van deze deelproducten tussen de organisaties zichtbaar zijn en hierop gestuurd kan worden. • Het belang van het beheersen van wijzigingen die tijdens de uitvoering van het project worden doorgevoerd is hoog, omdat tussentijdse wijzigingen verstorend kunnen werken door de onderlinge afhankelijkheden tussen de organisaties en zo de realisatie van de doelstelling in gevaar kunnen brengen. Verantwoording • Voor de verantwoording moeten de betrokken stakeholders worden geïdentificeerd. Ook moet worden vastgelegd wat de informatiebehoeften van deze stakeholders zijn. De informatiebehoeften kunnen voor de betrokken organisaties verschillend zijn. Voor alle vormen van governance die van belang zijn bij interdepartementale IT-projecten (zie figuur 1) hebben wij een model of methode geselecteerd. Wij hebben gekozen voor COSO, COBIT en PRINCE2 aangezien dit de meest
gebruikte standaarden zijn binnen de rijksoverheid. Deze geselecteerde modellen voor governance en projectbeheersing worden, zoals weergegeven in figuur 1, gebruikt binnen een organisatie en zijn niet specifiek gericht op toepassing binnen interdepartementale IT-projecten. Vervolgens hebben wij geanalyseerd1 in hoeverre deze geselecteerde modellen voor governance en projectbeheersing aanknopingspunten konden bieden voor de specifieke kenmerken van interdepartementale IT-projecten. Hieruit bleek – min of meer volgens verwachting – dat deze geen concrete handvatten bieden. Governance in de praktijk Aangezien de modellen voor governance en projectbeheersing geen invulling geven aan de specifieke kenmerken van interdepartementale IT-projecten hebben we in het praktijkonderzoek twee interdepartementale IT-projecten, P-Direkt en SUB, geanalyseerd. Voor beide projecten hebben we geïnventariseerd op welke wijze binnen deze twee projecten invulling is gegeven aan de vier governancecomponenten: sturing, risicomanagement, toezicht op uitvoering en verantwoording. Daarnaast hebben wij onderzocht welke extra maatregelen getroffen zijn voor de kenmerken van interdepartementale IT-projecten in aanvulling op de gehanteerde projectbeheersingsmethode. P-Direkt
Het interdepartementale project P-Direkt is in 2003 gestart met de doelstelling een ‘shared service center’ voor Human Resource (HR) processen en salarisadministratie te realiseren. Het shared service center heeft de beoogde taak om de personeelsinformatievoorziening, dat wil zeggen de personeelsregistratie en de salarisadministratie, centraal vanuit één uitvoeringsorganisatie te verzorgen voor twaalf ministeries met in totaal ruim 130.000 personeelsleden. Nagenoeg alle ministeries voerden een eigen personeelsadministratie, waarbij de wijze waarop dit binnen de ministeries was georganiseerd sterk verschilde. In het kabinetsbesluit voor de oprichting van het shared service center is de keuze gemaakt ten aanzien van de scope van de uitbesteding aan de markt en de tijdhorizon. Ten aanzien van de scope van de uitbesteding aan de markt is besloten om het procesontwerp voor de dienstverlening van P-Direkt en de bouw van de systemen uit te besteden in de vorm van een prestatiecontract. Uitgangspunt voor het procesontwerp was standaardisatie van de wijze van uitvoeren, zo veel als mogelijk gebaseerd op geharmoniseerde regelgeving tussen de verschillende deelnemende ministeries. Ten aanzien van de tijdhorizon was in het kabinetsbesluit een beoogde invoeringsdatum opgenomen, namelijk 1 januari 2006. Bij een latere oplevering zou de realisatie van de reeds ingeboekte besparingen in gevaar komen [BZK]. Voor de overgang van de ministeries naar de dienstverlening van P-Direkt is op ieder ministerie een projectorganisatie ingericht die de transitie van het ministerie naar P-Direkt moest begeleiden.
46 | de EDP-Auditor nummer 1 | 2008
De aansturing van het project tijdens de uitvoering is in te delen in drie verschillende fasen2: • In de eerste fase van het project was sprake van een nauwe samenwerking tussen P-Direkt, de ministeries en IBM/ LogicaCMG (ILC). Hierbij was de verantwoordelijkheidsverdeling voor de inbreng van inhoudelijke expertise over de bestaande HR-processen en wet- en regelgeving niet helder gedefinieerd, waardoor niet duidelijk was wie welke expertise inbracht. • In de tweede fase van het project werd de verantwoordelijkheid voor de oprichting van P-Direkt expliciet belegd bij de opdrachtgever, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). In deze opzet communiceerde alleen de projectorganisatie P-Direkt met ILC, waardoor de noodzakelijke inhoudelijke expertise door de ministeries niet meer werd geleverd. De onder deze opzet opgeleverde producten waren kwalitatief onvoldoende omdat te rigide werd vastgehouden aan deze verantwoordelijkheidsverdeling. • Tenslotte is gekozen voor een zogenaamd gemengde opzet, waarin expertise door vier ministeries werd geleverd die in samenspraak met ILC de detailontwerpen vaststelden. De departementale deskundigen hadden hierbij het mandaat van de ministeries die geen expertise leverden. In deze fase was er sprake van een vruchtbare samenwerking en dit leverde kwalitatief betere producten op. De wijze waarop P-Direkt invulling heeft gegeven aan de vier governancecomponenten is hieronder beschreven. Deze invulling is gebaseerd op de ‘lessons learned’ die zijn opgesteld door de projectorganisatie zelf [PDI] en de resultaten van een audit die is uitgevoerd door de auditdiensten van het ministerie van BZK en het ministerie van Financiën naar de contractrelatie met IBM [BZK]. De genoemde ‘lessons learned’ zijn niet expliciet uitgesplitst naar de verschillende fasen in de aansturing. Sturing • P-Direkt zou zich alleen toeleggen op de personeelsregistratie en salarisverwerking, waardoor een gedeelte van de HR-processen nog op ministeries zelf moest worden uitgevoerd. Hierdoor is bij de invulling van de doelstelling door de opdrachtgever onvoldoende rekening gehouden met het feit dat de oprichting van P-Direkt onderdeel moet zijn van de integrale herinrichting van de HR-kolom. De doelstelling is kritisch getoetst door middel van een haalbaarheidsstudie, een businesscase en een kosten-batenanalyse. • De ambitie van P-Direkt is vooral binnen het project gecommuniceerd en in beperkte mate naar de toekomstige gebruikers van het systeem (managers en medewerkers), terwijl de introductie van zelfbediening vooral de managers en medewerkers aangaan. Hierdoor was nut en noodzaak van de doelstelling van P-Direkt voor deze gebruikers niet helder. • De besluitvorming over issues met betrekking tot de oprichting van P-Direkt vond in de tweede fase van het project plaats in het plaatsvervangende Secretarissen-Generaal (pSG)-beraad. In deze periode is een kernteam van pSG’s
ingesteld, dat geen besluiten nam, maar vaststelde wat ‘besluitrijp’ was en wat verdere verdieping nodig had. Het pSG-beraad had geen formele bevoegdheden en daarom is begin 2004 een stuurgroep ingesteld die bestond uit de leden van het pSG-beraad. Door de instelling van deze stuurgroep werd het rijksbrede karakter en de gezamenlijke verantwoordelijkheid voor dit project duidelijk zichtbaar. Risicomanagement • De bewaking van de risico’s heeft de opdrachtgever grotendeels overgelaten aan de projectorganisatie P-Direkt en deels aan de contractpartner ILC. Hierbij heeft de opdrachtgever onvoldoende concreet aangegeven op welke wijze het risicomanagement vorm moest krijgen en hoe de opdrachtgever hierover zou worden geïnformeerd. • De projectorganisatie heeft risicoanalyses opgesteld. In deze risicoanalyses is geen rekening gehouden met risico’s die samenhangen met de uitgangspunten in het kabinetsbesluit, zoals het korte tijdpad, de wijze van aanbesteding en de keuze van het contract. Daarnaast werden risico’s niet op gestructureerde en controleerbare wijze geïdentificeerd, geanalyseerd en bewaakt, waardoor de opdrachtgever niet tijdig op de hoogte was van belangrijke risico’s die het project liep. Toezicht op uitvoering • Voor het toetsen van de inhoudelijke kwaliteit van de door ILC opgeleverde producten maakte P-Direkt gebruik van de input van externe deskundigen. De rol van deze externe partijen kan als de productgerichte kwaliteitsborging (Quality Control) worden beschouwd. • Vanuit de opdrachtgever heeft beperkt onafhankelijk toezicht op de uitvoering en het verloop van het project plaatsgevonden. De auditdiensten hadden geen rol in het toetsen van de kwaliteitsborging binnen het project. Door het beperkte onafhankelijk toezicht had de opdrachtgever onvoldoende inzicht in de procesgerichte kwaliteitsborging. Verantwoording • Er is aan de stakeholders via meerdere kanalen informatie geleverd. Doordat de volledigheid en tijdigheid van de aanlevering van informatie niet werd gewaarborgd, konden de opdrachtgever, de stuurgroep en de leden van het algemeen projectoverleg onvoldoende invulling geven aan hun verantwoordelijkheden. • Bij koerswijzigingen werd de opgestelde business case wel op haalbaarheid van de geformuleerde doelstellingen getoetst. Samenwerking UWV en Belastingdienst (SUB)
In 2002 hebben UWV en de Belastingdienst besloten tot een vergaande vorm van samenwerking. Het doel van deze samenwerking was te komen tot een verdere administratieve lastenverlichting voor werkgevers en een besparing op uitvoeringskosten. De informatievraag bij werkgevers neemt af door meervoudig gebruik van gegevens. Werkgevers doen
47 | de EDP-Auditor nummer 1 | 2008
Artikel één gecombineerde aangifte voor de loonheffing (loonbelasting en premies volksverzekeringen) én de premies werknemersverzekeringen. De samenwerking tussen UWV en de Belastingdienst heeft de vorm gekregen van een langlopend project. Voor de uitvoering is een gemeenschappelijke projectorganisatie SUB ingericht. Bij de inrichting van het project onderscheiden UWV en de Belastingdienst de volgende drie verantwoordelijkheidsgebieden: • De Belastingdienst is verantwoordelijk voor de onderwerpen/objecten die alleen voor de Belastingdienst van belang zijn. • UWV en de Belastingdienst zijn gezamenlijk verantwoordelijk voor de onderwerpen/objecten waar beide partijen direct belang bij hebben. Hiervoor is een gezamenlijke eindverantwoordelijke stuurgroep opgericht met vertegenwoordigers van beide organisaties. • UWV is verantwoordelijk voor de onderwerpen/objecten die alleen voor UWV van belang zijn. Hieronder hebben wij beschreven op welke wijze SUB invulling heeft gegeven aan de vier governancecomponenten. Deze invulling is gebaseerd op de integrale probleemanalyse die uitgevoerd is door het beheerteam [SZW] en de onafhankelijke beoordeling hiervan door Het Expertise Centrum [HEC]. Sturing • UWV en Belastingdienst zijn zelfstandige organisaties met hun eigen verantwoordelijkheden. De Raad van Bestuur UWV en het Management Team Belastingdienst (MT BD) zijn eindverantwoordelijk voor het realiseren en implementeren van de projectresultaten binnen de eigen organisatie. • De stuurgroep SUB is in opdracht van de Raad van Bestuur UWV en het MT BD verantwoordelijk voor de besturing van de aspecten van samenwerking, de uitvoering van de projecten in hun onderlinge samenhang en afhankelijkheid en de rapportage daarover. • Er is te weinig aandacht besteed aan het creëren van draagvlak op tactisch niveau.
delijkheid vielen. Deze uitgevoerde audits waren gericht op het proces en deels naar de opgeleverde producten. Voor de gezamenlijke producten zijn procesgerichte ‘joint-audits’ uitgevoerd door beide auditdiensten. • Er is geen formele projectbeheersingsmethode gebruikt bij de uitvoering van het project SUB. Verantwoording • De kosten en baten waren niet gerelateerd aan een business case. Verantwoording vond plaats door middel van een halfjaarlijkse voortgangsrapportage aan de Tweede Kamer. Conclusies uit het casusmateriaal
Uit de analyse van de twee interdepartementale IT-projecten blijkt dat beide projecten op verschillende wijze invulling hebben gegeven aan de vier governancecomponenten. Zo is bij P-Direkt gekozen voor een gezamenlijke uitvoerende projectorganisatie, terwijl bij SUB ervoor gekozen is om de uitvoerende activiteiten bij de verantwoordelijke organisaties te beleggen. Wat opvalt, is dat bij beide projecten te weinig aandacht is besteed aan de componenten risicomanagement en verantwoording. Zo was er geen sprake van een geïntegreerde aanpak voor risicomanagement. Hierdoor was er geen structurele aanpak voor het identificeren, analyseren en bewaken van risico’s op strategisch, tactisch en operationeel niveau. Bij het project SUB was geen business case opgesteld, bij PDirekt was dit wel het geval, maar was de communicatie naar de stakeholders onvoldoende. Daarnaast blijkt uit de analyse dat in beide projecten geen extra maatregelen getroffen zijn voor de kenmerken van interdepartementale IT-projecten in aanvulling op de gehanteerde projectbeheersingsmethode.
Risicomanagement • Het formele risicomanagement op strategisch en tactisch niveau is wel uitgevoerd, maar er was geen sprake van een geïntegreerde risicoaanpak. De hoofddoelstellingen werden bewaakt, maar de getroffen maatregelen waren niet altijd toetsbaar. Het risicomanagement op operationeel niveau heeft niet of te weinig plaats gevonden.
Generiek projectgovernanceraamwerk Uit de analyse van de theorie is gebleken dat de geselecteerde modellen voor governance en projectbeheersing geen aanknopingspunten bieden voor de specifieke kenmerken van interdepartementale IT-projecten. Dat maakt extra maatregelen nodig in aanvulling op deze raamwerken. In de twee geanalyseerde interdepartementale IT-projecten zijn dergelijke extra maatregelen niet getroffen. Om een handvat te bieden voor de inrichting en beheersing van de verschillende fasen van een interdepartementaal IT-project hebben wij een raamwerk ontwikkeld (figuur 2). De elementen in dit raamwerk zijn gebaseerd op de eerder beschreven kenmerken van interdepartementale IT-projecten. Daarnaast zijn maatregelen uit de geselecteerde modellen voor governance en projectbeheersing specifiek gemaakt voor interdepartementale IT-projecten.
Toezicht op uitvoering • De kerntaak van het Programmabureau was toe te zien op de kwaliteitsborging, de financiën en de tijdige oplevering van resultaten. • De auditdiensten van beide organisaties hebben audits uitgevoerd op deelprojecten die onder de eigen verantwoor-
Dit raamwerk kan worden gebruikt bij de beoordeling van de initiatie, het ontwerp, de realisatie en de afsluiting van interdepartementale IT-projecten binnen de rijksoverheid. Het raamwerk is geen volledige projectbeheersingsmethode, maar kan gebruikt worden in aanvulling op de reguliere modellen voor governance en projectbeheersing.
48 | de EDP-Auditor nummer 1 | 2008
Initiatie
Ontwerp
Realisatie
Vaststellen en realiseren samenwerkingsbereidheid
Sturing
Bepalen uitganssituatie deelnemende organisaties Vaststellen projectinrichting
Risicomanagement
Opstellen gemeenschappelijke planning
Sturing op o.b.v. onderkende risico’s
Inrichten projectorganisatie
Afsluiting
Accepteren o.b.v. gezamenlijke acceptatiecriteria
Sturing op o.b.v. informatie uit toezicht op uitvoering
Vaststellen en inrichten systeem voor strategisch, tactisch en operationeel riskmanagement
Identificeren koppelvlakken Vaststellen en inrichten gezamenlijk kwaliteitssysteem Toezicht op uitvoering
Specificeren koppelvlakken
Inrichten gezamenlijk configuratiebeheer
Toetsen producten op koppelvlakken
Onafhankelijke toetsing van de gezamenlijke kwaliteitsborging
Bewaking gemeenschappelijke planning
Identificeren stakeholders en inrichten communicatielijnen
Waarborgen communicatie richting stakeholders
Opstellen businesscase
Toetsen businesscase
Verantwoording
Figuur 2: Generiek projectgovernanceraamwerk voor interdepartementale IT-projecten
Elementen uit het raamwerk
De ‘control objectives’ voor de elementen uit het raamwerk zijn hieronder beschreven. Een aantal elementen komt ook terug in de reguliere modellen voor governance en projectbeheersing, maar zijn in dit raamwerk specifiek gemaakt voor interdepartementale IT-projecten. Sturing • Vaststellen en realiseren samenwerkingsbereidheid Interdepartementale IT-projecten worden veelal gestart op basis van een politiek besluit. Daarom moet samenwerkingbereidheid tussen de deelnemende overheidsorganisaties worden gerealiseerd door de betrokkenheid op voldoende hoog ambtelijk niveau binnen de deelnemende organisaties. • Bepalen uitgangssituatie deelnemende organisaties De bestaande uitgangssituaties van de deelnemende organisaties moeten eenduidig worden vastgesteld. Hierbij moeten zowel de bestaande processen, als IT-systemen en -infrastructuur worden meegenomen die van toepassing zijn op het gezamenlijke project. Naast het bepalen van de uitgangssituatie van deze objecten, zal ook gekeken moeten worden naar het volwassenheidsniveau van de deelnemende organisaties. Uitgangspunt hierbij is dat de organisaties zich op een gelijk niveau moeten bevinden om de interdepartementale samenwerking optimaal te laten verlopen. Voor het bepalenvan dit volwassenheidsniveau kan onder andere gebruik gemaakt worden van COBIT of CMM. • Vaststellen projectinrichting Bij het vaststellen van de projectinrichting is een heldere rolverdeling tussen actoren en toebedeling van verant-
•
•
•
•
•
woordelijkheden voor de deelnemende organisaties van belang. Hierbij dient rekening te worden gehouden met de mate van inbreng van departementale expertise. Zo moet een gezamenlijke stuurgroep/ beslissingsorgaan worden ingericht, waarin afgevaardigden van alle betrokken partijen deelnemen die voldoende beslissingsbevoegdheid hebben. Daarnaast dient een voorzitter van de stuurgroep te worden benoemd, dit kan de opdrachtgever zijn, het sterkste deelnemende departement of een onafhankelijke derde. Deze voorzitter heeft de doorslaggevende stem bij conflicten. Opstellen gemeenschappelijke planning Bij de start van het project dient een gemeenschappelijke planning te worden opgesteld; hierin moeten de onderkende risico’s en de uitgangssituaties van de deelnemende organisaties worden meegenomen. Tevens moet de planning inzicht geven in het kritieke tijdpad ten aanzien van de onderkende koppelvlakken in de op te leveren ITsystemen. Inrichten projectorganisatie De gezamenlijke projectorganisatie moet conform de vastgestelde projectinrichting worden ingericht. Sturing op basis van onderkende risico’s In de besluitvorming door de stuurgroep dienen de onderkende risico’s meegewogen te worden. Sturing op basis van informatie uit toezicht op uitvoering Er dient gewaarborgd te worden dat de stuurgroep de juiste informatie heeft om te sturen tijdens de projectuitvoering. Accepteren op basis van de gezamenlijke acceptatiecriteria Het opgeleverde gemeenschappelijke product dient door de lijn van de deelnemende organisaties formeel te worden geaccepteerd op basis van de vooraf bepaalde gezamen-
49 | de EDP-Auditor nummer 1 | 2008
Artikel lijke acceptatiecriteria. Bij afwijkingen van deze acceptatiecriteria dient dit te worden gemotiveerd. De stuurgroep dient te waarborgen dat acceptatie door alle deelnemende organisaties heeft plaatsgevonden voordat zij decharge verleent aan de projectorganisatie. Risicomanagement • Vaststellen en inrichten systeem voor strategisch, tactisch en operationeel risicomanagement Er moet een gestructureerd risicomanagementsysteem vastgesteld en ingericht worden. Dit risicomanagementsysteem geeft invulling aan de risicomanagementcyclus, zodat risico’s aantoonbaar worden geïdentificeerd, geanalyseerd en bewaakt. Hierbij is het voor de gezamenlijke uitvoering van belang dat naast het onderkennen van risico’s op operationeel niveau tevens risico’s op tactisch en strategisch niveau worden onderkend, zodat sprake is van een geïntegreerde risicoaanpak. Daarnaast is het van belang dat de vastgestelde uitgangssituaties per deelnemer meegewogen worden in het identificeren en analyseren van de risico’s voor de keten. Tevens leveren afwijkingen in volwassenheidsniveaus extra risico’s op voor het project, deze moeten geïdentificeerd, geanalyseerd en bewaakt worden. Na vaststellen en inrichten van het risicomanagementsysteem moet de uitvoering van de risicomanagementcyclus gedurende het hele project zijn gewaarborgd. Toezicht op uitvoering • Identificeren koppelvlakken Bij de initiatie van het project dienen de koppelvlakken, die onder de gemeenschappelijke verantwoordelijkheid vallen, te worden geïdentificeerd, zodat de afhankelijkheden in de te realiseren keten helder zijn gedefinieerd. • Vaststellen en inrichten gezamenlijk kwaliteitssysteem Er moet een gestructureerd gezamenlijk kwaliteitssysteem vastgesteld en ingericht worden, zodat de uitvoering van het project wordt geanalyseerd en bewaakt. Dit gezamenlijke kwaliteitssysteem dient aan te sluiten op de inrichting van de projectorganisatie. Bij de inrichting van een gemeenschappelijk kwaliteitssysteem dient een onderscheid gemaakt te worden in kwaliteitsborging binnen de projectorganisatie en onafhankelijk van de projectorganisatie. • Specificeren koppelvlakken De geïdentificeerde koppelvlakken dienen concreet gespecificeerd te worden, zodat voor alle deelnemende organisaties helder is wat het uiteindelijke koppelvlak zal zijn en welke eisen daaraan worden gesteld. • Inrichten gezamenlijk configuratiebeheer Om de gemeenschappelijke elementen te beheersen dient een gezamenlijk configuratiebeheer ingericht te worden. • Bewaking gemeenschappelijke planning Tijdens de uitvoering van het project moet regelmatig getoetst worden of het project conform de gezamenlijke planning verloopt. Tevens is het van belang dat getoetst wordt in hoeverre de deelnemende organisaties hun eigen activiteiten uitvoeren conform deze planning. Bij afwijkin-
gen van de gezamenlijke planning dient dit altijd gerapporteerd te worden aan de stuurgroep. • Toetsen producten op koppelvlakken Tijdens de uitvoering van het project dienen de opgeleverde producten die van toepassing zijn op geïdentificeerde koppelvlakken te worden getoetst aan de vooraf opgestelde specificaties. Daarnaast moet getoetst worden of deze producten een bijdrage leveren aan het behalen van de doelen zoals geformuleerd in de gemeenschappelijke business case. • Onafhankelijke toetsing van de gezamenlijke kwaliteitsborging Indien noodzakelijk, dient een onafhankelijke toetsing plaats te vinden op de gezamenlijke kwaliteitsborging. Deze onafhankelijke toetsing dient door de opdrachtgever te worden geïnitieerd. Verantwoording • Identificeren stakeholders en inrichten communicatielijnen In de initiatiefase dienen alle stakeholders aan wie verantwoording moet worden afgelegd, te worden geïdentificeerd. Er dient bepaald en vastgelegd te worden welke informatie, op welk tijdstip en op welke manier, gecommuniceerd wordt naar de stakeholders. • Opstellen business case De projectorganisatie moet in samenwerking met de stuurgroep een business case opstellen, waarin het ‘waarom’ van het project beschreven wordt. Bij het opstellen van de business case is het van belang dat deze aansluit op de doelstellingen van de keten, in plaats van alleen op de individuele organisaties. • Waarborgen communicatie richting stakeholders Er dient gewaarborgd te worden dat de stakeholders op het juiste tijdstip de juiste informatie ontvangen. • Toetsen business case Gedurende de ontwerp-, realisatie- en afsluitingsfase van het project dient tussentijds te worden getoetst of de business case nog steeds haalbaar is en of het project in lijn met de business case wordt uitgevoerd. Hierover wordt gerapporteerd aan de stuurgroep. Bij afwijkingen zal de stuurgroep een besluit moeten nemen over de verdere uitvoering van het project of mogelijke aanpassingen in de business case. Rol IT-auditor Tot slot hebben wij de rol van de IT-auditor bij interdepartementale IT-projecten geanalyseerd. Hiervoor hebben we eerst de positionering van de verschillende kwaliteitsbeheersingsrollen binnen de projectgovernance van interdepartementale IT-projecten in kaart gebracht. Vervolgens hebben we bepaald op welke wijze een IT-auditor deze rollen kan vervullen. Positionering van de kwaliteitsbeheersingsrollen
Voor de inrichting van de kwaliteitsbeheersing en -borging binnen een project wordt in het algemeen een tweetal rollen onderkend: de procesgerichte kwaliteitsborging, Quality Assurance (QA), en de productgerichte kwaliteitsborging,
50 | de EDP-Auditor nummer 1 | 2008
Quality Control (QC). Bij interdepartementale IT-projecten is een sterke QA-rol zeer belangrijk, omdat door de complexe aansturings- en uitvoeringsconstructies het van belang is dat de kwaliteitsprocessen op uniforme wijze zijn ingericht en worden uitgevoerd. De QC-rol is bij deze projecten met name van belang omdat de deelproducten door verschillende organisaties worden opgeleverd. De QC-rol moet hierbij expliciet toezien op de juiste werking van de koppelvlakken in deze producten. Aanvullend verdient het aanbeveling een IT-auditor een onafhankelijke beoordeling te laten uitvoeren. In dat geval kan gekozen worden voor de beoordeling van het totale stelsel van maatregelen voor de beheersing van de projectuitvoering en aansturing, waarbij ook het opdrachtgeverschap en de sturing vanuit de stuurgroep wordt beoordeeld. Tevens kan een IT-auditor de opdracht krijgen een beoordeling uit te voeren op een van de elementen die genoemd zijn in het generieke projectgovernanceraamwerk. Samenwerking tussen de betrokken auditdiensten
Bij interdepartementale IT-projecten moet rekening worden gehouden met het gegeven dat deelnemende organisaties beschikken over eigen auditdiensten, die soms onderling verschillende accenten leggen en prioriteiten hanteren bij het beoordelen van projecten. De beoordeling van de beheersing van de ‘gezamenlijkheid’ van het interdepartementale IT-project, kan worden beschouwd als een ketenaudit. Een ketenaudit wordt toegepast om een oordeel of advies te geven over de beheersing van een keten als geheel ten aanzien van een gekozen object van onderzoek. Hierbij richt de ketenaudit zich alleen op dat aspect of onderdeel dat bijdraagt aan het gemeenschappelijke doel en de beheersing van de keten [INT].
bij SUB en in mindere mate bij P-Direkt sprake was van een keten met gelijkwaardige partners. Hierbij ligt het voor de hand om volgens het ‘centrifugemodel’ een gezamenlijke audit uit te voeren. Dit model gaat uit van een gezamenlijke uitvoering van de gehele ketenaudit. Hierbij is sprake van grote mate van samenwerking tussen de auditdiensten. Voor de gehele keten wordt door de samenwerkende IT-auditors een gezamenlijke verklaring of mededeling afgegeven. Tot slot Interdepartementale IT-projecten zijn grote, langdurige en complexe projecten, waarbij de faalkans en de kosten (zeer) hoog zijn. De reguliere modellen voor governance en projectbeheersing bieden onvoldoende aanknopingspunten voor de specifieke kenmerken van interdepartementale ITprojecten. Uit onze analyse van twee interdepartementale IT-projecten is gebleken dat in de praktijk geen extra maatregelen getroffen zijn in aanvulling op de reguliere modellen voor governance en projectbeheersing. Wij menen daarom dat er behoefte is aan een raamwerk dat behulpzaam kan zijn bij het opzetten van een stelsel van specifiek op interdepartementale IT-projecten gerichte aanvullende maatregelen. Wij denken dat het door ons opgestelde projectgovernanceraamwerk van toegevoegde waarde is bij de verschillende fasen van interdepartementale IT-projecten. Hierbij willen de kanttekening plaatsen dat waarde van het raamwerk in de praktijk nog aangetoond moet worden. We zijn dan ook benieuwd naar ervaringen van collega IT-auditors die dit raamwerk gaan toepassen. ■ Literatuurlijst [BRU] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen P.C.J.,Slot, M.C.M en Staveren, van B.J.; Ketengovernance: ketensamenwerking binnen het publieke domein. De EDP-auditor nr. 2 2006.
Voor de wijze van samenwerking tussen de auditdiensten van de deelnemende organisaties is in eerder verschenen artikel in De EDP-Auditor [BRU] een aantal samenwerkingsmodellen beschreven. In de initiatiefase van een interdepartementaal IT-project worden de grove contouren van de keten ontworpen. Hierbij kan de ketenaudit zich richten op de realiseerbaarheid van een beheersbare keten binnen de (gemaakte) strategische afspraken. Omdat hierbij veelal geen contact is tussen de auditdiensten van de deelnemende organisaties is het ‘grondmodel’ [BRU] hierbij van toepassing. In dit model is geen sprake van een gemeenschappelijke basis voor het uitvoeren van een audit. Hierbij worden de audits uitgevoerd door één auditdienst en hebben de audits betrekking op één processtap uit de keten. In het ideale geval worden in deze fase de auditdiensten van de deelnemende organisaties betrokken, zodat zij gezamenlijk de haalbaarheid van het ketenontwerp kunnen beoordelen.
[BZK] Auditdienst BZK en Auditdienst Financien, Onderzoek contractrelatie P-Direkt, www.minbzk.nl, 27-07-2006. [DON] Donkers, H., Project Governance en Risk Management binnen projecten, presentatie NOREA, 15-12-2005. [FIN] Ministerie van Financien, Dossier governance, www.minfin.nl. [HEC] Het Expertise Centrum, Beoordeling Integrale Probleemanalyse Loonaangifteketen, www.minszw.nl, 12-09-2007. [INT] Interdepartementaal onderzoeksteam, Ketenauditing een logisch vervolg op interdepartementale samenwerking, juni 2004. [PDI] P-Direkt, Lessons Learned P-Direkt – First Opinion inzake verbeterpunten van ‘de oprichting van P-Direkt’, www.minbzk.nl, 26-09-2005. [SZW] Beheerteam Belastingdienst en UWV, Integrale Probleemanalyse Loonaangifteketen, www.minszw.nl, 12-09-2007. Noten 1 De volledige analyse is na te lezen in de scriptie ‘Governance van interdepartementale IT-projecten’ (http://www.eap.nl/000555/Publicaties/) 2 Het project P-Direkt is nog niet afgerond. De uitgevoerde analyse heeft
Voor de ontwerp- en realisatiefase van de keten is het wenselijke samenwerkingsmodel afhankelijk van het type keten dat wordt gerealiseerd. Uit de praktijkanalyse blijkt dat met name
betrekking op de uitvoering van het project tot aan het verbreken van de contractrelatie met ILC. Inmiddels is het project in een nieuwe fase van aansturing beland. Deze fase wordt niet behandeld in dit artikel.
51 | de EDP-Auditor nummer 1 | 2008
Boekbespreking
IT-auditing en de praktijk
Titel: IT-auditing en de praktijk Redactie: Rob Fijneman, Edo Roos Lindgreen, Kai Hang Ho Uitgever: Academic Service, SDU uitgevers b.v., Den Haag Jaar: 2006 (juli) ISBN: 90-395-2468-8
‘IT-Auditing en de praktijk’ is het tweede deel in een nog korte reeks van boeken over IT-auditing, dat aansluit op ‘Grondslagen van IT1
auditing’ . Het boek behandelt de rol die IT-auditors kunnen spelen aan de hand van een negental auditobjecten zoals Corporate governance en IT-governance, IT-projecten en programma’s, Processen en informatiesystemen, ERP-systemen en Beveiliging van de IT-infrastructuur. Het boek is bedoeld als een leerboek op het gebied van IT-auditing voor hbo en (post)doctoraal onderwijs. Tjeerd Inia, Lucien van Riel en Olivier Tielen
Ing. T.P. (Tjeerd) Inia RE en drs. L.J.C. (Lucien) van Riel RE zijn beiden werkzaam bij de Audit Dienst Defensie, ir. O.D. (Olivier) Tielen RE is werkzaam bij de Auditdienst van Verkeer en Waterstaat.
IT-projecten en programma’s De achtergronden en beginselen van project- en programma-management worden in dit hoofdstuk beschreven en gerelateerd aan de praktijk van de methodieken Prince2 voor projectmanagement en MSP2 voor programmamanagement. Vooral projecten waarbij IT als verbeteringsinstrument of strategisch wapen wordt ingezet, blijken complex, omvangrijk en vitaal voor de organisatie. Juist deze projecten zijn lastig te beheersen, en inherent hieraan bestaat er een toenemende kans op falen. Voor een goede sturing en beheersing van een project is een methode voor projectmanagement onontbeerlijk. Processen en Informatiesystemen Dit hoofdstuk behandelt achtereenvolgens de kwaliteitsaspecten van informatiesystemen (maatwerk, standaard software), de beoordeling van bedrijfsprocessen en de verschillende soorten IT-application controls. Er wordt helaas geen relatie gelegd tussen het beheerskader en de bedrijfsdoelstellingen. Het stuk is nogal theoretisch van aard en zou daardoor niet misstaan in het boek ‘Grondslagen van IT-auditing.’ ERP-systemen Het hoofdstuk begint met een uitleg over wat ERP-systemen zijn en daarna worden ze vergeleken met maatwerksystemen en ‘Best of Breed’. De genoemde faal- en succesfactoren van ERP-implementaties zijn herkenbaar, zeker gezien de ervaringen bij 52 | de EDP-Auditor nummer 1 | 2008
verschillende ministeries. De bespreking van de mogelijke rollen die een IT-auditor kan spelen bij ERP-implementaties laat duidelijk de vele mogelijkheden zien. Bij de bespreking van de interne beheersing in en rondom een ERP-systeem zou sterker een relatie gelegd kunnen worden met de bedrijfsprocesanalyse. Een inschatting van de risico’s en beheersingsmaatregelen in het systeem, en daar buiten, zijn essentieel om een ERP-systeem in zijn bedrijfscontext te kunnen auditen. Verder komt de noodzaak om een audit geïntegreerd met een financial auditor en een technisch ITauditor uit te voeren niet zo goed uit de verf. Het is misschien te ambitieus om het auditen van ERP-systemen in één hoofdstuk te beschrijven. IT-servicemanagement Het hoofdstuk gaat in op de aspecten van IT-servicemanagement en IT-beheer en de raakvlakken met IT-governance. De auditaspecten worden summier beschreven. Zo komt de beschrijving van audit van beheerprocessen niet verder dan de constatering dat dit arbeidsintensief is, met een grote hoeveelheid bevindingen die kunnen leiden tot tegenwerking van de geïnterviewden gedurende het auditproces. Het laat wel zien dat de verschillende aspecten in samenhang worden geraakt, en dat snel duidelijk wordt waar je als auditor accenten kan leggen. Belangrijk is de constatering dat de afzonderlijke delen van de IT-organisatie niet solitair mogen opereren. Het gaat erom dat de componenten van de diverse modellen zodanig worden gebruikt dat er als integraal onderdeel van de corporate governance-structuur een IT-beheerorganisatie wordt gecreëerd die naadloos aansluit op de rest van de organisatie.
Beheersing van IT-kosten Dit hoofdstuk gaat in op het proces IT-costmanagement, de planning en control cyclus, doorbelastingsproblematiek, Total Cost of Ownership, de rol die benchmarking kan spelen en aandachtspunten bij het uitvoeren van audits naar IT-kosten en IT-costmanagement. Dit is zeker geen standaard IT-audit onderzoeksobject. De problematiek rondom het ontbreken van een hard normenkader en de slecht te vergelijken benchmarks maken het moeilijk om tot een oordeel te komen en zeker om een zinvolle audit naar ITkosten uit te voeren. De afsluitende aanbeveling in het hoofdstuk om een formele toetsing van het IT-costmanagement te doen als basis voor potentiële kostenverlagingen spreekt ons erg aan. Daarbij moet de IT-auditor praktische aanbevelingen doen voor de bedrijfsstrategie, waar managers mee vooruit kunnen. Informatiebeveiliging Het hoofdstuk over Informatiebeveiliging behandelt de inrichting van de organisatie van informatiebeveiliging, de toepassing van risicoanalyse en het treffen van beveiligingsmaatregelen vanuit de optiek van de Code voor Informatiebeveiliging. Daarna behandelt het de managementcyclus en het controlemodel voor het beveiligingsproces met bijzondere aandacht voor opzet, bestaan en werking en inrichting van toezicht. Het proces van Informatiebeveiliging wordt duidelijk uitgelegd, maar de praktische invulling voor de auditor is niet altijd even helder. Beveiliging van de IT-infrastructuur Het hoofdstuk begint met een beschrijving van de IT-infrastructuur, de componenten van IT-infrastructuur en kernbegrippen van informa-
tiesystemen. Vervolgens worden in vogelvlucht de historie en technische componenten van IT-infrastructuur behandeld en de beveilingsaspecten van IT-infrastructuur en beveiliging van TCP/IP-netwerken in het bijzonder. Het hoofdstuk wordt afgesloten met audit en compliance-monitoring van de IT-infrastructuur. In de afsluitende paragraaf wordt een voor auditors herkenbare procesgang geschetst, maar de omvang van de IT-infrastructuur en zeker ook de complexiteit van de informatietechnologie en voortschrijding der techniek maken dit een moeilijk onderwerp om te vatten in een tijdloze casus. IT-auditing en accountantscontrole Dit hoofdstuk behandelt de accountantscontrole en de rol van IT-auditing hierin. Achtereenvolgens wordt behandeld: de fasering van de jaarrekeningcontrole, IT-auditobjecten, vertaling van de resultaten van de ITaudits voor de jaarrekeningcontrole en auditsoftware. De beschrijving van de fasering van de jaarrekeningcontrole is helder verwoord, maar de inbreng van de IT-auditor bij het vaststellen van de controlestrategie is minimaal. Relevante IT-ontwikkelingen (ERP, ecommerce) en de inzet van auditsoftware bijvoorbeeld. Tevens komt niet zo goed uit de verf dat IT-auditing vaak separaat wordt uitgevoerd, waarbij de resultaten van de IT-audit slechts gedeeltelijk worden gebruikt ten behoeve van de jaarrekening. Corporate Governance en IT-Governance Dit hoofdstuk begint met het plaatsen van Corporate Governance en ITGovernance en legt een relatie met het normenstelsel van COBIT. Er wordt uitgebreid ingegaan op de behoefte aan zekerheid over ITGovernance en daarbij wordt bijzon53 | de EDP-Auditor nummer 1 | 2008
dere aandacht gegeven aan voorschriften, Third Party Mededelingen en SAS70. Het hoofdstuk sluit af met een interessante beschrijving van de verwachtingen voor de toekomst. Conclusies Het boek is duidelijk gestructureerd, ieder hoofdstuk kent vrijwel eenzelfde opbouw. Alle onderwerpen worden helder beschreven en zijn voorzien van relevante, informatieve figuren. Per hoofdstuk wordt aangegeven welke competentiedoelen worden nagestreefd. Hiermee wordt een handige lijst geboden om achteraf te checken of die doelen zijn bereikt. De meeste onderwerpen eindigen met beschouwing vanuit een auditperspectief. Dat alleen de afsluitende auditbeschrijvingen ingaan op het auditproces vinden wij een gemis. In het boek wordt een uitdagende verdieping van audittheorie naar auditpraktijk beloofd. Deze belofte kan door de diversiteit, complexiteit en omvang van de onderwerpen niet geheel worden waargemaakt. Voor de toekomstige IT-auditor biedt het boek in vogelvlucht een interessant overzicht over een aantal bijzondere auditobjecten. De auteurs reiken echter geen normenkaders, voorbeeldrapportages, werkplannen of andere hulpmiddelen aan. Dit maakt het boek voor de IT-auditor uiteindelijk minder van praktische waarde, maar wellicht voor anderen die geïnteresseerd zijn in de rol van IT-auditors juist aantrekkelijker. ■ Noten 1 Boekbespreking in de EDP-Auditor Jaargang 2006, nummer 3. 2 Managing Successful Programs.
Een dag uit het leven van
Ronald van Langen Drs. R.J.M. (Ronald) van Langen RE RA is Service Manager bij KPMG IT Advisory en gedurende twee jaar uitgezondern naar het Global Service Centre (GSC) van KPGM in Montvale New Jersey.
W
oensdagochtend 6.00 uur, tijd om op te staan. De deur uit voordat ik mijn vrouw en kinderen verstoor in hun eigen ochtendritueel. Eerst zet ik alvast de verwarming in huis even hoger. Buiten ontdek ik dat ik voor de tweede keer dit jaar mijn ramen mag krabben; het is koud geweest vannacht. Maar hier in New Jersey is het minder vochtig dan in Nederland, waardoor ik dit gelukkig minder vaak hoef te doen. De rit van Allendale NJ naar Montvale NJ is iets meer dan tien minuten, in de spits hooguit twintig. Straks in Nederland waarbij ik vijftig kilometer naar Amstelveen mag afleggen zal dat weer wennen zijn. Op kantoor begroet ik mijn twee andere vroege collega’s. Het is des Amerikaans om lange dagen te maken. Computer aanzetten en thee, water en een beker cereal pakken. Cereal is het ontbijt voor de Amerikanen – snel en gemakkelijk. Daarnaast brengen velen hun kop koffie mee naar kantoor (Starbucks of Dunkin’ Donuts), als je eenmaal de koffie hier geproefd hebt, begrijpt je meteen waarom. Terwijl ik geniet van mijn ontbijt even checken wat er binnen KPMG Nederland gebeurt. Ik ben voor een periode van twee jaar uitgezonden naar Montvale New Jersey. In Montvale is het Global Servives Centre (GSC) van KPMG gevestigd. Hier ontwikkelen en onderhouden we voor de buitendienstmedewerkers van KPMG hulpmiddelen, handreikingen en methodologieën. Ik houd mij onder meer bezig met de wereldwijde uitrol van IDEA, een bestandsanalysetool, en met IT in de jaarrekeningcontrole. Een global rol houdt mede in dat collega’s vanuit de hele wereld mij weten te vinden. Zo ook vanochtend; in mijn inbox een vraag van een collega uit Estland over IDEA. Dit keer een vraag over importeren van Excel54 | de EDP-Auditor nummer 1 | 2008
bestanden en veldformaten. Een bekend onderwerp voor mij, dus snel zelf beantwoord. Later op de dag een vraag van een Nederlandse collega in Chicago over steekproeven. Ditmaal een antwoord gegeven in het Nederlands. En hoewel mijn Engels verre van perfect is, vind ik het handiger om (vak)technische vragen in het Engels te beantwoorden. Dat scheelt dan in ieder geval een vertaling. In de ochtend ontvang ik een alert van de bank; er zijn onduidelijk betalingen gesignaleerd via mijn creditcard. Gelijk maar aan de bel trekken en na vier controlevragen om mijn identiteit te bevestigen mijn kaart laten blokkeren en een nieuwe aangevraagd. Toch gek, mijn kaart is net een week geleden vernieuwd. In Amerika zijn de risico’s van het betalingsverkeer anders. Identiteitsfraude is een belangrijk risico en het (dagelijks) beoordelen van de kredietwaardigheid (credit reports) bij een of meer instituten behoort tot de mogelijke maatregelen. Het skimmen van een bankpas is blijkbaar een minder groot risico, de pinpads die worden gebruikt in de winkels laten het niet toe om het intoetsen van je pincode zorgvuldig af te schermen voor anderen. Daarnaast staat het elektronisch betalingsverkeer ten opzichte van Nederland nog in de kinderschoenen. Het overmaken van geld naar Nederland dien je persoonlijk bij je bank met een bewijs van je identiteit in tweevoud en een formulier in tweevoud te regelen. Andersom is dat heel anders: geldtransacties vanuit Nederland naar Amerika kan ik gewoon via internetbankieren afhandelen. Ook het overmaken van bijvoorbeeld je maandelijks huur gaat op Amerikaanse wijze. Maandelijks schrijft mijn bank een cheque uit, stopt deze in een envelop en verstuurt deze naar mijn huurbaas. Deze kan vervolgens met deze cheque naar haar bank om
het geld te storten op haar bankrekening. Het elektronisch overmaken van een rekening naar een andere rekening is nog niet mogelijk. Mede door Audit Standaard 5 van de PCAOB zijn er in 2007 enkele verschillen ontstaan in de aanpak en wijze van documentatie van de IT general controls voor een integrated audit (SOX) en een ‘gewone’ jaarrekeningcontrole. De verschillen zijn beperkt, maar om in een wereldwijd speelveld iedereen mee te krijgen is een zorgvuldige discussie vereist. Vooraf hebben we overleg gehad wie hierbij betrokken moesten zijn… nu nog de laatste wijzigingen aanbrengen in de presentatie die we willen gebruiken. De nadruk vanuit de PCAOB ligt op efficiency (dat spreekt mij aan) en een top-down aanpak gebaseerd op de risico’s. Met name op het gebied van IT general controls kan hier nog meer efficiency worden behaald, al is het alleen maar omdat de stringente bepalingen voor het steunen op testwerk van anderen ruimer zijn gedefinieerd. Aan het eind van de ochtend hebben we een overleg met enkele collega’s
en Dr. Miklos Vasarhelyi, professor van de Rutgers University en director van het Continuous Auditing & Reporting Lab CARLab. Doelstelling is om kennis uit te wisselen op het gebied van continuous auditing, de projecten en vraagstukken binnen KPMG en binnen zijn faculteit en CARLab. Een bijzondere meeting met veel nieuwe ideeën, waarbij zelfs de XML-audit file van de Nederlandse belastingdienst ter sprake kwam. Het was lastig om tijdens de bespreking aangehaakt te blijven, met alle onderzoekstermen die over de tafel werd geslingerd. Ik weet nu weer hoe accountants zich voelen indien wij IT-auditors te veel vaktermen in een zin gebruiken. De bespreking is uitgelopen dus ik moet mij haasten naar het nabijgelegen hotel, om daar een presentatie te verzorgen. Ditmaal mag ik voor een groep van circa 150 Amerikaanse KPMG-collega’s uitleggen hoe we ITrisico’s en de IT general controls efficiënt kunnen documenteren in onze nieuwe audit tool voor ‘minder complexe’ ondernemingen. In discussies met mijn Amerikaanse collega’s is het 55 | de EDP-Auditor nummer 1 | 2008
wenselijk om duidelijk te maken wat we bedoelen met ‘kleinere’ opdrachten. In Amerika is ‘alles’ groter, zo ook de gemiddelde opdrachtfee. Het is al een keer voorgekomen dat een Amerikaanse collega sprak over een kleine opdracht, die ik voor Nederlandse begrippen als een middelgrote opdracht zou beschouwen. ’s Middags heb ik nog een overleg, een requirements meeting waarbij de status en ontwikkelingen van het project voor de verbetering van onze audit toolkit aan bod komt. Zelf ben ik betrokken bij onderwerpen als onderkennen IT-risico’s, gebruik van (rapporten van) serviceorganisaties en betrokkenheid van interne accountants. Diverse onderwerpen waarbij we de vereisten van de controlestandaarden, de praktische ervaring en onderkende verbeterpunten in de huidige methodologie als input gebruiken. Na het overleg heb ik nog even tijd om diverse documenten te beoordelen en enkele afstemmingen met aanverwante onderwerpen te doen. Aan het begin van de avond ben ik thuis, op tijd beginnen geeft mij gelukkig de mogelijkheid om ’s avonds thuis te zijn. Dit keer is mijn vrouw ook wat later en eten we gezamenlijk. Na het eten kan ik nog heerlijk even stoeien en spelen met mijn twee jongens (twee en vijf jaar). Leuk om te zien hoe ze beiden hun fantasie gebruiken bij het spelen met een brandweerauto en brandweerkazerne. Het nagebootste geluid van de sirene is natuurlijk Amerikaans. Na een middagje in New York City te hebben rondgelopen, kunnen ze het geluid van een Amerikaanse sirene allebei bijzonder goed nadoen. Als de kinderen in bed liggen, is het tijd voor koffie – een typisch Hollandse gewoonte. Daarna nog even wat vakliteratuur lezen voordat de dag weer ten einde is. ■
IT-auditors bijeen
ISF World Congress 2007 Het Information Security Forum (ISF) is een internationale, onafhankelijke organisatie die samen met haar leden verschillende onderwerpen op het gebied van informatiebeveiliging onderzoekt. Het ISF telt meer dan driehonderd leden; dit zijn organisaties en bedrijven verspreid over de hele wereld en uit tal van sectoren zoals de financiële dienstverlening, telecommunicatie, energie en overheid.
Juriaan Rijnbeek
Drs. J.W. (Juriaan) Rijnbeek RE is als senior ICT auditor werkzaam bij Fortis Audit Services.
Een organisatie die lid is van het ISF heeft toegang tot artikelen, tools en best practices over informatiebeveiliging. Daarnaast zijn er op lokaal niveau diverse chapters waarin kennis en ervaring kan worden uitgewisseld, en kunnen leden deelnemen aan werk- en studiegroepen die zich richten op het samenstellen van nieuwe tools en best practices. Een andere manier voor de deelnemende organisaties om kennis en ervaring uit te wisselen is het jaarlijkse ‘World Congress’. Afgelopen jaar vond van 9 tot 11 december het achttiende ‘World Congress’ van het ISF plaats in Kaapstad, Zuid Afrika. Het zou te ver gaan om hier een volledig overzicht te geven van drie dagen congres; in plaats daarvan volgt een korte impressie van deze bijeenkomst, waarop 500 deelnemers uit de internationale informatiebeveiligingsgemeenschap met elkaar van gedachten wisselden. Het congres was onderverdeeld in zeven plenaire ‘mainroom’ sessies en een totaal van bijna vijftig ‘break-out’ sessies. Twee thema’s waren in deze sessies nadrukkelijk aanwezig: IT Governance en Cyber Security. IT Governance Na een spetterende muzikale opening, waarbij de aanwezige security professionals op Afrikaanse trommels konden meeslaan met de lokale drumband, mocht professor Mervyn King (o.a. voorzitter van het King Committee over corporate governance in Zuid-Afrika) als eerste spreker aantreden. Zijn presentatie betrof corporate en IT governance. Gezien het toegenomen belang van IT en de informatie die opgeslagen is in systemen, is het essentieel deze door middel van IT governance goed te beheersen. King betoogde, dat Informatiebeveiliging moet worden gezien als een belangrijk en integraal onderdeel van IT Governance. Volgens King is ‘ver56 | de EDP-Auditor nummer 1 | 2008
dere wetgeving niet het middel om te komen tot goede IT governance. De markt moet worden gezien als de ultieme compliance officer.’ Stuart McIrvine (Director Corporate Security Strategy bij IBM) toonde drie invalshoeken om naar IT governance te kijken en deze te verbeteren. De eerste invalshoek is die van IT performance management, waarbij het Val IT framework kan helpen om IT performance management te verbeteren. De tweede invalshoek is die van security risk management, waarbij het ERM framework als raamwerk van pas kan komen. De laatste invalshoek is IT compliance management. Volgens McIrvine is volwassenheid van IT processen hiervoor essentieel. ITIL is een middel dat hierbij kan worden ingezet. Cyber security Een ander thema dat opviel in de diverse sessies was cyber security. Een van de sprekers die ingingen op dit onderwerp was Ira Winkler (Internet Security Advisors Group). De kern van zijn betoog was dat veel mensen weliswaar claimen voldoende kennis te hebben van informatiebeveiliging, maar dat uit de praktijk blijkt dat het tegendeel het geval is. Volgens Winkler ‘weten veel mensen niet wat ze niet weten over informatiebeveiliging’. Hierdoor worden risico’s niet altijd juist ingeschat. Belangrijk is om de juiste experts in te schakelen en een goede afweging te maken tussen risico’s en kosten van maatregelen. Hierbij moet worden uitgegaan van de waarde van de informatie. Mikko Hyppönen (Chief Research Officer F-Secure) toonde in zijn presentatie de toename van computercriminaliteit. Vroeger werden virussen geschreven door hobbyisten; tegenwoordig worden virussen, wormen, trojans, etc. geschreven door professionals en steeds meer gebruikt voor criminele activiteiten. Volgens Hyppö-
nen zullen virussen en dergelijke in de toekomst ook voor spionagedoeleinden worden gebruikt. Hij liet in zijn presentatie enkele sprekende voorbeelden zien, zoals het afpersen van mensen door te dreigen met een denial of service attack en de succesvolle zoektocht naar de schrijver van een worm. Ook liet hij zien hoe eenvoudig het is om aan credit card gegevens te komen en op welke wijze crimineel geld kan worden weggesluisd. Break-out sessies De bijna vijftig break-out sessies werden voor een belangrijk deel tegelijkertijd gehouden, waardoor er slechts zeven gevolgd konden worden. De keuze was hierdoor niet altijd eenvoudig. Twee sprekers vielen op. Bruce Schneier (BT Counterpane) is een bekend spreker en publicist van diverse boeken over beveiliging en cryptografie zoals bijvoorbeeld het
welhaast monumentale standaardwerk ‘Applied Cryptography’. Waar sommigen een technische presentatie verwachtten, ging zijn betoog juist over de psychologie van beveiliging. Met verschillende voorbeelden liet Schneier zien dat beslissingen die we nemen lang niet altijd rationeel zijn. Als het gaat om het inschatten van risico’s, kansen en kosten blijken we soms meer te reageren op basis van ons ‘instinct’ en angst dan op feitelijkheden. Na afloop van de presentatie ontving iedereen Schneier’s boek ‘Beyond fear – thinking sensibly about security in an uncertain world’. Dit boek gaat verder in op het thema van zijn presentatie en is zeker het lezen waard. Geert Huyck (Fortis Audit Services) hield een presentatie getiteld ‘Internet Banking – new threat landscape and protection measures’. In deze presentatie liet hij zien dat de Internetbedreigingen voor de bancaire wereld
aan het veranderen zijn. Net zoals de main room speakers toonde hij aan dat er sprake is van een criminalisering van het Internet. Hij behandelde methoden die door criminelen kunnen worden gebruikt om Internetbankieren aan te vallen. Hierbij ging hij dieper in op ‘phishing’ en man-in-themiddle attacks. Daarnaast liet hij ook zien welke maatregelen getroffen kunnen worden om deze nieuwe bedreigingen het hoofd te bieden. Tot slot Al met al was het een geslaagd congres, waar naast de reguliere sessies een belangrijke plaats was weggelegd voor networking tussen security professionals. Het spreekt vanzelf dat de ambiance waarin het congres plaatsvond – in de schitterende omgeving van de Kaap in het zomerseizoen – de combinatie van het nuttige en het aangename heel goed mogelijk maakte. ■
Uit de opleidingen
Erasmus School of Accounting & Assurance First Global Academic Conference on ‘Internal Audit and Corporate Governance’ Deze conferentie wordt op 21 en 22 april georganiseerd op de Erasmus Universiteit te Rotterdam. Via www.auditing.nl kunt u zich inschrijven. U vindt daar ook meer informatie over het programma. Op 22 april zal tevens aandacht worden besteed aan het 15-jarig bestaan van de opleiding I/OA.
ESAA: erkende onderwijsinstelling voor PE-punten Inmiddels is ESAA ook door het NIVRA erkend als onderwijsinstelling en kunnen RA’s (RO’s, RE’s en RC’s) bij de opleidingen van ESAA officieel PE-punten halen in het kader van hun permanente educatie. Uitwisseling Université Paris-Dauphine In juni komen IT-Auditing studenten van de Université Paris-Dauphine naar
57 | de EDP-Auditor nummer 1 | 2008
Rotterdam voor een uitwisseling en training. Met de studenten IT-Auditing van de Erasmus Universiteit zal een dag worden besteed aan het gezamenlijk uitwerken van een audit case. Buluitreiking Met ingang van dit collegejaar vindt twee maal per jaar een buluitreiking plaats. Op donderdag 3 april staat de eerstvolgende buluitreiking op de agenda, gezamenlijk met de I/OA studenten.
Uit de opleidingen
Afscheidsrede prof. Kor Mollema RE RA Akoepedie voor auditors? Kor Mollema hield op 18 januari 2008 zijn afscheidscollege als hoogleraar IT-auditing aan de Erasmus School of Accounting en Assurance gehouden. Voormalig NOREA-voorzitter Mollema (van 1996 tot 1999) vervulde sinds 1999 het hoogleraarschap aan de Eramus Universiteit. De titel van Mollema’s afscheidsrede, Akoepedie voor auditors, refereert in twee opzichten aan luisteren. Enerzijds omdat het Griekse werkwoord ‘akouein’ luisteren betekent. Anderzijds omdat akoepedie zich laat vertalen met behandeling van luisterdefecten of dovenhulp. Audit komt van het werkwoord audire, wat in het Latijn ook staat voor luisteren. Maar is de auditor wel de onberispelijke waarnemer die hij wordt verondersteld te zijn? Het onverminderd voortbestaan
van de verwachtingskloof tussen de hoge pretentie enerzijds en de maatschappelijke appreciatie anderzijds doet anders vermoeden. Mollema’s dovenhulp is gebaseerd op enkele conclusies en omvat het navolgende stappenplan: 1. Meer voorschriften geven het métier wel even meer gewicht maar dragen niet bij aan de effectiviteit; 2. Een belangrijk onderdeel van dat beroep is het auditobject en de manier waarop dat wordt onderzocht; 3. Haast even belangrijk is dat de audit
in al zijn verschillende vormen zich als één métier presenteert; 4. De verwachtingskloof kan het snelst worden verkleind door de pretentie te verlagen en alternatieven aan te reiken; 5. De basis voor het creëren van een echte toekomst ligt in het doen van objectief onderzoek naar de toegevoegde waarde van het beroep; 6. Het voorgaande kan akoepedisch werken en creëert daarmee een value-adding toekomst voor het auditmétier.
Van de NOREA
Normen voor de beheersing van uitbestede ICT-beheerprocessen Op gezamenlijk initiatief van de NOREA en het Platform voor Informatiebeveiliging (PvIB) is op 12 december 2007 een normenstelsel gepubliceerd. Het initiatief voor de ontwikkeling van dit normenstelsel komt voort uit de behoefte aan een gemeenschappelijk referentiekader dat goed hanteerbaar is bij situaties van uitbestede ICT-beheerprocessen. Het normenstelsel is te hanteren door de diverse partijen die betrokken zijn bij de beheersing en verantwoording over ICT-dienstverlening, te weten: • Klantorganisaties (i.e. de opdrachtgever van de serviceorganisatie): bij
het vaststellen van hun rapportagebehoeften voor de beheersing van te ontvangen ICT-diensten; • Serviceorganisaties: bij het vaststellen van de interne beheersmaatregelen en de rapportagestructuur voor de verantwoording over geleverde iCT-diensten; • IT-auditors: zowel in hun oordeelsvorming bij het rapporteren over uitbestede ICT-diensten als in hun adviesfunctie als adviseur van klantof serviceorganisatie. Uiteraard is rekening gehouden met reeds bestaande standaarden en ‘bestpractices’ als CobiT, ITIL en de Code voor Informatiebeveiliging. Ook zijn referentietabellen naar de voornoemde 58 | de EDP-Auditor nummer 1 | 2008
normenstelsels opgenomen. ‘Bij de ontwikkeling is gebruik gemaakt van een werkgroep, samengesteld uit vertegenwoordigers namens een groot aantal organisaties. Op deze wijze is gepoogd om te komen tot een zo groot mogelijk draagvlak’, aldus ir. A.G.(Bert) Los RE, voorzitter van de werkgroep Standaard Normenkader Beheersing en Beveiliging. Het normenstelsel wordt door het samenwerkingsverband uitdrukkelijk als ‘exposure draft’ (studierapport) gepresenteerd met de bedoeling om de bruikbaarheid in de praktijk te toetsen én om suggesties ter verbetering te doen. Het document is als pdf-bestand te raadplegen via de NOREA-website: www.norea.nl.
Van de Norea
NOREA-Ledenvergadering stemt in met Raamwerk en Richtlijn Assurance-opdrachten Het Raamwerk de Richtlijn Assurance-opdrachten is tijdens de NOREAledenvergadering op 12 december 2007 te Putten vastgesteld. De richtlijn geldt per 1 januari 2008. De IT-auditors conformeren zich hiermee aan het ‘International Framework for Assurance Engagements’. Dit wordt ook onderstreept met het IFAC-lidmaatschap dat onlangs aan de NOREA is verleend. Bij een ‘assurance-opdracht’ wordt het vertrouwen versterkt van de gebruikers van het onderzoeksobject, waarbij kenmerkend is voor een assu-
rance-opdracht dat er drie partijen betrokken zijn: de IT-auditor, een verantwoordelijke partij en een (beoogde) gebruiker. Daarnaast zijn er nog enkele andere elementen die bepalen of er sprake is van een assurance-opdracht volgens de definitie van het raamwerk. Adviesopdrachten worden in beginsel niet tot de assurance-opdrachten gerekend. Het onderscheid tussen adviesopdrachten en assurance-opdrachten blijkt uit het Raamwerk. Op korte termijn zal het bestuur onderzoeken of aanvullende regelgeving voor adviesopdrachten gewenst is. Indien blijkt dat dit het geval is dan zal het bestuur stappen ondernemen voor het uitwerken van de gewenste regelgeving en
vervolgens deze regelgeving aan de ledenvergadering ter goedkeuring voorleggen. Op dit moment is op adviesopdrachten de bestaande relevante regelgeving, waaronder het Reglement Gedragscode (‘Code of Ethics’), van toepassing. Bestuur en begroting Tijdens de vergadering zijn ook nog enkele bestuursveranderingen aangekondigd. Drs. P.J. Mancham RE RA (Cordares) is als nieuw bestuurslid benoemd, terwijl bestuurslid drs. ing. D. Brouwer RE RA (ING-Groep) aftredend penningmeester C.F. Warmoeskerken RE RA opvolgt. Tenslotte heeft de ledenvergadering ingestemd met de begroting 2008.
Nieuwe Leden
Agenda
Met ingang van 22 januari 2008 ingeschreven in het register van gekwalificeerde IT-auditors (RE’s):
Alumnicongres ‘De professionalisering van het IT-auditberoep’ VUroRE/NOREA regio Amsterdam Datum: 18 april 2008 Locatie: Vrije Universiteit Amsterdam
J.C. v. Beek MSc. CISSP CISA B. Elfrink R. Lataster drs. E.F. Leicester mevr. I. Masjuk bc drs. N.D.C. Muusze M.B. Pisa CISA EMITA J. van Schajik drs. V.A. Seekles drs. D.W. Steegenga ir. B.M.J. de Swaan Arons ing. J.F.M. Visser
Cornelis Trooststraat 40 1 Vosbultkamp 47 Jan Witkampstraat 22 Obrechtstraat 362 Anjerstraat 1 Stratumsedijk 23 -61 Conrad Busken Huethove 1 Galerijmuur 29 Eerste Atjehstraat 130 -2 Parnassiaveld 51 2e Jan v/d Heijdenstraat 52 -1 Schubertpad 14
Verhuisbericht Het NOREA-bureau gaat - samen met het Koninklijk NIVRA en andere gelieerde organisaties – verhuizen.
Amsterdam Overdinkel Rotterdam ’s-Gravenhage Rotterdam Eindhoven Nieuwegein Houten Amsterdam Duivendrecht Amsterdam Oud Beijerland
Conferentie ‘Internal Audit and Corporate Governance’ Datum: 21/22 april 2008 Locatie: Erasmus Universiteit Rotterdam Best Practices in IT Management ‘Beyond ITIL, Beyond Control’ Datum: 22 april 2008 Locatie: De Reehorst, Ede ISACA/NOREA IT-auditdag 2008 Datum: 4 juni 2008 Locatie: Hilton Parc, Soestduinen
Het nieuwe bezoekadres is vanaf maandag 31 maart 2008:
Antonio Vivaldistraat 2-8, 1083 HP Amsterdam.
59 | de EDP-Auditor nummer 1 | 2008
NOREA-ledenvergadering voorjaar 2008 Datum: 18 juni 2008 Locatie: nieuwe NIVRA/NOREAkantoor, Amsterdam
