Van de redactie. Memories, just memories Column Thea Gerritse. Hoe gaat u dat nu doen, minister? Interview met Anne-Wil Duthler

Redactieraad drs. M.A. Bongers RE RA drs. H.A. Kampert RE RA drs. E. Koning RE RA CISA prof. ir. E.F. Michiels prof. dr. ir. J.A.E.E. van Nunen J.C. Vos RA H. de Zwart RE RA

Redactie M. M. Buijs RE RI drs. Th.M.J.Gerritse RE drs. W.T. Houwert RE prof. dr. G.J. van der Pijl RE drs. E.J.M Ridderbeekx RE CISA drs. R.J.Steger RE RA ir. C. L. Wauters EMEA drs. Th. Wijsman RE Eindredactie prof. dr. G.J. van der Pijl RE

Bureauredactie D. Mensink (Lensink Van Berkel Communicatie) [email protected] Uitgever Reed Business bv Postbus 152 1000 AD Amsterdam Tel.: 020-5159222 www.reedbusiness.nl

4 Van de redactie 5 Memories, just memories Column Thea Gerritse

6 ‘Hoe gaat u dat nu doen, minister?’ Interview met Anne-Wil Duthler

10 HR Shared Service Centres: aandachtspunten voor de IT-auditor Veronie Boonk

18 Het belang van XBRL voor IT-auditors Jan Pasmooij

24 Security-aspecten bij Voice over IP Will Franken

32 Registration, Evaluation and Authorisation of Chemicals (REACH) Tobias Houwert en Willem-Jan van Sluisveld

37 Sociaal leven op internet

Abonnementen ‘De EDP-Auditor’ wordt kosteloos aan de leden van de NOREA verzonden. De abonnementsprijs voor niet-leden bedraagt voor 2008 € 88,75 excl. btw. (Studentenprijs € 31,80) De verzendtoeslag voor België bedraagt € 7,37 en voor de Nederlandse Antillen en overige landen € 22,85. De prijs van losse nummers is € 24,95 excl. btw.

39 Coaching ook voor IT-auditors

Per jaar verschijnen 4 nummers. Een abonnement kan worden beëindigd door schriftelijk vóór 1 november van een lopend jaar op te zeggen. Bij niet-tijdige opzegging wordt het abonnement met een jaar verlengd.

47 Managing IT outsourcing

Abonnementenadministratie en lezersservice Reed Business bv Postbus 4, 7000 BA Doetinchem Tel.: 0314-358358 Fax: 0314-358161 E-mail: [email protected]

Copyright Het geheel of gedeeltelijk overnemen van artikelen, schema’s of tekeningen uit deze uitgave is slechts toegestaan na voorafgaande schriftelijke toestemming van de uitgever. ISSN 0929-0583

Bijdragen De redactie nodigt lezers uit een bijdrage te leveren aan ‘de EDP-Auditor’. U kunt uw bijdrage sturen naar de bureauredactie. Advertenties Reed Business Media Amsterdam Postbus 152 1000 AD Amsterdam 020 - 515 9666 www.reedbusinessmedia.nl [email protected] Geldend advertentietarief 1-1-2008 Vormgeving Studio Putto BNO, De Rijp

2

jaargang 17 - 2008

de EDP-Auditor Colofon ‘De EDP-Auditor’ is een uitgave van de Nederlandse Orde van Register EDP-Auditors

Inhoud

Xander Bordeaux

Kees van der Maarel en Loubna Zarrou

45 Een dag uit het leven van Nora Boukadid Boekbespreking door Jan Roodnat

51 Uit de opleidingen 53 Van de NOREA

Van de redactie

Vernieuwing alom

T

erwijl er een eind lijkt te komen aan de eerste zomerse periode van dit jaar leggen we de laatste hand aan dit nummer van de EDP-Auditor, dat net voor de zomervakanties bij u in de bus valt. Wij bieden u in dit nummer een keur aan artikelen die allemaal ingaan op nieuwe ontwikkelingen op het gebied van ICT en regelgeving en op de impact die deze ontwikkelingen hebben op ons vakgebied. De openingscolumn van Thea Gerritse past daar prima bij. Zij staat naar aanleiding van haar eigen 20-jarig verblijf in het vakgebied en het 20-jarig bestaan van de EDP Audit Pool stil bij het tempo waarin ontwikkelingen in IT-auditing zich voltrekken. Vervolgens zien we in een interview hoe Anne-Wil Duthler zowel in haar dagelijkse advieswerk als in haar Eerste Kamer-lidmaatschap vanuit haar belangstelling voor recht en ICT een bijdrage levert aan ons maatschappelijk verkeer. Belangrijk aandachtspunt daarbij is de vraag hoe de overheid (technologische) vernieuwingen ook daadwerkelijk weet te implementeren. Vernieuwing doet zich onder andere voor op het gebied van de voortgaande opkomst van Shared Service Centres. Veronie Boonk laat zien waar de IT-Auditor op moet moet letten bij SSC’s in de HR-omgeving. Jan Pasmooij gaat vervolgens in op de ontwikkelingen rond XBRL. Deze nieuwe mogelijkheid tot het standaardiseren en digitaliseren van bedrijfsgegevens lijkt niet alleen te leiden tot verdergaande automatisering van bestaande administratieve en rapportage processen, maar maakt ook veranderingen in deze processen zelf mogelijk. Daar waar technische mogelijkheden en maatschappelijke behoeften samengaan, gaan ontwikkelingen vaak plotseling snel.

XBRL lijkt dan ook op het punt te staan daadwerkelijk door te breken. Voice over IP opent nieuwe en goedkope communicatiemogelijkheden. Maar hoe zit het met de beveiliging van deze communicatie? Will Franken laat zijn licht schijnen over deze vraag. Nieuwe regels betreffende de registratie, evaluatie en autorisatie van chemicaliën stellen eisen aan de informatiesystemen van vele organisaties. Tobias Houwert en Willem-Jan Sluisveld leiden ons in deze materie in. Snelle veranderingen stellen hoge eisen aan de vakmatige ontwikkeling van de IT-Auditor. De EDP Audit Pool probeert hieraan onder andere vorm te geven door het opzetten van een systeem van coaching. In de bijdrage van Kees van der Maarel en Loubna Zarrou lezen we hoe deze coaching is opgezet. Tenslotte treft u in dit nummer uiteraard ook weer de bekende vaste rubrieken aan. Nora Boukalid beschrijft een dag uit haar leven als junior IT-Auditor, Jan Roodnat bespreekt het boek ‘Managing IT outsourcing’ en Xander Bordeaux kijkt in de rubriek ‘Internet’ naar het sociale leven op Internet. Al met al ook in dit nummer van de EDP-Auditor weer voldoende leesstof. Wellicht een aanleiding om het een goed plaatsje in de reisbagage te geven.

4 | de EDP-Auditor nummer 2 | 2008

Column

Memories, just memories Thea Gerritse

I

n 2008 bestaat EDP Audit Pool (EAP), de organisatie waar ik werk, twintig jaar. Dat is voor ons reden voor een feestje, vanzelfsprekend. Mijn dienstverband met EAP bestaat ook twintig jaar, ik sta aan de vooravond van een sabbatical en vind dat een mooie gelegenheid om wat herinneringen op te halen. Op mijn eerste werkdag kreeg ik een plek toegewezen in een nieuw kantoorgebouw: een bureau met een ladenblok, een telefoon, een bureaustoel, een grote stalen kast, een prikbord, allemaal nieuw en leeg. In notime zou die kast zich vullen met ordners: dossiers van projecten waar ik mij mee bezig ging houden. Op het secretariaat stond een typemachine, rapporten werden nog grotendeels handgeschreven aangeleverd. De eerste personal computers werden na enkele weken afgeleverd. Voor elke werkruimte één - collega’s maakten onderling afspraken over de tijden dat ze de computer nodig hadden. Ik maakte kennis met mijn nieuwe collega’s – een man of tien, de meeste accountant of studerend hiervoor. Met kennis van én interesse in de gevolgen van de automatisering voor de accountantscontrole…. Want daar ging het over, in 1988. De objecten van onze audits waren enkele grote geautomatiseerde administratieve en financiële systemen. Normenkaders moesten nog per onderzoek ontwikkeld worden. De belangrijkste ondersteuning bestond uit NIVRA publicaties, met name de serie ‘Automatisering en controle’. In de eerste jaren volgden de ontwikkelingen elkaar snel op. In 1988 ging aan de VU in Amsterdam de postdoctorale opleiding EDP-auditing van

start, in 1989 gevolgd door de universiteiten van Rotterdam en Tilburg en in 1992 werd de Nederlandse Orde van Register EDP-Auditors (NOREA) opgericht. De EDP-auditor ontwikkelde zich van iemand die een uitspraak deed over de verwerking van gegevens in wat voor de accountant een black box was, tot iemand die ten behoeve van het management een uitspraak kon doen over de kwaliteit van informatiesystemen en informatie. Hierdoor ontstond de roep om de EDP-auditor om te dopen in IT-auditor en het vakgebied tot IT-auditing. Want het ging niet langer alleen om electronic data processing, maar om een breed scala van domeinen die een diversiteit van objecten van informatie- (en communicatie) technologie omvatten. Hoe mooi werd deze ontwikkeling geïllustreerd door de titels van de eerste uitgave bij het ontstaan van NOREA in 1992 en NOREA geschrift nr. 1 uit 1998: respectievelijk ‘EDP-auditing georganiseerd’ over het belang van een beroepsvereniging en ‘IT-auditing aangeduid’ om duidelijkheid te geven over de inhoud van EDP-auditing. De snelheid van de technologische ontwikkelingen had invloed op de groei van het aantal audit-objecten en de behoefte aan technisch geschoolde medewerkers ontstond. De eerste technisch specialisten kwamen werken bij EAP. In 1995 kregen wij een demonstratie van het Internet en tijdens een kantooroverleg werd gediscussieerd over de vraag of alle medewerkers een eigen e-mailadres zouden moeten hebben. Uit een adreslijst uit die tijd – ook een vorm van extern geheugen – blijkt dat we inmiddels gegroeid waren tot zo’n dertig medewerkers. Om beter bereikbaar te zijn kregen we een ‘pieper’ die enkele jaren later vervangen werd door een 5 | de EDP-Auditor nummer 2 | 2008

mobiele telefoon. Inmiddels stond er natuurlijk op iedere werkplek een vaste pc en er werden enkele (loodzware) portables aangeschaft die we konden reserveren als we op locatie bij de klant of ’s avonds thuis nog moesten werken. Iedereen weet dat de veranderingen hier niet mee ophielden, want ontwikkelingen gaan nu eenmaal snel verder. Organisaties en de mensen die er werken groeien met de veranderingen mee dankzij hun natuurlijk lerend- en aanpassingsvermogen. Daarom vinden we het nu doodgewoon dat we geen vaste werkplek meer hebben, maar gebruik kunnen maken van een flexplek – een tafel, bureaustoel en een netwerkaansluiting volstaan. Ladenblok en stalen kasten zijn verdwenen want e-dossiers zijn opgeslagen op de draagbare pc. Bereikbaar zijn we op onze blackberry waar we ook de mail op ontvangen. We zijn het zelfs normaal gaan vinden om per dag tientallen e-mails te krijgen. Tsja, herinneringen over veranderingen. Toch ben ik ervan overtuigd dat één ding niet zal veranderen. Iemand die dit over twintig jaar leest zal zonder twijfel ook een gevoel van nostalgie ervaren over wat nú de ‘state of the art’ is. Want alles gaat door, zeker in de IT. Een uitdagend vakgebied dat alleen nog maar leuker kan worden!

Interview

‘Hoe gaat u dat nu doen, minister?’ Senator Anne-Wil Duthler over de politieke aandacht voor ICT

Ed Ridderbeekx en Thea Gerritse

In IT-auditland is Anne-Wil Duthler geen onbekende. Ze heeft met talloze publicaties en presentaties in belangrijke mate bijgedragen aan het vakgebied, met name op het raakvlak van ICT en recht. Ze is directeur van het adviesbureau Duthler Associates dat zij eind 1998 oprichtte. Het bureau richt zich op advisering op het gebied van bestuur, recht en ICT, en is onder andere betrokken bij een nieuwe uitgave van de publicatie

Je bent een ondernemer met je eigen adviespraktijk; was de entree in de politiek ‘wakker worden in een andere wereld’? ‘Dat klinkt wat zwaar, maar een andere wereld is het zeker. En een fascinerende wereld. De vergaderdag van de Eerste Kamer is dinsdag, en iedere week vind ik het weer leuk om te gaan, en iedere dinsdagavond denk ik: goh, wat een interessante dag was het weer. Het is heel bijzonder om die andere wereld van binnenuit te leren kennen en je rol daarin te spelen. En natuurlijk verschilt die rol van die van ondernemer.’

‘IT Audit en Recht’. Daarnaast is Anne-Wil, namens de VVD, sinds medio 2007 lid van de Eerste Kamer der Staten-Generaal. Een combinatie tussen bedrijfsleven en politiek die nieuwsgierig maakt, dus ging de redactie op bezoek in Den Haag.

Het stereotype beeld van trage besluitvormingsprocessen, en het zoeken naar compromissen? ‘Dat is herkenbaar, maar let op, zo heel veel verschilt dat ook weer niet van een adviespraktijk, daar ga je ook niet altijd recht op je doel af. In projecten waarin je als adviseur meedraait ben je eigenlijk ook heel politiek bezig. Je probeert mensen te winnen voor je ideeën, en dat op een handige manier, dus daar zitten best overeenkomsten. Natuurlijk zijn er verschillen, overleg is in de politiek heel belangrijk en overleg kost tijd, af en toe zou je liever zelf meteen de knopen doorhakken. Maar het is onderdeel van het spel en zeker voor een jurist is het heel leuk om de gelegenheid te hebben om aan het spel mee te doen.’ Omdat het om wetgeving gaat? ‘Ja, ik heb ook heel bewust voor de Eerste Kamer gekozen omdat ik het vermoeden had dat daar wat meer op de inhoud wordt ingegaan dan in de Tweede Kamer. Je ziet ook dat er veel minder spanning is tussen de fracties dan in de Tweede Kamer, ik heb heel leuke contacten met collega’s van andere fracties. Je hoeft ook niet voor het oog van de camera te benadrukken dat er allemaal zoveel verschillen tussen de partijen zijn, en er staan wat minder publicitaire schijnwerpers op het Eerste Kamerwerk. Daarnaast zijn Eerste Kamerleden ook heel boeiende mensen die allemaal hun eigen deskundigheid meenemen. Voor hun carrière zijn ze niet puur afhankelijk van de politiek, ze doen het er als het ware gewoon bij. Maar ook al is de focus sterk op de inhoudelijke problematiek die we behandelen, het is toch de politieke factor die het werk zijn extra charme geeft.’ ‘Ik zou echter niet zonder het advieswerk kunnen, ik vind dat dat me echt de voeding geeft om mijn politieke werk te


doen. Bij elkaar besteed ik minimaal twee dagen per week aan de Eerste Kamer. Maar mijn gewone dagelijkse werk geeft me inspiratie om het werk in de Eerste Kamer te doen. Als dat zou wegvallen, dan zou ik een belangrijke bron missen. Je weet nu wat er speelt en waar bedrijven tegenaan lopen, wat hen belemmert en waar ze mee vooruit kunnen, dat geeft inspiratie en energie, en het zorgt er ook voor dat je weet waarop je moet letten als je een wetsvoorstel voorbij ziet komen.’ Wat er voorbij komt aan stukken moet gigantisch zijn. ‘Dat klopt. Kijk, als jurist ben je altijd met de wet bezig, maar als lid van de Eerste Kamer ben je medewetgever en maak je dus echt onderdeel uit van het wetgevingsproces. Het is heel boeiend om te zien hoe wetten tot stand komen en wat voor processen daarbij spelen. Ik krijg nu elke week een heel grote stapel kamerstukken: nieuwe wetgeving, handelingen, verslagen, memories van antwoord, alles wat verschijnt zie ik dus ook echt. Natuurlijk moet je daar belangrijke zaken uitfilteren, maar al met al krijg je een heel goed beeld van wat er zoal speelt en welke thema’s eraan zitten te komen. Met zo’n hoeveelheid informatie leer je trouwens ook om steeds sneller te lezen. En wat het gemakkelijker maakt is dat je als jurist gewoon van wetten houdt. Dat klinkt misschien raar, maar soms denk je “kom maar op met die stapel”, dan ben ik gewoon nieuwsgierig naar wat erin staat. Ik wil weten waar het over gaat.’ En de klanten van je adviespraktijk willen natuurlijk ook weten wat er qua wetgeving speelt. ‘Ik hou heel scherp in de gaten dat er geen schijn van belangenverstrengeling ontstaat. Ik ga niet over de dossiers die te maken hebben met elektronische communicatie of de bedrijfsvoering raakt van mijn klanten - dat doe ik niet. Natuurlijk komen er onderwerpen voorbij waarmee ik in de adviespraktijk te maken heb, denk aan zaken als de bewaartermijnen van internetverkeergegevens en nieuwe beveiligingsverplichtingen. Maar ik richt me ook sterk op onderwerpen die in een bredere maatschappelijke context relevant zijn, zoals het onderwerp gegevensbescherming. Daarover organiseren we bijvoorbeeld een expertmeeting, omdat we als verschillende fracties in de Eerste Kamer vinden dat zo’n belangrijk onderwerp meer aandacht verdient. Het doel van een expertmeeting is om kamerleden handvatten te geven

om wetsvoorstellen waarin gegevensbescherming een rol speelt, beter te kunnen beoordelen. In zo’n meeting worden geen standpunten ingenomen en is er geen politiek debat, het is echt informerend van aard. En dat is een goede ontwikkeling.’ Er wordt wel eens geklaagd over de plaats waarop ICTgerelateerde vraagstukken op de agenda staan, en ook over de beperkte kennis die de politiek over ICT heeft. Ben je in de positie om dat op een hoger peil te brengen? ‘Ik weet niet of ik het op een hoger peil kan brengen, dat zou wel heel erg ambitieus zijn. Maar één van mijn speerpunten is wel dat ik, behalve dat ik altijd heel goed naar het rechtstatelijk gehalte van wetsvoorstellen kijk, ook heel veel aandacht heb voor de uitvoerbaarheid van wetten. En als je het hebt over uitvoerbaarheid, dan komen daar heel vaak ICT aspecten om de hoek kijken. “Beste minister, dit is een heel mooi wetsvoorstel, maar hoe gaat u dit nu in de praktijk uitvoeren?” Zo’n vraag is bijna bij elk wetvoorstel op zijn plaats, en door die vragen te stellen hoop ik de uitvoeringsproblematiek, waarin ICT een heel belangrijke rol speelt, beter voor het voetlicht te brengen.’ Kun je voorbeelden noemen? ‘We hebben nu het wetsvoorstel ‘Samenhangende besluiten Awb’ voorliggen. Dat heeft als doel om het ondernemers gemakkelijker te maken om met regelgeving om te gaan. Als je bijvoorbeeld een horecaonderneming wilt starten, heb je met allerlei weten regelgeving te maken, die gaat over het verkrijgen van vergunningen, ontheffingen, subsidies, noem


maar op. De bedoeling van de wet is ervoor te zorgen dat die ondernemer voor al die aspecten naar één loket kan. Wij stellen als fractie heel nadrukkelijk de vraag aan de minister hoe hij dat denkt te realiseren. Want als je al die zaken op elkaar wilt afstemmen, betekent het dat je informatie moet delen. En dat je een elektronisch loket zou moeten maken, dat je gezamenlijk ontwikkelt. Dat is nog niet zo eenvoudig.’ ‘Een ander voorbeeld, niet zozeer over een concrete wet, maar over beleid, is de jeugdzorg, en dat is zeker in dit kabinet een belangrijk dossier. Ik heb 29 januari het jeugddebat gedaan met minister Rouvoet. Ik heb hem gevraagd naar de wachtlijsten in de Jeugdzorg – die nemen alleen maar toe; hoe ga je de bureaucratie te lijf, maar ook – als je gaat samenwerken – hoe ga je dan je informatievoorziening op orde krijgen? Ook hebben we gesproken over het Elektronisch Kind Dossier. De toegang tot de gegevens in dat dossier is een heel belangrijk punt, een ander essentieel issue is de aard van de gegevens die in het dossier zijn opgenomen. Wat als die gegevens niet juist zijn? Wat zijn de consequenties daarvan voor de jeugdigen? Ik heb de minster gevraagd: “Over een paar weken zet ik hopelijk een gezond kind op de wereld, waarom zet u daar eigenlijk niet meteen een chip in?1 Dan hebt u helemaal geen kind meer buiten beeld.” Ik bedoelde dit natuurlijk ironisch, maar het is echt de bedoeling dat het EKD bij de geboorte wordt aangelegd, en dat het blijft bestaan tot je 23e levensjaar. Persoonlijk vind ik dat heel ver gaan, temeer omdat de gegevens die in het EKD worden opgenomen niet alleen objectief medisch van aard zijn. Het gaat ook over de thuissituatie, de manier van opvoeden, er zitten veel impliciete normen en waarden in verscholen.’ Is er nu sprake van een kennislacune ten aanzien van ICT, of wil de politiek gewoon laten zien dat ze niet stilzit? Het gevolg is dan wellicht dat er wetten worden ingevoerd zonder dat er voldoende over de praktische consequenties is nagedacht? ‘Dat laatste is bij sommige thema’s wel herkenbaar, omdat daar enorm veel druk is om snel te handelen; denk aan veiligheidsbeleid en terrorismebestrijding. Maar ik bespeur ook heel veel onbekendheid bij bewindslieden over ICT-aspecten, en het belang daarvan. Als je de minister gerichte vragen daarover stelt, dan zie je hem als het ware vragend omhoog kijken naar de tribune, waar de ambtenaren zitten. Vervolgens hoor je dat het antwoord op je vraag door de buizenpost naar beneden daalt, en even later leest de minister dat voor. Het thema leeft niet echt. Over het algemeen denk ik dat voor heel veel ICT-voorzieningen aanpassing in wetgeving niet nodig is. Maar het Burger Service Nummer is toch wel een mooi voorbeeld, waarbij allerlei praktische voorbereidingen al volop getroffen waren, zoals implementatieteams bij de gemeenten, terwijl de wetgeving nog niet rond was om tot brede en grootschalige uitrol over te gaan. Toen wij op 10 juli in de Eerste Kamer het wetsvoorstel BSN bespraken, en het even dreigde te worden uitgesteld, zag je de ambtenaren dan ook wel wat

zenuwachtig op de tribune zitten. Maar het is eenvoudig: het democratisch wetgevingsproces moet nu eenmaal zorgvuldig worden doorlopen en de Eerste Kamer heeft daarin een heel belangrijke rol en die willen we ook nadrukkelijk spelen, politieke haast of niet.’ ‘Soms zie je dat ICT niet zozeer de bottleneck is, maar de regelgeving en de procedures daaromheen. Een voorbeeld daarvan is het Verdag van Prüm, dat gaat over verdergaande Europese samenwerking op het gebied van terrorisme en criminaliteitsbestrijding. Eén van de afspraken die daarin worden gemaakt is dat DNA-gegevens tussen landen en instanties kunnen worden uitgewisseld. Zo’n traject begint met het grensoverschrijdend uitwisselen van metagegevens, waaruit dan potentieel een hit komt. In dat verdrag is tot in de puntjes geregeld aan welke eisen de betrokken informatiesystemen moeten voldoen: welke NEN-normen toegepast moeten zijn, dat er periodiek audits op uitgevoerd moeten worden, beveiligingsmaatregelen, noem maar op. Maar als er een grensoverschrijdend verzoek komt om daadwerkelijk DNA-gegevens uit te wisselen, dan komen we ondanks die geavanceerde ICT terecht in een tijdrovende procedurele wereld van schriftelijke rechtshulpverzoeken, terwijl snelheid bij criminaliteitsbestrijding cruciaal is.’ Hoe sta je ten aanzien van dat spanningsveld tussen veiligheid enerzijds en privacy anderzijds? ‘Ik vind de balans tussen enerzijds privacybescherming, de vrijheid van gegevensuitwisseling en de vrijheid van meningsuiting en aan de andere kant veiligheid en stabiliteit, cruciaal. Maar het is niet altijd eenvoudig daarin de nuance over te brengen. Het is simpel om te zeggen dat veiligheid belangrijk is. En ook zal iedereen begrijpen dat privacybescherming een groot goed is. Maar een genuanceerde discussie over het vinden van de balans daartussen hoor ik te weinig. Ik ben liberaal, en liberalen zien niet zo ontzettend veel kerntaken weggelegd voor de overheid, maar het garanderen van veiligheid voor de burgers behoort daar zeker wel toe. Zonder veiligheid kan vrijheid niet bestaan. Er komt nu een wetsvoorstel aan over de uitbreiding van de bevoegdheden van de militaire inlichtingen- en veiligheidsdiensten. Het is wat mij betreft erg belangrijk dat ook daarin voldoende wordt benadrukt dat het niet óf veiligheid is óf privacy, maar dat er gewoon heel zorgvuldig wordt omgegaan met persoonsgegevens, en dat er ook voldoende waarborgen in de wet worden ingebouwd die de beoogde zorgvuldigheid in de praktijk afdwingen.’ Iets anders. Een tijd geleden stelde een artikel in de Automatiseringsgids dat rechters vaak niet deskundig zijn op het gebied van bepaalde specialisaties zoals ICT. Het was een pleidooi voor een register van specialisten2 die ook een bepaalde juridische kennis hebben, en daarmee in ieder geval voldoende onderlegd zijn om ook in een gerechtelijke context op te kunnen treden als deskundige. Een kans voor IT-auditors?


‘Ja, ik kan me heel goed voorstellen dat IT-auditors in die doelgroep zitten. Persoonlijk denk ik dat het goed is dat zo’n register van deskundigen er is. Rechters hebben doorgaans inderdaad weinig specifieke deskundigheid op het gebied van ICT, en in veel gevallen overzien ze de consequenties niet van bepaalde ICT-aspecten. Dan is het goed als zij kunnen steunen op deskundigen die aan bepaalde eisen voldoen.’ ■ Noten 1 Op het moment dat wij Anne-Wil interviewden was zij zwanger, en inmiddels is zij bevallen van een gezonde zoon. 2 De stichting Landelijk Register van Gerechtelijk Deskundigen, afgekort LRGD (www.lrgd.nl), is eind 2006 in het leven geroepen door gerechtelijke deskundigen, die een speciale juridische, postdoctorale opleiding gevolgd hebben (www.paoj.nl). De opleiding richt zich op wetskennis en in het bijzonder het procesrecht. Daarnaast wordt er aandacht geschonken aan de noodzakelijke vaardigheden (schrijven en verdedigen van het deskundigenbericht) en wordt er geoefend (in een Moot Court). De vierde jaargang van deze opleiding telt momenteel 28 cursisten, waaronder weer enkele ICT’ers. Het gevolgd hebben van een adequate opleiding is cruciaal om toegela-

Vodafone is een van de grootste mobiele telecommunicatiebedrijven in Nederland en maakt deel uit van het wereldwijde Vodafone Group, het grootste telecommunicatiebedrijf voor mobiele telefonie ter wereld met ruim 240 miljoen klanten in vijf continenten. Vodafone Group heeft deelnemingen in het aandelenkapitaal van mobiele operators in 25 landen. Daarnaast heeft zij een samenwerkingsverband met netwerken in 39 landen. Voor ons kantoor in Maastricht zijn wij op zoek naar een

Revenue Assurance Auditor (IT/EDP Auditor) Functie:

De doelstelling van deze functie is het waarborgen van de omzetstromen voor Vodafone. Je werkveld is een wereld van hoge volumes, miljardenomzetten en zeer diverse producten en diensten met een hoge omloopsnelheid. Je maakt deel uit van een klein team met vak-specialisten, die als adviseur actief zijn op basis van expertise maar ook een belangrijke rol spelen in de uiteindelijke besluitvorming. Het is een succesvol team hetgeen betekent dat de verwachtingen ook hoog zijn die aan het team gesteld worden. Je bent niet alleen actief als Adviseur op basis van je expertise, maar beslist ook daadwerkelijk zelf mee.

ten te worden tot het register. De onafhankelijke commissie van toelating, onder voorzitterschap van een rechter, toetst echter ook de vakdeskundigheid van de deskundigen. Daarbij wordt zoveel mogelijk aansluiting gezocht bij bestaande beroepsverenigingen, zoals NIVRA/ NOREA, VRI of NVBI, die de vakkennis van de aangesloten leden toetsen alvorens ze toe te laten en hen te verplichten tot permanente educatie. Ten slotte wordt verlangd dat de deskundige een verklaring omtrent gedrag (het vroegere ‘bewijs van goed gedrag’) inlevert en dat hij de gedragscode onderschrijft. Die verplicht hem onder meer om opdrachten te weigeren waarvoor hij onvoldoende kennis en ervaring heeft. In het LRGD zijn inmiddels een kleine honderd deskundigen ingeschreven op allerlei vakgebieden, zoals accountants, medici, milieudeskundigen, toxicologen en business valuators. Er is ook een aantal ICT-deskundigen in het LRGD opgenomen.

• Je vertaalt daartoe procesflow naar risico’s en pinpoint deze; • Je verricht herstelwerkzaamheden bij incidenten en escaleert naar de juiste instantie; • Je overlegt met Marketing in het kader van new product development; • Je draagt zorg voor risicoinschatting; • Je bent betrokken bij multidisciplinaire projecten en bent Sox process-owner.

Jouw profiel:

• Je hebt een succesvol afgeronde opleiding aan een (technische) universiteit doorlopen; • Je hebt je eerste jaren werkervaring achter de rug • Je hebt ervaring met mass billing processen bij bijvoorbeeld banken/verzekeraars, een Big 4 kantoor of een andere Telco of kabelbedrijf/provider. • Je hebt bij voorkeur een afgeronde post-doc opleiding tot IT auditor. Gezien de diversiteit aan gesprekspartners waarmee je te maken krijgt, ben je communicatief vaardig, bedreven in en bereid om ook zelf query’s te schrijven om de juiste data te verkrijgen. Programma’s als SQL, Business Objects, ACL en TOAD klinken je dan ook bekend in de oren. Je beheerst de engelse taal goed in woord en geschrift. Als persoon ben je te typeren als zelfstandig, vasthoudend en gedreven.

Sollicitatie:

Voor meer informatie neem contact op met Dave Ubachs, Resourcing Consultant op 043-3555777 of kijk op www.banenrijklimburg.nl (referentie 1562).

Supported by:


Artikel

HR Shared Service Centres: aandachtspunten voor de IT-auditor Veronie Boonk

Als organisaties besluiten een HR Shared Service Centres in te richten, heeft niet alleen consequenties voor de HR-organisatie en -processen, maar ook een grote impact op de IT-toepassingen die door HR worden

A

ls een IT-auditor bij de uitvoering van zijn werkzaamheden te maken krijgt met een HR SSC, kan dit consequenties hebben voor de reikwijdte van de werkzaamheden en zijn er enkele specifieke inhoudelijke aspecten waar rekening mee gehouden moet worden.

gebruikt. Naast het traditionele HR/Payroll informatiesysteem, komen principes als medewerker- en Manager Self Service (Employee Self Service of ESS en MSS), digitale personeelsdossiers en case management tools om de hoek kijken.

V.M. (Veronie) Boonk RE is sinds 2004 werkzaam bij NorthgateArinso.

Wat is een Shared Service Centre? SSC’s hebben in korte tijd grote bekendheid gekregen. Vooral de laatste jaren zijn SSC’s in Nederland als middel om kosten te reduceren sterk in opkomst. Maar wat is nu precies een SSC? In de literatuur zijn diverse definities te vinden, bijvoorbeeld: • Een SSC is een gespecialiseerd dienstencentrum dat zich toelegt op het verwerken van dagelijkse transacties voor meerdere bedrijfseenheden. Hierbij worden gelijksoortige activiteiten, die verspreid zijn over de divisies, gebundeld in een nieuwe eenheid. [DELM05] • Een SSC is een resultaat-verantwoordelijke eenheid (RVE) in de interne organisatie van een onderneming, overheidsinstelling of non-profit instelling, die tot taak heeft het leveren van diensten op een specifieke specialisatie (zoals administratie, personeelszaken, informatietechnologie, inkoop e.d.), aan de operationele eenheden van die onderneming (zoals business units, divisies of werkmaatschappijen), op basis van een overeenkomst tegen een vaste verrekenprijs. [STRI04]

Tot voor kort werkte zij als Business Consultant, waarbij zij bedrijven adviseerde over het efficiënt en effectief inrichten van de HR-organisatie, processen en ondersteunende technologie. Momenteel is Veronie als Practice Manager verantwoordelijk voor een team dat zich bezighoudt met procesontwerp, training en change management. Voor haar komst naar NorthgateArinso heeft Veronie zes jaar als IT-auditor gewerkt bij Ernst & Young EDP Audit.

Deze definities nader beschouwend, zijn er een aantal elementen te benoemen die een SSC kenmerken. Zo levert een SSC diensten op een specifieke specialisatie. SSC’s kunnen bijvoorbeeld diensten leveren met betrekking tot financiën, IT en logistiek. De activiteiten die door een SSC kunnen worden uitgevoerd zijn, met name daar waar het gaat om administratieve dienstverlening, ongelimiteerd. Een SSC vormt over het algemeen een afdeling binnen de eigen organisatie en verwerkt transacties voor meerdere bedrijfseenheden of zelfs voor meerdere bedrijven en is een resultaat-verantwoordelijke eenheid. Activiteiten die door een SSC worden verricht worden doorbelast aan de onderdelen binnen de organisatie die gebruik maken van de diensten van het SSC. Afspraken hierover worden vastgelegd in de vorm van een Service Level Agreement (SLA). Tot slot ontstaat met de introductie van een SSC een (interne) klant-


Tabel 1: Redenen om een HR SSC in te richten Drijfveren

Belangrijke tot zeer

Onbelangrijke tot zeer

belangrijke rol

onbelangrijke rol

Realiseren van schaalvoordelen

86%

9%

5%

Verbeteren van kwaliteit

77%

9%

14%

Verbeteren van HR-efficiency

77%

18%

5%

Reduceren van kosten

73%

14%

13%

Standaardiseren HR-dienstverlening naar klanten

73%

9%

18%

Concentreren op kerncompetenties

62%

19%

19%

Verbeteren inzet technologie

62%

24%

14%

Verbeteren HR-advisering aan de lijn

62%

14%

24%

Creëren van flexibiliteit

43%

19%

38%

Succesverhalen andere organisaties

37%

36%

27%

Reduceren van HR-personeel

36%

23%

41%

leverancierrelatie; het SCC is de leverancier en de afnemende partijen zijn de afnemers. Wat zijn nu redenen voor een organisatie om een HR SSC in te richten? Onderzoek dat NorthgateArinso in 2007 heeft uitgevoerd, wijst uit dat het realiseren van schaalvoordelen, verbeteren van efficiency en het reduceren van kosten de belangrijkste drijfveren zijn [ARIN07]. Organisatie van HR Voordat daadwerkelijk wordt ingegaan op de organisatie van een HR SSC, is het belangrijk eerst de HR-organisatie als geheel te schetsen. Hiermee wordt een normatief kader geschetst voor een logische opzet van het HR SSC en wordt duidelijk wat de verantwoordelijkheid is van ieder afzonderlijk onderdeel. HR kan worden georganiseerd volgens drie ‘lines of business’, te weten: • HR Centre of Expertise; • HR Business Partner; • HR Shared Service Centre. HR Centre of Expertise

Het HR Centre of Expertise biedt specialistische kennis op diverse deelgebieden van HR, zoals beoordelingsmanagement, personeelsplanning of organisatieontwikkeling. Daarnaast is kennis op het gebied van weten regelgeving geclusterd in dit organisatieonderdeel. Het HR Centre of Expertise is verantwoordelijk voor het bepalen van HR-beleid op basis van de organisatiestrategie. Hierin is er een sterke verbinding met de HR Business Partner, welke de lokale uitdagingen van een organisatieonderdeel kent. Tot slot houdt het HR Centre of Expertise zich bezig met het continue evalu-

Neutraal

eren en verbeteren van het HR-beleid en de HR-processen. Dit betekent dat alle HR-proceseigenaren bijeen zijn gebracht in het Centre of Expertise. De HR Business Partner

Een HR Business Partner waarborgt dat de strategische richting van HR wordt gevolgd ten behoeve van de organisatie. Zij dient zorg te dragen dat het beleid en hoogwaardige HR-processen worden geïmplementeerd. De HR Business Partner is in feite het gezicht van HR in de lijn; zij voorzien het management van adviezen met betrekking tot personele en organisatorische kwesties. HR Shared Service Centre

Het HR Shared Service Centre is verantwoordelijk voor transactionele en gestandaardiseerde activiteiten en het leveren van HR-gerelateerde informatie. Klanten komen met deze activiteiten in contact met HR via het HR Shared Service Centre. Naast de administratieve verwerking en vraagafhandeling, is dit organisatieonderdeel verantwoordelijk voor het leveren van de noodzakelijke infrastructuur en technologie. In de matrix zijn de taken, verantwoordelijkheden en bevoegdheden, die de verschillende rollen hebben, op hoofdlijnen weergegeven. Een HR SSC HR SSC’s zijn volledig gefocust op het efficiënt afhandelen van allerhande vragen en verzoeken van klanten van HR. Een HR SSC kan uit een viertal ‘niveaus’ bestaan, waarbij ieder niveau verschillende taken, verantwoordelijkheden en bevoegdheden heeft.


Tabel 2: Verdeling van taken, verantwoordelijkheden en bevoegdheden HR Business Partner

Center of Expertise

HR SSC

Generalisten die de strategische relatie

Specialisten die verantwoordelijk zijn voor

1-Loketfunctie voor het afhandelen van de

tussen HR en (lijn)managers onderhouden.

het ontwikkelen van HR strategie en beleid

HR-dienstverlening en geven van advies op

eventueel in samenspraak met de HR

gespecificeerde deelgebieden.

Business Partner en het HR SSC. Tezamen met het Center of Expertise

Ontwerpen van best practice processen die

Administratieve functie verantwoordelijke

geïntegreerde, strategische en klantgerichte

voldoen aan de eisen en wensen van de

voor het afhandelen van alle HR transacties,

programma’s aanbieden (bijvoorbeeld

organisatie.

vragen en verzoeken. Vragen die niet door

management development programma’s).

het HR SSC kunnen worden afgehandeld, worden doorgezet naar het Center of Expertise.

Tezamen met het Center of Expertise defini-

Zeker stellen dat HR-oplossingen de huidige

Zorgdragen voor een betrouwbare gegevens-

eren van projecten en deze uitvoeren in

best practices weerspiegelen en strategisch

verwerking en leveren van rapportages.

samenwerking met het Center of Expertise

voordeel opleveren.

en het HR SSC. Managen van en tegemoet komen aan de

Expertise bieden op onderwerpen als

Diensten verlenen volgens afgesproken

klantverwachtingen.

arbeidsvoorwaarden, beloning, medezeg-

service levels.

genschap en organisatieontwikkeling. De organisatie ondersteunen bij de

De HR-kolom in staat stellen om relevante,

Onderhouden van relevante informatie voor

ontwikkeling van medewerkers, leidend tot

innovatieve producten en diensten aan te

klanten, zoals FAQ’s en intranet.

strategisch voordeel.

bieden door op te treden als adviseur en coach.

Het ondersteunen van de organisatie bij het

Maatwerkoplossing aan de organisatie

Mogelijke verbeterpunten in de dienst-

opnemen van de HR-component in organisatie-

leveren om specifieke (eenmalige) trajecten

verlening identificeren en tezamen met het

brede strategische planning en ontwikkeling.

te ondersteunen.

Center of Expertise geschikte oplossingen implementeren.

Optreden als schakel tusssen de lijn en het HR SSC teneinde problemen van managers en medewerkers op te lossen.-

Een manager, medewerker of HR Business Partner zal een vraag of verzoek die hij/zij heeft in eerste instantie zelf proberen te beantwoorden of af te handelen. Dit kan via diverse self-service principes (niveau 0). Als de vraag niet op deze wijze kan worden beantwoord, zal de betreffende klant contact opnemen met een servicemedewerker van het Contact Centre (niveau 1). In het geval het verzoek ook niet kan worden afgehandeld door de servicemedewerker, worden vragen en verzoeken automatisch doorgezet naar case-medewerkers en/of subject matter experts (niveau 2) of het Centre of Expertise (niveau 3). Niveau 0 – selfservice

Met behulp van diverse vormen van selfservice-technologie kunnen managers, medewerkers en HR Business Partners vragen die zij hebben voor HR zelf beantwoorden of mutaties die voorheen door HR werden verricht zelf invoeren. De verschillende technologische aspecten komen aan bod in de paragraaf ‘technologie’.

Niveau 1 – servicemedewerkers

Servicemedewerkers vormen als het ware de helpdesk van het Contact Centre. Op het moment dat een medewerker, manager of HR Business Partner niet via selfservice kan worden geholpen, kunnen zij contact opnemen met de servicemedewerkers via intranet/internet, post, e-mail en telefoon. Daarnaast hebben veel organisaties een balie ingericht, waar klanten ‘face-to-face’ contact kunnen hebben met servicemedewerkers. Servicemedewerkers houden zich over het algemeen bezig met vraagafhandeling en het terugkoppelen van de status van service-aanvragen en van verwerking van mutaties aan de klant. Vanuit deze rol beheren zij ook de informatie voor klanten, zoals de FAQ’s en de arbeidsvoorwaarden op intranet. Daarnaast zijn zij verantwoordelijk voor het categoriseren en prioriteren van alle service-aanvragen en zetten zij deze eventueel door naar volgende niveaus (van eenvoudige vragen tot complexe mutaties en eventuele issues). Servicemedewerkers hebben beperkte toegang tot de HR-gege-


HR Shared Service Center Niveau 0

HR Center of Expertise

Niveau 1

Self service

E-HR Intranet / internet IVR E-mail forms

Niveau 2

Niveau 3 Expertise Center

Contact Center

Service Medewerkers

Case Medewerkers

28%

5%

QuickTime™ en een -decompressor

Beleidsmedewerkers Proces eigenaren

• Medewerkers • Lijnmanagers • Business Partners

100%

66%

1%

Vragen en verzoeken

Figuur 1: de HR-dienstverleningstrechter

vens. Zo hebben zij over het algemeen de mogelijkheid om eenvoudige mutaties te verrichten. Daarbij hebben zij leesrechten op alle personeelsen salarisgegevens van medewerkers. Niveau 2 – case-medewerkers

Op niveau 2 bevinden zich de case-medewerkers en subject matter experts die specifieke kennis hebben van arbeidsvoorwaardelijke regelingen en HR-processen als tijdregistratie en -verwerking, primaire en secundaire arbeidsvoorwaarden en salarisverwerking. Vragen en opdrachten tot het uitvoeren van complexe mutaties worden door de servicemedewerkers doorgezet naar de case-medewerkers, die de werkzaamheden één voor één en, met het oog op de afgesproken SLA’s, bij voorkeur op volgorde van binnenkomst afwerken. Case-medewerkers hebben mutatierechten op allerhande personeelsen salarisgegevens. Niveau 3 – beleidsmedewerkers en proceseigenaren

Beleidsmedewerkers en proceseigenaren die in het HR Centre of Expertise zijn ondergebracht en dus geen onderdeel uitmaken van het HR SSC, vormen niveau 3 van de HR-dienstverlening. Alleen als de niveaus 0 tot en met 2 vraagstukken niet kunnen afhandelen, zullen deze worden doorgezet naar de beleidsmedewerkers en proceseigenaren. De werkzaamheden die door dit niveau worden uitgevoerd, zijn benoemd in de paragraaf ‘HR Centre of Expertise’. Aandachtspunten gerelateerd aan functiescheiding Daar waar in een traditionele HR-organisatie de personeelsadviseur zich onder meer bezighield met het doorgeven van

mutaties aan HR zal, vanuit het principe dat de HR Business Partner strategisch partner wordt voor de organisatie, deze verantwoordelijkheid worden belegd bij de manager. Dit heeft consequenties voor de manier waarop de functiescheiding is opgezet. Zo krijgt de manager nu zowel de beschikkende als de uitvoerende functie toegewezen. Managers die op deze manier verantwoordelijk worden voor het rechtstreeks muteren van financiële gegevens, dienen ook verantwoordelijk te worden gemaakt voor de kostenplaats ten laste waarvan deze kosten zullen komen. Voor zover dat nog niet het geval is, zal de manager budgethouder gemaakt moeten worden. Om te beoordelen of deze manager niet ten onrechte gebruik maakt van zijn extra bevoegdheden, dient bewaakt te worden of de kosten zijn budget niet te boven gaan. Daarnaast kan gedacht worden aan extra maatregelen of het verscherpen van maatregelen om excepties te kunnen monitoren. Hierbij dient gedacht te worden aan uitzonderingsrapportages van salarisverhogingen boven een bepaald percentage en het hanteren van een normaalverdeling op afdelingsniveau ten aanzien van deze salarisverhogingen. Een ander aspect is de functiescheiding tussen personeelsen salarisadministratie; deze wordt in een HR SSC over het algemeen doorbroken. Het opheffen van de functiescheiding betekent ook hier dat aanvullende maatregelen van interne controle uitgevoerd moeten worden. Hierbij kan worden gedacht aan het controleren van de indiensttredingen en uitdiensttredingen door de manager van het HR SSC en het controleren van alle mutaties die zijn ingevoerd door medewerkers van het HR SSC op hun eigen personeelsen salarisgegevens.


Klantprocessen Strategisch

Waardetoevoegend

Arbeidsverhoudingen

Beloning en Arbeidsvoorwaarden Functioneren en Beoordelen

Personeelsplanning Strategie - en Organisatieontwikkeling

Operationeel Afhandelen Informatieverzoeken Expatriates en Inpatriates

Herplaatsing en Ontslag

Organisatieadministratie

Opvolgingsmanagement

Personeelsadministratie

Training en Opleiding

Salarisverwerking

Welzijn en Veiligheid

Aan - en Afwezigheden

Werving en Selectie

Stuurprocessen HR- Informatie- en Documentatiemanagement Interne Controle Leveranciersmanagement Figuur 2: het HR-procesmodel

HR-dienstverlening Met de introductie van een HR SSC, inclusief de gewijzigde rollen met hun specifieke taken, verantwoordelijkheden en bevoegdheden en de implementatie van nieuwe technologische oplossingen, zal de wijze waarop de HR-diensten worden geleverd, wijzigen. Dit heeft zijn weerslag op de wijze waarop HR-processen zijn opgezet en betekent dat deze moeten worden geherdefinieerd en geoptimaliseerd. Het is van belang om voordat hiermee wordt begonnen een aantal uitgangspunten te hanteren. Zo moeten de processen de taken, verantwoordelijkheden en bevoegdheden van de managers, medewerkers, HR Business Partners, het Centre of Expertise en het HR SSC reflecteren. Dit betekent, dat de werkzaamheden per rol op hoofdlijnen duidelijk moeten zijn alvorens wordt gestart met het procesontwerp. Hetzelfde geldt in feite voor de technologische oplossingen die worden toegepast. Deze oplossingen bepalen immers voor een deel de wijze waarop activiteiten moeten worden uitgevoerd. Processen dienen zoveel mogelijk te worden gestandaardiseerd. Dit betekent dat de aan HR gerelateerde activiteiten binnen de gehele (internationale) organisatie op eenduidige wijze worden uitgevoerd. Over het algemeen geldt dat 80% van alle werkzaamheden in een standaard proces te vatten is. Verder zijn efficiëntie, effectiviteit en betrouwbaarheid sleutelwoorden bij het opzetten van de processen. Dit betekent dat dubbele en onlogische activiteiten worden geëlimineerd, zonder in te boeten op het behalen van de doelstellingen en een betrouwbare gegevensverwerking. Omdat in een HR SSC de werkzaamheden conform afspraken gemaakt in SLA’s worden uitgevoerd, dienen processen zodanig te worden opgezet, dat ze meetbaar zijn.

HR-procesmodel Figuur 2 geeft inzicht in de HR-processen die een organisatie kan onderkennen. Dit procesmodel, dat door NorthgateArinso is ontwikkeld, kan als raamwerk gebruikt worden bij het optimaliseren van de HR-processen. HR-processen kunnen op de volgende, logische wijze, worden gegroepeerd: Klantprocessen

Klantprocessen zijn processen die gericht zijn op het leveren van een product of dienst aan de (interne) klant. De klantprocessen kunnen worden onderverdeeld in: • Strategische processen. Dit betreft de processen die gericht zijn op het definiëren van de koers van de organisatie, ze hebben een richtinggevend karakter en worden uitgevoerd door het HR Centre of Expertise in samenwerking met de HR Business Partners. Deze processen lenen zich over het algemeen niet voor opname in een HR SSC. • Waardetoevoegende processen. Dit zijn de processen die gericht zijn op het toevoegen van waarde aan (managers en medewerkers van) de organisatie. Vragen als: ‘hoe kan ik mij ontwikkelen binnen de organisatie’, worden beantwoord door het inrichten van deze processen. De HR Business Partner is over het algemeen belast met het uitvoeren van deze processen. De randvoorwaarden die noodzakelijk zijn om deze processen te kunnen uitvoeren, worden geschapen door de beleidsmedewerkers en proceseigenaren uit het HR Centre of Expertise. Het HR SSC heeft over het algemeen een ondersteunende rol bij het uitvoeren van deze processen. • Operationele processen. Dit zijn ‘noodzakelijke’ processen, die bij de meeste organisaties in meer of mindere


Leveranciermanagement Personeelsplanning en opvolgingsmanagement Organisatieontwikkeling HR-strategie Beloning en arbeidsvoorwaarden Herplaatsing en ontslag Functioneren en beoordelen Training en opleiding Werving en selectie Expatriates en Inpatriates Welzijn en veiligheid Arbeidsverhoudingen Aan- en afwezigheden Salarisverwerking HR-informatie- en documentatiemanagement Organisatieadministratie Personeelsadministratie 0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

100,00%

Figuur 3: processen in een HR SSC

mate voorkomen. Deze processen worden dagelijks, wekelijks, maandelijks of jaarlijks uitgevoerd en kennen hoge volumes, in de zin dat ze voor alle medewerkers in de organisatie moeten worden uitgevoerd. Deze processen zijn, vanwege hun administratieve aard, zeer geschikt om onder te brengen in een HR SSC. Stuurprocessen

Stuurprocessen zorgen ervoor dat de HR-organisatie presteert en blijft presteren zoals gepland. Deze processen zijn gericht op het beheer en monitoren van de dienstverlening door middel van management- en controlerapportages en het besturen van de klantprocessen door middel van correctieve acties. De afzonderlijke procesclusters beïnvloeden ieder een ander cluster. De stuurprocessen borgen dat de klantprocessen kwalitatief goed worden uitgevoerd, de strategische processen scheppen de kaders voor de waardetoevoegende processen. De operationele processen vloeien op hun beurt voort uit de waardetoevoegende processen. Processen in een HR SSC In figuur 3 zijn de HR-processen te zien die organisaties over het algemeen uitvoeren in een HR SSC [ARIN07]. Vooral de operationele HR-processen worden vanuit een HR SSC geleverd. Naast deze processen worden ook (delen van) de waardetoevoegende HR-processen in een HR SSC uitgevoerd. Het betreft in dit geval de transactionele en administratieve componenten van de waardetoevoegende processen. Opvallend is, dat een aantal respondenten (delen van) strategische HR-processen, zoals de HR-strategie en organisatieontwikkeling verlenen vanuit een HR SSC. Een argument hiervoor kan zijn, dat organisaties een HR Centre of Expertise hebben dat deel uitmaakt van het HR SSC. Aandachtspunten gerelateerd aan HR-dienstverlening Op het moment dat de IT-auditor bij de uitwerking van zijn/haar auditwerkzaamheden te maken krijgt met een HR

SSC, kan dit consequenties hebben voor de reikwijdte van de audit. Naast de traditionele HR-processen kan bijvoorbeeld ook de logistiek in het HR SSC object van onderzoek zijn. Het betreft hier het registreren en monitoren van werkzaamheden en het verwerken van documenten in een (digitaal) personeelsdossier. De kwaliteit van de dienstverlening van het HR SSC is sterk afhankelijk van de wijze waarop de logistieke processen in het HR SSC zijn opgezet. Indien dit niet van een adequaat niveau is, zal het HR SSC niet succesvol zijn. Ten aanzien van de logistiek in een HR SSC zijn, vanuit procesmatig perspectief en buiten de meer traditionele HR audit aspecten om, een aantal zaken van belang. Zo moet de juiste, tijdige en volledige registratie van alle binnenkomende vragen en verzoeken tot mutaties inclusief de afhandeling van deze werkzaamheden, worden vastgesteld. Hierbij is ook de wijze waarop de werkzaamheden worden verdeeld over de verschillende diensten die het HR SSC levert een aandachtspunt. De SLA afspraken worden immers op dienstniveau vastgelegd en een incorrecte verdeling van diensten kan leiden tot een onjuiste en onvolledige SLA-meting. In het verlengde van de SLA-meting is het ook relevant de relatie tussen de diensten en de SLA’s te toetsen. Een laatste aandachtspunt betreft de wijze waarop werkzaamheden worden gedistribueerd binnen het HR SSC. De overdracht van activiteiten van de servicemedewerkers naar de case-medewerkers en eventueel naar beleidsmedewerkers en proceseigenaren moet goed zijn ingebed en de naleving van gemaakte afspraken moet worden getoetst. Technologie Om de echte voordelen van flexibiliteit en efficiency van een HR SSC te benutten, zijn krachtige, flexibele en geïntegreerde automatiseringsoplossingen nodig. Dit betekent, dat naast het welbekende HR/Payroll-informatiesysteem oplossingen nodig zijn om de werkzaamheden die binnen het HR SSC worden uitgevoerd te registreren en te bewaken, een zogenaamd case management tool. Bovendien is de


Klanten Medewerkers

Contact

Service technologie

Managers

Intranet Portaal

HR Service Center

HR SSC technologie

• Case management • Contact center tools • Document management

Backoffice

HR

HR SSC eHRM Applicaties Intern

• Online formulieren • ESS / MSS

HR en payroll informatiesysteem

Partners

• Tools

Overige applicaties

Figuur 4: techniek in een HR SSC

introductie van een documentmanagementsysteem geen overbodige luxe. Met een dergelijk systeem kunnen dossierstukken op eenvoudige wijze toegankelijk worden gemaakt voor medewerkers, managers en HR Business Partners en uiteraard voor de medewerkers van het HR SSC. Beide systemen kunnen worden geïntegreerd met systemen voor telefonie, e-mail en het HR/Payroll-informatiesysteem. Contactmogelijkheden

De klanten van HR hebben diverse contactmogelijkheden, die worden vastgelegd in het HR-dienstverleningsmodel. Klanten kunnen het HR SSC benaderen via de volgende opties: • Telefoon: via een vast telefoonnummer. • Post: met een centraal postadres. • e-Mail: met een vast e-mail adres. • Intranet/internet. • Een balie of spreekuur, waardoor persoonlijk contact mogelijk wordt. HR-SSC-technologie

Ter ondersteuning van de HR-dienstverlening en het online brengen van diverse HR-diensten kan gebruikt gemaakt worden van meerdere technologische oplossingen. De eerste categorie betreft de zogenaamde e-HRM oplossingen. De HR-processen kunnen worden ondersteund met behulp van online formulieren en/of selfservice-principes. Hierdoor worden medewerkers en managers in staat gesteld zelf muta-

ties in te voeren in het HR/Payroll-informatiesysteem, waardoor medewerkers van het HR SSC worden ontlast. Daarnaast biedt een case management tool de mogelijkheid om alle handelingen die verricht zijn voor of alle vragen die gesteld zijn door een specifieke medewerker vast te leggen. Hierdoor kan iedere medewerker van het HR SSC een totaalbeeld krijgen van de werkzaamheden eventueel gespecificeerd per medewerker. Bijkomend voordeel is dat de servicemedewerker in staat is activiteiten over te nemen van andere medewerkers binnen het SSC. Ook worden dergelijke tools gebruikt voor het monitoren en beheren van de SLA’s. Een derde categorie betreft de contact centre tools die bestaan uit oplossingen die het telefoonverkeer tussen het HR SSC en de klant en binnen het HR SSC in goede banen leidt. Deze software maakt het mogelijk metingen te verrichten van het aantal telefoontjes, de gespreksduur en de responstijd en kan deze toewijzen aan de service medewerkers die zijn ingelogd om telefonische oproepen te ontvangen. De laatste categorie zijn de document management systemen. Hierin kunnen stukken uit personeelsdossiers en correspondentie digitaal worden opgeslagen waardoor geautoriseerde gebruikers binnen en buiten het HR SCC toegang hebben tot relevante informatie in de digitale personeelsdossiers.


De genoemde tools bieden ondersteuning in het efficiënt inrichten van de processen binnen het HR SSC. Het zijn geen absolute randvoorwaarden om een HR SSC in te richten. Er kunnen alternatieve oplossingen gekozen worden in de vorm van een ‘eenvoudige’ SLA-meting-tool ondersteund door een database. HR/Payroll-informatiesysteem

Het HR/Payroll-informatiesysteem wordt gebruikt ter ondersteuning van allerhande HR-processen. Er zijn belangrijke interfaces met andere systemen, zoals bijvoorbeeld het financiële informatiesysteem. Tegelijkertijd maken de verschillende e-HRM-applicaties en de HR SSC-technologie gebruik van de gegevens in het HR/Payroll-informatiesysteem. De verregaande integratie tussen en de toepassing van de softwareoplossingen wordt nader toegelicht aan de hand van de volgende case. Stel, een medewerker constateert dat een bonus die hij toegekend heeft gekregen niet op zijn salarisstrook staat. De medewerker logt in op het intranet en zoekt op op welke wijze de bonus verwerkt wordt binnen het HR SSC. De medewerker vindt het antwoord echter niet op het intranet en hij besluit contact op te nemen met het HR SSC. De medewerker belt het nummer van het HR SSC en wordt gevraagd zijn personeelsnummer en de reden waarvoor hij belt aan te geven via het daarvoor opgezette keuzemenu. De servicemedewerker binnen het HR SSC ziet in de case management tool direct welke medewerker belt en een werkopdracht (ticket) wordt automatisch aangemaakt. De servicemedewerker kan via de case management tool toegang krijgen tot de gegevens van de betreffende medewerker in het HR/Payroll-informatiesysteem, maar kan het antwoord niet geven. De servicemedewerker zet het ticket door naar de case-medewerkers, die automatisch zien dat er een vraag beantwoord moet worden. De case-medewerker ziet in het HR/Payroll-informatiesysteem, dat de bonus nooit is opgevoerd. Na controle in de case management tool blijkt, dat het verzoek tot het opvoeren van een bonus nooit is binnengekomen bij het HR SSC. De case-medewerker verwittigt de medewerker hiervan met de mededeling, dat deze contact moet opnemen met zijn manager. Na overleg met zijn manager, blijkt dat deze heeft verzuimd de bonus te melden. De manager vult via het intranet een online formulier in en verstuurt dit aan het HR SSC. Daar komt het verzoek direct binnen via de case management tool en de gegevens worden geautomatiseerd verwerkt in het documentmanagementsysteem. De case-medewerker ziet de nieuwe werkopdracht en kan via de case management tool, dat is gekoppeld aan het documentmanagementsysteem direct zien welke mutatie moet worden ingevoerd. De casemedewerker gaat via de case management tool naar het HR/Payroll-informatiesysteem waar de bonus kan worden verwerkt. Na verwerking van het verzoek, wordt het ticket afgesloten.

Aandachtspunten gerelateerd aan HR SSC technologie De volgende aspecten kunnen, vanuit technologisch perspectief, van belang zijn: • De authenticiteit van klanten van het HR SSC wordt ingeval van e-HRM-applicaties gewaarborgd door een adequaat opgezette logische toegangsbeveiliging. Op het moment dat een verzoek tot wijziging binnenkomt via de mail, zou het call-registratiesysteem de identiteit van de aanvrager moeten herkennen aan de hand van het e-mailadres. Ingeval een aanvraag telefonisch wordt ontvangen, wordt de klant herkend door het intoetsen van zijn personeelsnummer. Om fraude te voorkomen, moeten in de case management tool controlevragen opgenomen worden, die de servicemedewerker kan stellen ter verificatie. Bijvoorbeeld: ‘wat is de meisjesnaam van je moeder’. • Op het moment dat een verzoek wordt geregistreerd in de case management tool wordt, afhankelijk van de soort dienst die geleverd moet worden, automatisch de vervaldatum die in de SLA zijn vastgelegd, aan het verzoek gekoppeld. De case management tool geeft automatisch inzicht in die werkzaamheden die uit SLA lopen. Het is noodzakelijk om vast te stellen dat de SLA-afspraken die in de tool zijn opgenomen overeenkomen met de afspraken zoals die op papier zijn vastgelegd. • Digitale personeelsdossiers zijn alleen voor geautoriseerde functionarissen toegankelijk. Toegang is in bepaalde gevallen tot op documentniveau geregeld. • De integriteit van de veelal verregaande integratie tussen e-HRM-applicaties, case management tools, documentmanagement systemen, contact centre tools en het HR/ Payroll-systeem moet zijn geborgd. Tot slot De organisatorische, procesmatige en systeemtechnische veranderingen die een organisatie bij de oprichting van een HR SSC ondergaat, hebben ook invloed op de werkzaamheden van de IT-auditor. In geval het een audit betreft in het kader van de jaarrekeningcontrole, zal de auditor zich beperken tot eventuele e-HRM-applicaties en het HR/Payroll-informatiesysteem. Dit verandert op het moment dat bijvoorbeeld een beveiligingsaudit moet worden uitgevoerd; de scope van de audit zal op dat moment ook betrekking moeten hebben op de HR SSC technologie. Zeker is wel, dat de introductie van een HR SSC veel nieuwe mogelijkheden schept voor zowel de klant als de IT-auditor. ■ Literatuurlijst • [DELM05] J. Delmotte & L. Sels, HR-outsourcing: kans of bedreiging?, 2005. • [STRI04] J. Strikwerda, Shared Service Centers, 4e gewijzigde druk, Koninklijke van Gorcum, 2004. • [ARIN07] NorthgateArinso, Strategische veranderingen in HR Dienstverlening, 2007.


Artikel

Het belang van XBRL voor IT-auditors

Jan Pasmooij

In dit artikel1 wordt ingegaan op wat XBRL is en wat XBRL zal gaan betekenen voor de interne en externe informatievoorziening en -verstrekking. Vervolgens wordt een overzicht gegeven van de stand van zaken en de ontwikkelingen internationaal en in Nederland. Deze geven een beeld van wat ons te wachten staat.

Trends in rapporteren Alvorens in te gaan op XBRL schets ik kort de ontwikkelingen op het terrein van het rapporteren. Deze hebben alles te maken met globalisering en de behoefte wereldwijd financiele informatie te kunnen uitwisselen en interpreteren. Daarnaast het ingezette beleid om de administratieve lasten voor bedrijven te verlagen. Digitalisering

J. (Jan) Pasmooij RE RA RO is Manager ICT Knowledge Center bij het Koninklijk Nederlands Instituut van Registeraccountants (NIVRA). Voorheen was hij als accountant/IT-auditor werkzaam in het openbare accountantsberoep en bij de rijksoverheid (EDP Audit Pool). Hij combineert zijn baan bij het NIVRA met een deeltijdaanstelling bij de Erasmus Universiteit Rotterdam als plaatsvervangend Program Director van de postinitiële opleiding IT-auditing. Sinds 2002 is hij voorzitter van

Als over documenten in elektronische vorm wordt gesproken denkt men veelal aan documenten in PDF2, een digitale afbeelding van het papieren document. PDF is een formaat waarin documenten eenvoudig elektronisch zijn uit te wisselen. Het verwerken van de gegevens die op dit document zijn opgenomen, vereist echter nog steeds een extra handeling, zoals het opnieuw invoeren van deze gegevens in een computersysteem om deze vervolgens te kunnen opslaan, analyseren of bewerken. Het is duidelijk dat hierbij fouten optreden. Christopher Cox, de voorzitter van de SEC3 gaf in 2006 in een televisie-interview aan dat de foutenkans kan oplopen tot boven de 30%. Het betreft hier financiële informatie die door ondernemingen wordt verstrekt in zorgvuldig opgestelde jaarverslagen en toezichtrapportages. In Nederland geeft een bank jaarlijks tussen de 30 en 40 miljoen euro uit aan het verwerken van de ontvangen jaarrekeningen van hun klanten. Vandaar dat de afgelopen jaren is gezocht naar een technische standaard die het mogelijk maakt om gegevens zodanig elektronisch uit te kunnen wisselen dat deze gegevens direct door computers kunnen worden verwerkt. Dat deze wijze van gegevensuitwisseling voordelen heeft is duidelijk. Als voorbeeld de belastingaangifte die met ingang van 2005 verplicht elektronisch moet worden aangeleverd. De meeste gegevens die voor de aan-

XBRL Nederland en lid van het International Steering Committee van XBRL International.

De invoering van XBRL zal ingrijpende gevolgen hebben voor de informatievoorziening zoals wij die nu kennen en de rol van accountants daarbij. Omdat op dit moment de gevolgen nog niet goed zijn te overzien beperkt de auteur zich in dit artikel tot het aanstippen van de mogelijke rol van IT-auditors en laat het aan de lezer om zich een eigen beeld te vormen. Het artikel laat dus nog een aantal vragen onbeantwoord. Een uitdaging dus voor studenten of praktiserende collega’s voor nader onderzoek of bespiegelingen.


giftes nodig zijn, zijn al beschikbaar in de geautomatiseerde administraties van de ondernemers. De benodigde gegevens worden geautomatiseerd ingelezen door de aangiftesoftware waarmee de aangiftes worden samengesteld en via internet verzonden naar de Belastingdienst. De Belastingdienst kan de aangiftes direct verwerken. Deze vorm van ketenautomatisering verhoogt de kwaliteit van de gegevens omdat handmatige verwerking achterwege kan blijven, hierbij kan gebruik worden gemaakt van geautomatiseerde checks and balances, daarnaast verlaagt zij de kosten van het samenstellen, uitwisselen en verwerken. Andere voorbeelden van ketenautomatisering zijn de processen van elektronisch betalen en elektronisch factureren. Door het gebruik van technologie is het mogelijk het hele proces, van de ontvangst van de factuur, de controle en goedkeuring, het aanmaken van een betalingsopdracht, het versturen naar de bank, het verwerken door de bank tot het verantwoorden (het oude dagafschrift) in de boekhouding, volledig elektronisch te laten verlopen. Een werkwijze die de kosten verlaagt, de snelheid verhoogt en de kansen op fouten verkleint. Deze kostenbesparing maakt het mogelijk de administratieve lasten verbonden aan het uitwisselen van gegevens op papier terug te dringen. Wereldwijd zien wij vergelijkbare ontwikkelingen. Overheden, bedrijven, toezichthouders en gebruikers van informatie zijn bezig de huidige op papier gebaseerde informatie-uitwisseling om te zetten naar elektronische gegevensuitwisseling.

Informatie op maat

Standaardisatie en harmonisatie

XBRL als open standaard Om de elektronische uitwisseling en directe verwerking van gegevens mogelijk te maken, is eXtensible Business Reporting Language (XBRL), een op XML6 gebaseerde open standaard, ontwikkeld. In 1998 hebben de accountants in de US het initiatief genomen om XBRL te ontwikkelen, omdat zij voordelen zagen in het elektronisch beschikbaar stellen van financiële informatie aan analisten, beleggers en financiële instellingen, maar ook voor eigen gebruik in hun controle. Al snel bleken overheden en toezichthouders hiervoor grote belangstelling te hebben. XBRL is ontwikkeld en wordt onderhouden door XBRL International Inc. (XII), een wereldwijd consortium van nu ruim vijfhonderd organisaties. Om aan te kunnen geven wat de betekenis is van de gegevens(elementen) die elektronisch worden uitgewisseld, wordt gebruik gemaakt van een ‘Taxonomie’7 waarin de gegevenselementen zijn vastgelegd en beschreven. Een taxonomie kan elektronisch beschikbaar worden gesteld op een website. Als informatie moet worden verstrekt, worden de relevante gegevenselementen uit de geautomatiseerde administratie geselecteerd en voorzien van een label (tag) die verwijst naar de taxonomie en die daarmee de gegevenselementen eenduidig definieert. De van een label voorziene gegevenselementen worden vervolgens in XBRL formaat opgenomen in een bestand, dat een ‘instance document’ wordt genoemd. Dit bestand kan – via het internet – naar een organisatie worden gestuurd of op een website beschikbaar gesteld voor belanghebbenden (figuur 1). Door gebruik

Inmiddels hebben meer dan 100 landen wereldwijd IFRS (International Financial Reporting Standards) geadopteerd als de verslaggevingstandaard voor grote ondernemingen. Zelfs de Verenigde Staten hebben besloten US-GAAP als verslaggevingsstandaard in te wisselen voor IFRS. Het gebruik van IFRS maakt informatie toegankelijker en bedrijfsvergelijkingen mogelijk. De invoering van IFRS voor SME4 zal ook de beschikbaarheid, toegankelijkheid en vergelijkbaarheid van financiële informatie over kleinere ondernemingen vergroten. Belangrijk nu ook kleinere ondernemingen internationaal zaken doen. Ook maakt standaardisatie in de verslaggeving het voor buitenlandse banken eenvoudiger kleine ondernemingen te financieren. Dat een aantal grote accountantskantoren de komende jaren grote veranderingen verwachten op het terrein van verslaggeving en rapportering – met een grote impact op de accountantscontrole – komt duidelijk naar voren in het in november 2006 verschenen paper ‘Global Capital Markets and the Global Economy’, uitgebracht door de CEO’s van PricewaterhouseCoopers, Deloitte, Ernst & Young, KPMG, Grant Thornton en BDO5. In dit paper schetsen zij onder andere de ontwikkelingen op het terrein van business reporting en het gebruik van XBRL. Mede in dat kader pleiten zij voor wereldwijde accounting en auditing standaarden en nieuwe vormen van assurance die aansluiten op de veranderende vraag naar informatie.

In het dagelijks leven is informatie op maat niet meer weg te denken. Wij kunnen vaak aangeven welke informatie wij wel of niet willen ontvangen. Deze behoefte geldt ook voor investeerders en analisten. Nu ontvangen zij vaak nog uitgebreide jaarverslagen waarin de onderneming de informatie heeft opgenomen die wettelijk moet worden gerapporteerd of die de onderneming graag onder de aandacht wil brengen. Maar de informatiebehoefte van gebruikers is veranderd. Uit gesprekken met analisten en investeerders komt naar voren dat zij behoefte hebben aan andere informatie dan nu opgenomen in de jaarrekening of het jaarverslag. Denk hierbij aan informatie over plannen en toekomstige activiteiten, over de kwaliteit van de interne beheersing en het management, over milieubeleid, CO2 uitstoot en compensatie, samenstelling van het personeel, et cetera. Zij vragen om meer (toekomstgerichte) informatie op maat, frequenter beschikbaar en in elektronische vorm in plaats van de huidige standaardinformatie op papier. Om enigszins aan deze wens tegemoet te komen publiceren de meeste beursgenoteerde bedrijven op hun website vaak extra informatie naast de informatie beschikbaar in het jaarverslag. Een andere belangrijke ontwikkeling is de invoering van Basel 2, regelgeving die financiële instellingen verplicht risico’s verbonden aan het verstrekken van kredieten aan bedrijven actief te managen. Naar verwachting zal Basel 2 leiden tot een meer gerichte en mogelijk ook uitgebreidere informatievraag door banken.


uitwisseling van financiële of toezicht informatie op basis van de nationale verslaggevingregels. Ook gebruiken inmiddels een aantal toezichthouders XBRL voor hun toezichtrapportages. Voorbeelden zijn CEBS9 die de COREP en FINREP taxonomieën heeft ontwikkeld voor de uitwisseling van financiële informatie en informatie over de naleving van Basel 2 en een conglomeraat van financiële toezichthouders10 in de Verenigde Staten dat in het najaar van 2005 is overgegaan op het gebruik van XBRL voor de uitwisseling van informatie in het kader van het toezicht op ongeveer 8.900 banken. Vergelijkbare ontwikkelingen zijn zichtbaar in Azië. In maart 2005 heeft de SEC aangegeven dat zij ook elektronisch rapportages op basis van XBRL accepteert. De SEC heeft ook een vrijwillig rapportageprogramma gestart om ondernemingen in staat te stellen ervaringen op te doen met de uitwisseling in XBRL formaat. Op dit moment nemen ca. 45 bedrijven aan dit programma deel. De SEC spreekt in dit verband van ‘Interactive data’. De XBRL US-GAAP taxonomieën ten behoeve van de SEC rapportages zijn in september 2007 opgeleverd voor publiek commentaar; vaststelling zal in 2008 plaatsvinden. Het is duidelijk is dat de SEC aankoerst op het verplicht gebruik van XBRL voor het rapporteren van financiële informatie. Een beslissing hierover is ook in 2008 te verwachten. Een ontwikkeling die directe gevolgen zal hebben voor alle circa 10.000 bedrijven die aan de Amerikaanse beurs zijn genoteerd. Meer informatie over de XBRL activiteiten van de SEC is beschikbaar op http://www.sec. gov/spotlight/xbrl.htm.

In figuur 1 is het uitwisselingsproces op basis van XBRL schematisch weergegeven.

In figuur 2 is een voorbeeld opgenomen van informatie in XBRL formaat opgenomen in een instance document.

te maken van een ‘Style sheet’ (een sjabloon) kunnen de gegevens ook weer worden gepresenteerd, bijvoorbeeld in de vorm van een balans of een winst-en-verliesrekening. Het is mogelijk de gegevens aan het eind van de keten op het moment van rapporteren te selecteren en naar het XBRL formaat om te zetten. Het is echter ook mogelijk de gegevens al bij de primaire vastlegging te voorzien van een label. Deze laatste vorm van ‘tagging’ van gegevens wordt beschreven in XBRL Global Ledger. Door middel van de tag is het gegevenselement dan herkenbaar in het gehele proces van gegevensverwerking en rapportering, zowel intern als extern. XBRL kan dus het best worden vergeleken met de barcode, maar dan de barcode voor gegevens. De voordelen in het gebruik van de ‘tags van XBRL zijn vergelijkbaar met voordelen die de barcode heeft in de retail waar met behulp van de barcode een product in de hele keten kan worden gevolgd. Stand van zaken internationaal Op dit moment zijn XBRL taxonomieën beschikbaar voor de uitwisseling van gegevens op basis van de internationale verslaggevingstandaarden US-GAAP en IFRS. Daarnaast heeft een aantal landen8 taxonomieën ontwikkeld voor de

Inmiddels is het voor bedrijven in een aantal landen, waaronder Spanje, Zweden, Denemarken, Duitsland, Engeland, België, Korea en China, mogelijk op basis van XBRL financiële gegevens aan de overheid of toezichthouders aan te leveren. Beursgenoteerde ondernemingen in China, Korea, Japan en Singapore zijn inmiddels verplicht hun financiële gegevens in XBRL te deponeren. Een goed voorbeeld van grootschalig gebruik is ons buurland België waar, na de invoering op één april 2007, inmiddels meer dan 90% van de ondernemingen (totaal 300.000 ondernemingen) op vrijwillige basis gebruik maakt van XBRL om hun financiële gegevens elektronisch aan te leveren aan de Balanscentrale. Een ander voorbeeld is Engeland waar al meer dan 200.000 ondernemingen hun financiële cijfers met XBRL bij Companies House hebben gedeponeerd. Een land dat de Nederlandse aanpak volgt is Australië. Eind augustus 2007 heeft de Australische regering besloten tot de aanpak van administratieve lasten met behulp van de implementatie van ‘Standard Business Reporting (SBR)’, een project vergelijkbaar met het Nederlandse Taxonomie Project. Ook hebben de Belastingdiensten van diverse landen, waaronder Nederland, gekozen voor XBRL en XBRL GL als standaarden. Vrijwel alle belangrijke softwareleveranciers zijn betrokken bij de ontwikkeling van XBRL en in staat software te leveren die met XBRL kan omgaan. Meer informatie over XBRL en de internationale ontwikkelingen is beschikbaar op www.xbrl.org.


Ontwikkelingen in Nederland In voorjaar 2004 heeft het Nederlandse kabinet besloten de Nederlandse Taxonomie (NT) te ontwikkelen. Het Nederlandse Taxonomie Project (NTP) heeft tot doel het gegevensmodel te ontwikkelen dat met ingang van 2007 door overheid en bedrijfsleven kan worden gebruikt voor de elektronische uitwisseling van financiële (jaarrekening), fiscale (winstbelasting, loonbelasting, btw en premieheffing) en statistische gegevens op basis van XBRL. Tijdens het ontwikkelen van deze taxonomie heeft tevens een eerste harmonisatieslag plaatsgevonden die ertoe heeft geleid dat het aantal gegevens dat ondernemers moeten verstrekken aan de overheid zal afnemen. Ook wordt hergebruik van gegevens eenvoudiger. Zo zal het Centraal Bureau voor de Statistiek meer gebruik gaan maken van gegevens die de Belastingdienst al ontvangt. De overheid verwacht dat door de elektronische uitwisseling van gegevens en het efficiënter inrichten van het proces van samenstellen en uitwisselen van informatie jaarlijks een besparing van € 350 miljoen voor ondernemers kan worden gerealiseerd. Inmiddels is versie 2.1 van de NT beschikbaar. Via de Overheidstransactiepoort SOAP 2008 is het mogelijk om informatie in XBRL formaat elektronisch aan de overheid aan te leveren. Op vrijdag 9 juni 2006 hebben zo’n vijftig organisaties, waaronder het NIVRA, het XBRL convenant11 ondertekend. Met deze overeenkomst bekrachtigen overheid en marktpartijen hun samenwerking om door het gebruik van de NT besparingen te realiseren in het domein van de jaarverslaggeving, belastingaangiften en de economische statistieken. Inmiddels is het aantal organisaties dat het convenant heeft ondertekend opgelopen tot ruim honderd, waaronder VNO-NCW en MKB Nederland. In het kader van de harmonisatie en vereenvoudiging van de informatie-uitwisseling is, naast het ontwikkelen van de NT, een wetsontwerp ingediend dat kleine ondernemingen in de toekomst toestaat hun fiscale jaarrekening te deponeren in plaats van een commerciële jaarrekening. Dit betekent dat kleine ondernemingen in de toekomst hun jaarrekening op fiscale grondslag kunnen gebruiken voor het deponeren, hun fiscale aangifte en rapportage aan de bank. In dit kader wordt in samenwerking met een aantal banken gewerkt aan de ontwikkeling van een uitbreiding op de NT ten behoeve van hun informatiebehoefte in het kader van Basel 2. Meer informatie over de Nederlandse situatie is beschikbaar op www.xbrl-ntp.nl. Eind 2002 is XBRL Nederland opgericht, de Nederlandse jurisdictie van XBRL International. XBRL Nederland verstrekt informatie over XBRL en organiseert technische XBRL trainingen. Op dit moment nemen ongeveer zestig organisaties deel aan XBRL Nederland. Deelnemers hebben recht op toegang tot alle beschikbare informatie, kennis en ervaring binnen de (inter)nationale organisatie en de werkgroepen. Het stelt deelnemers ook in staat via de verschillende gebruikersgroepen in contact te komen met andere organisaties en ervaringen uit te wisselen. Voor meer informatie www.xbrl-nederland.nl.

Gevolgen voor accountants De gevolgen voor accountants

Het merendeel van organisaties in Nederland – naar schatting 95-99 procent – maakt voor het samenstellen van hun jaarrekening en fiscale aangiftes en het uitvoeren van accountantscontroles gebruik van de diensten van accountants en financiële experts. De financiële intermediair is dus een belangrijke schakel in de rapportageketen. De verwachting is dat de meeste ondernemingen, met uitzondering van de grote, niet zelf aan de slag zullen gaan met XBRL, maar dit zullen overlaten aan hun financiële intermediairs. Het digitaliseren van de rapportageketen heeft dus directe gevolgen voor accountants die optreden als CFO, controller of dienstverlener bij het opstellen van jaarrekeningen, als controleur bij het verstrekken van een accountantsverklaring bij jaarrekeningen, of als assurance provider in het geval accountants wordt gevraagd uitspraken te doen over de kwaliteit van in elektronische verantwoordingen opgenomen gegevens of het rapportageproces. De gevolgen voor de eigen werkprocessen

De invoering van XBRL zal gevolgen zal hebben voor de eigen werkprocessen van accountants in de samenstel- en de controlepraktijk. Hierbij kan worden gedacht aan: • Integratie van huidige processen en aanpassen van de volgorde van werkzaamheden. Dit laatste is zeker van belang nu de Nederlandse overheid toestaat dat kleine ondernemingen hun fiscale jaarrekening mogen deponeren in plaats van hun commerciële jaarrekening12. • Een goede informatiebeveiliging nu meer gegevens van cliënten in elektronische vorm onder verantwoordelijkheid van de accountant worden verwerkt, uitgewisseld en opgeslagen. • Een goede dossiervorming van informatie in elektronische vorm. • Het tijdig kunnen beschikken over de software die kan omgaan met gegevens in XBRL formaat. In dit verband is van belang dat de accountant contact opneemt met zijn softwareleverancier om zich er van te vergewissen dat deze tijdig de gewenste functionaliteit en ondersteuning kan leveren. Ook is het van belang dat de accountant nagaat op welke wijze de communicatie met cliënt gaat verlopen en duidelijk wordt vastgelegd welke werkzaamheden de accountant voor zijn cliënt zal verrichten, zeker in het geval dat de accountant gaat zorg dragen voor de verzending van de jaarrekening naar de Kamer van Koophandel of het verstrekken van informatie aan het CBS. Nieuwe vormen van dienstverlening

De invoering van XBRL en het beschikbaar komen van de NT schept ook mogelijkheden voor nieuwe vormen van dienstverlening. Zo valt te verwachten dat door verdergaande digitalisatie meer ondernemingen hun administra-


tieve werkzaamheden zullen uitbesteden of zullen overgaan op vormen van internetboekhouden. Voorts biedt de beschikbaarheid van gestandaardiseerde informatie in elektronische vorm een goede basis voor het uitvoeren van bedrijfsanalyse of bedrijfsvergelijkingen. Andere mogelijkheden zijn de ontwikkeling door NIVRA en NOvAA van vormen van credit risk rating als dienstverlening door accountants en ‘Horizontaal toezicht’. ‘Horizontaal toezicht’ is het steunen van de Belastingdienst op werkzaamheden die door accountants zijn uitgevoerd op basis van afspraken met de Belastingdienst. Ook wordt met de banken gesproken over de mogelijkheid van het verstrekken van financiële informatie in XBRL formaat als basis voor hun credit risk rating. In dit kader zijn een aantal banken betrokken bij de ontwikkeling van een aanvulling op de NT gericht op informatie in het kader van Basel 2. Nieuwe vormen van dienstverlening kunnen ook betrekking hebben op het verstrekken van assurance over de kwaliteit van gegevens opgenomen in instance documents, over datastromen of de interne beheersing van het rapporteringproces of advisering over / ondersteuning bij het inrichten van digitale processen. Een aantal accountantskantoren voert op dit moment onderzoek uit naar de mogelijkheden om in de controle gebruik te maken van XBRL tags.

• •

Audit en assurance

De invoering van XBRL heeft ook gevolgen voor de huidige accountantscontrole. Om inzicht te krijgen in de problematiek heeft het NIVRA begin 2005 met het Canadese accountantsinstituut (CICA) binnen XBRL International, het initiatief genomen voor het oprichten van de internationale Assurance Working Group (AWG). Deze werkgroep had tot doel om, in samenwerking met de International Federation of Accountants (IFAC), de mogelijke gevolgen van het gebruik van XBRL voor de audit en assurance in kaart te brengen. Het research paper van de AWG is in november 2006 tijdens het World Congress of Accountants gepresenteerd en gepubliceerd13. In dit document geeft de werkgroep een analyse van de gevolgen op de huidige rapportage- en controlepraktijk en schetst een aantal mogelijke scenario’s voor het gebruik van XBRL met bijbehorende assurance services. Uit het onderzoek komt naar voren dat de invoering van XBRL gevolgen heeft voor: • Het samenstellen van een rapportage, zoals bijvoorbeeld een jaarrekening. De bevindingen van de AWG sluiten aan bij de bevindingen in een research studie uitgevoerd door de IIA Research Foundation14 naar de gevolgen voor de internal auditors. Beide studies geven aan dat het gebruik van tags de mogelijkheden van data-analyse vergroot en de noodzaak voor het gebruik van spreadsheets verkleint. Voorts heeft het gebruik invloed op de risicoanalyse en interne beheersing; • Het object van onderzoek: De jaarrekening in XBRL formaat (een dataset in de vorm van een instance document) is een ander object van onderzoek dan de huidige jaarre-

•

•

kening op papier, omdat bij een jaarrekening in XBRL formaat de inhoud en presentatie zijn losgekoppeld. Een jaarrekening in XBRL formaat bestaat uit een verzameling gegevenselementen die voorzien zijn van een ‘tag’. Dit betekent dat de huidige accountantsverklaring (beeldverklaring) niet kan worden gebruikt en zal moeten worden vervangen door een andere verklaring qua scope, reikwijdte, bewoording en vorm. Mogelijk zal in de toekomst de assurance betrekking hebben op individuele gegevenselementen (data-level assurance) in plaats van de huidige document-level assurance (beeldverklaring). Uit een onderzoek uitgevoerd in opdracht van het CFA Institute15 onder 9.000 analisten (response circa 9 procent) komt naar voren dat 50 procent van de respondenten verwacht dat er sprake is van een ‘geïntegreerde’ controle of review door een onafhankelijke auditor met betrekking tot de juistheid van de tags. Deze controle / review moet betrekking hebben op rapportages van financiële informatie, inclusief disclosures, aan toezichthouders en beurzen; Level of Assurance; Het proces van openbaarmaking: Een rapportage in elektronische vorm, zoals een jaarrekening, vereist ook een accountantsverklaring in elektronische vorm. Dit kan een apart gegevenselement zijn waarin de volledige verklaring is opgenomen of een apart instance document waarin de verklaring in gegevenselementen is opgenomen. In het laatste geval zal de accountantsprofessie een XBRL taxonomie voor verklaringen moeten ontwikkelen en onderhouden. Voorts zullen afspraken moeten worden gemaakt over: o de wijze van ondertekening, waarschijnlijk door gebruik te maken van een elektronische handtekening o de wijze waarop de verklaring aan het object van onderzoek wordt gehecht en openbaar gemaakt o de eisen die moeten worden gesteld aan waarborgen met betrekking tot de identificatie, integriteit en authenticiteit van zowel de rapportage als de verklaring. De controleaanpak: Op grond van het voorgaande mag duidelijk zijn dat bij een ander object van onderzoek, een mogelijk ander level of assurance en een andere invulling van het begrip materialiteit een andere controleaanpak hoort; De kennis en vaardigheden van de accountants, inclusief hulpmiddelen: Hoewel insiders er vanuit gaan dat XBRL in de toekomst onder de motorkap zal verdwijnen en niet meer zichtbaar zal zijn voor gebruikers, zal het toch noodzakelijk zijn dat accountants enige kennis van XBRL en het gebruik daarvan hebben en weten hoe zij met gegevens in XBRL formaat moeten omgaan.

Op grond van het voorgaande moge het duidelijk zijn dat nog een weg te gaan is voordat duidelijkheid ontstaat over assurance services gericht op informatie in XBRL-formaat. Omdat de huidige accountantsverklaring niet past bij de een jaarrekening in XBRL formaat heeft het NIVRA begin 2007 bekend gemaakt dat het op dit moment niet is toegestaan jaarrekeningen met een accountantsverklaring in XBRL formaat te deponeren. Op dit moment wordt door het NIVRA, in samen-


werking met gebruikers, bedrijven, standard setters, toezichthouders, overheden, auditkantoren en buitenlandse accountantsinstituten gewerkt aan de ontwikkeling van nieuwe assurance services gericht op informatie in XBRL-formaat.

Op de websites van het NIVRA, XBRL-Nederland en AccountancyNieuws is een groot aantal publicaties en nieuwsberichten opgenomen. Research studies/reports • IFAC Staff Discussion document ‘Financial Reporting on the Internet’,

Het belang voor IT-auditors Duidelijk is dat XBRL alles te maken heeft met de informatieverwerking en uitwisseling van gegevens en verregaande digitalisering van (interne en externe) processen. Op dit moment vervult de IT-auditor een belangrijke rol bij het in kaart brengen en beoordelen van (de interne beheersing van) deze processen. Daarnaast ondersteunen IT-auditors accountants bij hun controle van de jaarrekening. Verdergaande digitalisering betekent dat nog meer dan eerst gesteund moet worden op de geautomatiseerde processen en de interne beheersing.

february 2002 • The FEE Issues Paper ‘Principles of Assurance: Fundamental Theoretical Issues with respect to Assurance in Assurance Engagements’, April 2003 • Information for Better Markets Digital Reporting: a progress report’ published by the Institute of Chartered Accountants in England and Wales, September 2004 • ‘Digital reporting, a progress report’, ICAEW, September 2004 • ‘Electronic Filing and reporting, emerging technologies and their implications’, CICA, 2005 • The research study ‘Electronic Filings and Reporting, Emerging Technologies and Their Implications’, published by the Canadian Institute of Chartered Accountants, 2005

Op grond van de voorgaande analyse zouden de IT-auditors op de volgende gebieden een bijdrage kunnen leveren: • Het ondersteunen van organisaties bij de inrichting van hun op XBRL gebaseerde interne en externe informatieverwerkingsprocessen en/of het samenstellen van rapportage op basis van XBRL. Dit kunnen ondernemingen zijn maar ook organisaties die gegevens in XBRL formaat ontvangen en verwerken. XBRL zal invloed hebben op de risico’s en de interne beheersing. Hierbij kan worden gedacht aan het gebruik van de juiste taxonomieën en tags in het samenstelproces. • Het ondersteunen van accountants bij de aanpak van de accountantscontrole, inclusief het proces van openbaarmaking. Zoals aangegeven heeft XBRL invloed op de controleaanpak en -werkzaamheden van accountants. Mogelijk kunnen hierbij geautomatiseerde tools worden ingezet. • Het geven van assurance over de processen en interne beheersing gericht op het samenstellen van rapportages in XBRL-formaat.

• Staff Questions and Answers related to the topic ‘Attest Engagements

Zoals in het begin van dit artikel aangegeven is het waarschijnlijk nog te vroeg om op dit moment al een uitgewerkt beeld te hebben van wat de invloed van XBRL zal of kan zijn op de werkzaamheden van IT-auditors. Mogelijk biedt de invoering van XBRL ook IT-auditors mogelijkheden voor nieuwe dienstverlening. ■

6 Extensible Markup Language

Regarding XBRL Financial Information Furnished under the XBRL Voluntary Financial Reporting Program on the Edgar System’, published by the PCAOB, May 2005 • ‘Secure IT Infrastructure for E-commerce’ by J.E. Boritz, 2005 • Briefing paper ‘Assurance implications of business reporting with XBRL’, prepared by the Assurance Working Group of XBRL International, 25 November 2005 • ‘XBRL taxonomieën voor beginners en doeners’, publicatie van XBRL Nederland • “XBRL: Potential Opportunities and Issues for Internal Auditors,”, Gen L. Gray, The IIA Research Foundation, 2005 Eindnoten 1

Dit artikel is gebaseerd op de NIVRA / XBRL Nederland publicatie ‘XBRL, stand van zaken’, november 2007.

2 Portable Document Format 3 Securities and Exchange Commission 4 Smal and Medium Enterprises 5

GLOBAL CAPITAL MARKETS AND GLOBAL ECONOMY: A Vision From CEOs of The International Audit Networks, November 2006.

7 Een soort gegevenswoordenboek waarin onder meer de begrippen en definities, alsmede de relaties tussen de gegevenselementen zijn vastgelegd. 8 Onder meer: Nederland, België, Engeland, Denemarken, Zweden, Duitsland, Spanje, Japan, Australië, Zuid-Korea, Singapore, Canada, Verenigde Staten, Ierland, Frankrijk, Italië. 9 CEBS , de Europese financiële toezichthouders van de 27 Eu lidstaten,

Nadere informatie

10 Federal Financial Institutions Examination Council (includes the FDIC

Websites

11 De eerste vijftig organisaties ondertekende het convenant op vrijdag 9

and the Federal Reserve Board) • Website XBRL International: www.xbrl.org

juni 2006 in Den Haag.

• Website XBRL Nederland: www.xbrl-nederland.nl

12 Samenval project

• Website van het Nederlands Taxonomie Project:

13 INTERACTIVE DATA: THE IMPACT ON ASSURANCE, A NEW CHALLENGE

www.xbrl-ntp.nl

FOR THE AUDIT PROFESSION, November 2006

• Website van de Europese toezichthoudende centrale banken (CEBS): www.corep.info/ • Website van de SEC: www.sec.gov/spotlight/xbrl.htm

14 “XBRL: potential Opportunities and Issues for Internal auditors”, Glen L. Gray, published December 2005 15 CFA XBRL Survey Report, dated 27 Augustus 2007


Artikel

Security-aspecten bij Voice over IP

Will Franken

Voice over IP (VoIP) is een techniek die het mogelijk maakt om datanetwerken in te zetten voor telefonie. De populariteit van VoIP neemt toe zowel bij bedrijven als particulieren. Het geloof van de markt in VoIP is onder andere te zien aan de aspiraties die datacommunicatie leveranciers en applicatie service providers nu in een hoog tempo ontwikkelen.

V

oice over IP ontwikkelt zich stormachtig en niet in de laatste plaats door de kostenbesparingen die in het vooruitzicht worden gesteld. Organisaties hoeven minder te investeren in infrastructuur en ook op belkosten zijn aanzienlijke besparingen te realiseren. Daarnaast is het vanuit een beheerperspectief goedkoper om één netwerk te beheren in plaats van twee. VoIPspecifieke opties zoals instant messaging en rich media conferencing (gecombineerd spraak, data en video) worden minder genoemd als motivatie om over te stappen naar Voice over IP maar worden wel steeds belangrijker in de communicatie. De voordelen zijn evident, echter, vermeld dient te worden dat het (IP) datanetwerk niet is ontworpen voor telefonie. Quality of Service en beveiliging zijn twee belangrijke issues die moeten worden opgelost. In dit artikel zal vooral worden ingegaan op de beveiliging van VoIP. Voice over IP Voice over IP betreft de infrastructuur en technologie die de transmissie van spraak over een pakket geschakeld IP netwerk mogelijk maakt. Vergeleken met circuit geschakelde netwerken waarbij resources niet hoeven te worden gedeeld met andere sessies, gaan pakket geschakelde netwerken weliswaar efficiënter om met de beschikbare netwerkcapaciteit maar kunnen minder garanties bieden ten aanzien van de kwaliteit van de verbinding zoals die door de gebruiker wordt ervaren.

W.A.J. (Will) Franken RE CISA is mede-eigenaar van Audiris, een adviesorganisatie gericht op IT-auditing en Information Risk Management. Sinds 1996 is hij als IT-auditor en consultant werkzaam op het gebied van informatiebeveiliging, risicomanagement en compliance. Hij heeft dit artikel op persoonlijke titel geschreven.

In tegenstelling tot de transmissie van data waarbij veel toepassingen niet of nauwelijks gehinderd worden door kleine vertragingen is Voice over IP juist wel erg gevoelig voor performance degradatie. Bij de inrichting en beheer van VoIP netwerken is er dan ook veel aandacht voor quality of service en traffic shaping1 en is er weerstand tegen beveiligingsmaatregelen omdat die mogelijk ten koste gaan van performance en/of bandbreedte. Overzicht Voice over IP Hardware infrastructuur

Een standaard VoIP architectuur wordt gekenmerkt door de aanwezigheid van een aantal specifieke componenten. De fysieke uitvoering van deze componenten is leveranciersafhankelijk waarbij sommige leveranciers ervoor hebben gekozen om bepaalde functionaliteiten te integreren in één appa24 | de EDP-Auditor nummer 2 | 2008

raat, terwijl anderen, omwille van redundantie, juist weer opteren voor spreiding van functionaliteiten over meerdere apparaten. Daarnaast zijn er componenten die in elk netwerk wel voorkomen zoals firewalls, switches en routers. Echter, om VoIP te ondersteunen dienen deze componenten wel om te kunnen gaan met Quality of Service instellingen zoals DiffServ2 en RSVP3 waarmee voice verkeer kan worden geprioriteerd en waarmee pakketten die een denial of service aanval kunnen veroorzaken kunnen worden uitgesloten. Er dient te worden opgemerkt dat de markt voor de zogenoemde ‘converged networks’4 sterk in beweging is. Zo zal OCS 20075 (Microsoft Office Communications Server 2007) in voorkomende gevallen een alternatief zijn voor een op IP gebaseerde telefooncentrale. Hierna volgt een overzicht van de belangrijkste componenten in een VoIP architectuur. User agents

Een user agent is een verzamelnaam voor IP phones, softphones of elk ander apparaat dat in staat is om een communicatie sessie te initiëren over een pakket geschakeld netwerk. Een IP phone (hard phone) is een client apparaat dat via een ethernet aansluiting wordt aangesloten op het computernetwerk. Ieder toestel heeft een IP adres waarmee het zich identificeert bij een telefooncentrale. Het apparaat ondersteunt onder andere compressie en decompressie, netwerk management en signalering. Een softphone is een software programma waarmee spraakverkeer wordt afgehandeld gebruikmakend van computer audioapparatuur. Maar een softphone kan ook zonder computer speakers en microfoon. De softphone kan via de media server aangeven welk PSTN (Public Switched Telephone Network ofwel vaste net) nummer te bellen voor het versturen en ontvangen van gesprekken. Op die manier kunnen ook gewone telefoons deel uitmaken van het netwerk. IP-PBX

Een PBX (Private Branch eXchange) is een telefooncentrale die is belast met het opzetten en onderhouden van verbindingen tussen aansluitingen (call management) en additionele communicatie opties zoals call forwarding en voicemail. Een IP-PBX en ook een hybride PBX hebben in essentie dezelfde functionaliteiten maar bieden tevens ondersteuning voor Voice over IP, naast tal van andere opties. Een voorbeeld van een optie die kan worden aangezet in sommige IP-PBX’en is: ‘Disaster Routing’ waarmee meerdere paden voor voice verkeer kunnen worden ingesteld. Mocht één van de verbindingen naar een Internet Service Provider (ISP) niet beschikbaar zijn dan is er een automatische routering mogelijk naar een andere ISP of kan ervoor worden gekozen om het voice-verkeer te routeren naar de Telecom operator voor een routering over het vaste netwerk [PORT06]. IP Centrex en hosted IP telefonie diensten bieden de moge-

lijkheden van een on-site PBX systeem. Bij IP Centrex staat de telefooncentrale echter niet bij de organisatie zelf maar wordt deze extern gehost bij de Telecom operator en gedeeld met andere bedrijven. Media servers

Bij een gebrek aan naamconventies in de VoIP wereld, wordt de term ‘media server’ gebruikt als een verzamelnaam voor alle servers die zich bezighouden met het opslaan en delen van diverse soorten digitale media zoals spraak, data en video [PORT06]. Media servers zijn grofweg te verdelen in twee groepen: 1. Servers voor het interactief verwerken van media zoals Interactieve Voice Response (IVR) servers. 2. Call control servers voor het afhandelen van communicatie resources in een VoIP netwerk. Gatekeepers, Registration servers en Redirect servers zijn voorbeelden van call control servers en worden verderop behandeld bij de H.323 / SIP architectuur. Media gateway

Een media gateway is een netwerkcomponent voor het vertalen van protocollen tussen anders onverenigbare netwerken. Een voice gateway kan een rol vervullen in het verkeer van analoge - naar digitale (VoIP) netwerken en andersom. Een simpele uitvoering van een VoIP gateway is een Analog Telephone Adaptor (ATA). Dit is een apparaat om een analoge telefoon aan te sluiten op een VoIP netwerk en heeft doorgaans zowel een netwerk- als een telefoonaansluiting. VoIP protocollen

VoIP protocollen kunnen worden ingedeeld naar hun rol in de transmissie van VoIP verkeer. H.323 en SIP zijn de belangrijkste protocollen voor signalering en zorgen voor het opzetten en verbreken van gesprekken. H.323 en SIP ondersteunen elk vergelijkbare opties maar zijn niet direct uitwisselbaar. Voor het transport van spraak en multimediadata wordt hoofdzakelijk RTP (Real-Time Protocol) gebruikt. RTCP (Real-Time Control Protocol) en RTSP (Real-Time Streaming Protocol) worden gebruikt voor het monitoren van het transport van data en streaming media tussen deelnemers. SDP (Session Description Protocol) wordt gebruikt om informatie over multimedia te versturen over het netwerk. Daarnaast vereist het transport van VoIP een groot aantal ondersteunende protocollen onder andere ten behoeve van Quality of Service (RSVP), naamresolutie (DNS), firmware en software upgrades (TFTP), tijd synchronisatie (NTP), routeren van gesprekken (TCP/IP) en het monitoren van performance (SNMP). H.323 architectuur

H.323 is een door de ITU (International Telecommunication Union) gepubliceerde standaard voor multimediacommunicatie over IP datanetwerken.


Figuur 1: H.323 architectuur

Router

IP packet switched netwerk: corporate VPN Internet

Router

H.323 terminal

MCU Gatekeeper

Circuit switched netwerk: PSTN / ISDN / wireless

BES

BES

Gatekeeper

Circuit switched netwerk: PSTN / ISDN / wireless

H.323 terminal Gateway

Gateway De H.323 standaard definieert een algemene set van protocollen ten behoeve van het opzetten van gesprekken en procedures voor onderhandeling.

Figuur 2: H.323 protocol stack

Applicatie Codecs H.245 Call control

H.225 / Q.931 Signalering

H.225 RAS

RTCP RTP

TCP

UDP

IP

Figuur 1: Gateways en Gatekeepers zijn optioneel in een H.323 architectuur. Gateways zorgen voor het transport van signalering - en media verkeer en verzorgen een brugfunctie naar andere netwerken zoals ISDN, PSTN of andere H.323 netwerken. Indien aanwezig, registreren Gateways zich bij een Gatekeeper. Gatekeepers zorgen voor registratie, adresvertaling en toegang tot VoIP terminals en gateways. Daarnaast kunnen Gatekeepers optreden als ‘authoritive source’ waardoor snel wijzigingen kunnen worden uitgerold over een netwerk. Verder worden Gatekeepers gebruikt voor het monitoren van performance en het beheren van bandbreedte in het netwerk. Een MCU (Multipoint Control Unit) ondersteunt allerlei vormen van communicatie tussen twee of meer eindstations. De BES (Back End Service) zorgt onder andere voor authenticatie, service autorisatie, accounting en billing. In een eenvoudig netwerk voorziet een Gateway of Gatekeeper in dergelijke services.

Figuur 2 [PORT06]: H.225.0 / Q.931: dit protocol beschrijft de standaarden ten behoeve van signalering voor het opbouwen, beheren en afbreken van gesprekken. H.225.0 / RAS: dit gedeelte van het H.225 protocol specificeert RAS (Registration, Admission, Status) waarmee registratie, toegang en status met betrekking tot bandbreedte wordt geregeld tussen eindstations en Gatekeepers. H.245: specificeert berichten ten behoeve van call control onder andere voor het onderhandelen van de terminal mogelijkheden en het communiceren van informatie over het te gebruiken kanaal. Real Time Protocol (RTP): beschrijft het end-to-end transport van real-time data. Real Time Control Protocol (RTCP): beschrijft de end-toend monitoring van het data transport. De primaire functie van RTCP is het geven van feed-back op de kwaliteit van het data verkeer. Codecs: G.700 series voor VoIP codecs waarmee analoge spraak wordt geconverteerd naar digitale data en vice versa, inclusief het (de)comprimeren van data voor een efficiënte transmissie. De H.323 call flow is afhankelijk van de aanwezigheid van bepaalde entiteiten zoals Gateways en Gatekeepers. In geval van een directe communicatie tussen twee eindstations, worden er twee TCP kanalen opgezet, één voor call setup (H.225.0 / Q.931) en één voor onderhandeling en call control (H.245). H.225.0 / Q.931 call signalering berichten worden gebruikt voor het initiëren van verbindingen tussen H.323 eindstations. Deze berichten zorgen ervoor dat het gebelde eindstation gaat rinkelen. Vervolgens wordt een


Figuur 1: 3 SIP architectuur

Location server

Proxy

Proxy

Redirect server

IP netwerk Registar

Router

Router

SIP terminal

SIP terminal

Registar

tweede end-to-end kanaal opgezet waarover H.245 berichten worden uitgewisseld. Aan het eind van deze uitwisseling wordt het gesprek beantwoord door de ontvanger.

samen met netwerk componenten die zorgen voor registratie en routering zodat gebruikers kunnen worden geïdentificeerd en gelokaliseerd.

Met H.235 wordt een reeks van security profielen gedefinieerd waarmee verschillende beveiligingsniveaus kunnen worden gerealiseerd. Een H.235 security profiel bestaat uit definities, requirements en procedures en kan als module worden geïmplementeerd in elke gewenste combinatie. Het H.235 basis security profiel voorziet met behulp van passwordbeveiliging en hashing in authenticatie en bescherming van de integriteit van het H.225.0 / RAS en H.225.0 / Q.931 verkeer terwijl de H.245 berichten worden beschermd met password beveiliging. Dit basis security profiel beschermt onder andere tegen man-in-the-middle attacks, replay attacks, spoofing en connection hijacking maar weer niet tegen sniffing. Hiervoor heeft H.235 weer andere security profielen waarmee inbreuken op de vertrouwelijkheid kunnen worden voorkomen. Kenmerkend voor H.235 is de focus op authenticatie, vertrouwelijkheid en integriteit van het VoIP verkeer. Denial of service wordt niet geadresseerd [PORT06].

SIP is een signaleringsprotocol voor het opzetten en termineren van VoIP sessies. Zodra er een sessie tot stand gekomen is, nemen andere protocollen bepaalde taken over zoals het transport tussen eindstations en het onderhandelen over de uitwisseling van media [IETF02].

SIP architectuur

SIP server: registratie service Een user agent meldt zich aan bij een Registrar server met zijn gebruikersnaam en IP adres. Tevens wordt de huidige online status van de user agent doorgegeven. De Registrar server ontvangt de registratie verzoeken en koppelt het SIP adres aan de huidige gebruikerslocatie van de user agent. SIP adressering wordt verderop uitgelegd.

SIP (Session Initiation Protocol) is een IETF (Internet Engineering Task Force) standaard die is beschreven in RFC 3261. Toepassingen zoals VoIP, Video Conferencing en Instant Messaging die gebruik maken van real-time communicatie tussen gebruikers kunnen SIP gebruiken voor het opzetten van een verbinding tussen twee of meer eindstations. De gebruikers van deze toepassingen zijn niet gebonden aan één locatie en kunnen verschillende computers, gebruikersnamen en accounts gebruiken. Daarom werkt SIP

Een SIP-netwerk bestaat uit user agents en SIP servers. Hieronder worden enkele rollen beschreven die SIP servers kunnen aannemen in een VoIP netwerk. User Agents Elke deelnemer in een SIP sessie is een user agent. De user agent die het verzoek doet is de User Agent Client (UAC), de user agent die de service verleent is de User Agent Server (UAS). De user agent kan allerlei vormen aannemen, variërend van een IP phone, een applicatie, een PDA, tot een gateway naar het PSTN netwerk. In elk van deze hoedanigheden kan de user agent de rol vervullen van UAC en UAS.

SIP server: proxy service Een proxy server onderschept berichten van user agents,


inspecteert het ‘To:’ veld, maakt contact met de location server, vertaalt de username naar een IP-adres en stuurt het bericht naar de eindbestemming of naar een andere server. In deze rol kunnen ook additionele functies worden vervuld zoals network access control, authenticatie en autorisatie. SIP server: redirect service Een redirect server ontvangt het actuele adres van een bestemming van een location server en stuurt deze informatie naar de user agent waar het verzoek vandaan komt. SIP server: location service Een location server heeft een directory van alle user agents die op dat moment zijn ingelogd met hun gebruikersnaam, IP adres, SIP adres en huidige status. Location servers verstrekken informatie over de mogelijke locaties van een beller aan redirect en proxy servers. Voordat twee user agents met elkaar kunnen communiceren, moet elke user agent zich registreren bij een Registrar server. Nadat het verzoek is gehonoreerd worden het SIP adres en het IP adres verstrekt aan de location server. Vervolgens kan het proces voor het opzetten van een VoIP sessie verlopen volgens een aantal stappen: 1. User agent A stuurt een SIP INVITE naar de proxy server met het verzoek om een sessie op te zetten met user agent B. 2. De proxy server doet een beroep op de location server voor het verstrekken van het IP adres van user agent B. 3. De SIP INVITE wordt doorgestuurd naar user agent B. 4. User agent B accepteert de SIP INVITE en koppelt dit terug naar de proxy server. 5. De proxy server geeft het antwoord van B door aan user agent A. Nadat er een sessie tot stand is gekomen, verloopt de communicatie via het RTP protocol en kunnen A en B rechtstreeks met elkaar communiceren. Bij Voice over IP is een beller niet gebonden aan een vaste plaats. Gebruikers met een onbekend IP adres kunnen inloggen op een Registrar server die dan vervolgens zorgt voor routering van het gesprek via de juiste gateways. Op deze manier kan een gebruiker één telefoonnummer gebruiken ongeacht zijn fysieke locatie. Adressering

SIP maakt gebruik van Uniform Resource Identifiers (URI’s) voor het identificeren van gebruikers. De syntax is vergelijkbaar met die van email adressen. De URI bestaat uit een domein gedeelte waar de gebruiker is gelokaliseerd en een deel dat het account weergeeft. Dit kan een gebruikersnaam of telefoonnummer zijn. Een voorbeeld van een SIP URI: sip: [email protected]. Een URI kan ook additionele informatie bevatten zoals poortnummers, passwords of andere parameters. Dit maakt bijvoorbeeld het verzenden van data over een veilige verbinding mogelijk. Een voorbeeld van een met TLS (Transport

Layer Security)6 beveiligde VoIP sessie: Sips: [email protected]. Kwetsbaarheden VoIP

Voice over IP is een relatief nieuwe technologie. Er is nog niet zo heel veel bekend over beveiligingsincidenten in VoIP netwerken maar dát we ermee zullen worden geconfronteerd is slechts een kwestie van tijd. De redenen hiervoor liggen voor de hand. Allereerst zijn alle beveiligingsproblemen met het IP protocol onverkort van kracht op VoIP toepassingen inclusief spoofing, sniffing, replay attacks en message integrity attacks. Daarnaast wordt er bij Voice over IP gebruik gemaakt van ondersteunende internet applicaties zoals DNS, SNMP en TFTP die elk hun inherente zwakheden bevatten. Verder kan worden gesteld dat VoIP netwerken, vanuit hun aard, zeer vatbaar zijn voor denial of service (DOS) aanvallen [NIST05]. Virussen en wormen zijn een belangrijke bedreiging voor de beschikbaarheid van de gehele VoIP infrastructuur. Daarbij kan worden aangetekend dat veel VoIP componenten zoals IP-PBXen en gateways zijn uitgevoerd op veelvuldig beproefde besturingselementen als Windows en Linux. Deze systemen worden vaak uitgeleverd met veel onnodige services geactiveerd. Deze extra services kunnen potentiële security risico’s opleveren. VoIP bedreigingen kunnen grofweg worden ingedeeld in 2 categorieën: 1. VoIP dienst verstoringen en 2. Call interceptie en - manipulatie. VoIP systemen moeten voldoen aan hoge eisen ten aanzien van beschikbaarheid. (D)DOS aanvallen kunnen in potentie de gehele telecommunicatie van een organisatie platleggen. De gevolgen van call interceptie en - manipulatie zijn minder voorspelbaar maar kunnen eveneens veel schade toebrengen. Een voorbeeld met betrekking tot pharming laat zien waar een en ander toe kan leiden. Pharming maakt gebruik van zwakheden in het DNS systeem. Met behulp van DNS poisoning7 kunnen VoIP gebruikers naar onbedoelde adressen worden geleid. Het is dan niet ondenkbaar dat een rekeninghouder die zijn bank belt (maar ergens anders uitkomt), wordt verleid tot het noemen van vertrouwelijke gegevens. Ook SPIT (Spam over Internet Telephony) wordt algemeen gezien als een reëel gevaar. Een server is in staat om enkele honderden gesprekken gelijktijdig te voeren over een enkele internet verbinding. Het wordt dan mogelijk om volautomatisch een ingesproken boodschap naar honderden telefoonnummers te verzenden, tegen zeer beperkte kosten. Hierna volgt een niet uitputtende opsomming van enkele specifieke bedreigingen ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van Voice over IP. User agents

IP phones waaronder PDA’s / handheld phones en eerste


generatie VoIP IP phones met bijvoorbeeld WinCE - of PalmOS besturingssystemen zijn kwetsbaar omdat ze geen antivirus bescherming bieden en een minder robuust besturingssysteem hebben. Daarnaast worden veel VoIP apparaten afgeleverd met een overdaad aan services en zijn via de open poorten vatbaar voor denial of service aanvallen, buffer overflows of authenticatie bypasses. Voor het ophalen van configuratie gegevens wordt door VoIP apparaten nog al eens het onveilige TFTP protocol gebruikt. TFTP biedt geen mogelijkheden voor authenticatie en encryptie en is dus niet geschikt voor het ophalen van vertrouwelijke gegevens. Iedereen die zich toegang verschaft tot TFTP sessies is in staat om credentials te achterhalen. Een generiek probleem met softphones is dat deze programma’s worden geïnstalleerd op computers waarop ook andere applicaties actief zijn. Kwetsbaarheden in deze applicaties vormen dan een beveiligingsrisico voor VoIP toepassingen (overigens is het omgekeerde ook waar). Indien PC’s zijn beveiligd met een firewall, moet voor de softphones een aantal hoge UDP poorten worden opengezet. Deze ruimte in de firewall ruleset is dan automatisch van negatieve invloed op alle overige applicaties die op de desktop zijn geïnstalleerd. Andere problemen met softphones zijn vaak product specifiek. Zo worden in sommige softphones de credentials van de gebruiker onversleuteld opgeslagen in de Windows registry. Netwerk

Voice verkeer op een pakket geschakeld datanetwerk is kwetsbaar voor afluisteren op basis van dezelfde technieken die worden gebruikt om ander verkeer te sniffen op een LAN of WAN. Eén van die technieken is ARP spoofing. ARP, het Address Resolution Protocol zorgt ervoor dat op basis van IP-adressen, de bijbehorende fysieke Ethernetadressen gevonden kunnen worden. Manipulatie van ARP pakketten is een beproefde aanvalsmethode die zeker ook werkt op VoIP netwerken. ARP heeft enkele inherente zwakheden. Om te beginnen is het protocol niet in staat om ARP verzoeken en antwoorden te authenticeren. Verder, omdat ARP een stateless protocol is, zal een besturingsysteem zijn cache bijwerken bij ontvangst van een ARP reply ongeacht of er een verzoek is uitgestuurd. Dit laatste kan worden gebruikt voor ARP spoofing. Een andere techniek is ARP redirecting waarbij een Man in the Middle aanval wordt opgezet. Hierbij wordt alle IP verkeer inclusief spraak, email, passwords en PIN codes langs de aanvaller geleid die zonder moeite met behulp van vrij verkrijgbare tools dit verkeer kan afluisteren. Een SIP specifieke bedreiging is Registration Hijacking. Bij Registration Hijacking doet een aanvaller zich voor als een geldige user agent, meldt zich bij een Registrar en vervangt de registratie met zijn eigen adres. Vervolgens komen alle inkomende gesprekken uit bij de aanvaller.

Denial of service aanvallen in een VoIP netwerk hebben mogelijk uitval of degradatie van de service tot gevolg. Enkele voorbeelden zijn: - Quality of Service Modification; - VoIP Protocol Implementation. Bij Quality of Service Modification worden QoS gerelateerde velden in VoIP pakketten aangepast. Door bijvoorbeeld het aanpassen van de Type of Service bits in het IP pakket kan de prioriteit voor voice verkeer worden verlaagd naar die voor data verkeer waarmee de Quality of Service van een VoIP netwerk sterk negatief wordt beïnvloed. VoIP Protocol Implementation is een denial of service aanval waarbij grote aantallen QoS gerelateerde pakketten worden verstuurd naar VoIP servers of eindstations. Beveiliging van Voice over IP

Belangrijke preventieve maatregelen voor het beveiligen van VoIP netwerken zijn: - het ‘hardenen’ van alle componenten in de VoIP infrastructuur; - toepassen van encryptie; - maatregelen voor het identificeren en authenticeren van gebruikers en apparaten; - toepassen van perimeter security; - het waarborgen van de Quality of Service en - het logisch scheiden van spraak en data verkeer. Hieronder wordt kort stil gestaan bij elk van deze maatregelen. Het actief monitoren van VoIP netwerken is een voorbeeld van een detectieve maatregel. Daarnaast kan met behulp van penetratietesten en vulnerability scans de sterkte van de bestaande security controls worden beoordeeld. Naast de bovengenoemde generieke maatregelen zijn er natuurlijk ook tal van specifieke oplossingen die in dit artikel verder buiten beschouwing zullen blijven, vanwege de grote diversiteit daarvan. Hardening

VoIP apparaten worden vaak uitgeleverd met een overdaad aan opties. Het toepassen van hardening en andere door leveranciers meegeleverde security instructies zijn belangrijke stappen voor de beveiliging van het VoIP netwerk. Encryptie

Risico’s met betrekking tot het onderscheppen van VoIP verkeer en inbreuken op de integriteit van dit verkeer kunnen worden voorkomen door het toepassen van encryptie. Interceptie is dan nog wel mogelijk maar is van geen waarde voor de aanvaller. Vertrouwelijkheid en integriteit kunnen op verschillende manieren worden geregeld. VoIP verkeer kan versleuteld worden verzonden tussen eindstations of worden getunneld over een Virtual Private Network (VPN) en met behulp van hashing kan de integriteit worden gewaarborgd. Meer concreet gelden TLS en S/MIME8 als standaard oplossingen voor de beveiliging van het signaleringsverkeer.


Identificatie en authenticatie

Logische scheiding in netwerken

Voor het beveiligen van VoIP netwerken dienen de identiteiten te worden geverifieerd van zowel gebruikers als de apparaten die deel uitmaken van het netwerk. Dit kan op een aantal manieren worden gerealiseerd, op laag 2 van het OSI model onder andere met 802.1x/EAP of een PKI infrastructuur. Het 802.1x protocol dwingt af dat clients zich eerst authenticeren, meestal bij een RADIUS server, alvorens zij toegang krijgen tot een LAN. EAP (Extensible Authentication Protocol) is een algemeen protocol dat voorziet in meerdere authenticatie methodes, inclusief traditionele passwords, token cards, Kerberos, digitale certificaten, en public-key authentication. Op laag 2 kan ook worden gedacht aan port security waarmee het gebruik van een switch port kan worden gekoppeld aan een specifiek MAC adres of aan een bepaalde range van MAC adressen. In een SIP architectuur kan op de hogere lagen van het OSI model gebruik worden gemaakt van HTTP Digest Authentication om eindstations te authenticeren.

De beschikbaarheid van VoIP kan worden verhoogd door een logische compartimentering van het netwerk en het logisch scheiden van VoIP - en data verkeer. Het logisch scheiden van spraak en data verkeer via VLANs is gewenst ter bescherming van VoIP verkeer tegen broadcast collisions en tegen problemen die zijn oorsprong vinden in het data netwerk. Softphones kunnen het principe van het logisch scheiden van spraak en data netwerken doorbreken omdat een op een PC geïnstalleerde softphone meestal in beide domeinen voorkomt.

Perimeter beveiliging

Firewalls kunnen moeilijk omgaan met VoIP onder andere omdat voice conversaties kunnen worden geïnitieerd van buiten de firewall waarbij er ook nog eens sprake is van een dynamische poorttoewijzing vanuit het signaleringsproces. Dit geeft problemen bij firewalls met stateful inspection en Application Layer Gateways omdat zij sessies die worden geïnitieerd van buiten uit, niet toestaan. ‘VoIP-aware’ firewalls met opties voor een real-time monitoring van gesprekken, kunnen hier mogelijk een oplossing bieden. Naast firewall beveiliging speelt ook Network Address Translation (NAT) een belangrijke rol bij perimeter beveiliging. Echter, bij toepassing van encryptie, heeft NAT problemen met het herberekenen van checksums omdat de signaleringsinformatie die wordt opgenomen in de payload van het IP datagram dan niet meer beschikbaar is.

Tot slot

Organisaties verschuiven in toenemende mate hun applicaties (en daarmee de beveiliging) naar de rand van hun netwerk waar zij kunnen communiceren met klanten en business partners in een dynamische internet omgeving (overigens zorgen intranets, extranets, VPN’s en andere Remote Access Services ervoor dat de rand van het netwerk steeds moeilijker te definiëren is). Voice over IP versterkt deze ontwikkelingen alleen maar en omdat met de diversiteit van VoIP toepassingen er ook steeds meer network access points bij komen waardoor de netwerkcomplexiteit toeneemt, kan met recht worden gezegd dat Voice over IP een extra dimensie toevoegt aan het beveiligen van netwerken. ■ Literatuur [NIST05]

Special Publication 800-58 Security Considerations for Voice

[PORT06]

Practical VoIP Security

[IETF02]

RFC 3261 – SIP: Session Initiation Protocol

Over IP Systems

www.voipsa.com www.voipsa.org/Activities/VOIPSA_Threat_Taxonomy (actueel overzicht van bedreigingen) www.cve.mitre.org (Common Vulnerabilities and Exposures overzicht)

Quality of Service

Zonder extra maatregelen werken data netwerken op een best-effort basis voor het prompt afleveren van verkeer. Echter, als alle verkeersoorten gelijke prioriteiten hebben, zijn in geval van netwerk congestie ook de kansen op vertragingen gelijk. Voor Voice over IP is dit niet acceptabel en daarom wordt voor het garanderen van de kwaliteit een aantal technieken ingezet. Met behulp van Quality of Service (QoS) en traffic shaping wordt getracht kwaliteitsverlies als gevolg van latency9, jitter10 en pakket verlies zoveel mogelijk op te vangen. QoS kan bescherming bieden bij een denial of service aanval door voice verkeer een veel hogere prioriteit te geven ten opzichte van het overige verkeer. Traffic shaping kan dit doen door middel van het optimaliseren van performance en bandbreedte. Daar staat tegenover dat bepaalde beveiligingsmaatregelen zoals firewalls, NAT, Access Control Lists (ACL) en encryptie/decryptie juist weer latency in de hand werken. 30 | de EDP-Auditor nummer 2 | 2008

Noten 1 Traffic shaping is een mechanisme voor het beheren van netwerkverkeer met als doel performance optimalisatie en garanderen van bandbreedte.

gebaseerd encryptieprotocol dat zorgt voor een veilige verbinding tussen 2 computers. 7 DNS poisoning is een techniek waarbij een DNS server wordt voorzien

2 DiffServ gebruikt het IP Type Of Service veld voor Quality of Service requirements.

van foutieve informatie voor de vertaling van domeinnamen naar IP adressen. Het effect is dat gebruikers naar een onbedoeld IP adres

3 RSVP is het Resource Reservation Protocol waarmee clients op een netwerk kunnen onderhandelen over bandbreedte.

wordt geleid. 8 S/MIME (Secure/Multipurpose Internet Mail Extensions) is een protocol

4 Converged network: netwerk technologiën die in toenemende mate naar elkaar toegroeien.

dat een aantal cryptografische security functies biedt ten behoeve van het electronisch berichtenverkeer zoals authenticatie, integriteit,

5 OCS 2007 verbindt telefonie, email, video-conferencing en instant messaging met elkaar. De gebruiker krijgt toegang tot deze functionaliteit met communicator software die ook op mobile devices kan worden gebruikt.

non-repudiation en vertrouwelijkheid. 9 Latency is de hoeveel tijd die nodig is om pakketten van bron naar bestemming te brengen. 10 Jitter is een ongewenste variatie van één of meer telecommunicatie

6 TLS (Transport Layer Security) is een op SSL (Secure Socket Layer)

karakteristieken zoals amplitude of frequentie.

ADVERTENTI E

Vooruit denken Strategie voor uw eigen toekomst

Erasmus Universiteit Rotterdam. Vooruit denken.

Opleiding Executive Master IT-Auditing (EMITA) (RE) IT-Auditing richt zich op het beoordelen van en adviseren over de kwaliteit van de geautomatiseerde informatievoorziening. Onze opleiding IT-Auditing kenmerkt zich door aandacht voor de strategische inzet van IT en de rol van IT-auditors als ondersteuning van het topmanagement. Kernvakken zijn onder meer risk management en audittheorie. De opleiding duurt 2 jaar, maar accountants (RA) en Internal / Operational Auditors (RO) kunnen de opleiding in één jaar voltooien.

Opleiding Executive Master Internal / Operational Auditing (EMIA) (RO) Internal / Operational Auditing richt zich op meer dan beheersing alleen. De opleiding richt zich op het functioneren van de gehele management control cyclus. Vanuit de risico’s die het behalen van de organisatiedoelstellingen in de weg kunnen staan, onderzoekt de auditor de inrichting van de interne organisatie, inclusief de ‘zachte’ kant van beheersing. Het leervermogen van de organisatie krijgt daarbij ook aandacht. De opleiding duurt 2 jaar, maar voor accountants (RA), IT-auditors (RE) en Controllers (RC) bestaat de mogelijkheid de verkorte opleiding van één jaar te volgen. Erasmus Universiteit Rotterdam biedt u de mogelijkheid om in drie jaar twee postinitiële mastertitels te behalen. Het afronden van één van bovenstaande opleidingen geeft de mogelijkheid tot instroom in het tweede jaar van de andere opleiding, waarbij kan worden volstaan met één gemeenschappelijk slotexamen. Op deze wijze kunt u zich ontwikkelen tot een breed opgeleide management control auditor

Denk vooruit en kijk voor meer informatie op www.esaa.nl


Artikel

Registration, Evaluation and Authorisation of Chemicals (REACH) The effects of new chemicals regulation on information security Tobias Houwert and Willem-Jan van Sluisveld

Since the regulations regarding Registration, Evaluation Are companies which use chemical substances aware of

and Authorisation of Chemicals or REACH were issued

the REACH regulation?

by the European Commission, many organizations that

Do companies know what chemicals they use?

operate on the European market have been struggling

To what extent do these chemicals have an impact on

trying to find an answer to these questions.

people and our environment? Are companies going to meet the deadlines set by

As documentation about the REACH regulations is

the European Commission?

already available from various sources we will focus in

Do companies know what their role is in the supply

this article on the impact the regulation will have on

chain regarding REACH?

the information systems of a wide range of

How can companies effectively and efficiently register chemicals before the deadlines?

organizations.

Who should have access to which information on the tonnages of chemicals registered? Who actually has access to this information and are they allowed to? Are confidentiality and integrity guaranteed when exchanging information with others? Is intellectual property regarding chemicals safeguarded from theft?

I

Drs. W.T (Tobias) Houwert RE

W.M.J (Willem-Jan) van

is a senior manager IT Audit

Sluisveld MSc. is a junior IT

for Ernst & Young EDP Audit,

auditor for Ernst & Young

since 1999

EDP Audit, since 2007

n the daily work of an auditor REACH might be a subject that is discussed with the client or even part of the audit. Therefore we recommend (IT) auditors to read this article. REACH is of interest to (IT) auditors, as companies will have to rely on information technology to support the registration process. (IT) auditors play an important role in highlighting possible risks that might arise when companies implement these regulations. First, we will provide a brief overview of REACH and its impact on the industry for readers who are unfamiliar with the new regulations. Secondly, we will take a closer look at the implications on the IT in use by organizations to which REACH regulations apply. We will conclude this article with an explanation on how (IT) auditors can support these organizations to prepare for compliance and to protect their business from undesired effects. REACH background The REACH regulation is a new European regulatory framework for chemicals. The goal of REACH is to improve the protection of human health and the environment. REACH is based on the idea that industry itself is best placed to ensure that the chemicals it manufactures and puts


Figure 1: Only ¼ of what goes in comes out as goods and services – can Chemistry in Europe do better? (HLG Chemicals Innovation WG presentation 1st October 2007)

on the market in the EU do not adversely affect human health or the environment. It simplifies EU legislations in that 40 rules are replaced and creating a single system for all chemicals. The new regulation should also stimulate industries to make use of less harmful chemicals through innovation. The new regulation requires the industry to provide information on the chemicals used by each company. REACH will require that over a period of eleven years approximately 30.000 chemical substances that are used today are registered. This process allows to fill information gaps on the hazards of substances and to identify appropriate risk management measures to ensure their safe use. The proposal for the introduction of REACH regulations was adopted by the European Commission on October 29th 2003. On June 1st 2007 the REACH regulation came into force and new obligations will gradually be applied within the timeframe of eleven years. All companies operating within the European Union that deal with chemicals, have to comply with the REACH regulations. The day-to-day management of the new requirements will be carried out by the European Chemical Agency (ECHA), which is established in the capital city of Finland: Helsinki. Companies that have to comply with the REACH regulation can be categorized as manufacturers, importers, downstream users, distributors or any combination of these roles. Companies are subject to obligatory responsibilities depending on the relevant role they have in the supply chain. REACH requires companies to register the knowledge and information necessary for effective risk management of almost all chemicals produced, processed or distributed within the European Union. The REACH registration process was designed as a collaborative process. For each pre-registered substance a Substance Information Exchange Forum (SIEF) is formed to facilitate the sharing of information and costs between companies within industries and supply-chains. For registrants of a substance participation in the SIEF is obligatory after preregistration, but they are free to decide how collaboration will be organized. The information provided by the industry allows for evaluation of the possible risks involved with each

chemical substance by the ECHA. For the use of substances regarded to be of high concern an authorization system is in place. The use of these hazardous chemicals is not banned, but for the use or distribution of these substances one has to apply for authorization. If an unacceptable level of risk is identified during evaluation of a substance the use of it will be completely banned. The REACH regulation is expected to generate a flow of information about the risks inherent in the use of substances throughout the entire supply chain. The first phase of REACH is pre-registration, which is required for manufacturers and importers from June 1st to December 1st 2008. Any substance that was not pre-registered by a company within this timeframe requires full registration, which is a much more extensive procedure. For all pre-registered substances the given timeframe for complete registration is extended. The deadline for completion of registration and submission of the required information is dependent on the level of risk involved in a substance and the yearly volume imported or manufactured by a company. A detailed timeline with deadlines for the completion of registrations was published (refer to Figure 3: REACH Registration Deadlines (Source: European Commission [1])). Companies that have not performed the required registration of chemicals will not be allowed to use the particular substances anymore. The risks of getting this wrong are enormous. Unless prepared for the registration requirements a company could find itself out of business. When hearing the word ‘chemicals’ people can easily come to believe that the new regulation will only apply to the chemicals industry. While the chemicals industry is indeed heavily affected by the new highly technical regulation, it has an impact on a wide variety of manufacturing industry sectors. Other industries which are also affected range from mining and the manufacturing of computers, textiles, pharmaceutical products, and indeed to some extent all products which may contain chemicals. Industry response Now that REACH is into force large industrial enterprises, which are all strongly affected by the new regulation, have willingly responded to comply. While a large portion of the economic burden of REACH is to be carried by the large manufacturing and importing companies, they all state (for instance on their website) that they share the goal aimed at by the European commission. Large manufacturers such as Akzo Nobel, DSM, Shell, Dow Chemical and SABIC are preparing for registering the chemicals and the related properties within their organizations. They also actively seek collaboration with their suppliers, customers and even competitors. Controlled collaboration frameworks are being developed to enable formation and participation in consortia for the joint generation of the required information and the sharing of costs. Downstream users, such as the pharmaceutical industry expect to benefit from the REACH regulation. Pharmaceutical companies are actually set to benefit from


Figure 2: REACH Registration Deadlines (Source: European Commission [1])

The economic impact of REACH Before REACH came into force industry councils and governments of different European member states published criticism on the

reduced testing requirements now that the new European chemicals regulation is in place and more information on substances becomes available. However, bulk manufacturers and ingredients suppliers could face increased burdens.

proposed regulation and showed their concern about the possible negative impact on European industries. In a 2002 report [4] by the European Chemical Industry Council (CEFIC), concerns were raised about the effect of REACH on international competitiveness of the European chemical industry [CEFI02]. The main concern was that expectations of high administrative costs would lead chemical production companies to relocate outside of Europe and others to go bankrupt, resulting in massive job loss and shortages of fine and specialty chemicals. In a 2005 study performed for Forfás1 on the impact of the proposed regulation on the Irish industry [FORF05]

Information technology requirements for REACH The collection of chemical data required for the registration has to be performed with care. As companies are required to collaborate within industries or along the supply chain, the use of information technology to support the registration process is unavoidable. To enable a uniform, collaborative and open registration process software is provided at no cost to all stakeholders by the ECHA. The software consists of two main elements, which we will briefly discuss in this section.

it was estimated that the chemical testing and administration costs to the upstream industry in the Irish industry would be over

REACH-IT

€180 million over eleven years. The cost to downstream chemical

The REACH IT system is hosted centrally by the ECHA and is made available online as a service to the various stakeholders. REACH IT consists of three main areas of interest. The first area of interest is the Industry Homepage, which is available to companies required to register chemical substances. It will offer functionality which allows them to enquire on, register and pre-register substances, and also offers private workspaces for online preparation of dossiers. The second area of interest is the Authorities workflow, which supports communication between ECHA and the different

users was estimated to be even higher, at approximately €300 million. In Poland the ministry of economic affairs and labour made an impact assessment of economical impact of REACH on the Polish industry in 2004 [MINI04]. The cost of REACH was estimated to be much higher in Poland due to the nature of the industry, which is small in scale and very diverse. 1 Forfás is Ireland’s Policy and Advisory board for Enterprise, Trade, Science, Technology and Innovation.


European member states regarding the evaluation, classification and authorization of substances. Finally REACH IT contains the dissemination website, which is targeted at providing known non-confidential information of substances to the general public.

Figure 3: IUCLID 5 main menu (source: European Commission)

IUCLID 5

The International Uniform ChemicaL Information Database (IUCLID) is a software application which can support companies with the management of chemical data. The first version of IUCLID was released in 1993 and has been modified throughout the years to meet the changing requirements. The latest version, IUCLID 5 released in 2007, is completely renewed to enable REACH-conforming registration of chemicals. IUCLID 5 was developed to be used on-site by companies to which REACH applies. The software comes in two versions: a two-tier version for use on stand-alone computers and a three-tier version for use in a network environment with multiple users. IUCLID 5 uses XML technology to facilitate easy exchange of data and dossiers. IUCLID 5 enables companies to easily exchange company information and chemical data with regulatory authorities, third-party applications and other installations of IUCLID 5 in use by customers, suppliers and competitors. IUCLID 5 was designed with collaboration in mind, which is why data exchange is expected to occur very often.

Figure 4: Failed user authentication in IUCLID 5 (source: IUCLID 5 design model v.2.3)

The impact of REACH on information security

The availability of software tools that enable companies to manage their chemical data, share information with other parties involved and build dossiers online is very convenient and should reduce the effort required for the registration process. It also sets a standard for registration of properties for any chemical substance that is used. On the other hand, the use of this software introduces new risks which, when not properly managed, can result in significant damage to a company’s assets, market position and reputation. Only information intended to be shared should be made available to other parties, while confidential company information and classified chemical data should remain hidden from competitors and the general public. The information generated by an organization or obtained from suppliers, which is used within the organization’s own processes or is distributed to customers, should be complete and reliable. IUCLID 5 contains mechanisms designed to ensure data integrity and has built-in functionality which allows organizations to manage and restrict user access. It is important to emphasize that while these features enable mitigating the risks, they do not make the system perfectly water proof and will not guarantee data integrity and information security. Therefore it is important for organizations to have controls in place, which effectively allows them to determine who is able to access, enter, modify or submit data, both internally and externally. It is also important to have proper documentation on the control environment, which enables them to

be trusted by their customers and suppliers. A properly documented control environment can be utilized by companies to communicate that any information provided by their organizations is reliable and that any information supplied to their organizations is secure. How (IT) auditors can help organizations to efficiently comply with REACH In this paragraph we will highlight how the expertise of (IT) auditors can help companies to effectively achieve compliance with the REACH regulation. We will look into reliability of building, using and maintaining the IT systems used by companies to which the REACH regulation applies. Among other things (IT) auditors can: • check compliance with the registration requirements; • audit the security of the registered data on chemicals; • help implement the new regulations in organizations affected by REACH; • perform an audit of the organization which transformed its IT-systems; • perform a software selection program and develop criteria which meet the new regulations; • audit the classification and labelling of inventory of dangerous substances; • perform an audit on the security of the IT infrastructure at the ECHA and Member State Competent Authorities.


Besides the above mentioned roles for (IT) auditors they can support companies to audit the so-called ‘interim strategy’, which covers all the practical activities to prepare the implementation of REACH. There are a number of elements to the interim strategy, the main ones being: • An audit of the preparation efforts regarding the new IT formats and software to enable technical dossier development by industry and Member States and the submission of these dossiers to the Agency under REACH. • An audit of the development of a work flow IT system for dossier handling by the Agency and the Member States Competent Authorities. • The evaluation of prepared technical guidance which provide advice to industry, Member States and the Agency on the detailed requirements of the new system. Experts from Member States, industry and NGOs (non-governmental organizations) work closely together with Commission staff to manage the detailed technical work. • Reviewing test results of elements of the REACH system in strategic partnerships. • (IT) auditors can perform an assessment and certify the control framework that should ensure the confidentiality and integrity of company information processing. Certified organisations can use a certificate granted by an independent auditor as proof to customers and suppliers that a control framework is in place and working effectively. • The software supplied by the ECHA to the industries for installation (IUCLID 5) or as a service (REACH IT) is designed to facilitate collaboration and frequent data exchange with a variety of different stakeholders and applications. (IT) auditors can be consulted for the development of an effective control framework to mitigate the risks through the use of these applications within an organization’s IT environment. • (IT) auditors can perform system audits on a company’s installation of IUCLID 5 and the interfaces to the other applications to provide assurance about the reliability of these interfaces and provide companies with advice on possible opportunities to improve the use of the information systems to support the registration process.

processes of registration, evaluation and authorization of chemicals. We also hope that you have become aware of the information security risks introduced by the new regulations and the need for organizations to manage these risks with proper care. We encourage the reader to stay informed about new developments on this subject and carry out further research on how knowledge of REACH is relevant within their own profession. ■ Sources [AKZO07]

Akzo Nobel, REACH: Een introductie in de nieuwe EU-wetgeving voor chemische stoffen voor leveranciers van Akzo Nobel, May 2007.

[CEFI02]

CEFIC, Barometer of competitiveness 2002: Business impact of New Chemicals Policy, 2002

[FORF05]

Forfás, An Impact Assessment of the Proposed EU Chemical Policy (REACH) on Irish Industry, April 2005.

[ECHA07-1] ECHA, IUCLID 5 Guidance and support, End User manual Volume 1, June 2007. [ECHA07-2] ECHA, Guidance on pre-registration and data sharing, September 2007. [ECHA08]

ECHA, Frequently Asked Questions on REACH by Industry,

[EURO07]

European Commission Environment Directorate General,

April 9th 2008. REACH in brief, October 2007. [MINI04]

Ministry of Economic Affairs and Labour (Poland), Results of the Polish impact assessment of implementation of the REACH system (Registration, Evaluation and Authorisation of Chemicals) on the Polish chemical industry and downstream users, December 2004.

Concluding remarks As new requirements related to the REACH regulations will be imposed on industries, companies will have to stay involved with the developments. To protect the people and our environment all companies performing activities with chemicals in the supply chain have to take their responsibilities. In this article we briefly discussed the development of the new regulations and how it affects companies. We have seen that large enterprises active on the European chemicals market are aware of their responsibilities, but it might be that not all companies in the supply chain are aware of the effects the new regulations will have on their business and which actions are necessary. We hope that we have provided you with insight in the implications of the new regulation for the different stakeholders and the role of IT within the 36 | de EDP-Auditor nummer 2 | 2008

Internet Sociale netwerken

Sociaal leven op internet Xander Bordeaux

E

nkele jaren geleden gebruikten individuen het internet nog voornamelijk om te zoeken naar informatie op bedrijfswebsites. Al snel kwamen er voor individuele personen mogelijkheden om zelf informatie op internet te zetten en om zelf websites te maken. Door het eenvoudiger gebruik, de verschillende toepassingen, de toegenomen snelheid en de bereikbaarheid van internet, werden steeds meer mensen actief op internet. Tegenwoordig is het niet meer weg te denken uit de samenleving. Internetters zijn steeds vaker en steeds langer online te vinden waardoor bij de vrijetijdsbesteding een verschuiving heeft plaatsgevonden van ‘IRL’1 naar ‘URL’2. Door de toenemende vrijetijdsbesteding op internet kwamen steeds meer webtoepassingen beschikbaar die een hulpmiddel waren om het sociale leven op internet (verder) te ontwikkelen. Eén van de eerste toepassingen op sociaal gebied is het chatten op internet. Communiceren met bestaande en met nieuw opgedane vrienden op internet gebeurde op IRC3-kanalen en via korte berichten op (gespecialiseerde) nieuwsgroepen. Toen de grafische mogelijkheden op het internet groter werden, kwam ICQ4 op en werden de mogelijkheden van communiceren via ‘instant

drs. R.X.(Xander) Bordeaux is als IT-auditor werkzaam bij EDP Audit Pool (EAP). EAP is een interdepartementaal samenwerkingsverband van auditdiensten binnen de rijksoverheid, ressorterend onder het ministerie van Financiën.

messaging’ uitgebreid. Tegenwoordig kent bijna iedereen MSN5, zijn veel internetters een regelmatige bezoeker van diverse discussiefora op internet en zijn er ook vele weblogs ontstaan waar internetters hun eigen dagboek eenvoudig kunnen bijhouden en reacties daarop kunnen ontvangen. Op internet zijn netwerksites ontstaan die verschillende communicatiemogelijkheden hebben gecombineerd (mashup) en ook voor verschillende doelgroepen geschikt zijn gemaakt. Toepassingen als YouTube en Google Maps zijn veel voorkomende onderdelen van mashups. In de volgende alinea’s zal ik ingaan op twee populaire netwerksites, Hyves.nl en LinkedIn.com. Vriendenboekjes Op de lagere school had je van die boekjes die je aan je vrienden gaf om daar een leuk stukje tekst in te zetten. Een foto mocht ook niet ontbreken. Zo kreeg ik van vrienden te horen wat hun favoriete muziek was, hun favoriete eten, hun favoriete kleur en ga zo maar door. Op de middelbare school was het toch minder hip om nog met zo’n boekje aan te komen en verdween deze vorm van ‘vrienden verzamelen in een boekje’. Tegenwoordig verzamelen we weer vrienden, niet in een ouderwets papierenboekje maar op de Hyvespagina’s van internet. In september 2004 is het succesvolle Nederlandse alternatief voor de vriendenboekjes gelanceerd. De sociale netwerksite waar iedereen gratis lid van kan worden heeft ondertussen meer dan 5 miljoen leden en is de meest 37 | de EDP-Auditor nummer 2 | 2008

bekende sociale netwerksite in Nederland6. Het is een sociaal netwerk waar je contacten kunt bijhouden via je eigen profiel met verschillende functionaliteiten. De mogelijkheden van internet worden goed benut bij dit elektronische vriendenboekje. Zo kun je er allerlei informatie kwijt, chatten met vrienden, berichtjes achterlaten en foto’s en filmpjes bekijken. Een gebruikersprofiel kan dan ook veel informatie prijsgeven (al dan niet betrouwbaar) over iemands leven. Volgens de mediabarometer van Ernst & Young is een lidmaatschap van een sociaal netwerk in Nederland ook enorm populair waarbij ‘maar liefst 74 procent van de internetters minimaal op één netwerksite een profiel heeft aangemaakt’. Vriendenboekjes voor je carrière De webtoepassingen die ik hierboven heb genoemd zijn voornamelijk bedoeld voor de ‘vrijetijdsbesteding’7. Websites om te kunnen netwerken (volgens Van Dale is daarvan de definitie ‘mensen benaderen die nuttig kunnen zijn voor de eigen carrière’) zijn de laatste jaren ook sterk in ontwikkeling. Eén van de meest succesvolle initiatieven is die van LinkedIn. LinkedIn is een online netwerk waarbij meer dan twintig miljoen leden wereldwijd zijn aangesloten. Een profiel maken op LinkedIn is eenvoudig en net als bij Hyves gratis. Extra functionaliteiten zoals betere zoekfuncties, statistieken en meer contactmogelijkheden kunnen tegen geringe betaling worden afgenomen. Anders dan Hyves, is LinkedIn meer bedoeld om professionals te linken ‘die nuttig kunnen zijn voor de eigen carrière’.

De netwerkmogelijkheden bij LinkedIn zijn talrijk. Net als bij andere sociale netwerksites kun je zelf bepalen hoeveel informatie je wilt prijsgeven. Je kunt informatie geven over je huidige functie en werkgever, kennis en ervaring, over je verleden, welke werkgevers je hebt gehad, welke opleidingen je hebt genoten en verdere informatie als lidmaatschappen bij relevante organisaties en het vakgebied waarin je werkt. Als lid van een netwerksite zul je jezelf moeten afvragen wat je grens is van informatieverschaffing. Hoe meer informatie je prijsgeeft, hoe beter de aangeboden informatie op je is afgestemd en hoe beter je gebruik kunt maken van de mogelijkheden. Daarentegen zou je wel meer je privacy kunnen aantasten. Naast kiezen welke informatie je wilt delen, kun je ook aangeven met wie je die wilt delen. Je kunt je profiel bijvoorbeeld nietopenbaar maken zodat alleen geregistreerde LinkedIn-leden het profiel kunnen bekijken of je kunt ervoor kiezen om enkel jouw vrienden je gedetailleerde gegevens te laten bekijken. Voordelen Het netwerkeffect is bij netwerksites natuurlijk van toepassing. Hoe meer leden een netwerk heeft, des te waardevoller het netwerk wordt. Hoe meer vrienden je hebt ‘gelinked’ aan je profiel, des te waardevoller je profiel wordt voor jou en je vrienden. Zeker als je bij LinkedIn ook nog aanbevelingen en referenties krijgt, groeit de waarde van je netwerkprofiel. Er zijn meerdere mogelijkheden om vrienden toe te voegen. Je kunt bijvoorbeeld zoeken op naam en op werkgever. Via het vriendenlijstje van je eigen vrienden kom je ook vaak weer in contact met andere bekenden die nog niet op jouw vriendenlijstje staan. Groot verschil tussen het oude, papieren en het nieuwe, online vriendenboekje is dat het laatste dynamisch is. Als een vriend (m/v) een andere favoriete muziekvoorkeur krijgt, dan kan hij dit updaten zodat het bij alle

aangesloten vrienden ook bekend wordt. Bij het carrièrevriendenboekje is snel duidelijk als een vriend een nieuwe baan heeft (en het profiel vervolgens actualiseert). Je kunt er zelfs voor kiezen dat al je vrienden worden geïnformeerd als je een nieuwe functie of werkgever krijgt. Zo krijg ik regelmatig meldingen binnen van vrienden die een nieuwe baan hebben, of die aan een nieuwe vriend gelinked zijn. De inhoud van die LinkedIn-meldingen kunnen dan aanleiding zijn om de vriend te feliciteren en/of het contact weer even aan te halen. De zoekmogelijkheden, zoals al eerder beschreven, zijn ook handig. Wil je contact leggen met een organisatie die nog onbekend is voor je? Wellicht zit er iemand in je sociale netwerk die daar contacten heeft. Heb je een vaktechnische vraag? Stel die op LinkedIn en je netwerk en het netwerk van je vrienden kunnen erop reageren. Heeft jouw organisatie een vacature of zoek je zelf iets anders? Plaats het op LinkedIn en breng het onder de aandacht.

Conclusie Voor mij zijn de voordelen die sociale netwerksites bieden voldoende geweest om een eigen profiel aan te maken. Ik kan eenvoudig contacten onderhouden en op de hoogte blijven van de carrières van oude studiemaatjes, collegae of zakenpartners. Wellicht enkel uit nieuwsgierigheid maar de contacten kunnen ook tot informatie leiden die voor mijn carrière waardevol zijn. Als IT-auditor kan ik via LinkedIn bovendien wereldwijde vakdiscussies initiëren, aan discussies deelnemen of wellicht nog gewezen worden op een interessante vacature die ik ook aan mijn netwerk bekend kan maken. Zelf heb ik regelmatig interessante vragen en antwoorden voorbij zien komen. Ook ben ik meerdere malen benaderd met een relevante vacature of de vraag om een vacature door te sturen naar een vriend in mijn netwerk. Ik zou zeggen, neem zelf eens een kijkje en wees verrast om te zien hoeveel bekenden je al voor waren! ■ Noten 1 In Real Life, het ‘echte’ leven

Nadelen Waar eerder ook al op is gewezen: wees je ervan bewust dat alle informatie die je op internet zet door iedereen gelezen zou kunnen worden. Het is eenvoudiger om informatie op internet te zetten dan het eraf te halen. Met beveiligingsinstellingen die de diverse netwerksites aanbieden is tegenwoordig wel veel meer af te schermen dan vroeger, maar het blijft een openbaar netwerk. Naast de privacyissue moet je ook eens denken aan de betrouwbaarheid van de informatie. Recruiters gebruiken netwerksites tegenwoordig om werknemers te werven8, maar wees er wel van bewust dat een gebruiker zich als heel iemand anders kan voordoen. Heb je weinig vertrouwen in het behoud van je privacy of wil je niet gebruikmaken van de extra mogelijkheden van een netwerksite? De beste tip is dan om helemaal geen onlineprofiel aan te maken natuurlijk. 38 | de EDP-Auditor nummer 2 | 2008

2 Uniform Resource Locator; hierbij wordt internet bedoeld, het virtuele leven 3 Internet Relay Chat 4 “I seek you”, eind jaren ‘90 erg populaire instant messaging toepassing 5 Sinds versie 8 heet de MSN Messenger officieel Windows Live Messenger 6 Ernst & Young Mediabarometer 14 november 2007 7 Instant messaging is overigens ook in zakelijk gebruik al lange tijd populair (bijv. IBM Lotus Sametime) 8 http://arbeidsmarkt.blogo. nl/?comments/2008121-recruitment-via-linkedin-een.html

Artikel

Coaching ook voor IT-auditors

Kees van der Maarel en Loubna Zarrou

De afgelopen drie jaar is binnen EDP Audit Pool (EAP) gewerkt aan het vormgeven van coaching met als doelstelling de ontwikkeling van medewerkers te stimuleren en faciliteren. Coaching zijn wij, de auteurs,

EDP Audit Pool is het interdepartementale samenwerkingsverband van alle auditdiensten binnen de rijksoverheid op het gebied van controle en automatisering (IT-auditing). EAP bestaat uit een groep van ongeveer veertig professionals die op projectbasis binnen de

de afgelopen drie jaar als onderdeel gaan zien van het

hele overheid ingezet worden op audits op alle voorkomende plat-

concept lerende organisatie. In deze periode zijn wij

formen en omgevingen. De grote verscheidenheid aan opdrachten

overtuigd geraakt van het belang van het vergroten van het lerend vermogen van IT-auditors en daarmee van

in steeds wisselende technische omgevingen en organisaties vragen veel van de auditors. Doel is een lerende organisatie te creëren waarin de medewerkers zich kunnen blijven ontwikkelen

organisaties. Daarom willen wij in dit artikel graag

en mede daardoor steeds gereed zijn voor het uitvoeren van de

ingaan op onze ervaringen die wij afgelopen jaren op

meest uiteenlopende opdrachten of daarbij optimaal begeleid worden. Om de medewerkers hierbij te helpen heeft EAP onder

dit gebied hebben opgedaan.

andere een coachingprogramma opgezet.

I

K. (Kees) van der Maarel RE werkt

drs. L. (Loubna) Zarrou werkt

sinds 2001 bij EDP Audit Pool, een

sinds 2005 bij EDP Audit Pool

onderdeel van het ministerie van

as IT-auditor. Loubna richt zich

Financiën. Hij is senior IT-auditor

bij haar werkzaamheden vooral

en leider van het kenniscluster

op projectaudits, Europese

informatiebeveiliging. Kees richt

Aanbestedingen en IT-gover-

zich bij zijn werkzaamheden met

nance. Zij is bezig met het

name op de organisatorische kant

afronden van de postdoctorale

van de informatiebeveiliging.

opleiding IT-auditing aan de

Naast audits voert hij ook bewust-

Erasmus Universiteit Rotterdam.

wordingssessies en risicoanalyses

Zij studeert af op het onder-

uit en geeft hij regelmatig cursus-

werp lerende organisaties.

sen o.a. over informatiebeveiliging en communicatie. Zijn drive is het in beweging krijgen van mensen. Reden voor hem om samen met collega Loubna Zarrou het interne project coaching op te pakken.

n dit artikel geven wij een beschrijving van het project coaching bij EAP en de ervaringen die tijdens het project zijn opgedaan. We starten met de plaats van coaching in het HRM beleid van EAP. Vervolgens gaan wij in op het project zelf en de ontwikkelde producten. Dit doen we aan de hand van een drietal fasen: de verkenning, de uitwerking en de implementatie. Hierna gaan wij in op de resultaten van een tussentijdse evaluatie onder de medewerkers naar de beleving van coaching en komen de business case en de lessons learned aan de orde. In het kader van ‘de lerende organisatie’ gaan wij in op de (theoretische) relatie die bestaat tussen coaching en de lerende organisatie en wordt vanuit verschillende perspectieven uitgelegd waarom coaching en de lerende organisatie van belang zijn, ook voor de IT-auditor. Het artikel eindigt met een afsluitend woord van de schrijvers. Coaching binnen EAP In een professionele organisatie als EAP is het inzetten en de verdere ontwikkeling van de juiste mensen van essentieel belang. Een belangrijke pijler binnen EAP (zie kader) is daarom Human Resource Management (HRM). In 2003 heeft EAP haar HRM beleid verder ontwikkeld en beschreven. Het HRM proces (zie figuur 1) binnen EAP bestaat uit een viertal subprocessen: - HRM-planning; - werving en selectie; - ontwikkeling en coaching; - beoordeling en beloning.


Figuur 1: HRM proces bij EAP Organisatie -doelstellingen

Bezettingsoverzicht

Formatieplanning Verschillenanalyse

Werven

Prestaties -competenties -kennis -attitude -specifieke resultaten

Beoordelen

FIF’s/formatie

Individu

voor het eerst kennis met (het project) coaching. Tijdens de bovengenoemde bijeenkomst hebben de medewerkers van EAP gezamenlijk voorwaarden aangegeven waaronder coaching een succes zou kunnen worden. Wij hebben ze de kernwaarden genoemd (zie kader).

Belonen

Ontwikkeling & coaching

10 kernwaarden

Competentie Kennis

1. Coachen is een recht en een plicht.

Normen/waarden

2. Veilige omgeving voor en door iedereen. 3. Eerlijk en oprecht zijn.

Wervingsplan

4. Vertrouwen in elkaar en respect voor elkaar.

Doorstroomplan Doorstroomplan

Persoonlijk Ontwikkel- en Jaarplan

5. Wederzijdse betrokkenheid. 6. Kwetsbaar opstellen is een kracht.

Het subproces ‘ontwikkeling en coaching’ vormt het onderwerp van dit artikel. Het doel van dit proces is het bieden van ontplooiingsmogelijkheden en begeleiding aan de medewerkers van EAP op zodanige wijze dat toegevoegde waarde ontstaat voor zowel het individu als de organisatie. Onderdelen van dit proces zijn het hebben/voeren van functionerings-, beoordelings- en POJP1-gesprekken. Bij deze gesprekken treedt de auditmanager op als coach bij het realiseren van de doelstellingen uit het POJP. Naast de auditmanager kan ook een collega als coach fungeren, waarbij het ontwikkelingstraject de vorm heeft van training on the job. Dit houdt in dat iedere medewerker bij elk project een (meer inhoudelijke) coach heeft voor begeleiding, stellen van vragen, feedback en dergelijke. Meestal vervult de projectleider en/of de auditmanager de coachrol, maar dit kan ook ingevuld worden door een andere collega in het project. Voorafgaand aan elk project worden de (leer)doelstellingen doorgenomen met de coach, verwachtingen over en weer uitgesproken en na elk project volgt een evaluatie. Deze training on the job gebeurde veelal impliciet en kende nog geen concrete uitwerking binnen EAP. Voor de verdere uitwerking is in 2005 een project opgestart binnen EAP. Het project In projectvorm zijn enkele IT-auditors van EAP in 2005 gestart met de opdracht ‘uitwerken van coaching binnen de organisatie’. De projectgroep is ondersteund door een externe coach. Het project kent een drietal fasen: - fase 1: Verkenning en introductie; - fase 2: Uitwerking; - fase 3: Implementatie. Hieronder worden per fase de activiteiten en eindresultaten beschreven. Fase 1: Verkenning en introductie

Aangezien de betrokken IT-auditors weinig kennis van coaching hadden, is gestart met een korte literatuurstudie. Het resultaat van de literatuurstudie is gebruikt als input voor een interactief programma voor de pooldagen2 in 2005. Tijdens deze pooldagen maakten de medewerkers van EAP

7. Sturen op groei. 8. Open communiceren. 9. Feedback geven en ontvangen zijn competenties. 10. Coachen vraagt tijd.

Na de vaststelling van de kernwaarden is in overleg met het management een keuze gemaakt welke vormen van coaching onderkend worden binnen EAP en welke met betrekkelijk weinig inzet ontwikkeld en uitgedragen konden worden (quick wins). Dit heeft geleid tot de keuze van de vier volgende vormen van coaching: gids, jaarclub, expertcoaching en intervisie. Voor de uitwerking van deze vier vormen van coaching is een plan opgesteld. Hieronder wordt elke vorm kort beschreven. Gids

De gids is een medewerker van een organisatie die een nieuwe medewerker op de eerste werkdagen opvangt. De gids maakt de nieuwe medewerker wegwijs in de organisatie en legt contacten met de personen die voor de nieuwe medewerker van belang zijn. Daarnaast is de gids gedurende de eerste zes maanden het aanspreekpunt voor de nieuwe medewerker voor vragen. Jaarclub

De jaarclub is een vorm van bedrijfsgerichte coaching waarbij nieuwe medewerkers een groepje vormen en worden gestimuleerd om elkaar regelmatig op de hoogte te houden van hun ervaringen. De leden van de jaarclub coachen in feite elkaar. De term ‘jaar’ is sterk afhankelijk van de instroom. Bij voorkeur heeft de club tussen de vijf en tien leden. Intervisie

Intervisie is een vorm van kwaliteitsbevordering waarbij medewerkers een beroep doen op (de ervaring van) collega’s om mee te denken over persoon- en functiegebonden vraagstukken en mogelijke knelpunten uit de eigen werksituatie. Intervisie vindt plaats in een groep. In de groep worden op een gestructureerde manier ervaringen, verwachtingen en knelpunten besproken met als doel er van te leren. Om het


middel succesvol te maken, zal er bij de medewerkers een behoefte moeten zijn situaties met elkaar te delen en van elkaar te leren. Dit is niet af te dwingen. Expertcoaching

Expertcoaching is een praktische vorm van leren en ontwikkelen. Deze systematische werkwijze heeft als doel mensen sneller hun doelen te laten realiseren. Expertcoaching stelt het (vak)inhoudelijke op de voorgrond: die kennis en competenties die nodig zijn om in de werksituatie te voldoen aan de organisatie-eisen. De expertcoach helpt bij de medewerker (de persoon die gecoacht wordt) tekorten in kennis en vaardigheden bij zichzelf te signaleren en oplossingen hiervoor aan te dragen. Hij bevordert de te ontwikkelen competenties, onder meer door het goede voorbeeld te geven. Al doende maakt de medewerker zich de kennis eigen en leert hij vaardigheden aan. Min of meer automatisch neemt de medewerker ook de onderliggende attitudes en waarden over. Zo nodig spreekt de coach de medewerker aan op zijn of haar houding en gedrag. De coach is in dit geval de autoriteit op het vakgebied. Fase 2: Uitwerking

Na de introductie van coaching bij de medewerkers van EAP zijn we in 2006 verder gegaan met het uitwerken van intervisie en expertcoaching. Deze activiteiten hebben geleid tot: - de implementatie van een nieuwe procedure bij het uitvoeren van projecten. De nieuwe procedure houdt in dat bij projecten van meer dan 150 uur die uitgevoerd worden door meer projectleden een verplichte kick-off en eindevaluatie dient plaats te vinden waarbij expliciet aandacht besteed wordt aan leerdoelstellingen. De procedure is tevens opgenomen in ons kwaliteitssysteem PASA; - de ontwikkeling en implementatie van een projectevaluatieformulier geënt op faciliteren en evalueren van coaching binnen projecten; - een pilot intervisie in 2006; - de ontwikkeling van een competentie expertcoaching; - de ontwikkeling van een geautomatiseerde database de mogelijkheid biedt: • het Persoonlijk Ontwikkel Jaarplan (POJP) vast te leggen; • concrete leerdoelstellingen vast te leggen • feedback van collega’s op concrete leerdoelstellingen uit het POJP te faciliteren en vast te leggen en, indien gewenst, te gebruiken als input voor beoordelingsgesprekken; - een tussentijdse evaluatie van het concept coaching binnen EAP; - de ontwikkeling van een tweetal trainingen gericht op het leren over coaching. Er is gekozen voor twee niveaus in de trainingen. Het eerste niveau is bedoeld voor nieuwe medewerkers en dient als introductie op coaching en de mogelijkheden hiervoor binnen EAP. Het tweede niveau is bedoeld voor medewerkers die al een aantal jaren in dienst zijn en gericht op het coachen in de praktijk.

Fase 3: Implementatie

In deze fase heeft de projectgroep de in fase 2 ontwikkelde producten geïmplementeerd. - Per 1 januari 2008 is de competentie officieel opgenomen in de set van competenties van EAP. - De geautomatiseerde database genaamd e-POP is in productie genomen. - Er heeft een tussentijdse evaluatie van het concept coaching binnen EAP plaatsgevonden. De belangrijkste resultaten worden hieronder beschreven. - Iedere medewerker van EAP staat ingepland om een of beide trainingen voor coaching te volgen in de periode 2008 – 2009. Tussentijdse evaluatie Om een beeld te krijgen van het onderwerp coaching en of de (geïntroduceerde) vormen van coaching binnen de organisatie zijn geland, is er eind 2007 een enquête uitgevoerd onder de medewerkers van EAP. Deze enquête vormde een onderdeel van een afstudeeronderzoek van een medewerkster van EAP [1]. Naast deze enquête heeft ook een evaluatie plaatsgevonden van de pilot intervisie. In dit deel wordt ingegaan op de belangrijkste resultaten van zowel de enquête als de evaluatie intervisie. Deze hebben betrekking op toegevoegde waarde van coaching voor EAP, de bekendheid en ervarenheid met vormen van coaching, verwachtingen van coaching bij EAP en de knel- en verbeterpunten. Toegevoegde waarde coaching voor EAP?

De toegevoegde waarde van coaching wordt door alle medewerkers onderkend. Het belang c.q. de noodzaak komt voor een belangrijk deel voort uit het projectmatige karakter van de werkzaamheden en het (intensief) samenwerken in teams. Men vindt het belangrijk coaching op een hoger niveau te tillen. Uit de antwoorden van de medewerkers blijkt dat coaching: - op een professionele manier moet worden ontwikkeld en dus ook daadwerkelijk op de werkvloer plaats moet vinden; - niet moet blijven hangen in ideeën, procedures en intenties; - niet iets is dat opgelegd wordt maar voortkomt uit de behoefte van de medewerkers zelf; - vraaggestuurd moet zijn. Het opnemen van coaching in het competentieprofiel van de medewerkers kan een stimulans geven. Het mag daar echter niet toe beperkt blijven omdat anders het risico wordt gelopen dat de competentie ‘eng’ wordt ingevuld als slechts een specifieke vorm van begeleiding. Bekendheid en ervarenheid met vormen van coaching In de enquête is gevraagd naar de bekendheid en ervaring met de genoemde vormen van coaching. De helft van de ondervraagden geeft aan bekend te zijn met alle vier de vormen van coaching. Een beperkt deel van de ondervraagden heeft ook daadwerkelijk ervaring met elke vorm. De volgende punten vallen op: - Expertcoaching is het minst bekend terwijl de medewerkers hiermee het meest in aanraking komen binnen pro-


-

-

-

-

jecten. Wanneer een ervaren collega helpt om een (vaktechnisch) probleem op te lossen wordt dit wel ervaren als expertcoaching. Als aandachtspunt wordt meegegeven dat projectleiders hun projectleden beter moeten helpen leervragen te formuleren. De jaarclub is sinds twee jaar actief. Naar de ervaringen van deze vorm van coaching is niet gevraagd tijdens de tussentijdse evaluatie omdat een beperkte groep medewerkers hiermee bekend kon zijn. De gids wordt herkend als de persoon die nieuwe medewerkers wegwijs maakt binnen de organisatie en vooral de sociale aspecten van het werk aan de orde stelt. Intervisie is bekend. Gerefereerd wordt aan de pilot die heeft plaatsgevonden en de ervaringen die hiermee buiten EAP zijn opgedaan. Intervisie wordt gezien als een instrument dat past binnen de doelstelling van een lerende organisatie. Wel worden enkele randvoorwaarden meegegeven: • Deelnemers moeten enerzijds vrijheid hebben in de keuze van de te bespreken onderwerpen en anderzijds bij het bespreken van die onderwerpen gebonden zijn door een methode (regels en werkwijze) om de keuze van onderwerpen en het bespreken van de gekozen casus in goede banen te leiden. • Er moet een goede en prettige sfeer bestaan binnen de groep, leden moeten dus bij elkaar passen. • Er moet een cultuur van vertrouwen en openheid bestaan in de organisatie. De tien kernwaarden worden als zeer positief ervaren. Men vindt het een belangrijke basis voor de lerende organisatie c.q. coaching.

ste knelpunten. Men geeft als verbeterpunt aan dat er meer focus op expertcoaching moet komen. Bij de verdere ’implementatie’ van deze vorm zou meer aandacht besteed moeten worden aan het nut en noodzaak van coaching waardoor medewerkers zelf gaan vragen om coaching. Ook het tijdsaspect wordt regelmatig als knelpunt genoemd. Door werkdruk en de waan van de dag is men geneigd minder tijd te besteden aan coaching dan nodig is. De beperkte kennis over coaching in de praktijk wordt ook ervaren als een knelpunt. Trainingen op dit gebied zouden hieraan tegemoet kunnen komen. De wijze waarop coaching ‘geïmplementeerd’ wordt binnen EAP wordt nog gezien als te instrumenteel. Op dit moment is het nog onvoldoende onderdeel van de cultuur geworden. Om onderwerpen als coaching op een goede wijze een plek te geven in een organisatie is het van belang de drie aspecten kennis, houding en gedrag als uitgangspunt te hanteren bij de uitvoering van het project. Binnen ons project hebben wij deze aspecten als uitgangspunt gehanteerd. Bij een onderwerp als coaching kan iedereen zich iets voorstellen, maar voor het bevorderen van de eenduidigheid en het spreken van ‘dezelfde taal’ zijn wij gestart met kennis over coaching te ontwikkelen binnen de projectgroep en bij de collega’s (fase 1). Tijdens de poolmiddagen en ‘pooldagen’ is vooral aandacht besteed aan houding. Gedrag is het lastigste om te veranderen. Uit de tussentijdse evaluatie blijkt ook dat dit nog niet bij elke medewerker het geval is. Dit zal de komende jaren de uitdaging zijn van het management. Business Case Om coaching succesvol te laten zijn, moet er geïnvesteerd worden. In deze paragraaf wordt ingegaan op de business case.

Verwachtingen van coaching bij EAP

Bij het vragen naar verwachtingen ten aanzien van coaching geven medewerkers aan dat EAP een kennisintensieve organisatie is. De ondervraagden geven hierbij aan dat dit kenmerk van EAP als consequentie heeft dat het streven naar een lerende organisatie als een belangrijke voorwaarde wordt gezien. Bij een lerende organisatie dient coaching impliciet in het dagelijkse ‘denken en doen’ te zijn ingebed. Niet bij iedereen binnen EAP is deze houding aanwezig. Momenteel wordt het nog teveel gezien als een instrument waar op geplande data aandacht aan wordt besteed. Wanneer coaching daadwerkelijk geborgd wordt binnen en onderdeel wordt van de organisatie geven medewerkers aan dat EAP flexibeler en hechter zal worden en tevens meer in staat zal zijn nieuwe ontwikkelingen op een goede manier het hoofd te bieden. Als EAP coaching op een hoger niveau krijgt, zou EAP betere professionals kunnen krijgen die bovendien (nog meer dan nu) tevreden zullen zijn over de mogelijkheden binnen de organisatie. De medewerkers zien de begrippen lerende organisatie en coaching als essentiële elementen die moeten worden gebruikt om de kwaliteit van EAP te handhaven en te verbeteren. Er moet blijvend in geïnvesteerd worden! Knel- en verbeterpunten

De borging en de blijvende aandacht worden gezien als groot-

Wat levert coaching op?

Wat levert coaching ons nu op? Op dit moment kunnen wij die vraag nog niet goed beantwoorden aangezien EAP nog volop in de implementatiefase zit. Wij zullen daarom ingaan op de verwachte baten. Verwachte baten

Door middel van coaching kunnen medewerkers beter zelf keuzes maken binnen hun werkzaamheden, wat betekent dat zij zich ook meer verantwoordelijk zullen voelen voor de resultaten. Onvoldoende benutte talenten van medewerkers worden door coaching aangeboord. Over het algemeen geldt immers dat mensen over meer kwaliteiten beschikken dan ze doorgaans in hun werk inzetten. Coaching biedt de mogelijkheid om deze kwaliteiten naar boven te halen. Het succes van coaching vraagt om een open, respectvolle en eerlijke houding van medewerkers. Dit draagt bij aan een open organisatiecultuur en een optimale lerende organisatie. Daarnaast biedt het mogelijkheden om nieuwe dingen te leren [2]. Medewerkers die blijven ‘leren’ dragen bij aan het leveren van betere producten en diensten waardoor we onze klanten beter kunnen bedienen. Door het creëren van een omgeving waarbinnen medewerkers uitgedaagd worden om te leren, wordt EAP een aantrekkelijke werkgever. Door inzet van het


instrument coaching kunnen (onervaren) medewerkers sneller ingewerkt en (zelfstandig) ingezet worden. Kosten

Er is binnen EAP bewust gekozen voor het inzetten van eigen personeel in de projectgroep voor het uitwerken van coaching binnen EAP aangevuld met een externe coach. Dit in tegenstelling tot het inzetten van externe deskundigen. Dit heeft tot gevolg dat in de uitwerking van coaching de kennis van de organisatie consequent is meegenomen. Voor de communicatie naar collega’s toe werd meegelift op bestaande bijeenkomsten zoals de maandelijkse ‘poolmiddagen’ en de jaarlijkse ‘pooldagen’. Voordeel van deze bijeenkomsten is de aanwezigheid van alle collega’s. Gedurende het traject is de projectgroep in beperkte mate ondersteund door enkele externe bureaus. De kosten beperkten zich hierdoor grotendeels tot het verlies van directe uren van de leden van de projectgroep en een relatief klein bedrag voor inhuur. Lessons Learned In deze paragraaf willen we op basis van onze ervaringen tot nu toe ingaan op enkele leerpunten. Als projectgroep leren we immers ook. Dit zijn leerpunten die we mee willen geven aan anderen die een vergelijkbaar traject willen opzetten en uitvoeren. Verandering

Het expliciet en bewust inzetten van het instrument coaching was nieuw voor de medewerkers van EAP. De consequentie hiervan was dat de implementatie moest worden gezien als een verandertraject waarin het commitment van het management van essentieel belang is. Naast het commitment moeten ook elementen als een relatief korte doorlooptijd, integratie in huidige processen en de samenstelling van een organisatie meegenomen worden. Veranderen is spannend

Medewerkers vinden het spannend. Coaching is relatief nieuw en vraagt van jou als medewerker niet alleen dat je je open stelt voor feedback van anderen, maar dat je zelf ook als coach gaat fungeren. Dat is lastig. Het is makkelijker je bezig te houden met de zaken waarin je goed bent en die je al jaren doet. Verandering gaat niet zonder slag of stoot. Het vraagt immers om verandering in de cultuur. Deze verandering in cultuur is te ondersteunen door integratie in huidige processen. Hierbij valt te denken aan kennis- en kwaliteitsmanagement. Dit is echter niet voldoende. Betrokkenheid van het management is essentieel. De cultuurverandering dient gedragen te worden door het management. Zij dienen hierin de voorbeeldfunctie te vervullen.

volg stappen zat relatief veel tijd. Oorzaak lag vooral in het feit dat de werkzaamheden van de projectgroep moesten concurreren met het uitvoeren van onze core business: audits. Achteraf gezien een te lange periode, omdat medewerkers coaching zijn gaan identificeren met de leden van de projectgroep en als een losstaand onderdeel van de praktijk. Een veel gehoorde reactie was ‘daar heb je ze weer’. Ons advies zou dan ook zijn: Houd het kort! Een project zou niet langer moeten duren dan 9 maanden. Jong versus oud

Er is een verschil in houding ten aanzien van coaching tussen de nieuwkomers in de organisatie en de ‘oudgedienden’. De nieuwkomers, nog onbekend met de cultuur, gaan vaak enthousiast aan de slag met coaching. De ‘oudgedienden’ zijn soms wat terughoudender. Zij zijn vaak de projectleiders van wie verwacht wordt dat zij coaching in praktijk brengen. Hier ligt dan ook de uitdaging: hoe breng je het in praktijk naast de drukke werkzaamheden. Dit vergt bewustwording en training. Door verschillende elementen van coaching te oefenen in een training wordt de bewustwording vergroot en kan het geoefende in praktijk worden gebracht. Tijdens een van de pooldagen in het afgelopen jaar bleek bijvoorbeeld dat het lastig is om leerdoelstellingen SMARTI (Specifiek, Meetbaar, Acceptabel, Realiseerbaar, Toetsbaar en Inspirerend) te maken. In een training kan hier extra aandacht aan besteed worden zodat het effectiever in de praktijk kan worden toegepast. Afsluitend In dit artikel zijn wij ingegaan op coaching binnen EAP en de ervaringen van de auteurs als deelnemer van de projectgroep. Het project zal binnenkort, na een eindevaluatie met de opdrachtgever, worden afgesloten. Het is nu aan de medewerkers zelf. Dit vereist van het management én medewerkers blijvende aandacht voor coaching, leren en ontwikkelen. EAP bevindt zich naar ons idee op het goede pad waarbij niet de bestemming maar de reis het uiteindelijke doel is! ■ Literatuurverwijzingen [1] K. van Popering, 2008. Afstudeeronderzoek voor de opleiding personeelsmanagement. [2] A. Brouwers & W. Bloemers, 2004. Hoe word ik een goede coach? Praktisch en prestatiegericht leren coachen. [3] P.M. Senge, 2006. The fifth discipline: the art and practice of the learning organization. [4] J. Whitmore, 2003. Succesvol Coachen. [5] M. Downey, 1999. Coachen op het werk. [6] H. Mintzberg, 1983. Structure in fives: designing effective organizations. [7] Th. Friedman, 2007. De aarde is plat. [8] A. Toffler & H. Toffler, 2006. Revolutionaire rijkdom.

Implementatieperiode

Noten

Met een enkele wisseling in de samenstelling van de projectgroep en enkele onderbrekingen besloeg de doorlooptijd ruim drie jaar. Tussen het opzetten van de projectgroep coaching en de oplevering van de eerste producten en alle ver-

1 POJP staat voor Persoonlijk Ontwikkel- en Jaarplan 2 Jaarlijks worden binnen EAP pooldagen georganiseerd. Het programma van de pooldagen bestaat meestal uit een vaktechnisch deel en een ontspannend deel.


Lerende organisatie Coaching zien wij als onderdeel van de lerende organisatie. Met de

Noodzaak van coaching voor de IT-auditor

initiatieven en producten van de projectgroep van de afgelopen jaren

Noodzaak coaching volgend uit typologie EAP

is, wat ons betreft, een impuls gegeven aan de ‘lerende organisatie’

In termen van Henry Mintzberg [6] wordt EAP als een professionele

EAP. Hier willen kort ingaan op dit concept en de relatie met coa-

bureaucratie geclassificeerd. In een professionele bureaucratie ver-

ching. Daarnaast wordt de noodzaak van coaching die volgen uit de

trouwt men op de kennis en vaardigheden van de medewerkers bij

maatschappelijke ontwikkelingen en de opbouw van EAP toegelicht.

het produceren van standaard producten of diensten.

Er zijn talloze definities van het begrip ‘lerende organisatie’. De defi-

Opleiden van de medewerkers is een belangrijke activiteit in dit

nitie van Peter Senge [3] spreekt ons het meest aan. De ’lerende

type organisatie.

organisatie’ is volgens Senge een manier om om te gaan met de

Binnen EAP start dit met een postinitiële opleiding IT-auditing en een

sterk veranderende omgeving en dynamiek van de wereld van nu. In

aantal vaardigheidscursussen in combinatie met on-the-job training.

zijn boek ‘the fifth discipline’ definieert hij de lerende organisatie als:

Hiervoor worden jaarlijks opleidingsplannen opgesteld. Om er voor

Organizations where people continually expand their capacity to

te zorgen dat on-the-job training zich naast kennisoverdracht ook

create the results they truly desire, where new and expansive patterns

expliciet (en meetbaar) richt op vaardigheden, wordt het instrument

of thinking are nurtured, where collective aspiration is set free, and

van coaching ingezet.

where people are continually learning how to learn together. In dit boek onderkent hij een vijftal essentiële disciplines voor leren-

Noodzaak coaching volgend uit de opbouw EAP

de organisatie. De belangrijkste (de fifth discipline) is het systeem-

EAP viert in 2008 haar 20 jarig bestaan. In het afgelopen jaar is er

denken. De essentie van systeemdenken kent twee aspecten:

een grote instroom van nieuwe medewerkers geweest. Het percen-

• het zien van onderlinge verbanden in plaats van een lineaire

tage nieuwe medewerkers bedraagt 20% van het totale personeels-

opeenvolging van oorzaak en gevolg;

bestand. Daarvan zijn de meeste nog onder de 30 jaar en relatief

• en het zien van processen van verandering in plaats van momentopnames.

onervaren in het vak- en werkgebied. Deze medewerkers moeten op een goede wijze wegwijs gemaakt worden in de wereld van EAP,

Het concept van terugkoppeling staat daarbij centraal en laat zien

auditing en gesteund worden bij hun ontwikkeling. Coaching is hier-

hoe acties elkaar kunnen versterken of dempen. Bij het systeemden-

bij een onmisbaar instrument gebleken.

ken geldt dat iedere actie zowel een oorzaak als gevolg is van andere acties. De implicatie hiervan is dat iedereen verantwoordelijk is voor

Noodzaak coaching volgend uit maatschappelijke ontwikkelingen.

de problemen die binnen een systeem (bijvoorbeeld een organisatie)

In de boeken ‘De aarde is plat’ en ‘Revolutionaire rijkdom’ beschrij-

ontstaan. Een nadere analyse van het gedrag van systemen leidt tot

ven de visionairs Thomas Friedman [7] respectievelijk Alvin en Heidi

de ontdekking dat bepaalde patronen steeds terugkeren. Deze

Toffler [8] de ontwikkeling die onze maatschappij doormaakt. Veel

'Archetypen' stellen ons in staat om problemen beter te herkennen en

van die ontwikkelingen dwingen individuen en organisaties om te

effectiever aan te pakken en aldus lerende organisaties te bouwen.

blijven leren. De hele westerse economie is gebaseerd op kennis en die kennis wordt door de komst van internet steeds sneller verspreid

Van de lerende organisatie naar coaching

maar veroudert daardoor ook steeds sneller. Organisaties en hun

In een lerende organisatie draait het dus om het leren. Bij leren gaat

medewerkers zullen veel energie moeten steken in het bijhouden en

het om het ontwikkelen van kennis en vaardigheden van medewer-

uitbreiden van hun kennis van zaken om beter of op zijn minst even

kers. Dit kan bijvoorbeeld door off the job (buiten het werk) en on-

goed te zijn als hun concurrent. Als zij dat niet doen, staan ze snel

the-job (tijdens het werk) trainingen. De meest effectieve vorm van

buitenspel met alle gevolgen van dien.

leren is on-the-job training mits de medewerker daarbij wordt

Professionele organisaties zoals auditdiensten c.q. EAP zullen op hun

gecoacht.

qui-vive moeten blijven. Dit kunnen zij onder andere doen door een

Ook voor het begrip coaching bestaan meerdere definities. Twee

‘lerende organisatie’ te creëren.

definities uit onze initiële literatuurstudie zijn: 1. Coachen is iemands potentiële kwaliteiten vrijmaken zodat hij zo

Ook medewerkers zullen continu naar hun eigen toegevoegde

goed mogelijk presteert. Het is geen onderwijzen, maar het leren

waarde moeten kijken om niet uitgerangeerd te raken. Voor hen

bevorderen [4].

zal het aantrekkelijk zijn te werken in een organisatie waarin zij

2. Coaching is de kunst van het iemand helpen betere prestaties te

‘geprikkeld’ worden om te blijven leren. In een markt waarin het moeilijk is om aan gekwalificeerd personeel te komen, is het een

behalen, beter te leren en zich te ontwikkelen [5]. Deze twee definities pasten goed bij de situatie tijdens de start van

pré een ‘lerende organisatie’ te zijn.

het project. Zij laten zien wat coaching is ten opzichte van andere leersituaties zoals op scholen wordt toegepast.


Een dag uit het leven van...

Nora Boukadid Maandag 14 januari, 6.15 uur. Opstaan en de agenda doornemen. Eerste afspraak om 8.30 uur in Amsterdam. Voordat ik mijn dochter van twee wakker maak en aan het ontbijt zet, begin ik vast met de mailafwerking. Ik zie dat ik van een collega een presentatie heb ontvangen voor het gastcollege dat we vanmiddag geven. Ik ga er snel doorheen en voeg de slides toe met mijn verhaal. Even later zet ik mijn dochter af bij de crèche, neem afscheid en rij met een goed gevulde mok koffie voor onderweg naar mijn eerste afspraak van vandaag.

Ing. N. (Nora) Boukadid is junior EDP-auditor en werkzaam bij Ernst & Young op kantoor Utrecht. Nora is betrokken bij controles in het kader van de jaarrekeningcontrole en wordt ingezet voor speciale opdrachten bij klanten in

D

e cliënt is gelukkig niet ver van mijn huis gevestigd. Stipt om 8.30 kom ik binnen, ik meld me aan bij de receptie en krijg te horen dat mijn afspraak nog niet is gearriveerd. Gelukkig heb ik voor dit soort situaties altijd genoeg leesvoer in de tas. Al lezend breng ik vijftien minuten door. We beginnen ons gesprek een goed half uur te laat. Daar gaat mijn strakke planning… Om de tijd zo efficiënt mogelijk te benutten, houd ik eigen-interesse-vragen voor mezelf en doorloop ik de procedures en beheersmaatregelen voor change management, logische toegangsbeveiliging en back-up & recovery. Ik vraag de aanwezige documentatie op en maak mijn aantekeningen. Op het moment dat ik naar de volgende afspraak toe moet, geef ik aan dat ik voor verdere vragen naar aanleiding van de documentatie contact opneem.

Mijn tandarts is een jonge dame van rond de dertig met haar eigen praktijk. Voor ik met mond open op de behandelstoel ga liggen praten we eerst even kort bij. Terwijl ze haar post erbij pakt, vertelt ze dat ze bij de helft van haar post wordt aangeduid als de heer, ervan uitgaande dat het wel een man moet zijn die tandarts is en een eigen praktijk runt. Dat doet me denken aan de verschillende verbaasde gezichten als ik binnenloop bij cliënten: ‘Jij bent toch van EDP Audit? Ik had eigenlijk een man verwacht.’ Meestal reageer ik daarop door mezelf van top tot teen te bekijken en met een glimlach te antwoorden: ‘Ik ben toch echt een vrouw.’ Zelf vind ik het heerlijk om in een ‘mannenomgeving’ te werken; ik betrap mezelf er steeds vaker op dat ik zelfs mannenhumor begin te ontwikkelen. Mijn vriendinnen krijgen me nog zelden aan het lachen.

Exact volgens afspraak belt om 9.30 de Engelstalige docent van Horizon Interlingua voor de training Business English die ik ga volgen. De docent belt voor een telefonische intake. Ik vraag hem mij over vijf minuten terug te bellen om mij de gelegenheid te geven afscheid te nemen van mijn cliënt. Het gesprek met de cliënt is bijna ten einde. Ik neem afscheid en bedank haar voor haar tijd. Daarna haast ik mij naar de auto. Op het moment dat ik me geïnstalleerd heb in mijn auto, de telefoon in de houder heb en de auto is gestart, belt de docent weer. Just in time. Al rijdend naar mijn volgende afspraak neem ik de Engelse test af. Wanneer ik nog (handsfree) bellend mijn auto parkeer voor de tandarts waar ik mijn volgende afspraak heb, rondt de docent het gesprek af. Het was een goed gesprek, ik ben benieuwd…

Na de tandarts op naar Utrecht, onderweg even een korte stop bij de Shell-benzinepomp voor de goede koffie daar en een broodje voor de lunch. De radio staat in de auto steevast op BNR Nieuwsradio om mijn nieuwsgehalte op peil te houden. Zo benut ik toch de vele uren die ik in de auto doorbreng. Aangekomen op kantoor in Utrecht kijk ik nog snel het dossier van mijn cliënt door voor de bespreking met de accountants. Ik loop alvast langs mijn collega aan de overkant om af te stemmen hoe laat we vertrekken richting Almere voor het gastcollege. De bespreking met de accountants gaat vrij soepel. We bespreken de resultaten en conclusies van ons onderzoek en maken afspraken over de vorm van rapporteren en de deadline. Daarna nemen we afscheid en vertrek ik naar Almere. Omdat we Utrecht moeizaam uit-

diverse sectoren.


komen, arriveren we iets later dan gepland bij het Institute for Information Engineering voor ons gastcollege. Onze collega was gelukkig wel op tijd en we treffen haar aan met een groep studenten wachtend op ons. Omdat we met zo’n klein clubje zitten, lijkt het ons niet nodig om een lange presentatie te houden, maar meer een algemeen verhaal te houden over EDP Audit en dan alle vragen te beantwoorden. Aan het eind van de presentatie geven de studenten aan een duidelijk beeld te hebben van Ernst & Young EDP Audit en geven aan interesse te hebben in een eventuele afstudeerstage of baan. Op de gang kom ik nog twee oud-docenten tegen. Met de ene docent, onze

eeuwig-vrolijk-docent, blijven we nog even napraten. De docent vraagt ons voor nog een presentatie voor zijn afstudeerminor ‘Projectmanagement’. We maken een nieuwe afspraak en geven onze kaartjes af. Daarna ga ik weer richting Amsterdam, een diner bij een bank ter afsluiting van een groot project. We zitten op de vierentwintigste verdieping, wat een uitzicht… Na een uur staand borrelen, gaan we eindelijk aan tafel. The Big Boss bedankt iedereen voor zijn inzet en geeft het woord aan de projectleider. Deze vertelt anekdotes over de hilarische momenten uit de projectperiode. Het wordt een gezellige avond met verschillende interes46 | de EDP-Auditor nummer 2 | 2008

sante mensen uit diverse landen. Zo heb ik ook collega’s van de verschillende disciplines van Ernst & Young ontmoet in een internationale opdracht. Met enkele collega’s uit die opdracht heb ik nog steeds contact. Rond 22.00 uur vertrekken we richting huis. Ik blijf nog even bij de parkeerplaats napraten met een collega van de specialistengroep. Om 23.00 uur kom ik thuis aan, waar ik de kleine heerlijk slapend in haar bed aantref. Ik doe nog even mijn laptop aan en bekijk mijn agenda voor de volgende dag, morgenochtend naar Heerhugowaard. Nu eerst even slapen. ■

Boekbespreking

Managing IT outsourcing Titel: Managing IT Outsourcing Governance in global partnerships Auteurs: Erik Beulen, Pieter Ribbers en Jan Roos Uitgever: Routledge Taylor & Francis Group ISBN: 0-415-36599-6

D

e auteurs van Managing IT Outsourcing, die alledrie doceren aan de Universiteit van Tilburg, hebben in dit boek hun praktische en theoretische kennis inzake het managen van IT-uitbestedingrelaties gebundeld. Het boek is gemakkelijk leesbaar en blijft boeien mede omdat per hoofdstuk diverse praktijksituaties, cases en samenvattende tabellen zijn opgenomen. Naar mijn mening is het boek van grote waarde voor ITmanagers van de uitbestedende organisatie en voor accountmanagers van de leverancier. Het kennisnemen van de praktische en theoretische inzichten die het boek biedt zal zeker bijdragen aan een succesvolle uitbestedingrelatie. Hoewel het boek niet speciaal voor IT-auditors is geschreven verdient het aanbeveling dat zij kennisnemen van het boek wanneer zij betrokken worden bij (de voorbereiding van) een uitbesteding van IT. In het bijzonder is het boek van waarde voor de IT-auditor wanneer hij of zij wordt betrokken bij een opdracht die moet leiden tot adviezen inzake het inrichten van een regie op IT-outsourcing.

Mr.drs. J. (Jan) Roodnat is audit manager bij EDP Audit Pool

Het boek bestaat uit elf hoofdstukken. Ik heb het boek onderverdeeld in een drietal clusters. Een inleidend cluster met bedrijfsmodellen, verantwoordelijkheden van partijen en het verschijnsel uitbesteden (changing business models, the IT outsourcing phenomenon en structuring responsibilities). Een cluster over het managen van de uitbesteding met aandachtspunten in relatie tot de 47 | de EDP-Auditor nummer 2 | 2008

uitbestedende organisatie, de leverancier en de relatie zelve (partnership risk management, governance of IT outsourcing, governance factors- the recipent- the provider- the relationship). Een laatste cluster met offshore uitbesteding, contracten en een toekomstvisie inzake uitbesteding van de auteurs (offshore outsourcing, contracts en looking forward). Hieronder worden samenvattingen van de voornoemde drie clusters gegeven. Omdat het boek niet speciaal geschreven is voor IT-auditors heb ik, aan de hand van hetgeen gepresenteerd is door de auteurs, de mogelijke betrokkenheid aangegeven van de ITauditor bij IT-uitbesteding. Cluster 1: bedrijfsmodellen, verantwoordelijkheden van partijen en het verschijnsel uitbesteden Volgens de auteurs worden wijzigingen geïnitieerd door de omgeving van de organisatie en niet door de organisatie zelf. De concurrentie neemt toe, de wensen van de klanten zijn het uitgangspunt en IT heeft een strategische impact. Hierdoor worden organisaties gedwongen om fundamenteel en anders na te denken over hun positie, de organisatie en de markt. Een andere manier van denken door organisaties leidt tot nieuwe bedrijfsmodellen en daarmee tot andere afwegingen inzake uitbesteding. Uitgangspunt bij uitbesteding is dat een organisatie niets zelf maakt tenzij de organisatie dit beter kan dan andere organisaties omdat zij de daarvoor vereiste unieke competenties heeft. Diensten en producten worden vervaardigd in een intensieve samenwerking tussen organisaties. Iedere organisatie draagt op basis van unieke competenties en vaardigheden bij aan de producten en diensten voor klan-

ten. Dit in de vorm van strategische, lange termijn relaties met daaraan gekoppeld strategische uitbesteding waarin voordelen op de lange termijn centraal staan. In relatie tot het vergroten van de doeltreffendheid en doelmatigheid wordt het concept van de value chain gepresenteerd. Hierbij worden activiteiten onderverdeeld in primair en ondersteunend. Primair zijn de activiteiten die een directe relatie hebben met de klanten van de organisatie. Ondersteunend zijn de activiteiten die nodig zijn om de primaire activiteiten uit te voeren. Uiteraard zullen ondersteunende activiteiten frequenter worden uitbesteed dan primaire activiteiten. In de overheidsomgeving neem ik waar dat, in lijn hiermee, beleidsactiviteiten niet worden uitbesteed. De relatie tussen de leverancier en de uitbestedende organisatie hangt af van het type uitbesteding en de verantwoordelijkheden die zijn uitbesteed aan de leverancier. Deze relatie kan in de tijd wijzigen en hangt samen met een aantal keuzen: uitbesteding van de gehele IT-dienstverlening of een deel van de dienstverlening, uitbesteding aan één leverancier of aan meerdere leveranciers en uitbesteding van informatiesystemen, uitbesteding van processen of Business Process Outsourcing (BPO). De auteurs noemen tien voordelen van uitbesteding van IT. Een aantal voordelen hangt samen met lagere kosten als gevolg van schaalvoordelen en het verdelen van investeringen in IT over meerdere klanten. Dit laatste heeft ook tot gevolg dat het makkelijker is om nieuwe technologieën te volgen. Ervaring leert dat goede afspraken nodig zijn om innovatie af te dwingen. Bij gespecialiseerde leve-

ranciers is de benodigde implementatietijd veelal korter. Tevens biedt de IT meer flexibiliteit omdat de leverancier meerdere platforms heeft. Uiteraard kan de klant zich richten op de kernactiviteiten en behoeven geen investeringen in IT te worden gedaan waardoor de financiële ratio’s verbeteren. Tevens heeft de klant niet het probleem om gekwalificeerd ITpersoneel aan te trekken. Ook worden nadelen beschreven in relatie tot uitbesteding. De vijf behandelde nadelen betreffen de toenemende afhankelijkheid van leveranciers, het verloren gaan van kennis in de uitbestedende organisatie, kosten voor contractmanagement, vertrouwelijkheidrisico’s omdat gevoelige informatie buiten de organisatie ligt en kosten die gemaakt moeten worden om de meest geschikte leverancier te selecteren. Een geschikte leverancier dient kennis hebben van de branche van de uitbestedende organisatie en de culturen van uitbestedende organisatie en leverancier moeten matchen. Tevens verdient het de voorkeur dat de leverancier en de uitbestedende organisatie een vergelijkbare grootte hebben om ongewilde afhankelijkheden te voorkomen. BPO wordt gezien als een nieuwe ontwikkeling. Bij BPO worden niet alleen informatiesystemen uitbesteed maar gehele bedrijfsprocessen. Verwant hieraan zijn Shared Service Centres. Deze zijn onderdeel van de uitbestedende organisatie en verzorgen veelal standaard activiteiten die gekenmerkt worden door veel transacties. Voordelen zijn kostenbesparing en kwaliteitsverbetering. Beide een gevolg van schaalvoordelen. Tevens standaardisering van IT en een besparing op stafkosten van naar verwachting 40 procent. Binnen de Rijksdienst zie ik ook het verschijnsel 48 | de EDP-Auditor nummer 2 | 2008

Shared Service Centres. Als voorbeeld kan P-Direkt worden genoemd. In relatie met voornoemde voordelen en nadelen geven de auteurs ten aanzien van BPO aan dat de investeringen in IT die nodig zijn als gevolg van legacy-problemen door de leverancier worden gedaan. De afhankelijkheid van de leverancier neemt toe en ook de kennis van de bedrijfsprocessen verdwijnt uit de uitbestedende organisatie. Ook worden verschillende vormen van offshore uitbesteding beschreven. Bij offshore uitbesteding worden de diensten geleverd vanuit een andere regio dan waar de uitbestedende organisatie is gevestigd. Voordelen zijn kostenbesparingen als gevolg van prijs- en salarisverschillen. Tevens is veelal meer gekwalificeerd IT-personeel beschikbaar. Ook (ontwikkelings)landen beschikken over gecertificeerde IT-processen. Uiteraard zijn aan het managen van de uitbestedingrelatie meer kosten verbonden en politieke risico’s alsmede taal- en cultuurverschillen. In relatie met de Rijksdienst vraag ik mij dan af of de Rijksdienst aan offshore uitbesteding moet doen omdat offshore uitbesteding ten koste gaat van de werkgelegenheid in Nederland. Ten aanzien van verantwoordelijkheden wordt aangegeven dat activiteiten met een strategisch karakter zich niet voor uitbesteding lenen. Strategische vraagstukken inzake IT en het vaststellen van richtlijnen voor het managen van de uitbesteding en het aansturen van de leveranciers dienen niet te worden uitbesteed. Uiteraard kan voor strategische vraagstukken gebruik worden gemaakt van externe consultants. Deze consultants dienen bij voorkeur niet in dienst te zijn van de leverancier. De auteurs zijn sceptisch over het uitbesteden van tacti-

sche activiteiten. Zij onderkennen dat leveranciers dit steeds meer aanbieden om hun winst te vergroten en meer grip te krijgen op de uitbestedende organisatie om zo de winst nog meer te vergroten. Uiteraard kan ook hier gebruik worden gemaakt van externe consultants. Een voorbeeld is het begeleiden van de aanbesteding. Het is wel van belang dat de uitbestedende organisatie bij de tactische activiteiten betrokken is. In geval van audits verdient het volgens de auteurs de voorkeur om gebruik te maken van externe auditors. In geval van een verschil van inzicht tussen partijen wordt terecht de voorkeur gegeven aan mediation in plaats van audit. Met minder inspanningen wordt dan immers een beter resultaat behaald. Activiteiten die zich in de operationele sfeer bevinden lenen zich goed voor uitbesteding. Cluster 2: managen van de uitbesteding Het cluster over het managen van de uitbesteding begint met een behandeling van de risico’s. Risico’s verbonden aan het opzetten van een relatie tussen de uitbestedende organisatie en de leverancier en het formaliseren van afspraken en risico’s met betrekking tot het managen van de relatie tussen de uitbestedende organisatie en de leverancier. De nadruk wordt gelegd op de risico’s met betrekking tot het managen van de relatie tussen de uitbestedende organisatie en de leverancier. Inzake het opzetten van een relatie en het formaliseren van de afspraken worden als belangrijkste risico’s genoemd het kiezen van de verkeerde leverancier, het onduidelijk vastleggen van service levels en specificaties en het onvolledig verstrekken van informatie door de uitbestedende organisatie aan alle potentiële leveranciers zodat niet alle leveranciers

dezelfde informatie hebben als de huidige leverancier. Er worden tien aspecten onderkend die met betrekking tot een IT-uitbestedingrelatie dienen te worden gemanaged. Deze worden zeer praktisch behandeld. De geleverde diensten dienen in overeenstemming te zijn met hetgeen in het contract is aangegeven en de prijzen die in het contract zijn genoemd. De marktconformiteit van de prijzen dient te worden bewaakt. Op basis van de IT-strategie dient de uitbestedende organisatie de richtlijnen voor de IT-services vast te stellen en deze aan de leveranciers (intern en/of extern) kenbaar te maken. Het opstellen van laatstgenoemde richtlijnen is de verantwoordelijkheid van demand management. Er dient een duidelijk onderscheid te zijn tussen contract managers en service delivery managers om een uitgebalanceerde relatie te realiseren waarin door de leverancier voldoende prioriteit wordt toegekend aan de uitbestedende organisatie. De leverancier dient voldoende waarborgen te hebben getroffen om de vertrouwelijkheid van de informatie van de uitbestedende organisatie te garanderen. Een Third Party Mededeling kan hier extra zekerheid verschaffen. Los van demand management dient met behulp van de eindgebruikers periodiek te worden vastgesteld of de doelen van de uitbestedende organisatie in relatie tot uitbesteding nog steeds worden gerealiseerd. De leverancier dient voldoende kennis te hebben van de bedrijfsactiviteiten van de uitbestedende organisatie om zo een optimale IT-dienstverlening te kunnen verzorgen. Een contract kan nooit alles omvatten. Beide organisaties zullen de wil moeten hebben om zaken die niet in het contract zijn geregeld in redelijk49 | de EDP-Auditor nummer 2 | 2008

heid en in overleg op te lossen. Zowel de uitbestedende organisatie als de leverancier dienen aandacht te hebben voor innovatie. De uitbestedende organisatie dient de richting van de innovatie aan te geven op basis van haar IT-strategie en de leverancier dient nieuwe technologieën op regelmatige basis te introduceren. Als laatste dient een uitbestedende organisatie de mogelijkheid te hebben om van leverancier te wijzigen. Het is niet goed om afhankelijk te zijn van één leverancier. Op basis van de bouwstenen in de vorige hoofdstukken introduceren de auteurs een model ten behoeve van het managen van IT-uitbestedingrelaties. De factoren van het model kunnen gebruikt worden om de relatie tussen de uitbestedende organisatie en de leverancier verder te verbeteren. De drie componenten van het model zijn de uitbestedende organisatie, de leverancier en de relatie tussen de leverancier en de uitbestedende organisatie. Tevens gebruiken de auteurs theorieën uit de economische en sociale wetenschap voor hun model. Dit betreft ‘the theory of competitive strategy’, ‘the resource-based view’, ‘the theory of transaction costs’, ‘the agency theory’, ‘the resource dependency theory’ en ‘the institutional theory’. De uitbestedende organisatie dient een heldere IT-strategie te hebben. Deze strategie dient aan te sluiten op de bedrijfsdoelstellingen. De diensten van de leverancier dienen te passen in de IT-strategie en de leverancier dient de IT-strategie ook te kennen om richting te geven aan haar dienstverlening. IT dient in de bedrijfsprocessen te zijn verankerd. De doelstellingen van de uitbesteding dient de uitbestedende organisatie helder intern te communiceren en de uitbestedende

>:9:GO¼C :><:CL>?O:G

:AH:K>:G;>H86A:L>?O:G 7:9G>?;HDK:G9G68=I'%%-

:AH:K>:G;>H86A:L>?O:G 9<6'%%-

:AH:K>:G;>H86A:L>?O:G KG>?:7:GD:E:C'%%-

E G > ? H å',!.*ZmXa#7IL



9Z;^hXVaZL^_oZg7ZYg^_[hdkZgYgVX]i'%%-WZ]VcYZaiVaaZ VheZXiZcgdcYdbYZWZYg^_[hdkZgYgVX]i#=^ZgidZWZ]dgZc dcYZglZgeZcVahVVcYZaZcdkZgYgVX]iYddgZZccVijjga^_` eZghddcd[YddgZZc]djYhiZg"7KZcYZdkZgYgVX]i kVcVXi^kVZceVhh^kV#CVVhiYZ\Zkda\ZckddgYZ ^c`dbhiZcWZaVhi^c\ZckZccddihX]VehWZaVhi^c\!`dbZc dd`]ZihjXXZhh^Z"ZchX]Zc`^c\hgZX]i!YZdkZgYgVX]ih" WZaVhi^c\!YZdboZiWZaVhi^c\ZcYZ>ckdgYZg^c\hlZiVVc YZdgYZ#7dkZcY^ZcldgYZcdd`c^ZiÄhXVaZbVVglZa gZaZkVciZdcYZglZgeZcVahÄcVcX^Zg^c\WZhegd`Zc#

9ZoZjî\VkZoZiYZÄhXVVaW^_odcYZgZhîjVi^ZhkVc YZ9<6^cYZWZaVhi^c\lZiiZcjîZZc#CVVhioV`Za^_`Z VheZXiZc!odVahYZiZgWZhX]^``^c\hiZaa^c\hgZ\Za^c\Zc ]ZiVVcbZg`Za^_`WZaVc\!ldgYZcdd`YZ\Zkda\ZckVc YZeg^k"hîjVi^ZkVcYZ9<6WZ]VcYZaY!odVahZ^\Zc ]j^hZc]nedi]ZZ`!]jlZa^_`ZccVaViZchX]Ve#9ZoZ jî\VkZ^hkddgYZÄhXVVaVYk^hZjgZcYZ9<6ZZc egVì^hX]ZZcdkZgo^X]iZa^_`Z^c\Vc\idiYZkZZadbkVi" iZcYZegdWaZbVi^Z`Y^ZkddgYZ9<6jîYZÄhXVaZ lZi"ZcgZ\Za\Zk^c\kddgikadZî#

9ZoZ;^hXVaZL^_oZgg^X]io^X]dekg^_ZWZgdZehWZdZ[ZcVgZc# :gldgYigZaZkVciZ_jg^Y^hX]Z!VYb^c^higVi^ZkZZcÄhXVaZ ^c[dgbVi^Z\Z\ZkZc!lVVgW^_jîZgVVgYgj^bVVcYVX]i ldgYi\ZhX]dc`ZcVVcV[igZèdhiZcZcW^_odcYZgZ gZ\Za^c\Zckddgkg^_ZWZgdZehWZdZ[ZcVgZc#9VVgcVVhi ldgYZcdd`VaaZegVì^hX]ZVheZXiZckVcYZWZdZ[Zc^c\ kVcZZckg^_WZgdZe^c`VVgi\ZWgVX]i!odVahYZhiVgi kVcYZdcYZgcZb^c\!hdX^VaZkZgoZ`Zg^c\Zc!eZghdcZZa VVccZbZcZceZch^dZcdeWdjl#

7:A%(&)(*-(*-D;@>?@DELLL#:AH:K>:G;>H866A#CA 50 | de EDP-Auditor nummer 2 | 2008

Boekbespreking

organisatie moet er voor zorgen dat managers affiniteit hebben met IT. IT-portfoliomanagers voor de link tussen IT en bedrijfsprocessen worden geïntroduceerd. Een Chief Information Officer (CIO) dient verantwoordelijk te zijn voor de IT-dienstverlening inclusief de ITdienstverlening die is uitbesteed. Wil een CIO een goede bijdrage kunnen leveren dan dient deze functionaris tenminste vijf jaren te functioneren. Als laatste dienen informatiemanagers bij de uitbestedende organisatie er voor te zorgen dat de benodigde informatie door de IT wordt geleverd. Zij zijn de link tussen de business units van de uitbestedende organisatie en de leveranciers en implementeren de door de CIO ontwikkelde IT-strategie. De leverancier dient de markt te kennen en een toekomstvisie te hebben. De leveranciers moeten aan (potentiële) klanten kunnen laten zien welke IT-diensten nu en in de nabije toekomst geleverd kunnen worden. Dit dient te blijken uit productportfolio’s die door de leverancier actueel worden gehouden. De leverancier dient te beschikken over een front office die de interface vormt tussen de leverancier en haar klanten. De front office omvat onder andere account management, contract management en innovatie management op strategisch, tactisch en operationeel niveau. Tevens dient de leverancier te beschikken over een back office die zorgt voor het leveren van de overeengekomen IT-diensten. Uiteraard dient de leverancier ook te beschikken over voldoende, kwalitatief en kwantitatief, IT personeel dat ook voor de uitbestedende organisatie beschikbaar is en blijft. Inzake de relatie tussen de leverancier en de uitbestedende organisatie

dienen de verantwoordelijkheden van partijen helder en éénduidig te zijn. Dit geldt in het bijzonder wanneer er sprake is van meerdere leveranciers. Heldere contracten met de overeengekomen IT-diensten en meetbare doelen die door de uitbestedende organisatie worden herkend. Balanced scorecards kunnen hierbij een hulpmiddel zijn. In dit verband wordt aanbevolen om niet zomaar het door de leverancier gehanteerde standaard contract te accepteren. In de contracten dient ook een procedure voor onvoorziene situaties te zijn opgenomen. Tevens dient het contract te waarborgen dat de prijzen gedurende de looptijd marktconform zijn. Dit is naar mijn mening terecht, maar lijkt lastig te realiseren. De leverancier en de uitbestedende organisatie dienen vertrouwen in elkaar te hebben en de leverancier en de uitbestedende organisatie dienen regelmatig op strategisch, tactisch en operationeel niveau overleg te hebben over aangelegenheden die de dienstverlening betreffen. Cluster 3: offshore uitbesteding, contracten en een toekomstvisie inzake uitbesteding Hetgeen hiervoor is aangegeven inzake contracten wordt in het laatste cluster verder uitgewerkt. De auteurs beschrijven een contractstructuur met raamcontracten op strategisch niveau, project overeenkomsten en service-overeenkomsten op tactisch niveau en service level agreements op operationeel niveau. De belangrijkste onderdelen van het raamcontract zijn uitgewerkt. In het laatste cluster zijn tevens de karakteristieken van de offshore uitbesteding van programmatuurontwikkeling en infrastructuurbeheer aangegeven. De omvang van de specifieke risico’s verbonden aan offshore uitbe51 | de EDP-Auditor nummer 2 | 2008

steding is voor programmatuurontwikkeling en infrastructuurbeheer aangegeven. Tevens is vermeld welke maatregelen genomen kunnen worden om de risico’s die verbonden zijn aan offshore uitbesteding tot een aanvaardbaar niveau terug te brengen. De auteurs onderkennen drie ontwikkelingen die in de nabije toekomst de uitbestedingrelaties en het managen van deze relaties zullen beïnvloeden. Dit betreft de standaardisatie van applicaties en IT-services. Door de standaardisatie van applicaties zullen organisaties beter met elkaar kunnen communiceren en in relatie met ITservices is de verwachting dat uitbestedende organisaties alleen de door hen afgenomen IT-diensten moeten betalen. Dit is een groot voordeel voor organisaties die fluctuerende capaciteitsbehoeften hebben. Tevens wordt de groei van het gebruik van open source software onderkend. Hierdoor zal een samenwerking ontstaan tussen leverancier en uitbestedende organisaties waarbij beiden capaciteiten ter beschikking zullen stellen om de open source software verder te ontwikkelen. Ook zal BPO toenemen waarbij de leverancier een geheel bedrijfsproces verzorgt. Omdat één leverancier nooit alle diensten kan bieden zal een verdere segmentering van de uitbestedingmarkt het gevolg zijn. Leveranciers zullen moeten kiezen of zij IT-dienstverlening bieden of BPO dienstverlening en vervolgens welke IT-diensten en welke bedrijfsprocessen. De mogelijke betrokkenheid van de IT-auditor bij IT-uitbesteding. Een uitbestedende organisatie kan een offerte aanvragen in de vorm van een zogenoemde Request for Proposals. Een Request for Proposals is een offerteaanvraag met een beschrij-

Boekbespreking

ving van het project en een opgave van de te beantwoorden vragen. Een concept van de outsourcingovereenkomst kan onderdeel uitmaken van de Request for Proposals. Het objectieve oordeel van de IT-auditor bij de beveiligingseisen in het Request for Proposals kan van belang zijn. In hoofdstuk 9 van het boek worden outsourcingovereenkomsten op hoofdlijnen behandeld. Voor een beoordeling van een outsourcingovereenkomst verdient het aanbeveling om ook kennis te nemen van de beschikbare voorbeeldcontracten en

de NOREA-handreiking inzake automatiseringscontracten. De hulp van de IT-auditor kan worden ingeroepen om door middel van een due diligence-onderzoek vast te stellen dat de leverancier in opzet aan de afspraken en regelgeving kan voldoen. Ook kan er vraag zijn naar informatie over de beheerprocessen bij de leverancier. Wanneer de beheerprocessen beschouwd moeten worden vanuit bijvoorbeeld de kwaliteitscriteria exclusiviteit, integriteit, controleerbaarheid en beschikbaarheid dan

heeft de IT-auditor hierbij zeker toegevoegde waarde. Uiteraard kan hij hierbij gebruik maken van het zojuist verschenen NOREA-Studierapport ‘Normen voor de beheersing van uitbestede ICT-beheerprocessen’. De IT-auditor kan worden gevraagd te adviseren over de inrichting van de regie van de IT-outsourcing bij de uitbestedende organisatie. Het verdient dan zeker aanbeveling om kennis te nemen van het boek Managing IT Outsourcing. ■

Uit de opleidingen

Inschrijving kopjaar IT-Auditing

H

et kopjaar IT-Auditing gaat 5 september van start en wordt voorafgegaan door een 5-daagse precourse. Internal / Operational

Auditors en registeraccountants (tot en met het theoretisch examen) kunnen de opleiding binnen één jaar afronden.

Voor meer informatie of het aanvragen van de brochure voor studiejaar 2008/2009: www.esaa.nl of 010 – 408 1508.

Voorlichtingsavond 10 juni 2008

O

p dinsdagavond 10 juni 2008 houdt ESAA een voorlichtingsavond over de verschillende opleidingen, waaronder de postinitiële master-

opleidingen IT-Auditing en Internal/ Operational Auditing. Tijdens deze avond wordt uitleg gegeven over de inhoud en de opbouw van de oplei-

dingen. Aanmelden kan per email ([email protected]) of per telefoon (010 – 408 1512).

Promovendibijeenkomst

E

SAA heeft op 20 april een promovendibijeenkomst gehouden met deelnemers uit diverse landen, waaronder Australië, Letland, Nederland en Noorwegen. De promovendi

presenteerden hun papers aan de overige deelnemers en een panel van professoren. De prijs, een geldbedrag ter beschikking gesteld door onder andere IIA Nederland en IIA Inc., 52 | de EDP-Auditor nummer 2 | 2008

werd toegekend aan Janicke Rasmussen van de Cass Business School. Haar paper ging over ‘Board Evaluation: Measure of Effective Corporate Governance’.

Uit de opleidingen

Erasmus School of Accounting & Assurance Gezamenlijke buluitreiking Internal/Operational Auditing (IOA) en IT-auditing (ITA) op 3 april 2008

Afgestudeerd bij de Postinitiële masteropleiding Internal/Operational Auditing: Ferry Anwar (Zorgverzekeraar VGZ-IZA) Huub de Boer (Mn Services) Meike Cents (Ernst & Young) Ria van Dijk (Sociale Verzekeringsbank) Rocco Jacobs (Ministerie van VROM) Rob Lapré (Ministerie van Verkeer en Waterstaat) Geert Martens (UWV)

Afgestudeerd bij de Postinitiële masteropleiding IT-Auditing: Anouschka Rishma Algoe (KPMG IT Advisory) Mark Bergman (KPMG IT Advisory) Martijn Hermannus Brinkhof (Essent NV) Ayhan Calik (Inspectie Werk en Inkomen Min. SZW) Jeroen Gerardus Dits (KPMG) Geert-Jan Franciscus Krol (Mazars Paardekoper Hoffman N.V.) Kjell Roland van Milaan (PricewaterhouseCoopers) Grace Kavita Ramkisoen (Inspectie Werk en Inkomen Min. SZW) Chantal Nicole de Vette (EDP Audit Pool) Robertus Johannes Maria van Wesel (PricewaterhouseCoopers)

First Global Academic Conference on ‘Internal Audit and Corporate Governance’ De First Global Academic Conference on ‘Internal Audit and Corporate Governance’ vond op 21 en 22 april plaats op de Erasmus Universiteit met deelnemers van over de hele wereld. De conferentie werd georganiseerd door ESAA in samenwerking met de Universiteiten van Pisa, Leuven en de Cass Business School.

Keynote speakers waren prof.dr. Jaap Winter en prof. Jenny Stewart. Winter ging in op de invloed van verschillende culturen op de invulling van corporate governance. Jenny Stewart gaf een overzicht van onderzoek op het gebied van onafhankelijkheid en objectiviteit van internal audit. De closing lecture, die mede in het licht stond van het 53 | de EDP-Auditor nummer 2 | 2008

15-jarig bestaan van de I/OA-opleiding, werd gegeven door prof.dr. Leen Paape, die daarbij tevens officieel afscheid nam als directeur van de I/OA-opleiding. De papers van de conferentie zijn na te lezen op www.auditing.nl.

Van de Norea

NOREA-ledenvergadering: 18 juni 2008

D

e voorjaarsledenvergadering van de NOREA vindt plaats op woensdag 18 juni 2008. Behalve voor de traditionele agendapunten als de jaarrekening en kandidaatstellingen vraagt het bestuur aandacht voor enkele wijzigingsvoorstellen van de Richtlijn Permanente Educatie (PE) en nieuwe regelgeving met betrekking tot kwaliteitstoetsing die vanaf 2009 effect heeft. De actieve Register EDP-auditors zijn volgens deze voorstellen verplicht tenminste 120 PE-punten per drie aaneengesloten kalenderjaren te behalen met een minimum van 20 PEpunten per kalenderjaar. Eén PE-punt staat gelijk aan 60 aan permanente educatie bestede minuten. Van deze 120 PE-punten dienen er minimaal 90 te bestaan uit aantoonbare gestructureerde educatie. De te besteden tijd dient – rekening houdend met de eigen deskundigheid en ontwikkelingen op de onderscheiden terreinen – op een evenwichtige wijze te worden verdeeld over enkele aandachtsgebieden. Daarvoor is een indeling in drie categorieën gemaakt: A. Actieve bijdragen aan het vakge-

bied: in deze categorie vallen alle activiteiten inzake lesgeven, commissiewerk, schrijven van boeken en artikelen etc.; B. Algemene kennis en vaardigheden: in deze categorie vallen de educatieactiviteiten die relevant zijn voor het functioneren als RE. Deze kennis en vaardigheden staan los van enig specialisme en zijn onder te verdelen in: • Ethiek van het beroep: naast het onderhouden van kennis over gedrags- en beroepsregels vallen hieronder tevens persoonlijke vaardigheden als presentatievaardigheden, managementvaardigheden, sociale omgangsvormen etc. • Auditvaardigheden: hieronder vallen educatieactiviteiten die direct op de werkzaamheden van een RE betrekking hebben, zoals risk management, risicoanalyse, onderzoeksvaardigheden en rapportagevaardigheden. C. Technische Objecten: in deze categorie gaat het om de inhoudelijke kennisvergaring door middel van interne en externe cursussen, semi-

nars, conferenties, congressen, vaktechnische bijeenkomsten etc., waarvoor de volgende indeling van kennistermen wordt gehanteerd: 1. IT Audit Process 2. IT Architecture 3. System acquisition/development process 4. IT Management 5. IT Information Technology Strategy 6. Business Process Enablement Met betrekking tot de kwaliteitstoetsing zal een concept-Reglement op de kwaliteitstoetsing voor IT-auditors worden gepresenteerd alsmede een concept-Reglement Kwaliteitsbeheersing NOREA, waarin enkele uitgangspunten staan genoemd voor kwaliteitsborging in de organisaties waarin IT-auditors werkzaam zijn. De ledenvergadering vindt plaats in het nieuwe NOREA/NIVRA kantoor, Antonio Vivaldistraat 2-8 te Amsterdam, ontvangst vanaf 15.30 uur. Nadere informatie en aanmelding via de (vernieuwde) NOREA-website www.norea.nl

Nieuwe Leden

Agenda

Met ingang van 22 april 2008 zijn ingeschreven in het register van gekwalificeerde IT-auditors (RE’s):

• 4 juni 2008: ISACA/NOREA IT-auditdag over ‘IT-assurance’ in Hilton Soestduinen; • 5 juni 2008: NOREA/PvIB Young Professionals bedrijfsbezoek Shell; • 18 juni 2008: NOREA-ledenvergadering voorjaar, NOREA/ NIVRA te Amsterdam; • 8 oktober 2008: Congres Informatiebeveiliging, ISACA/ NOREA/PvIB te Bussum;

Mevr. drs. J.P. Combee RA drs. M.F.L. le Comte Mevr. J.L.W. Coppis RA R. van Erven MSc CISSP drs. J. Jongerius RA ir.ing. J.N.M. Kunis drs. R.W.L. van Mill RA drs.ing. C. Nooijens Mevr.ir. J.E. Unk

Kwartaalstraat 59 Satijnvlinder 65 Mandenmakerstraat 14 J.J.P. Oudpad 15 Schubertpad 9 Dijkgraaf 128 Florentiusdreef 21 Stationsstraat 126 Tolstoistraat 28

1335 KH 3544 VX 5801 VA 3822 EN 3261 JJ 1689 WH 5735 PR 4872 TE 1506 RT

Almere Utrecht Venray Amersfoort Oud Beijerland Hoorn Aarle Rixtel Etten Leur Zaandam


Van de redactie. Memories, just memories Column Thea Gerritse. Hoe gaat u dat nu doen, minister? Interview met Anne-Wil Duthler

Recommend Documents