Voorjaar 2011
CHAPNEWS
Chapnews
VAN DE VOORZITTER In 2009 heeft ISACA Netherlands Chapter een onderzoek uitgevoerd naar het functioneren van de 24 grootste Internal Audit (IA) afdelingen in Nederland. Hierbij is specifiek ingegaan op de thema's organisatie en personeel, bezetting en financiën en de uitvoering van onderzoeken. Met het onderzoek is een goed beeld verkregen van de huidige wijze waarop grote IA-afdelingen opereren. Uit het onderzoek is bijvoorbeeld naar voren gekomen dat hoofden IA problemen ervaren om hun afdeling kwantitatief en kwalitatief op orde te krijgen en dat de toegevoegde waarde van IA niet altijd door de rest van de organisatie gezien wordt. Het merendeel van de respondenten had evenwel een positief vooruitzicht op de toekomst voor IT-auditing. In 2010 en 2011 heeft ISACA Netherlands Chapter een vervolgonderzoek uitgevoerd. Dit onderzoek is nog in volle gang, maar met dit artikel willen wij alvast een tipje van de sluier oplichten en u over de voortgang informeren. Doel van het vervolgonderzoek Het vervolgonderzoek is gericht op kleine en middelgrote IAafdelingen. De vraag die wij ons gesteld hebben is of deze groep tegen dezelfde punten aanloopt als hun grote collega's of dat zij met andere problemen geconfronteerd worden. Verder is aan de deelnemers een tiental vragen en stellingen voorgelegd over de mate waarin zij met druk en weerstand te maken hebben. De uitkomsten van deze vragen en stellingen zullen in een promotieonderzoek door Wout Schiphorst aan de Rijksuniversiteit Groningen worden gebruikt. Selectie deelnemers en aanpak
Colofon Deze nieuwsbrief is een uitgave van ISACA NL Chapter. Redactie: T. Bakker, B. van Staveren en A. Shahim Het redactieadres: ISACA NL Chapter t.a.v. Redactie Nieuwsbrief
[email protected]
In het onderzoek zijn die IA-afdelingen geselecteerd, waarbij minimaal twee gecertificeerde IT-auditors werken en die niet al in het eerste onderzoek meegenomen waren. De ledenlijsten van de beroepsorganisaties in Nederland hebben wij als basis voor de selectie gebruikt. Van de geselecteerde afdelingen hebben wij de directeur of manager Internal Audit geïnterviewd. In totaal hebben we de deelnemers 35 vragen voorgelegd. De vragen komen grotendeels overeen met die uit de eerste onderzoek. Naast extra vragen en stellingen over druk en weerstand, hebben we de respondenten gevraagd of zij het volwassenheidsniveau van hun afdeling wilden schatten. Hiervoor is het Internal Audit Capability Model (IA-CM) van de IIA gehanteerd.
2
Chapnews
Rapportage tweede helft 2011 Momenteel zijn wij nog bezig met het afnemen van interviews. Om zinvolle conclusies te kunnen trekken hebben wij in totaal circa 25 deelnemende IA-afdelingen nodig. Bent u zelf werkzaam bij een kleine of middelgrote afdeling en bent u nog niet door het secretariaat van ISACA benaderd om aan het onderzoek mee te werken? Stuur een e-mail naar
[email protected] en wij nemen zo spoedig mogelijk contact met u op. Wij streven er naar in de tweede helft van 2011 onze bevindingen aan u te kunnen presenteren. NOREA en ISACA samen op pad. Eindelijk is het er dan toch van gekomen. De besturen van Norea en ISACA praten over samenwerking met als intentie om mogelijk op langere termijn te fuseren indien aan de reeds gestelde voorwaarden kan worden voldaan. Zo moeten bijvoorbeeld de titels voor de toekomst bewaard blijven en mag de contributie voor de individuele leden niet omhoog gaan. Er zijn vijf werkgroepen ingesteld die met planvorming bezig zijn. In de bestuursvergaderingen van NOREA en ISACA worden de leden verder op de hoogte gebracht. Misschien dat het allemaal nog gaat lukken voor het eind van 2011.
K.P. Meindertsma president ISACA Netherlands Chapter
3
Chapnews
INTERNATIONAL PRESIDENT: APPRECIATION FOR THE POLLINATORS Since a good portion of the world’s food and farm production relies on pollination, such as that from honey bees, it was international news when a large percentage of bee colonies around the world began suf-
COBIT Mapping: Mapping of ISO/IEC 20000 With COBIT 4.1 This document contains a detailed mapping of ISO/IEC 20000:2005 with COBIT 4.1. A brief overview of the standards mapped against each other in this document follows:
fering from what became known as colony collapse disorder (CCD). Reading recent reports on what may be the culprit in these rapid bee colony depopulations, as well as the tremendous economic impact these losses could have on our food supply, got me thinking about the importance of pollinators in business. Bees of all types are usually seen as pests that ruin picnics and outdoor barbeques. But, just as pollination from honey bees is often an unsung—but vital—step in our food production process, there are people in our workplaces who do similar yeoman work. They may not be the brash innovators who are developing the next great idea, or the rainmakers who bring in the big-name and big-budget clients, but they are just as important and should be given their share of recognition and respect. The pollinators keep things humming. They bring together the essential elements that create a better whole. Without them, that great new product expansion might just remain a brainstorm jotted on a napkin instead of becoming the company’s new profitable business line. Or the new major client may cancel the project or reduce the order because people aren’t hitting deadlines or milestones. Pollinators are sometimes seen as an unnecessary expense, when in fact they are an indispensable building block. In essence, they are the key to the business being able to bear its fruit.
• COBIT—Released as an IT process and control framework linking IT to business requirements, COBIT initially was used mainly by the assurance community in conjunction with business and IT process owners. With the addition of management guidelines in 2000, COBIT was used more frequently as a management framework, providing management tools such as metrics and maturity models to complement the control framework. With the release of COBIT 4.0 in 2005, it became a more complete IT governance framework. Incremental updates to COBIT 4.0 were made in 2007; they can be seen as a fine-tuning of the framework, not fundamental changes. The current version is COBIT 4.1.
While I wish I could contribute to the research on what is causing the devastating CCD around the world, I know I can make a difference in my own organization. I can work on becoming a better pollinator and I can make sure that the other pollinators I come in contact with— both internally and externally—know that their work and dedication are appreciated. Hopefully this is something we all can learn from, whether our work is in an office, a construction site, a classroom or a
• ISO/IEC 20000:2005—The ISO/IEC 20000 series enables service providers to understand how to enhance the quality of service delivered to their customers, both internal and external.
hive. Emil D’Angelo, CISA, CISM International President, ISACA Managing Director, Bank of Tokyo Mitsubishi UFJ, USA
4
A high-level mapping compares the objectives stated by ISO/IEC 20000:2005 with the control processes on COBIT. Voor nadere informatie wordt verwezen naar: www.isaca.org.
Chapnews
Mapping of CMMI for Development V1.2 With COBIT 4.1 This document contains a detailed mapping of Capability Maturity Model (CMM) Integration (CMMI) for Development (CMMIDEV), Version 1.2 (CMMIDEV, V1.2), with COBIT 4.1. This document is an update of COBIT® Mapping: Mapping of CMMI® for Development With COBIT® 4.0. There are changes from COBIT 4.0 to COBIT 4.1 and additional mapping of IT governance strategic focus and COBIT process controls to CMMI generic practices. The mapping is performed in two layers:
• Compare COBIT process name, goals and detailed control objectives with CMMI process area purpose, specific goals and generic goals.
• Compare COBIT management guidelines— inputs, outputs, activities and metrics—with CMMI process diagrams and related process area cross -references for Measurement and Analysis (MA). Voor nadere informatie wordt verwezen naar: www.isaca.org.
HET CONSTRUEREN VAN REFERENTIEKADERS: EEN PRINCIPLEPRINCIPLE-BASED AANPAK Abstract Het beoordelen van audit objecten wordt uitgevoerd op basis van een combinatie van normen, samengebracht in een zogeheten referentiekader. Voor de uitvoering van consistente audits is een referentiekader dan ook essentieel. Momenteel wordt de samenstelling van referentiekaders niet ondersteund door een systematisch onderbouwde methodiek. Dit artikel presenteert een framework en een methode waarmee auditors referentiekaders systematischer kunnen ontwikkelen en/of kunnen evalueren. Deze zijn gebaseerd op een in 2010 bij de VU afgerond promotie onderzoek van de auteur [Tewarie, 2010]. 1. Inleiding Bij het ontwikkelen van een referentiekader wordt een auditor geconfronteerd met een variëteit aan omgevingselementen zoals, conditionele, resources- en managementelementen. Het referentiekader wordt doorgaans ontwikkeld door een auditor op basis van eigen ervaring, kennis, kunde en de beschikbare best practices, zoals: Cobit, NIST, Standard of Good Practice, ITIL en ASL. Een dergelijk referentiekader bevat in de regel een mix van generieke en gedetailleerde normen. Voor de selectie van relevante normen (beoordelingscriteria) ontbreekt een methode waardoor de auditor niet precies weet of de juiste set normen wel in de audit wordt betrokken. Er bestaat onzekerheid over de juiste selectie van normen, de volledigheid en samenhang van het referentiekader. Binnen de (IT) auditdiscipline was weinig literatuur beschikbaar die het construeren van een referentiekader methodisch ondersteunt. Dit kan leiden tot niet onderkende auditrisico’s en discussie over de geloofwaardigheid van de auditresultaten. Het idee om een onderzoek te doen naar een framework voor het construeren van referentiekaders vloeit voort uit bovenstaande problematiek. Wij hebben de nadruk gelegd op het ontwikkelen van een methodisch framework. Bij ons onderzoek liepen we tegen hindernissen op doordat ons vakgebied jong is en geen tot weinig wetenschappelijke historie kent. De hindernissen hebben wij kunnen overwinnen door een expeditie naar andere disciplines te ondernemen. Deze expeditie heeft ons ingrediënten opgeleverd om een framework te creëren.
5
Chapnews
2. Context verbeterde aanpak De huidige aanpak binnen de IT auditing kan, geïnspireerd door de ontwikkelingen binnen de accounting discipline¹, worden verbeterd door een zogeheten principle-based aanpak. De principlebased aanpak heeft een conceptueel framework als uitgangspunt. Principes in de context van IT auditing representeren basis-auditelementen die beschouwd worden als neutrale concepten. Ze fungeren hiermee als bron voor redeneringen. We gaan uit van het begrip principe² omdat: (i) principes aangeven waar in eerste instantie aan gedacht moet worden en (ii) principes stabieler, minder aan verandering en veroudering onderhevig zijn en minder afhankelijk zijn van technologische ontwikkelingen. Het ontwikkelde conceptueel framework waar de principle-based aanpak op gebaseerd is bestaat uit de componenten Structure, Content en Form. De component Structure verdeelt het domein van een audit object in een aantal horizontale abstractie lagen, waarin het audit object altijd centraal staat. De component Content refereert naar auditelementen (bijvoorbeeld Actor of Proces). De component Form refereert naar een syntax. De selectie van de auditelementen vindt plaats in drie stappen (M3: Middle, Middle-out, Middle-in). Voor elk geselecteerd auditelement wordt een principe gedefinieerd op basis van een syntax waarbij de zogenaamde actietypen, zoals de werkwoorden: formuleren, realiseren en evalueren, een belangrijke rol vervullen. De combinatie van de aard van de laag en de actietypen helpt de auditelementen uit de Content te selecteren en maakt de positionering van het auditprincipe op een bepaalde laag herkenbaar, omdat aan elke laag, afhankelijk van de aard van de laag, specifieke actietypen zijn toegekend. Bij het ontwikkelen van een conceptueel framework voor een referentiekader zijn vooraf criteria vastgesteld. Hiermee wordt ook impliciet aangegeven waar in het algemeen een referentiekader moet voldoen. Onderstaand worden achtereenvolgens de volgende onderwerpen behandeld: criteria voor het SCF Framework, Structure, Content, Form, toepassing van het SCF framework op basis van de M3 methode en de validatie van het SCF framework op basis van case studies. Figuur 1 geeft een overzicht van deze onderwerpen.
Figuur 1 Overzicht van de principlebased componenten en de vereiste criteria voor SCF Framework
¹ (IFRS08, DiPia08) ² Principe betekent bron, eerste of fundamentele waarheid. Bedoeld is een fundamentele uitspraak over generieke concepten. Omgekeerd zijn concepten weer bouwstenen voor principes (Koontz en O’Donnell, 1972).
6
Chapnews
3.
Criteria voor het SCF Framework
Wat maakt een set controls, normen of auditcriteria en de gerelateerde control objectives tot een goed referentiekader? De IFAC ISAE 2000 (2003) heeft een vijftal kwaliteitscriteria benoemd, namelijk relevantie, volledigheid, betrouwbaarheid, neutraliteit en begrijpelijkheid. Wij hebben naast deze criteria additionele criteria geïdentificeerd uit andere bronnen, zoals software requirements (Boeh79). Tabel 1 geeft een overzicht van de IFAC en de additionele referentiekader-criteria en hun relatie met de SCF-componenten. IFAC-ISAE 2000 en additionele criteria Structure
Gestructureerdheid en coherentie
Content
Betrouwbaarheid, volledigheid, relevantie, neutraliteit, begrijpelijkheid, transparantie, herbruikbaarheid, geïntegreerdheid en coherentie
Form
Consistentie
Tabel 1 Overzicht van IFAC (2003) en additionele referentiekadercriteria
4. Structuur van het referentiekader Voor het ontwikkelen van een algemene structuur voor een auditomgeving (of audit domein) is de functionele benadering uit de systeemtheorie toegepast, omdat binnen de systeemtheorie fenomenen in open interacties, in het grote geheel, in samenhang en niet als gescheiden delen worden bestudeerd. Deze benadering, die ook wel “Black box” benadering wordt genoemd, richt zich op externe relaties tussen subsystemen en afhankelijkheden waardoor een samenhangende splitsing van de auditomgeving wordt bereikt. Hierdoor wordt de Structure van het referentiekader gecreëerd. Voor de concrete invulling van deze functionele benadering hebben we gebruik gemaakt van het 3C model (Controlling system, Controlled system en Control organ) (Leeuw,1974); Bunge,1979³) en de managementcyclus (MC) Planning, Implementation en Evaluation (PIE) (Starreveld, 2002), twee cyclische modellen. Door de combinatie van deze twee modellen ontstaat een gelaagde structuur die voldoet aan de criteria voor referentiekader en enkele systeemeigenschappen, zoals holisme, doelgerichtheid, functies, feedforward en feedback mechanismen, variëteit, recursiviteit en flexibiliteit. Zoals in figuur 2 is geïllustreerd, kan de auditomgeving op basis van de 3C en MC modellen worden onderverdeeld in een lagenstructuur. Deze lagenstructuur is nodig om een compleet overall beeld van het audit object en de afhankelijkheden binnen een omgeving te verkrijgen. Door middel van de onderkende gebieden in de lagenstructuur is het ook mogelijk een splitsing van de mix van conditionele, resource en management elementen, af te dwingen en tegelijkertijd deze elementen in een juiste contextuele samenhang te positioneren. Vanuit deze context kunnen ook de risico’s worden geïdentificeerd.
³ Het 3C model is equivalent met het ETC (Environment, Target system en Control Organ) van de Leeuw (Leeu74). Omwille van duidelijkheid en misinterpretaties zijn de eerste twee termen vervangen door termen die door Bung79) wordt gehanteerd.
7
Chapnews
De betekenissen die aan de subsystemen van het 3C model worden toegekend zijn: algemeen beleid, resourcemanagement en algemeen control. Het resourcemanagement refereert naar het te onderzoeken audit object. Dit audit object wordt weer beoordeeld op basis van de drie-eenheid binnen de managementcyclus (PIE). Aan deze drie eenheden worden de volgende betekenissen toegekend: specifiek beleid, audit object en specifieke control. Hiermee wordt het audit object geflankeerd door twee conditionele lagen (beleid) en twee beheersingslagen (control). De betekenis van de onderkende lagen zijn:
• Algemeen beleid − vertegenwoordigt in de praktijk een domein van waaruit invloed op de twee domeinen, audit object en algemeen control, wordt uitgeoefend. Algemeen beleid bevat conditionele elementen en randvoorwaarden die gelden binnen een organisatie, zoals hoofdbeleid, strategie, regelgeving en uitgangspunten voor business en IT architectuur.
• Specifiek beleid – omvat specifieke beleidselementen die van toepassing zijn op het audit object. Dit Specifiek beleid dient afgeleid te zijn uit aan algemeen beleid.
• Audit Object − omvat de operationele elementen van het audit object. Dit audit object dient in relatie met specifieke beleids- en specifieke controle elementen worden geëvalueerd. Bij audit objecten in het IT domein kan dit domein onderverdeeld worden in: bovenlaag, middenlaag en onderlaag. De bovenlaag is gebruiker en applicatie services georiënteerd. De middenlaag refereert naar een verwerkingslaag en vervult de rol van mediator of integrator. De onderlaag is transport, communicatie en fysiek georiënteerd;
• Specifieke control − omvat specifieke control- en evaluatie elementen ten aanzien van het audit object. Er wordt nagegaan in hoeverre er bij de inrichting van de processen en IT Objecten controlinstrumenten zijn ingebouwd om de inrichting van de processen en IT objecten te beheersen. Dit is kortcyclisch van aard.
• General Control –vertegenwoordigt een waarnemings- en beheersingsinstrument. Het is een omgeving van waaruit het audit object wordt gemanaged en vervult hiermee een controlfunctie die langcyclisch van aard is. Binnen dit domein worden de noodzakelijke
Figuur 2 De correspondentie tussen de subsystemen en lagenstructuur
8
Chapnews
SharePoint® Deployment and Governance Using COBIT® 4.1
beheersprocessen voor het audit object vastgesteld en wordt nagegaan hoe deze processen zijn vormgegeven om de inrichting van het betreffende audit object continue in control te houden, zoals IT service support en managementprocessen.
SharePoint Deployment and Governance Using COBIT 4.1 builds upon the widely recognized COBIT framework, providing guidance required to create processes and controls that avoid or limit the impact of risks encountered when deploying SharePoint. As SharePoint expands and becomes increasingly pervasive and important to the enterprise, the need to govern its implementation and deployment increases dramatically. This practical guide introduces key requirements for effective SharePoint implementation governance and an overview of the COBIT framework. Practical guidance and aids address program phases including the scope phases, planning for launch, preparing for operations, the launch phase, operations, and enhancement. SharePoint Deployment and Governance Using COBIT 4.1 also addresses the unique requirements for deploying SharePoint in the Cloud. Voor nadere informatie wordt verwezen naar www.isaca.org.
5. Content van het referentiekader De invulling van de lagenstructuur wordt gegeven door de component Content. Intuïtief kunnen diverse auditelementen per laag worden benoemd. Echter, welke auditelementen exact een rol spelen, vloeit voort uit een exercitie die veelal afhankelijk is van de kennis en kunde van de betreffende auditor. Om willekeur aan te benoemen auditelementen te voorkomen is het GFBS framework (Goal, Function, Behaviour en Structure 4) ontwikkeld en toegepast, zie Figuur 3. Dit framework is gebaseerd op de compositionele benadering uit de systeemtheorie die zich richt op het identificeren van interne componenten en hun interne relaties binnen een systeem en wordt ook wel de “white box benadering” genoemd. De combinatie van de “black box” en “white box” benaderingen maakt het mogelijk om een auditomgeving systematischer te analyseren. GFBS views - Het doel van de GFBS views is om auditelementen (concepten) vanuit verschillende invalshoeken per laag te onderzoeken. Het identificeren van de auditelementen voor het referentiekader vindt dan plaats in een betere samenhang. Elke view richt zich op het traceren van een bepaalde verzameling neutrale auditelementen die systematisch worden geïdentificeerd. Goal view – adresseert vanuit organisatorische invalshoek de reden van bestaan van een organisatie. Het gaat hierbij om de vraag waarom: wat wil de organisatie als geheel bereiken? (Missie en Visie). Welk beleid en welke strategie worden hierbij gehanteerd? Vanuit technische invalshoek adresseert het de reden van bestaan van een technisch apparaat. Het gaat hierbij om de vraag waarom een technisch apparaat is ontwikkeld, waarvoor is het bedoeld, waarom bestaat het? Voorbeelden van de concepten uit deze kolom zijn: enterprise, missie, visie, doelen, strategie, wetten en beleid, stakeholders en middelen.
4
Het element S uit het GFBS framework refereert naar de micro structuur
die verband houdt met de audit elementen.
9
Chapnews
Function view – faciliteert de identificatie van sociale, organisatorische en technologische concepten die de intenties van de organisatie zouden moeten realiseren. Vanuit de organisatorische invalshoek worden de organisatorische functies geadresseerd: Wat moet er gedaan worden en welke functies en processen zijn hierbij nodig om het doel te realiseren. De technische functieview heeft betrekking op de technische functionaliteiten die door gebruikers worden geëist. Voorbeelden van de bijbehorende concepten zijn: organisatorische functies, technische functies en taken. Behaviour view – adresseert vanuit een organisatorische invalshoek de manier waarop (Hoe) de operationalisatie van de onderkende functies en de toegekende taken, verantwoordelijkheden en bevoegdheden aan uitvoerenden moet zijn ingericht. De technische gedragsview adresseert de manier waarop (Hoe) de functionele vereisten van de technische middelen, inclusief de hierbij behorende beveiligingsaspecten moeten zijn ingericht. Hierbij zal rekening moeten worden gehouden met de geformuleerde functies en het organisatorische en technische beleid. Voorbeelden van bijbehorende concepten zijn resources, actor, object, interactie, activiteit, toestand, eigenschap en historie. Structure view - adresseert de manier waarop (Hoe) een organisatorische en personele structuur vorm is gegeven. De organisatorische structuur geeft inzicht in de relaties tussen de organisatorische eenheden en de posities van personen. De technische structuurview adresseert de manier waarop de technologische architecturen (logische en fysieke configuraties van Hardware en Software) vorm is gegeven. Voorbeelden van bijbehorende concepten zijn business organisatiestructuur, IT organisatiestructuur, business architectuur, IT architectuur en business-IT alignment. Relaties tussen GFBS modellen – Op basis van de GFBS views zijn er gelijknamige modellen ontwikkeld. De output van het ene model vormt input voor het andere model. De relaties tussen de verschillende modellen worden geïllustreerd in Figuur 3. De modellen hebben directe en indirecte relaties met elkaar. De directe relaties drukken een volgordelijke relatie uit om de doelen te realiseren. De indirecte relaties voorzien in feedbackinformatie voor evaluatie doeleinden. De auditelementen uit deze modellen zijn verder vastgelegd in
Figuur 3 Illustratie van relaties van de GFBS view en de gelijknamige modellen
10
Chapnews
een “geïntegreerd model” de zogeheten “GFBS repository”. Voor al deze auditelementen zijn auditprincipes gedefinieerd op basis van de in de sectie Form beschreven syntax. De auditelementen uit het “geïntegreerd model” kunnen, voor een bepaalde audit, geprojecteerd worden op de lagenstructuur. Hierbij moet met vijf aspecten van een laag rekening worden gehouden: context, abstractie, perspectief van de actor, doelstellingen van de laag en de actietypen (zie onderstaande sectie Form).
6. Form De component “Form” heeft betrekking op het formuleren van auditprincipes op een consistente en eenduidige wijze op basis van een formele definitie en semi-formele syntax. Normatieve elementen − Auditprincipes worden beschreven op basis van normatieve elementen. Deze normatieve elementen vertegenwoordigen variabelen op basis waarvan iets kan worden beoordeeld, bijvoorbeeld “het management dient het beleidsdocument goed te keuren”. De variabelen zijn “het management en het beleidsdocument”. De variabelen geven een indicatie over, bijvoorbeeld, wie moet wat doen of wat moet ingericht zijn. De variabelen komen niet in willekeurige vorm voor, maar hebben een duidelijke relatie. De relaties tussen de variabelen kunnen formeel worden uitgedrukt. Hiermee wordt aangegeven welke verwachte sequentiële gebeurtenissen of acties plaats moeten vinden in een organisatorische en technische context. Definitie − Een IT audit principe (IAP) is een uitdrukking waarin relaties worden gelegd tussen onafhankelijke en afhankelijke variabelen. De onafhankelijke variabelen in een IAP vertegenwoordigen het “wat aspect” en het “wie aspect”. De afhankelijke variabelen vertegenwoordigen het beoogde resultaat, met andere woorden het “waarom aspect”. De parameters van een IAP zijn:
• Naam: een string die als gemeenschappelijke referentie dienst doet en de essentie van het auditprincipe uitdrukt;
• Wie: drukt de actoren uit die verantwoordelijk zijn voor de vereiste acties, • Wat: een of meerdere acties die moeten worden uitgevoerd of een toestand die moet worden bereikt;
• Mod: drukt de modaliteiten uit: dienen, moeten en mogen, en de ontkenning hiervan (must, must not, should, should not, may en may not);
• Strength: drukt de kracht van de motivatie uit, bijvoorbeeld to ensure, to provide en to prove;
• Waarom: de doelstellingen die door het principe moeten worden bereikt. Het IAP representeert een verzameling feiten, zoals “Als aan x1,..,xn voldaan is dan zal het resultaat y” bereikt worden. Deze feiten worden ingedeeld in twee delen, de pre-conditie en de post-conditie. De pre-conditie bevat de Wie en de Wat elementen, terwijl de post-conditie het Waarom element bevat. In natuurlijke taal wordt rondom een feit vaak meer informatie vermeld dan nodig is, wat misinterpretaties kan veroorzaken. Om redundante informatie te elimineren is gebruik gemaakt van kennisrepresentatietechnieken zoals “Conceptual graphs” (Sowa, 1984). Hiermee kan de nadruk gelegd worden op de kernelementen uit een zin. Voor alle afgeleide auditelementen
11
Chapnews
binnen de GFBS modellen zijn auditprincipes geformuleerd op basis van een semi formele syntax. Hiervoor is een template ontwikkeld. De template bevat feiten (P1 … Pn) die de elementen van de pre-conditie representeren en Q1... Qn, de elementen uit post–conditie. Figuur 4 illustreert een vereenvoudigde weergave van het template.
Figuur 4 De representatie van een functioneel audit principe
Actietypen − Het element “Actietype” uit de syntax is verder gestandaardiseerd met behulp van de Speech act theorie (Sear85; Aust62). Deze standaardisatie bevordert de eenduidigheid en consistentie in de uit te drukken feiten. Hiervoor zijn de actietypen onderverdeeld in drie hoofdcategorieën, namelijk directieven, behabitieven en verdictieven.
• directieven zijn groepen werkwoorden die te maken hebben met intenties, toekomstgerichtheid, het uitoefen van macht, het geven van richting, motiveren, reden om actie te ondernemen en het uitoefenen van invloed;
• behabitieven zijn werkwoorden met betrekking tot houding en gedrag van mens en machines, het uitvoeren van acties, doen zoals het gezegd is en het brengen van veranderingen;
• verdictieven zijn werkwoorden die te maken hebben met oordelen, uitleggen, schatten, evalueren en rapporteren. Het voordeel van deze set actietypen is dat deze actietypen kunnen worden gerelateerd met de eerder genoemde abstractielagen van de lagenstructuur. Hiermee worden redundanties in een normenset getraceerd. Figuur 5 geeft een overzicht van de categorieën van werkwoorden, de actietypen en de lagen waarin deze actietypen van toepassing kunnen zijn. 7. Toepassing van SCF framework. Het gaat in dit artikel om de vraag hoe wij een referentiekader kunnen ontwikkelen op basis van dit SCF framework. In de praktijk wordt vaak een top-down of bottom-up benadering gehanteerd om een referentiekader te ontwikkelen. Bij de top-down benadering ontwikkelt men vanuit het hogere beleidsniveau een referentiekader. Hierbij worden, vertrekkend vanuit het top level, veelal beleids- en management-gerelateerde onderwerpen en normen geselecteerd en daarna detailnormen op het IT-gebied. Het risico hierbij is dat een auditor zich overwegend op beleidselementen concentreert en beperkt op het object van onderzoek zelf. Bij een bottom-up benadering besteedt men eerst aandacht aan detailnormen en pas daarna aan beleidsnormen of een mix hiervan. Het risico nu is dat een referentiekader overwegend detail normen bevat en het bredere perspectief onvoldoende wordt belicht. In beide benaderingen zou er een mismatch kunnen zijn tussen algemene en specifieke normen (controls).
12
Chapnews
Figuur 5 Illustratie van relaties van de GFBS view en de gelijknamige modellen
De methode die in het onderzoek is gehanteerd voor het systematische ontwikkelen van een referentiekader bestaat uit drie stappen, de M3 methode, bestaande uit Middle, Middle-out en Middle-in. Deze stappen zorgen voor een gestructureerde opzet van referentiekaders. De M3 methode is toegepast om de valkuilen van top-down en bottom-up benadering te omzeilen. Het is een hybride aanpak van bottom-up en top-down waarmee een evenwicht tussen algemene en specifieke normen gecreëerd wordt. Hierbij wordt het audit object geflankeerd door twee beleidslagen en twee management- en controllagen. Eerst wordt aandacht besteed aan het audit object zelf en daarna respectievelijk aan de beleidsnormen en management- en controlaspecten. Figuur 1 geeft een overzicht van de layers en de M3 benadering. Bij het ontwikkelen van een referentiekader voor een audit object kunnen een aantal fases worden doorlopen. Deze fases staan vermeld in Tabel 2.
Fases
:
Relaties tussen lagen
Fase 1
:
Analyse van audit object vanuit de kenmerken van de IT lagen in de Middle-
Fase 2
:
Fase 3
:
laag Analyse van audit object vanuit de kenmerken van de Specifiek beleid (middle-out, middle-in) Analyse van audit object vanuit de kenmerken van Algemeen beleid) (middle-out, middle-in) (U/D) Fase 4
:
Analyse van audit object vanuit de kenmerken van Specifieke Control (middle-out, middle-in)
Fase 5
:
Analyse van audit object vanuit de kenmerken van Algemene Control (middle-out, middle-in) (U/D)
Tabel 2 : Overzicht van de te doorlopen fases
13
Chapnews
Het referentiekader wordt opgezet vanuit de “Middle”. Dit houdt in dat eerst het audit object wordt verkend en de juiste auditelementen uit het “geïntegreerd model” wordt geselecteerd, rekening houdend met de al eerder vermelde aspecten, zoals context, abstractie, perspectief van de actor, doelstellingen van de laag, controltype en actietypen (werkwoorden voor directieven, behabitieven en verdictieven). Richtvragen zijn bijvoorbeeld: welke IT componenten moeten geïmplementeerd worden?, welke functies dienen te worden geleverd?, welk gedrag moeten betrokken resources vertonen?, hoe moeten de features zijn geconfigureerd?, en hoe moeten de componenten zijn samengesteld?. In de overige fases is er sprake van twee routes, Middle-out (up) en Middle-in (down). Deze routes worden niet separaat, maar gelijktijdig uitgevoerd. De relaties tussen deze twee fases voorziet in traceerbaarheid van de aspecten juistheid en compleetheid van auditelementen. 8. Validatie van SCF framework en methode M3 Het SCF framework en de methode M3 zijn toegepast op twee geselecteerde case studies om te evalueren of ze als een effectief instrument voor het ontwikkelen van een referentiekader kunnen worden gehanteerd. De validatietechniek die is toegepast staat bekend als pattern matching, waarin “theoretische patterns“ worden gematched met “geobserveerde patterns”.
• Theoretische patterns − De theoretische patronen vormen het SCF framework en de methode (M3) omdat deze componenten voortvloeien vanuit een systematische aanpak (systeemtheorie).
• Geobserveerde pattern − Het geobserveerde pattern vormt het te evalueren referentiekader (referentiekader-E). Elke referentiekader-E kent een eigen Structure, Content en Form. Bij het evalueren van een gegeven referentiekader-E is zowel het referentiekader–E zelf als het SCF framework en de methode (M3) geëvalueerd. Hierbij zijn de drie elementen van het SCF framework in beschouwing genomen. Op basis van deze evaluatie is het mogelijk vast te stellen in welke mate het referentiekader-E aan de referentiekadercriteria voldoet. Op basis van de toepassing van het SCF framework zijn, bij een van de referentiekaders-E, onder meer de volgende tekortkomingen vastgesteld:
• De structuur van het referentiekader-E voldoet gedeeltelijk aan de criteria gestructureerdheid en coherentie. Het referentiekader-E bevat een aantal domeinen die wat betreft de inhoud kunnen worden gecombineerd of op basis van een bestaande baseline is gestructureerd met onvoldoende aandacht voor het audit object.
CISM TRAINING Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISM examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit voorjaar weer trainingen ten behoeve van deze examens. Het eerstvolgende examen is op 11 juni 2011. Meer informatie over het examen is te vinden op www.isaca.nl.
14
Chapnews
• De Content voldoet deels aan de criteria voor een referentiekader. Het referentiekader-E bevat een lijst van algemene en gedetailleerde normen die niet altijd juist zijn gerangschikt.
• De Form voldoet niet aan het criterium van referentiekader (zie tabel 1). Er is sprake van diversiteit aan formuleringen. Door middel van herformuleringen op basis van het abstractieniveau en actietypen kunnen redundanties worden geïdentificeerd. De bovenstaande tekortkomingen kunnen een negatieve impact hebben op de auditwerkzaam-heden, met name bij het verzamelen van audit evidence, en daarmee op het te vormen oordeel. Wat betreft de evaluatie van het SCF framework merken we op dat de M3 goede ondersteuning biedt om het juiste auditprincipe op het juiste abstractieniveau (laag) te plaatsen. Met name wanneer de doelstelling van de laag, de aard van de laag en de bijbehorende actietypen in beschouwing worden genomen. De repository die voortvloeit uit de Content analyse moet soms worden aangevuld met wat concretere auditelementen (concepten). Maar in het algemeen kan worden volstaan door substitutie van een gelijknamige auditelementen uit de specifieke auditomgeving. De Structure en Form componenten kunnen zonder enig probleem worden toegepast in de case studies. 9. Conclusie De hoofdvraag van het onderzoek was om een theoretisch framework en methode te ontwikkelen, waarmee een referentiekader op een effectieve manier en systematisch kan worden geconstrueerd. Het ontwikkelde SCF framework en methode (M3) zijn de theoretische resultaten van dit onderzoek. Deze zijn gevalideerd met twee case studies, waarbij wij de tekortkomingen in de case studies gebruikte referentiekaders hebben aangetoond. De combinatie van het SCF framework en de M3 methode heeft enerzijds het voordeel dat deze een auditor in staat stelt de meest relevante auditprincipes te identificeren en omissies te voorkomen. Anderzijds biedt deze combinatie de auditor argumenten voor het selecteren van de auditprincipes. We hopen dat de lezer de voordelen van het voorgestelde framework en de methode inziet en deze ook zal toepassen. Referentie Tewarie, W.N.B., Model based development of Audit Terms of Reference: a structured approach to IT Auditing, juni 2010, ISBN 978 90 8659 5358. Auteur Dr. Wiekram B. Tewarie RE is werkzaam als senior IT-auditor bij de accountantsdienst van UWV.
15
Social Media Audit/ Assurance Program IT audit and assurance professionals are expected to customize this document to the environment in which they are performing an assurance process. This document is to be used as a review tool and starting point. It may be modified by the IT audit and assurance professional; it is not intended to be a checklist or questionnaire. It is assumed that the IT audit and assurance professional has the necessary subject matter expertise required to conduct the work and is supervised by a professional with the Certified Information Systems Auditor (CISA) designation and/or necessary subject matter expertise to adequately review the work performed. Objective—The objective of the social media audit/ assurance review is to provide management with an independent assessment relating to the effectiveness of controls over the enterprise’s social media policies and processes. Scope—The review will focus on governance, policies, procedures, training and awareness functions related to social media. Specifically, it will address:
• Strategy and governance— policies and frameworks
• People—training and awareness
• Processes • Technology The selection of the social media projects and initiatives will be based on the risks introduced to the enterprise by these systems. Voor nadere informatie wordt verwezen naar www.isaca.org.
Chapnews
VMWARE® SERVER VIRTUALIZATION AUDIT/ASSURANCE PROGRAM IT audit and assurance professionals are expected to customize this document to the environment in which they are performing an assurance process. This document is to be used as a review tool and starting point. It may be modified by the IT audit and assurance professional; it is not intended to be a checklist or questionnaire. It is assumed that the IT audit and assurance professional has the necessary subject matter expertise required to conduct the work and is supervised by a professional with the Certified Information Systems Auditor (CISA) designation and/or necessary subject matter expertise to adequately review the work performed. Objective—The VMware server virtualization audit/assurance review will provide management with an independent assessment of the effectiveness of the configuration of, controls over and security of the virtualized servers operating under VMware in the enterprise’s computing environment. Scope—The review will focus on the governance, configuration and management of the relevant VMware virtualized servers in the enterprise, with emphasis on control issues specific to virtualized environments. The selection of specific applications, functions and servers will be based on the risks introduced to the enterprise by these systems. The VMware server virtualization audit/assurance review is not designed to replace or focus on audits that provide assurance of specific application processes and excludes assurance of an application’s functionality and suitability. Since the areas under review rely heavily on the effectiveness of core IT general controls, it is recommended that audit/assurance reviews of the following areas be performed prior to the execution of the VMware server virtualization review so that appropriate reliance can be placed on these assessments:
•
Identity management as it applies to the VMware environment, i.e., privileged VMware users, user access to VMs, etc.
•
Security incident management
•
Secure architecture, including virtualized servers and server farms and network security
•
Systems development—Test environments are typically hosted on virtualized servers for ease of testing and recovery after crashes.
•
Risk management
•
Vulnerability management and testing
•
Cryptographic controls and associated key management
CISA TRAINING Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISA examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit voorjaar weer trainingen ten behoeve van deze examens. Het eerstvolgende examen is op 11 juni 2011. Meer informatie over het examen is te vinden op www.isaca.nl.
16