Voorjaar 2012
CHAPNEWS
Chapnews
PCM Europe & Africa
De PCM voor Europe & Africa is dit keer gehouden in Valencia. Deelnemers
uit
zo’n
20
landen
waren
bij
elkaar
in
een
ongedwongen sfeer, in een aangenaam Spaans winter klimaat en in een stad die onverwacht veel te bieden heeft. Waarover later meer. ISACA verkeert nog steeds in een blakende gezondheid en hoewel de groei wat lijkt af te vlakken, gaat het ledental nog steeds hard op weg naar de 100.000 leden in 81 landen. Eén van de speerpunten van ISACA is dan ook om de retentie op peil te houden. Daarnaast zal toch ook, na 4 jaar ongewijzigd, de contributie omhoog moeten. Het plan was om een stijging door te voeren van 10$ maar mede door de inbreng van Chapter NL zal dit beperkt blijven tot 5$ per certificering. Daar staat echter wel wat tegenover, gelet op wat ISACA biedt op gebied van Professional Support, Knowledge & Research en Community. Hieronder een kort verslag van de belangrijkste ontwikkelingen op deze onderwerpen.
Knowledge & Research De ontwikkeling van het CobiT 5 framework verkeert in een eindfase en de final release staat nu gepland voor Q2 2012. Daarnaast
is
het
ISACA
Knowledge
center
bezig
met
de
ontwikkeling van een COBIT Process Assessment Model op basis waarvan gecertificeerde professionals met behulp van een Assessor Guide en een Tool Kit aan de slag kunnen met het toetsen van processen op (nu nog) CobiT 4.1. Professional Support Naast allerlei ondersteuning die ISACA aanbiedt aan haar Chapters, Colofon Deze nieuwsbrief is een uitgave van ISACA NL Chapter. Redactie: T. Bakker, B. van Staveren en A. Shahim Het redactieadres: ISACA NL Chapter t.a.v. Redactie Nieuwsbrief
[email protected]
zijn
er
op
zijn
minst
twee
faciliteiten
waarmee
alle
leden
rechtstreeks hun voordeel kunnen doen. Allereerst is onlangs de ISACA website volledig doorzoekbaar gemaakt. En dan is daar de elibrary, misschien wel het best bewaarde geheim van ISACA. Denk hierbij aan 98 ISACA titels alsmede 425 third party titels die 100% als
html
kunnen
worden
gelezen.
Voorwaar
een
schat
aan
informatie! Maar wist je dat je ook email notifications kunt krijgen op daarvoor geselecteerde onderwerpen? Tot zover het ISACA.org nieuws. Daarentegen deden ook de lokale chapters van zich spreken. Een greep uit de vele bijdragen:
Chapter Valencia heeft hele goede ervaringen opgedaan in de samenwerking
met
2
itSMF. Een gezamenlijk georganiseerde
Chapnews
conferentie laat aansprekende getallen zien: 540 bezoekers, 40 sprekers, 20 sponsoren!
Chapter Budapest heeft een survey laten uitvoeren naar de stand van Informatiebeveiliging in Hongarije per 2011. Opmerkelijk is een response van ca. 25% op de, bij voornamelijk CIO’s, uitgezette vragenlijsten.
Chapter Zuid-Afrika had een verassende bijdrage over het gebruik van social media bij evenementen. Wat te denken van een Twitter fountain ter bevordering van de interactiviteit! Valencia bleek naast het bekende milde klimaat ook een, althans bij veel deelnemers, minder bekende attraktie te hebben: city of Arts and Sciences. Dit is een cultureel en architectonisch complex in een droge rivierbedding van de Turia. De Turia is omgeleid in 1957 nadat een groot deel van Valencia was overstroomd. Sindsdien is er een werkelijk schitterende toeristische trekpleister ontstaan dat zeker de moeite van het bezoeken waard is. Algemene indruk na het bezoeken van deze PCM: ISACA gaat volle kracht vooruit!
Will Franken, Bestuurslid ISACA Nederland
CISA Training Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISA examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit najaar weer trainingen ten behoeve van deze examens. Meer informatie over het examen is te vinden op www.isaca.nl.
3
Chapnews
optimize your information systems with COBIT 5 In an electronic data-driven world, information is the currency of the 21st century enterprise. Massive volumes of information—supported by technology—drive success, but also raise complex and challenging governance and management concerns for enterprise leaders worldwide. New demands, stringent regulations and risk scenarios emerge daily, making it critical to effectively govern and manage information and related technologies. Today, more than ever, enterprise leaders are under pressure to:
Deliver value to enterprise stakeholders by achieving business objectives.
Maintain compliance with internally directed and externally imposed regulations.
Ensure information and technology investments and use of IT assets effectively support enterprise goals.
COBIT 5 is the Solution COBIT 5 is a comprehensive framework of globally accepted practices that helps enterprise leaders create optimal value from information and technology by maintaining balance amongst realising benefits and optimising risk levels and resource use. Principle 1: Meeting Stakeholder Needs As more focus is put on the importance of flexibility and agility in leadership circles, it is critical for enterprise leaders to foster innovation and create trust and value for stakeholders. Today more than ever, executives must maximise the return on investment of information and the technology that enables its use.
COBIT 5 is highly customisable, flexible and provides the structure and tools enterprise leaders need to deliver business value. COBIT 5 helps executives “get more” from the information systems already in place, and provides a simplified approach and single point of reference for the governance and management of information and technology.
Principle 2: Covering the Enterprise Effective governance practices help enterprise leaders translate big-picture objectives into specific IT-related goals that are measurable and relevant across the organisation.
COBIT 5 covers the enterprise end to end for all matters relating to information and technology. COBIT 5 provides guidance to help enterprise leaders ask the right questions and make the best decisions allowing them to focus on the most critical projects. COBIT Training
COBIT 5 komt in de tweede kwartaal van dit jaar uit. ISACA Nederland organiseert op 26 en 27 april 2012 een 2-dagse training over COBIT 5 en op 30 mei 2012 een update van 1 dag over deze nieuwe release. Voor nadere informatie en de aanmelding wordt verwezen naar www.isaca.nl.
4
Chapnews
Principle 3: A Single Integrated Framework Businesses can choose from many standards and frameworks, each of which provides a view into a subset of IT operations and concerns.
COBIT 5, based on established and credible practices from international thought leaders, integrates other standards, helping enterprise executives identify and effectively address the most relevant issues for the enterprise.
Principle 4: A Holistic Approach There are several critical factors relevant to all enterprises in the governance and management of information. To effectively protect and maximise the value of intellectual property, manage risk and prepare for future compliance requirements, these factors must be taken into account.
COBIT 5 provides the tools and models that help enterprise leaders effectively manage risk, ensure compliance, continuity, security, and privacy associated with information and technology.
Principle 5: Separate Governance from Management The two disciplines encompass different activities, require different organisational structure and serve different purposes. Without a clear, practical and applicable distinction or structure enterprise leaders will not get to the root of the business issue.
COBIT 5 makes a clear distinction between governance and management. COBIT 5 provides enterprise leaders the tools and expertise to simplify complex issues and develop customised practices.
5
Chapnews
Politiek moet consolidatieproces afdwingen
Consolidatie datacenters is fundament van I-beleid Rijksdienst Het I-beleid van de Rijksoverheid staat binnenkort op de rol van de Tweede Kamer. Gelijktijdig spelen twee strategische ontwikkelingen. Volgens het rapport Heroverweging Bedrijfsvoering is de ordening van taken en informatievoorzieningen in ministeries historisch gegroeid en al vele tientallen jaren in essentie onveranderd. Elke ministerie heeft zijn eigen uitvoering en handhaving georganiseerd waardoor de burger met onnodig veel instanties van doen heeft, de dienstverlening suboptimaal en soms zelf tegenstrijdig is, en onnodige kosten worden gemaakt. Volgens de WRR is de overheid als gevolg van de inzet van ICT in feite allang veranderd in een informatieoverheid. Bestuurlijk functioneert ze echter nog steeds als een electronische overheid en dat brengt problemen en kwetsbaarheden met zich mee. Beide constateringen dwingen tot een urgente consolidatie van ICT beheerorganisaties. Hoogste tijd voor consolidatie De gebruikelijke manier om naar de rijksoverheid te kijken start bij de departementen met hun ministers,
hun
departementale
begrotingen
en
wetten,
hun
eigen
uitvoerings-
en
toezichtsorganisaties, etc. Deze versnippering leidt tot een minder efficiënte bedrijfsvoering omdat synergievoordelen worden gemist. Beter is het te sturen op een overheidsdienstverlening vanuit een procesbenadering en het perspectief van burgers en bedrijven. Het bundelen van nu gescheiden processen zal leiden tot een efficiëntere bedrijfsvoering en het realiseren van synergievoordelen. Vanuit een organisatorisch perspectief kan dit gerealiseerd worden door ze te ontvlechten uit het beleidsterrein/ministerie waarbij ze horen en te hergroeperen in clusters van samenhangende taken en doelgroepen. Uit studies bij overheden en bedrijfsleven blijkt deze vormen van bundeling veel besparingen kunnen opleveren. Voor de verdere digitalisering van bedrijfsvoering en dienstverlening is het van groot belang dat de overheid zelf ook beseft inmiddels een informatie-overheid te zijn geworden en haar bestuurlijke
kaders
en
organisatie
daarop
aanpast.
Veel
bestuurlijke
eigenaren
van
informatiesystemen hebben de neiging om ICT als een technisch instrument te zien en nemen daarbij onterecht aan, dat het primaire overheidsproces niet verandert.
COSO Releases Updated Internal Control - Integrated Framework for Public Comment As a member of the Committee of Sponsoring Organizations of the Treadway Commission (COSO) Advisory Council, ISACA is pleased to provide its constituents’ an opportunity to be aware and have access to the most current public exposure draft from COSO. On 19 December, an updated Internal Control – Integrated Framework was released for public comment. ISACA encourages all of its constituents’ to review the framework and provide public commentary. For further information and to provide comments (deadline is 31 March 2012), please visit the COSO site www.coso.org.
6
Chapnews
Nog steeds ligt de nadruk in het bestuurlijk denken en doen in het informatiebeleid op losse technieken en individuele applicaties en niet op verbindende informatiestromen. De datacenters fungeren als knooppunten voor deze informatiestromen. Zij vervullen een cruciale en centrale rol in de informatievoorziening binnen de rijksoverheid en overige overheidsorganisaties. De consolidatie van ICT beheerorganisaties, waarvan volgens planning de eerste consolidatie nog dit jaar op stapel staat, heeft een grote potentie om aanzienlijke baten te realiseren met kostenbesparingen en verbeteringen in besturing en organisatie. Het consolidatieproces heeft tot gevolg, dat de autonomie in de informatievoorziening van de betrokken partijen verandert, dat de rijksbrede informatie-architectuur aanpassingen vereist of dat de beschikking over kritieke informatie verschuift. Due diligence vóór consolidatie Makkelijk gezegd maar moeilijk gedaan; de ICT praktijk is weerbarstig. Het is noodzakelijk dat voordat tot consolidatie wordt overgegaan, een inventarisatie wordt gemaakt van kernthema’s en risicogebieden. Hierdoor wordt de beheersbaarheid van consolidatie en daarna verzakelijking versterkt. Schaalvoordelen kunnen worden behaald door het ineenschuiven van de uitvoerende beheerprocessen, het bundelen van expertise en de bedrijfsvoering. Deze schaalvoordelen zijn van belang, omdat de ICT beheerorganisaties bij het Rijk steeds meer onder druk staan om marktconform te werken en met minder mensen aan een steeds complexer wordende klantvraag moeten voldoen. Enkele kritieke succesfactoren worden hierna kort besproken. Bestuurlijke doelstellingen moeten tijdens gehele proces zichtbaar blijven Bij het consolideren van zelfstandige organisaties dient altijd sprake te zijn van een bestuurlijk mandaat of beleidsvisie met doelstellingen. De uitvoering van het bestuurlijke besluit tot consolidatie wordt daarna voorbereid en het transitieproces wordt in werking gezet. Elke beleidssector moet zelf de strategie bepalen en zelf de regie op de dienstverlening inrichten. De CIO’s werken samen wat betreft het beleid voor de inrichting en uitvoering van regie op gemeenschappelijke departementale of rijksbrede diensten. De bestuurlijke omhanging bij de consolidatie zal op zichzelf geen risico vormen voor de continuïteit en borging van de dienstverlening en de infrastructuren. Het organisatorische en technische transitieproces zal continu de noodzakelijke bestuurlijke aandacht en risicobeheersing vereisen wat betreft continuïteit van de dienstverlening. Professionele ICT dienstverlening vereist inrichting van demand management De regieorganisaties dienen zich te realiseren, dat de professionalisering van demand management met uniformering in de vraagbundeling in belangrijke mate bepalend is voor de mate waarin de ICT beheerorganisatie schaalvoordelen kan realiseren. De doorontwikkeling van de vraagfunctie en opdrachtgeversrol van de klantorganisaties voor het formuleren van hun behoeften op ICT-gebied is een strikte voorwaarde voor het op afstand plaatsen van uitvoeringstaken.
Deze
gelijktijdige
ontwikkeling
is
een
belangrijk
onderdeel
van
het
gezamenlijke groeiproces. Naar verwachting zullen in de Rijksoverheid op termijn de verschillende regieorganisaties gebundeld worden om zodoende harmonisatie en schaalvoordelen te realiseren. Gezien de reeds ingezette ontwikkelingen met betrekking tot het inrichten van regieorganisaties bestaat geen twijfel meer over de noodzaak van goede regie op uitvoering. Randvoorwaarde voor een goed functionerende regieorganisatie is de aanwezigheid van
7
Chapnews
voldoende inhoudelijke kennis en expertise. Wat betreft dienstverlening biedt een consolidatie een integratie en verrijking van het huidige portfolio, mogelijkheden voor dienstenontwikkeling en een betere basis voor continuïteit en kostenreductie. Financiële controle vooraf en auditing voorkomen ongewenste verrassingen Een actueel beeld van de financiële situatie is noodzakelijk, want anders bestaat het gevaar van overname van een failliete inboedel met onvoldoende financiële middelen of uitgestelde afschrijvingen. Rekening moet worden gehouden met de bestaande situatie, dat sommige organisaties
inmiddels
een
baten/lasten
dienst
zijn
en
dat
andere
organisaties
als
budgetgestuurde afdelingen (kasstelsel) dit nog niet zijn. Het is vaak de intentie dat de gebundelde beheerorganisatie meteen een B/L dienst wordt. De omzetting tot B/L dienst dient vroegtijdig georganiseerd te worden en kan per kwartaal gerealiseerd worden, niet per boekjaar. Kostprijsmodellen vormen de basis voor prijsbeleid en tariefstructuur Een goede tariefstructuur stimuleert basisdiensten boven maatwerkdiensten. Alle kosten worden in beginsel toebedeeld aan de geleverde producten en diensten. Er kunnen echter wel wezenlijke verschillen geconstateerd worden. Een B/L dienst met nulbegroting heeft de meeste ervaring met kostprijsmodellen en tariefstellingen. Het gehanteerde kostprijsmodel ontwikkelt zichzelf door een proces van nacalculatie. Het kostprijsmodel is groeiend, maar het systeem van budgetvergoeding leidt tot minder noodzaak om tot reële kostprijzen te komen. Plusdiensten en maatwerkdiensten worden doorberekend op basis van werkelijke kosten. Soms worden slechts de variabele kosten van de dienstverlening doorberekend. De doorontwikkeling van het kostprijsmodel moet gericht zijn
op
tariefstelling
op
basis
van
integrale
kostprijs.
Door
de
verschillen
in
de
bekostigingssystematiek is het nu niet mogelijk een zuivere berekening uit te voeren van mogelijke efficiencyvoordelen. Er bestaan ook verschillen in de financiering: baten/lasten met nulfinanciering geheel door opdrachtgevers of kasstelsel met financiering uit budget plus doorberekeningen aan opdrachtgevers. Opgemerkt wordt, dat de ingezette harmonisatie vanuit de Digitale
Werkplek
Rijksdienst
dwingt
tot
synchronisatie
van
kostprijsmodellen
en
beprijzingsmethodiek. Consolidatie begint met een beoogde doelorganisatie De kernfuncties met de personele bezetting van de geconsolideerde ICT beheerorganisatie moeten tijdig bestuurlijk en organisatorisch gevormd zijn. De ICT beheerorganisaties hebben daarnaast te maken met een opgelegde taakstelling. De geprognosticeerde werkbelasting leidt tot een verschil tussen normatief toegestane omvang en werkelijke omvang. Doorzetten van een taakstelling kan leiden tot een versobering van de dienstverlening of in deze situatie tot meer interdepartementale samenwerking en taakverdeling. Met name klantprocessen zoals account management, contractmanagement en servicedesks, moeten tijdig op orde zijn inclusief een marge
in
de
bedrijfsvoering
planning worden
voor in
onvoorziene
eerste
instantie
omstandigheden. nog
gekoppeld
De
beheerprocessen
en
zullen
in
de
en
fase
de van
doorontwikkeling volledig geïntegreerd worden. Informatiebeveiliging wordt in toenemende mate een kritieke succesfactor Voor de overheid als informatiegestuurde organisatie is informatiebeveiliging een belangrijke kwestie, mede gezien de recente ervaring met certificaten. De informatiediensten en de
8
Chapnews
werkplekdiensten zijn vaak ingedeeld naar veiligheidsniveau. Redenen om af te wijken van eisen en standaarden kunnen zijn excessieve kosten voor migratie of implementatie; diensten die nog maar beperkte levensduur hebben; of een gebrek aan kennis bij de organisatie en in de markt. Het beleid voor informatiebeveiliging dient doorvertaald te worden naar het niveau van inrichting en uitvoering. De paragraaf over informatiebeveiliging zou in de Planning en Control cyclus en kwetsbaarheidsanalyses op korte termijn meer aandacht moeten krijgen. De informatiebeveiliging bij alle organisaties is in de praktijk immers veelal doorgevoerd op inrichtingsniveau, maar gezien het belang van veiligheid en beveiliging moeten beleidsmatige samenhang en consistente realisatie worden doorontwikkeld. Polderen is niet besturen Ons poldermodel zorgt ervoor, dat de consolidatie van datacenters niet snel genoeg gaat. Hier ligt het kernprobleem: het consolidatieproces moet nu afgedwongen worden door het politieke niveau, want het poldermodel biedt teveel ruimte om geen doorzettingsmacht en daadkracht te tonen. Hierdoor loopt de realisatie van een strategisch belangrijk fundament ernstige vertraging op. Cohesie is een belangrijk streven in deze ontwikkeling. Bundeling van de activiteiten en dienstverlening zal niet alleen leiden tot de beoogde professionalisering en verzakelijking, maar bovendien een belangrijke impuls geven aan de stroomlijning van de vraagarticulatie (demand management) en de sturing op het volume en de competenties van de externe inhuur (supply management). Daarom is het van belang om een goede balans te vinden tussen een zorgvuldige transitie enerzijds en een voortvarend implementatietempo anderzijds. De ambities hoeven niet in een tijdsbestek van enkele weken gerealiseerd te worden, maar de fundamentele keuze voor shared services, stabiliteit en schaalvoordelen is onvoorwaardelijk.
Over de auteur Dr. René Matthijsse RE is werkzaam als director e-government bij Capgemini Public Sector.
CRISC Training Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CRISC examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit voorjaar weer trainingen ten behoeve van deze examens. Meer informatie over het examen is te vinden op www.isaca.nl.
9
Chapnews
Position of Research Director ISACA is looking to partner with a specific individual(s) in each ISACA chapter to serve as the main liaison between the chapter and the development of research at ISACA headquarters. As such, a newly created position description for a chapter-level Research Director has been developed (see below). The idea is to better connect with chapters in an ongoing way with regard to upcoming research. It will also allow chapters to have a local “point person” with the most up-to-date information at your events and meetings when members inquire about ISACA deliverables. ISACA research staff will be holding quarterly calls with chapter Research Directors to provide knowledge on the projects currently in development and to ask them for input on identifying appropriate subject matter experts for projects. ISACA NL has decided to participate in this interesting and important initiatives.
Major Responsibilities of Research Director The Chapter Research Director: 1.
Acts as the chapter’s primary contact with ISACA’s research department to become the chapter’s subject matter expert (SME) in ISACA’s knowledge deliverables.
2.
Helps to identify potential SMEs to participate in development or review of ISACA research products
3.
Attends quarterly calls scheduled by ISACA HQ to learn about newly released, ongoing & future research developments.
4.
Liaise with chapter Marketing Director, Newsletter Editor, Webmaster, and Education/ Program Director to ensure dissemination of information about ISACA research to chapter members.
5.
Maintain ongoing communication with ISACA HQ research department to provide feedback on deliverables.
Reporting Responsibilities The Research Director reports to the Chapter President.
CISM Training Elk jaar wordt op diverse plaatsen op de wereld en dus ook in Nederland CISM examens georganiseerd. Eén examen in het voorjaar en één examen in het najaar. ISACA NL Chapter organiseert dit najaar weer trainingen ten behoeve van deze examens. Meer informatie over het examen is te vinden op www.isaca.nl.
10
