de beroepsorganisatie van IT-auditors
www.infosecurity.nl
1
Informatieketens vragen om nieuwe
Assurance
INFOSECURITY.NL NO...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Werkgroep Ketenauditing van NOREA, zoekt naar nieuwe wegen
• M. ...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
FEIT
Er speelt zich veel af in het
publieke ICT domein
3
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
4
Wat zich ontwikkelt
1. De informatiehuishouding in de publieke...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
5
Wat gebeurt er binnen de overheid?
Commisie Kohnstam
E-overhei...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
MENINGEN
Oordelen over performance
6
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
7
Onvoldoende grip op informatievoorziening en IT
• Het huidige ...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
8
Genomen maatregelen als reactie op AR rapport
• Meer structure...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
UITDAGING
Wie houdt grip op deze ontwikkelingen?
9
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
10
De rol en bijdrage van IT auditing wordt zelden genoemd
• IT ...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
11
Complicaties bij oordeelsvorming in informatieketens
• Opdrac...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
INFORMATIEKETENS
Een blijvend verschijnsel
12
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
13
Informatieketens in soorten en maten
•Klassieke uitbesteding
...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
14
INK en Competentie
Organisaties ontwikkelen zich volgens INK ...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
15
Elk niveau stelt andere eisen en zet ontwikkelingen in gang
1...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
16
Overheid in INK gevat
• Overheidsorganisaties bevinden zich o...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
17
Beïnvloeding van informatieketens
NORA
E-
OVerheid
Cie
Kohnst...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
ASSURANCE
Nieuwe onzekerheden vragen om
nieuwe antwoorden
18
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
19
Complexiteit + nieuwe actoren = onzekerheid
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Samenwerking in de publieke sector
20
Ketensamenwerking over de ...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
21
Voorbeeld: de sector Veiligheid
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Assurance in perspectief
22
In den beginne was er alleen maar pr...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Assurance en controle in programma’s
23
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
24
Veranderende vraag naar assurance
• Nieuwe vraagstukken door ...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
25
Conclusie: veranderende behoefte aan audit modellen
• Meer co...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
ASSURANCE OVER INFORMATIEKETENS
Nieuwe invalshoeken en domeinen
...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
INFRASTRUCTUUR
KETENPARTIJ / ORGANISATIE
PROCESSEN
INFORMATIE
OB...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
28
STRATEGIE
STRUCTUUR
UITVOERING
BELEID INFORMATIE TECHNOLOGIE
...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
29
Voor-
bereiding
Ontwik-
keling
Uitvoering Afbouw
Bestuurlijk-...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Lifecycle
Criteria
Voorbereidingsfase Ontwikkelfase Uitvoeringsf...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
31
Conclusie
1. Verscheidenheid in behoefte aan assurance door d...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Opdrachten voor de beroepsgroep
• ICT-audit zal als dominante fa...
de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Net als de media industrie, zal de beroepsgroep van ICT-auditors...
Upcoming SlideShare
Loading in...5
×

Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht

613

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
613
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ruud Mollema, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht

  1. 1. de beroepsorganisatie van IT-auditors www.infosecurity.nl 1 Informatieketens vragen om nieuwe Assurance INFOSECURITY.NL NOVEMBER 2010 Betrouwbaarheid “by design” of als uitkomst Ruud J. Mollema RE RA Werkgroep Ketenauditing
  2. 2. de beroepsorganisatie van IT-auditors www.infosecurity.nl Werkgroep Ketenauditing van NOREA, zoekt naar nieuwe wegen • M. Bosch VWS • A. de Bruijn PwC • W.Geertsma RAD • R. Matthijsse Capgemini • R.J. Mollema HEC • R. Smildiger RAD • B. J. van Staveren UWV • R. Torabkhani AlignNet • M. Welters E&Y 2
  3. 3. de beroepsorganisatie van IT-auditors www.infosecurity.nl FEIT Er speelt zich veel af in het publieke ICT domein 3
  4. 4. de beroepsorganisatie van IT-auditors www.infosecurity.nl 4 Wat zich ontwikkelt 1. De informatiehuishouding in de publieke sector verandert in hoog tempo 2. Samenwerking en gegevensuitwisseling in ketens en netwerken spelen een belangrijke rol 3. INK bepaalt een groot deel van het speelveld 4. Kwaliteit wordt aan het begin van de inrichting van de keten bepaald 5. De IT audit beroepsgroep zoekt naar een moderne roldefinitie en heeft nieuw instrumentarium nodig 6. De basis van een modern referentiemodel voor IT auditing en management review wordt gepresenteerd 7. Rol positionering en gedrag zullen ook moeten ontwikkelen 8. Leiderschap is kritische succes factor
  5. 5. de beroepsorganisatie van IT-auditors www.infosecurity.nl 5 Wat gebeurt er binnen de overheid? Commisie Kohnstam E-overheid NORA Roel Bekker ICT leveranciers Manifestgroep NUP Organisatie van de Rijksdienst en uitvoering Betere dienstverlening & minder lasten Eén Architectuur voor dienstverlening Een efficiënte, gestandaardiseerde overheid Een bizar veld van reactie en beïnvloeding Geen concurrentie op infrastructuren Invoeringsplan e-overheid voor lagere overheden
  6. 6. de beroepsorganisatie van IT-auditors www.infosecurity.nl MENINGEN Oordelen over performance 6
  7. 7. de beroepsorganisatie van IT-auditors www.infosecurity.nl 7 Onvoldoende grip op informatievoorziening en IT • Het huidige stelsel van verantwoording, controle en toezicht is een in zichzelf gekeerd specialistisch systeem geworden, waarin uitvoeringsorganisaties zichzelf niet meer herkennen • Noodzaak tot een andere toepassing van governance met meer aandacht voor risicomanagement bij de beleidsvorming en meer beslisruimte voor uitvoeringsorganisaties • Het terugdringen van de controle-op-controle door een gerichte inrichting van de architectuur en governance • IT-governance moet permanent worden ingebed in beleidstrajecten en sw reguliere planning-en control cyclus (COBIT) • Opdrachtgeverschap is onvoldoende ontwikkeld
  8. 8. de beroepsorganisatie van IT-auditors www.infosecurity.nl 8 Genomen maatregelen als reactie op AR rapport • Meer structurele aandacht voor de rol van opdrachtgever, bestuurlijke dimensie en de problematiek rondom samenwerking in ketens • Inrichting: versterking van CIO-functie in de organisatie als beheerder van projectenportfolio en informatiemanagement op de bestuurlijke agenda • BZK heeft ter versterking van systeemverantwoordelijkheid de rol van DGOBR ingericht, maar eigen verantwoordelijkheid van ministers blijft • Gateway-methode is als kwaliteitsinstrument ingevoerd en kan overheid helpen leren en verbeteren, maar is niet gemaakt voor management control
  9. 9. de beroepsorganisatie van IT-auditors www.infosecurity.nl UITDAGING Wie houdt grip op deze ontwikkelingen? 9
  10. 10. de beroepsorganisatie van IT-auditors www.infosecurity.nl 10 De rol en bijdrage van IT auditing wordt zelden genoemd • IT governance staat vaker op de bestuurlijke agenda, want in hoge mate bepalend voor de outcome voor maatschappelijke doelstellingen • De IT audit functie is buiten spel geraakt en wordt niet (meer) gezien als een vakdeskundige gesprekspartner en als cruciaal onderdeel van het management control proces • De IT audit functie heeft een technische connotatie, geen adequate controlemechanismen maar snoepwinkeltje aan (verouderde)raamwerken • Er is nauwelijks wetenschappelijk onderzoek naar moderne structuren, processen en adequate beoordelingsmodellen voor assurance in informatieketens
  11. 11. de beroepsorganisatie van IT-auditors www.infosecurity.nl 11 Complicaties bij oordeelsvorming in informatieketens • Opdrachtgeverschap binnen ketenverband niet helder • Autonomie en financiering van overheidsorganisaties • Gebrek aan integrale ketencoördinatie op bestuurlijk niveau • Aantal autonome organisaties bij de samenwerking • Hoge mate van functionele specialisatie van de betrokken organisaties • Betrokkenheid van verschillende bestuurlijke lagen • Zoeken naar balans tussen autonomie en integratie (vrijheid in gebondenheid)
  12. 12. de beroepsorganisatie van IT-auditors www.infosecurity.nl INFORMATIEKETENS Een blijvend verschijnsel 12
  13. 13. de beroepsorganisatie van IT-auditors www.infosecurity.nl 13 Informatieketens in soorten en maten •Klassieke uitbesteding •Semi-trust •Semi-keten •Echte keten Ketengovernance, de EDP-auditor nummer 1 | 2006
  14. 14. de beroepsorganisatie van IT-auditors www.infosecurity.nl 14 INK en Competentie Organisaties ontwikkelen zich volgens INK niveaus en bevinden zich in meerdere niveaus:
  15. 15. de beroepsorganisatie van IT-auditors www.infosecurity.nl 15 Elk niveau stelt andere eisen en zet ontwikkelingen in gang 1. Activiteitgericht 2. Procesgericht 3. Systeemgericht 4. Ketengericht • Functiebeschrijvingen • Taakopdrachten • Persoonlijk gereedschap • Effectiviteit • Procesbeschrijvingen • AO • ERP • Interene optimalitsatie • Productgericht • Architecturen NORA • Generieke infrastructuren • Samenwerking • Dienstgerichtheid Manifestgroep, NUP • SLA’s • Servicegerichtheid • Vertrouwen Basisregistraties • Informatieketens • Open infrastructuren • Ontwikkeling van services
  16. 16. de beroepsorganisatie van IT-auditors www.infosecurity.nl 16 Overheid in INK gevat • Overheidsorganisaties bevinden zich overwegend in niveau 2 • Ontwikkelingen in e-overheid richten zich voornamelijk op tooling voor niveau 3 • Ketens veronderstellen van alle partijen niveau 4 • Verschil in volwassenheid bij aanwezige organisaties en competenties leiden tot aansluitingsproblemen in informatieketens
  17. 17. de beroepsorganisatie van IT-auditors www.infosecurity.nl 17 Beïnvloeding van informatieketens NORA E- OVerheid Cie Kohnstam Roel Bekker Manifestgroep NUP Forum Standaardisatie Leveranciers
  18. 18. de beroepsorganisatie van IT-auditors www.infosecurity.nl ASSURANCE Nieuwe onzekerheden vragen om nieuwe antwoorden 18
  19. 19. de beroepsorganisatie van IT-auditors www.infosecurity.nl 19 Complexiteit + nieuwe actoren = onzekerheid
  20. 20. de beroepsorganisatie van IT-auditors www.infosecurity.nl Samenwerking in de publieke sector 20 Ketensamenwerking over de kolommen heen is het importeren van (politieke) risico’s. De ketenafhankelijkheden zijn massaal, de afhankelijkheid van anderen enorm.
  21. 21. de beroepsorganisatie van IT-auditors www.infosecurity.nl 21 Voorbeeld: de sector Veiligheid
  22. 22. de beroepsorganisatie van IT-auditors www.infosecurity.nl Assurance in perspectief 22 In den beginne was er alleen maar professional judgement, later onderbouwd met modellen en normenkaders
  23. 23. de beroepsorganisatie van IT-auditors www.infosecurity.nl Assurance en controle in programma’s 23
  24. 24. de beroepsorganisatie van IT-auditors www.infosecurity.nl 24 Veranderende vraag naar assurance • Nieuwe vraagstukken door ontwikkelingen • Veel complexiteit • Generieke componenten doorbreken bestaande governance • Focus op diensten en (web)services in plaats van processen en systemen • Betrouwbaarheid by design • Audit als stuurmiddel i.p.v. verantwoording
  25. 25. de beroepsorganisatie van IT-auditors www.infosecurity.nl 25 Conclusie: veranderende behoefte aan audit modellen • Meer complexiteit • Keteninrichting • Verleggen van betrouwbaarheidsvraagstukken naar ontwerpfase Vraagt om herindeling en benoeming van de audit functie en aanvullende assurance producten voor de Publieke Sector
  26. 26. de beroepsorganisatie van IT-auditors www.infosecurity.nl ASSURANCE OVER INFORMATIEKETENS Nieuwe invalshoeken en domeinen 26
  27. 27. de beroepsorganisatie van IT-auditors www.infosecurity.nl INFRASTRUCTUUR KETENPARTIJ / ORGANISATIE PROCESSEN INFORMATIE OBJECTENINDEKETEN Voorbereiding Ontwikkeling Uitvoering Invalshoek voor assurance in informatieketens naar ontwikkelingsfase 27
  28. 28. de beroepsorganisatie van IT-auditors www.infosecurity.nl 28 STRATEGIE STRUCTUUR UITVOERING BELEID INFORMATIE TECHNOLOGIE Assurance breidt zich uit richting uitvoeringsbeleid, want de traditionele ICT is de drager voor verandering geworden 28
  29. 29. de beroepsorganisatie van IT-auditors www.infosecurity.nl 29 Voor- bereiding Ontwik- keling Uitvoering Afbouw Bestuurlijk-organisatorisch Wet- en regelgeving Bedrijfsprocessen Gegevens en toepassingen Informatietechniek Sociaal-organisatorisch Marketing en Voorlichting Projectorganisatie Financieel-economisch Politiek-strategisch Aspecten in de lifecycle Informatiebeveiliging
  30. 30. de beroepsorganisatie van IT-auditors www.infosecurity.nl Lifecycle Criteria Voorbereidingsfase Ontwikkelfase Uitvoeringsfase Afbouwfase Cluster 1 WET •Politiek Strategisch •Bestuurlijk Organisatorisch •Wet- en Regelgeving •Financieel Economisch Review wetsconcept/AMvB Review Ketengovernance Review Business Case Programmareview Gateway Review Review Beleid en Doelstellingen MSP Risico beoordeling beeindiging / overgang Audit afbouw / overgangsplan Kaderwet ZBO’s Wetten op de Basisregistraties WBP Richtlijnen Grote Projecten Wetten op de Basisregistraties MSP / Prince2 WBP COBIT ITIL WBP WBP Cluster 2 PROCES •Bedrijfsprocessen •Gegevens en Toepassingen •Informatietechniek •Competenties Review UA / UT Audit informatiemodel Audit toepassing WBP Audit informatiebeveiliging Risico analyses Project audit / review Pre-implementatie audit Audit informatiebeveiliging Review ISO 15489/2082 Audit toepassing WBP Audit informatiebeveiliging Audit op systemen Audit op processen Audit op keten(s) Review ISO 15489/2082 Audit toepassing WBP Audit informatiebeveiliging G2G Due Diligence Review ISO 15489/2082 Architecturen Archiefwet NOREA Normen VIR(/BI) Standaarden CvS Architecturen Archiefwet ISO 15489/2082 C.v.Informatiebeveiliging NOREA Normen VIR(/BI) BISL / ASL Archiefwet ISO 15489/2082 C.v.Informatiebeveiliging NOREA Normen VIR(/BI) Archiefwet ISO 15489/2082 C.v.Informatiebeveiliging NOREA Normen VIR(/BI) Cluster 3 KLANT •Sociaal Organisatorisch •Markteting en Voorlichting •Kanaal- en Klantsturing Risicoanalyse klantproces Audit op compliance NORA Richtlijnen Dienstverlening NORA Richtlijnen Dienstverlening NORA Handvest Publieke.Verantwoording. Assurance in de lifecycle
  31. 31. de beroepsorganisatie van IT-auditors www.infosecurity.nl 31 Conclusie 1. Verscheidenheid in behoefte aan assurance door de komst van informatieketens leidt tot een diversiteit in vragen en antwoorden 2. Betrouwbaarheid wordt grotendeels in de ontwerpfase bepaald, daarna is het moeilijk nog aan te passen 3. Assurance in ketens is breder dan audit, waardoor de gangbare normenkaders niet meer voldoende zijn
  32. 32. de beroepsorganisatie van IT-auditors www.infosecurity.nl Opdrachten voor de beroepsgroep • ICT-audit zal als dominante factor in de lifecycle van informatieketens aanwezig moeten zijn • Haar beroepsgroep zal een claim op een aantal leidende assurance producten moeten leggen. • Voor de overblijvende assurance producten zoals de Gateway Review zal een nieuw assurance regime worden gevonden 32
  33. 33. de beroepsorganisatie van IT-auditors www.infosecurity.nl Net als de media industrie, zal de beroepsgroep van ICT-auditors zich aanpassen aan moderne tijden en nieuwe technologieën 33
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×