Sharing IT Best Practices with youSharing IT Best Practices with you
Compliance & governance
In het kader van compliance & governance moet iedere organisatie bij het halen van de ondernemingsdoelstellingen steeds meer rekening houden met de risico’s en bedreigingen die hierbij op kunnen treden. Om hier pro-actief op voorbereid te zijn moet een goed controlemodel zijn ingericht en geïmplementeerd.
Na diverse boekhoudschandalen is nog duidelijker geworden dat iedere organisatie de besturing goed op orde moet hebben. Door de toenemende rol van de informatievoorziening ontkomt ook het ICT-vakgebied niet aan een helder en sluitend controlemodel gebaseerd op, bij voorkeur, in-ternationaal geaccepteerde modellen.Vanuit de diverse beschikbare modellen moet een organisatie kiezen welke voor haar het best van toepassing is.
Om te voldoen aan de (interne) compliance & governance richtlijnen is binnen Achmea GITS, vanuit diverse modellen als ITIL, ASL, BiSL, Cobit, Code Tabaksblad, etc een veelomvattend normenmodel opgesteld. Vanuit dit normenmodel is op basis van risicoanalyses vastgesteld welke belangrijke controls ingericht en geïmplementeerd moeten worden in de ICT-organisatie. Met deze zogenaamde key-controls kan aantoonbaar worden gemaakt dat bij de werkzaamheden de belangrijkste risico’s worden afgedekt.
In zogenaamde GRIP-gesprekken wordt iedere lijnmanager ondersteund bij het optimaal inrichten en implementeren van de aan de afdeling toegekende controls. Een volgende verbeterstap is het combineren van normen, maatregelen, practices, etc. in één con-trolelijst per proces waarmee het mogelijk wordt in één slag, zowel de compliance als de CMM-volwassenheid van een IT-afdeling aantoonbaar te bepalen.
Om het ASL en BiSL framework te verbeteren en de huidige kennis en ervaring te delen, organiseren de diverse werkgroepen van de ASL BiSL Foundation regelmatig verdiepingsavonden. Ook over compliance & governance is een verdiepingsavond geweest. In dit whitepaper over ‘De Avonden’ van de ASL BiSL Foundation leest u over de belangrijkste inzichten en ervaringen van de sessie. Daarbij wordt de opzet gevolgd als het originele programma van de avond, dat wil zeggen dat de volgende onderwerpen aan bod komen:
Dit whitepaper wordt afgesloten met de belangrijkste conclusies.
De ASL BiSL Foundation is van mening dat een goede relatie tussen applicatiebeheerorganisaties en functioneelbeheerorganisaties effectief beheer en vernieuwing van de geautomatiseerde systemen bevordert. Goede ondersteunende systemen zijn van cruciaal belang voor een effectieve en efficiënte be-drijfsvoering. Een goede samenwerking en afstemming van de procedures op elkaar helpen bij een professioneel beleid. Applicatie beheerorganisaties moeten pro-actief met de gebruiker meedenken over een zo goed mogelijke ondersteuning van de bedrijfsvoering met geautomatiseerde systemen.
door Wim Zethof RE RA, van Getronics PinkRoccade. In de presentatie is ingegaan op de onderwerpen:
Iedere organisatie kent voor het behalen van haar ondernemingsdoelstellingen een structuur waarin vastliggen welke processen, activiteiten en functies worden onderkend en hoe de taken, bevoegdheden en verantwoordelijkheden zijn toegekend. Daarnaast worden processen uitgevoerd om de doelstellingen te halen. Het management stuurt op het behalen van deze doelstellingen.Voor de onderdelen structuur en processen is informatie benodigd waaraan kwaliteits- en beveiligingseisen zijn gesteld.Voor het verantwoord kunnen realiseren van de ondernemingsdoelstellingen moet een intern controlesysteem ingericht worden dat zich richt op transparantie, het managen van risico’s,wet en regelgeving waar-aan voldaan moet worden, interne controle en auditing. Met dit interne controlesysteem wordt vervolgens inzicht verkregen in welke mate de ondernemingsdoelstellingen behaald worden. Dit controlesysteem kan bijvoorbeeld gebaseerd zijn op het COSO framework.
Het COSO framework biedt vanuit een drietal perspectieven op ieder perspectiefsnijpunt een ‘objective’, een te behalen doel, dat gebruikt kan worden voor het beschrijven van een IT activiteit en ter controle van de rapportage vanuit de uitgevoerde IT-activiteit.
Naast het COSO model is het CoBiT framework ontwikkeld waarin eveneens control-objectives, audit guidelines en management guidelines zij beschreven.
Hierbij zijn de perspectieven IT-processen, Business Requirements en IT-resources naar te implementeren normen vertaald.
Kern van de modellen is het beheersen van de mogelijke risico’s en bedreigingen die op kunnen treden tijdens de uitvoering van de werkzaamheden en het gebruik van de informatie. Het beheer hiervan kan volgens de Deming cyclus (Plan – Do – Check – Act) ingericht worden waarbij de volgende stappen doorlopen worden:
Vanuit een praktijkopdracht is vervolgens aangegeven hoe een IRM Control Framework ingericht kan worden en hoe de controls geregistreerd zijn. Hieruit bleek tevens dat, hoewel veel controls wel impliciet worden uitgevoerd, het aantoonbaar maken en vastleggen hiervan een behoorlijke inspanning kost.
De presentatie is gegeven door Dr. Abbas Shahim RE, van KPMG IT Advisory.In de presentatie is ingegaan op de onderwerpen:
Het beheersen van de IT is altijd vormgegeven vanuit de combinatie van inrichting en audit. Bij inrichting wordt vooral gebruik gemaakt van raamwerken en modellen (bv ITIL) om de levering van een kwalitatief goede IT-dienstverlening te ondersteunen. Het auditen, het uitvoeren van onderzoeken, is voornamelijk gericht op beheer en beveiliging en wordt bijvoorbeeld gebruikt voor het afgeven van een TPM (Third Party Mededeling).
Door verschillende boekhoudschandalen (Enron, Ahold) is duidelijk geworden dat de bedrijfsvoering,waaronder ook de IT-voorziening, beter gecontroleerd moet worden. Het is noodzakelijk geworden aan-dacht te besteden aan een meer gerichte en afgedwongen beheersing van de IT. Deze toenemende belangstelling voor IT-governance heeft vele bewegingen in gang gezet waardoor IT-governance prominent op het netvlies kwam.
Belangrijk bij het vaststellen van governance is hoe een onderzoek leidt tot een “governance-score”, het voor dit onderzoek te gebruiken model en op welke wijze gerapporteerd wordt. Hoewel er verschillende auditmethoden zijn, bijvoorbeeld SAS70 audits, worden nog relatief weinig standaard methoden toegepast.Vanuit het IT Governance Institute (ITGI) is een raamwerk in ontwikkeling dat houvast biedt om een IT-governance mededeling (een attestation) op te stellen gebaseerd op een vooraf gebaseerde scope. Hierin wordt zoveel mogelijk gebruik gemaakt van internationaal geaccepteerde standaarden zoals Cobit 4.1 en SAS70.
Het model is bruikbaar voor diverse doeleinden zoals:
Bij ieder onderzoek moet het model nog wel worden aangepast op de situatie waarin een organisatie opereert. Hierbij spelen bijvoorbeeld de volgende onderwerpen een rol:
Samenvatting van een eerdere publicatie op aslbislfoundation.org.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.