Compliance & governance

Samenvatting van een eerdere publicatie op aslbislfoundation.org.

In het kader van compliance & governance moet iedere organisatie bij het halen van de on-dernemingsdoelstellingen steeds meer rekening houden met de risico’s en bedreigingen die hier-bij op kunnen treden. Om hier pro-actief op voorbereid te zijn moet een goed controlemodel zijn ingericht en geïmplementeerd.

Na diverse boekhoudschandalen is nog duidelijker geworden dat iedere organisatie de besturing goed op orde moet hebben. Door de toenemende rol van de informatievoorziening ontkomt ook het ICT-vakgebied niet aan een helder en sluitend controlemodel gebaseerd op, bij voorkeur, in-ternationaal geaccepteerde modellen.Vanuit de diverse beschikbare modellen moet een organisatie kiezen welke voor haar het best van toepassing is.

Om te voeldoen aan de (interne) compliance & governance richtlijnen is binnen Achmea GITS, vanuit diverse modellen als ITIL, ASL, BiSL, Cobit, Code Tabaksblad, etc een veelomvattend normenmodel opgesteld. Vanuit dit normenmodel is op basis van risicoanalyses vastgesteld welke belangrijke controls ingericht en geïmplementeerd moeten worden in de ICT-organisatie. Met deze zogenaamde key-controls kan aantoonbaar worden gemaakt dat bij de werkzaamheden de belang-rijkste risico’s worden afgedekt.

In zogenaamde GRIP-gesprekken wordt iedere lijnmanager ondersteund bij het optimaal inrichten en implementeren van de aan de afdeling toegekende controls. Een volgende verbeterstap is het combineren van normen, maatregelen, practices, etc. in één con-trolelijst per proces waarmee het mogelijk wordt in één slag, zowel de compliance als de CMM-volwassenheid van een IT-afdeling aantoonbaar te bepalen.

Inleiding

Om het ASL en BiSL framework te verbeteren en de huidige kennis en ervaring te delen, organiseren de diverse werkgroepen van de ASL BiSL Foundation regelmatig verdiepingsavonden. Ook over compliance & governance is een verdiepingsavond geweest. In dit whitepaper over ‘De Avonden’ van de ASL Foundation leest u over de belangrijkste inzichten en ervaringen van de sessie. Daarbij wordt de opzet gevolgd als het originele programma van de avond, dat wil zeggen dat de volgende onderwerpen aan bod komen:• Onderwerp1: Introductie op governance & compliance
• Onderwerp2: Visie op governance & compliance
• Onderwerp3: Praktijkcase Achmea
• Stellingen en discussie

Dit whitepaper wordt afgesloten met de belangrijkste conclusies.

De ASL BiSL Foundation is van mening dat een goede relatie tussen applicatiebeheerorganisaties en functioneelbeheerorganisaties effectief beheer en vernieuwing van de geautomatiseerde systemen bevordert. Goede ondersteunende systemen zijn van cruciaal belang voor een effectieve en efficiënte be-drijfsvoering. Een goede samenwerking en afstemming van de procedures op elkaar helpen bij een professioneel beleid. Applicatie beheerorganisaties moeten pro-actief met de gebruiker meedenken over een zo goed mogelijke ondersteuning van de bedrijfsvoering met geautomatiseerde systemen.

Introductie op governance & compliance

door Wim Zethof RE RA, van Getronics PinkRoccade.In de presentatie is ingegaan op de onderwerpen:

• Wat omvat corporate governance
• IT-governance: een afgeleide
• Betekenis van riskmanagement (securitymanagement)
• Security management en de wereld van ASL/BiSL
• Governance in de praktijk

Iedere organisatie kent voor het behalen van haar ondernemingsdoelstellingen een structuur waarin vastliggen welke processen, activiteiten en functies worden onderkend en hoe de taken, bevoegdheden en verantwoordelijkheden zijn toegekend. Daarnaast worden processen uitgevoerd om de doelstellingen te halen. Het management stuurt op het behalen van deze doelstellingen.Voor de onderdelen structuur en processen is informatie benodigd waaraan kwaliteits- en beveiligingseisen zijn gesteld.Voor het verantwoord kunnen realiseren van de ondernemingsdoelstellingen moet een intern controlesys-teem ingericht worden dat zich richt op transparantie, het managen van risico’s,wet en regelgeving waar-aan voldaan moet worden, interne controle en auditing. Met dit interne controlesysteem wordt vervolgens inzicht verkregen in welke mate de ondernemingsdoelstellingen behaald worden. Dit controlesysteem kan bijvoorbeeld gebaseerd zijn op het COSO framework.

Het COSO framework biedt vanuit een drietal perspectieven op ieder perspectiefsnijpunt een ‘objective’, een te behalen doel, dat gebruikt kan worden voor het beschrijven van een IT activiteit en ter controle van de rapportage vanuit de uitgevoerde IT-activiteit.

Naast het COSO model is het CoBiT framework ontwikkeld waarin eveneens control-objectives, audit guidelines en management guidelines zij beschreven.

Hierbij zijn de perspectieven IT-processen, Busi-ness Requirements en IT-resources naar te implementeren normen vertaald.
Kern van de modellen is het beheersen van de mogelijke risico’s en bedreigingen die op kunnen treden tijdens de uitvoering van de werkzaamheden en het gebruik van de informatie. Het beheer hiervan kan volgens de Deming cyclus (Plan – Do – Check – Act) ingericht worden waarbij de volgende stappen doorlopen worden:

• Opstellen beleid rond informatiebeveiliging
• Analyseren van afhankelijkheden en kwetsbaarheden / bedreigingen
• Opstellen van een beveiligingsplan
• Nemen van maatregelen, zowel fysiek, logisch als organisatorisch waarbij onderscheid gemaakt wordt naar preventieve en repressieve maatregelen.
• Het controleren van het effect van de genomen maatregelen
• Het evalueren en bijsturen.

Vanuit een praktijkopdracht is vervolgens aangegeven hoe een IRM Control Framework ingericht kan worden en hoe de controls geregistreerd zijn. Hieruit bleek tevens dat,hoewel veel controls wel impliciet worden uitgevoerd, het aantoonbaar maken en vastleggen hiervan een behoorlijke inspanning kost

Visie op governance & compliance

De presentatie is gegeven door Dr. Abbas Shahim RE, van KPMG IT Advisory.In de presentatie is ingegaan op de onderwerpen:
• IT beheersing in het verleden
• Marktontwikkelingen
• IT governance attestation

Het beheersen van de IT is altijd vormgegeven vanuit de combinatie van inrichting en audit. Bij inrichting wordt vooral gebruik gemaakt van raamwerken en modellen (bv ITIL) om de levering van een kwalitatief goede IT-dienstverlening te ondersteunen. Het auditen, het uitvoeren van onderzoeken, is voornamelijk gericht op beheer en beveiliging en wordt bijvoorbeeld gebruikt voor het afgeven van een TPM (Third Party Mededeling).

Door verschillende boekhoudschandalen (Enron,Ahold) is duidelijk geworden dat de bedrijfsvoering,waaronder ook de IT-voorziening, beter gecontroleerd moet worden. Het is noodzakelijk geworden aan-dacht te besteden aan een meer gerichte en afgedwongen beheersingbeheersing van de IT. Deze toenemende belangstelling voor IT-governance heeft vele bewegingen in gang gezet waardoor IT-governance prominent op het netvlies kwam.

Belangrijk bij het vaststellen van governance is hoe een onderzoek leidt tot een “governance-score”, het voor dit onderzoek te gebruiken model en op welke wijze gerapporteerd wordt. Hoewel er verschillende auditmethoden zijn, bijvoorbeeld SAS70 audits, worden nog relatief weinig standaard methoden toegepast.Vanuit het IT Governance Institute (ITGI) is een raamwerk in ontwikkeling dat houvast biedt om een IT-governance mededeling (een attestation) op te stellen gebaseerd op een vooraf gebaseerde scope. Hierin wordt zoveel mogelijk gebruik gemaakt van internationaal geaccepteerde standaarden zoals Cobit 4.1 en SAS70.

Het model is bruikbaar voor diverse doeleinden zoals:

• Compliancy
• Voldoen aan eisen stakeholders en externe auditors
• Voldoen aan eisen toezichthouders
• Conformancy

Bij ieder onderzoek moet het model nog wel worden aangepast op de situatie waarin een organisatie opereert. Hierbij spelen bijvoorbeeld de volgende onderwerpen een rol:

• Internationaal geldende wet en regelgeving die van toepassing is (SOx, Basel II, Solvency)
• Lokale wet en regelgeving (Code Tabaksblad, Wet Bescherming Persoonsgegevens, etc.)
• Corporate governance (bedrijfsspecifieke eisen)
• Regeling Organisaties en beheersing van DNB (De Nederlandse Bank)
• (Out)sourcing van onderdelen en/of werkzaamheden
• Et cetera.

Boeken over dit onderwerp

ASL 2 – Een framework voor applicatiemanagement

Auteur: Remko van der Pols
ASL, application Service Library, is als publicdomain-standaard hét procesframework voor applicatiemanagement. Dit handboek geeft u een gedegen en compleet overzicht van ASL 2, een evolutionaire vernieuwing van het succesvolle en breed toegepaste ASL framework. ASL ondersteunt u bij het inrichten van applicatiemanagement, onder andere door de best practices die te vinden zijn op de website van de ASL BiSL foundation. ASL is daardoor ook een kennisnetwerk. Bovendien sluit ASL aan op andere frameworks zoals BiSL (voor business information management) en ITIL.
Europrijs: 42,35
Bestellen

Naar een vraaggestuurde informatievoorziening

Auteur: Remko van der Pols
‘Naar een vraaggestuurde informatievoorziening’ is geschreven door experts op het gebied van de standaarden voor het beheer van IT en de informatievoorziening (IV). Zij brengen de werelden van IT en de business – in dit geval de zorg en bedrijfsvoering daarvan – bij elkaar. Dit combineren ze met hun jarenlange beheerervaring in verschillende marktsegmenten, waardoor Naar een vraaggestuurde informatievoorziening een praktisch boek is geworden. Het biedt de lezers vanuit verschillende perspectieven en op verschillende niveaus handreikingen en best practices.
Europrijs: 39,95
Bestellen

Meer boeken over ASL vinden.


-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Dit artikel heeft een aanvulling

Geef een aanvulling

Licentie: Public Domain

Checklisten:
Invulling kwaliteitsmanagement 13 vragen.
De 17 standaard IT kwaliteitsvragen 17 vragen.
Sidebar