1. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
1
Informatieketens vragen om nieuwe
Assurance
INFOSECURITY.NL NOVEMBER 2010
Betrouwbaarheid “by design” of als uitkomst
Ruud J. Mollema RE RA
Werkgroep Ketenauditing

2. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Werkgroep Ketenauditing van NOREA, zoekt naar nieuwe wegen
• M. Bosch VWS
• A. de Bruijn PwC
• W.Geertsma RAD
• R. Matthijsse Capgemini
• R.J. Mollema HEC
• R. Smildiger RAD
• B. J. van Staveren UWV
• R. Torabkhani AlignNet
• M. Welters E&Y
2

3. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
FEIT
Er speelt zich veel af in het
publieke ICT domein
3

4. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
4
Wat zich ontwikkelt
1. De informatiehuishouding in de publieke sector verandert in hoog tempo
2. Samenwerking en gegevensuitwisseling in ketens en netwerken spelen een
belangrijke rol
3. INK bepaalt een groot deel van het speelveld
4. Kwaliteit wordt aan het begin van de inrichting van de keten bepaald
5. De IT audit beroepsgroep zoekt naar een moderne roldefinitie
en heeft nieuw instrumentarium nodig
6. De basis van een modern referentiemodel voor IT auditing en management
review wordt gepresenteerd
7. Rol positionering en gedrag zullen ook moeten ontwikkelen
8. Leiderschap is kritische succes factor

5. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
5
Wat gebeurt er binnen de overheid?
Commisie Kohnstam
E-overheid
NORA
Roel Bekker
ICT leveranciers
Manifestgroep
NUP
Organisatie van de Rijksdienst en
uitvoering
Betere dienstverlening & minder lasten
Eén Architectuur voor dienstverlening
Een efficiënte, gestandaardiseerde
overheid
Een bizar veld van reactie en
beïnvloeding
Geen concurrentie op infrastructuren
Invoeringsplan e-overheid voor lagere
overheden

6. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
MENINGEN
Oordelen over performance
6

7. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
7
Onvoldoende grip op informatievoorziening en IT
• Het huidige stelsel van verantwoording, controle en toezicht is
een in zichzelf gekeerd specialistisch systeem geworden, waarin
uitvoeringsorganisaties zichzelf niet meer herkennen
• Noodzaak tot een andere toepassing van governance met meer aandacht voor
risicomanagement bij de beleidsvorming en meer beslisruimte voor
uitvoeringsorganisaties
• Het terugdringen van de controle-op-controle door een gerichte inrichting van de
architectuur en governance
• IT-governance moet permanent worden ingebed in beleidstrajecten en sw reguliere
planning-en control cyclus (COBIT)
• Opdrachtgeverschap is onvoldoende ontwikkeld

8. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
8
Genomen maatregelen als reactie op AR rapport
• Meer structurele aandacht voor de rol van opdrachtgever,
bestuurlijke dimensie en de problematiek rondom samenwerking in
ketens
• Inrichting: versterking van CIO-functie in de organisatie als
beheerder van projectenportfolio en informatiemanagement op de
bestuurlijke agenda
• BZK heeft ter versterking van systeemverantwoordelijkheid de rol
van DGOBR ingericht, maar eigen verantwoordelijkheid van
ministers blijft
• Gateway-methode is als kwaliteitsinstrument ingevoerd en kan
overheid helpen leren en verbeteren, maar is niet gemaakt voor
management control

9. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
UITDAGING
Wie houdt grip op deze ontwikkelingen?
9

10. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
10
De rol en bijdrage van IT auditing wordt zelden genoemd
• IT governance staat vaker op de bestuurlijke agenda, want
in hoge mate bepalend voor de outcome voor maatschappelijke
doelstellingen
• De IT audit functie is buiten spel geraakt en wordt niet (meer) gezien
als een vakdeskundige gesprekspartner en als cruciaal onderdeel van
het management control proces
• De IT audit functie heeft een technische connotatie, geen adequate
controlemechanismen maar snoepwinkeltje aan
(verouderde)raamwerken
• Er is nauwelijks wetenschappelijk onderzoek naar moderne
structuren, processen en adequate beoordelingsmodellen voor
assurance in informatieketens

11. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
11
Complicaties bij oordeelsvorming in informatieketens
• Opdrachtgeverschap binnen ketenverband niet helder
• Autonomie en financiering van overheidsorganisaties
• Gebrek aan integrale ketencoördinatie op bestuurlijk niveau
• Aantal autonome organisaties bij de samenwerking
• Hoge mate van functionele specialisatie van de betrokken organisaties
• Betrokkenheid van verschillende bestuurlijke lagen
• Zoeken naar balans tussen autonomie en integratie (vrijheid in gebondenheid)

12. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
INFORMATIEKETENS
Een blijvend verschijnsel
12

13. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
13
Informatieketens in soorten en maten
•Klassieke uitbesteding
•Semi-trust
•Semi-keten
•Echte keten
Ketengovernance, de EDP-auditor nummer 1 | 2006

14. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
14
INK en Competentie
Organisaties ontwikkelen zich volgens INK niveaus en
bevinden zich in meerdere niveaus:

15. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
15
Elk niveau stelt andere eisen en zet ontwikkelingen in gang
1. Activiteitgericht
2. Procesgericht
3. Systeemgericht
4. Ketengericht
• Functiebeschrijvingen
• Taakopdrachten
• Persoonlijk gereedschap
• Effectiviteit
• Procesbeschrijvingen
• AO
• ERP
• Interene optimalitsatie
• Productgericht
• Architecturen NORA
• Generieke infrastructuren
• Samenwerking
• Dienstgerichtheid Manifestgroep, NUP
• SLA’s
• Servicegerichtheid
• Vertrouwen Basisregistraties
• Informatieketens
• Open infrastructuren
• Ontwikkeling van services

16. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
16
Overheid in INK gevat
• Overheidsorganisaties bevinden zich overwegend in niveau 2
• Ontwikkelingen in e-overheid richten zich voornamelijk op tooling
voor niveau 3
• Ketens veronderstellen van alle partijen niveau 4
• Verschil in volwassenheid bij aanwezige organisaties en competenties
leiden tot aansluitingsproblemen in informatieketens

17. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
17
Beïnvloeding van informatieketens
NORA
E-
OVerheid
Cie
Kohnstam
Roel
Bekker
Manifestgroep
NUP
Forum
Standaardisatie
Leveranciers

18. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
ASSURANCE
Nieuwe onzekerheden vragen om
nieuwe antwoorden
18

19. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
19
Complexiteit + nieuwe actoren = onzekerheid

20. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Samenwerking in de publieke sector
20
Ketensamenwerking over de kolommen heen
is het importeren van (politieke) risico’s.
De ketenafhankelijkheden zijn massaal,
de afhankelijkheid van anderen enorm.

21. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
21
Voorbeeld: de sector Veiligheid

22. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Assurance in perspectief
22
In den beginne was er alleen maar professional judgement,
later onderbouwd met modellen en normenkaders

23. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Assurance en controle in programma’s
23

24. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
24
Veranderende vraag naar assurance
• Nieuwe vraagstukken door ontwikkelingen
• Veel complexiteit
• Generieke componenten doorbreken bestaande governance
• Focus op diensten en (web)services in plaats van processen
en systemen
• Betrouwbaarheid by design
• Audit als stuurmiddel i.p.v. verantwoording

25. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
25
Conclusie: veranderende behoefte aan audit modellen
• Meer complexiteit
• Keteninrichting
• Verleggen van betrouwbaarheidsvraagstukken naar
ontwerpfase
Vraagt om herindeling en benoeming
van de audit functie en aanvullende assurance
producten voor de Publieke Sector

26. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
ASSURANCE OVER INFORMATIEKETENS
Nieuwe invalshoeken en domeinen
26

27. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
INFRASTRUCTUUR
KETENPARTIJ / ORGANISATIE
PROCESSEN
INFORMATIE
OBJECTENINDEKETEN
Voorbereiding
Ontwikkeling
Uitvoering
Invalshoek voor assurance in informatieketens
naar ontwikkelingsfase
27

28. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
28
STRATEGIE
STRUCTUUR
UITVOERING
BELEID INFORMATIE TECHNOLOGIE
Assurance breidt zich uit richting uitvoeringsbeleid, want de
traditionele ICT is de drager voor verandering geworden
28

29. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
29
Voor-
bereiding
Ontwik-
keling
Uitvoering Afbouw
Bestuurlijk-organisatorisch
Wet- en regelgeving
Bedrijfsprocessen
Gegevens en toepassingen
Informatietechniek
Sociaal-organisatorisch
Marketing en Voorlichting
Projectorganisatie
Financieel-economisch
Politiek-strategisch
Aspecten in de lifecycle
Informatiebeveiliging

30. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Lifecycle
Criteria
Voorbereidingsfase Ontwikkelfase Uitvoeringsfase Afbouwfase
Cluster 1 WET
•Politiek Strategisch
•Bestuurlijk Organisatorisch
•Wet- en Regelgeving
•Financieel Economisch
Review wetsconcept/AMvB
Review Ketengovernance
Review Business Case
Programmareview
Gateway Review
Review Beleid en
Doelstellingen MSP
Risico beoordeling
beeindiging / overgang
Audit afbouw /
overgangsplan
Kaderwet ZBO’s
Wetten op de Basisregistraties
WBP
Richtlijnen Grote Projecten
Wetten op de Basisregistraties
MSP / Prince2
WBP
COBIT
ITIL
WBP WBP
Cluster 2 PROCES
•Bedrijfsprocessen
•Gegevens en Toepassingen
•Informatietechniek
•Competenties
Review UA / UT
Audit informatiemodel
Audit toepassing WBP
Audit informatiebeveiliging
Risico analyses
Project audit / review
Pre-implementatie audit
Audit informatiebeveiliging
Review ISO 15489/2082
Audit toepassing WBP
Audit informatiebeveiliging
Audit op systemen
Audit op processen
Audit op keten(s)
Review ISO 15489/2082
Audit toepassing WBP
Audit informatiebeveiliging
G2G Due Diligence
Review ISO 15489/2082
Architecturen
Archiefwet
NOREA Normen
VIR(/BI)
Standaarden CvS
Architecturen
Archiefwet
ISO 15489/2082
C.v.Informatiebeveiliging
NOREA Normen
VIR(/BI)
BISL / ASL
Archiefwet
ISO 15489/2082
C.v.Informatiebeveiliging
NOREA Normen
VIR(/BI)
Archiefwet
ISO 15489/2082
C.v.Informatiebeveiliging
NOREA Normen
VIR(/BI)
Cluster 3 KLANT
•Sociaal Organisatorisch
•Markteting en Voorlichting
•Kanaal- en Klantsturing
Risicoanalyse klantproces Audit op compliance NORA
Richtlijnen Dienstverlening
NORA
Richtlijnen Dienstverlening
NORA
Handvest
Publieke.Verantwoording.
Assurance in de lifecycle

31. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
31
Conclusie
1. Verscheidenheid in behoefte aan assurance door de komst van
informatieketens leidt tot een diversiteit in vragen en
antwoorden
2. Betrouwbaarheid wordt grotendeels in de ontwerpfase bepaald,
daarna is het moeilijk nog aan te passen
3. Assurance in ketens is breder dan audit, waardoor de
gangbare normenkaders niet meer voldoende zijn

32. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Opdrachten voor de beroepsgroep
• ICT-audit zal als dominante factor in de lifecycle van
informatieketens aanwezig moeten zijn
• Haar beroepsgroep zal een claim op een aantal leidende
assurance producten moeten leggen.
• Voor de overblijvende assurance producten zoals de Gateway
Review zal een nieuw assurance regime worden gevonden
32

33. de beroepsorganisatie van IT-auditors
www.infosecurity.nl
Net als de media industrie, zal de beroepsgroep van ICT-auditors
zich aanpassen aan moderne tijden en nieuwe technologieën
33