Managementsamenvatting
|
|
- Floris van den Pol
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1
2 Managementsamenvatting Beursvennootschappen worden in verschillende landen geconfronteerd met codes voor corporate governance. Hierbij kan gedacht worden aan de Nederlandse Code voor Corporate Governance van de commissie Tabaksblat en de Amerikaanse Sarbanes-Oxley Act Hierin worden onder meer eisen gesteld aan de beheersing van de bedrijfsprocessen zodat de betrouwbaarheid van verantwoordingen gewaarborgd wordt. De ondernemingsleiding moet aantoonbaar maken dat zij de bedrijfsprocessen beheerst. In toenemende mate zien we dat deze discussie over corporate goverance wordt doorgetrokken naar niet-beursgenoteerde vennootschappen en non-profit-organisaties. De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door: de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; de beheersing van IT-veranderingstrajecten; de beheersing van de IT-infrastructuur, waarop de systemen draaien; de beheersing van IT-risico s. Een heldere visie op de inzet van informatietechnologie binnen een organisatie, een goede aansturing en beheersing van de IT-inspanningen, het afleggen van verantwoording hierover en het uitoefenen van toezicht hierop vormen de basis van IT-Governance. In de praktijk geven organisaties op uiteenlopende wijze invulling aan IT-Governance. IT-Governance heeft vergaande impact op de rol, de werkzaamheden en de opleiding van IT-auditors. De IT-auditor kan voor organisaties een bijdrage leveren aan de beheersing van de informatievoorziening. Dit kan vanuit een adviserende, controlerende, faciliterende en/of certificerende rol. Activiteiten waaraan gedacht kan worden zijn het ondersteunen bij het inrichten van een IT-Governancestructuur en het onderzoeken van de beheersing van de informatievoorziening om (externe) verantwoording af te kunnen leggen. Een en ander is een belangrijke voorwaarde voor het succes van een onderneming. NOREA IT-Governance Een verkenning 1
3 2
4 Inhoudsopgave 1 Inleiding 5 2 Begripsvorming Corporate Governance IT-Governance IT-Governance modellen Conclusie en samenvatting 12 3 Casus KPN Inleiding Positionering van ICT Het IT-Governance framework van KPN Verantwoordelijkheden en scope IT-management IT-axioma s en IT-grondregels Doelarchitectuur KPN Domeinen Service Backbone IT-Sourcing Strategy Demand en Supply Rol IT-audit 22 4 Casus Fortis Inleiding Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument IT-Governance als leidraad voor een Control and Risk Self Assessment Evaluatie verschijningsvormen IT-Governance Rol IT-audit Deelconclusie en samenvatting 27 NOREA IT-Governance Een verkenning 3
5 5 Casus Akzo Nobel Inleiding Organisatie van de Informatievoorziening Informatiebeveiliging binnen Akzo Nobel IT-audit functie binnen Akzo Nobel Impact Sarbanes-Oxley Act Impact op uitbesteding van IT-diensten Deelconclusie en samenvatting 36 6 De rol van de IT-auditor IT-Governance nieuw? Nee! De beheersing van de informatievoorziening Afleggen van externe verantwoording Uitoefenen van toezicht op de beheersing van de informatievoorziening IT-Governance nieuw? Ja! Audit van IT-Governance raamwerk Context Compliance met interne en externe wet- en regelgeving Adviserende rol Uitdagingen op het gebied van IT-Governance 40 7 Literatuuroverzicht 43 4
6 1 Inleiding NOREA, de beroepsorganisatie van IT-auditors, heeft een kennisgroep IT-Governance samengesteld. De doelstelling is om het begrip IT-Governance onder de aandacht te brengen en toe te lichten binnen de beroepsgroep van IT-auditors. Daarnaast willen we voor het maatschappelijk verkeer de rol die de ITauditor kan vervullen ten aanzien van IT-Governance benadrukken. In deze verkenning wordt door de kennisgroep een aantal praktijksituaties toegelicht en worden de betekenis en consequenties van het IT-Governance begrip voor het IT-auditvak verkend. In hoofdstuk 2 Begripsvorming worden de begrippen Corporate Governance en IT-Governance toegelicht. Er is gekozen om door samenvattingen van verschillende studies naar en modellen van Corporate Governance en IT-Governance de IT-auditor een handreiking te geven voor de verschillende begrippen. De NOREA heeft bewust besloten geen nieuw model of haar eigen visie op het begrip IT-Governance neer te leggen maar een synthese uit te voeren van de reeds bestaande modellen en begrippen. De hoofdstukken drie, vier en vijf bevatten aan de hand van een drietal praktijkcases voorbeelden van een mogelijke toepassing en implementatie van IT-Governance en de rol van de IT-auditor binnen het IT- Governancemodel. Vervolgens wordt in het laatste hoofdstuk nader ingegaan op de betekenis van IT- Governance voor het werk van de IT-auditor. Afgesloten wordt in datzelfde hoofdstuk met de belangrijkste uitdagingen ten aanzien van IT-Governance voor de IT-auditor. Juni 2004, De Kennisgroep IT-Governance Drs. H.T. van Bers RE A. de Blok RE RA CISA MIM Ir. J.A.M. Donkers RE P. Harmzen RE RA Ir. J.W. de Heer RE P.A.J. van der Knaap RE RA Ir. K.M. Lof RE NOREA IT-Governance Een verkenning 5
7 6
8 2 Begripsvorming 2.1 Corporate Governance De essentie van Corporate Governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Hierbij gaat het om de wijze waarop de ondernemingsleiding bij de besturing van de organisatie rekening houdt met andere dan haar eigen belangen, zoals belangen van aandeelhouders, werknemers en de samenleving als geheel. Kort gezegd gaat het erom wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst. Recente boekhoudschandalen zoals Enron, Ahold en Parmalat hebben Corporate Governance opnieuw onder de aandacht gebracht. Deze schandalen hebben geleid tot een herleving van de discussie over de taken en verantwoordelijkheden van de verschillende rollen bij het toezicht op beursgenoteerde ondernemingen en tot de ontwikkeling van nieuwe regelgeving op dit gebied. De commissie Tabaksblat heeft recentelijk een code voor Corporate Governance gepubliceerd. In grote lijnen zullen de aanbevelingen in wetgeving worden verankerd. In 2002 is Sarbanes-Oxley wetgeving ontwikkeld die van toepassing is op alle ondernemingen die aan de Amerikaanse beurzen genoteerd zijn. Corporate Governance is al sinds het begin van de jaren 90 in de belangstelling gekomen. Faillissementen van enkele grote ondernemingen hebben in de Verenigde Staten en Engeland geleid tot een discussie over de wijze waarop besluitvorming in de top van een onderneming plaats dient te vinden. Sindsdien zijn er diverse rapportages en studies geweest naar Corporate Governance. Deze studies zijn veelal opgestart door de individuele landen als een reactie op de faillissementen van grote ondernemingen in die landen. De belangrijkste studies tot voor kort waren: 1 The Financial Aspects of Corporate Governance, UK 1992 (Cadbury-rapport); 2 Internal Control-Integrated Framework, US 1992/1994 (COSO-rapport); 3 Guidance on Control, Canada 1995 (CoCo-rapport); 4 Corporate Governance in Nederland: de veertig aanbevelingen, Nederland 25 juni 1997 (Commissie Corporate Governance - Commissie Peters); 5 Committee on Corporate Governance, UK januari 1998; 6 KonTraG-wet 1 mei 1998 Duitsland; NOREA IT-Governance Een verkenning 7
9 7 Guidance for Directors on the Combined Code, UK 1999 (Turnbull-rapport); 8 Combined Code on Corporate Governance, London Stock Exchange, 1998 (O/S). De verschillende studies hebben elk hun eigen aandachtspunten. De rapporten COSO, CoCo en Turnbull hebben betrekking op interne beheersing. De Commissie Corporate Governance en KonTraG zijn meer gericht op het afleggen van externe verantwoording. De rapporten Cadbury en Committee on Corporate Governance hebben betrekking op zowel interne beheersing als het afleggen van externe verantwoording. Hoewel het aandachtsgebied van deze studies de beursgenoteerde vennootschappen zijn, krijgt het begrip Corporate Governance zijn doorwerking richting niet-beursgenoteerde vennootschappen en non-profitorganisaties. Een duidelijk onderscheid kan worden gemaakt naar de principle based -benadering op basis van een aantal algemene randvoorwaarden en best practices en de rule based -benadering op basis van regulering, wetgeving en harde eisen. Bij de interne beheersing en het afleggen van externe verantwoording moeten organisaties naast de algemene wet- en regelgeving ook rekening houden met branchespecifieke voorschriften, zoals de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Basel II richtlijnen. In beide gevallen gaat het om voorschriften voor de bancaire sector, waar de dienstverlening voor een groot gedeelte op maatschappelijk vertrouwen gebaseerd is. De Basel II richtlijnen zijn opgesteld door het Basel-comité. Hierin zijn de monetaire toezichthouders van de tien belangrijkste industriële landen vertegenwoordigd. De richtlijnen zijn daardoor een de facto standaard voor alle toezichthouders van internationaal opererende financiële instellingen. Een voorbeeld van andere branchespecifieke voorschriften zijn de FDA voorschriften voor de farmaceutische industrie. Standaarden krijgen door globalisering meer een internationaal karakter. Verder worden aan de kwaliteit van de interne beheersing en de verantwoording daarover steeds meer positieve dan wel negatieve sancties verbonden. Een positieve sanctie is bijvoorbeeld een vermindering van solvabiliteitseisen bij banken en in de toekomst ook bij verzekeraars wanneer risico s aantoonbaar worden beheerst. Een negatieve sanctie is onder andere een importverbod van de Verenigde Staten voor producten die niet aan de FDA voorschriften voldoen. 8
10 2.2 IT-Governance Informatievoorziening ondersteunt een organisatie bij het realiseren van haar doelstellingen. De toepassing van informatietechnologie stelt een organisatie in staat producten efficiënter en effectiever te produceren, innovatiever te zijn en processen beter te beheersen. De IT-functie kan zich verheugen in een toenemende belangstelling van het management van een organisatie. De verwachtingen van een organisatie ten aanzien van de kwaliteit van informatievoorziening, functionaliteit, gebruikersgemak en snelheid van oplevering van nieuwe systemen zijn sterk toegenomen. Daarnaast vragen de snelheid van veranderingen op het gebied van informatie- en communicatietechnologie en de snelheid van veranderingen binnen organisaties om een adequate beheersing van de IT-risico s. De grote(re) afhankelijkheid van de informatiesystemen voor kritische bedrijfsprocessen vraagt om IT-beheerprocessen die nauwgezet zijn afgestemd op de organisatie. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is verder een kritische succesfactor voor ondersteuning en realisatie van de interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Eisen moeten worden gesteld aan de beheersing van de IT-processen en het afleggen van verantwoording door het voor IT verantwoordelijke management. IT-Governance gaat over het besturen, beheersen, uitvoeren, verantwoording afleggen over en het toezicht op de informatie-voorziening binnen een organisatie. In een reactie op Tabaksblat dringt de NOREA aan op onder meer een IT-commissaris, die toeziet dat IT-risico s adequaat worden beheerst. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Uiteindelijk zullen veel organisaties er niet aan ontkomen om, bijvoorbeeld via hun jaarverslagen, verantwoording af te leggen over IT-Governance aan alle belanghebbenden. 2.3 IT-Governance modellen In de afgelopen jaren hebben verschillende partijen in artikelen en studies invulling willen geven aan het begrip IT-Governance. Uit bestudering van deze documenten blijkt dat het begrip IT-Governance op verschillende manieren is uitgewerkt. De overeenkomst tussen de verschillende modellen is dat IT- Governance wordt gezien als het zodanig efficiënt en effectief organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de businesswensen en daarover rekenschap aflegt. NOREA IT-Governance Een verkenning 9
11 De volgende verschillen kunnen tussen de modellen geconstateerd worden: Het COBIT model [1] van ISACA en het IT-Governance Institute beschrijft in belangrijke mate de ITprocessen en de Control Objectives van deze IT-processen. Het betreft hoofdzakelijk processen die binnen de IT-organisatie plaatsvinden; Het COBIT-framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. In de derde versie van COBIT is het COBIT-model verder uitgewerkt tot een IT-Governance model. Het leveren van toegevoegde waarde voor de business wordt hoofdzakelijk bepaald door de aansluiting van IT op de business. Het beheersen van risico s wordt gerealiseerd door het helder beleggen van taken en verantwoordelijkheden voor IT binnen de organisatie. Het adequaat beheersen van de middelen en het meten dat de verwachte resultaten gehaald worden, zijn ondersteunend aan het leveren van de toegevoegde waarde en het beheersen van de risico s. (zie figuur 1). IT-Governance [4] wordt door ISACA en het IT-Governance Institute als volgt gedefinieerd: IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. Figuur 1 10
12 Gartner [2] beschrijft in belangrijke mate de aandachtsgebieden waarover besluiten genomen dienen te worden, zoals de visie op en uitgangspunten voor het gebruik en toepassing van IT binnen de organisatie, de IT-infrastructuur, de IT-architectuur, business behoeften en IT-prioriteiten. Verder onderscheidt men de beslissingsnemers/besturingsmodellen variërend van centraal tot decentraal en de verschillende mechanismen als organisatievormen en hulpmiddelen om de besluitvorming voor de aandachtsgebieden gestalte te geven. In tegenstelling tot COBIT wordt niet gesproken over de uit te voeren processen. Andere modellen, zoals van de verschillende accountantskantoren, bevatten elementen van zowel COBIT als Gartner. IT-Governance en IT-management worden duidelijk ten opzichte van elkaar gepositioneerd. Governance gaat over spelregels, vaststellen van het kader waarbinnen anderen opereren, beleid en aansturing, wat duidelijk aansluit bij het gedachtegoed van Gartner. IT-management is gericht op de uitvoering, besluitvorming en verantwoording van IT-activiteiten binnen de gestelde kaders. Hierbij worden de door COBIT onderscheiden IT-processen duidelijk geraakt. De toevoeging die deze modellen hebben op COBIT en Gartner is dat er gesproken wordt over organisatievormen van de IT-organisatie en over corporate standaarden. Om genoemde overeenkomsten en verschillen duidelijk te kunnen maken hebben we een illustratie (figuur 2) toegevoegd. IT-management heeft vooral betrekking op het omkaderde gedeelte. IT-management is gericht op de besluitvorming, uitvoering en verantwoording van IT-activiteiten binnen de IT-organisatie, waarbij we een onderscheid maken tussen ontwikkelactiviteiten en activiteiten in het kader van exploitatie en beheer. Procesmodellen als ITIL, Prince2 en CMM zijn beschikbaar om de organisatie van de ITactiviteiten en IT-processen te optimaliseren. IT-Governance heeft vooral betrekking op het niet omkaderde gedeelte, waar op basis van bedrijfs- en interne controledoelstellingen (setting objectives) de business in overleg met de IT-organisatie bepaalt welke IT-producten en -diensten door de IT-organisatie moeten worden geleverd en welke randvoorwaarden daarbij worden gehanteerd (strategic alignment). De IT-organisatie brengt producten en diensten voort en legt hierover verantwoording af (performance delivery). De business toetst of de geleverde producten en diensten voldoende bijdragen aan de bedrijfs- en interne controledoelstellingen en past indien nodig de eisen ten aanzien van de IT-organisatie aan. Over het geheel dient in toenemende mate externe verantwoording (external reporting) te worden afgelegd aan de stakeholders, terwijl IT-Governance ook in het toezicht (zowel door een externe toezichthouder als door de Raad van Commissarissen/Raad van Toezicht) aan de orde dient te komen. NOREA IT-Governance Een verkenning 11
13 Figuur Conclusie en samenvatting De uitgangspunten van Corporate Governance, vertalend naar wat dit betekent voor IT-Governance in een organisatie komen we tot de volgende drie aandachtsgebieden: de beheersing van de informatievoorziening binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening. Het betreft: besluitvorming en verantwoording intern omtrent IT; corporate standaarden ten aanzien van IT; verschijningsvormen van de IT-organisatie; de IT-processen; de IT-veranderingstrajecten; de IT-infrastructuur waarop de systemen draaien. 12
14 het afleggen van verantwoording over de beheersing van IT naar buiten toe. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Gezien het belang van IT voor de bedrijfsvoering en het voortbestaan van organisaties, past bij een verantwoording over de beheersing ook een verantwoording over de beheersing van IT. In toenemende mate zullen veel organisaties er niet aan ontkomen bijvoorbeeld via hun jaarverslag verantwoording af te leggen over IT-Governance aan alle belanghebbenen. het uitoefenen van toezicht op de IT-beheersing. Hierin onderkennen we twee elementen; enerzijds het uitoefenen van toezicht door een Raad van Commissarissen of Raad van Toezicht binnen een organisatie. In een reactie op Tabaksblat heeft de NOREA aangedrongen op onder meer een IT-commissaris die toezicht houdt dat de IT-risico s adequaat worden beheerst. Anderzijds het toezicht dat door toezichthouders wordt uitgeoefend. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is een kritische succesfactor voor ondersteuning en realisatie van de bedrijfsdoelstellingen en interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Een correct opgezet en werkend IT-Governancemodel is noodzakelijk om te kunnen voldoen aan wettelijke voorschriften zoals bedrijfstakspecifieke richtlijnen als de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Sarbanes-Oxley Act Een aantoonbaar goede beheersing van bedrijfsrisico s en dus ook van de IT-risico s wordt niet alleen beloond met meer publiek vertrouwen, maar in de financiële sector zelfs met minder hoge solvabiliteitseisen, wat een positieve impact kan hebben op de bedrijfsresultaten. NOREA IT-Governance Een verkenning 13
15 14
16 3 Casus KPN 3.1 Inleiding Voor KPN is een adequate invulling van de IT-functie van levensbelang. Door optimaal gebruik te maken van de ontwikkelingen op het gebied van Informatie en Communicatie Technologie (ICT) kunnen tijdig de door de markt gewenste IT-producten ontwikkeld worden. KPN bouwt als telecommunicatiebedrijf mee aan de informatiesamenleving. Het doel van KPN is permanente innovatie van IT-producten en -diensten en uitvoering van operational excellence. Deze ambitieuze doelstelling vergt op alle niveaus binnen KPN doelgericht werken en vooral samenwerken. Wil KPN ook in de toekomst een belangrijke en vooraanstaande rol blijven spelen in de telecommunicatie en IT-wereld dan is een adequate beheersing van en sturing op het IT-werkveld een van de belangrijkste kritische succesfactoren. IT-Governance, als onderdeel van KPN Corporate Governance, speelt hierin een essentiële rol. 3.2 Positionering van ICT ICT kent binnen KPN globaal 3 toepassingen: 1 Netwerk productiemiddelen (schakelapparatuur, routers, hubs, telefooncentrales) ook wel TI genoemd (ofwel de C van ICT). Deze tak van sport is met name gepositioneerd binnen het Vaste Net; 2 IT-product/dienst georiënteerd (i-mode, voic , etc.); 3 IT-bedrijfsproces georiënteerd (zoals Billing, CRM, incl. applicaties/systemen en bedrijfsnetwerken). In de Informatie en Communicatie Technologie (ICT) vervagen steeds meer de grenzen tussen de IT en de TI; steeds meer is een samenhangende beheersing gewenst over de bovengenoemde toepassingen 1, 2 en 3. Vooralsnog is de focus voor IT-Governance binnen KPN met name gericht op de beheersing van applicaties ter ondersteuning van de KPN bedrijfsprocessen. NOREA IT-Governance Een verkenning 15
17 3.3 Het IT-Governance framework van KPN Het IT Governance framework van KPN is gebaseerd op het framework dat wordt gehanteerd door Rik Maes [3]. In figuur 3 worden de verschillende objecten aangegeven welke gerelateerd zijn aan het IT- Governance framework. Figuur 3 Korte toelichting van bovenstaande framework. Verticaal zijn achtereenvolgens 3 hoofdgroepen aangegeven: Business, Information Systems en Information Technology. De Business / organisatie heeft behoefte aan informatie voor de planning en control van haar producten/diensten, activiteiten en resources. Deze informatie wordt in hoge mate geleverd door inzet van IT-middelen (applicaties, systemen en bedrijfsnetwerken). Horizontaal kunnen de hoofdgroepen Business, Information Systems en Information Technology verder gedetailleerd worden in Strategic (richten), Structure (inrichten) en Implementation (verrichten). Zo levert dit 16
18 een 3 bij 3 matrix op. Een belangrijke rol speelt hierbij de CIO (zie ook volgende paragraaf) welke zijn focus heeft op de deelvakken binnen de blauwe cirkel. De essentie van het IT-Governance framework is dat alle negen vlakken in control moeten zijn. In de volgende paragrafen wordt ingegaan op deelaspecten van IT-Governance: Verantwoordelijkheden en scope IT-management: wie is waar voor verantwoordelijk in de IT-beheersing; IT-axioma s en IT-grondregels: kaderzettende en richtinggevende IT-regelgeving; Doelarchitectuur KPN: kader waarbinnen processen, applicaties en gegevens kunnen worden gepositioneerd en worden beheerst; IT Sourcing Strategy: wat is Core business en wat is Non-core business; Demand en Supply: het vraagstuk van de beheersing van de IT vragende partij in samenhang met de IT leverende partij; Rol IT-audit: aandachtsgebieden voor IT-audit bij IT-Governance. 3.4 Verantwoordelijkheden en scope IT-management Onderstaande figuur geeft de kernspelers weer in relatie tot IT-Governance. Figuur 4 NOREA IT-Governance Een verkenning 17
19 Toelichting op figuur 4: RvB: integraal verantwoordelijk voor IT; CIO 1 rapporteert aan portefeuille houder binnen RvB; CIO adviseert RvB. CIO is operationeel verantwoordelijk voor implementatie van het overall beleid: Uitvoerend voor Corporate projecten; Opdrachtgever voor incrementeel verbeterplan. DIO 2 is operationeel verantwoordelijk voor implementatie van het divisiebeleid: Uitvoeren voor divisie projecten; Enforcement vastgesteld beleid. Besturing via de lijn IT-aspecten: CIO-DIO): IT-middelen; IT CAPEX en OPEX; Projectcontrol en monitoring. Tot slot enkele succesfactoren voor de CIO: De CIO moet de brug slaan tussen de Business belangen en de IT-organisatie. De CIO moet business wise kunnen denken. De organisatievisie moet naar effectief IT-beleid worden doorvertaald; Niet alleen regels formuleren, ook wegnemen van obstakels; scheppen van randvoorwaarden; toezien op de business besluitvorming (wat is de IT-impact etc.). 3.5 IT-axioma s en IT-grondregels Binnen KPN wordt vanuit de CIO op strategisch niveau een beperkt aantal IT-axioma s voorgesteld. Het doel van deze IT-axioma s is de besturing van het IT-werkveld te verbeteren zodat de kosten omlaag gaan, de price/performance verbetert en de business een betere sturing heeft op de geboden IT-functionaliteit. Deze IT-axiomaregels zijn bekrachtigd door de RvB. Op tactisch niveau worden deze IT-axioma s uitgewerkt in zgn. IT-grondregels. Het operationele niveau moet door de bedrijfsonderdelen zelf worden ingevuld. Hierbij kan ieder bedrijfsonderdeel (BO) zelf aanvullende keuzes maken en accenten leggen, gegeven de doelstellingen. De volgende IT-axioma s zijn van kracht: 1 Gebruik van internationale standaarden en referenties heeft de voorkeur boven ontwikkeling van eigen standaarden en referenties; 2 Het gebruik van standaard software heeft de voorkeur boven eigen ontwikkeling; CIO: Chief Information Officer DIO: Divisie Information Officer
20 3 BO s richten procesketens en bedrijfsprocessen in op basis van door RvB vastgestelde procesreferentie (uitgewerkt in grondregels); 4 De IT ondersteunt ontkoppeling in lijn met processen; een applicatie dient de grenzen van een bedrijfsproces niet te overschrijden of ontkoppelpunten te bieden op die grenzen; 5 BO s stemmen grensoverschrijdende procesketens af aan de hand van de afgesproken procesreferentie; 6 BO s maken, ten behoeve van op elkaar aansluitende processen, afspraken over data (corporate) en data management (uitgewerkt in grondregels); 7 BO s leggen alle applicaties vast in de IT Repository (uitgewerkt in gebruiksregels); 8 BO s maken gebruik van de door RvB vastgestelde gemeenschappelijke IT-diensten. (uitgewerkt in gebruiksregels); 9 BO s passen door RvB vastgestelde IT-managementmethodieken toe (uitgewerkt in gebruiksregels). 3.6 Doelarchitectuur KPN Op basis van de overall business doelstellingen, is de KPN IT-doelarchitectuur ontwikkeld welke is gebaseerd op 7 domeinen (afgeleid van het E-Tom 3 model en overeenkomend met bedrijfsfuncties) en een Service Backbone (zie figuur 5). Figuur 5 3 E-TOM: Referentiemodel voor Telecom Operators NOREA IT-Governance Een verkenning 19
21 Doelstelling van de doelarchitectuur is te dienen als een framework, waarin applicaties, processen en gegevensverzamelingen kunnen worden gepositioneerd. Relaties worden zo zichtbaar en een basis voor besturing en dus ook IT-Governance wordt zo gelegd Domeinen De domeinen (Sales, Fullfillment, Billing, Operations, Purchasing, Marketing en Enterprise Management) vormen een functioneel referentiekader om te komen tot een betere service georiënteerde IT-huishouding. De domeinstructuur geeft een zodanige afbakening van gebieden dat zoveel mogelijk standaard software oplossingen kunnen worden toegepast Service Backbone Veel applicaties wisselen onderling informatie uit via zgn. Point to Point -verbindingen. In de toekomst zullen de domeinen (en gerelateerde applicaties) hun informatie gaan uitwisselen via een Service Backbone ( bus ). De doelstelling die hiermee wordt nagestreefd is het verkorten van time to market bij diensten introducties (door afhankelijkheidsreducties). Tevens wordt hiermee de consistentie in het gebruik van gegevens in de bedrijfsprocessen vergroot, wat weer leidt tot een grotere klanttevredenheid. Daarnaast creëert de Service Bacbone de randvoorwaarden voor het koppelen/ontkoppelen van applicaties en processen wat tot gevolg heeft een applicatie rationalisatie (maximale samenhang en minimale koppeling) beter mogelijk te maken. 3.7 IT-Sourcing Strategy Belangrijk uitgangspunt is dat IT-operations en -supply geen core business is voor KPN. Soms (als uitzondering) bij KPN houden in geval dat de key technology in het begin van haar life cycle is, of wanneer duidelijk concurrentievoordeel is te behalen. In de regel geldt voor IT-generieke zaken: In de regel uitbesteden: dus contract management is essentieel! KPN gerelateerd: ICT KPN architectuur altijd bij KPN; Regie en acceptatie altijd bij KPN; Functioneel Ontwerp: bij KPN; soms gedeeltelijk uit te besteden; Technisch Ontwerp: in de regel uitbesteden; Bouw: in de regel uitbesteden; Systeemtest: uitbesteden. 20
22 Preferred Suppliers: Selectie van Supplier vindt plaats door samenspel van CIO/ DIO s en CPO 4 ; Vaststelling van Preferred Suppliers door RvB. 3.8 Demand en Supply In het kader van IT-Governance is het belangrijk het volgende onderscheid te maken: IT-demand is de besturing van de vraag naar IT-diensten, bepaald door de gewenste ondersteuning van business processen; IT-supply is de levering van IT-diensten op basis van de eisen en specificaties van IT-demand. In overleg tussen KPN business, CIO en DIO s en CPO wordt bepaald hoe de knip tussen Demand en Supply moet liggen. In figuur 6 is één en ander geïllustreerd: Figuur 6 4 CPO: Chief Purchase Officer NOREA IT-Governance Een verkenning 21
23 3.9 Rol IT-audit Een mix van IT-audit werkvelden is aanwezig; deze kunnen worden afgebeeld op het hieronder gegeven framework van Rik Maes [3]. Gestreefd wordt dat de verschillende audits zich richten op zo vroeg mogelijk aan tafel bij de business; dit houdt in dat veelal sprake is van pre-implementation audits. Verder vindt prioritering plaats van audits door de audits te relateren aan risicogebieden. Altijd wordt eerst aandacht besteed aan de besturing / governance van het audit object alvorens inhoudelijk naar het object wordt gekeken. Figuur 7 Het uitvoeren van audits gerelateerd aan IT-Governance vraagstukken vormt een ultieme uitdaging voor de IT-auditor en biedt de mogelijkheid een nog grotere toegevoegde waarde te bieden. 22
24 4 Casus Fortis 4.1 Inleiding De financiële dienstverlening, is steeds meer een kennis- en informatie-intensieve bedrijfstak geworden. De informatie- en communicatietechnologie is van strategische betekenis voor Fortis om haar leidende rol op Bancassurance gebied te kunnen behouden. In een sectorrapport Bancassurance Study van JP Morgan Investment Banking en Monitor Group Managing Consultants worden IT-systemen genoemd als één van de vijf essentiële bouwstenen die tot de beste resultaten leiden. Een effectieve en efficiënte informatievoorziening is daarbij een kritische succesfactor. Essentieel is dat de sturing op de IT-functie zodanig georganiseerd is, dat de activiteiten van die IT-functie volledig in dienst staan van de strategische, commerciële en operationele activiteiten. IT-Governance vervult hierbij een belangrijke rol. Op verschillende managementniveaus binnen Fortis is IT-Governance in diverse verschijningsvormen duidelijk aanwezig. Twee van die verschijningsvormen zullen in paragraaf 4.2 aan de orde komen. De eerste betreft IT-Governance als sturingsinstrument voor de uitoefening van de IT-functie. De tweede vorm is IT-Governance als leidraad voor de uitvoering van een Control Risk Self Assessment (CRSA) door een ITorganisatie. In paragraaf 4.3 zal de relatie tussen beide verschijningsvormen en de deelgebieden van IT- Governance behandeld worden. Op de rol die voor IT-audit is weggelegd wordt in paragraaf 4.4 nader ingegaan. In de samenvatting in paragraaf 4.5 passeren de belangrijkste zaken in het kort nog eens de revue. 4.2 Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument Als de IT-activiteiten bij een specifieke organisatie zijn ondergebracht is het vastleggen van een aantal afspraken tussen de IT-organisatie en haar opdrachtgevers onontkoombaar voor de sturing op de uitvoering van de IT-functie. IT-Governance is binnen Fortis daarvoor onder meer als leidraad gebruikt. NOREA IT-Governance Een verkenning 23
CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1
CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving
Nadere informatieHET GAAT OM INFORMATIE
Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie
Nadere informatie8.5 Information security
H08-Jb.IT Beheer 2006 18-10-2005 16:20 Pagina 321 8.5 Information security governance Casus bij financiële instellingen Na corporate governance en IT-governance duikt binnen (Nederlandse) organisaties
Nadere informatieVerschillen en overeenkomsten tussen SOx en SAS 70
Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur,
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieSIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance
FINANCE consulting interim management professionals duurzame relaties met onze opdrachtgevers, gebaseerd op kennis van zaken, commitment en oplossingsgerichtheid. OVER FINANCE Finance is een middelgroot
Nadere informatieDe definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.
De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.
Nadere informatieGovernance, Risk and Compliance (GRC) tools
Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act
Nadere informatieHet gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem
Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand
Nadere informatieBeoordelingskader Informatiebeveiliging DNB
Beoordelingskader Informatiebeveiliging DNB NBA LIO en NOREA symposium 'Volwassen Informatiebeveiliging' 4 februari 2019 Derek Dijst, Expertisecentrum Operationele en IT Risico s Agenda Toezicht door DNB
Nadere informatieGedragseffecten in de (internal) audit-professie. 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018
Gedragseffecten in de (internal) audit-professie 25-jarig jubileum Internal Auditing & Advisory 29 juni 2018 1 Introductie John Bendermacher RA CIA 57 jaar Chief Audit Executive ABN AMRO Voorheen SNS REAAL,
Nadere informatieDE CIO VAN DE TOEKOMST
MIC 2015 DE CIO VAN DE TOEKOMST 30 oktober 2015 Mark van der Velden principal adviseur, interim manager EVEN VOORSTELLEN ONDERWERPEN De complexiteit van ICT in de zorg ICT ontwikkeling in drie stappen
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieREGLEMENT RISICOCOMMISSIE
REGLEMENT RISICOCOMMISSIE VAN LANSCHOT KEMPEN N.V. EN F. VAN LANSCHOT BANKIERS N.V. Vastgesteld door de RvC op 8 december 2017 0. INLEIDING 0.1 Dit reglement is opgesteld door de RvC ingevolge artikel
Nadere informatieGrip op fiscale risico s
Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een
Nadere informatieGemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services
Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave
Nadere informatieAuteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT
Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten
Nadere informatieSAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen
SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern
Nadere informatieInternal audit draagt bij aan comfort van commissarissen
Spotlight Internal audit draagt bij aan comfort van commissarissen Jan Driessen - Risk Assurance Services, Assurance Bas Wakkerman - Risk Assurance Services, Assurance Commissarissen hebben steeds meer
Nadere informatieAdvies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie
DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieRegie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com
Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.
Nadere informatieREGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V.
REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V. Vastgesteld door de RvC op 23 juni 2016 0. INLEIDING 0.1 Dit reglement is opgesteld door de RvC ingevolge artikel 5 van het
Nadere informatieCurriculum Vitae. Interim Senior Controller Drs. RA RC
Curriculum Vitae Interim Senior Controller Drs. RA RC Delfin Finance Contactpersoon: Mark Simons Telefoonnummer: 06-52376775 E- mail: m.simons@delfin.eu Algemeen Kandidaatnummer K159 Aantal jaren ervaring
Nadere informatieSIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance
FINANCE consulting interim management professionals over sis... duurzame relaties met onze opdrachtgevers gebaseerd op kennis van zaken, commitment en oplossingsgerichtheid. Finance is een middelgroot
Nadere informatieGOVERNANCE, RISK & COMPLIANCE WHITEPAPER
GOVERNANCE, RISK & COMPLIANCE De wereld van vandaag wordt gekenmerkt door de snelle ontwikkeling van nieuwe technologieën en disruptieve marktomstandigheden. Deze ontwikkelingen hebben verregaande gevolgen
Nadere informatieTopmanagement en IT Ontwikkelingen en trends voor 2008. in samenwerking met
Topmanagement en IT Ontwikkelingen en trends voor 2008 in samenwerking met Invloed op de IT-organisatie Welk van onderstaande ontwikkelingen zullen in de komende twee jaar grote invloed hebben op uw IT-organisatie?
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieDe impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.
Bijlagen 1 en 2: Aanbevelingen en opvolging Gateway Reviews (corsa 2018017934) Bijlage 1: Aanbevelingen en opvolging Gateway Review 2018 Aanbeveling Opvolging Status Opmerking 1. Richt een apart project
Nadere informatieBISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.
BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2
Nadere informatieDe essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij
De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieIT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Nadere informatieGETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE
GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE 2 OMNEXT IN HET KORT Broncode als bron van informatie Gevestigd in NL, UK en USA Kennis van meer dan 40 diverse technologieën Verschillende
Nadere informatieKlant. Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy
Klant Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen Specifiek - Profitabele, kosten gedreven strategy IT characteristics - Constante verandering: organsiatie, techniek, processen.
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieDé cloud bestaat niet. maakt cloud concreet
Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.
Nadere informatieAfdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014
FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker
Nadere informatieMatrix Comply-or-Explain Code Banken 2017
Matrix Comply-or-Explain Code Banken 2017 In oktober 2014 heeft de Nederlandse Vereniging van Banken de herziene Code Banken (de "Code Banken"), onderdeel van een pakket met de naam "Future Oriented Banking"
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatie[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.
Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,
Nadere informatieMeerwaarde Internal Audit functie. 16 maart 2017
Meerwaarde Internal Audit functie Even voorstellen: Jantien Heimel 2 Even voorstellen: Jeannette de Haan 3 Inhoud 1. Kennismaking 2. Hoe kijken commissarissen aan tegen Internal Audit? Filmpje 3. Wat is
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieAdvies inzake Risicobenadering
dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.
Nadere informatieIT GOVERNANCE IN DE LIFT
Informatiemanagement Methodes om tot een goed werkmodel te komen IT GOVERNANCE IN DE LIFT Uit verschillende IT-onderzoeken blijkt dat IT governance volop in de belangstelling staat van Nederlandse organisaties.
Nadere informatieGoed functioneel beheer noodzaak voor effectievere SPI
getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel
Nadere informatieProcesmodel in de High Level Structure
Procesmodel in de High Level Structure Geert-Jan Rens Principal Consultant Assurance Services dinsdag november 06 DNV GL 06 maandag 7 november 06 SAFER, SMARTER, GREENER High Level Structure een fundamentele
Nadere informatieWim Eysink Deloitte IIA Raad van Advies. Voorstellen herziene Corporate Governance Code
Wim Eysink Deloitte IIA Raad van Advies Voorstellen herziene Corporate Governance Code De voorstelllen voor de nieuwe corporate governance code Compliance versus impact Zeist, 8 juni 2016 Commissie Peters
Nadere informatieHoezo dé nieuwe ISO-normen?
De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal
Nadere informatie5-daagse bootcamp IT Risk Management & Assurance
5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG
Nadere informatieInvestment Due Diligence Beleid
Investment Due Diligence Beleid Achmea Investment Management Versie 0.5 INHOUDSOPGAVE 1. Inleiding...3 2. Doelstellingen...3 3. Definitie en reikwijdte...4 4. Aandachtsgebieden en procesbeschrijving...5
Nadere informatieUnicoz Onderwijsgroep ICT Beleidskader
Unicoz Onderwijsgroep ICT Beleidskader In opdracht van: Unicoz Stuurgroep ICT Opsteller: Peter de Haas Datum: 14-10- 2015 Versie : 1.2 Inhoudsopgave 1 Inleiding... 3 2 Voorgestelde beleidskaders ICT...
Nadere informatieOffshore Outsourcing van Infrastructure Management
Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies
Nadere informatieISO 9001: Business in Control 2.0
ISO 9001: 2015 Business in Control 2.0 Waarom Geintegreerd toepassen verschillende management normen Betere aansluiting normen op de strategie; zorgen voor een goede inbedding in de bedrijfsvoering WAAROM
Nadere informatieNS in beweging, Security als business enabler september 2008
NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,
Nadere informatieISM: BPM voor IT Service Management
ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en
Nadere informatieInspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016
Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing
Nadere informatieCloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed
Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting
Nadere informatieBisnez Management. Een kennismaking
Bisnez Management Een kennismaking Bisnez staat voor 2 Wie zijn wij Een projectmanagement en adviesbureau met 35 medewerkers Ervaren, vindingrijk en geselecteerd op het vermogen om het verschil te kunnen
Nadere informatieData en Applicatie Migratie naar de Cloud
Data en Applicatie Migratie naar de Cloud Iris Pinkster Professional Testing 1 Agenda - Introductie - De Cloud een introductie - Keuze van geschikte applicaties - Migratie strategieën - Test strategieën
Nadere informatieWaarde creatie door Contract Management
Waarde creatie door Contract Management Value Next voor opdrachtgever en opdrachtnemer Herman van den Hoogen M: 06-53.96.36.14 www.hoogen- Procurement.com Nick Piscaer M: 06-37.60.03.12 nick.piscaer@ziggo.nl
Nadere informatieHet sturend niveau: onderlinge afstemming en jaarplannen Een whitepaper van The Lifecycle Company
Het sturend niveau: onderlinge afstemming en jaarplannen Een whitepaper van The Lifecycle Company Met dit whitepaper lichten we de sturende processen uit het BiSL-model nader toe en laten we zien hoe jaarplannen
Nadere informatieProactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit
Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen
Nadere informatieHet BiSL-model. Een whitepaper van The Lifecycle Company
Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieIAM en Cloud Computing
IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips
Nadere informatieVoordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:
Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit
Nadere informatieHoofdlijnen Corporate Governance Structuur
Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een
Nadere informatieBeschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016
Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN
Nadere informatieBuilding effective IT demandsupply
Building effective IT demandsupply structures Gerard Wijers Director Governance and Sourcing Management Agenda» Introductie Demand-Supply» Demand-Supply bij Vopak» Demand-Supply bij van Gansewinkel» Discussie
Nadere informatieBlauwdruk voor succesvol FM. Inclusief performance management, contractmanagement en planning en control voor facilitaire organisaties
Blauwdruk voor succesvol FM Inclusief performance management, contractmanagement en planning en control voor facilitaire organisaties Inhoud Voorwoord Planning en control voor facilitaire organisaties
Nadere informatieISO/IEC in een veranderende IT wereld
ISO/IEC 20000 in een veranderende IT wereld Dolf van der Haven, Verizon Enterprise Solutions 16 juni 2016 ISO/IEC 20000 in een veranderende IT wereld 1 Achtergrond Dolf van der Haven ITSM Guru with a Human
Nadere informatieKIM. Slimme acties ondernemen
KIM Slimme acties ondernemen CONTROLE KWIJT? Herkent u dit soort ervaringen ook? Uw organisatie heeft allerlei systemen in huis, maar Niemand weet echt meer hoe het systeem exact werkt Voor kleine wijzigingen
Nadere informatieUitbestedingsbeleid 2015
Uitbestedingsbeleid 2015 versie 16 juni 2015 1 1. Inleiding Stichting Bedrijfstakpensioenfonds TrueBlue (verder: TrueBlue) heeft uit strategische overwegingen delen van haar bedrijfsprocessen en activiteiten
Nadere informatieDigital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services
Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf
Nadere informatieISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1
ISO/IEC 38500 Governance of InformationTechnology Yvette Backer ASL BiSL Foundation 16 juni 2016 ISO 38500 Governance of Information Technoloy 1 Achtergrond Yvette Backer Zelfstandig consultant en trainer,
Nadere informatieDe transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR
De transparante compliance keten De maatschappelijke betekenis van XBRL / SBR De maatschappelijke context (verandert) Control framework In control Trust TAX als deel van CR/MVO Governance Transparency
Nadere informatieBeheersing volledige IT-keten essentieel
IT-strategie t CobiT en 9-vlaksmodel als hulpmiddel Beheersing volledige IT-keten essentieel Om IT-projecten met succes uit te voeren is het van belang de gehele IT-keten, van businessstrategie tot operationele
Nadere informatieHoofdlijnen Corporate Governance Structuur Stek
Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe
Nadere informatieTesten en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen
Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel
Nadere informatieProfielschets Raad van Commissarissen
Profielschets Raad van Commissarissen Vastgesteld door de Raad van Commissarissen op 18 maart 2009 en laatstelijk gewijzigd in 2014. 1. Doel profielschets 1.1 Het doel van deze profielschets is om uitgangspunten
Nadere informatieKickstart-aanpak. Een start maken met architectuur op basis van best practices.
Kickstart-aanpak Een start maken met architectuur op basis van best practices. www.theunitcompany.com Kickstart-aanpak Soms is net dat extra duwtje in de rug nodig om te komen waar je wilt zijn. In onze
Nadere informatieArchitecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security
Architecten-debat 21 juni 2006 PI GvIB Themamiddag Renato Kuiper Principal Consultant Information Security 1 De spreker Principal Consultant Information Security Hoofdredacteur Informatiebeveiliging 15
Nadere informatieMasterclass. Proces & Informatiemanagement
Masterclass Proces & Informatiemanagement Expertisegebied DATA MANAGEMENT PROCES MANAGEMENT INFORMATIE MANAGEMENT ICT-MANAGEMENT 2 Beschrijving In de huidige kennis- en netwerkeconomie wordt het verschil
Nadere informatieCMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant
CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring
Nadere informatieHeeft IM toegevoegde waarde en zal IM overleven?
Heeft IM toegevoegde waarde en zal IM overleven? Begrippen ICT-strategie ICT-besturing Toekomst van IM NGI, 7 april 2014 Generiek model voor informatiemanagement Bedrijfs- Informatie- ICTdomein domein
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieWhitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management
Whitepaper Compliance Management Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Stop met piekeren: Mavim helpt om nieuwe wet- en regelgeving effectief en efficiënt
Nadere informatiePartnering Trust in online services AVG. Vertrouwen in de keten
AVG Partnering Trust in online services Vertrouwen in de keten De deadline voor het naleven van de nieuwe privacyregelgeving, de Algemene Verordening Gegevensbescherming (AVG), nadert snel. De AVG maakt
Nadere informatieOnderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie
Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau
Nadere informatieDNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te
Nadere informatieDe nieuwe ISO-normen: meer dan KAM-management alleen!
De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in
Nadere informatieOrganisatie inrichting als een van de sleutels voor een efficiënt beheer
Organisatie inrichting als een van de sleutels voor een efficiënt beheer 27 november 2014 Jan Demey & Rianne Welvaarts Organisatie inrichting als een van de sleutels voor een efficiënt beheer AGENDA Definitie
Nadere informatieUitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018
Uitbesteding & Uitbestedingsrisico s Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018 Agenda Agenda Het onderzoek Uitbesteding Opzet en doel Resultaten Inherent risico Beheersing van het uitbestedingsrisico
Nadere informatieREGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.
REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een
Nadere informatie