Managementsamenvatting

Maat: px
Weergave met pagina beginnen:

Download "Managementsamenvatting"

Transcriptie

1

2 Managementsamenvatting Beursvennootschappen worden in verschillende landen geconfronteerd met codes voor corporate governance. Hierbij kan gedacht worden aan de Nederlandse Code voor Corporate Governance van de commissie Tabaksblat en de Amerikaanse Sarbanes-Oxley Act Hierin worden onder meer eisen gesteld aan de beheersing van de bedrijfsprocessen zodat de betrouwbaarheid van verantwoordingen gewaarborgd wordt. De ondernemingsleiding moet aantoonbaar maken dat zij de bedrijfsprocessen beheerst. In toenemende mate zien we dat deze discussie over corporate goverance wordt doorgetrokken naar niet-beursgenoteerde vennootschappen en non-profit-organisaties. De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door: de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; de beheersing van IT-veranderingstrajecten; de beheersing van de IT-infrastructuur, waarop de systemen draaien; de beheersing van IT-risico s. Een heldere visie op de inzet van informatietechnologie binnen een organisatie, een goede aansturing en beheersing van de IT-inspanningen, het afleggen van verantwoording hierover en het uitoefenen van toezicht hierop vormen de basis van IT-Governance. In de praktijk geven organisaties op uiteenlopende wijze invulling aan IT-Governance. IT-Governance heeft vergaande impact op de rol, de werkzaamheden en de opleiding van IT-auditors. De IT-auditor kan voor organisaties een bijdrage leveren aan de beheersing van de informatievoorziening. Dit kan vanuit een adviserende, controlerende, faciliterende en/of certificerende rol. Activiteiten waaraan gedacht kan worden zijn het ondersteunen bij het inrichten van een IT-Governancestructuur en het onderzoeken van de beheersing van de informatievoorziening om (externe) verantwoording af te kunnen leggen. Een en ander is een belangrijke voorwaarde voor het succes van een onderneming. NOREA IT-Governance Een verkenning 1

3 2

4 Inhoudsopgave 1 Inleiding 5 2 Begripsvorming Corporate Governance IT-Governance IT-Governance modellen Conclusie en samenvatting 12 3 Casus KPN Inleiding Positionering van ICT Het IT-Governance framework van KPN Verantwoordelijkheden en scope IT-management IT-axioma s en IT-grondregels Doelarchitectuur KPN Domeinen Service Backbone IT-Sourcing Strategy Demand en Supply Rol IT-audit 22 4 Casus Fortis Inleiding Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument IT-Governance als leidraad voor een Control and Risk Self Assessment Evaluatie verschijningsvormen IT-Governance Rol IT-audit Deelconclusie en samenvatting 27 NOREA IT-Governance Een verkenning 3

5 5 Casus Akzo Nobel Inleiding Organisatie van de Informatievoorziening Informatiebeveiliging binnen Akzo Nobel IT-audit functie binnen Akzo Nobel Impact Sarbanes-Oxley Act Impact op uitbesteding van IT-diensten Deelconclusie en samenvatting 36 6 De rol van de IT-auditor IT-Governance nieuw? Nee! De beheersing van de informatievoorziening Afleggen van externe verantwoording Uitoefenen van toezicht op de beheersing van de informatievoorziening IT-Governance nieuw? Ja! Audit van IT-Governance raamwerk Context Compliance met interne en externe wet- en regelgeving Adviserende rol Uitdagingen op het gebied van IT-Governance 40 7 Literatuuroverzicht 43 4

6 1 Inleiding NOREA, de beroepsorganisatie van IT-auditors, heeft een kennisgroep IT-Governance samengesteld. De doelstelling is om het begrip IT-Governance onder de aandacht te brengen en toe te lichten binnen de beroepsgroep van IT-auditors. Daarnaast willen we voor het maatschappelijk verkeer de rol die de ITauditor kan vervullen ten aanzien van IT-Governance benadrukken. In deze verkenning wordt door de kennisgroep een aantal praktijksituaties toegelicht en worden de betekenis en consequenties van het IT-Governance begrip voor het IT-auditvak verkend. In hoofdstuk 2 Begripsvorming worden de begrippen Corporate Governance en IT-Governance toegelicht. Er is gekozen om door samenvattingen van verschillende studies naar en modellen van Corporate Governance en IT-Governance de IT-auditor een handreiking te geven voor de verschillende begrippen. De NOREA heeft bewust besloten geen nieuw model of haar eigen visie op het begrip IT-Governance neer te leggen maar een synthese uit te voeren van de reeds bestaande modellen en begrippen. De hoofdstukken drie, vier en vijf bevatten aan de hand van een drietal praktijkcases voorbeelden van een mogelijke toepassing en implementatie van IT-Governance en de rol van de IT-auditor binnen het IT- Governancemodel. Vervolgens wordt in het laatste hoofdstuk nader ingegaan op de betekenis van IT- Governance voor het werk van de IT-auditor. Afgesloten wordt in datzelfde hoofdstuk met de belangrijkste uitdagingen ten aanzien van IT-Governance voor de IT-auditor. Juni 2004, De Kennisgroep IT-Governance Drs. H.T. van Bers RE A. de Blok RE RA CISA MIM Ir. J.A.M. Donkers RE P. Harmzen RE RA Ir. J.W. de Heer RE P.A.J. van der Knaap RE RA Ir. K.M. Lof RE NOREA IT-Governance Een verkenning 5

7 6

8 2 Begripsvorming 2.1 Corporate Governance De essentie van Corporate Governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Hierbij gaat het om de wijze waarop de ondernemingsleiding bij de besturing van de organisatie rekening houdt met andere dan haar eigen belangen, zoals belangen van aandeelhouders, werknemers en de samenleving als geheel. Kort gezegd gaat het erom wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst. Recente boekhoudschandalen zoals Enron, Ahold en Parmalat hebben Corporate Governance opnieuw onder de aandacht gebracht. Deze schandalen hebben geleid tot een herleving van de discussie over de taken en verantwoordelijkheden van de verschillende rollen bij het toezicht op beursgenoteerde ondernemingen en tot de ontwikkeling van nieuwe regelgeving op dit gebied. De commissie Tabaksblat heeft recentelijk een code voor Corporate Governance gepubliceerd. In grote lijnen zullen de aanbevelingen in wetgeving worden verankerd. In 2002 is Sarbanes-Oxley wetgeving ontwikkeld die van toepassing is op alle ondernemingen die aan de Amerikaanse beurzen genoteerd zijn. Corporate Governance is al sinds het begin van de jaren 90 in de belangstelling gekomen. Faillissementen van enkele grote ondernemingen hebben in de Verenigde Staten en Engeland geleid tot een discussie over de wijze waarop besluitvorming in de top van een onderneming plaats dient te vinden. Sindsdien zijn er diverse rapportages en studies geweest naar Corporate Governance. Deze studies zijn veelal opgestart door de individuele landen als een reactie op de faillissementen van grote ondernemingen in die landen. De belangrijkste studies tot voor kort waren: 1 The Financial Aspects of Corporate Governance, UK 1992 (Cadbury-rapport); 2 Internal Control-Integrated Framework, US 1992/1994 (COSO-rapport); 3 Guidance on Control, Canada 1995 (CoCo-rapport); 4 Corporate Governance in Nederland: de veertig aanbevelingen, Nederland 25 juni 1997 (Commissie Corporate Governance - Commissie Peters); 5 Committee on Corporate Governance, UK januari 1998; 6 KonTraG-wet 1 mei 1998 Duitsland; NOREA IT-Governance Een verkenning 7

9 7 Guidance for Directors on the Combined Code, UK 1999 (Turnbull-rapport); 8 Combined Code on Corporate Governance, London Stock Exchange, 1998 (O/S). De verschillende studies hebben elk hun eigen aandachtspunten. De rapporten COSO, CoCo en Turnbull hebben betrekking op interne beheersing. De Commissie Corporate Governance en KonTraG zijn meer gericht op het afleggen van externe verantwoording. De rapporten Cadbury en Committee on Corporate Governance hebben betrekking op zowel interne beheersing als het afleggen van externe verantwoording. Hoewel het aandachtsgebied van deze studies de beursgenoteerde vennootschappen zijn, krijgt het begrip Corporate Governance zijn doorwerking richting niet-beursgenoteerde vennootschappen en non-profitorganisaties. Een duidelijk onderscheid kan worden gemaakt naar de principle based -benadering op basis van een aantal algemene randvoorwaarden en best practices en de rule based -benadering op basis van regulering, wetgeving en harde eisen. Bij de interne beheersing en het afleggen van externe verantwoording moeten organisaties naast de algemene wet- en regelgeving ook rekening houden met branchespecifieke voorschriften, zoals de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Basel II richtlijnen. In beide gevallen gaat het om voorschriften voor de bancaire sector, waar de dienstverlening voor een groot gedeelte op maatschappelijk vertrouwen gebaseerd is. De Basel II richtlijnen zijn opgesteld door het Basel-comité. Hierin zijn de monetaire toezichthouders van de tien belangrijkste industriële landen vertegenwoordigd. De richtlijnen zijn daardoor een de facto standaard voor alle toezichthouders van internationaal opererende financiële instellingen. Een voorbeeld van andere branchespecifieke voorschriften zijn de FDA voorschriften voor de farmaceutische industrie. Standaarden krijgen door globalisering meer een internationaal karakter. Verder worden aan de kwaliteit van de interne beheersing en de verantwoording daarover steeds meer positieve dan wel negatieve sancties verbonden. Een positieve sanctie is bijvoorbeeld een vermindering van solvabiliteitseisen bij banken en in de toekomst ook bij verzekeraars wanneer risico s aantoonbaar worden beheerst. Een negatieve sanctie is onder andere een importverbod van de Verenigde Staten voor producten die niet aan de FDA voorschriften voldoen. 8

10 2.2 IT-Governance Informatievoorziening ondersteunt een organisatie bij het realiseren van haar doelstellingen. De toepassing van informatietechnologie stelt een organisatie in staat producten efficiënter en effectiever te produceren, innovatiever te zijn en processen beter te beheersen. De IT-functie kan zich verheugen in een toenemende belangstelling van het management van een organisatie. De verwachtingen van een organisatie ten aanzien van de kwaliteit van informatievoorziening, functionaliteit, gebruikersgemak en snelheid van oplevering van nieuwe systemen zijn sterk toegenomen. Daarnaast vragen de snelheid van veranderingen op het gebied van informatie- en communicatietechnologie en de snelheid van veranderingen binnen organisaties om een adequate beheersing van de IT-risico s. De grote(re) afhankelijkheid van de informatiesystemen voor kritische bedrijfsprocessen vraagt om IT-beheerprocessen die nauwgezet zijn afgestemd op de organisatie. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is verder een kritische succesfactor voor ondersteuning en realisatie van de interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Eisen moeten worden gesteld aan de beheersing van de IT-processen en het afleggen van verantwoording door het voor IT verantwoordelijke management. IT-Governance gaat over het besturen, beheersen, uitvoeren, verantwoording afleggen over en het toezicht op de informatie-voorziening binnen een organisatie. In een reactie op Tabaksblat dringt de NOREA aan op onder meer een IT-commissaris, die toeziet dat IT-risico s adequaat worden beheerst. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Uiteindelijk zullen veel organisaties er niet aan ontkomen om, bijvoorbeeld via hun jaarverslagen, verantwoording af te leggen over IT-Governance aan alle belanghebbenden. 2.3 IT-Governance modellen In de afgelopen jaren hebben verschillende partijen in artikelen en studies invulling willen geven aan het begrip IT-Governance. Uit bestudering van deze documenten blijkt dat het begrip IT-Governance op verschillende manieren is uitgewerkt. De overeenkomst tussen de verschillende modellen is dat IT- Governance wordt gezien als het zodanig efficiënt en effectief organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de businesswensen en daarover rekenschap aflegt. NOREA IT-Governance Een verkenning 9

11 De volgende verschillen kunnen tussen de modellen geconstateerd worden: Het COBIT model [1] van ISACA en het IT-Governance Institute beschrijft in belangrijke mate de ITprocessen en de Control Objectives van deze IT-processen. Het betreft hoofdzakelijk processen die binnen de IT-organisatie plaatsvinden; Het COBIT-framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. In de derde versie van COBIT is het COBIT-model verder uitgewerkt tot een IT-Governance model. Het leveren van toegevoegde waarde voor de business wordt hoofdzakelijk bepaald door de aansluiting van IT op de business. Het beheersen van risico s wordt gerealiseerd door het helder beleggen van taken en verantwoordelijkheden voor IT binnen de organisatie. Het adequaat beheersen van de middelen en het meten dat de verwachte resultaten gehaald worden, zijn ondersteunend aan het leveren van de toegevoegde waarde en het beheersen van de risico s. (zie figuur 1). IT-Governance [4] wordt door ISACA en het IT-Governance Institute als volgt gedefinieerd: IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation s IT sustains and extends the organisation s strategies and objectives. Figuur 1 10

12 Gartner [2] beschrijft in belangrijke mate de aandachtsgebieden waarover besluiten genomen dienen te worden, zoals de visie op en uitgangspunten voor het gebruik en toepassing van IT binnen de organisatie, de IT-infrastructuur, de IT-architectuur, business behoeften en IT-prioriteiten. Verder onderscheidt men de beslissingsnemers/besturingsmodellen variërend van centraal tot decentraal en de verschillende mechanismen als organisatievormen en hulpmiddelen om de besluitvorming voor de aandachtsgebieden gestalte te geven. In tegenstelling tot COBIT wordt niet gesproken over de uit te voeren processen. Andere modellen, zoals van de verschillende accountantskantoren, bevatten elementen van zowel COBIT als Gartner. IT-Governance en IT-management worden duidelijk ten opzichte van elkaar gepositioneerd. Governance gaat over spelregels, vaststellen van het kader waarbinnen anderen opereren, beleid en aansturing, wat duidelijk aansluit bij het gedachtegoed van Gartner. IT-management is gericht op de uitvoering, besluitvorming en verantwoording van IT-activiteiten binnen de gestelde kaders. Hierbij worden de door COBIT onderscheiden IT-processen duidelijk geraakt. De toevoeging die deze modellen hebben op COBIT en Gartner is dat er gesproken wordt over organisatievormen van de IT-organisatie en over corporate standaarden. Om genoemde overeenkomsten en verschillen duidelijk te kunnen maken hebben we een illustratie (figuur 2) toegevoegd. IT-management heeft vooral betrekking op het omkaderde gedeelte. IT-management is gericht op de besluitvorming, uitvoering en verantwoording van IT-activiteiten binnen de IT-organisatie, waarbij we een onderscheid maken tussen ontwikkelactiviteiten en activiteiten in het kader van exploitatie en beheer. Procesmodellen als ITIL, Prince2 en CMM zijn beschikbaar om de organisatie van de ITactiviteiten en IT-processen te optimaliseren. IT-Governance heeft vooral betrekking op het niet omkaderde gedeelte, waar op basis van bedrijfs- en interne controledoelstellingen (setting objectives) de business in overleg met de IT-organisatie bepaalt welke IT-producten en -diensten door de IT-organisatie moeten worden geleverd en welke randvoorwaarden daarbij worden gehanteerd (strategic alignment). De IT-organisatie brengt producten en diensten voort en legt hierover verantwoording af (performance delivery). De business toetst of de geleverde producten en diensten voldoende bijdragen aan de bedrijfs- en interne controledoelstellingen en past indien nodig de eisen ten aanzien van de IT-organisatie aan. Over het geheel dient in toenemende mate externe verantwoording (external reporting) te worden afgelegd aan de stakeholders, terwijl IT-Governance ook in het toezicht (zowel door een externe toezichthouder als door de Raad van Commissarissen/Raad van Toezicht) aan de orde dient te komen. NOREA IT-Governance Een verkenning 11

13 Figuur Conclusie en samenvatting De uitgangspunten van Corporate Governance, vertalend naar wat dit betekent voor IT-Governance in een organisatie komen we tot de volgende drie aandachtsgebieden: de beheersing van de informatievoorziening binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening. Het betreft: besluitvorming en verantwoording intern omtrent IT; corporate standaarden ten aanzien van IT; verschijningsvormen van de IT-organisatie; de IT-processen; de IT-veranderingstrajecten; de IT-infrastructuur waarop de systemen draaien. 12

14 het afleggen van verantwoording over de beheersing van IT naar buiten toe. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Gezien het belang van IT voor de bedrijfsvoering en het voortbestaan van organisaties, past bij een verantwoording over de beheersing ook een verantwoording over de beheersing van IT. In toenemende mate zullen veel organisaties er niet aan ontkomen bijvoorbeeld via hun jaarverslag verantwoording af te leggen over IT-Governance aan alle belanghebbenen. het uitoefenen van toezicht op de IT-beheersing. Hierin onderkennen we twee elementen; enerzijds het uitoefenen van toezicht door een Raad van Commissarissen of Raad van Toezicht binnen een organisatie. In een reactie op Tabaksblat heeft de NOREA aangedrongen op onder meer een IT-commissaris die toezicht houdt dat de IT-risico s adequaat worden beheerst. Anderzijds het toezicht dat door toezichthouders wordt uitgeoefend. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is een kritische succesfactor voor ondersteuning en realisatie van de bedrijfsdoelstellingen en interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Een correct opgezet en werkend IT-Governancemodel is noodzakelijk om te kunnen voldoen aan wettelijke voorschriften zoals bedrijfstakspecifieke richtlijnen als de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Sarbanes-Oxley Act Een aantoonbaar goede beheersing van bedrijfsrisico s en dus ook van de IT-risico s wordt niet alleen beloond met meer publiek vertrouwen, maar in de financiële sector zelfs met minder hoge solvabiliteitseisen, wat een positieve impact kan hebben op de bedrijfsresultaten. NOREA IT-Governance Een verkenning 13

15 14

16 3 Casus KPN 3.1 Inleiding Voor KPN is een adequate invulling van de IT-functie van levensbelang. Door optimaal gebruik te maken van de ontwikkelingen op het gebied van Informatie en Communicatie Technologie (ICT) kunnen tijdig de door de markt gewenste IT-producten ontwikkeld worden. KPN bouwt als telecommunicatiebedrijf mee aan de informatiesamenleving. Het doel van KPN is permanente innovatie van IT-producten en -diensten en uitvoering van operational excellence. Deze ambitieuze doelstelling vergt op alle niveaus binnen KPN doelgericht werken en vooral samenwerken. Wil KPN ook in de toekomst een belangrijke en vooraanstaande rol blijven spelen in de telecommunicatie en IT-wereld dan is een adequate beheersing van en sturing op het IT-werkveld een van de belangrijkste kritische succesfactoren. IT-Governance, als onderdeel van KPN Corporate Governance, speelt hierin een essentiële rol. 3.2 Positionering van ICT ICT kent binnen KPN globaal 3 toepassingen: 1 Netwerk productiemiddelen (schakelapparatuur, routers, hubs, telefooncentrales) ook wel TI genoemd (ofwel de C van ICT). Deze tak van sport is met name gepositioneerd binnen het Vaste Net; 2 IT-product/dienst georiënteerd (i-mode, voic , etc.); 3 IT-bedrijfsproces georiënteerd (zoals Billing, CRM, incl. applicaties/systemen en bedrijfsnetwerken). In de Informatie en Communicatie Technologie (ICT) vervagen steeds meer de grenzen tussen de IT en de TI; steeds meer is een samenhangende beheersing gewenst over de bovengenoemde toepassingen 1, 2 en 3. Vooralsnog is de focus voor IT-Governance binnen KPN met name gericht op de beheersing van applicaties ter ondersteuning van de KPN bedrijfsprocessen. NOREA IT-Governance Een verkenning 15

17 3.3 Het IT-Governance framework van KPN Het IT Governance framework van KPN is gebaseerd op het framework dat wordt gehanteerd door Rik Maes [3]. In figuur 3 worden de verschillende objecten aangegeven welke gerelateerd zijn aan het IT- Governance framework. Figuur 3 Korte toelichting van bovenstaande framework. Verticaal zijn achtereenvolgens 3 hoofdgroepen aangegeven: Business, Information Systems en Information Technology. De Business / organisatie heeft behoefte aan informatie voor de planning en control van haar producten/diensten, activiteiten en resources. Deze informatie wordt in hoge mate geleverd door inzet van IT-middelen (applicaties, systemen en bedrijfsnetwerken). Horizontaal kunnen de hoofdgroepen Business, Information Systems en Information Technology verder gedetailleerd worden in Strategic (richten), Structure (inrichten) en Implementation (verrichten). Zo levert dit 16

18 een 3 bij 3 matrix op. Een belangrijke rol speelt hierbij de CIO (zie ook volgende paragraaf) welke zijn focus heeft op de deelvakken binnen de blauwe cirkel. De essentie van het IT-Governance framework is dat alle negen vlakken in control moeten zijn. In de volgende paragrafen wordt ingegaan op deelaspecten van IT-Governance: Verantwoordelijkheden en scope IT-management: wie is waar voor verantwoordelijk in de IT-beheersing; IT-axioma s en IT-grondregels: kaderzettende en richtinggevende IT-regelgeving; Doelarchitectuur KPN: kader waarbinnen processen, applicaties en gegevens kunnen worden gepositioneerd en worden beheerst; IT Sourcing Strategy: wat is Core business en wat is Non-core business; Demand en Supply: het vraagstuk van de beheersing van de IT vragende partij in samenhang met de IT leverende partij; Rol IT-audit: aandachtsgebieden voor IT-audit bij IT-Governance. 3.4 Verantwoordelijkheden en scope IT-management Onderstaande figuur geeft de kernspelers weer in relatie tot IT-Governance. Figuur 4 NOREA IT-Governance Een verkenning 17

19 Toelichting op figuur 4: RvB: integraal verantwoordelijk voor IT; CIO 1 rapporteert aan portefeuille houder binnen RvB; CIO adviseert RvB. CIO is operationeel verantwoordelijk voor implementatie van het overall beleid: Uitvoerend voor Corporate projecten; Opdrachtgever voor incrementeel verbeterplan. DIO 2 is operationeel verantwoordelijk voor implementatie van het divisiebeleid: Uitvoeren voor divisie projecten; Enforcement vastgesteld beleid. Besturing via de lijn IT-aspecten: CIO-DIO): IT-middelen; IT CAPEX en OPEX; Projectcontrol en monitoring. Tot slot enkele succesfactoren voor de CIO: De CIO moet de brug slaan tussen de Business belangen en de IT-organisatie. De CIO moet business wise kunnen denken. De organisatievisie moet naar effectief IT-beleid worden doorvertaald; Niet alleen regels formuleren, ook wegnemen van obstakels; scheppen van randvoorwaarden; toezien op de business besluitvorming (wat is de IT-impact etc.). 3.5 IT-axioma s en IT-grondregels Binnen KPN wordt vanuit de CIO op strategisch niveau een beperkt aantal IT-axioma s voorgesteld. Het doel van deze IT-axioma s is de besturing van het IT-werkveld te verbeteren zodat de kosten omlaag gaan, de price/performance verbetert en de business een betere sturing heeft op de geboden IT-functionaliteit. Deze IT-axiomaregels zijn bekrachtigd door de RvB. Op tactisch niveau worden deze IT-axioma s uitgewerkt in zgn. IT-grondregels. Het operationele niveau moet door de bedrijfsonderdelen zelf worden ingevuld. Hierbij kan ieder bedrijfsonderdeel (BO) zelf aanvullende keuzes maken en accenten leggen, gegeven de doelstellingen. De volgende IT-axioma s zijn van kracht: 1 Gebruik van internationale standaarden en referenties heeft de voorkeur boven ontwikkeling van eigen standaarden en referenties; 2 Het gebruik van standaard software heeft de voorkeur boven eigen ontwikkeling; CIO: Chief Information Officer DIO: Divisie Information Officer

20 3 BO s richten procesketens en bedrijfsprocessen in op basis van door RvB vastgestelde procesreferentie (uitgewerkt in grondregels); 4 De IT ondersteunt ontkoppeling in lijn met processen; een applicatie dient de grenzen van een bedrijfsproces niet te overschrijden of ontkoppelpunten te bieden op die grenzen; 5 BO s stemmen grensoverschrijdende procesketens af aan de hand van de afgesproken procesreferentie; 6 BO s maken, ten behoeve van op elkaar aansluitende processen, afspraken over data (corporate) en data management (uitgewerkt in grondregels); 7 BO s leggen alle applicaties vast in de IT Repository (uitgewerkt in gebruiksregels); 8 BO s maken gebruik van de door RvB vastgestelde gemeenschappelijke IT-diensten. (uitgewerkt in gebruiksregels); 9 BO s passen door RvB vastgestelde IT-managementmethodieken toe (uitgewerkt in gebruiksregels). 3.6 Doelarchitectuur KPN Op basis van de overall business doelstellingen, is de KPN IT-doelarchitectuur ontwikkeld welke is gebaseerd op 7 domeinen (afgeleid van het E-Tom 3 model en overeenkomend met bedrijfsfuncties) en een Service Backbone (zie figuur 5). Figuur 5 3 E-TOM: Referentiemodel voor Telecom Operators NOREA IT-Governance Een verkenning 19

21 Doelstelling van de doelarchitectuur is te dienen als een framework, waarin applicaties, processen en gegevensverzamelingen kunnen worden gepositioneerd. Relaties worden zo zichtbaar en een basis voor besturing en dus ook IT-Governance wordt zo gelegd Domeinen De domeinen (Sales, Fullfillment, Billing, Operations, Purchasing, Marketing en Enterprise Management) vormen een functioneel referentiekader om te komen tot een betere service georiënteerde IT-huishouding. De domeinstructuur geeft een zodanige afbakening van gebieden dat zoveel mogelijk standaard software oplossingen kunnen worden toegepast Service Backbone Veel applicaties wisselen onderling informatie uit via zgn. Point to Point -verbindingen. In de toekomst zullen de domeinen (en gerelateerde applicaties) hun informatie gaan uitwisselen via een Service Backbone ( bus ). De doelstelling die hiermee wordt nagestreefd is het verkorten van time to market bij diensten introducties (door afhankelijkheidsreducties). Tevens wordt hiermee de consistentie in het gebruik van gegevens in de bedrijfsprocessen vergroot, wat weer leidt tot een grotere klanttevredenheid. Daarnaast creëert de Service Bacbone de randvoorwaarden voor het koppelen/ontkoppelen van applicaties en processen wat tot gevolg heeft een applicatie rationalisatie (maximale samenhang en minimale koppeling) beter mogelijk te maken. 3.7 IT-Sourcing Strategy Belangrijk uitgangspunt is dat IT-operations en -supply geen core business is voor KPN. Soms (als uitzondering) bij KPN houden in geval dat de key technology in het begin van haar life cycle is, of wanneer duidelijk concurrentievoordeel is te behalen. In de regel geldt voor IT-generieke zaken: In de regel uitbesteden: dus contract management is essentieel! KPN gerelateerd: ICT KPN architectuur altijd bij KPN; Regie en acceptatie altijd bij KPN; Functioneel Ontwerp: bij KPN; soms gedeeltelijk uit te besteden; Technisch Ontwerp: in de regel uitbesteden; Bouw: in de regel uitbesteden; Systeemtest: uitbesteden. 20

22 Preferred Suppliers: Selectie van Supplier vindt plaats door samenspel van CIO/ DIO s en CPO 4 ; Vaststelling van Preferred Suppliers door RvB. 3.8 Demand en Supply In het kader van IT-Governance is het belangrijk het volgende onderscheid te maken: IT-demand is de besturing van de vraag naar IT-diensten, bepaald door de gewenste ondersteuning van business processen; IT-supply is de levering van IT-diensten op basis van de eisen en specificaties van IT-demand. In overleg tussen KPN business, CIO en DIO s en CPO wordt bepaald hoe de knip tussen Demand en Supply moet liggen. In figuur 6 is één en ander geïllustreerd: Figuur 6 4 CPO: Chief Purchase Officer NOREA IT-Governance Een verkenning 21

23 3.9 Rol IT-audit Een mix van IT-audit werkvelden is aanwezig; deze kunnen worden afgebeeld op het hieronder gegeven framework van Rik Maes [3]. Gestreefd wordt dat de verschillende audits zich richten op zo vroeg mogelijk aan tafel bij de business; dit houdt in dat veelal sprake is van pre-implementation audits. Verder vindt prioritering plaats van audits door de audits te relateren aan risicogebieden. Altijd wordt eerst aandacht besteed aan de besturing / governance van het audit object alvorens inhoudelijk naar het object wordt gekeken. Figuur 7 Het uitvoeren van audits gerelateerd aan IT-Governance vraagstukken vormt een ultieme uitdaging voor de IT-auditor en biedt de mogelijkheid een nog grotere toegevoegde waarde te bieden. 22

24 4 Casus Fortis 4.1 Inleiding De financiële dienstverlening, is steeds meer een kennis- en informatie-intensieve bedrijfstak geworden. De informatie- en communicatietechnologie is van strategische betekenis voor Fortis om haar leidende rol op Bancassurance gebied te kunnen behouden. In een sectorrapport Bancassurance Study van JP Morgan Investment Banking en Monitor Group Managing Consultants worden IT-systemen genoemd als één van de vijf essentiële bouwstenen die tot de beste resultaten leiden. Een effectieve en efficiënte informatievoorziening is daarbij een kritische succesfactor. Essentieel is dat de sturing op de IT-functie zodanig georganiseerd is, dat de activiteiten van die IT-functie volledig in dienst staan van de strategische, commerciële en operationele activiteiten. IT-Governance vervult hierbij een belangrijke rol. Op verschillende managementniveaus binnen Fortis is IT-Governance in diverse verschijningsvormen duidelijk aanwezig. Twee van die verschijningsvormen zullen in paragraaf 4.2 aan de orde komen. De eerste betreft IT-Governance als sturingsinstrument voor de uitoefening van de IT-functie. De tweede vorm is IT-Governance als leidraad voor de uitvoering van een Control Risk Self Assessment (CRSA) door een ITorganisatie. In paragraaf 4.3 zal de relatie tussen beide verschijningsvormen en de deelgebieden van IT- Governance behandeld worden. Op de rol die voor IT-audit is weggelegd wordt in paragraaf 4.4 nader ingegaan. In de samenvatting in paragraaf 4.5 passeren de belangrijkste zaken in het kort nog eens de revue. 4.2 Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument Als de IT-activiteiten bij een specifieke organisatie zijn ondergebracht is het vastleggen van een aantal afspraken tussen de IT-organisatie en haar opdrachtgevers onontkoombaar voor de sturing op de uitvoering van de IT-functie. IT-Governance is binnen Fortis daarvoor onder meer als leidraad gebruikt. NOREA IT-Governance Een verkenning 23

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

8.5 Information security

8.5 Information security H08-Jb.IT Beheer 2006 18-10-2005 16:20 Pagina 321 8.5 Information security governance Casus bij financiële instellingen Na corporate governance en IT-governance duikt binnen (Nederlandse) organisaties

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

DE CIO VAN DE TOEKOMST

DE CIO VAN DE TOEKOMST MIC 2015 DE CIO VAN DE TOEKOMST 30 oktober 2015 Mark van der Velden principal adviseur, interim manager EVEN VOORSTELLEN ONDERWERPEN De complexiteit van ICT in de zorg ICT ontwikkeling in drie stappen

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Curriculum Vitae. Interim Senior Controller Drs. RA RC

Curriculum Vitae. Interim Senior Controller Drs. RA RC Curriculum Vitae Interim Senior Controller Drs. RA RC Delfin Finance Contactpersoon: Mark Simons Telefoonnummer: 06-52376775 E- mail: m.simons@delfin.eu Algemeen Kandidaatnummer K159 Aantal jaren ervaring

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance FINANCE consulting interim management professionals over sis... duurzame relaties met onze opdrachtgevers gebaseerd op kennis van zaken, commitment en oplossingsgerichtheid. Finance is een middelgroot

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

IT GOVERNANCE IN DE LIFT

IT GOVERNANCE IN DE LIFT Informatiemanagement Methodes om tot een goed werkmodel te komen IT GOVERNANCE IN DE LIFT Uit verschillende IT-onderzoeken blijkt dat IT governance volop in de belangstelling staat van Nederlandse organisaties.

Nadere informatie

Dé cloud bestaat niet. maakt cloud concreet

Dé cloud bestaat niet. maakt cloud concreet Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Klant. Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

Klant. Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy Klant Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen Specifiek - Profitabele, kosten gedreven strategy IT characteristics - Constante verandering: organsiatie, techniek, processen.

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Bisnez Management. Een kennismaking

Bisnez Management. Een kennismaking Bisnez Management Een kennismaking Bisnez staat voor 2 Wie zijn wij Een projectmanagement en adviesbureau met 35 medewerkers Ervaren, vindingrijk en geselecteerd op het vermogen om het verschil te kunnen

Nadere informatie

Topmanagement en IT Ontwikkelingen en trends voor 2008. in samenwerking met

Topmanagement en IT Ontwikkelingen en trends voor 2008. in samenwerking met Topmanagement en IT Ontwikkelingen en trends voor 2008 in samenwerking met Invloed op de IT-organisatie Welk van onderstaande ontwikkelingen zullen in de komende twee jaar grote invloed hebben op uw IT-organisatie?

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Beheersing volledige IT-keten essentieel

Beheersing volledige IT-keten essentieel IT-strategie t CobiT en 9-vlaksmodel als hulpmiddel Beheersing volledige IT-keten essentieel Om IT-projecten met succes uit te voeren is het van belang de gehele IT-keten, van businessstrategie tot operationele

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Waarde creatie door Contract Management

Waarde creatie door Contract Management Waarde creatie door Contract Management Value Next voor opdrachtgever en opdrachtnemer Herman van den Hoogen M: 06-53.96.36.14 www.hoogen- Procurement.com Nick Piscaer M: 06-37.60.03.12 nick.piscaer@ziggo.nl

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Blauwdruk voor succesvol FM. Inclusief performance management, contractmanagement en planning en control voor facilitaire organisaties

Blauwdruk voor succesvol FM. Inclusief performance management, contractmanagement en planning en control voor facilitaire organisaties Blauwdruk voor succesvol FM Inclusief performance management, contractmanagement en planning en control voor facilitaire organisaties Inhoud Voorwoord Planning en control voor facilitaire organisaties

Nadere informatie

Hoofdlijnen Corporate Governance Structuur Stek

Hoofdlijnen Corporate Governance Structuur Stek Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

Heeft IM toegevoegde waarde en zal IM overleven?

Heeft IM toegevoegde waarde en zal IM overleven? Heeft IM toegevoegde waarde en zal IM overleven? Begrippen ICT-strategie ICT-besturing Toekomst van IM NGI, 7 april 2014 Generiek model voor informatiemanagement Bedrijfs- Informatie- ICTdomein domein

Nadere informatie

Building effective IT demandsupply

Building effective IT demandsupply Building effective IT demandsupply structures Gerard Wijers Director Governance and Sourcing Management Agenda» Introductie Demand-Supply» Demand-Supply bij Vopak» Demand-Supply bij van Gansewinkel» Discussie

Nadere informatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau

Nadere informatie

Een framework voor applicatiebeheer

Een framework voor applicatiebeheer Een framework voor applicatie Mark Smalley ASL-Foundation www.aslfoundation.org SPIder, Utrecht, 10 juni 2003 Agenda Positionering applicatie Wat is ASL Waarom ASL Hoe ziet ASL eruit Samenwerking domeinen

Nadere informatie

Bedrijfssystemen vervangen door Slim Software Nabouwen

Bedrijfssystemen vervangen door Slim Software Nabouwen Bedrijfssystemen vervangen door Slim Software Nabouwen Codeless White Paper Roland Worms, Directeur Wouter van der Ven, Lead Software Architect Inhoudsopgave 1. Introductie 2. Het IT dilemma. Als standaard

Nadere informatie

Implementatie Code Banken

Implementatie Code Banken Implementatie Code Banken Koninginnegracht 2 2514 AA Den Haag T 070 3750 750 www.bngbank.nl BNG Bank is een handelsnaam van N.V. Bank Nederlandse Gemeenten, statutair gevestigd te Den Haag, KvK-nummer

Nadere informatie

Examenprogramma Associatie Praktijkdiploma Vakopleiding Payroll Services IV Geldig m.i.v. 1 januari 2011

Examenprogramma Associatie Praktijkdiploma Vakopleiding Payroll Services IV Geldig m.i.v. 1 januari 2011 Examenprogramma Associatie Praktijkdiploma Vakopleiding Payroll Services IV Geldig m.i.v. 1 januari 2011 Het examenprogramma omvat: 1. Beroepsprofiel 2. Opleidingsprofiel 3. Examenopzet 4. Examenprogramma

Nadere informatie

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Functieprofiel: Controller Functiecode: 0304

Functieprofiel: Controller Functiecode: 0304 Functieprofiel: Controller Functiecode: 0304 Doel Bijdragen aan de formulering van het strategische en tactische (financieel-)economische beleid van de instelling of onderdelen daarvan, alsmede vorm en

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

Profielschets Raad van Commissarissen

Profielschets Raad van Commissarissen Profielschets Raad van Commissarissen Vastgesteld door de Raad van Commissarissen op 18 maart 2009 en laatstelijk gewijzigd in 2014. 1. Doel profielschets 1.1 Het doel van deze profielschets is om uitgangspunten

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Organisatie inrichting als een van de sleutels voor een efficiënt beheer

Organisatie inrichting als een van de sleutels voor een efficiënt beheer Organisatie inrichting als een van de sleutels voor een efficiënt beheer 27 november 2014 Jan Demey & Rianne Welvaarts Organisatie inrichting als een van de sleutels voor een efficiënt beheer AGENDA Definitie

Nadere informatie

Interne controle en risicobeheer

Interne controle en risicobeheer COMMISSIE CORPORATE GOVERNANCE PRIVATE STICHTING Interne controle en risicobeheer Richtlijnen in het kader van de wet van 6 april 2010 en de Belgische Corporate Governance Code 2009 Hulpdocument voor het

Nadere informatie

HET GESPREK: DE CIO BIJ AKZO NOBEL PROBEERT VIA IT SYNERGETISCHE EFFECTEN TE REALISEREN

HET GESPREK: DE CIO BIJ AKZO NOBEL PROBEERT VIA IT SYNERGETISCHE EFFECTEN TE REALISEREN Sonja ten Boom en Arno Oosterhaven Om in algemene zin iets te kunnen zeggen over de CIO, interviewde Management & Informatie twee managers bij grote bedrijven, die op het gebied van de CIO een zekere historie

Nadere informatie

TMAP NEXT. BDTM voor opdrachtgevers

TMAP NEXT. BDTM voor opdrachtgevers TMAP NEXT BDTM voor opdrachtgevers auteurs: Aalst, L. van der, Baarda, R., Roodenrijs, E., Vink, J., Visser, B. gebaseerd op de originele publicatie in: TMap NEXT, Business Driven Test Management, Aalst,

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Optimaliseren afsluiten rapportage proces: juist nu!

Optimaliseren afsluiten rapportage proces: juist nu! 18 Optimaliseren afsluiten rapportage proces: juist nu! Belang van snelle en betrouwbare informatie groter dan ooit Drs. Wim Kouwenhoven en drs. Maarten van Delft Westerhof Drs. W.P. Kouwenhoven is manager

Nadere informatie

Mastersessies 2015 Blok 6. Levering, Regie en Governance

Mastersessies 2015 Blok 6. Levering, Regie en Governance Mastersessies 2015 Blok 6 Levering, Regie en Governance eter M. Bakker Interim manager Agenda 1. Doelstellingen 2. Ken uw leverancier en wat is dat eigenlijk: regie? 3. Wanneer is regie succesvol? 4. Hoe

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance

Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance 2011 Perceptie Als Leidraad Voor Verbeteringen Perceptie is realiteit. Perceptie is persoonlijk. Perceptie is leidend

Nadere informatie

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR

De transparante compliance keten. De maatschappelijke betekenis van XBRL / SBR De transparante compliance keten De maatschappelijke betekenis van XBRL / SBR De maatschappelijke context (verandert) Control framework In control Trust TAX als deel van CR/MVO Governance Transparency

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE

HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE HEIJMANS N.V. REGLEMENT AUDITCOMMISSIE Vastgesteld door de RvC op 10 maart 2010 1 10 maart 2010 INHOUDSOPGAVE Blz. 0. Inleiding... 3 1. Samenstelling... 3 2. Taken en bevoegdheden... 3 3. Taken betreffende

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010

Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010 Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010 Tanja Goense 16 September 2010 Programma Even voorstellen Opzet onderzoek Bevindingen Samengevat Foodforthought

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Workshop transitie naar de cloud SaMBO-ICT & KZA. 21 November 2013 Utrecht

Workshop transitie naar de cloud SaMBO-ICT & KZA. 21 November 2013 Utrecht Workshop transitie naar de cloud SaMBO-ICT & KZA 21 November 2013 Utrecht Agenda Introductie Aanleiding Cloud in het onderwijs Veranderingen voor de organisatie Interactieve workshop Afsluiting 2 Aanleiding

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

FUNCTIEPROFIEL CONCERNCONTROLLER

FUNCTIEPROFIEL CONCERNCONTROLLER FUNCTIEPROFIEL FUNCTIEPROFIEL CONCERNCONTROLLER Versie d.d. 21 juli 2014 Organisatie ROC Leiden verzorgt middelbaar beroepsonderwijs (mbo) en volwassenenonderwijs (educatie) voor meer dan 9000 studenten

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY

Nadere informatie

De nieuwe ISO-normen: meer dan KAM-management alleen!

De nieuwe ISO-normen: meer dan KAM-management alleen! De nieuwe ISO-normen: meer dan KAM- alleen! Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Wat kunt u verwachten? Ontwikkelingen systeemnormen Plug-in

Nadere informatie

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005 ERP Testing HP Nijhof Testmanager Testnet November 2005 Solution Sales Meeting7 November 2005 1 Agenda Waarom pakketten testen? Schaarse middelen? Ideale ERP test situatie Vragen 2 De centrale vraag ERP

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT DIVISIE PENSIOEN & LEVEN Laan van Malkenschoten 20 Postbus 9150 7300 HZ Apeldoorn www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van 2013

Nadere informatie

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V.

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V. REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V. Datum: 11 mei 2015 Artikel 1. Definities AvA: Commissie: Reglement: RvB: RvC: Vennootschap: de algemene vergadering van aandeelhouders

Nadere informatie

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen: Sourcing ADVISORY Sourcing wordt door veel organisaties omarmd als een belangrijk middel om de financiële en operationele prestatie te verbeteren. Welke functies binnen de organisatie behoren echt tot

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud

BluefieldFinance. BluefieldFinance. Toegevoegde waarde vanuit inhoud Toegevoegde waarde vanuit inhoud De Organisatie 1 De Organisatie Bluefield Finance is als onderdeel van Bluefield Partners in 2007 opgericht door 2 ervaren financials met een uitgebreide expertise in business-

Nadere informatie

Uitbesteding in de pensioensector:

Uitbesteding in de pensioensector: Uitbesteding in de pensioensector: Bevindingen vanuit de toezichtspraktijk Prof. Dr. O.C.H.M. Sleijpen EYe on Pensions 14 januari 2014 Uitbesteding in de Pensioensector Topics: A. Wettelijke bepalingen

Nadere informatie

Meet the global leader with the personal touch

Meet the global leader with the personal touch Meet the global leader with the personal touch Wereldwijd toonaangevend op het gebied van werving & selectie Sinds Michael Page in 1976 in Londen werd opgericht, heeft zij zich ontwikkeld tot een toonaangevende

Nadere informatie

Functieprofiel: Beleidsmedewerker Functiecode: 0301

Functieprofiel: Beleidsmedewerker Functiecode: 0301 Functieprofiel: Beleidsmedewerker Functiecode: 0301 Doel Ontwikkelen, implementeren, evalueren en bijstellen van beleid op één of meerdere aandachtsgebieden/beleidsterreinen ten behoeve van de instelling,

Nadere informatie

Het nieuwe plug-in model: interpretatie en certificatie

Het nieuwe plug-in model: interpretatie en certificatie Het nieuwe plug-in model: interpretatie en certificatie 1 Wat kunt u verwachten? De nieuwe aanpak van ISO normen voor managementsystemen Eerste ervaringen bij herziening ISO 14001 en ISO 9001 Betekenis

Nadere informatie

Business & IT Alignment deel 1

Business & IT Alignment deel 1 Business & IT Alignment deel 1 Informatica & Economie Integratie 1 Recap Opdracht 1 Wat is integratie? Organisaties Strategie De omgeving van organisaties AH Bonuskaart AH Bonuskaart Economisch Geïntegreerd

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie