Van principes naar normenkaders. Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV

Maat: px

Weergave met pagina beginnen:

Download "Van principes naar normenkaders. Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV"

Elke Beckers
5 jaren geleden
Aantal bezoeken:

1 Van principes naar normenkaders Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV 1

2 Inhoud Inleiding Beschrijving scriptiecontext Onderkende principes RBAC Levenscyclus van systemen Conclusies en aanbevelingen 2

3 Inleiding Scriptie Aanpak Waarom scriptie m.b.t. normenkaders Principle based 3

4 Context van het onderzoek (1) De scriptie van Principes naar normenkaders is uitgevoerd in de context van het promotieonderzoek effectiviteit en efficiëncy van IT-audits, door Drs.ing. Wiekram Tewarie RE. 4

5 Context van het onderzoek 5

6 Gehanteerde kenmerken principe Beïnvloed de ondernemingsstrategie, en drijfveer voor gedrag en organisatie; Eenvoudig overdraagbaar; Robuust; Herkend en gedragen door management. 6

7 Onderzoeksvraag Beredeneer welke principes ten grondslag liggen aan de Best Practices en Practical Guidelines. Volgens welke principes hebben de originele auteurs deze documenten opgesteld. 7

8 Onderzoeksvraag / verdieping Zoek in de Best Practices en Practical Guidelines naar gemeenschappelijke kenmerken aan de hand waarvan principes opgesteld kunnen worden. 8

9 GDAC Model 9

10 Gekoppeld aan Starreveld PoGM, Governance en Management, besturen in enge zin; PoDA, Delegation of authority, het doen functioneren van een organisatie; PoRA, Rendering Accountability, het afleggen van verantwoording; PoC, Control, het (doen) beheersen 10

11 Bestudeerde documenten Cobit 4.0 (ITGI); Standard of Good Practice 4.1 (ISF); Code of Practice (ISO/IEC17799:2005) Rule based qua opzet, zeer uitgebreid. 11

12 Onderkende principes 10 principes, waarvan 2 getoetst Principe van functiescheiding Getoetst met behulp van een normenkader van PI Principe van Levenscyclus van systemen Getoetst aan een praktijksituatie 12

13 Uitwerking functiescheiding (matrix) Leiding Delegatie Control Accounta-bility Wat is de Structuur (S) Beleid Strategie Delegatie Functiescheiding Functiescheiding Beleid Strategie Verantwoordingsrapportage Controlerapportage Delegatie Wat zijn de taken (T) Taken Functies Delegatie Vastlegging Controle Restricties en limieten Vastlegging tbv verantwoording Toegekende restricties Uitgevoerde taken Normen Wie zijn de actoren (A) Leiding en besluitvormers per level Uitvoerenden IC-actoren Verantwoordelijken tbv rapportage Wat zijn de Middelen (M) Informatie producten (beleid) Technisch e middelen Taken en rollen binnen gebruikersorganis atie en IT organisatie Voorschriften Beleid Normen (niet) geautomatiseerde vastleggingen 13

14 Uitwerking functiescheiding (raakvlakken) 14

15 Functiescheiding Model getoetst aan PI-studie Role Based Access control (RBAC) Deze modelmatige benadering stemt in hoofdlijnen overeen met de stappen die PI onderscheidt. Conclusie m.b.t. functiescheiding: model is toepasbaar. 15

16 Wat is de Structuur (S) Wat zijn de taken (T) Wie zijn de actoren (A) Wat zijn de Middelen (M) Levenscyclus van systemen (matrix) Leiding Beleid Strategie Delegatie Standaarden Bijsturing Taken Functies Leiding en besluitvormers per level Methoden Informatie Delegatie Functiescheiding Taakomschrijving Taken Procedures Uitvoerenden Ontwikkeltools Software Middleware Hardware Netwerkcomponenten Control Functiescheiding Beleid Strategie Delegatie Vastlegging Realisatie Beoordeling IC-actoren Rapportages Contracten Verslagen Accounta-bility Contracten Registratie voorschriften Rapportage eisen Vastlegging Verantwoordelijken tbv rapportage Registraties 16

17 Uitwerking levenscyclus (raakvlakken) IT Organisatie Gebruikersorganisatie Ontwikkelen Onderhoud Beëindigen Initiatie Specificatie Gebruik 17

18 Levenscyclus van systemen (beëindigen gebruik) Getoetst aan praktijksituatie UWV Andere structuurbenadering, kostte veel tijd om hier een match te krijgen Conclusie: model bruikbaar om normenkader volledig te krijgen 18

19 Conclusies scriptie (1) Principle based werken bevordert volledige normenkaders en daarmee volledige danwel volkomen onderzoeken Principle based werken maakt raakvlakken met ondernemingsdoelstellingen scherper zichtbaar. Toegevoegde waarde van ITaudit is éénvoudiger aan te tonen 19

20 Conclusies en aanbevelingen (2) De gehanteerde modellen dienen verder uitgewerkt te worden: Er dient een schakelmechanisme te komen, een structuur aan de hand waarvan principes geselecteerd worden 20

Vergelijkbare documenten

Principle based Audit Approach (Audit Term of Reference)

Principle based Audit Approach (Audit Term of Reference) Wiekram Tewarie VUrORE Seminar 14 november 2006 1 Agenda Deel I Aard IT audit (onderzoeken) Probleem, Praktijk en gevolg Deel II Onderzoeksmodel