Certificering voor de Verandering

Transcriptie

1 EuroCloud Certificering voor de Verandering (We doen de audit goed, maar doen we ook de goede audit?) Van beren op de weg, naar knuffelberen Jan Matto Onderwerpen: Achtergrond certificering Certificeringsoorten Auditobjecten / scoping Auditnormen / control frameworks Doorn, 20 maart

2 Introductie: Jan Matto Bij Mazars sinds 1981 Sinds 1998 partner Mazars Paardekooper Hoffman Mazars Management Consultants Informaticus en Register EDP auditor Projectleider SBR/XBRL Enkele andere andere neven activiteiten: Partime docent bij verscheidene opleidingsinstituten Projectgroep internationale ontwikkelingen IT en IT auditing van de NOREA Lid stuurgroep Voortgezette Educatie Register Accountants IT en Assurance Redactielid Handboek EDP-auditing Kluwer/NBA Lid projectgroep XBRL van de NBA Commissie Zeker Online Belastingdienst Commissie Zekere Afrekensystemen Belastingdienst Regelmatig spreker op congressen Publicaties op terrein van ICT en controle 2

3 Mazars Management Consultants Enkele recente opdrachten : Onderzoek naar Electronische Nederlandse Identiteitskaart (enik) in opdracht van Ministerie van BZK, Justitie en Veiligheid (PET en PbD) Ontwikkeling van framework en auditaanpak voor toepassing Wet op de Politiegegevens, opdracht van Politie Nederland Uitvoering van diverse audits (WPG) bij politieorganisaties / inlichtingendiensten ISAE3402 voor SAAS-/ WEB toepassingen Privacycertificeringen / audits : ASR, QIY, Ministerie van Verkeer en Waterstaat, Equens, Onderzoek voor Ministerie van Justitie & Veiligheid No-Q systeem Projectassurance opdrachten 3

4 Introductie: ICT en Compliance Mazars 4

5 5

6 Wantrouwen Vertrouwen De ICT Vertrouwenscrisis Trust me Stijgende belasting van organisatie en toename kosten van maatregelen Tell me Toename toegevoegde waarde Show me Prove me Transparantie en controle 6

7 Kwaliteitsdenken versus Risico / controle denken TQM: we doen alles direct 100% goed: zero defects in operations / processen Risicobeheersing: 0% fouten is onhaalbaar / onwenselijk: dus beheers risico s en impact Norm voor het ideale ICT systeem? Norm voor het ideale controle stelsel en management proces? Quality is free! Verbetering concurrentiepositie Transparantie, verantwoording monitoring en controle processen Dus investeringen en toegevoegde waarde! Twee kanten van dezelfde medaille? 7

8 ICT systeemcrisis en toezichthouders 8

9 ICT systeemcrisis en toezichthouders College Bescherming Persoonsgegevens 9

10 Omgevingsfactoren Speelveld certificering en compliance Maatschappelijke Ontwikkelingen Technologische Ontwikkelingen Best Practices Veranderend gebruik van ICT ICTsysteem Laagdrempeligheid gebruik ICT Financiële monitoring RvB Interne Beheersing Omgevingsfactoren RvC Besturing Beleid Compliance Bedrijf Waarde creatie Wet- en regelgeving Toezichthouders & Auditors Normen & standaarden Markt Omgevingsfactoren SAAS, PAAS, IAAS, Stakeholders Omgevingsfactoren Mazars Management Consultants 10

11 Risicomanagement in governance codes Toezicht op en bestuurlijke verantwoording voor: Naleving wet- en regelgeving Realiseren van doelstellingen (strategisch en operationeel) én Beheersen van de risico s die de realisatie kunnen bedreigen Opzet, bestaan én werking van het Risicobeheersings- en controle systeem (control framework) Financiële verslaglegging Verhouding met stakeholders Beheersing van waardecreatieketens Hierover minimaal 1 keer per jaar overleg tussen bestuurder en toe- zichthouder en melding in het verslag van de toezichthouders 11

12 Overwegingen bij soorten certificering (I) A) Single Aspect Audits / Multi Aspect Audits Heldere norm Minder heldere norm Vergelijkbaarheid goed Vergelijkbaarheid minder goed B) Single Entity Audits / Multi Entity Audits Framework eenduidig Meervoudig (ketenverantwoordelijkheden) C) Single Responsibility / Multi Responsibility Frictie kan ontstaan indien elke ketenpartner een eigen deel audit laat uitvoeren met eigen normenkaders. Bewaking van geheel is dan een issue. (Blinde vlekken, onontdekte risico s etc.) 12

13 Overwegingen bij soorten certificering (I) Certificering toekomstgericht met een geldigheidsduur Certificering alleen retrospectief Certificering met uitspraak mate van zekerheid of niet? Alleen rapportage feitelijke bevindingen / afwijkingen van de norm TPM, ISAE 3000, 4400 (agreed upon procedures) Wel/ geen oordeel en mate assurance? Wel / geen management assertion? (ISAE3402 is met) Certificering van opzet en bestaan (ISAE3402 type I) Of ook de werking van maatregelen (ISAE3402 type II) Dominante focus op Management Proces? Dominante focus op IT werkelijkheid? 13

14 Overwegingen bij soorten certificering (II) Techniek is dynamisch (zo ook gerelateerde risico s / denk aan OWASP) Systemen zijn dynamisch ( ) Gebruik van systemen is dynamisch ( ) Kan volstaan worden met een jaarlijkse controle? Frequenter controle en continuous monitoring nodig? Alleen general controls? Of ook application controls / functionaliteiten? Wel management assertion? Verspreidingskring certificaat? Rapportage van auditor naar auditor? Opdrachtgeverschap (audittee, toezichthouder, user organisation, service organisation,.?) 14

15 Overwegingen bij certificering (III) Scope bepaling: Audit objecten en normeringen SaaS PaaS Architectuur User Organisatie (Web)applicatie Identity management system Netwerk Besturingssysteem Control framework IT Governance model IaaS Database Data Hardware Fysieke omgeving 15

16 Overwegingen bij soorten certificering (IV) Ontwikkeling normenkaders en control frameworks: Op basis van best practices (heeft zo z n beperkingen) Op basis van risico-analyse (heeft zo z n beperkingen) Rule based Principle based Context based 16

17 De context bepaalt de norm Toenemende complexiteit Systeemtechnische overgangen in ICTarchitectuur Verschuivingen van dominante macht Houdbaarheidsduur neemt af Herbezinning besturingsmodel bedrijfsvoering en van ICT-funtie I. II. III. Processen IV. Commercieel/ PMC s Externe integratie CRM SOA Web, XBRL Toename:: - automatiseringsgraad - afhankelijkheid ICT - noodzaak alignment business en ICT - aard en omvang risico s - complexiteit - differentiatie systemen - portfolio aan applicaties en interfaces Financieel Financieel pakket ERP / PSA Toenemende dynamiek 17

18 Voorbeeld: Privacy by Design Privacy Principles: Verantwoording Grondslag Transparantie Kwaliteit Doelbinding SaaS PaaS IaaS Gegevensminimalisatie PET / PbD Beveiliging Rechten individu Derde landen 18 18

19 Certificering voor de verandering Samenvatting & conclusies certificering voor de verandering: Meer aandacht nodig voor IT werkelijkheid en minder dominatie van management processen Doel en doelgroep van certificering moet voldoende helder zijn? Is toekomstgerichte certificering een houdbare situatie? Gangbare normen en standaarden kennen beperkingen Control frameworks vereisen voortdurend aanpassing aan context / verandering Integraal oordeel is gewenst over gehele keten, terwijl veelal sprake is van een gefragmenteerd oordeel verdeeld over ketenpartners / deel verantwoordelijke en systeemlagen. Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multi-disciplinaire benaderingen zijn nodig. 19

20 Van integrated audit naar integrated reporting 20

21 Certificering voor de verandering:.. Helaas zijn interne management processen veelal dominant 21

22 Certificering voor de verandering Dank voor uw aandacht! Jan Matto Twitter: Jan_Matto Mobiel:

23 Mazars Management Consultants (enkele referenties) ANWB Equens (Interpay) Fortis ASR AMEV DekaMarkt & Dirk van den Broek Shell Reserve Claim Foundation Smurfit Kappa Imtech N.V. Goverment of Yemen / Aden Container Terminal Ministerie van Verkeer & Waterstaat Ministerie van Justitie Port Authorities Sri Lanka / Colombo Koninklijke Marechaussee NMa Pokon & Chrysal Ministerie van OCW NRS / CRV Aedes Thomson ASEP Cardif Bedrijfschap Afbouw Waterleidingbedrijf Amsterdam Bureau Slachtofferhulp Lloyds Register Quality Assurance PaySquare Groep Gerechtsdeurwaarders Nederland Gemeente Amsterdam Gemeente Rotterdam Gemeente Bergen op Zoom Visa Card Services Coöperatie Informatiemanagement Politie (CIP) Ministerie van Algemene Zaken Ministerie van Binnenlandse Zaken Bouwend Nederland Meer met Minder Grote 4 Gemeenten / WIGO4IT Ministerie van LNV, Voedsel & Waren Autoriteit NMT Qiy Politie Nederland (VTSPN) Informatiebeheer Groep Orde van Medisch Specialisten Linde Gas 23