Ketenaudit van PIN EMIEL BOLIER. de IT-Auditor nummer

Maat: px
Weergave met pagina beginnen:

Download "Ketenaudit van PIN EMIEL BOLIER. de IT-Auditor nummer 3 2011 21"

Transcriptie

1 Ketenaudit van PIN Niets is zo praktisch als een goede theorie. Mollema en Welters verkennen in hun artikel [MOLL10] de theorie en praktijk van ketenaudits aan de hand van de vraag: is een vaktechnisch verantwoorde ketenaudit een optie of utopie? Zij komen tot de conclusie dat een ketenaudit in de praktijk, onder de huidige omstandigheden, niet zomaar uitvoerbaar is en poneren de volgende stelling: er kan niet worden vastgesteld dat de keten adequaat functioneert, waarmee niet kan worden vastgesteld dat het ketendoel wordt gehaald. Aan de hand van de vraag: is de ketenaudit van elektronisch betalen met PIN uitvoerbaar?, onderzoeken wij in dit artikel onder welke voorwaarden de ketenaudit van de financiële transacties met PIN uitvoerbaar is. Vanuit de bijzondere situatie bij PIN trekken wij een meer algemene conclusie voor de uitvoerbaarheid van ketenaudit. EMIEL BOLIER We nemen de ketenbenadering als uitgangspunt voor het analyseren van de IT-audit van PIN (elektronisch betalen met een PINpas). In het algemeen is IT-audit gericht op organisatorische, procesmatige en technische aspecten van IT gerelateerde objecten. Met name het organisatorische aspect van de ketenaudit is in theorie en praktijk onderbelicht, terwijl dit aspect cruciaal blijkt te zijn voor de beheersing en auditing van ketens. Het ontbreken van normen en een referentiekader voor het organisatorische aspect vormt dan ook een belemmering voor het uitvoeren van een ketenaudit in de praktijk. Aan de hand van de vraag: is de ketenaudit van elektronisch betalen met PIN uitvoerbaar?, gaan we uitgebreid in op het organisatorische aspect van de ketenaudit. Er zijn twee redenen dat we PIN kiezen als keten voor de analyse: PIN lijkt een beheerste keten en we verwachten dat in de keten concrete ketenauditobjecten zijn te onderkennen. Hierna gaan we eerst in op de relevantie van de ketenaudit van elektronisch betalen met PIN. In de daarop volgende paragraaf kiezen we dan een referentiemodel voor de ketenaudit en gaan we in op de risico s die specifiek zijn voor een keten. Vervolgens beschrijven we de PINketen. Daarna gaan we na wat volgens het gekozen referentiemodel de aanknopingspunten zijn voor de ketenaudit bij de ITaudit van PIN. Passieve coördinatie op koppelvlakken zal niet toereikend blijken te zijn voor de beheersing van de PINketen. Vervolgens onderzoeken wij de kenmerkende gevolgen voor de controleaanpak door de ketenbenadering toe te passen op de IT-audit van elektronisch betalen met PIN in de praktijk. De coördinatie van de werkzaamheden van de verschillende auditors op basis van risicoanalyse en de audit van een relevant ketenauditobject komen daar aan de orde. In de slotconclusie geven we een samenvatting en onze visie op de stelling van Mollema en Welters. WAAROM KETENAUDIT VAN PIN? De economische voortbrenging van goederen en diensten ordent zich meer en meer in ketens. De toenemende ketenvorming kan worden verklaard door twee duidelijke tendensen. De eerste is toename van outsourcing van IT. Door standaardisering en schaalvoordelen kan een de IT-Auditor nummer

2 service provider het proces aanbieden met hoge kwaliteit van beveiliging en beheer tegen een relatief lage kostprijs. De tweede tendens is toenemende specialisatie waarbij verschillende partijen zich op een enkele taak of functionaliteit van een proces richten (nichevorming), in plaats van een grotere partij die het gehele proces beheerst. Het is niet verwonderlijk dat deze twee tendensen samen opgaan, omdat gestandaardiseerde communicatie op de koppelvlakken nodig is bij outsourcing van IT en essentieel bij specialisatie op deelprocessen. Deze tendensen zien we ook bij de betaalketen van PIN. De keten van elektronisch betalen met PIN wordt complexer door het tot stand komen van één Europese betaalmarkt SEPA (Single Euro Payments Area) en verdere globalisering [SEPA08]. Daarbij komt dat het belang van elektronisch betalen met PIN toeneemt, omdat de opmars van pinnen doorzet en naar verwachting voorlopig aanhoudt [MOB10]. Gezien het belang vraagt de maatschappij om stabiel en storingsvrij betalen met PIN. Skimming en andere manieren om het rekeningnummer en de PINcode van de pas te ontfutselen, leiden tot wantrouwen van de consument en winkelier bij pinnen. Vertrouwen van de consument en de winkelier is er alleen wanneer betalen met PIN zonder noemenswaardige incidenten verloopt. Belanghebbende ketenpartners en toezichthouders baseren hun vertrouwen eveneens op het adequaat functioneren van de betaalketen van PIN. Omdat elektronisch betalen plaatsvindt met sterk geautomatiseerde systemen, is hun vertrouwen direct afhankelijk van de beheersing van de IT in deze keten. Dit leidt tot vragen van belanghebbenden als Welke zekerheid is er dat de bits en bytes de transacties juist en volledig representeren? of Is de kwaliteit van de onderliggende systemen voldoende voor het functioneren en het beheersen van de processen bij elektronisch betalen? Audit kan antwoord geven op deze vragen en zekerheid (assurance) bieden. Omdat sprake is van een keten, is ketenaudit nodig om vast te stellen dat de ketenrisico s in voldoende mate worden beheerst. De hoge graad van automatisering vraagt om een deskundige. Bij uitstek is dit het terrein van de IT-auditor. KETENAUDIT Achtereenvolgens worden een model voor de beheersing van ketens, het begrip ketenaudit en de algemene ketenrisico s behandeld. Een referentiemodel voor ketenaudit Met name het organisatorische aspect van ketenaudit is in theorie en praktijk onderbelicht. De spaarzame referentiemodellen voldoen niet aan de praktijk van ketenaudit. In dit onderdeel zetten we een referentiemodel voor het organisatorische aspect van ketenaudit uiteen. Het grafische model voor ketenaudit dat Mollema en Welters [MOLL10] in hun artikel aanhalen, is het model dat in eerdere edities van de IT-Auditor is uiteengezet [MEER05], [BRUI06-1] en [BRUI06-2]. Het is een praktisch/inductief model, dat is gebaseerd op vier min of meer gestileerde praktijksituaties van aanbodgerichte ketens binnen de publieke sector [MEER05]. Mollema en Welters signaleren het ontbreken van normenkaders en opdrachtgeverschap als voornaamste problemen bij het toepassen van het model in de praktijk. Zij komen tot de conclusie dat een ketenaudit in de praktijk onder de huidige omstandigheden niet zomaar uitvoerbaar is. Anders geformuleerd: het grafische model voldoet niet als referentiemodel voor ketenaudit in de praktijk. Nu er geen referentiemodel voor ketenaudit voor handen is, zijn we genoodzaakt om naar een geschikt model om te zien. In dit artikel baseren wij ons op een reeds bestaand model voor ketenbeheersing: het ketenmodel volgens INK (Instituut Nederlandse Kwaliteit). De reden dat we het INK-model kiezen, is dat het INK-model gebaseerd is op de coördinatiemechanismen van Mintzberg [MINT92] die voldoende universeel toepasbaar lijken. Het is een theoretisch/deductief model. Door het INK-model toe te passen op een praktijksituatie, onderzoeken wij in de hoofdstukken De aanknopingspunten voor ketenaudit bij PIN en De ketenbenadering toegepast op de IT-audit van PIN in de praktijk of dit model kan dienen als referentiemodel voor het organisatorische aspect van ketenaudit. Het ketenmodel volgens INK De ketenbenadering volgens INK is zowel voor de private sector als de publieke sector toepasbaar. Het onderscheid tussen privaat en publiek is echter geen onderscheidend criterium voor de keten in zijn geheel, omdat bij ketens de beheersing van processen over de grenzen van organisaties heen gaat en het mogelijk is dat beide organisatievormen in de keten voorkomen. Volgens INK ontwikkelen organisaties zich via niveaus van beheersing, te weten: het niveau van beheersing van activiteiten, processen, systemen (organisaties), ketens en ten slotte integratie. Bij een keten past een eigen vorm en niveau van beheersing. De beheersing van ketens gaat over organisatiegrenzen heen en vindt plaats in een samenwerkingsverband. Daarmee vindt, afgezien van de eigen processtap, de beheersing van de keten plaats buiten het eigen bedrijfsdomein van de afzonderlijke zelfstandige organisaties die in de keten samenwerken en van elkaar afhankelijk zijn. Een keten wordt gedefinieerd als [INK08] en idem [MEER05]: een (i) samenwerkingsverband tussen partijen die zowel (ii) zelfstandig, als (iii) afhankelijk van elkaar functioneren, omdat ze (iv) volgtijdelijke handelingen uitvoeren, gericht op een (v) afzonderlijk doel. 22 de IT-Auditor nummer

3 INK onderscheidt vijf typen van ketensamenwerking op basis van de organisatiewijze. In volgorde van los naar vast samenwerkingsverband is dit: gezamenlijk initiatief, gezamenlijk project, structurele samenwerking, vlaggenschip merkenstrategie en institutionele samenwerking. Het onderscheid naar type is van belang omdat er verschil is in de succesfactoren [INK10], [MINK07]. INK noemt het verschil tussen een organisatie en een keten gradueel. Bij beide samenwerkingsverbanden is voor optimale effectiviteit, efficiency, en kostenbeheersing van het proces de afstemming van mensen, tijd, geld, kwaliteit, risico en informatie van belang. Kenmerkend voor een keten is dat hiërarchie ontbreekt. Beheersing van processen vindt plaats door coördinatie van de activiteiten door communicatie en afspraken. Net als Mintzberg [MINT92] onderscheidt INK drie coördinatiemechanismen: Standaardisatie (van processen, van output of van kennis en vaardigheden). Afstemming door overleg en communicatie. Ketenregie. De drie vormen van ketencoördinatie verschillen vooral in de mate van actieve c.q. passieve coördinatie. Dit bepaalt de intensiteit van de samenwerking en van de frequentie en omvang van communicatie in de keten. Mate van samenwerking standaardisatie afstemming Zie figuur 1 voor de samenhang van de vormen van ketencoördinatie. regie Mate van afstemming door communicatie Figuur 1: Vormen van ketencoördinatie De bollen representeren drie categorieën van maatregelen voor de coördinatie van de activiteiten binnen de keten. Ketenregie is de meest actieve vorm van coördinatie. Zowel de onderlinge samenwerking als de afstemming door communicatie kent een hoge intensiteit. De regie betreft het formuleren van regels, het maken van afspraken en plannen, het toezien op de uitvoering en het corrigeren bij afwijking. Als de mate van samenwerking minder is, dan verloopt de coördinatie vooral via afstemming door communicatie en overleg van de actoren in de keten. Bij standaardisatie is weinig afstemming door communicatie nodig. Het proces, de output of kennis en vaardigheden zijn uitgekristalliseerd en dus voorspelbaar. In de praktijk hebben de bollen grillige contouren en overlappen elkaar deels. Het maakt uit of beheersing op strategisch, tactisch en operationeel niveau wordt beoogd. De drie vormen van ketencoördinatie vullen elkaar aan. De ketengovernance en het primaire proces van de keten bepalen de passende beheersing van de keten [BRUI06-1] en daarmee de passende vorm en mix van de coördinatiemechanismen. Ketengovernance [BRUI06-1] is het waarborgen dat de wijze van sturen, beheersen en toezicht houden in een keten, evenals het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, gebeurt in onderlinge samenhang, gericht op een efficiënte en effectieve realisatie van doelstellingen en in lijn met de bestuurlijke visie. Het INK-model is dusdanig algemeen geformuleerd dat het in principe toepasbaar is op iedere keten en daarmee bruikbaar in veel situaties. Van keten naar ketenaudit Ketenaudit wordt gedefinieerd [BRUI06-1] als: een onderzoek dat moet leiden tot een gefundeerd oordeel of advies over de beheersing van een keten als geheel ten aanzien van een gekozen object van onderzoek. De keten audit richt zich alleen op dát aspect of onderdeel van zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke doel en de beheersing van de gehele keten Volgens deze definitie kan er sprake zijn van een assurance-opdracht of van een adviesopdracht. In dit artikel besteden wij alleen aandacht aan de assurance-opdracht in ketenverband. Ketenaudit volgt de keten en loopt over organisatiegrenzen heen. De auditor geeft assurance in ketenverband. Deze vorm van assurance over de beheersing van de keten als geheel is onderbelicht in de literatuur [ALVN09]. Assurance-opdracht in ketenverband Basisfiguur bij een assuranceopdracht is dat een uitvoerende partij verantwoording aflegt aan de opdrachtgever of belanghebbende over de uitgevoerde activiteiten volgens normen die de opdrachtgever/ belanghebbende stelt. Zonder duidelijke toetsingsnormen en/of bij het ontbreken van een opdrachtgever, kan geen assurance worden geboden. Wij vinden dan ook dat ketenmanagement aan ketenaudit vooraf gaat, bijvoorbeeld in de vorm van een ketenregisseur. De beheersdoelen en de daarmee samenhangende beheersmaatregelen en kwaliteitseisen van de IT-Auditor nummer

4 de ketenprocessen zijn dan bepaald. In de bij de keten passende governance liggen de normen en het opdrachtgeverschap besloten. Zonder gedeelde normen, beheersmaatregelen en opdrachtgeverschap is een vaktechnisch verantwoorde ketenaudit niet mogelijk. Toepassing van de drie coördinatiemechanismen De drie vormen van ketencoördinatie uit het INK-model helpen volgens ons om een ketenaudit adequaat in te richten en te structureren. De toepassing betreft de volgende twee aspecten: 1. Omdat de ketenaudit meer organisaties betreft, zijn meestal meer auditors bij de ketenaudit betrokken. Betrokken auditors zullen zelf een samenwerkingsvorm voor de uitvoering van de ketenaudit moeten kiezen. Hier helpen de coördinatiemechanismen om de uitvoering van de ketenaudit te coördineren. Voor situaties bij de overheid kan het grafische model van [MOLL10] als richtlijn dienen. 2. De audit richt zich op de vormen van ketencoördinatie. De coördinatiemechanismen zijn het object van onderzoek. Voor- en nadeel van ketenaudit Voordeel van ketenaudit De meerwaarde van ketenaudit ligt in de beoordeling van de keten als geheel. De coördinatiemechanismen in de keten dienen niet alleen voor het afstemmen van de activiteiten, maar moeten ook de risico s die kleven aan het fenomeen keten mitigeren. In vergelijking met zelfstandige organisaties introduceert een keten risico s door afhankelijkheden en door aansluiting/communicatie tussen partners in de keten. Een ketenrisico is het risico dat door afhankelijkheden in de keten een verstoring bij de ene ketenpartner gevolgen heeft voor een andere ketenpartner. Andere ketenrisico s zijn gelegen in gebrekkige aansluiting/communicatie in de keten tussen de deelprocessen of onderliggende systemen bij de ketenpartners. Een ketenaudit besteedt mede aandacht aan (de beheersing van) juist dit soort risico s. Bij individuele onderzoeken worden ketenrisico s meestal niet geraakt, omdat de onderzoeken gericht zijn op de ketenpartners afzonderlijk. Daardoor is het beeld bij individuele onderzoeken niet volledig. Beoordeling van de relevante ketenrisico s is noodzakelijk om tot een afgewogen oordeel over de beheersing van ketenprocessen te komen. In de paragraaf De beheersing van PIN komen relevante ketenrisico s van de PIN-keten aan de orde. Nadeel van ketenaudit Een praktisch nadeel bij een ketenaudit is dat vrijwel altijd meer auditors van de verschillende ketenparticipantenen/of van externe partijen betrokken zijn. De onderlinge samenwerking vraagt om coördinatie en kan resulteren in hogere kosten en langere doorlooptijden. ELEKTRONISCH BETALEN MET PIN PIN is een vorm van elektronisch betalen met een debit card waaraan een vaste bankrekening is gekoppeld. De kaart kan alleen worden gebruikt in combinatie met de pincode (persoonlijk identificatie nummer). PINbetaling is na contante betaling het belangrijkste betaalmiddel in Nederland. Jaarlijks zijn er meer dan 2 miljard PIN-betalingen met een totaal transactievolume van ruim 75 miljard Euro. PIN zegt op haar eigen website dat het systeem niet bestaat: het is een serie van schakels die met elkaar verbonden zijn. De verbindingen tussen de schakels moeten er gezamenlijk voor zorgen dat de transactie tot stand komt, dat het juiste bedrag van de juiste rekening wordt gehaald en op de juiste rekening wordt bijgeschreven. In de betaalketen zijn de computers en systemen van de transactieverwerkers een belangrijke schakel [PIN11]. PIN is geïntroduceerd in 1987 en stopt waarschijnlijk eind 2011 als merk doordat in Europees verband wordt overgestapt naar bankpassen met gebruik van de EMV-chip die gebaseerd zijn op een andere technologie. Rollenmodel van PIN Binnen de betaalketen zijn er verschillende rollen te onderkennen. De eigenaar van de betaalformule PIN (PIN B.V., respectievelijk Currence, de aandeelhouder van PIN B.V.) is belast met het definiëren en beheren van de eisen ten aanzien van deze rollen. Afhankelijk van hun positie in het betaalproces hebben de participanten verschillende rollen. Figuur 2 geeft een overzicht van de participanten en hun relaties bij betalen met PIN. Rolbeschrijving PIN B.V. verstrekt licenties en certificaten aan de participanten die één of meerdere rollen vervullen. Voor iedere rol is een uniforme set van regels opgesteld waaraan iedere licentiehouder en certificaathouder zich dient te conformeren, de zogenoemde Rules & Regulations PIN. Relevante processen in de PINketen De relevante processen in de keten zijn naast (i) het doen van de pinbetaling (ii) de kaartproductie, -personalisatie en -distributie en (iii) de productie, levering en aansluiten van PINbetaalautomaten. De laatste twee processen ondersteunen het proces PINbetaling. Voor het betalen met PIN beschikt de kaarthouder naast een PINkaart over een bankrekening bij de bank die de kaart uitgeeft. De zogenoemde Issuing Bank is verantwoordelijk voor de productie, personalisatie en distributie van de kaart. De partij waaraan wordt betaald, de acceptant, beschikt over een betaalautomaat die voldoet aan de specificaties van PIN B.V. 24 de IT-Auditor nummer

5 Eisen liggen op het vlak van beveiliging, prestatie, functionaliteit en datacommunicatie. De kaarthouder betaalt via de PINbetaling de acceptant voor de geleverde prestatie. De afwikkeling van dit betaalproces verloopt online volgens het four corners model. De vier hoeken zijn de kaarthouder, de acceptant, de bank van de kaarthouder en de bank van de acceptant. Het berichtenverkeer is versleuteld en afgeschermd via dedicated lijnen met het oog op vertrouwelijkheid en integriteit van de gegevens. Rollenmodel PIN Issuing domein Kaarthouder Issuing Bank Issuing Processor Dafaoomleveranoter Kaartleveranoter Kaartpersonalicator Switch PIN B.V. (Currence) PIN Clearing House Settlement Figuur 2: Rollenmodel PIN [CURR11] Beschrijving van het betaalproces Betalen met PIN is het primaire proces van de keten. De kaarthouder haalt de PINkaart door de gecertificeerde betaalautomaat bij de acceptant (identificatie). Na het intoetsen van de persoonlijke pincode door de kaarthouder (authenticatie) en het invoeren van het af te rekenen bedrag door de acceptant, vraagt de terminal om het accorderen van de transactie door de kaarthouder (druk op JA ). De betaalautomaat verstuurt een autorisatieverzoek voor betaling aan de Acquiring Processor. De Acquiring Processor controleert het autorisatieverzoek op syntax en stuurt het autorisatieverzoek door aan de gecertificeerde Switch. De Switch is gekoppeld aan alle autorisatiesystemen van Issuing Banken en leidt het verzoek door naar het autorisatiesysteem van de bank van de kaarthouder. Na controle van het banktegoed volgt het resultaat van de autorisatie dezelfde weg terug naar de terminal ( u heeft betaald dan wel saldo niet toereikend ). De betaalautomaat verstuurt de gegevens van geslaagde betalingen naar de Acquiring Processor die op dagelijkse basis alle transacties aanbiedt aan het Clearing House. Settlement tussen de Issuing Bank en de Acquiring Bank verloopt via De Nederlandse Bank (DNB) op basis van de gegevens van het Clearing House. Governance bij PIN Currence, de moeder van PIN B.V. is een zelfstandige organisatie en eigenaar van collectieve nationale betaalproducten zoals PIN, ideal en acceptgiro. Zij stelt regels op voor het gebruik van haar producten en houdt toezicht op naleving van deze regels. Banken en toeleveranciers sluiten licentie- en/of certificaatovereenkomsten af met Currence voor het gebruik van haar producten. Eigenaar van de aandelen van Currence Acceptant of Acquiring Bank Acquiring Processor De beheersing van PIN PIN B.V. treedt op als centrale ketenregisseur om de complexiteit in de keten het hoofd te bieden. Naast ontwikkeling en promotie van het merk, het opstellen van de regelgeving en het verstrekken van certificaten en licenties, houdt PIN B.V. toezicht op het naleven van de ketenregelge- Kaartvemietiger Wederverkoper Terminalleveranoter AP&P Acquiring domein zijn de grote banken in Nederland die zo invloed hebben op de strategische besluitvorming over de betaalproducten. Het bevorderen van een goede werking van het betalingsverkeer in Nederland is onderdeel van de oversight taak van DNB. In dat kader is Currence onderworpen aan oversight door DNB. De reden van de uitgebreide governance is dat banken eindverantwoordelijk zijn in het issuing en acquiring domein (zie figuur 2). DE AANKNOPINGSPUNTEN VOOR KETENAUDIT BIJ PIN In dit hoofdstuk verkennen wij allereerst de vraag of PIN een keten is. Vervolgens gaan wij na of het INKmodel toepasbaar is op PIN. Is PIN een keten? Uit de beschrijving van het rollenmodel PIN blijkt dat er sprake is van een samenwerkingsverband tussen (i) verschillende partijen: kaarthouder, issuing bank, issuing processor, switch, acquiring processor, acquiring bank, acceptant, PIN B.V. en Clearing House. Deze partijen functioneren zowel (ii) zelfstandig, als ook (iii) afhankelijk van elkaar tijdens de verwerking van een PINtransactie. De voorbereidende handelingen en de eigenlijke verwerking hierin zijn (iv) volgtijdelijk en gericht op de afwikkeling van het betaalproces als (v) afzonderlijk doel. Alle vijf elementen uit de INK-definitie worden bij PIN geraakt. Wij typeren PIN als een keten. Het ketentype is geïnstitutionaliseerde samenwerking, omdat de samenwerking sterk wordt beïnvloed door financiële wet- en regelgeving. de IT-Auditor nummer

6 ving, coördineert zij de fraudebestrijding en faciliteert collectieve overlegstructuren. PIN B.V. dwingt zover als mogelijk is uniformiteit af door het verplichten van het gebruik van gestandaardiseerde protocollen, interfaces, procedures, kaarten, terminals en kassasystemen. Afstemming vindt plaats door overleg en standaardisatie op operationeel en tactisch niveau. Op strategisch niveau vindt regie plaats door middel van een jaarlijkse planning & controlcyclus en het afleggen van verantwoording via het jaarrapport. Wij constateren dat PIN B.V. de keten beheerst door de drie coördinatiemechanismen van het INK-model te gebruiken. Hieruit concluderen wij dat het INK-model toepasbaar is op PIN. Passieve coördinatie op koppelvlakken is niet toereikend voor de beheersing van de PIN-keten. De complexiteit en de dynamiek van de vele veranderingen in de keten maken actieve coördinatie noodzakelijk. Robuustheid van de betaalketen van PIN In oktober 2009 heeft de Stichting Bevordering Efficiënt Betalen (SBEB) het eindrapport Naar een robuustere PINketen in Nederland gepubliceerd [SBEB09]. Aanleiding voor het onderzoek waren klachten over storingen en installatieproblemen. Het rapport noemt (1) de complexiteit in de keten en (2) het ontbreken van één eindverantwoordelijke partij over de gehele keten als structurele grondoorzaken van de verminderde robuustheid en daarmee de verhoogde storingsgevoeligheid van de keten. Figuur 3 geeft een indruk van de complexiteit in de keten. Een oplossing is de feitelijke keuze die een winkelier maakt voor acquirer, terminalleverancier, datacomleverancier en processor. De complexiteit van de keten vormt een relevant ketenrisico, omdat iedere permutatie een potentiële storingsituatie representeert. Het ontbreken van één eindverantwoordelijke partij over de gehele keten is een relevant ketenrisico omdat de retailers door de afhankelijkheden en de vele mogelijk niet goed afgestemde processtappen in de keten niet weten welke dienstverlener ze kunnen aanspreken voor de oplossing van een storing. Het rapport stelt drie maatregelen voor om de risico s af te dekken en daarmee de robuustheid van de keten te verhogen: Vereenvoudig het aanbod en maak de aanbiedingsstructuur transparant. Versterk certificering. Beleg storingsescalatie bij een neutrale partij. Het grote aantal mogelijke permutaties, waaruit de ondernemer zelf een keuze maakt, vergroot storingsgevoeligheid Acquirer Terminal Datacom Processor Switch Interpaytijdperk Huidige situatie Alphyra Interpay CCV KPN Interpay Interpay EFT systems ~1 acquirer 15 terminals 10 Datacom 1 processor 1 switch = leverancier ING ABN Amro Rabo bank ~10 acquirers CCV Banksys Payzone KPN Infopact BT Equens CCV Equens 25 terminals (p.m. kassakoppelingen) ~25 gecertificeerde breedbandproducten 2 processors 1 switch = Alleen variatie in keuze van terminals (totaal ~~15 permutaties) 1 dedicated datacomverbinding Acquiring, processing en switching in 1 hand (Interpay) Certificering terminal door zelfde partij waardoor per saldo de keten end-to-end gecertificeerd was ~150 permutaties Variatie op alle ketenonderdelen (totaal ~ permutaties) Keuzes geïnitieerd door ondernemer Datacom via gedeelde infrastructuur Certificering op ketenonderdelen ~12,500 permutaties Figuur 3: Aantal mogelijke oplossingen [SBEB09] 26 de IT-Auditor nummer

7 Bij het vereenvoudigen van het aanbod ligt de nadruk op het verder standaardiseren en beperken van de keuzemogelijkheden per ketenonderdeel. Het certificeren van producten en ook van de keten als geheel, het gecoördineerd aanbrengen van wijzigingen (patches en upgrades) bij ketensystemen en -processen hebben als doel om storingen in de keten te verminderen en vergen regie. Een onafhankelijk meldpunt maakt afstemmen mogelijk door het vooraf melden van wijzigingen, juist identificeren van storingen, het toewijzen aan de veroorzaker en communicatie naar de betrokkenen. Currence heeft hiervoor een centraal online meldsysteem ingericht: CONNECT. De drie maatregelen om het ketenproces te verbeteren, passen binnen de drie coördinatiemechanismen van het INK-model. Dit versterkt ons vermoeden van de toepasbaarheid van het model bij ketenaudit omdat het aansluit bij de beheersprocessen van de keten als geheel en niet enkel gericht is op ketenonderdelen. Ook bij het verhogen van de robuustheid blijkt actieve coördinatie noodzakelijk. DE KETENBENADERING TOEGEPAST OP DE IT-AUDIT VAN PIN IN DE PRAKTIJK In dit hoofdstuk onderzoeken wij de kenmerkende gevolgen voor de controleaanpak door de ketenbenadering toe te passen op de IT-audit van PIN in de praktijk. De coördinatie van de werkzaamheden van de verschillende auditors op basis van risicoanalyse en de audit van een relevant ketenauditobject komen hierbij aan de orde. Theoretische opzet van ketenaudit van IT Betalingen met PIN verlopen niet altijd vlekkeloos. Participanten streven naar een veilige en ongestoorde PINbetaling van kaarthouder naar acceptant. Het waardetransport binnen de keten stelt hoge eisen aan de kwaliteitsaspecten beschikbaarheid, integriteit, vertrouwelijkheid, onweerlegbaarheid en controleerbaarheid. Deze eisen hebben betrekking op de geautomatiseerde systemen en beheerprocessen zoals incident management, problem and change management, availability management, en security management in de keten. De complexiteit van de keten en de hoge graad van automatisering vraagt om IT-audit. De regelgeving binnen de keten als gevolg van de institutionele samenwerking biedt bruikbare uitgangspunten voor het formuleren van normen voor IT-auditors. Het opdrachtgeverschap is als onderdeel van de ketengovernance georganiseerd. Bij de PIN-keten is de geëigende opdrachtgever PIN B.V., na afstemming in de keten. De beoordeling van de keten valt volgens onze benadering uiteen in twee onderdelen: 1. Een beoordeling door de keten IT-auditor van de binnen de keten aanwezige regelgeving en coördinatiemechanismen, inclusief het beheer en functioneren hiervan. Daaronder vallen ook de maatregelen om de ketenrisico s te beheersen. 2. Een beoordeling door de ketenpartner IT-auditor van iedere processtap bij de ketenpartners in het bijzonder de issuing en acquiring bank als onderdeel van hun eigen bedrijfsvoering. Omdat er bijna altijd meer auditors betrokken zijn bij ketenaudit is volgens ons coördinatie van het samenwerkingsverband van IT-auditors nodig (zie de paragraaf Van keten naar ketenaudit). Dit samenwerkingsverband heeft het karakter van een joint audit, waarbij verschillende auditors samenwerken en gezamenlijk een verklaring ondertekenen. Het is van belang dat er aansluiting is van de registraties van de beheersing van de individuele processtap in de keten met de registraties van de interne beheersing van individuele ketenpartner zelf. Voorbeelden zijn dezelfde periode van verslaggeving en dezelfde specificatie van geregistreerde grootheden. Er zijn dan minder uitzoekposten met als resultaat dat de beheersing en audit van de keten eenvoudiger worden. De keten IT-auditor De keten IT-auditor kijkt naar de toepasbaarheid van de regelgeving, de effectiviteit van de coördinatiemechanismen, de afdekking van ketenrisico s, het naleven van de opgestelde normen en beheerprocessen om een oordeel te kunnen geven over het functioneren van de keten. Informatie over het functioneren van de ketenpartners verkrijgt de ketenauditor van de ketenpartner IT-auditor. Deze informatie vormt belangrijke input. De toegevoegde waarde van de ketenaudit van IT is het verhogen van het vertrouwen in de keten bij de partners en indirect bij het publiek door het geven van assurance in ketenverband. De ketenpartner IT-auditor De ketenpartner IT-auditor beoordeelt de naleving van de regelgeving aan de hand van de geautomatiseerde systemen en omringende processen die de keten raken. Idealiter is dit onderdeel van de reguliere IT-audit bij de ketenpartner. Hiervoor verdiept de ketenpartner auditor zich in de regelgeving en stemt hij zijn werkzaamheden af met de keten IT-auditor door coördinatie (standaardisatie, afstemming en/of regie) van de samenwerking met de keten IT-auditors. Banken hebben een bijzondere positie omdat zij eindverantwoordelijk zijn voor de door hen uitbestede bedrijfsprocessen die belangrijk kunnen zijn voor hun financiële verantwoording. De processing en switching van de PINbetalingen zijn voornamelijk uitbesteed aan Equens. De IT-audits die bij Equens plaatsvinden, zijn de interne audit, audit voor PCI-DSS (Payment Card Industry Data Security Standard [PCI- DSS] en de institutionele audit de IT-Auditor nummer

8 door DNB. Daarnaast wordt door de banken een SAS70 verklaring type 2 van Equens gevraagd. Zelf is Equens ISO27001 en BS25999 gecertificeerd, maar deze certificeringen zijn niet verplicht. De relevante referentie/normenkaders voor IT-audit van de uitbestede processen bij Equens zijn: De algemeen aanvaarde standaarden en referentie/normenkaders voor IT-audit: onder andere de Code voor Informatiebeveiliging (ISO/NEN27001), ITIL, COBIT en COSO. De normenkaders met een institutioneel karakter: Wet op het financieel toezicht, regelgeving van DNB, Currence-regels (de regelgeving van DNB is hierin verwerkt en de regels zijn dus vergelijkbaar met wetgeving). Alle ge -cobranded cards (Maestro) moeten voldoen aan regelgeving van MasterCard, PCI-DSS. Voor perioden van onderzoek, waarin de datum 15 juni 2011 is inbegrepen, is de nieuwe standaard ISAE 3402 verplicht. Voor de belangrijkste wijzigingen ten opzichte van SAS 70 verwijzen wij naar een helder artikel eerder verschenen in de IT-Auditor [EWAL10]. We volstaan hier met te constateren dat de relatie tussen keten assurance en de standaarden SAS 70/ISAE 3402 nadere invulling behoeft. De geïnterviewde IT-auditors van Currence/PIN, Equens en een grote bank bevestigden de behoefte aan assurance in ketenverband. Zij stonden positief tegenover een ketenaudit van PIN. Zij stonden overigens ook positief tegenover de een ketenaudit van de andere betaalproducten van Currence (Chipknip, Incasso/Machtigen, Acceptgiro en ideal). De afzonderlijke ketenaudits zijn eventueel samen te smeden tot een generieke ketenaudit van elektronisch betalen. De praktijk van de ketenaudit van IT bij PIN De praktijk van de ketenaudit van IT is onderzocht aan de hand van interviews met vier IT-auditors die betrokken zijn bij de IT-audit van Currence, Equens en een grote bank. De interviews richtten zich op het gebruik van de coördinatiemechanismen om de integrale ketenaudit te coördineren enerzijds en op de audit van een specifiek coördinatiemechanisme in de keten anderzijds. Regie om de ketenaudit te coördineren Currence voert via haar dochteronderneming PIN B.V. de regie over de audits in de betaalketen van PIN. De inventarisatie van de individuele en ketenrisico s is de basis voor het plannen van audits. Bij de inventarisatie gebruikt men voor de risicoanalyse een matrix van rollen en systeemcomponenten ten opzichte van gestelde eisen. Dit nuttig hulpmiddel Hoe wordt auditfunctie ingevuld? INSTELLINGEN (Integere & beheerste bedrijfsvoering) APPARATUUR/ PROGRAMMATUUR (Veiligheid & betrouwbaarheid systemen) Licentiehouder (DNB vergunning & Licentie Fee) Certificaathouder (Geen Fee) Betaal Autom. Kssa kopp. Dcom Netw. ICT Infrastructuur Host & Switch ideal Mssg INITIEEL (Controle aan de Poort) Certificering (voor rol in betaalketen) Integrale toetsing Rules (organisatorisch-proces compliance) Integrale toetsing Standaarden (security-technische compliance) REGULIER (Toetsing op Naleving) Doorlopend toezicht (going concern) Partiële toetsing (obv indicaties vooraf of obv events achteraf) THEMATISCH (Toetsing op Aspecten) Horizontaal (over objecten) Thematische toetsing (één aspect bij meerdere instellingen bijv, fraudepreventieprocedures) Figuur 4: Toezichtmodel van Currence [BALR09] 28 de IT-Auditor nummer

9 helpt bij de identificatie (waar in de keten) en classificatie (impact) van ketenrisico s. Per instelling/rol en hardware/software component wordt beoordeeld of er wordt voldaan aan de regelgeving. Bij de toetsing worden facetten als compliance, organisatie, techniek en processing beoordeeld tegen de kwaliteitsaspecten beschikbaarheid van de systemen (continuïteit), integriteit (fraudeaspecten) en privacy (vertrouwelijkheid). Met de matrix worden risicosegmenten, gezamenlijke aspecten, dwarsverbanden, doublures en hiaten in de te plannen audits zichtbaar. Door de verschillende risico s in samenhang te bezien komen alle risico s in de keten in beeld en kan het relatieve belang van de risico s worden beoordeeld. Vervolgens kan de totale auditinspanning in de keten worden geprioriteerd met differentiatie naar financial, compliance, security, operational en IT-audits. Zoals reeds vermeld in de paragraaf Theoretische opzet van ketenaudit van IT is de aansluiting met de interne beheersing van de individuele participanten in de keten en de uitlijning met de gehele keten belangrijk. Vermindering van uitzoekposten, gericht op alleen de keten, resulteert in lagere kosten van beheersing en audit van de keten. In het toezichtmodel van Currence (figuur 4) is de matrix verwerkt. Een coördinatiemechanisme als object van audit Als voorbeeld van een coördinatiemechanisme als object van audit nemen wij CONNECT. Vanaf eind 2008 heeft Currence het centraal meldsysteem voor storingen CON- NECT ontwikkeld en een escalatieteam ingericht waarin de belangrijkste partijen uit de keten deelnemen om de storingsafhandeling over de keten eenduidig te beleggen. Zie figuur 5 voor incidentafhandeling met CONNECT. CONNECT is een ketencoördinatiemechanisme waarmee een deel van de risico s van afhankelijkheden en gebrekkige communicatie/aansluiting in de keten worden gemitigeerd. Daarmee is het een relevant ketenauditobject waarvan opzet, bestaan en werking kan worden getoetst. In figuur 4 valt de toetsing van CONNECT binnen het blok reguliere toetsing op naleving bij de instellingen. Regelgeving eist dat ketenpartners geplande en ongeplande storingen centraal melden, deze delen met andere ketenpartners en netjes afwikkelen. Ook wijzigingen aan eigen systemen en procedures die de PINketen raken, behoren te worden gemeld. Currence kan met behulp van CONNECT storingen proactief identificeren, door combinatie met andere meetgegevens structureel het betaalproces evalueren en een leercirkel inrichten. Hieruit volgt de auditvraag of alle ketenpartners wel tijdig, juist en volledig alle meldingen en afwikkelingen in CONNECT registreren volgens de opzet die in de Rules en Regulations is vastgelegd. Currence kan vaststellen of de waargenomen storingen in CONNECT door de betrokken ketenpartners zijn gemeld. Ook de (beheersing van de) opvolging van Centrale acties en communicatie met achterban ketenpartijen Identificatie Incidentafhandeling Evaluatie Inrichten centraal meldsysteem (CMS) voor wijzigingen en storingen Aggregeren en monitoren actuele tracking-informatie bij ketenpartijen Aanvullen met continue metingen (steekproeven) Escaleren van incidenten Mobiliseren escalatieteam Probleem lokaliseren en oplossen met relevante achterban Terugkoppelen per uur naar escalatieteam Communiceren storingsbron en geschatte afhandeltijd naar achterban overige partijen Evalueren grondoorzaken Identificeren en initiëren preventieve maatregelen Evalueren identificatie- en afhandelingproces Vastleggen verbeterpunten in draaiboeken Doorvoeren verbeterideeën bij achterban Rapporteren storingen Communicatie naar retailers en breed publiek Waarschuwen en instrueren voor storingsrisico s Communiceren instructies bij bekende storingen Melden van grootschalige incidenten via diverse kanalen (tel., portal, SMS) Up-to-date houden portal met geschatte afhandeltijd Rapporteren over aantal en duur van grote incidenten Rapporteren over afhandeling en verbeteringen Updaten van instructies Figuur 5: Incident afhandeling met CONNECT [SBEB09] de IT-Auditor nummer

10 de regels kan de ketenauditor goed beoordelen. Analyse van een storing kan uitwijzen dat een verstoring niet gemeld is door de ketenpartner. De ketenpartner-auditor heeft een belangrijke taak om de volledigheid van het melden van relevante geplande en ongeplande storingen vast te stellen. Niet iedere wijziging die niet gemeld is aan CONNECT, leidt immers tot een storing. Uit de afwikkeling van storingen kan blijken dat nader overleg nodig is tussen de ketenpartners. Ook kan blijken dat aanpassing van deelprocessen of onderliggende systemen met inzetten van ketenregie gewenst is. Bijvoorbeeld door het aanpassen van de regelgeving (Rules and Regulations). Met CONNECT wordt het incident- en problem management van de keten beheersbaar. Het heeft overeenkomsten met de ITILprocessen zoals die binnen organisaties worden toegepast, aangevuld met een voorziening om communicatie mogelijk te maken voor coördinatie binnen de keten. Dit strookt met de opmerking van INK dat het verschil tussen een organisatie en keten gradueel is. CONCLUSIE Wij vin den dat de ketenaudit volgens het INK-model uitvoerbaar is bij de IT-audit van elektronisch betalen met PIN. De casestudie IT-audit binnen de PIN-keten toont de geschiktheid van het INK-model aan als referentiemodel voor het organisatorische aspect van de ketenaudit. Het INK-model geeft richting aan de vraag of de ketenaudit wel mogelijk is en helpt om de objecten die specifiek zijn voor ketens te onderkennen. De ketenaudit is het resultaat van de gecoördineerde samenwerking tussen meer IT-auditors en is met name nodig voor het beoordelen van de relevante ketenrisico s. In de praktijk wordt de behoefte een assurance in ketenverband bevestigd. Bij de keten IT-audit is invulling van zowel de organisatorische als procesmatige en technische IT-aspecten van belang. HOE VERDER? Wij zien mogelijkheden voor verdere uitwerking van de ketenaudit in praktijk en in theorie. Praktijk De geïnterviewde IT-auditors staan positief tegenover een ketenaudit van PIN en overigens ook van de overige betaalproducten van Currence (PIN, Chipknip, Incasso/Machtigen, Acceptgiro en ideal). Het verdient aanbeveling dat Currence/PIN het initiatief neemt tot een ketenauditoverleg met (vertegenwoordigers van) participanten in de keten(s) om de voorwaarden voor een ketenaudit vast te stellen. Voor de keten IT-audit komen zowel organisatorische als procesmatige en technische IT-aspecten aan de orde. Theorie Het INK-model is algemeen geformuleerd en is in principe toepasbaar bij iedere keten. Verder onderzoek is nodig om na te gaan bij welke ketentypen ketenaudit zinvol is. Het model kan worden verfijnd door het standaardisatiemechanisme verder te onderscheiden naar de drie vormen van standaardisatie van Mintzberg: standaardisatie van processen, output/product of kennis en vaardigheden. Voorts kan worden onderzocht of de volgende vragen relevant zijn voor ketenbeheersing en ketenaudit: Zijn er alternatieve modellen voor ketenbeheersing die als referentiemodel voor het organisatorische aspect van de ketenaudit kunnen dienen? Wat is de invloed van de aard van het ketenproces (bijvoorbeeld handel, productie en dienstverlening) en de omvang van de keten? Wat is de invloed van de fase van de levenscyclus van de keten? Welke factoren hebben invloed op de samenstelling van de vorm en mix van de coördinatiemechanismen? Zijn de coördinatiemechanismen alleen in combinatie effectief of is beheersing mogelijk door een of twee mechanismen in te zetten voor ketenbeheersing? Verder onderzoek en theorievorming helpen om het referentiemodel voor het organisatorische aspect te operationaliseren en dragen bij aan een deskundige en zorgvuldige uitvoering van ketenaudits. Uiteindelijk is niets zo praktisch als een goede theorie. Ten slotte geven we onze visie op de stelling van Mollema en Welters. Aan de hand van de vraag: is een vaktechnisch verantwoorde ketenaudit een optie of utopie? Komen zij tot de conclusie dat een ketenaudit in de praktijk onder de huidige omstandigheden niet zomaar uitvoerbaar is en poneren de volgende stelling: er kan niet worden vastgesteld dat de keten adequaat functioneert, waarmee niet kan worden vastgesteld dat het ketendoel wordt gehaald. In dit artikel vinden wij dat de beheersing van de keten een noodzakelijke voorwaarde is voor een vaktechnisch verantwoorde ketenaudit. Onze visie luidt: bij een keten met adequate beheersmaatregelen, gedeelde normen en afgestemde beheersdoelen is een vaktechnisch verantwoorde ketenaudit uitvoerbaar. Aan de hand van gedeelde normen kan worden vastgesteld dat de keten adequaat functioneert en dat het ketendoel wordt gehaald. Bij ketens zonder adequate beheersmaatregelen en normen is ketenaudit een utopie. Aan dit artikel werkten mee: Dr. R. (René) Matthijsse, VU-coach, A.M. (Arnold) Roza RA EMITA, Bedrijfscoach, Drs. S.K. (Suren) Balraadjsing RE EMITA, J. (Hans) Lameijer RE CISA. Een ieder dank daarvoor. 30 de IT-Auditor nummer

11 Literatuur [ALVN09] Algemene Leden Vergadering NOREA, Mollema, R.J. en Matthijsse, R [BALR09]Balraadjsing, S., Currence; Elektronisch betalen en vertrouwen, presentatie VUrORE-seminar: Geeft elektronisch geld vertrouwen?, 11 november pdf (geraadpleegd op 18 juli 2011). [BRUI06-1] Bruijn, de A.J.M., Meer, van der, Nieuwenhuizen, P.C.J. Slot, M.C.M. en Staveren, van B.J., Ketengovernance: startpunt voor keteninrichting en ketenauditing, de EDP-Auditor, nr. 1, [BRUI06-2] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen, P.C.J. Slot, M.C.M. en Staveren, van B.J.,Ketengovernance: ketensamenwerking binnen het publieke domein, de EDP-Auditor, nr. 2, [CURR11] Currence, Algemene Toelichting Rules & Regulations PIN, Cu_RR_P_AlgemeneToelichting.pdf (geraadpleegd op 18 juli 2011). [EWAL10] Ewals, R.Ch.T., ISAE 3402: een nieuw hoofdstuk voor de IT-auditor, de IT-Auditor, nr. 3, 2010 [INK08] Ketenmanagement in INK-perspectief, INK Zaltbommel, april 2008, [INK10] Samenwerken in de keten, 2010, [MEER05] Meer, van der A.J. en Dirks, L.G., Ketenauditing in de publieke sector, complex en daarom spannend!, de EDP-Auditor, nr [MINK07] Minkman, M.M.N. en Ahaus, C.T.B., Ketenkwaliteit, de organisatiegrens voorbij, Kwaliteit in beeld, [MINT92] Mintzberg, H., Organisatiestructuren, Academic Service Economie en Bedrijfskunde, Schoonhoven, [MOB10] Rapportage Maatschappelijk Overleg Betalingsverkeer 2009, mei 2010, MOBRapportage. [MOLL10] Mollema, R.J., Welters, M.M.J.M., Vaktechnisch verantwoorde ketenaudits: optie of utopie?, de IT-Auditor, nr 3, 2010, pag [NOREA.C1] NOREA, C1 Raamwerk Assurance Opdrachten. [PCI-DSS] Payment Card Industry Data Security Standard 2.0, [PIN11] PIN, Hoe gaat een PINbetaling, Hoe werkt het systeem nu eigenlijk?, Zakelijk/PINAccepteren/Pages/HoegaateenPINbetaling. aspx (geraadpleegd op 18 juli 2011). [SBEB09] Stichting Bevorderen Efficiënt Betalen, Naar een robuustere PIN-keten in Nederland, oktober 2009, docs/ Eindrapport_robuustere_pinketen_finaal.pdf. [SEPA08] De gevolgen van SEPA voor pinnen met de betaalpas, 19 mei 2008, [TREN08] Trends Business Procesmanagement, 2008, Reactie op artikel Bolier namens werkgroep ketenauditing Dit artikel vormt een reactie op een artikel van de Werkgroep Ketenauditing van NOREA. De werkgroep zet de discussie voort via onderstaande reactie. De heer Bolier toont in dit artikel met de casus betalen met pin aan dat bij een keten met adequate beheersmaatregelen, gedeelde normen en afgestemde beheersdoelen een vaktechnisch verantwoorde ketenaudit een optie is; aan de hand van gedeelde normen kan immers worden vastgesteld dat de keten adequaat functioneert en dat het ketendoel wordt gehaald. De vraag is of de stelling van Welters en Mollema waarop Bolier reageert hiermee ontkracht wordt of juist bevestigd. Deze stelling luidde: er kan niet worden vastgesteld dat de keten adequaat functioneert, waarmee niet kan worden vastgesteld dat het ketendoel wordt gehaald. Deze stelling kwam voort uit de ervaring dat in ketens de beheersing vaak niet eenduidig op orde is en dat zelfs de doelen van een keten niet altijd helder zijn. Bolier brengt in de casus Betalen met pin drie belangrijke randvoorwaarden in om een succesvolle ketenaudit mogelijk te maken: met adequate beheersmaatregelen, gedeelde normen en afgestemde beheersdoelen. Strikt genomen bevestigt hij daarmee de stelling, wat hij in de eindconclusie ook zo formuleert met de woorden, bij ketens zonder adequate beheersmaatregelen en normen is ketenaudit een utopie. Het artikel en de casus laten aan de andere kant zien dat een goed opgezette keten met duidelijke governance audits op doelstellingen zeer goed mogelijk maakt en daar zijn we naar op zoek. Een kritisch punt is wel dat er steeds gesproken wordt over één keten. Er zijn minstens een uitgifteproces, het primaire betaalproces, het clearingproces en een waaier aan ondersteunende processen te onderscheiden. Wat nu precies de keten is of dat het een netwerk van ketenprocessen is, wordt niet duidelijk. Het inbrengen van de drie coördinatiemechanismen, standaarden, afstemming en regie voegt een belangrijk element in de discussie over ketens toe. Hieraan mag in een volgend artikel aandacht worden besteed in relatie tot verschillende types ketenprocessen. Ruud Mollema, namens de Werkgroep Ketenauditing van NOREA Drs. E. (Emiel) Bolier RA CISA EMITA studeerde Bedrijfseconomie en Bestuurlijke Informatiekunde aan de Erasmus Universiteit te Rotterdam en vervolgens postdoctoraal Accountancy. Onlangs heeft hij de postgraduate opleiding IT-audit aan de VU te Amsterdam afgerond. Hij is werkzaam als accountant en EDP-auditor bij de Belastingdienst Rijnmond, te Rotterdam. Hij heeft dit artikel op persoonlijke titel geschreven. de IT-Auditor nummer

Invoering EMV in Nederland (en andere veranderingen in het betalingsverkeer)

Invoering EMV in Nederland (en andere veranderingen in het betalingsverkeer) Invoering EMV in Nederland (en andere veranderingen in het betalingsverkeer) Presentatie voor Detailhandel Nederland 28 augustus 2009 Piet Mallekoote, Algemeen Directeur Currence Voorzitter Afstemgroep

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Procesmanagement. Waarom processen beschrijven. Algra Consult

Procesmanagement. Waarom processen beschrijven. Algra Consult Procesmanagement Waarom processen beschrijven Algra Consult Datum: 22 oktober 2009 Inhoudsopgave 1. INLEIDING... 3 2. WAAROM PROCESMANAGEMENT?... 3 3. WAAROM PROCESSEN BESCHRIJVEN?... 3 4. PROCESASPECTEN...

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Beheersing van risico s en controls in ICT-ketens

Beheersing van risico s en controls in ICT-ketens Beheersing van risico s en controls in ICT-ketens Samenvatting Modellen voor beheersbaarheid en assurance zijn tot dusver intraorganisatorisch van aard. Doordat ICT zich niet beperkt tot de grenzen van

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer PIN B.V. BIJLAGE J Rules & Regulations bepalingen Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer Versie : 3.2 Datum : januari 2009 Inhoudsopgave 1 Inleiding...

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Vertrouwen in on-line business

Vertrouwen in on-line business Vertrouwen in on-line business Veilig en continu betalingsverkeer 21 mei 2015 Inleiding 2 Agenda Deel 1: Doelen Eindgebruiker Vier partijen Keten Deel 2: Ontwikkelingen Regelgeving en zelfreguleringsinitiatieven

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

PINnen over Zakelijk Internet Toelichting Aanvullende voorwaarden & Technische eisen

PINnen over Zakelijk Internet Toelichting Aanvullende voorwaarden & Technische eisen PINnen over Zakelijk Internet Toelichting Aanvullende voorwaarden & Technische eisen I nhoudsopgav e 1 Aanvullende voorwaarden PINnen over Zakelijk Internet...3 1.1 Informatieplicht...3 1.2 Auditplicht...4

Nadere informatie

Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009

Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009 VURORE Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009 1 Overzicht 1. Huidige betaalinfrastructuur 2. Single Euro Payments Area (SEPA) 3. Impact op wezen 2 1. Huidige betaalinfrastructuur

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren

Charco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren Trustkantoren DNB Nieuwsbrief Trustkantoren Sinds 2012 publiceert De Nederlandsche Bank (DNB) drie keer per jaar de Nieuwsbrief Trustkantoren. Zij publiceert de Nieuwsbrief Trustkantoren om de wederzijdse

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005

Frequentiemodel Internal Audit Friesland Bank. K.T. Kloosterman Leeuwarden, 31 mei 2005 Frequentiemodel Internal Audit Friesland Bank K.T. Kloosterman Leeuwarden, 31 mei 2005 Agenda 1) Algemeen Internal Audit 2) Waarom frequenteren van onderzoeken 3) Totstandkoming en inhoud Missie Internal

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Ook werden verschillende uitvoeringsmodellen voor

Ook werden verschillende uitvoeringsmodellen voor Artikel Ketengovernance Ketensamenwerking binnen het publieke domein Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren Dit artikel is het derde en (voor lopig)

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Horizontaal toezicht. Samenwerken vanuit vertrouwen

Horizontaal toezicht. Samenwerken vanuit vertrouwen Horizontaal toezicht Samenwerken vanuit vertrouwen 12345 "Bij gaat het om wederzijds vertrouwen tussen belastingplichtige en Belastingdienst, het scherper naar elkaar aangeven wat ieders verantwoordelijkheden

Nadere informatie

SEPA Veranderingen voor onderwijsland. 18 Juni 2010 Ernst Kokke, Capgemini

SEPA Veranderingen voor onderwijsland. 18 Juni 2010 Ernst Kokke, Capgemini SEPA Veranderingen voor onderwijsland 18 Juni 2010 Ernst Kokke, Capgemini Inhoud SEPA in een notendop Betalingsverkeer, het basismodel Huidige situatie in Europa Wat is SEPA? Impact van SEPA 1 SEPA in

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2013 2014 27 863 Betalingsverkeer Nr. 52 BRIEF VAN DE MINISTER VAN FINANCIËN Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 7 november

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Kwaliteitszorg met behulp van het INK-model.

Kwaliteitszorg met behulp van het INK-model. Kwaliteitszorg met behulp van het INK-model. 1. Wat is het INK-model? Het INK-model is afgeleid van de European Foundation for Quality Management (EFQM). Het EFQM stelt zich ten doel Europese bedrijven

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Zakelijk Pinnen op een zakelijke breedbandverbinding van KPN Mei 2014

Zakelijk Pinnen op een zakelijke breedbandverbinding van KPN Mei 2014 Zakelijk Pinnen op een zakelijke breedbandverbinding van KPN Mei 2014 1 Inhoudsopga ve 1 Algemeen... 3 1.1 Inleiding... 3 2 Functionele beschrijving... 4 2.1 Pinterminals en bandbreedte... 4 2.1.1 Pinterminals...

Nadere informatie

Laveren naar sepa: de overgang naar Europese betaalmiddelen in Nederland

Laveren naar sepa: de overgang naar Europese betaalmiddelen in Nederland Laveren naar sepa: de overgang naar Europese betaalmiddelen in Nederland Vanaf 28 januari 2008 zullen consumenten en bedrijven Europees kunnen gaan betalen. Op die datum komen banken in het hele eurogebied

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Het gerecht Het resultaat: weten dat u met de juiste dingen bezig bent. Alles is op een bepaalde manier meetbaar.

Nadere informatie

Communicatieplan. Energie- & CO 2 beleid. Van Gelder Groep

Communicatieplan. Energie- & CO 2 beleid. Van Gelder Groep Van Gelder Groep B.V. Communicatieplan Energie- & CO 2 beleid Van Gelder Groep 1 2015, Van Gelder Groep B.V. Alle rechten voorbehouden. Geen enkel deel van dit document mag worden gereproduceerd in welke

Nadere informatie

Pin2Connect. Zorgeloos betalen

Pin2Connect. Zorgeloos betalen Pin2Connect Zorgeloos betalen PetrolConnect is voor alle IT & Communicatie diensten van uw tankstation. Drie zaken die sowieso nodig zijn voor een tankstation zijn het gemak van pinnen, muziek en natuurlijk

Nadere informatie

Regelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert

Regelgeving. Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Certificeringsprocedure Acceptant Payment Service Provider (APSP) Versie 1.0 1 februari 2012 12.008_LB Cert Inhoudsopgave 1. Algemeen 3 1.1 Doel van de certificeringsprocedure 3 1.2 Reikwijdte van de certificeringsprocedure

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Pin2Connect. Zorgeloos betalen

Pin2Connect. Zorgeloos betalen Pin2Connect Zorgeloos betalen HotelsConnect voor uw hotel. Voor een hotel is telefonie, beveiliging en internet van groot belang. En bijvoorbeeld eventuele muziek, de mogelijkheid tot pinnen en camerabewaking

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Competenties met indicatoren bachelor Civiele Techniek.

Competenties met indicatoren bachelor Civiele Techniek. Competenties met indicatoren bachelor Civiele Techniek. In de BEROEPSCOMPETENTIES CIVIELE TECHNIEK 1 2, zijn de specifieke beroepscompetenties geformuleerd overeenkomstig de indeling van het beroepenveld.

Nadere informatie

impact? Uw betalingsverkeer volgens nieuwe standaarden

impact? Uw betalingsverkeer volgens nieuwe standaarden SEPA impact? Uw betalingsverkeer volgens nieuwe standaarden 1 impact scan urgentie wetgeving standaarden overschrijvingen iban incasso erordening impact scan urgentie wetgeving standaarden overschrijvingen

Nadere informatie

Transactieland Koppelzone concept

Transactieland Koppelzone concept Transactieland Koppelzone concept Vooraf Het koppelzone 1 concept is een bepaalde manier van samenwerken Het samenwerken wordt daarbij ondersteund door c.q. in die samenwerking wordt gebruik gemaakt van

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Voorlichtingsbijeenkomst VFI. P.M. Mallekoote Algemeen Directeur Currence. Den Haag, 8 april 2008

Voorlichtingsbijeenkomst VFI. P.M. Mallekoote Algemeen Directeur Currence. Den Haag, 8 april 2008 Introductie ideal Voorlichtingsbijeenkomst VFI P.M. Mallekoote Algemeen Directeur Currence Den Haag, 8 april 2008 Agenda Achtergrond Currence Wat is ideal? Het succes van ideal in Nederland Naar een Europese

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Vertrouwen in ketens. Jean-Paul Bakkers

Vertrouwen in ketens. Jean-Paul Bakkers Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management

Nadere informatie

ZONDER. MEER. Voorwaarden Online Bankieren nibc direct

ZONDER. MEER. Voorwaarden Online Bankieren nibc direct ZONDER. MEER. Voorwaarden Online Bankieren nibc direct ZONDER. MEER. Inhoudsopgave Toelichting gebruikte begrippen 1. Elektronische diensten 2. Gebruiksvoorschriften en/of aanwijzingen 3. Zorgplicht NIBC

Nadere informatie

Pin2Connect. Zorgeloos betalen

Pin2Connect. Zorgeloos betalen Pin2Connect Zorgeloos betalen RecreatieConnect is een uniek concept voor de recreatiebranche. Eén totaalconcept voor alle IT & Communicatie diensten voor uw organisatie. RecreatieConnect biedt u diensten

Nadere informatie

ABN AMRO. Welkom bij ABN AMRO ideal Algemene handleiding

ABN AMRO. Welkom bij ABN AMRO ideal Algemene handleiding ABN AMRO Welkom bij ABN AMRO ideal Algemene handleiding Inhoudsopgave 1. Inleiding 3 2. ideal 3 3. Consument perspectief 4 4. Inplementatie 7 5. Overige informatie / Contact informatie 8 BU NL Versie 1.0

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

DVM in Amsterdam, de ambities waargemaakt door de systemen!

DVM in Amsterdam, de ambities waargemaakt door de systemen! (Bijdragenr. 56) DVM in Amsterdam, de ambities waargemaakt door de systemen! Bert van der Veen Advin b.v. Rien Borhem Gemeente Amsterdam 1. Inleiding Om het verkeer in goede banen te leiden wordt steeds

Nadere informatie

Business Service Management Eén ERP-oplossing voor al uw beheer

Business Service Management Eén ERP-oplossing voor al uw beheer WHITEPaPER: BUSINESS SERVICE MANAGEMENT Business Service Management Eén ERP-oplossing voor al uw beheer IT SERVIcE PRoVIDER auteur: Herman Rensink WHITEPAPER: BUSINESS SERVICE MANAGEMENT 2 Met GENSYS levert

Nadere informatie

Probleemloos naar één Europese markt voor betalingen

Probleemloos naar één Europese markt voor betalingen Probleemloos naar één Europese markt voor betalingen SEPA: betalingsverkeer zonder grenzen In een groot deel van Europa worden de grenzen voor het betalingsverkeer afgeschaft. Er komt één grote Europese

Nadere informatie

Titelstijl van model bewerken. Online ontwikkelingen met impact. Gaston Aussems. Jaarcongresaccountant.nl

Titelstijl van model bewerken. Online ontwikkelingen met impact. Gaston Aussems. Jaarcongresaccountant.nl Titelstijl van model bewerken Online ontwikkelingen met impact Gaston Aussems Jaarcongresaccountant.nl Agenda 1 Wat doet een PSP? 2 Ontwikkelingen in betalen 3 Impact op uw klanten 4 Vertaling naar klantrelatie

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Dienstbeschrijving Pinnen over IP Connect 1 Platform

Dienstbeschrijving Pinnen over IP Connect 1 Platform CBG Connect B.V. Tel: +31228 56 60 70 Fax: +31228 56 60 79 Verkoop@cbgconnect.nl Dienstbeschrijving Pinnen over IP Connect 1 Platform Versie: 1 Maand: juli 2015 Versie: 1.0 Maand: april 2010 Inhoudsopgave

Nadere informatie

Service van begin tot eind. De kwaliteit en service van Business Volume Service (BVS)

Service van begin tot eind. De kwaliteit en service van Business Volume Service (BVS) Service van begin tot eind De kwaliteit en service van Business Volume Service (BVS) INHOUD 1 VOORWOORD 2 MISSIE BVS 3 KWALITEITSBELEID 4 ORGANISATIESTRUCTUUR 5 HET KWALITEITSSYSTEEM 5.1 NORMEN 5.2 ELEMENTEN

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

UWV Testservice. Resultaatgerichte invoering van een adaptief procesmodel

UWV Testservice. Resultaatgerichte invoering van een adaptief procesmodel UWV Testservice Resultaatgerichte invoering van een adaptief procesmodel Rob Passage Karin Boons UWV Gegevensdiensten Sogeti Software Control Agenda 11e SPIder conferentie, 29 september 2008 De werkende

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

Dienstbeschrijving Solcon Pin

Dienstbeschrijving Solcon Pin Dienstbeschrijving Solcon Pin Inleiding In deze dienstbeschrijving staat beschreven wat de dienst IP-Pin van Solcon. Deze dienstbeschrijving maakt deel uit van de overeenkomst tussen Solcon Internetdiensten

Nadere informatie

Globalisatie, met nieuwe opkomende economieën als China, Brazilië en

Globalisatie, met nieuwe opkomende economieën als China, Brazilië en Globalisatie, met nieuwe opkomende economieën als China, Brazilië en India, heeft de wereld in veel opzichten in hoog tempo veranderd. Voor veel bedrijven betekent dit een strategische herbezinning op

Nadere informatie

Een model voor de beheersing en controle van ICT-ketens

Een model voor de beheersing en controle van ICT-ketens HET CHAIN CONTENT, CONTEXT & CONTROL (C 4 -) MODEL Een model voor de beheersing en controle van ICT-ketens HHet belang van (de beheersing van) ICT-ketens neemt sterk toe. Bestaande modellen voor ICT-beheersing

Nadere informatie

Bestuurssecretaris en...

Bestuurssecretaris en... het Zijlstra Center for Public Control and Governance www.hetzijlstracenter.nl Bestuurssecretaris en... Oriëntatie op de functie bestuurssecretaris het Zijlstra Center for Public Control and Governance

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern

SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern SEMINAR PRAKTISCH RISICOMANAGEMENT d.d. 1 juni 2010 in De Meern Programma 13.30 uur Opening 13.40 uur Risicomanagement in het onderwijs door Marien Rozendaal RA 14.30 uur Pauze 15.00 uur Risicomanagement

Nadere informatie

Informatie van nu, beschikbaar in de toekomst. Het Rotterdamse E-depot

Informatie van nu, beschikbaar in de toekomst. Het Rotterdamse E-depot Informatie van nu, beschikbaar in de toekomst Het Rotterdamse E-depot Stand van zaken Het Stadsarchief Rotterdam heeft twee opdrachten: Als informatiebeheerder van Rotterdam, klaarstaan voor de digitale

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Tactisch beheer informatievoorziening AWBZ

Tactisch beheer informatievoorziening AWBZ Tactisch beheer informatievoorziening AWBZ Spreker Sandra Landa Plaats Den datum Haag 27 januari 2012 Tactisch beheerder Wat is beheer van de informatievoorziening? In samenspraak met ketenpartijen de

Nadere informatie

Communicatieplan Energie- & CO 2

Communicatieplan Energie- & CO 2 Communicatieplan Energie- & CO beleid Versie 9 - Januari 013 Akkoord Directie: Inhoud: 1. Inleiding 1.1 Ambitie 1. Aansluiting op de marktontwikkelingen 1.3 Doelstellingen en voorgenomen acties in 01 1.4

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie