IT-beheer: wat heeft een accountant daarmee te maken?

Maat: px
Weergave met pagina beginnen:

Download "IT-beheer: wat heeft een accountant daarmee te maken?"

Transcriptie

1 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? 3.7 IT-beheer: wat heeft een accountant daarmee te maken? Het is maandagmorgen, half tien. Ik heb net de wekelijkse vergadering gehad met de afdeling IT, waar ik manager van ben: we hebben de planning van de projecten doorgesproken en hebben ook het incident van afgelopen weekend geëvalueerd. Op zaterdagmiddag werd ik gebeld door Jeanette van der Meer over een grote verstoring in de wekelijkse batchjobs. Het bleek dat de dagelijkse betaalrun niet volledig had gedraaid. Toen vervolgens de overige jobs werden gestart was er onvoldoende informatie aanwezig om deze af te ronden, en zo had ik een belangrijk deel van mijn vrije zaterdag op kantoor doorgebracht om de weekendbezetting te helpen. Na zo n vergadering gaat een kop koffie er altijd goed in: ik zit ook nog na te denken over een telefoongesprek dat ik net met de concerncontroller had. Hij vertelde mij dat het weer naar het eind van het jaar liep, wat inhield dat de boeken weer zouden worden gesloten. Daarna zouden, zoals elk jaar, de accountants komen om onze cijfers te controleren. Het nieuwe was, dat volgens de controller iemand van het accountantskantoor graag met mij wilde praten over hoe de processen op mijn afdeling liepen. Waar zou hij het toch met mij over willen hebben? Auteurs: drs. K.L. (Klaas Leendert) Leijendekker RE RA, partner Ernst & Young EDP Audit en ing. J.W.J. (Johan) Sturm RE, senior edp-auditor, Ernst & Young EDP Audit WETTELIJKE ACCOUNTANTSCON- TROLE De vraag naar een accountant begint ruim een eeuw geleden, rond het einde van de 19de eeuw. Tot die tijd waren bedrijfjes altijd opgezet met eigen geld of gefinancierd door rijkelieden die dicht genoeg op de dagelijkse gang van (financiële) zaken zaten om te weten hoe het met het bedrijf ging. Zo rond de eeuwwisseling van de 19de naar de 20ste eeuw kwam hier verandering in. De afstand tussen degenen die het geld leverden ( aandeelhouders ) en degenen die hiermee aan de slag gingen ( ondernemers ) werd groter. De ondernemers kregen meer vrijheid, onder andere doordat de groep aandeelhouders steeds groter werd, waardoor de individuele rechten van een aandeelhouder steeds minder duidelijk werden. Toch wilde de aandeelhouder/geldschieter weten wat er in zijn bedrijf gebeurde; het was zijn geld, en hij wilde weten of dit er ooit nog weer uit zou komen, liefst met rente. Doordat er steeds meer aandeelhouders kwamen en de afstand groter werd, ontstond de behoefte aan een onafhankelijke derde die namens de aandeelhouders de beweringen, verantwoordingen, et cetera, van de ondernemers kon toetsen; deze persoon is later bekend geworden onder de naam accountant. IT Service Management, best practices

2 206 De accountantscontrole is inmiddels wettelijk geregeld waarbij is aangegeven voor welke organisaties accountantscontrole verplicht is. Verder is wettelijk geregeld aan welke eisen een accountantscontrole moet voldoen. Het uitgangspunt voor de accountant is dat hij onderzoek uitvoert ten behoeve van het maatschappelijk verkeer. Dit is een breed begrip, maar over het algemeen wordt daaronder iedereen gerekend die (direct of indirect) een belang bij de organisatie heeft, bijvoorbeeld aandeelhouders, maar ook crediteuren, banken, werknemers, vakbonden, milieubewegingen, et cetera. Hoewel een accountant dus wordt betaald door het bedrijf dat hij controleert, is zijn onafhankelijkheid essentieel om een mening te vormen voor de rest van de wereld. Het principe van de accountant is dus dat hij onafhankelijk is van degene die hij controleert (i.c. de ondernemer). Hij moet namelijk de beweringen van deze ondernemer controleren en hier een eigen oordeel over vormen. De accountant kan voor deze controle onmogelijk alles in het hele bedrijf nalopen. Voor het vormen van een goed oordeel heeft hij ondermeer de beschikking over de volgende drie belangrijke instrumenten : Eigen waarneming Deskundigheid Administratieve Organisatie en Interne Controle (AO/IC). Hierna worden deze drie instrumenten toegelicht. Eigen waarneming De verklaring van de accountant heeft betrekking op wat er in een heel jaar bij een organisatie is gebeurd. Nu kan hij natuurlijk niet alles zien wat er in een jaar bij een bedrijf gebeurt. Hij zal een deelwaarneming moeten doen en gericht moeten bepalen wat hij wel en niet wil zien. Hiervoor zal de accountant vaktechnisch bepalen wat hij van de activiteiten in een jaar wil zien om iets te kunnen zeggen over het hele jaar. Een gecontroleerd bedrijf ziet de accountant over het algemeen twee keer per jaar: één keer tijdens de interimcontrole in de tweede helft van het jaar om vast te stellen in hoeverre het bedrijf zijn processen beheerst (komen de gegevens er wel juist uit); één keer tijdens de eindejaarscontrole vlak na jaareinde om de cijfers te beoordelen (komen er wel juiste cijfers uit). De beoordeling van de automatiseringsomgeving vindt meestal tijdens de interimcontrole plaats (in hoeverre worden de IT-processen beheerst). De eigen waarneming houdt ook in dat de accountant tijdens de controle bewijs wil zien van activiteiten die gedurende het jaar hebben plaatsgevonden. Dit zorgt voor het verhaal dat een organisatie van alles moet bewaren voor de accountant. De accountant wil testverslagen zien, conversieplannen, documentatie van aanpassingen in besturingssystemen, et cetera. Deze documentatie wordt door de accountant gebruikt om achteraf vast te kunnen stellen wat er gedurende het jaar is gebeurd. Aan de andere kant is de accountant van mening dat het vastleggen en vasthouden van dergelijke informatie het beheersen van automatisering binnen een organisatie ook ten goede komt. Zo kan in het geval van fouten bij een implementatie bijvoorbeeld worden teruggevallen op testverslagen. Deskundigheid Een ander belangrijk punt betreft de deskundigheid van de accountant. Kort gezegd, een accountant moet weten wat hij aan het controleren is; een bank is geen productiebedrijf is geen verzekeringsmaatschappij is geen groothandel is geen makelaardij is geen gemeente. Van al deze typen bedrijven zal een accountant verstand moeten hebben om daadwerkelijk een goede controleaanpak te kunnen opzetten; wat zijn de belangrijkste primaire processen, wie is het maatschappelijk verkeer voor deze specifieke organisatie, et cetera. Hier komt ook voorzichtig de verplichting voor de accountant om de hoek kijken dat - in bedrijven met veel automatisering - de accountant weet wat er op automa-

3 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? tiseringsgebied speelt en wat de invloed hiervan is op de bedrijfsvoering en zijn controle. resse in IT of zoals het wettelijk zo mooi heet: de geautomatiseerde gegevensverwerking? Administratieve Organisatie en Interne Controle (AO/IC) Het is in Nederland al jaren de gewoonte dat de accountant voor zijn jaarlijkse controle aansluit bij de manier waarop de ondernemer zelf zijn bedrijf in de greep heeft. Voor het in de greep houden van een bedrijf wordt een stelsel van maatregelen getroffen onder de noemer Administratieve Organisatie en Interne Controle (AO/IC). Dit AO/IC-stelsel omvat maatregelen met betrekking tot een aantal fundamentele vragen, zoals: Wie moet waarvoor opdracht geven? Wie voert wat uit? Wie controleert dit? Welke functiescheiding wordt gehanteerd? Hoe wordt de administratie bijgehouden? Dit betreft beheersingsmaatregelen in de primaire processen van een bedrijf waar de accountant voor zijn controle gebruik van wil maken: hij zal hij dus voldoende kennis moeten hebben van de organisatie en haar (primaire) processen. Tegenwoordig worden deze processen meer en meer ondersteund door geautomatiseerde systemen, variërend van meer of minder eenvoudige maatwerktoepassingen tot zeer uitgebreide en complexe ERP-pakketten (bijvoorbeeld SAP, Navision, et cetera). Om deze processen te begrijpen zal de accountant daarom ook kennis moeten nemen van de automatiseringsomgeving van een bedrijf. Hier is een belangrijk deel van de primaire processen op gebaseerd of op z n minst van afhankelijk. Belang interne beheersing en -controles Een afdelingsmanager, hoofd Productie, Verkoop of IT, wil de werkzaamheden die op zijn afdeling plaatsvinden beheersen. Op deze manier kan hij voorkomen dat hij voortdurend bij de werkplek van zijn mensen moet staan om te kijken wat ze doen en of ze het goed doen. Een goede manager vertrouwt z n mensen, maar zorgt daarbij wel voor controle op de punten waar het mis kan gaan. Hij bepaalt hiervoor de risico s voor zijn afdeling: wat kan er fout gaan? Als duidelijk is wat er fout kan gaan, zal hij bedenken welke maatregelen hiervoor genomen kunnen worden. Het liefst natuurlijk beheersingsmaatregelen om fouten te voorkomen (preventief), maar anders toch in elk geval beheersingsmaatregelen om fouten te signaleren (detectief). Een manager kan kiezen uit verschillende beheersingsmaatregelen, die globaal in een aantal categorieën uiteenvallen (zie figuur 1). Gebruikersdomein IT-domein General IT-controls Functiescheiding Gebruikerscontroles Geprogrammeerde controles WAAROM IS EEN ACCOUNTANT GEÏNTERESSEERD IN IT? Figuur 1 Stelsel van beheersingsmaatregelen Er is nu vastgesteld, dat een accountant veel van het bedrijf wil weten en gebruik wil maken van de bestaande administratieve organisatie en interne controle, maar hij richt zich toch vooral op iets met cijfers? Hoe verhoudt zich deze focus op de betrouwbaarheid van financiële cijfers nu met de inte- Figuur 1 laat de relatie zien tussen gebruikerscontroles aan de ene kant en geprogrammeerde controles aan de andere kant. De gebruikerscontroles zijn die activiteiten die door de gebruikers worden uitgevoerd en die in procedurebeschrijvingen/werkinstructies worden vastgelegd (bijvoorbeeld het IT Service Management, best practices

4 208 controleren van een factuur of het ondertekenen van een betaallijst). De geprogrammeerde controles daarentegen worden door de computer uitgevoerd. Hierbij valt te denken aan het verplicht laten invullen van kritische velden, het toewijzen van autorisaties, het geautomatiseerd uitvoeren van berekeningen, et cetera. Deze controles zullen bij het programmeren (of inrichten) van een systeem mee moeten zijn genomen. Om de gebruikerscontroles te laten werken is functiescheiding nodig, zodat medewerkers elkaar (binnen hun functie) controleren. Deze functiescheiding zal ook in het systeem moeten worden doorgetrokken (autorisatiematrix). De relatie tussen geprogrammeerde controles en General IT Controls wordt hierna besproken Een accountant wil in het kader van zijn jaarrekeningcontrole ook gebruik maken van de beheersingsmaatregelen die door de manager van een afdeling al zijn geïmplementeerd. De accountant zal dus op zoek gaan naar de mix van maatregelen, die waarborgen dat de aan hem aangeleverde (jaar)gegevens betrouwbaar zijn. In die zin hebben de accountant en de manager hetzelfde belang bij beheersingsmaatregelen. Ze willen alleen nog wel eens verschillen in de mate van diepgang die ze wensen om alle risico s te beheersen. Relatie interne beheersing en de automatiseringsomgeving (General IT Controls) Een accountant moet een uitspraak doen over wat er gedurende een geheel jaar is gebeurd bij een bedrijf. Dit houdt voor de handmatige controles in, dat hij moet vaststellen of bijvoorbeeld de factuurcontrole gedurende het gehele jaar gewerkt heeft. Dit is van belang omdat gebruikers niet altijd op dezelfde manier werken, er zou een verschil kunnen zitten tussen maandagmorgen om half negen en vrijdagmiddag om tien voor vijf. Om vast te stellen of handmatige controles zijn uitgevoerd gaat de accountant willekeurig uit het hele jaar transacties selecteren. Van deze transacties beoordeelt hij of de factuurcontrole daadwerkelijk heeft plaatsgevonden (bijvoorbeeld aan de hand van een paraaf) en of deze factuurcontrole op de juiste wijze is uitgevoerd (door de factuur na te rekenen). Voor geprogrammeerde controles werkt dit anders; voor een geprogrammeerde controle geldt dat als een computer één keer is verteld hoe hij transacties moet verwerken dan zal hij dat altijd op dezelfde manier doen. Een computer heeft geen last van weekendblues of een kater na een gezellige kantoorborrel. Dit betekent dat de accountant dus maar één keer hoeft vast te stellen dat een geprogrammeerde controle aanwezig is om hier vervolgens op te kunnen steunen. De belangrijke randvoorwaarde bij deze redenering is, dat de computer altijd op dezelfde manier werkt of in ieder geval op de manier die de gebruiker uiteindelijk heeft gewild (zie figuur 2). Want, weliswaar ongevoelig voor katers, als een computer is verteld iets fout te doen, dan zal hij dit ook altijd fout doen. Om te voorkomen dat een geprogrammeerde controle foutief werkt zijn voor de accountant twee IT-beheerconcepten heel belangrijk, te weten: wijzigingenbeheer logische toegangsbeveiliging. Het belang van wijzigingenbeheer is te waarborgen dat de wijzigingen die in de productieomgeving worden doorgevoerd altijd worden goedgekeurd door de eigenaar/gebruiker. Het doel hiervan is, dat de eigenaar/- gebruiker kan vaststellen of de nieuwe geprogrammeerde controles (als onderdeel van de gewenste functionaliteit) juist zijn geïmplementeerd en of de reeds bestaande controles, die voor hem van belang zijn, nog steeds aanwezig zijn. De logische toegangsbeveiliging zorgt ervoor dat gebruikers die toegang tot een systeem hebben alleen díe toegang hebben die overeenstemt met hun organisatorische functie. Zouden zij ruimere bevoegdheden hebben, dan kunnen geprogrammeerde controles eventueel worden omzeild waardoor de beheersing van een proces in gevaar komt.

5 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? IT-omgeving IT-omgeving Applicatie Applicatie 209 Logische Toegangsbeveiliging tijd Logische Toegangsbeveiliging Figuur 2 Introductie General IT Controls Wijzigingenbeheer en logische toegangsbeveiliging zijn dus randvoorwaardelijk voor het goed functioneren van geprogrammeerde controles, die op hun beurt een aandeel hebben in het beheersen van processen door gebruikers. Deze twee zijn dan ook de belangrijkste componenten van wat accountants de General IT Controls noemen. Zonder adequate General IT Controls kan nooit op geprogrammeerde controles worden gesteund. In de literatuur rondom de functie van de accountant wordt nog een derde General IT Control genoemd, namelijk continuïteitsmaatregelen (zie ook Nivra Studierapport 34). De accountant zal aandacht aan deze maatregelen besteden vanwege zijn natuurlijke adviesfunctie en niet zozeer vanuit een rechtstreekse relatie met de geprogrammeerde controles. IT-organisatie zelf. Er leiden meerdere wegen naar Rome. RELATIE GENERAL IT CONTROLS EN IT-BEHEER 3 Samengevat (zie figuur 3) zal de accountant, uitgaande van de noodzakelijke interne beheersing van een afdeling, vooral geïnteresseerd zijn in de volgende aspecten (General IT Controls) van de automatiseringsomgeving van een bedrijf: wijzigingenbeheer logische toegangsbeveiliging continuïteit. Beheersing primaire processen De IT-manager weet veelal prima hoe hij zijn IT-organisatie moet beheersen. De beheeren beheersingsmethodieken vliegen hem om de oren. Van best practice standaarden (zoals ITIL) tot uitgebreid doordachte procesmodellen (zoals IPW) en complete IT governance frameworks (zoals Cobit). Waarom richt hij nou echter welk proces in en wat is het belang van dat proces voor de informatievoorziening die zijn afdeling verzorgt? Om te beginnen moet de IT-manager hier- Wijzigingenbeheer ITomgeving Geprogrammeerde controles General IT Controls Hoe deze General IT Controls verder kunnen worden ingevuld wordt overgelaten aan de Figuur 3 Relatie General IT Controls en beheersing primaire processen IT Service Management, best practices

6 210 Vertrouwelijkheid Integriteit Beschikbaarheid Effectiviteit Efficiëntie Tabel 1 Gehanteerde kwaliteitsaspecten De beperking van de bevoegdheid en mogelijkheid tot muteren (wijzigen), uitlezen (raadplegen), kopiëren en/of kennisnemen van informatie of andere systeemcomponenten tot een gedefinieerde groep van gerechtigheden. Het realiteitsgehalte van de informatie en de waarborg, opdat niets ten onrechte wordt achtergehouden en/of verdwijnt. Integriteit omvat de elementen juistheid, tijdigheid (actualiteit) en volledigheid. De waarborg van een ongestoorde voortgang van de dienstverlening, ook bij calamiteiten. De mate waarin de informatie in overeenstemming is met de eisen en doelstellingen van de organisatie en de gebruikers. De verhouding tussen het prestatieniveau en de kosten van een informatieverwerkend systeem. Integriteit Waardering Managementbeslissingen Zouden incorrecte bedrijfsbeslissingen kunnen worden genomen op grond van fouten of onbevoegde wijzigingen in informatie? Direct verlies van marktaandeel Zouden orders of contracten kunnen worden verloren als gevolg van fouten of onbevoegde wijzigingen in informatie? Vertrouwen van het publiek Welke schade zou het vertrouwen van het publiek, het publieke imago of de trouw van aandeelhouders of leveranciers kunnen lijden als gevolg van fouten of onbevoegde wijzigingen in informatie? Extra kosten Zouden extra kosten opgelopen kunnen worden door fouten of onbevoegde wijzigingen in informatie, bijvoorbeeld door het moeten onderzoeken van integriteitsproblemen of de integriteit van verloren of onjuiste informatie te herstellen? Rechtsverplichtingen Zouden wettelijke, reglementaire of contractuele verplichtingen geschonden kunnen worden door fouten of onbevoegde wijzigingen in informatie? Totale score Samengevat, rekening houdend met de waarden zoals die in voorgaande vragen zijn toegekend en andere consequenties, wat is het belang van integriteit van informatie voor het bedrijfsproces? Tabel 2 Voorbeeldvragen voor het vaststellen van het belang van integriteit van informatie voor weten welke eisen het gebruikersdomein aan de informatie stelt. Hoe betrouwbaar moet de informatie zijn en hoe vertrouwelijk? In hoeverre is het bedrijf afhankelijk van de betreffende informatie en de bijbehorende informatiesystemen? Tabel 1 geeft definities van een aantal veel gebruikte kwaliteitscriteria.

7 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? Een veel gebruikte methode om deze aspecten inzichtelijk te maken is de BIV-codering. Hierbij wordt een relatieve score (bijvoorbeeld op een schaal van 1 tot 5) toegekend aan de kwaliteitsaspecten beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V) per informatiesysteem. Om de score vast te stellen, kun je de vraag stellen wat er fout gaat als het betreffende aspect onvoldoende aandacht krijgt. Zie tabel 1 voor een voorbeeld van het vaststellen van het belang van integriteit voor bepaalde informatie. Uitgangspunt hierbij is dat het gebruikersdomein de scores bepaalt. Vervolgens kan de IT-manager het belang van de diverse beheerprocessen vaststellen. Hierbij is echter een tussenstap nodig: wat is het belang van een IT-beheerproces (bijvoorbeeld conform ITIL) per kwaliteitsaspect? Hoe belangrijk is bijvoorbeeld Incident Management voor de integriteit van een informatiesysteem? In tabel 3 wordt een leidraad gegeven voor het vaststellen van dit belang per ITbeheerproces. Het exacte belang van een ITbeheerproces voor een kwaliteitsaspect hangt af van de organisatie en de specifieke invulling die aan het proces wordt gegeven. Tabel 3 geeft bijvoorbeeld aan dat Continuity Management, Availability Management en Capacity Management van groot belang zijn voor de beschikbaarheid, maar van klein belang voor vertrouwelijkheid. Bij sommige processen is één specifiek aspect te noemen waar het proces grotendeels op gericht is, bijvoorbeeld integriteit bij Change Management. Aan de hand van de tabel kunnen prioriteiten worden gegeven voor het inrichten van de relevante IT-beheerprocessen. Nadat de relatie is gelegd tussen de ITbeheerprocessen en de kwaliteitsaspecten gaan we in op de relatie tussen de General IT Controls, zoals de accountant die hanteert (Wijzigingenbeheer, Logische toegangsbeveiliging en Continuïteit) en de IT-beheerprocessen. De definities uit de jaarrekeningcontrole sluiten niet één op één aan op de definities volgens bijvoorbeeld de ITIL-methodiek ten aanzien van Change Management, Security Management en Continuity Management. In jaarrekeningcontroletermen gaat het om de concepten Wijzigingenbeheer, Logische toegangsbeveiliging en Continuïteit. Hoe ver Kwaliteitsaspecten IT-beheerproces Beschik- Integriteit Vertrouwe- Effectiviteit Efficiëntie baarheid lijkheid Management & Organisation Security Management Continuity Management Availability Management Capacity Management Service Level Management Cost Management Change Management Incident Management Problem Management Release Management Configuration Management Operations Management Tabel 3 Relatie tussen IT-beheerprocessen en kwaliteitsaspecten. Het belang van een proces per kwaliteitsaspect wordt aangeduid met een aantal punten: klein middelgroot groot IT Service Management, best practices

8 212 General IT Controls IT-beheerproces Wijzigingenbeheer Logische toegangs- Continuïteit beveiliging Management & Organisation Security Management Continuity Management Availability Management Capacity Management Service Level Management Cost Management Change Management Incident Management Problem Management Release Management Configuration Management Operations Management Tabel 4 Relatie General IT Controls met IT-beheerprocessen beperkte tot geen relatie enige relatie sterke relatie houdt dat zich nu tot concrete procesinrichtingen binnen ICT? Op hoofdlijnen kunnen de volgende relaties worden gelegd zoals weergegeven in figuur 4. Hierna worden deze relaties verder uitgewerkt. Uit tabel 4 is af te leiden dat hiervoor meerdere processen van belang zijn. Wijzigingenbeheer Voor wijzigingenbeheer zijn met name de processen Service Level Management, Change Management, Incident Management en Problem Management van belang. Deze processen moeten garanderen dat wijzigingen die in de productieomgeving worden doorgevoerd uiteindelijk altijd zijn geaccepteerd door het eigenaar/gebruikersdomein, ook als deze op basis van interne overwegingen binnen de IT-organisatie worden uitgevoerd. Hiervoor onderkent de accountant de volgende drie stappen bij het doorvoeren van een wijziging: autorisatie (A), test (T) en acceptatie (A) Dit ATA-model geeft de waarborgen dat wijzigingen alleen worden uitgevoerd na acceptatie door de verantwoordelijke eigenaar/gebruiker. Tests dienen aan te tonen dat de wijziging tot de juiste resultaten leidt en geen ongewenste neveneffecten heeft. Daarna dient de eigenaar/gebruiker de wijziging formeel te accepteren voordat deze in productie mag worden genomen. Deze afspraken dienen door Service Level Management in de Service Level Agreement (SLA) te zijn vastgelegd. Het proces Change Management levert als het goed is de beste informatie over de uitvoering van wijzigingen. Bij een inrichting conform ITIL leveren de processen Incident en Problem Management echter een belangrijke toegevoegde waarde binnen het totale stelsel van beheermaatregelen. Informatie uit deze processen geeft namelijk inzicht in de kwaliteit van Change Management: indien na implementatie van een wijziging veel incidenten optreden kan analyse hiervan door Problem Management wellicht aantonen dat de betreffende change onvoldoende is getest. Logische toegangsbeveiliging De General IT Control Logische toegangsbeveiliging sluit het meest aan op het ITILproces Security Management. Toegangsbeveiliging zal echter op alle niveaus en voor

9 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? alle onderdelen van de IT-omgeving moeten worden geregeld; vandaar dat toegangsbeveiliging een relatie met meerdere IT-beheerprocessen heeft, met name: Security Management - hier wordt het beleid vastgesteld, geïmplementeerd, gecontroleerd en zonodig bijgesteld. Change Management - met een wijziging mag geen verzwakking van de toegangsbeveiliging worden geïntroduceerd. Service Level Management - met de (externe) leverancier moeten goede afspraken worden gemaakt over het toekennen van bevoegdheden, het periodiek monitoren van de uitgedeelde bevoegdheden, het melden van beveiligingsincidenten, et cetera. Continuïteit Voor de General IT Control continuïteit is een relatie met de volgende ITIL-processen te leggen: Continuity Management Availability Management Capacity Management Incident Management. Voor continuïteit wordt bij de inrichting van een beheerorganisatie veelal onderscheid gemaakt tussen normale beschikbaarheid van de systemen en beschikbaarheid bij calamiteiten (contingency). Het proces Continuity Management richt zich op beschikbaarheid bij calamiteiten, bijvoorbeeld door het realiseren van uitwijkvoorzieningen. Voor een daadwerkelijke uitwijk zijn dan natuurlijk wel (actuele en betrouwbare) gegevens nodig van het informatiesysteem. Deze gegevens dienen periodiek te worden veiliggesteld om er bij een uitwijk over te kunnen beschikken. Voor het verkrijgen van een optimale normale beschikbaarheid worden systemen veelal redundant uitgevoerd of bijvoorbeeld voorzien van een Storage Area Network (SAN), waarbij de gegevens vrijwel continu op een externe locatie worden veiliggesteld. Voor het daadwerkelijk kunnen functioneren van deze technische voorzieningen zullen deze over voldoende capaciteit moeten beschikken om, ook bij calamiteiten, een toereikende performance te leveren. Daarnaast is snel en adequaat reageren op incidenten met (mogelijke) gevolgen voor de continuïteit van groot belang om ernstige niet-beschikbaarheid te voorkomen. Het belang van dit stelsel processen voor een optimale continuïteit van de informatiesystemen betekent dat een organisatie veelal méér nodig heeft dan een wekelijkse backup van de gegevens. BEOORDELEN WERKING GENERAL IT CONTROLS We hebben gezien dat de General IT Controls breder zijn dan de ITIL-processen Change Management, Security Management en Continuity Management. De vraag dient zich nu aan, hoe de edp-auditor dit allemaal even kan controleren. Het moge duidelijk zijn dat het even controleren van alle ITIL-processen, die een relatie hebben met General IT Controls, niet mogelijk is. Om vast te stellen dat de General IT Controls daadwerkelijk hebben gefunctioneerd gedurende het controlejaar, past de edp-auditor een gestructureerde aanpak toe. Allereerst maakt de edp-auditor onderscheid tussen het beoordelen van de opzet, het bestaan en de werking van de beheermaatregelen. Opzet van beheermaatregelen De opzet betreft het ontwerp van de maatregelen. Beheerorganisaties hebben dit veelal vastgelegd in proceshandleidingen (ITIL) en bijbehorende procedures en werkinstructies. Andere documenten die de opzet beschrijven zijn beleidsdocumenten, zoals het beveiligingsbeleid. Belangrijk aandachtspunt hierbij is de mate waarin de gedefinieerde maatregelen meetbaar en controleerbaar zijn. Zijn er voldoende specifieke procesindicatoren gedefinieerd, die duidelijk aangeven hoe het proces functioneert? Zijn er meetbare service levels afgesproken met de gebruikers over de te leveren kwaliteit van de dienstverlening? Daarnaast is het bij de IT Service Management, best practices

10 214 opzet van belang dat de processen onderling goed op elkaar zijn aangesloten. Bestaan van beheermaatregelen Iedere IT-manager weet echter uit ervaring dat het ontwerpen van processen niet hetzelfde is als het daadwerkelijk implementeren van die processen. Of de beheerprocessen daadwerkelijk zijn geïmplementeerd zoals in opzet beschreven, wordt door de edp-auditor onderzocht bij het controleren van het bestaan. Hierbij wordt ondermeer vastgesteld of de procesactiviteiten zijn belegd bij de juiste functionarissen en of de noodzakelijke tools zijn ingericht. Om daadwerkelijk vast te stellen dat een beheerproces is geïmplementeerd dient dit met minimaal één deelwaarneming te worden aangetoond, bijvoorbeeld aan de hand van het volgen van één wijzigingsverzoek. Hiermee beoordeelt de edp-auditor of de procedures (het ontwerp) bij de medewerkers bekend zijn en volgens voorschrift worden toegepast. Werking van beheermaatregelen De volgende stap is om voldoende zekerheid te krijgen dat een beheerproces (inclusief controles) gedurende het gehele jaar heeft gefunctioneerd (gewerkt). Hiervoor moet een aantal transacties/mutaties worden geselecteerd die gedurende het jaar hebben plaatsgevonden. Van deze transacties/mutaties moet worden gecontroleerd of ze via de beschreven procedures zijn afgehandeld. Hierbij kan niet worden volstaan met een Te gebruiken registraties: helpdesktool (incidentregistratie) change-managementregistratie notulen Change Advisory Board (CAB) wijzigingskalender operatorlogboek procesrapportages (b.v. change management) configuration management database (CMDB) verificatie-resultaten CMDB beschikbaarheidsregistraties en -rapportages et cetera. Tabel 5 Registraties voor vaststellen werking beheerprocessen beperkt aantal momentopnamen. Voor het vaststellen van de werking dient uitgebreid te kunnen worden gesteund op vastleggingen van activiteiten, waarvan een aantal in detail wordt beoordeeld/gecontroleerd, zoals bijvoorbeeld gegevens over de afhandeling van incidenten, problems en changes. In tabel 5 wordt een overzicht gegeven van mogelijk te gebruiken registraties. De registraties worden gebruikt voor het controleren of de juiste IT-beheerprocedures zijn toegepast, waarbij de betreffende gegevens inhoudelijk worden beoordeeld. Hiervoor kunnen bijvoorbeeld formele aanvragen en opdrachten worden vergeleken met uitgevoerde werkzaamheden, zoals die uit verslagen en logboeken blijken. Hoewel de volledigheid van de registratie voor een afzonderlijk proces lastig is vast te stellen, kan hiervoor bijvoorbeeld worden gesteund op de onderlinge relaties tussen de beheerprocessen. Door verschillende registraties op elkaar aan te sluiten ontstaat inzicht in de volledigheid ervan. Logboeken en dagrapportages van Operations Management kunnen bijvoorbeeld worden aangesloten op de geregistreerde incidentmeldingen. Door de incidenten aan te sluiten op de betreffende configuratie-items, ontstaat inzicht in de betrouwbaarheid van de configuration management database (CMDB). Afwijkingen van de CMDB ten opzichte van de daadwerkelijk aanwezige configuratie-items kunnen vervolgens een indicatie geven dat niet alle wijzigingen conform het Change Managementproces zijn uitgevoerd. Stelsel van beheerprocessen Het vaststellen van de werking van General IT Controls wordt hiermee een gedegen analyse van de daadwerkelijk uitvoering van de beheerprocessen. Enerzijds zijn de meeste IT-beheerorganisaties niet zodanig ingericht dat de processen één op één aansluiten op hetgeen voor het beoordelen van de General IT Controls in het kader van de jaarrekening van belang is. Anderzijds kan een edp-auditor bij zijn onderzoek echter prima gebruik maken van de veelal standaard ITIL-proces-

11 Besturen van IT-dienstverleners door de klant IT-beheer, wat heeft een accountant daarmee te maken? sen die zijn ingericht. Juist door daarbij naar het totale stelsel van ITIL-processen te kijken kan een goed onderbouwde uitspraak worden gedaan over de betrouwbaarheid en continuïteit van de informatiesystemen. Tevens zal daarbij gekeken moeten worden in hoeverre een minder goed functionerend proces wellicht gecompenseerd kan worden door een goed functionerend ander proces. Een goed functionerend Release Management voor een bepaalde applicatie kan bijvoorbeeld tekortkomingen bij het (algemene) Change Management compenseren. Daarnaast geeft de aansluiting van verschillende registraties een belangrijke indicatie voor de betrouwbaarheid van deze registraties en daarmee voor de bruikbaarheid bij het vaststellen van de effectiviteit van de beheerprocessen. ITIL-processen blijken daarbij zeer bruikbaar om de kwaliteit van de General IT Controls, die in het kader van de jaarrekeningcontrole worden onderzocht, vast te stellen. En bovendien, weliswaar niet het doel van een jaarrekeningcontrole, levert een dergelijk onderzoek en bijbehorend rapport de ITmanager nuttig inzicht in de kwaliteit van zijn IT-beheerprocessen èn of dit aansluit bij de eisen die de organisatie hieraan stelt. gens naar security baselines en beveiligingsinstellingen van onze platformen ging vragen, heb ik hem snel een afspraak met onze system administrator laten maken. Ik kijk nog eens op z n visitekaartje, die accountant blijkt een edp-auditor te zijn. Interessant, en dat allemaal naar aanleiding van de jaarrekeningcontrole: ik ben benieuwd naar z n rapport. LITERATUUR NIVRA studierapport 34. Normatieve maatregelen voor de geautomatiseerde gegevensverwerking in het kader van de jaarrekeningcontrole, NIVRA, Eigenlijk wel behoefte aan iets anders dan een kop koffie, maar dat schenkt de automaat niet. Die accountant die met me is komen praten had toch wel veel verstand van computers. Interessant gesprek gehad over de volwassenheid van m n beheerorganisatie en hoe ik praktisch gebruik maak van een mix van ITIL, IPW en Cobit. Samen met mijn change manager heb ik met hem doorgenomen hoe ons wijzigingsproces eruit ziet. Hij wilde heel specifiek weten op welke manier we de laatste nieuwe release van het boekhoudsysteem hadden ingevoerd. Veel vragen had hij daarbij. Wie had daar welke testen bij uitgevoerd en hoe waren de resultaten? Welke incidenten waren in de daarop volgende periode op dat systeem opgetreden en hoe hadden we die verholpen en geanalyseerd? Wat zouden we doen als nu onze computerruimte uitbrandde? Toen hij vervol- IT Service Management, best practices

12

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

DATA-ANALYSES IN PRAKTIJK

DATA-ANALYSES IN PRAKTIJK DATA-ANALYSES IN PRAKTIJK 11 mrt 15 Anco Bruins Mazars Management Consultants 1 EVEN VOORSTELLEN Drs. Anco Bruins RA EMITA Manager IT Audit Mazars Management Consultants 14 jaar ervaring in de MKBaccountantscontrole

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Advies Service Management

Advies Service Management Advies Service Management Service Management binnen Cronus op basis van ITIL Auteurs: Anton Post en Dennis Westhuis Klas: M2B SLB groep: 10PSH Datum: 03-03-07 Vak: ISERPU Revisie Inleverdatum 1 12-03-07

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten

Interne beheersing: Aan assurance verwante opdrachten Interne beheersing: Aan assurance verwante opdrachten Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening op de Kwaliteitstoetsing (RA s) is het accountantskantoor geselecteerd voor

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Whitepaper implementatie workflow in een organisatie

Whitepaper implementatie workflow in een organisatie Whitepaper implementatie workflow in een organisatie Auteur: Remy Stibbe Website: http://www.stibbe.org Datum: 01 mei 2010 Versie: 1.0 Whitepaper implementatie workflow in een organisatie 1 Inhoudsopgave

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

PRINCIPLES OF FUND GOVERNANCE Add Value Fund N.V.

PRINCIPLES OF FUND GOVERNANCE Add Value Fund N.V. PRINCIPLES OF FUND GOVERNANCE Add Value Fund N.V. I Inleiding Keijser Capital Asset Management B.V. (de Directie ) voert de directie over Add Value Fund N.V. (hierna ook Add Value Fund of Fonds ). De Directie

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Project Fasering Documentatie ICT Beheerder. Auteurs: Angelique Snippe Tymen Kuperus

Project Fasering Documentatie ICT Beheerder. Auteurs: Angelique Snippe Tymen Kuperus Project Fasering Documentatie ICT Beheerder Auteurs: Angelique Snippe Tymen Kuperus Datum: 31 Januari 2011 Kerntaak 1 Ontwikkelen van (onderdelen van) informatiesystemen De volgordelijke plaats van de

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Het ITIL Foundation Examen

Het ITIL Foundation Examen Het ITIL Foundation Examen Proefexamen A, versie 5.2 Meerkeuzevragen Instructies 1. Alle 40 vragen moeten worden ingevuld. 2. Alle antwoorden moeten op het bijgeleverde antwoordformulier worden ingevuld.

Nadere informatie

Voorstel aan dagelijks bestuur

Voorstel aan dagelijks bestuur Voorstel aan dagelijks bestuur Datum vergadering 26-08-2014 Agendapunt 8 Steller / afdeling P. Daelmans / Middelen Openbaar Ja Bestuurder R.L.M. Sleijpen Bijlage(n) 1 Programma Bedrijfsvoering Registratiecode

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Business Continuity Planning Consultants

Business Continuity Planning Consultants Productnaam: Business Continuity Planning Consultants als het om continuïteit gaat Business Continuity Business Continuity Planning Consultants hanteert voor het opstellen van een calamiteiten- of continuïteitsplan

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

Deelplan IC Memoriaalboekingen 2014. Gemeente Lingewaard

Deelplan IC Memoriaalboekingen 2014. Gemeente Lingewaard Deelplan IC Memoriaalboekingen 2014 Gemeente Lingewaard Inhoudsopgave 1. Aanleiding 2 2. Structureel / incidenteel 2 3. Opdrachtgever 2 4. Opdrachtnemer 2 5. Relevante wet- en regelgeving 2 6. Rapportage

Nadere informatie

Service Level Rapportage

Service Level Rapportage Service Level Rapportage Service Level Agreement nummer S115 Service Level Agreement naam HomeWURk Idealis Applicaties n.v.t. Naam klant Idealis Naam contactpersoon klant Hans van Haren Naam Service manager

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren Maart 2015 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 2 December 2014 Yannick Verschueren

Nadere informatie

ondersteuning krijgen van de helpdesk

ondersteuning krijgen van de helpdesk Inleiding Deze SLA heeft tot doel de afspraken tussen de Intergemeentelijke Sociale Dienst Midden Langstraat en de Gemeente Heusden over de kwaliteit en de omvang van de dienstverlening vast te leggen.

Nadere informatie

Gemeenschappelijke Regeling RUD Drenthe. Managementletter 2014

Gemeenschappelijke Regeling RUD Drenthe. Managementletter 2014 Gemeenschappelijke Regeling RUD Drenthe Managementletter 2014 Aan het dagelijks bestuur van de Gemeenschappelijke Regeling RUD Drenthe T.a.v. J.J. Vogelaar, directeur Postbus 1017 9400 BA ASSEN E.J. Jongsma

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

De waarde van de IT-organisatie: meetbaar of niet?

De waarde van de IT-organisatie: meetbaar of niet? De waarde van de IT-organisatie: meetbaar of niet? Quintica BV Marconibaan 10b 3439 MS Nieuwegein Tel: 030 630 10 52 Fax: 030 630 13 43 www.quintica.nl info@quintica.nl Inhoudsopgave 1. Inleiding... 3

Nadere informatie

Business Service Management Eén ERP-oplossing voor al uw beheer

Business Service Management Eén ERP-oplossing voor al uw beheer WHITEPaPER: BUSINESS SERVICE MANAGEMENT Business Service Management Eén ERP-oplossing voor al uw beheer IT SERVIcE PRoVIDER auteur: Herman Rensink WHITEPAPER: BUSINESS SERVICE MANAGEMENT 2 Met GENSYS levert

Nadere informatie

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid

Bijlage 9. UNI 120621.9 REB GD. Releasebeleid Releasebeleid Ondanks alle aan de samenstelling van de tekst bestede zorg, kan Newway Retail Solutions bv (Newway) géén enkele aansprakelijkheid aanvaarden voor eventuele directe en/of indirecte schade,

Nadere informatie

Alles onder controle met pro

Alles onder controle met pro WET EN REGELGEVING Drs. S. van der Smissen (svandersmissen@deloitte.nl). Drs. W. Bertoen (wbertoen@deloitte.nl), management consultants Deloitte, adviesgroep Finance & Control te Utrecht. Toezicht houden

Nadere informatie

Voldoende audit evidence?

Voldoende audit evidence? 51 Voldoende audit evidence? Drs. H.G.Th. van Gils RE RA In versterkte mate komt de laatste tijd weer de discussie opzetten over de diepgang van de controlewerkzaamheden van de accountant en IT-auditor.

Nadere informatie

Het accountantsrapport en uw onderneming

Het accountantsrapport en uw onderneming Het accountantsrapport en uw onderneming 1. Inleiding Elke onderneming heeft belanghebbenden. Denk bijvoorbeeld aan personeelsleden, crediteuren en de overheid (de fiscus, subsidieverlenende instanties).

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

MEMO AAN DE GEMEENTERAAD

MEMO AAN DE GEMEENTERAAD MEMO AAN DE GEMEENTERAAD Aan T.a.v. Datum Betreft Van Ons kenmerk CC De gemeenteraad - 23 maart 2012 Interim-controle 2011 Deloitte Het college 112623 Paraaf Datum Controller RP 22-3-2012 Directie Geachte

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

EXIN IT Service Management Foundation Bridge

EXIN IT Service Management Foundation Bridge Voorbeeldexamen EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edition 201512 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Nadere informatie

9728 ĮT Groningen 1400 AG Bussum 06-52894085 sietse@hofsteengezeeman.nl www.hofsteengezeeman.nl

9728 ĮT Groningen 1400 AG Bussum 06-52894085 sietse@hofsteengezeeman.nl www.hofsteengezeeman.nl HOFSTEENGE ZEEMAN accountante S adviseurs Aan het dagelijks bestuur van de gemeenschappelijke regeling Regio Gooi en Vechtstreek t.a.v. de heer R.W.M. van der Haagen en mevrouw F. van der Giessen L a a

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Antwoordmodel. Open vragen (70 punten)

Antwoordmodel. Open vragen (70 punten) Antwoordmodel Aan dit antwoordmodel kunnen geen rechten worden ontleend. Het antwoordmodel dient als indicatie voor de corrector. De paginaverwijzingen in dit antwoordmodel zijn gebaseerd op het reguliere

Nadere informatie

De10itte. Erfgoedcentru m Achterhoek en Liemers. Accountantsverslag voor het boekjaar eindigend op 31 december 2013. 20 maart 2014

De10itte. Erfgoedcentru m Achterhoek en Liemers. Accountantsverslag voor het boekjaar eindigend op 31 december 2013. 20 maart 2014 De10itte. Deloitte Accountants B.V. Meander 551 6825 MD Am hem Postbus 30265 6803 AG Am hem Nederland Tel: (088) 288 2888 Fax: (088) 288 9777 www. deloitte.nl Erfgoedcentru m Achterhoek en Liemers Accountantsverslag

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Implementatie administratieve organisatie en interne controle.

Implementatie administratieve organisatie en interne controle. Implementatie administratieve organisatie en interne controle. BLOK A Algemeen U dient een beschrijving van de interne organisatie aan te leveren. Deze beschrijving dient te bevatten: A3 Een organogram

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Ant: B Dit is het doel van het proces.

Ant: B Dit is het doel van het proces. In welk proces vormt het voor aanpassingen in de informatievoorziening beschikbaar gestelde budget een mandaat voor besluitvorming? A: Contractmanagement B: Financieel management C: Transitie D: Wijzigingenbeheer

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement INTRAMED Mei 2016 Versie 2.4 Inhoud Inhoud... 2 Inleiding... 3 Verantwoordelijkheden... 3 Normen voor onderhoud, reparatie en doorontwikkeling... 4 Normen voor klantenondersteuning...

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie