Meten van IT Governance

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Meten van IT Governance"

Transcriptie

1 Meten van IT Governance Een onderzoek naar het meten van IT Governance Mohamed El Aarbaoui Shaheed Mamman Postdoctorale IT Audit Opleiding Amsterdam, oktober 2009

2 Titelblad Naam drs. Mohamed El Aarbaoui drs. Shaheed Mamman Studentnummer Teamnummer Telefoonnummer Organisatie Cordares Ernst &Young EDP Audit Begeleider VU: Bedrijfscoach: dr. René Matthijsse Mohamed Bouker RE 2

3 Voorwoord In het kader van de postdoctorale studie IT Audit aan de Vrije Universiteit hebben wij een onderzoek uitgevoerd naar de mate waarin aandacht wordt besteed aan het meten van IT Governance bij financiële instellingen. Het onderzoek heeft plaatsgevonden van januari 2009 tot en met oktober Het bestuderen van de theorie en deze te toetsen in de praktijk heeft onze kennis en inzicht ten aanzien van IT Governance vergroot. Voor ons onderzoek hebben wij een aantal personen in het bedrijfsleven geïnterviewd. Graag willen wij de geïnterviewden bedanken voor hun tijd en medewerking. Verder willen wij onze afstudeerbegeleiders René Matthijsse en Mohamed Bouker bedanken voor hun begeleiding, kennis en input. Ook willen wij onze familie en vrienden bedanken voor hun steun tijdens de intensieve studieperiode. Tijdens de postdoctorale studie IT Audit hebben wij een plezierige en educatieve periode beleefd. Hier willen wij alle medewerkers voor bedanken. Amsterdam, oktober 2009 Mohamed El Aarbaoui Shaheed Mamman 3

4 Managementsamenvatting Financiële instellingen onderkennen het toenemende belang van IT voor hun bedrijfsvoering. Dit beweegt deze instellingen om in het verlengde hiervan de aandacht voor IT Governance te vergroten. De verwevenheid van IT met de overige bedrijfselementen leidt tot een hecht samenspel van IT Governance en Corporate Governance. Gelet op ons beroep waren wij zeer benieuwd naar de wijze waarop financiële instellingen aandacht besteden aan het meten van IT Governance. Dit heeft geleid tot de volgende onderzoeksvraag: In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance? Om een antwoord te kunnen geven op bovenstaande vraagstelling zijn onderstaande deelvragen beantwoord. Wat is IT Governance? Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten binnen IT Governance, te weten: Structuren: behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. Processen: verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. Relationele mechanismen: de gehele relatie in de business tussen structuren en processen. Bovenstaande aspecten kunnen worden gebruikt om IT Governance te implementeren. De juiste combinatie vinden van de drie aspecten structuren, processen en relationele mechanismen, zal natuurlijk afhangen van een reeks externe en interne factoren zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde taal te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. Welke middelen worden toegepast voor het meten van IT Governance? Voorgaande aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren en derhalve ook te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Wij hebben uit een combinatie van de IT Governance aspecten en het Cobit framework een toetsingskader opgesteld. Het doel van dit toetsingskader is het in kaart brengen van de mate waarin IT Governance is ingericht in de organisatie. Op welke wijze wordt het meten van IT Governance in de praktijk toegepast? In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling In hoeverre en op welke wijze besteden financiële instellingen aandacht aan 4

5 performance management van IT Governance heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen. Resultaten praktijkonderzoek: Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO (Chief Information Officer), Risk s en IT s. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst. Om een eerste indruk te krijgen over de mate waarin IT Governance is ingericht bij de twee financiële instellingen hebben wij onderstaande vragen (conform scriptie d.d. 01 april 2009) voorgelegd aan de CIO: 1) Wat verstaat u onder IT Governance? 2) Hoe is IT Governance ingericht (en geïmplementeerd) binnen uw organisatie? 3) Hoe wordt IT Governance gemeten binnen uw organisatie? De onderzochte instellingen verstaan het volgende onder IT Governance: het gestructureerd beheersen van de IT processen waarbij de relatie tussen IT Demand en IT Supply wordt geregisseerd door de CIO. IT Demand betreft de vraag vanuit de business omtrent IT dienstverlening. IT Supply betreft de IT organisatie welke de IT dienstverlening van de organisatie verzorgt. Het doel van IT Governance binnen de organisatie is de alignment tussen IT en de business. IT Governance is ook op deze wijze ingericht bij deze instellingen. Afspraken tussen de business en IT worden door de CIO gemonitord en indien nodig bijgestuurd. Voor de inrichting van IT Governance hebben de instellingen gebruik gemaakt van het Cobit framework. De instellingen besteden geen tot weinig aandacht aan het meten van IT Governance. IT Governance is ingericht, maar de daadwerkelijke toetsing van IT Governance vormt geen onderdeel van het IT Governance proces. Echter, een vorm van het meten van IT Governance wordt gerealiseerd door het toetsen van een aantal normen (kritische succesfactoren) die zijn opgesteld door de business en IT. Deze normen worden door middel van (periodieke) rapportages getoetst. Rapportages waar het hier om gaat zijn volgens de instellingen van beperkte aard en hebben betrekking op de prestaties van IT, zoals beschikbaarheid van IT systemen. Deze rapportages worden gecommuniceerd aan de betrokken stakeholders. Voorgaand stuk geeft tevens antwoord op onze centrale vraag. Terugkijkend op onze vraagstelling waar het volgende centraal stond: In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance kunnen we stellen dat de organisaties op dit moment weinig aandacht besteden aan het meten van IT Governance. Om de mate van IT Governance te toetsen in de praktijk hebben wij een meetinstrument geïntroduceerd en toegepast in de praktijk. De resultaten en aanbevelingen van dit onderzoek zijn in de volgende tabel opgenomen. 5

6 Structuren Conclusie Aanbeveling S1) Rollen en verantwoordelijkheden - S2) IT organisatie structuur - S3) CIO on board Benoem een onafhankelijke CIO Verplicht de betrokkenheid van de business bij de IT strategie S4) IT strategie comité comité S5) IT stuurgroep - Processen Conclusie P1) Strategic Information Systems-planning. Betrek de business bij IT processen. Bijvoorbeeld: Leg de verantwoordelijk voor het opstellen van een IT strategieplan bij de business en IT. P2) Balanced scorecards Richt een meetinstrument in voor het meten van IT processen P3) Information Economics P4) Service Level Agreements Benoem een SLA coördinator P5) COBIT en ITIL - P6) IT alignment/governance maturity models - Relationele mechanismen Conclusie R1) Actieve participatie van stakeholders - R2) Samenwerking tussen de stakeholders - R3) Partnership beloningen en incentives - R4) Business/IT co-locatie - R5) Begrijpen van Business en IT doelstellingen Realiseer IT affiniteit bij de business door middel van het volgen van verplichte IT cursussen. IT dient voorts betrokken te zijn bij business projecten en vice versa. Realiseer een actieve relatie tussen business en IT door transparantie van wederzijdse doelstellingen, waarbij de businessdoelstellingen leidend zijn en IT een faciliterende rol vervult. R6) Actieve conflict oplossingen Benoem een onafhankelijke CIO die optreedt bij conflicten R7) Cross functionele business/it training Verplicht IT trainingen voor de business en vice versa R8) Cross functionele business/it jobrotatie Verplichte jobrotatie tussen business en IT Legenda: Score = Voldoet in ruime mate aan de gestelde norm(en) = Voldoet aan de gestelde norm(en) = Voldoet op een aanvaardbaar niveau aan de gestelde norm(en); verbeteringen zijn aanbevolen = Voldoet niet aan de gestelde norm(en); verbeteringen zijn noodzakelijk Voor een uitgebreide beschrijving van de bevindingen verwijzen wij naar de analyse van het praktijkonderzoek (hoofdstuk 6) en de conclusie (hoofdstuk 7). 6

7 Inhoudsopgave Voorwoord 3 Managementsamenvatting 4 1 Inleiding Aanleiding Probleemstelling Doelstelling Centrale vraagstelling Deelvragen Opzet en onderzoeksaanpak Leeswijzer 10 2 IT Governance Inleiding Definities IT Governance Analyse 12 3 Meten van IT Governance IT Governance-structuren, -processen en relationele mechanismen Analyse COBIT Analyse 21 4 Toetsingskader IT Governance 22 5 Methode van onderzoek Inleiding Onderzoeksaanpak Resultaten van het onderzoek 26 6 Analyse resultaten praktijkonderzoek Analyse algemene vragen Analyse conform toetsingskader 28 7 Conclusie 32 8 Rol van de IT Auditor 35 Literatuurlijst 37 Bijlagen 38 7

8 1 Inleiding 1.1 Aanleiding Een aantal boekhoudschandalen, zoals bij Enron, Ahold en Parmalat, hebben geleid tot een daling van het vertrouwen rondom dit soort type organisaties. Dit zijn al veel beursgenoteerde ondernemingen. Deze incidenten hebben geresulteerd in een herijking van het toezicht op (beursgenoteerde) ondernemingen. Het resultaat hiervan is een verscherpt toezicht op organisaties, verhoging van verantwoordelijkheid bij het management en stringentere regels rondom de administratieve organisatie. Een voorbeeld hiervan is dat management aansprakelijk kan worden gesteld op fouten in (financiële) rapportage. Deze maatregelen moeten het vertrouwen herstellen in (beursgenoteerde) ondernemingen. Bovenstaande heeft geleid tot meer aandacht in de wijze waarop bedrijven worden geleid. Het thema wat hierbij past is Corporate Governance en hiermee wordt ondermeer verstaan deugdelijk bestuur en verantwoording afleggen door management aan stakeholders. In de huidige bedrijfsvoering is Informatie Technologie (hierna: IT) een significante bedrijfsenabler. Het toezicht hierop is dan ook van kritisch belang. Een tekortkoming binnen IT kan leiden tot operationele risico s, zoals uitval van processen, maar ook negatieve invloed hebben op de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Binnen Corporate Governance kan de aandacht voor IT ook wel opgehangen worden aan IT Governance. IT Governance is een onderdeel van Corporate Governance. NOREA, de beroepsorganisatie van IT-auditors, beschrijft dat de essentie van Corporate Governance is: het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Dit geldt tevens voor IT Governance 1. Financiële instellingen onderkennen het toenemende belang van IT voor hun bedrijfsvoering. Dit beweegt deze instellingen om in het verlengde van voorgaande de aandacht voor IT Governance te vergroten. Uit enquêtes blijkt dat CIO s IT Governance zien als een managementprioriteit 2. De verwevenheid van IT met de overige bedrijfselementen leidt tot een hecht samenspel van IT Governance en Corporate Governance. Gelet op ons beroep waren wij zeer benieuwd naar de wijze waarop financiële instellingen aandacht besteden aan het meten van IT Governance. Voorts vinden wij dit een actueel onderwerp, te meer omdat zij op dit moment druk bezig zijn met het: vernieuwen van legacy systemen door standaardpakketten zoals ERP; integreren van nieuwe technologie zoals internet (distributiekanaal); aanpassen van betalingsverkeer zoals SEPA; implementeren van geautomatiseerde controls teneinde te voldoen aan wet- en regelgeving (zoals SOx, WFT, WBP). Het is nu duidelijk dat IT Governance een belangrijke rol speelt in het beheersen van IT en hiermee ook een bijdrage levert in het realiseren van de bedrijfsdoelstellingen. Het beoordelen van IT Governance vraagt om meetinstrumenten zodat inzicht wordt verkregen in prestaties en bij afwijking van de verwachtingen bijsturing mogelijk is. 1 NOREA; De kennisgroep IT-Governance; IT-Governance: Een verkenning; juni Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT; 8

9 1.2 Probleemstelling Doelstelling IT Governance legt de focus enerzijds op het uitlijnen van IT met de bedrijfsprocessen en anderzijds op het inrichten van de IT organisatie en de IT architectuur zodat de gemaakte afspraken met de bedrijfsproceseigenaren worden gerealiseerd. Binnen de klassieke processen, zoals Finance, Sales, Productie, zijn prestatiemetingen en rapportages een bekend fenomeen. Hiermee krijgen betrokkenen inzicht in prestaties en kan waarnodig bijsturing plaatsvinden. Het meten van IT Governance is gezien de levenscyclus hiervan nog niet zover als de voorgaande klassieke processen. Met ons onderzoek willen wij inzicht krijgen naar de mate waarin aandacht wordt besteed aan het meten van IT Governance bij financiële instellingen. Voorts zullen wij middels een toetsingskader de mate van inrichting van IT Governance bij deze instellingen meten. In de eerste versie van onze scriptie waren de termen performance management en het meten van IT Governance met elkaar verweven, wat heeft geleid tot verwarring. Ons onderzoek met als probleemstelling In hoeverre en op welke wijze besteden financiële instellingen aandacht aan performance management van IT Governance heeft als onderwerp gehad de performance management van IT Governance. Performance measurement als onderdeel van het ITGI-model is buiten beschouwing gebleven. Teneinde de verwarring tussen deze twee begrippen te voorkomen en de nadruk te leggen op het meten van IT Governance hebben wij onze probleemstelling gewijzigd in In hoeverre en op welke wijze wordt bij financiële instelling aandacht besteed aan het meten van IT Governance. Als aanvulling op de scriptie zoals opgeleverd d.d. 1 april 2009 hebben wij op basis van bestaande meetinstrumenten voor IT Governance een toetsingskader opgesteld dat in de praktijk kan worden getoetst om de mate van IT Governance binnen organisaties in kaart te brengen Centrale vraagstelling In hoeverre en op welke wijze wordt bij financiële instellingen aandacht besteed aan het meten van IT Governance Deelvragen Om een antwoord te kunnen geven op bovenstaande vraagstelling dienen de volgende aanvullende deelvragen te worden beantwoord: 1. Wat is IT Governance? 2. Welke middelen worden toegepast voor het meten van IT Governance? 3. Op welke wijze wordt het meten van IT Governance in de praktijk toegepast? 1.2 Opzet en onderzoeksaanpak Het onderzoek bestaat uit een literatuuronderzoek en een praktijkonderzoek. Bij het literatuuronderzoek gaat het om begripsbepaling en (theoretische) modelvorming op basis van academische literatuur. In het literatuuronderzoek richten wij ons op de bestaande modellen die worden gebruikt voor het meten van IT Governance. Naar aanleiding van het literatuuronderzoek zullen wij een toetsingskader opstellen welke kan worden gebruikt om IT Governance te meten. Het toetsingskader zal tijdens ons veldonderzoek bij twee financiële instellingen worden getoetst op bruikbaarheid. De uitkomsten van ons onderzoek zullen gekoppeld worden aan het eerder genoemd literatuuronderzoek om op deze wijze gefundeerde conclusies te trekken. 9

10 1.3 Leeswijzer De opbouw van dit rapport wordt in onderstaande figuur schematisch weergegeven. 1) I N L E I D I N G 2) Theorie IT Governance 3) Theorie meetinstrumenten IT Governance 4) Ontwikkelen toetsingskader 5) Methode van onderzoek 6) Analyse en uitwerken resultaten veldonderzoek 7) Beantwoorden hoofdvraag / conclusie 10

11 2 IT Governance 2.1 Inleiding De realisatie van gedegen Corporate Governance binnen geautomatiseerde organisaties is mede afhankelijk van IT Governance. De resultaten van IT Governance hebben hun weerslag op Corporate Governance. Gesteld kan worden dat deze twee onderwerpen met elkaar zijn verweven. Als integraal deel van Corporate Governance, dient IT Governance zich dan te buigen over dezelfde vraagstukken als in de Corporate Governance-context: waar Corporate Governance vooral moet zorgen dat het geïnvesteerde kapitaal van de aandeelhouders op een zinvolle en rendabele manier wordt besteed, moet IT Governance ervoor zorgen dat de investeringen in IT-waarde creëren voor de organisatie 3. In essentie is de theorie het er ten aanzien van Corporate Governance over eens, het gaat om wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst 4. IT Governance is direct met Corporate Governance verbonden en gaat over het besturen, beheersen, verantwoording afleggen over en het toezicht op de informatievoorziening binnen een organisatie. De uitgangspunten van Corporate Governance vertalend naar de betekenis voor IT Governance levert een drietal aandachtsgebieden op: De beheersing van IT- risico s binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening; Het aantoonbaar uitoefenen van toezicht op de beheersing van IT- risico s; Het afleggen van verantwoording over de beheersing van IT- risico s Definities IT Governance IT Governance kent verschillende definities. In deze paragraaf worden een aantal hiervan beschreven. De eerste is ontwikkeld door het IT Governance Institute 6 : IT Governance is the responsibility of the Board of Directors and executive management. It is an integral part of enterprise Governance and consists of the leadership and organizational structures and processes that ensure that the organization's IT sustains and extends the organization's strategy and objectives ). 3 Van Grembergen, W., De Haes, S., Guldentops, E., 2004, : Structures, Processes and Relational Mechanisms for IT Governance 4 Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 5 Van Bommel, Peek, Winterink, 2008, De betekenis van IT- auditing voor risicobeheersing en IT- Governance 6 ITGI, 2008, Board Briefing on IT Governance; 11

12 De tweede definitie wordt gehanteerd door van Grembergen 7. De definitie luidt: IT Governance is the organizational capacity exercised by the Board, executive management and IT management to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT. De OECD verstaat het volgende onder IT Governance: IT Governance is the system by which IT within Enterprises is directed and controlled. The IT Governance structure specifies the distribution of rights and responsibilities among different participants, such as the board, business and IT s, and spells out the rules and procedures for making decisions on IT. By doing this, it also provides the structure through which the IT objectives are set, and the means of attaining those objectives and monitoring performance 8. De definitie van de OECD toont overlapping met de eerder genoemde definities, maar legt de nadruk op de rechten en verantwoordelijkheden van de verschillende individuen (zoals de raad van bestuur en IT s) en de procedures omtrent besluitvorming ten aanzien van IT. Een simpele definitie van IT Governance wordt gegeven door Brand et al. 9. Zij stellen dat IT Governance ervoor dient te zorgen dat de IT aansluit op bedrijfsprocessen en dat deze op de juiste manier wordt georganiseerd, bestuurd en beheerst. IT Governance verschaft de structuur die een link legt tussen ITprocessen, IT-resources en informatie met de organisatiestrategie en -doelen. 2.3 Analyse Het bereiken van de fusie tussen business en IT (vaak genoemd onder de termen strategic alignment en business/it alignment) wordt gezien als de ultieme doelstelling van IT Governance. De steeds grotere afhankelijkheid van IT verklaart de verhoogde aandacht voor het onderwerp. Voor de ene organisatie speelt IT een belangrijkere rol dan voor de andere. Zo zal het belang van IT per branche verschillen en is maatwerk noodzakelijk. Het komt er op neer dat voor IT Governance geen receptenboek bestaat, en dus geen kant-en-klare oplossing kan worden ontwikkeld. Een ander kernpunt in binnen IT Governance is de primaire verantwoordelijkheid van de raad van bestuur en het directiecomité. Bestuurders moeten hun rol opnemen inzake IT Governance en het op de agenda plaatsen van hun vergaderingen. IT Governance moet bovendien worden doorgetrokken naar de onderliggende IT en businessniveaus. Bestuurders zijn dus verantwoordelijk voor IT Governance op strategisch niveau, leden van het directiecomité en de CIO op managementniveau, en de IT-organisatie samen met de business op het operationele niveau. 7 Van Grembergen, De Haes, 2004, IT Governance mechanismen Brand K, Boonen H; IT Governance based on CobiT; 12

13 Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij zoals ook door Grembergen en de Haes 10 onderkend, gemeenschappelijke aspecten, te weten: Structuren; Processen; Relationele mechanismen. De aspecten zullen wij derhalve als uitgangspunt gebruiken voor onze definitie van IT Governance. In hoofdstuk 3 wordt nader ingegaan op voorgaande aspecten. 10 Van Grembergen, De Haes, 2004, IT Governance mechanismen; 13

14 3 Meten van IT Governance In dit hoofdstuk beschrijven wij een aantal methoden die worden gebruikt voor de inrichting en toetsing van IT Governance. Allereerst beschrijven wij het model van Peterson 11 dat een onderscheid maakt in structuren, processen en relationele mechanismen. Vervolgens wordt het Cobit framework van ISACA 12 uiteengezet. 3.1 IT Governance-structuren, -processen en relationele mechanismen Zoals in de vorige paragraaf besproken, onderscheiden wij structuren, processen en relationele mechanismen als aspecten van IT Governance. Hieronder worden de voornaamste onderdelen van bovengenoemde aspecten aan de hand van een tabel (van Peterson) besproken. Organisaties kunnen deze aspecten en bijbehorende onderdelen als uitgangspunt gebruiken voor de inrichting van IT Governance. Structuren Processen Relationele mechanismen Rollen en Strategic Information Systemsplanning Actieve participatie van verantwoordelijkheden IT organisatie structuur Balanced scorecards stakeholders Samenwerking tussen de CIO on board IT strategie comité Information Economics Service Level Agreements stakeholders Partnership beloningen en IT stuurgroep COBIT en ITIL incentives IT alignment/governance Business/IT co-locatie maturity models Begrijpen van Business en IT doelstellingen Actieve conflict oplossing Cross functionele business/it training Cross functionele business/it jobrotatie Tabel 1 Structuren, processen en relationele mechanismen voor IT Governance 1) Structuren Structuren behandelen het bestaan van verantwoordelijke functies zoals IT executives en een reeks comités en raden. Rollen en verantwoordelijkheden Duidelijke afgebakende rollen en verantwoordelijkheden voor alle betrokken partijen, zijn onontbeerlijk in het IT Governance-raamwerk. Het is de taak van de raad van bestuur en executive management om deze rollen te communiceren binnen de organisatie en om ervoor te zorgen dat iedereen op alle niveaus zijn/haar rol begrijpt. Zowel de raad van bestuur als IT- en businessmanagement spelen een belangrijke rol in het IT Governance-proces. De CIO is een heel belangrijke, maar zeker niet de enige betrokkene in dit verhaal. De CEO heeft de verantwoordelijkheid om het strategisch beleid en plan uit te voeren, zoals het werd goedgekeurd door de raad van bestuur. De CEO zou er ook voor moeten zorgen dat de CIO volwaardig lid 11 Peterson, R. R. (2003) Information Strategies and Tactics for Information Technology Governance 12 ISACA: Cobit 4.0 & IT Governance Institute, 2007, Cobit 4.1 Executive Summary Framework, IT Governance Institute 14

15 is van het besluitvormingsproces op het hoogste niveau. Zowel de CIO als de CEO moeten op regelmatige tijdstippen rapporteren aan de raad van bestuur. Die raad van bestuur speelt de rol van onafhankelijke toezichthouder. De leden van de raad van bestuur moeten ervoor zorgen dat ze op de hoogte blijven van hedendaagse bedrijfsmodellen, managementtechnieken, IT-technologieën, en natuurlijk met de potentiële waarden en risico s die eraan verbonden zijn. IT organisatiestructuur De effectiviteit van een IT Governance-raamwerk wordt mede bepaald door de manier waarop het ITdepartement zelf is georganiseerd. Belangrijk hierbij is de manier waarop de organisatie de beslissingsmacht over IT verdeelt. In het verleden zijn verschillende modellen ontwikkeld, zoals gecentraliseerde, een gedecentraliseerde en een federale IT-organisatie. IT strategie comité Zoals eerder vermeld moet IT Governance integraal deel uitmaken van corporate Governance. En aangezien Corporate Governance de verantwoordelijkheid is van de raad van bestuur is ook IT Governance haar verantwoordelijkheid. Een raad van bestuur kan tegemoet komen aan deze verantwoordelijkheid door zich te laten ondersteunen door een comité dat zich specifiek buigt over IT gerelateerde zaken. Dat comité wordt aangeduid met IT strategie comité en moet ervoor zorgen dat IT op een gestructureerde manier wordt behandeld door de raad van bestuur en dat het regelmatig op de agenda staat. IT stuurgroep Een IT stuurgroep is verantwoordelijk voor het beheren van grote projecten, voor het vastleggen van ITprioriteiten, het toewijzen van middelen, enzovoort. Terwijl het IT strategie comité werkt op het strategisch niveau van de raad van bestuur, werkt het IT steering comité eerder op het uitvoerend niveau van executive management 2) Processen Processen verwijzen naar strategische besluitvorming en opvolging. Dit kan gaan over het strategisch planningsproces en de manier waarop projecten worden gestart en opgevolgd binnen de organisatie. Strategic Information Systems-planning Een belangrijke doelstelling van IT Governance is de fusie tussen IT en de business, ook wel strategic alignment genoemd. Er zijn verschillende strategieën die de mogelijkheden vastleggen hoe de ITstrategie en de businessstrategie elkaar kunnen beïnvloeden, en hoe zij een impact hebben op de organisatorische bedrijfs- en IT-infrastructuur. Een voorbeeld is een strategie waarbij eerst de business strategie wordt vastgelegd, wat dan een impact zal hebben op de organisatorische infrastructuur en processen, wat vervolgens de IT-infrastructuur vastlegt. 15

16 Balanced Scorecard In 1992 hebben Kaplan en Norton de balanced scorecard (hierna: BSC) geïntroduceerd als model voor strategisch management binnen een organisatie. Organisaties kunnen de BSC als middel gebruiken voor het uitvoeren van metingen op prestaties die moeten leiden tot het behalen van doelstellingen. Een BSC is een vertaling van de strategische doelen van een organisatie in concrete, meetbare parameters die onderverdeeld kunnen worden in vier categorieën: Financieel; Klanten; Interne bedrijfsvoering; Ontwikkeling en groei. Het concept van de BSC kan ook toegepast worden voor de IT organisatie. Aangezien IT de functie van interne dienstverlener binnen de organisatie vervult, zijn de strategische doelstellingen van IT ook van andere aard dan de organisatiedoelstellingen. Een aangepaste BSC voor de IT organisatie is dan ook noodzakelijk. Information Economics Information economics is een techniek die wordt gebruikt voor alignment en Governance. De techniek vereist dat IT- en businessmensen samen scores bepalen voor IT-projecten, om op die manier projecten te selecteren en prioritiseren. Service level agreements In een volwassen IT Governance omgeving moeten service level agreements (hierna: SLA s) en het ondersteunende service level management (SLM)-proces een belangrijke rol spelen. De functies van SLA s zijn: 1. Het definiëren van de serviceniveaus die aanvaardbaar zijn voor de gebruiker en haalbaar voor de serviceleverancier. 2. Het definiëren van voor beide partijen aanvaardbare indicatoren en maatstaven voor het meten van de kwaliteit van de geleverde diensten. COBIT en ITIL Cobit ( Control Objectives for Information and related Technologies ) is een open standaard ontwikkeld door ISACA die de IT-activiteiten organiseert rond 34 IT-processen. Voor elk proces heeft Cobit control objectives en corresponderende auditguidelines en managementguidelines In hoofdstuk 3 wordt nader in gegaan op Cobit. IT alignment/governance maturity models Om te weten hoe ver men staat in het IT Governance en strategic alignment-traject, kan de organisatie gebruikmaken van een maturiteitsmodel. Dit is een scoremethodiek die de organisatie in staat stelt zichzelf te beoordelen tegen een schaal van niet bestaand tot geoptimaliseerd. Op die manier kan een organisatie bepalen waar ze momenteel staat en wat haar toekomstige doelstellingen zijn. 16

17 3) Relationele Mechanismen Relationele mechanismen zijn heel belangrijk maar vaak onderschat. Een organisatie kan alle IT Governance-processen en structuren hebben geïmplementeerd, zonder dat het geheel functioneert, omdat de IT-medewerkers eenvoudigweg de businessmensen niet begrijpen, of omdat beide partijen niet met elkaar samenwerken. Om het geheel te laten werken is het dus van groot belang om goede relaties te hebben tussen IT en businesspersoneel in de vorm van partnership en collaboratie, het continu delen van kennis, jobrotatie, joballocatie, enzovoort Analyse De juiste combinatie van bovengenoemde structuren, processen en relationele mechanismen vinden, zal natuurlijk afhangen van een reeks externe en interne factoren, zoals sector, bedrijfsstrategie en de mate van afhankelijkheid van IT. Het is dan ook vanzelfsprekend dat wat werkt voor de ene organisatie, daarom nog niet werkt voor andere organisaties. Rollen en verantwoordelijkheden dienen bijvoorbeeld duidelijk te worden belegd om op deze wijze functiescheiding te realiseren waarbij verantwoording per stakeholder kan worden afgelegd. De business en IT dienen dezelfde taal te spreken, eventueel door middel van intermediairs. Naleving van alle regels en afspraken die zijn gemaakt in het kader van IT Governance kunnen middels toetsingskaders (frameworks) worden beoordeeld. Gelet op voorgaande vraagt IT Governance om maatwerk per organisatie. De aspecten van IT Governance kunnen als handvatten worden gebruikt om IT Governance te implementeren. Deze aspecten kunnen ook worden gebruikt om in grote lijnen de mate van IT Governance in een organisatie te meten. Een framework dat wordt gebruikt om IT Governance op detailniveau in te richten is Cobit. In de volgende paragraaf wordt nader ingegaan op dit framework. 3.2 COBIT Cobit staat voor Control Objectives for Infomations and related Technologies en wordt door het ITGI en de Information Systems Audit and Control Association (hierna: ISACA) aangedragen als hét IT Governance framework. Het Cobit framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. Cobit wordt gezien als een control framework dat dient als een paraplu framework voor IT Governance. Cobit biedt handvatten, omdat gedetailleerd per onderwerp beschreven staat waar men aan moet voldoen om voor een bepaald onderwerp in control te zijn 13. Wat is Cobit? Cobit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ITorganisatie en IT-architectuur. Cobit bestaat uit een aantal good practices op het gebied van IT Governance. Deze zijn verdeeld over 34 IT-processen. Binnen deze IT-processen staan beheersdoelstellingen en bijbehorende maatregelen, prestatie-indicatoren en volwassenheidniveaus centraal. Cobit is met name gericht op beheersingsaspecten en minder op de gedetailleerde inrichting van IT-processen, zoals dat bijvoorbeeld bij ITIL. Cobit maakt een aansluiting tussen de bedrijfsvoering (business requirements) en hoe IT kan worden ingezet om de bedrijfsdoelstellingen te bereiken. Cobit richt zich meer op de wat- vraag dan de hoe-vraag. Dit betekent dat aanvullingen nodig zijn om invulling te geven aan de uit te voeren activiteiten (hoe). 13 ISACA: Cobit 4.0 & IT Governance Institute, 2007, Cobit 4.1 Executive Summary Framework, IT Governance Institute 17

18 Voor wie is Cobit bedoeld? Cobit biedt zowel de businesss alsmede de IT- een podium om samen op trekken. Het voorziet een, auditor en gebruikers van een set algemeen geaccepteerde meetinstrumenten, indicatoren, processen en best practices die hen kunnen helpen bij het maximaliseren van de voordelen die informatietechnologie met zich meebrengt door middel van het implementeren van een geschikte IT Governance en control binnen een organisatie. Cobit beschrijft voor het management waar rekening mee gehouden moet worden wanneer beslissingen over IT worden genomen en investeringen in IT worden gedaan; het helpt een balans te vinden tussen risico s en investeren in controle. Hoe kan een organisatie met Cobit gaan werken? Het startpunt van Cobit is het definiëren of overnemen van de organisatie- en compliance- doelstellingen. Zonder deze input bestaat er geen garantie dat de navolgende stappen een bijdrage zullen leveren aan het behalen van de bedrijfsdoelstellingen. Het Cobit framework onderscheidt 318 beheersdoelstellingen. Deze zijn vervolgens weer onderverdeeld in 34 IT- processen en die zijn gerangschikt naar vier domeinen: Plan and Organise (PO): gericht op het definiëren van de IT- strategie en IT- architectuur; Acquire and Implement (AI): gericht op het vertalen van de IT-strategie naar het implementeren van IT- oplossingen; Deliver and Support (DS): opleveren en beheren van de geïmplementeerde oplossingen; Monitor and Evaluate (ME): beoordelen of IT de gewenste bijdrage levert aan de bedrijfsdoelstellingen. De vier domeinen staan met elkaar in verbinding en bestrijken het gehele IT- landschap. Beslissingen die in PO worden genomen, worden in AI geïmplementeerd. In het domein DS worden de deliverables in gebruik genomen door de operationele afdelingen en tegelijkertijd begint het monitoringsproces om vast te stellen of de genomen beslissingen datgene opleveren wat de organisatie voor ogen had in de fase PO. Per domein zijn de bijbehorende processen gedefinieerd. Het domein bestaan uit in totaal 34 processen. Eisen zijn gedefinieerd waaraan de output van IT dient te voldoen. Deze eisen vertaald naar de volgende kwaliteitscriteria: effectiviteit, efficiency, confidentiality, integrity, availability, compliance en reliability. Naast de vier domeinen en kwaliteitscriteria besteedt Cobit ook aandacht aan de te gebruiken resources. Cobit verstaat onder resources: applicaties, informatie, infrastructuur en mensen. Het COBIT- raamwerk stelt vervolgens dat de informatie die voortkomt uit de IT-systemen het resultaat is van een gecombineerde inzet van IT- gerelateerde middelen, die moeten worden beheerd via ITprocessen. Het is dus zaak de IT- processen voldoende te beheren en controleren, zodat de informatie geleverd aan de organisatie aan bovenstaande kwaliteitsvereisten voldoet. Cobit is te gebruiken ongeacht de wijze waarop de infrastructuur tot stand is gekomen. Cobit schrijft niet voor of een organisatie gebruik dient te maken van een ERP-pakket of een legacy systeem. Vanuit Cobit kan wel worden beoordeeld of gemaakte keuzes de gewenste bijdrage leveren aan de bedrijfsdoelstelling. Indien de uitgangspunten van een bedrijf gericht zijn op het zoveel mogelijk maken van standaardoplossingen, dan zal dat ook zichtbaar moeten zijn in de keuze van resources. Het Cobit framework biedt drie basisproducten: Control Objectives; Managementguidelines; Auditguidelines. Voor elk van de 34 IT- processen beschrijft het control objectives document control objectives. Deze control objectives kunnen de verantwoordelijke van een IT proces helpen om een gepast controlesysteem 18

19 in te bouwen in de IT- omgeving. De control objectives bevatten uitspraken in verband met de gewenste resultaten of doelstellingen die moeten worden bereikt, door het implementeren van specifieke controls binnen de IT- activiteit. Een dergelijke control bestaat uit procedures, beleidsmaatregelen, praktijken en organisatorische structuren die ervoor zorgen dat een aanvaardbare garantie kan worden geleverd, dat de doelstellingen van de organisatie bereikt worden en dat ongewenste effecten niet plaatsvinden of gedecteerd en gecorrigeerd worden 14. Cobit definieert één high level controlobjectief voor elk proces en drie tot dertig gedetailleerde control objectives voor een IT proces. Binnen Cobit bestaan ook managementguidelines met instrumenten om de IT- omgeving van de onderneming te beoordelen en te meten. Deze managementguidelines bevatten maturiteitsmodellen, critical succes factors, key goal indicators en key performance indicators voor elk IT- proces. Een maturiteitsmodel is een scoretechniek die het de onderneming mogelijk maakt om de maturiteit voor een bepaald proces te beoordelen van niet bestaand (score 0) tot optimaal (score 5). Dit instrument biedt een makkelijk te begrijpen manier om de huidige en de gewenste positie te bepalen en maakt het de onderneming mogelijk om zichzelf te vergelijken met de best practices en standaardrichtlijnen. Op deze manier kunnen verschillen tussen de huidige en de gewenste situatie worden geïdentificeerd en specifieke acties worden gedefinieerd om naar de gewenste positie te evolueren. Als deze maturiteitsbepaling wordt uitgevoerd, is het belangrijk om zich te schikken naar de basisprincipes van maturiteitsmeting: een onderneming kan enkel naar een hoger maturiteitsmeting evolueren wanneer alle condities, beschreven voor een bepaald maturiteitsniveau, zijn vervuld. De volgende maturiteitsniveaus worden onderkend: 0 - Niet bestaand; 1 - Initieel/ ad hoc; 2 - Terugkerend en intuïtief; 3 - Proces gedefinieerd; 4 - Beheerd en meetbaar; 5 - Optimaal. 14 Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT; Informatie 19

20 Voor elk van de 34 IT processen levert COBIT ook auditguidelines. Dit product biedt de auditor een gedetailleerd leidraad om een audit uit te voeren op de 318 gedetailleerde control objectives. Volgens van Grembergen is de einddoelstelling van de audit: Garanties bieden aan management dat de control objectives worden bereikt; Wanneer er duidelijke zwakheden zijn in de controle, die hieruit resulterende risico s duidelijk maken; Adviseren van management over correctieve acties 15 Het Cobit framework wordt samengevat in onderstaande figuur. Figuur 1 15 Van Grembergen W., De Haes S., 2004, Een raamwerk voor de besturing van IT. 20

21 3.2.1 Analyse In paragraaf 3.2 hebben wij de essentie van Cobit uiteengezet. Cobit biedt handvatten, omdat gedetailleerd per onderwerp beschreven staat waar men aan moet voldoen om voor een bepaald onderwerp in control te zijn. Cobit biedt een structuur voor het inrichten van IT Governance en de daarmee samenhangende ITorganisatie en IT-architectuur. Het framework kan derhalve worden gebruikt om IT Governance op detailniveau in te richten. Naast het model dat door Peterson wordt gebruikt om IT Governance op hoger niveau in te richten is Cobit hét framework om dit op detail niveau te realiseren. In het volgende hoofdstuk introduceren wij een toetsingskader welke bestaat uit een combinatie van het model van Peterson en het Cobit framework. 21

22 4 Toetsingskader IT Governance Zoals in het vorige hoofdstuk besproken kan het model van Peterson worden gebruikt om IT Governance op hoog niveau te implementeren en uiteindelijk te toetsen. Op detailniveau kan Cobit worden gebruikt om IT Governance in te richten en te toetsen. In dit hoofdstuk introduceren wij een toetsingskader welke wij zullen gebruiken het praktijkonderzoek. Het toetsingskader dient inzicht te geven in welke mate IT Governance is ingericht in een organisatie. De aspecten structuur, processen en relationele mechanismen die worden onderkend door Peterson (2003) worden als uitgangspunt gebruikt in het toetsingskader. Deze aspecten worden als uitgangspunt gebruikt in het toetsingskader. Om meer diepgang in het toetsingskader te creëren hebben wij het aspect processen waar mogelijk aangevuld met de control objectives van Cobit. De Cobit control objectives die zijn gebruikt onder het aspect processen zijn aangegeven met het control objective nummer. Hieronder is het toetsingskader weergegeven. Structuren Gesprekspartner Score S1) Rollen en verantwoordelijkheden De taken van IT management en business management zijn duidelijk CIO, Risk, IT gecommuniceerd door de RvB. De afspraken met betrekking tot rollen en verantwoordelijkheden tussen de business en IT zijn door de RvB geaccordeerd. Een CIO die volwaardig lid is van het besluitvormingsproces op het hoogste niveau is benoemd. CIO, Risk, IT CIO, Risk, IT S2) IT organisatie structuur De IT organisatie is gecentraliseerd ingericht. De organisatie is Business driven Het proceseigenaarschap, de accountability en de responsibilty taken van het IT management zijn duidelijk belegd Het IT management heeft een IT organisatie ingericht met gedocumenteerde rollen, verantwoordelijkheden en verwachte prestaties van het personeel. S3) CIO on board De CIO functioneert als onafhankelijk orgaan (is bijvoorbeeld geen lid van de IT organisatie). De taken van de CIO zijn duidelijk belegd en geaccordeerd door de RvB S4) IT strategie comité Een IT strategie comité is ingericht Personen van de business en van IT zijn vertegenwoordigd in het comité Het comité heeft voldoende draagkracht in de organisatie S5) IT stuurgroep Een IT stuurgroep is ingericht waarin personen van de business en van IT zijn vertegenwoordigd. CIO CIO CIO, Risk, IT CIO, IT CIO, Risk CIO CIO, Risk, IT CIO IT 22

23 Processen Gesprekspartner Score P1) Strategic Information Systems-planning Er is een strategisch IT plan (PO1, P03)? Dit plan is tot stand gekomen door betrokkenheid van de business Het strategisch IT plan wordt gedeeld met de business Het strategisch IT plan wordt besproken tijdens business-management overleggen De doelstellingen op het gebied van IT zijn geformuleerd en gecommuniceerd aan de business (PO3) De IT architectuur is bekend en formeel gedocumenteerd (PO2) De IT processen, -organisatie en relaties zijn beschreven en formeel gecommuniceerd (P04) Management (IT) doelstellingen zijn gecommuniceerd naar de business (PO6) Er wordt specifiek aandacht besteed aan IT human resource management (PO7) IT oplossingen voor business vraagstukken worden door IT en de business in samenspraak ontwikkeld (AI1) P2) Balanced scorecards Er wordt gebruikt gemaakt van een Balanced scorecard (of een soortgelijke methodiek) voor het toetsen van de prestaties van IT (Governance) (ME1) P3) Information Economics IT is betrokken bij alle business projecten (PO10) Business stakeholders zijn betrokken bij IT projecten (PO10) Project IT risico s worden door de business en IT gezamenlijk geanalyseerd (PO9) Het IT budget binnen een project is vastgesteld in samenspraak met de business (PO5) De Business en IT zijn samen verantwoordelijk voor de prioritisering van IT- projecten (PO5, PO10) Een Quality Assurance rol is ingericht ten aanzien van projecten (PO8, PO10) De IT planning sluit aan op de eisen van de business (PO10) P4) Service Level Agreements SLA s zijn afgesloten tussen de business en de IT organisatie (DS1) Een service level coördinator is benoemd met duidelijke taken (DS1, DS2) Processen zijn ingericht om de prestaties van IT te monitoren (DS3) Er zijn richtlijnen voor de selectie van (service) leveranciers (DS1) CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT 23

24 Processen Gesprekspartner Score P5) COBIT en ITIL De organisatie heeft gebruik gemaakt van een best practice / framework voor het inrichten van IT Governance. P6) IT alignment/governance maturity models CIO Een scoretechniek wordt gebruikt om het volwassenheidsniveau van de organisatie te bepalen. CIO Relationele mechanismen Gesprekspartner Score R1) Actieve participatie van stakeholders Alle stakeholders (RvB, IT management, business management, audit/toezichthouder) zijn betrokken bij het IT Governance proces CIO, Risk, IT De verantwoordelijkheden van de verschillende stakeholders zijn duidelijk belegd CIO, Risk, IT R2) Samenwerking tussen de stakeholders De afspraken omtrent de samenwerking tussen de stakeholders zijn vastgelegd en gecommuniceerd De communicatielijnen tussen de stakeholders zijn duidelijk vastgelegd en gecommuniceerd R3) Partnership beloningen en incentives Een beloningssysteem is geïmplementeerd om het personeel te motiveren R4) Business/IT co-locatie De IT organisatie is fysiek dichtbij de business gelokaliseerd R5) Begrijpen van Business en IT doelstellingen De business doelstellingen zijn bekend bij de IT organisatie en viceversa De bedrijfsdoelstellingen worden door IT gebruikt als uitgangspunt R6) Actieve conflict oplossingen Een orgaan is ingericht om conflicten (tussen de business en IT) actief op te lossen R7) Cross functionele business/it training Het management onderkent het belang van (IT en business) trainingen Trainingen zijn onderdeel van de carrière van het personeel IT trainingen worden aangeboden aan de Business en viceversa R8) Cross functionele business/it jobrotatie Jobrotatie tussen IT en de business vindt plaats Jobrotatie wordt door het management gestimuleerd CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT CIO, Risk, IT 24

25 5 Methode van onderzoek 5.1 Inleiding In dit hoofdstuk wordt de methode van het praktijkonderzoek besproken. Hierin beschrijven wij de onderzoeksaanpak. In hoofdstuk 5 wordt de analyse van de resultaten beschreven. 5.2 Onderzoeksaanpak Wij hebben in hoofdstuk 2 de essentie van IT Governance uitgelicht en besproken wat IT Governance kan opleveren voor een organisatie. Dit hebben wij geprobeerd te verduidelijken door verschillende definities in ogenschouw te nemen en de verschillen en in het bijzonder de overeenkomsten in kaart te brengen. Hoewel de definities van IT Governance in sommige aspecten verschillen, zien wij gemeenschappelijke aspecten, te weten: Structuren; Processen; Relationele mechanismen. Dit wordt ook onderkend door Grembergen en de Haes 16. Voor het aspect structuur wordt het bestaan van verantwoordelijke functies, zoals IT executives en een reeks comités en raden behandeld. Processen verwijzen naar strategische besluitvorming en opvolging. Relationele mechanismen behelzen zaken zoals partnerships tussen IT en de organisatie, actieve participatie van alle betrokkenen partijen, strategische dialoog en gezamenlijke leren. Dit hebben wij in hoofdstuk 3 beschreven. ISACA draagt COBIT aan als hét IT Governance framework. Ook biedt het Cobit framework het management en auditors richtlijnen om de beheersprocessen in te richten dan wel te beoordelen. Ook dit is in hoofdstuk 3 besproken. Na het bestuderen van onze theorie hebben wij een toetsingskader opgesteld. Het toetsingskader dient inzicht te geven in hoeverre IT Governance is ingericht in een organisatie. Aangezien onze gemeenschappelijke aspecten (structuur, processen en relationele mechanismen) worden onderkend door Grembergen en de Haes, is dit de aanleiding geweest om deze aspecten als handvatten te gebruiken voor onze toetsingskader. Vervolgens hebben wij de onderdelen van de aspecten structuur, processen en, relationele mechanismen gebruikt als normen 17. Om meer diepgang in het toetsingskader te creëren hebben wij het aspect processen van Peterson waar mogelijk aangevuld met de control objectives van Cobit. Ten behoeve van het praktijkonderzoek hebben wij twee financiële instellingen onderzocht, te weten een bank/verzekeringsmaatschappij en een verzekeringsmaatschappij. De gesprekspartners binnen deze instellingen zijn de CIO, Risk s en IT s. Hier hebben wij voor gekozen om de antwoorden vanuit verschillende perspectieven binnen de organisatie te verkrijgen. Wij hebben enkel de opzet van de opgestelde normen getoetst. Het bestaan en de werking van de normen zijn buiten beschouwing gelaten. Deze zouden in een vervolgonderzoek kunnen worden getoetst. 16 Van Grembergen, De Haes, 2004, IT Governance mechanismen; 17 Van Grembergen, De Haes, 2004, IT Governance mechanismen; 25

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Een raamwerk voor de besturing van it

Een raamwerk voor de besturing van it it-governance t Een raamwerk voor de besturing van it De juiste mix van structuren, processen en relationele mechanismen De auteurs gaan in op de vraag hoe een organisatie kan starten met de invoering

Nadere informatie

IT GOVERNANCE IN DE LIFT

IT GOVERNANCE IN DE LIFT Informatiemanagement Methodes om tot een goed werkmodel te komen IT GOVERNANCE IN DE LIFT Uit verschillende IT-onderzoeken blijkt dat IT governance volop in de belangstelling staat van Nederlandse organisaties.

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1 ISO/IEC 38500 Governance of InformationTechnology Yvette Backer ASL BiSL Foundation 16 juni 2016 ISO 38500 Governance of Information Technoloy 1 Achtergrond Yvette Backer Zelfstandig consultant en trainer,

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

HR Performance Management

HR Performance Management HR Performance Management Door: Bernadette van de Laak Inleiding Bij Performance Management (PM) gaat het erom dat menselijk kapitaal binnen een organisatie dusdanig wordt georganiseerd, dat stijging van

Nadere informatie

ISM: BPM voor IT Service Management

ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management ISM: BPM voor IT Service Management Het jonge IT-vakgebied wordt bestookt met allerlei frameworks om grip te krijgen op de input en output: ITIL, ASL, BiSL, COBIT en

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016 Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Beheersing volledige IT-keten essentieel

Beheersing volledige IT-keten essentieel IT-strategie t CobiT en 9-vlaksmodel als hulpmiddel Beheersing volledige IT-keten essentieel Om IT-projecten met succes uit te voeren is het van belang de gehele IT-keten, van businessstrategie tot operationele

Nadere informatie

Geef handen en voeten aan performance management

Geef handen en voeten aan performance management Geef handen en voeten aan performance management De laatste jaren is het maken van concrete afspraken over de ICT-serviceverlening steeds belangrijker geworden. Belangrijke oorzaken hiervoor zijn onder

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY

Nadere informatie

ITAG RESEARCH INSTITUTE

ITAG RESEARCH INSTITUTE ITAG RESEARCH INSTITUTE IT Governance & Business/IT Alignment Maturiteit gemeten in de Belgische financiële sector Steven De Haes Wim Van Grembergen In het doctoraal onderzoek recent afgerond op UAMS komen

Nadere informatie

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de

Nadere informatie

De waarde van IT Security

De waarde van IT Security De waarde van IT Security Studenten: Afstudeerbegeleider: Bedrijfscoach: Examencommissie: Auke Geerts en Geert Waardenburg Drs. R.C. Christiaanse RA Drs. E.P. Rutkens RE Prof. dr. Ir. R. Paans RE en P.

Nadere informatie

Kwaliteitszorg met behulp van het INK-model.

Kwaliteitszorg met behulp van het INK-model. Kwaliteitszorg met behulp van het INK-model. 1. Wat is het INK-model? Het INK-model is afgeleid van de European Foundation for Quality Management (EFQM). Het EFQM stelt zich ten doel Europese bedrijven

Nadere informatie

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit

InfoPaper ǀ Maart Compliance-raamwerk borgt de datakwaliteit InfoPaper ǀ Maart 2017 Compliance-raamwerk borgt de datakwaliteit INLEIDING Steeds meer organisaties in de verzekeringsbranche innoveren met datagestuurde-toepassingen en de mogelijkheden van Big Data.

Nadere informatie

erbeterdezaak.nl Processen managen Een inleiding erbeterdezaak.nl

erbeterdezaak.nl Processen managen Een inleiding erbeterdezaak.nl Processen managen Een inleiding Proces cultuur De klant komt eerst Zorg dat je altijd waarde toevoegt Moedig eigen initiatief aan Geef medewerkers ruimte Moedig teamwerk aan Beloon team prestaties Werk

Nadere informatie

Brochure COBIT 5.0 Foundation

Brochure COBIT 5.0 Foundation Brochure COBIT 5.0 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

Voor vandaag. Balanced Scorecard & EFQM. 2de Netwerk Kwaliteit Brussel 22-apr-2004. Aan de hand van het 4x4 model. De 3 facetten.

Voor vandaag. Balanced Scorecard & EFQM. 2de Netwerk Kwaliteit Brussel 22-apr-2004. Aan de hand van het 4x4 model. De 3 facetten. Balanced Scorecard & EFQM 2de Netwerk Kwaliteit Brussel 22-apr-2004 Voor vandaag! Grondslagen van Balanced Scorecard Aan de hand van het 4x4 model! Het EFQM model in vogelvlucht De 3 facetten! De LAT-relatie

Nadere informatie

Commitment without understanding is a liability

Commitment without understanding is a liability Commitment without understanding is a liability Accent Organisatie Advies Risicocultuur tastbaar maken Propositie van Accent Organisatie Advies Frank van Egeraat Januari 2017 Nederlandse Corporate Governance

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming Prestatiebeloning werkt nauwelijks, maar prestatieafstemming werkt wel André de Waal Prestatiebeloning wordt steeds populairder bij organisaties. Echter, deze soort van beloning werkt in veel gevallen

Nadere informatie

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Het gerecht Het resultaat: weten dat u met de juiste dingen bezig bent. Alles is op een bepaalde manier meetbaar.

Nadere informatie

Een brede kijk op onderwijskwaliteit Samenvatting

Een brede kijk op onderwijskwaliteit Samenvatting Een brede kijk op onderwijskwaliteit E e n o n d e r z o e k n a a r p e r c e p t i e s o p o n d e r w i j s k w a l i t e i t b i n n e n S t i c h t i n g U N 1 E K Samenvatting Hester Hill-Veen, Erasmus

Nadere informatie

HRM SCORECARD. PRESENTATIE/WORKSHOP WATCH-Consultancy in samenwerking met REEF/deelt kennis Woensdag 17 november 2010

HRM SCORECARD. PRESENTATIE/WORKSHOP WATCH-Consultancy in samenwerking met REEF/deelt kennis Woensdag 17 november 2010 HRM-scorecard HRM SCORECARD PRESENTATIE/WORKSHOP WATCH-Consultancy in samenwerking met REEF/deelt kennis Woensdag 17 november 2010 Een korte introductie Wat doet WATCH-Consultancy op het gebied van HRM-Consultancy?

Nadere informatie

Grip op fiscale risico s

Grip op fiscale risico s Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Balanced Scorecard. Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec

Balanced Scorecard. Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec Balanced Scorecard fvv Francis Vander Voorde bec@online.be FVV Consulting bvba http://user.online.be/bec Het CAF Model FACTOREN RESULTATEN 1. Leiderschap 3. Human Resources Management 2. Strategie & Planning

Nadere informatie

8.5 Information security

8.5 Information security H08-Jb.IT Beheer 2006 18-10-2005 16:20 Pagina 321 8.5 Information security governance Casus bij financiële instellingen Na corporate governance en IT-governance duikt binnen (Nederlandse) organisaties

Nadere informatie

Het Analytical Capability Maturity Model

Het Analytical Capability Maturity Model Het Analytical Capability Maturity Model De weg naar volwassenheid op het gebied van Business Intelligence. WHITEPAPER In deze whitepaper: Wat is het Analytical Capability Maturity Model (ACMM)? Een analyse

Nadere informatie

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V.

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V. REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V. Datum: 11 mei 2015 Artikel 1. Definities AvA: Commissie: Reglement: RvB: RvC: Vennootschap: de algemene vergadering van aandeelhouders

Nadere informatie

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen Management van IT Han Verniers PrincipalConsultant Han.Verniers@Logica.com Logica 2008. All rights reserved Programma Management van IT Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Masterclass. Proces & Informatiemanagement

Masterclass. Proces & Informatiemanagement Masterclass Proces & Informatiemanagement Expertisegebied DATA MANAGEMENT PROCES MANAGEMENT INFORMATIE MANAGEMENT ICT-MANAGEMENT 2 Beschrijving In de huidige kennis- en netwerkeconomie wordt het verschil

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance

Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance Perceptie als gids en katalysator voor het verbeteren van ICT waarde en performance 2011 Perceptie Als Leidraad Voor Verbeteringen Perceptie is realiteit. Perceptie is persoonlijk. Perceptie is leidend

Nadere informatie

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari 2017 1 Wie is er bang voor de privacywetgeving? Marcel Koers - marcel.koers@uwv.nl 2 Grip op privacy: hoe? Een ogenschijnlijk eenvoudige

Nadere informatie

Business en IT Alignment vanuit het perspectief van IT risk management

Business en IT Alignment vanuit het perspectief van IT risk management Business en IT Alignment vanuit het perspectief van IT risk management VU Amsterdam Postdoctorale IT Audit opleiding Afstudeerscriptie Teamnummer 944 Amsterdam, 6 april 2009 Titelblad Naam drs. ing. S.

Nadere informatie

Performance Management: hoe mensen motiveren met cijfers?

Performance Management: hoe mensen motiveren met cijfers? Performance Management: hoe mensen motiveren met cijfers? Prof. Dr. Werner Bruggeman www.bmcons.com De High Performance Organisatie Kenmerken van hoogperformante organisaties (Manzoni): 1. High level of

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

II. VOORSTELLEN VOOR HERZIENING

II. VOORSTELLEN VOOR HERZIENING II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Corporate governance code Caparis NV

Corporate governance code Caparis NV Corporate governance code Caparis NV De brancheorganisatie sociale werkgelegenheid en arbeidsintegratie Cedris heeft in het voorjaar van 2010 een branchecode aangenomen. In de inleiding van deze branchecode

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

Governance en Business Intelligence

Governance en Business Intelligence Governance en Business Intelligence Basis voor de transformatie van data naar kennis Waarom inrichting van BI governance? Zorgorganisaties werken over het algemeen hard aan het beschikbaar krijgen van

Nadere informatie

Seminar BSC & IBM Cognos 8 22 September 2009 Yves Baggen- Solution Architect BI Charles van der Ploeg Partner en adviseur van Decido

Seminar BSC & IBM Cognos 8 22 September 2009 Yves Baggen- Solution Architect BI Charles van der Ploeg Partner en adviseur van Decido Seminar BSC & IBM Cognos 8 22 September 2009 Yves Baggen- Solution Architect BI Charles van der Ploeg Partner en adviseur van Decido 2008 IBM Corporation 2 3 Vraag? Hoe goed kent u uw bedrijfsvisie en

Nadere informatie

Stichting NIOC en de NIOC kennisbank

Stichting NIOC en de NIOC kennisbank Stichting NIOC Stichting NIOC en de NIOC kennisbank Stichting NIOC (www.nioc.nl) stelt zich conform zijn statuten tot doel: het realiseren van congressen over informatica onderwijs en voorts al hetgeen

Nadere informatie

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord Stichting Pensioenfonds Ecolab Compliance Charter Voorwoord Het Compliance Charter beschrijft de definitie, doelstellingen, scope, en taken en verantwoordelijkheden van de betrokkenen in het kader van

Nadere informatie

Benchmark communicatiefunctie

Benchmark communicatiefunctie Benchmark communicatiefunctie Hoe vergelijkje de communicatiefunctievan bedrijven? CommunicatieLab Logeion Caroline Wehrmann 19 November 2013 1 VOORSTELRONDJE 2 Programma Communicatiebenchmark Waarom?

Nadere informatie

Inhoudsopgave Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd.

Inhoudsopgave Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Validatie van het EHF meetinstrument tijdens de Jonge Volwassenheid en meer specifiek in relatie tot ADHD Validation of the EHF assessment instrument during Emerging Adulthood, and more specific in relation

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Sneeuwwitje, de zeven dwergen en de boze heks?

Sneeuwwitje, de zeven dwergen en de boze heks? Sneeuwwitje, de zeven dwergen en de boze heks? Over de rol van de Operational Auditor in sturen op kernwaarden, cultuur en gedrag Olof Bik Behavioral & Cultural Governance Trophy Games, 28 nov 2013, Hilversum

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

Risicomanagement functie verzekeraars onder Solvency II

Risicomanagement functie verzekeraars onder Solvency II Risicomanagement functie verzekeraars onder Solvency II Hoofdindeling: Leidraden Opgesteld door: Commissie Enterprise Risk Management (ERM) Vastgesteld door: Commissie Enterprise Risk Management (ERM)

Nadere informatie

Governance en IT-projecten

Governance en IT-projecten Vrije Universiteit Amsterdam IT Audit opleiding Governance en IT-projecten Normatief kader voor het opzetten, uitvoeren en monitoren van IT-projecten Naam: drs. J. (Jasper) de Vries Adres: Barwerd 12 9746

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Een overzichtsraamwerk voor beheermethoden

Een overzichtsraamwerk voor beheermethoden Een overzichtsraamwerk voor beheermethoden De enorme ontwikkeling die het beheer van ICT in de afgelopen jaren doormaakt, heeft een scala aan beheermethoden opgeleverd. Het gaat om een groot aantal methoden

Nadere informatie

Wat is Sales Benchmarking?

Wat is Sales Benchmarking? benchmarking Wat is Sales Benchmarking? Sales Benchmarking vergelijkt de belangrijkste Sales prestatie indicatoren van uw organisatie met die van uw directe- en indirecte concurrenten. Benchmarking vindt

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE Corporate Governance Novisource streeft naar een organisatiestructuur die onder meer recht doet aan de belangen van de onderneming, haar klanten,

Nadere informatie

Waardegestuurd Contractmanagement

Waardegestuurd Contractmanagement Waardegestuurd Contractmanagement Wat is de effectiviteit van úw Inkoop- en Contractmanagement? Augustus 2015 Ontwikkeling in Inkoop & Contractmanagement Uit Onderzoek van de IACCM (International Association

Nadere informatie

WERKWIJZE TER BEOORDELING VAN IT GOVERNANCE

WERKWIJZE TER BEOORDELING VAN IT GOVERNANCE WERKWIJZE TER BEOORDELING VAN IT GOVERNANCE OP BASIS VAN GEACCEPTEERDE METHODES OP HET TERREIN VAN IT GOVERNANCE MASTER THESIS WILCO LEENSLAG UNIVERSITEIT TWENTE - 2 - MASTER THESIS WILCO LEENSLAG Master

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

De zachte factoren van business IT alignment. Hemke Havinga 12 maart 2013

De zachte factoren van business IT alignment. Hemke Havinga 12 maart 2013 De zachte factoren van business IT alignment Hemke Havinga 12 maart 2013 Hemke Havinga RE RA MMI Auditmanager Auditdienst Rijk (ADR) h.b.p.havinga@minfin.nl 06 5569 2781 Inhoud Wat is Business-IT alignment

Nadere informatie

REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V.

REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V. REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V. Vastgesteld door de RvC op 23 juni 2016 0. INLEIDING 0.1 Dit reglement is opgesteld door de RvC ingevolge artikel 5 van het

Nadere informatie

Data Governance van visie naar implementatie

Data Governance van visie naar implementatie make connections share ideas be inspired Data Governance van visie naar implementatie Frank Dietvorst (PW Consulting) deelprogrammamanager Caesar - Vernieuwing Applicatie Landschap Leendert Paape (SAS

Nadere informatie

Whitepaper. www.facto.nl. De regiepiramide ontsluierd

Whitepaper. www.facto.nl. De regiepiramide ontsluierd De regiepiramide ontsluierd Inleiding Regie is een veelgebruikte term voor een vorm van organiseren in het facilitaire werkveld. Toch is het lang niet altijd duidelijk wat er precies onder moet worden

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Plan van Aanpak. Auteur: Roel Konieczny Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 7 mei 2004 Versie: 1.0

Plan van Aanpak. Auteur: Roel Konieczny Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 7 mei 2004 Versie: 1.0 Plan van Aanpak Auteur: Roel Konieczny Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 7 mei 2004 Versie: 1.0 Plan van Aanpak Roel Konieczny Inhoudsopgave 1 INLEIDING... 3 2 PROBLEEMGEBIED EN DOELSTELLING...

Nadere informatie

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met

Nadere informatie

De waarde van de IT-organisatie: meetbaar of niet?

De waarde van de IT-organisatie: meetbaar of niet? De waarde van de IT-organisatie: meetbaar of niet? Quintica BV Marconibaan 10b 3439 MS Nieuwegein Tel: 030 630 10 52 Fax: 030 630 13 43 www.quintica.nl info@quintica.nl Inhoudsopgave 1. Inleiding... 3

Nadere informatie

ICT alignment en ICT governance: theorie en praktijk

ICT alignment en ICT governance: theorie en praktijk ICT alignment en ICT governance: theorie en praktijk lezing voor de MBO raad, dd. 21/1/2010. Dr.mr.ir. Th.J.G Thiadens, Lector ICT governance Fontys Hogeschool, Docent aan de UvA, Erasmus, UvT, RuG, OU

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

ROAD MAP VOOR HET CONCRETISEREN EN HET IMPLEMENTEREN VAN DE STRATEGIE Strategisch performance management

ROAD MAP VOOR HET CONCRETISEREN EN HET IMPLEMENTEREN VAN DE STRATEGIE Strategisch performance management De road map is erop gericht om het beoogde succes van een organisatie (de strategische ambitie) te helpen maken. De road map gaat in op hoe de weg naar het succes expliciet en concreet te maken Jan Scheffer

Nadere informatie

Project Portfolio Management. Doing enough of the right things

Project Portfolio Management. Doing enough of the right things Project Portfolio Management Doing enough of the right things BPUG, Hilversum, 24 juni, 2015 Inhoud 1 2 3 4 Introductie Het belang van portfolio management Project portfolio management volgens MoP 3a 3b

Nadere informatie

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER

E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden WHITE PAPER E-HRM systemen die strategie met HR processen verbinden De nieuwe generatie E-HRM systemen onderscheidt zich niet alleen door gebruikersgemak

Nadere informatie

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken

MONITORING COMMISSIE CODE BANKEN. Aanbevelingen toekomst Code Banken MONITORING COMMISSIE CODE BANKEN Aanbevelingen toekomst Code Banken 22 maart 2013 Inleiding De Monitoring Commissie Code Banken heeft sinds haar instelling vier rapportages uitgebracht. Zij heeft daarin

Nadere informatie

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende 16-04-2003 KEMA Quality B.V.

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende 16-04-2003 KEMA Quality B.V. Ze hebben weer wat nieuws bedacht! 16-04-2003 Quality B.V. 1 Reden van verandering Oude norm was onvoldoende KLANT- & PRESTATIEGERICHT! 16-04-2003 Quality B.V. 2 1 Reden van verandering a. ISO normen iedere

Nadere informatie

Corporate Governance verantwoording

Corporate Governance verantwoording Corporate Governance verantwoording Algemeen De Raad van Commissarissen en de Raad van Bestuur van Verenigde Nederlandse Compagnie (VNC) respecteren de principes en best practice bepalingen van de Corporate

Nadere informatie

Examenprogramma Associatie Praktijkdiploma Vakopleiding Payroll Services IV Geldig m.i.v. 1 januari 2011

Examenprogramma Associatie Praktijkdiploma Vakopleiding Payroll Services IV Geldig m.i.v. 1 januari 2011 Examenprogramma Associatie Praktijkdiploma Vakopleiding Payroll Services IV Geldig m.i.v. 1 januari 2011 Het examenprogramma omvat: 1. Beroepsprofiel 2. Opleidingsprofiel 3. Examenopzet 4. Examenprogramma

Nadere informatie

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te

Nadere informatie

Copyright Stork N.V. 1

Copyright Stork N.V. 1 Management, een praktisch framework Taking up the challenge of optimizing your asset performance Stork Management Solutions Global Expertise Partner Complete, end-to-end solution Dedicated professionals

Nadere informatie

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen 4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied

Nadere informatie

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren,

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren, Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB Geachte dames en heren, Naar aanleiding van het gepubliceerde discussiedocument Meer ruimte voor innovatie in de financiële

Nadere informatie

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016 Business Control binnen de gemeente DATA GOVERNANCE Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016 Noodzaak goede data Voorbeeld sociaal domein Inhoud Data is vakwerk Het Data Maturity Model

Nadere informatie

Architecture Governance

Architecture Governance Architecture Governance Plan van aanpak Auteur: Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 14 november 2003 Versie: 1.0 Inhoudsopgave 1. INLEIDING... 3 2. PROBLEEMSTELLING EN DOELSTELLING...

Nadere informatie

CobiT (Control Objectives for Information and Related Technology) Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

CobiT (Control Objectives for Information and Related Technology) Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. CobiT (Control Objectives for Information and Related Technology) Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 12 Inhoudsopgave 1 INLEIDING...

Nadere informatie

Projectmanagement De rol van een stuurgroep

Projectmanagement De rol van een stuurgroep Projectmanagement De rol van een stuurgroep Inleiding Projecten worden veelal gekenmerkt door een relatief standaard projectstructuur van een stuurgroep, projectgroep en enkele werkgroepen. De stuurgroep

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Programme Power. De weg van Portfoliomanagement naar Programmaregie

Programme Power. De weg van Portfoliomanagement naar Programmaregie Programme Power De weg van Portfoliomanagement naar Programmaregie Agenda Introductie Stedin Historie van Project- en Portfoliomanagement Van Portfoliomanagement naar Programmaregie Waar staan we nu Oog

Nadere informatie