Inhoud 1. Doelstelling 2. Hoofdlijnen systeemconcept 3. Assurance object 4. Inrichting assurance 5. Meetpunten zekerheid 6. Zekerheid of schijn? 12-11-2008 VUroRE 2
1.Doelstelling Inzicht gewenste / haalbare zekerheid grootschalige HR-processen: Wat is nodig? Wat is haalbaar? Welke zekerheid kan IT-auditor bieden? Conclusie (schijn)zekerheid Hoofdlijnen 12-11-2008 VUroRE 3
2. Hoofdlijnen syst.concept - 1 Rijksdienst SSC: P-Direkt Ketenproces HRM-diensten rijksdienst > 100.000 medewerkers + > 100n Politieke belangstelling Zekerheid nodig over: (v/j/t) + integriteit Beschikbaarheid Exclusiviteit (Wbp) Project Migratie SAP-HR: inrichting HR+ZB (5 dept. 6 HCS, 65.000 medewerkers) 12-11-2008 VUroRE 4
2. Hoofdlijnen syst.concept - 2 Control filosofie HR-processen: Controle vóóraf: Overleg manager en medewerker Controle op juistheid door automatisering Controle achteraf: Terugkoppeling op gedrag vanuit systeem Controle op werking van hele proces Afwikkeling bevindingen op departement Controle Auditdiensten op basis van steekproef Kwaliteitstoets HR-processen IT-auditor 12-11-2008 VUroRE 5
2. Hoofdlijnen syst.concept - 3 Realisatie via SAP/R3 HR = personeelsgegevens PY = bruto-netto, afrekening, afdracht PI = info uitwisseling (in en uit) BI = infoverstrekking EIC = ondersteuning zelfbediening Relatie andere SAP-modules Uitbesteding delen ketenproces 12-11-2008 VUroRE 6
2. Hoofdlijnen syst.concept - 4 Relatie SAP-HR met andere SAP-modules Bedrijfsnummer Personeels gebied aansluitnummer/ /externe instantie Controlling gebied Personeels subgebied Kostenplaats Personeels nummer Medewerker subgroep Medewerker groep Organisatie eenheid Formatieplaats Afrekeneenheid Organisatie structuur Functie Ondernemingsstructuur Personeelsstructuur Organisatiestructuur 12-11-2008 VUroRE 7
2. Hoofdlijnen syst.concept - 5 Zelfbediening P&O Servicedesk Expert Advies Medewerker Zelfbediening HRM portal informatie + transactie (zelfbediening ) 1e Lijn Portal ondersteuning 2e Lijn Personele Diensten Dienstverleningssystemen Backoffice / verwerking BZK EC Arbo ABP Manager Gemeenschappelijke Uitvoeringsprocessen HR-Ondersteuner verwerkerr HR-Verwerker 12-11-2008 VUroRE 8
3. Assurance object - 1 Schets processen Betaling Ik wil Wie ben ik? Wat wil ik? Mag ik wat Ik wil? Opdracht Verwerken Salaris verwerking Loon elementen Identificatie autorisatie Navigatie naar wens goedkeuring Scherm formulier Opslaan gegevens Salaris verwerking Rapportage 12-11-2008 VUroRE 9
3. Assurance objecten - 2 Systeemschets Dept MSHR/CO P-D/DVS Infosyst. Zelfbedien = 26 proc PI Portaal A B HR D PY Uitvoer Handm PI C E Form. Bezet Journ. Div BI Mini PY Stroken Betalen Afdrachten Medew Mngr. HR-O HR-Verwerker Medew HR-O Extern 12-11-2008 VUroRE 10
4. Inrichting assurance - 1 Assurance kenmerken SAP i.r.t. HR: Functionaliteit, controles, autorisaties in HR portaal = leeg Standaard controles HR niet inzichtelijk Controles customizing documenteren SAP HR SAP BI / SAP EIC Rapportages = complex Formele uitvoer HR-processenjuridisch dicht???? = in ontwikkeling! 12-11-2008 VUroRE 11
4. Inrichting assurance - 2 Rol IT-auditors in keten Departement: = samen met Financial Auditor IT-aspecten lokale implementatie portaal, netwerk, koppelingen rijksweb, etc. Project: System audit opzet / bestaan / werking Audit HR-Verwerker opzet / bestaan / werking Audit ketenpartners werking = TPM / SAS70 Beheerverslag 12-11-2008 VUroRE 12
4. Inrichting assurance - 3 General controls in relatie tot; Dienstenovereenkomsten klanten Contracten - SLA s DAP s HR-Verwerker Autorisaties Etc. Systeemcontroles = A t/m E Testtraject:.,., KIT 12-11-2008 VUroRE 13
4. Inrichting assurance - 4 Inrichting HR-Verwerker Manager Staf IC Relatiebeheer Contact Centrum Adm. verwerking Autorisatiebeh. Taken: = = = = Interface gegevens systemen 1 e -lijn klanten Invoer mutaties HR Toekennen rollen en analyse gebruik 12-11-2008 VUroRE 14
4. Inrichting assurance - 5 Autorisaties Normale problematiek (SAP All, vertrokken medewerkers, overrulen rollen vanuit andere modules, etc.) Specifieke problematiek HR: Relatie portaal HR Autorisaties HR BI Manager + HRO + HRV = 2 rollen: Functionele rol Medewerkers rol 12-11-2008 VUroRE 15
5. Meetpunten zekerheid Belangrijkste controlemaatregelen per object Controlemaatregel / Subobject Hashtotals / checksums / tellingen Mutatieverslag voor departement Logging + reproductie mutatie 4-ogenprincipe op basis autorisatie Volledigheidscontrole infotypes HR en PY Bestandsvergelijking Diagonale beoordeling uitvoer In combinatie maatregelen o.g.v A&K-analyse: generieke en geprogrammeerde maatregelen A X X B X C X D X X X E X X 12-11-2008 VUroRE 16
6.Zekerheid of schijn? -1 Kerntaak IT-auditor: zekerheid bieden Conclusie huidig inzicht: v/j/t + integriteit Beschikbaarheid portaal + betalen Exclusiviteit toegang / gebruik (Wbp) lijkt oordeel met redelijke mate zekerheid mogelijk Schijn? 12-11-2008 VUroRE 17
6. Zekerheid of schijn? - 2 Wat wordt het? of 12-11-2008 VUroRE 18