w IN.1113519 i Gemeente Oosterhout v gemeente QoStefhOUt ntan9en -7 JUL 2011 ^^^ Aan de gemeenteraad 31 Fysieke kopieën naar: De gemeeirfera^dsleden ^ " ^ 18 Digitale kopieën naar: College van BenW, Secr, Directie, Griffier, BCA, Concernleden ^, O^i^O I) Datum Uw kenmerk Ons kenmerk In behandeling bij BCA/MA/27062011 (0162) 489520 Onderwerp IT audit Equalit Geachte raad, Door PriceWaterhouseCoopers (PWC) is in het voorjaar van 2011 een IT-audit uitgevoerd bij Equalit. Het betreft een update van de nulmeting die in2009 is verricht naar de kwaliteit van de algemene IT-beheersmaatregelen. Net als vorig jaar is hier een rapportage van opgesteld, die voor de raad ter inzage isgelegd in de raadsledenkamer. Doelstellingen van de audit: De jaarlijkse audit heeft twee doelen. Enerzijds dient bijde jaarlijkse audit van de gemeente de kwaliteit van de ICT beheermaatregelen beschouwd te worden. Dit niet alleen voor Oosterhout maar voor alle gemeenten welke deelnemen aan Equalit. Anderzijds heeft Equalit een interne doelstelling om de inrichting van de beheerprocessen conform geldende standaards te doen en hierbij een ambitie naar hoge kwaliteit te hebben. Hiertoe is een normenkader opgesteld, welke beduidend zwaardere eisen stelt dan noodzakelijk voor de standaard controle. De doelstelling voor deaccountantscontrole van Oosterhout is gehaald. De kwaliteit van de ICTen de beheerprocessen is van voldoende kwaliteit om als accountant een uitspraak te doen over de kwaliteit van de gecontroleerde administraties. De interne ontwikkeldoelstellingen van Equalit zelf zijn in 2010 niet bereikt. De conclusie uit het rapport isvoor ons dan ook dat Equalit voldoet aan de wettelijke eisen en dat het door aan het groeienis naar een professionele ICT organisatie. postadres Postbus 10150, 4900GB Oosterhout telefoon U0162 e-mail stadhuis@oosterhout.nl bezoekadres Slotjesveld 1 Oosterhout fax (0162)4231 74 internet www.oosterhout.nl
Belangrijkste conclusies uit het rapport 2010: Equalit heeft in2010weer stappen gezet naar een hoger kwaliteitsniveau. PWC heeft echter nog verschillende aandachtspunten die in de rapportage zijn weergegeven. Samengevat komen de volgende zaken in het rapport naar voren: 1. De organisatie is volop in beweging, het volwassenheidsniveau van de beheersing blijft echter achter bij de voorgenomen ambitie. Ontwikkelgebieden blijven Security management, implementatie, testen en SLA-management (service level agreement). Erzijn diverse verbeteracties gestart naar aanleiding van de vorige audit, maar de voorgenomen verbeteracties zijn nog niet afgerond. De geplande kwalitatieve groei blijft hierdoor achter bijdevoorgenomen ambitie. 2. Formaliseren is een randvoorwaarde voor certificering. Nog niet alle procedures zijn formeel vastgelegd en voor een aantal beheersprocessen ontbreken de procedures of zijn deze nog niet voldoende uitgewerkt. Het gaat hierbij om het autorisatiebeheer, configuration management, problem management en verlenen van externe toegang aan derden. De in 2009 beschreven procedures hebben binnen de organisatie onvoldoende draagkracht, waardoor de procedures statisch zijn geworden. Indien Equalitwil streven naar jaarlijkse certificering van haar IT-dienstverlening dan is het essentieel dat processen een formeler karakter krijgen. Alleen dan kan Equalit zichtbaar maken dat zij voldoende beheersmaatregelen heeft getroffen om een betrouwbare IT-dienstverlening aan derden te kunnen garanderen. 3. Onduidelijkheid over rollen verlaagt de slagkracht. Als gevolg van de formatiewijzigingen zijn de taken, verantwoordelijkheden en bevoegdheden van kritische rollen nog onvoldoende uitgewerkt. Hierdoor is het niet mogelijk om actief te sturen op taken en verantwoordelijkheden. Het nieuwe functiehuis binnen Equalit zal op korte termijn bekrachtigd worden en dit kan een belangrijke positieve bijdrage leveren. Het management wordt door PWC geadviseerd om actief te sturen op de taken en verantwoordelijkheden, alsmede om adequaat programmamanagement op te zetten. 4. Groei vraagt om grip. Om uiteindelijk te komen tot certificering van haar IT-processen zal Equalit de huidige beheersprocessen verder moeten uniformeren en formaliseren. Tevens is het noodzakelijk omde kritische rollen uit te werken ente beleggen binnen de organisatie. Alleen dan kan de organisatie meer grip krijgen en groeien naar het gewenste volwassenheidsniveau. PWC adviseert Equalit om een verbeterplan op te stellen,waarbij de resultaten van dit onderzoek en de lopende verbeteracties uitgangspunt moeten zijn. Tevens wordt geadviseerd om een stuurgroep opte richten. Doel van de stuurgroep is het beoordelen van het verbeterplan, het periodiek monitoren en toetsen van de voortgang van het verbeterplan en het waar nodig bijsturen.
Ambitie voor 2011: Gezien kosten-baten verhouding oriënteren wij ons momenteel op de vraag of Equalit moet doorgroeien tot een niveau dat moet leiden tot volledige certificering. Uiteraard dient het kwaliteitsniveau van een dusdanig niveau te zijn dat de bedrijfsvoering van Oosterhout en de deelnemende gemeenten, conform de eisen die de accountant daaraan stelt, gegarandeerd is. De aanbevelingen van de accountant om te komen tot het gewenste volwassenheidsniveau, zullen wij ons ter harte nemen. Hoogachtend, BURGEMEESTER EN WETHOUDERS VAN OOSTERHOUT, burgemeester,, secretaris.
pwc.nl Groei volwassenheid achter bij ambitie blijft Evaluatie kwaliteit ITactiviteiten Equalit 12 pwc
pwc Persoonlijk en Vertrouwelijk Gemeente Oosterhout T.a.v. de heer C. van den Hout Postbus 10150 4900 GB OOSTERHOUT 12 Referentie: 2011-0205213/WH/cwb/ju Geachte heer Van den Hout, U heeft gevraagd een evaluatie uit te voeren van de IT activiteiten zoals deze door Equalit worden uitgevoerd. Met genoegen presenteren wij u hierbij de definitieve eindrapportage van de evaluatie, in overeenstemming met onze offerte (referentie : 2010-0172026/WH/cwb/ju) van 6 juli 2010. Het betreft een adviesrapport waarin wij onze belangrijkste bevindingen en aanbevelingen rapporteren. Wij zijn graag bereid u een nadere toelichting te geven. Hiertoe kunt u contact opnemen met Chantalle Wullems-Beister, via telefoonnummer 088 79 21 413 of e-mail: chantalle.wullems-beisteronl.pwc.com. Met vrie Price lelijke groet, lousecoopers Accountants N.V. De conceptrapportage is op 22 februari 2011 met u en de heren W. Zwijgers en A. Oudijk van Equalit afgestemd. De opmerkingen en reactie naar aanleiding van de afstemming zijn in een tweede concept rapportage verwerkt en vervolgens schriftelijk met u en Equalit afgestemd. W.J. Partr? System, Process Assurance PricewaterhouseCoopers Accountants N.V., Thomas R. Malthusstraat5,1066 JR Amsterdam, P.O. Box 90357,1006 BJAmsterdam, The Netherlands T: +31 (o) 88 792 00 20, F: +31 (o) 88 792 96 40, www.pwc.nl
Samenvatting In 2009 hebben wij een nulmeting uitgevoerd bij Equalit naar de kwaliteit van de algemene IT-beheersmaatregelen. Op basis van deze nulmeting hadden wij in 2009 vastgesteld dat Equalit op de goede weg is om te groeien naar een hoger volwassenheidsniveau van haar IT-functie. Tevens bleek uit ons onderzoek dat een aantal beheersprocessen verder geprofessionaliseerd dienen te worden. De belangrijkste bevindingen in 2009 waren: Procedures zijn niet volledig aanwezig of concept; Procedures zijn niet volledig geïmplementeerd; Rollen zijn niet volledig belegd. In 2010 hebben wij in samenwerking met Equalit een update uitgevoerd van de nulmeting van 2009. In deze samenvatting geven wij de belangrijkste bevindingen en aanbevelingen van ons onderzoek weer. Hoofdstuk 2 geeft een overzicht van de opgevolgde, alsmede de nog openstaande bevindingen van 2009, alsmede zijn aanbevelingen opgenomen voor verbetering. De bevindingen zijn in detail in uw organisatie gedeeld. Samengevat komen de volgende zaken naar voren: Organisatie volop in beweging, volwassenheidsniveau beheersing blijft achter bij voorgenomen ambitie; Formaliseren, een randvoorwaarde voor certificeren; Onduidelijkheid over rollen verlaagt de slagkracht; Groei vraagt om grip. 1. Organisatie volop in beweging, volwassenheidsniveau beheersing blijft achter bij voorgenomen ambitie Equalit is het afgelopen jaar volop in beweging geweest. De organisatie is verhuisd naar een ander pand en gegroeid qua omvang waarbij externe medewerkers zo veel mogelijk zijn vervangen door vaste medewerkers. Tevens is medio 2010 een coördinator ondersteuning aangesteld die een toetsende rol vervult om te zorgen dat beheersmaatregelen verder worden verankerd in de organisatie. Een belangrijke ontwikkeling in dit kader is de herinrichting van de primaire beheersprocessen binnen de helpdeskapplicatie Assyst. Naast de bovenstaande verbeteringen in de formatie hebben wij op basis van onze werkzaamheden vastgesteld dat Equalit vooruitgang heeft geboekt op een aantal bevindingen, zo: Zijn de rapporteringen richting de deelnemende partijen uitgebreid met openstaande en gemelde incidenten; Is de escalatieprocedure voor spoedwijzigingen geïmplementeerd; Is het autorisatieproces aangescherpt door de aanvullende monitoring op het gebruik van autorisatielijsten bij het muteren van rechten; Is de serverruimte afgesloten middels een sleutelkast welke alleen toegankelijk is voor geautoriseerde personen. Tevens stellen we vast dat Equalit voor de processen incidentmanagement, informatiebeveiliging en infrastructuur wijzigingen procedures heeft gedefinieerd en gecommuniceerd binnen de organisatie. Verder is het incidentmanagementproces geborgd in de helpdeskapplicatie Assyst. Deze sterke punten komen ook tot uitdrukking in het volwassenheidsniveau van de IT-functie op deze onderdelen (zie figuur 1). Groei volwassenheid blijftachter bij ambitie 3
Samenvatting Echter, op basis van onze evaluatie in 2010 moeten constateren wij ook, ondanks diverse verbetermaatregelen, dat het huidige volwassenheidsniveau van de IT-functie bij Equalit nagenoeg gelijk is gebleven aan 2009 (zie figuur 1). SLA Management (intern en extern Back-up management Continuïteit management Incident management Batch verwerking Computer Operations Management Infrastructuu wijzigingen 2010 2009 Informatiebeveiliging Security Management Testen Implementatie Logische Toegangsbeveiliging Fysieke Beveiliging Change Management Systeemontwikkeling Niveau 1 - Niveau 2 Niveau 3 - Niveau 4 Figuur 1 - Spin model Groei volwassenheid blijftachter bij ambitie Ontwikkelgebieden blijven Security management, implementatie, testen en SLA management. De belangrijkste tekortkomingen zijn: De autorisatielijsten van de deelnemende partijen zijn niet actueel en voor één wijziging hebben wij vastgesteld dat deze is verwerkt terwijl de aanvrager niet geregistreerd was als geautoriseerde medewerker. Wij hebben van Equalit begrepen dat zij vele inspanningen hebben geleverd om de autorisatielijsten door de deelnemende partijen te laten actualiseren. Echter, tot op heden heeft Equalit nog geen geactualiseerde lijst per deelnemende partij ontvangen. Wij merken hierbij op dat het de verantwoordelijkheid is van de deelnemende partijen om een actuele autorisatielijst aan Equalit te verstrekken. Binnen het huidige change management proces hebben wij vastgesteld dat de testresultaten en het akkoord van de applicatiebeheerder voor een specifieke wijziging niet aantoonbaar zijn gedocumenteerd. Monitoring op de doorlooptijd van changes vindt niet structureel plaats. Het problem management proces is alleen op hoofdlijnen uitgewerkt en niet volledig geïmplementeerd. Tevens hebben wij vastgesteld dat de rol van Problem Manager nog niet definitief belegd is. Monitoring op beveiligingsincidenten op de firewall is beperkt. Richtlijnen ontbreken hoe om te gaan met beveiligingsincidenten. Een groot aantal gebruikers beschikt over alle rechten (administrator) binnen het netwerk. Er zijn geen wachtwoordrestricties actief voor een groot aantal netwerkgebruikersaccounts. Hoewel medewerkers zich bewust zijn van de verbeterpunten en er diverse verbeteracties zijn gestart om de bevindingen van de nulmeting op te volgen, ontbreekt het Equalit aan executiekracht om de voorgenomen verbeteracties af te ronden. De geplande kwalitatieve groei blijft hierdoor achter bij de voorgenomen ambitie. 4
Samenvatting 2. Formaliseren, een randvoorwaarde voor certificering In 2009 was Equalit gestart met het professionaliseren van de ITbeheerprocessen op basis van ITIL. In samenwerking met een externe consultant zijn destijds conceptprocedures opgesteld voor deze processen welke als uitgangspunt hebben gediend voor onze nulmeting in 2009. Echter, op basis van onze werkzaamheden in 2010 hebben wij vastgesteld dat deze procedures niet zijn geactualiseerd. De status van alle procedures is concept en voor onderstaande beheerprocessen ontbreken de procedures danwei zijn deze onvoldoende uitgewerkt: Autorisatiebeheer (toekennen/wijzigen/verwijderen autorisaties); Configuration management; Problem management; Verlenen externe toegang aan derden. Voorts hebben wij vastgesteld dat de huidige werkwijze niet aansluit bij de procedures zoals in 2009 opgesteld. We hebben van Equalit begrepen dat de in 2009 beschreven procedures onvoldoende draagkracht binnen de organisatie genieten waardoor de procedures statisch zijn geworden. 3. Onduidelijkheid over rollen verlaagt de slagkracht Naast het feit dat procedures ongewijzigd zijn, hebben wij vastgesteld dat de taken, verantwoordelijkheden en bevoegdheden van kritische rollen onvoldoende zijn uitgewerkt. Een voorbeeld hiervan is de rol van Change Manager, welke belegd is binnen de organisatie maar waarvan de functiebeschrijving nog niet is geactualiseerd. Voor de rollen Configuration- en Problem manager geldt dat deze nog niet zijn belegd binnen de organisatie. Doordat rollen onvoldoende zijn uitgewerkt en belegd is het niet mogelijk om actief te sturen op taken en verantwoordelijkheden. Tijdens de bespreking van de rapportage van de nulmeting diewij in 2009 hebben uitgevoerd, gaf Equalit aan een externe programmamanager te hebben aangetrokken om de opvolging van de geconstateerde bevindingen te gaan monitoren. Wij onderschreven deze stap om zo het spoedig oplossen van de bevindingen te kunnen realiseren. Echter, wij hebben tijdens ons onderzoek in 2010 vastgesteld dat programmamanagement tot op heden niet adequaat is ingevuld. Equalit heeft hiertoe wel een externe aangetrokken maar dit heeft niet tot het gewenste resultaat geleid. Wij adviseren Equalit om per proces een duidelijke keuze te maken of een proces volgens deprocedure moet worden ingericht of dat deprocedure aangepast moet worden conform het huidige proces. Tevens adviseren wij om de ontbrekende procedures verder uit te werken. Indien Equalit namelijk wil streven naar een jaarlijkse certificering van haar IT-dienstverlening is het essentieel dat processen een formeler karakter krijgen. Alleen op deze wijze kan Equalit zichtbaar maken dat zij voldoende beheersmaatregelen heeft getroffen en uitvoert om een betrouwbare IT-dienstverlening aan derden te kunnen garanderen. Wij adviseren Equalit om kritische rollen nader uit te werken en te beleggen binnen de organisatie. De aanstaande bekrachtiging van het nieuwe functiehuis kan hier een belangrijke bijdrage aan leveren. Aanvullend adviseren wij het management om actief te sturen op de taken en verantwoordelijkheden alsmede om adequaat programmamanagement op te zetten. 5
Samenvatting 4. Groei vraagt om grip Om uiteindelijk te komen tot certificering van haar IT-processen zal Equalit de huidige beheersprocessen verder moeten uniformeren en formaliseren. Tevens is het noodzakelijk om kritische rollen uit te werken en te beleggen binnen de organisatie. Alleen op deze manier kan de organisatie meer grip krijgen en groeien naar het gewenste volwassenheidsniveau 3 (gedefinieerd proces). Wij adviseren Equalit om een pas op de plaats te maken en een helder verbeterplan op te stellen. Uitgangspunten voor dit plan zijn de resultaten van dit onderzoek en de lopende verbeteracties. Om te waarborgen dat de geambieerde groei gerealiseerd wordt, adviseren wij om een stuurgroep op te richten waarin de directeur van Equalit, één vertegenwoordiger van gemeente Oosterhout, één vertegenwoordiger namens alle deelnemende partijen, de coördinator ondersteuning van Equalit alsmede een (externe) projectleider /programmamanager vertegenwoordigd zijn. Doel van de stuurgroep is het beoordelen van het verbeterplan (inclusief de haalbaarheid), het periodiek monitoren en toetsen van de voortgang van het verbeterplan en bij te sturen indien nodig. Indien u dit wenst kunnen wij u helpen om hier verdere invulling aan te geven bijvoorbeeld via een klankbordrol. 6
Inhoud Samenvatting 1. Inleiding 2. Bevindingen en aanbevelingen 3. Groeipad Bijlagen 7
1. Inleiding
1. Inleiding Achtergrond Op 1 januari 2007 heeft de gemeente Oosterhout het initiatief genomen om een Shared Service Centrum voor ICT-dienstverlening (SSCICT) op te richten, genaamd Equalit. Equalit verzorgt producten en diensten op het gebied van ICT voor 7 gemeenten en een sociale werkvoorziening in de regio. Naast de primaire activiteiten op het gebied van ICT-dienstverlening levert Equalit kennis op het gebied van informatiebeleid en gegevensbeheer. Gemeente Oosterhout en Equalit hebben de ambitie uitgesproken om de ITactiviteiten zoals deze door Equalit worden uitgevoerd verder te professionaliseren. Equalit wil namelijk groeien naar een professioneel opererende organisatie die jaarlijks de effectiviteit van haar IT-activiteiten laat certificeren. Op deze manier wil Equalit aan de deelnemende partijen zekerheid geven over de betrouwbaarheid en continuïteit van haar ICT diensten. Om deze ambitie te kunnen verwezenlijken heeft in 2009 een onafhankelijke nulmeting uitgevoerd naar de opzet en het bestaan van de algemene IT-beheersmaatregelen bij Equalit. Met het resultaat van de nulmeting heeft gemeente Oosterhout het lerend vermogen van Equalit versterkt en zijn diverse actiepunten gedefinieerd om de bevindingen zoals genoemd in het rapport (zie rapport met referentie (200Q-oi40i78WH/cwb/sg) op te lossen. Gemeente Oosterhout heeft de behoefte uitgesproken om opnieuw een evaluatie te laten uitvoeren van de opzet en het bestaan van de algemene ITbeheersmaatregelen. Hiermee wil de gemeente inzicht krijgen in de huidige status van de kwaliteit van haar ICT diensten alsmede in hoeverre de geconstateerde bevindingen naar aanleiding van de nulmeting zijn opgelost. Dit inzicht kan de gemeente Oosterhout en Equalit helpen in hun streven naar een jaarlijks te verstrekken Assurance rapport aan derden. Het Assurance rapport dient op termijn zekerheid te geven over de opzet, bestaan en mogelijk ook de werking van de geleverde ICT diensten door Equalit aan de deelnemende partijen. 9
1. Inleiding Doel en reikwijdte U heeft gevraagd een evaluatie te doen van de algemene ITbeheersmaatregelen bij Equalit om een continue en betrouwbare gegevensverwerking te kunnen waarborgen. Ten aanzien van de reikwijdte van de opdracht, hebben wij de opzet en het bestaan van de getroffen beheersmaatregelen geëvalueerd. Hierbij hebben wij het op CobiT (Control Objectives for IT and Related Technology) gebaseerde normenkader gehanteerd wat de basis is geweest voor het definiëren van de beheersdoelstellingen / normen tijdens nulmeting uit 2009 (zie bijlage C). Dit normenkader is in 2009 afgestemd met de deelnemende partijen. In Bijlage B lichten wij de reikwijdte nader toe. Deze opdracht betreft een adviesopdracht waarbij wij geen accountantsverklaring, certificering of andere vorm van zekerheid verstrekken met betrekking tot de door ons verleende diensten of de informatie op basis waarvan onze diensten zijn verleend. Wij hebben de informatie die aan ons door welke bron dan ook in het kader van de opdracht is verstrekt, niet onderworpen aan een accountantscontrole of op andere wijze geverifieerd, tenzij anderszins vermeld in onze opdrachtbevestiging. Onze werkzaamheden vormen geen onderzoek zoals bedoeld in de algemeen aanvaarde richtlijnen met betrekking tot controleopdrachten. Aanpak Gedurende de opdracht hebben wij de volgende activiteiten uitgevoerd: Kick-off met de coördinator ondersteuning over de voorbereidende werkzaamheden door Equalit; Evalueren van de in opzet aanwezige IT-beheersmaatregelen middels interviews en documentatieonderzoek; Evalueren van het bestaan van processen en procedures door middel van lijncontroles en deelwaamemingen; Rapporteren van de geconstateerde bevindingen, en het doen van aanbevelingen. De bevindingen hebben wij net als bij de nulmeting in 2009 verwerkt in een IT Capability Maturity Model (CMM) waarmee de volwassenheid van de ITfunctie binnen Equalit inzichtelijk wordt. 10
1. Inleiding Het model onderkent een vijftal volwassenheidsniveaus, te weten: Initieel - Processen zijn ad hoc en niet georganiseerd (geen formele beheersing) Herhaalbaar - Processen volgen een regulier patroon (beperkte beheersing) Gedefinieerd proces - Processen zijn gedocumenteerd en gecommuniceerd (basis in control) Beheerst en meetbaar - Processen worden gevolgd en gemeten (aantoonbare beheersing) Geoptimaliseerd - Best practices worden gebruikt en geautomatiseerd (proactief) Rapportage Het resultaat van onze werkzaamheden is dit adviesrapport met feitelijke bevindingen en aanbevelingen. Het rapport geeft inzicht in de mate waarin de kwaliteit van Equalit voldoet aan de vooraf gestelde normen, inzicht in waar verbeteringen gewaagd worden en biedt handvaten voor verbetering. De rapportage is als volgt opgebouwd: 2. Bevindingen en aanbevelingen - Deze sectie bevat de opgevolgde bevindingen uit de nulmeting 2009 als de bevindingen en aanbevelingen welke in 2010 van toepassing zijn. 3. Groeipad - Deze sectie bevat het herijkte groeipad. Bijlagen (waaronder een overzicht van gevoerde interviews en het toegepaste normenkader). De rapportage is uitsluitend voor u bestemd, aangezien anderen die niet op de hoogte zijn van het doel van de werkzaamheden de resultaten onjuist kunnen interpreteren. Deze rapportage mag daarom niet (geheel of gedeeltelijk) aan derden worden verstrekt, zonder onze uitdrukkelijke toestemming vooraf. De rapportage heeft alleen betrekking op de gespecificeerde elementen zoals beschreven in de doelstelling van het onderzoek. Indien deelnemende partijen een kopie willen ontvangen van deze rapportage dient u conform vorig jaar een release letter te tekenen. Elke deelnemende partij dient een transmittal letter te tekenen. 11
2. Bevindingen en aanbevelingen Groei volwassenheid blijft achterbijambitie
2. Bevindingen en aanbevelingen Opgevolgde bevindingen Onderstaand zijn de bevindingen opgenomen uit de nulmeting 2009 welke in voldoende mate zijn opgevolgd door Equalit in 2010. Actuele bevindingen Op de volgende pagina's zijn per domein de bevindingen opgenomen uit de nulmeting in 2009 welke van toepassing blijven in 2010. Een toelichting over de verschillende domeinen vindt u in bijlage C. Ref. Bevinding 1.7 De factsheets welke maandelijks naar de deelnemende partijen worden verstuurd, bevatten niet het aantal openstaande incidenten en het aantal gemelde incidenten. 2.3 De escalatieprocedure voor spoedwijzigingen is niet volledig geïmplementeerd. 4.5 Wij hebben vastgesteld dat een autorisatieverzoek van een nietgeautoriseerde aanvrager toch is uitgevoerd. 4.13 Wij hebben vastgesteld dat de serverruimte niet was afgesloten. 13
2. Bevindingen en aanbevelingen IT Control Environment Ref. Bevinding Aanbeveling 1.4 De risicoanalyse die Equalit heeft uitgevoerd voor relevante systemen (infrastructuur, databases, applicaties en besturingssystemen) is beperkt en bovendien niet gedocumenteerd. Hiernaast wordt deze risicoanalyse niet periodiek geactualiseerd. Manag Akkoord. ementreactie: 1.2 Equalit beschikt niet over een IT-jaarplan. Ten tijde van de evaluatie werkt Equalit aan een jaarplan voor 2011. Managementreactie: Akkoord. Equalit is bij het opstellen van haar jaarplan gedeeltelijk afhankelijk van de deelnemende partijen. De cyclus van inventarisatie en vaststelling zal in overleg met de deelnemende partijen verbeterd moeten worden. Wij adviseren om de uitgevoerde risicoanalyse te actualiseren voor relevante systemen en gegevens en om de resultaten te documenteren. Het is van belang dat alle kritische componenten (infrastructuur, databases en besturingssystemen) worden meegenomen in deze analyse. Voorts dient de risicoanalyse periodiek geactualiseerd te worden. De risicoanalyse van de applicaties valt onder de verantwoordelijkheid van de deelnemende partijen. Wij adviseren om op korte termijn het IT-jaarplan voor 2011 definitief vast te stellen. Dit jaarplan dient afgeleid te worden van de lange termijn visie welke Equalit heeft vastgelegd in het document "Strategische visie op Informatisering & Applicaties 2009-2012" en dient aan te sluiten op de kadernotitie. Middel Laag 14
Bevindingen en IT Control Environment aanbevelingen 1.8 Equalit ontvangt geen periodieke rapportering van derden over de geleverde prestaties van uitbestede diensten. Tevens vindt er geen actieve monitoring plaats ten aanzien van de door derden geleverde prestaties. Wij adviseren om periodieke monitoring in te richten om te waarborgen dat de geleverde prestaties van derden voldoen aan de gemaakte afspraken. Laag Equalit heeft in haar jaarkalender 2011 een beoordeling gepland van alle overeenkomsten met derden over de geleverde prestaties. Deze beoordeling staat gepland voor september 2011. De werkwijze ten aanzien van de periodieke controle moet nog vastgesteld en gedocumenteerd worden. Managementreactie: Akkoord. 15
2. Bevindingen en aanbevelingen Change & Release management Bevinding 2.4 De autorisatielijsten van de deelnemende partijen zijn niet actueel. Tevens hebben wij voor één wijziging vastgesteld dat deze is verwerkt terwijl de aanvrager niet geregistreerd was als geautoriseerde medewerker voor de deelnemende partij. Manag ementreactie: Akkoord. Gedurende 2010 heeft Equalit veel inspanning geleverd om autorisatielijsten te laten actualiseren door deelnemende partijen. Dit is echter niet voor alle partijen gelukt. Deelnemende partijen dienen zich ervan bewust te zijn dat zij verantwoordelijk zijn voor het actueel houden van de autorisatielijsten. Equalit is zich er van bewust dat klantvriendelijkheid in dit kader afivijkt van de vastgestelde werkwijze. Aanbeveling Wij adviseren te waarborgen dat wijzigingen uitsluitend aangevraagd en verwerkt kunnen worden op verzoek van geautoriseerde medewerkers van de deelnemende partijen. Tevens adviseren wij om te waarborgen dat de autorisatielijsten actueel zijn. Het actueel houden van de autorisatielijsten is de verantwoordelijkheid van de deelnemende partijen. Hoog 2.1 De change & release management procedure is niet volledig geïmplementeerd. Update 20101 Bevinding blijft gedeeltelijk van toepassing. De change & release management procedure is niet actueel en daarmee niet in lijn met de huidige werkwijze en inrichting vanassyst. Managementreactie: Akkoord. Wij adviseren Equalit om de change management procedure op korte termijn te actualiseren. Middel 16
2. Bevindingen en aanbevelingen Change & Release management Ref. Bevinding Aanbeveling 2.6 Wij hebben op basis van één steekproefcontrole vastgesteld dat onderliggende stukken en de uitkomsten van de Change Advisory Board (hierna CAB) meetings niet altijd in Assyst worden geregistreerd, maar mondeling worden gecommuniceerd naar de Servicedesk. Managementreactie: Akkoord. 2.8 Monitoring op de doorlooptijd van changes vindt niet structureel plaats. De servicedesk medewerkers monitoren de doorlooptijd gedurende hun werkzaamheden maar dit vindt niet gestructureerd en periodiek plaats. Managementreactie: Akkoord. Wij adviseren om de beslissingen in de periodieke CAB meetings + onderliggende stukken te documenteren in het helpdesksysteem Assyst. Wij adviseren om monitoring in te richten om actief de doorlooptijd van wijzigingen bij te houden. Indien mogelijk zou de gewenste doorlooptijd van wijzigingen gekoppeld kunnen worden aan het type wijziging in het helpdesksysteem Assyst. Via een rapportage in Assyst is vervolgens direct inzichtelijk welke wijzigingen niet tijdig zijn verwerkt. Tevens verdient het de aanbeveling om deze taak toe te wijzen aan de change manager. Middel Middel 17
2. Bevindingen en aanbevelingen Change & Release management Bevinding Aanbeveling 2.10/2.11 Binnen het huidige change management proces hebben wij via één steekproefcontrole de volgende tekortkomingen vastgesteld voor een niet-standaard wijziging: - Testresultaten zijn niet aantoonbaar in Assyst. - Het akkoord van de applicatiebeheerder om de implementatie uit te voeren in de productieomgeving is niet gedocumenteerd in Assyst. -Het akkoord van de applicatiebeheerder na implementatie in de productieomgeving heeft telefonisch plaatsgevonden en is niet gedocumenteerd in Assyst. Managementreactie: Akkoord. Wij adviseren om de testresultaten en de accordering van de applicatiebeheerders schriftelijke te laten plaatsvinden. De communicatie dient vervolgens geregistreerd te worden in Assyst zodat deze traceerbaar is. Middel 18
2. Bevindingen en aanbevelingen Change & Release management Ref. Bevinding Aanbeveling 2.12 Een procedure en/of werkinstructie ontbreekt voor het bepalen of een FallBack nodig isbij een change. Tevens hebben wij voor één door de Change Advisory Board besproken wijziging vastgesteld dat het FallBack formulier ontbreekt. Managementreactie: Akkoord. In de Change Advisory Board wordt besproken of een fallback noodzakelijk is. Deze bevinding is gebaseerd op een specifiek geval waar het FallBack formulier ontbrak. Wij adviseren om een procedure en werkinstructie op te stellen rondom Fallbacks. Deze procedure dient instructies te bevatten welke afwegingen gemaakt moeten worden of een Fallback nodig is. Tevens dienen de taken, verantwoordelijkheden en bevoegdheden te worden beschreven. Het verdient de aanbeveling om de afweging of een Fallback nodig is te registreren in Assyst, zodat deze altijd terug te vinden is. Indien een Fallback wel mogelijk moet zijn, dan is het aan te bevelen om de getroffen maatregelen te registreren in het helpdesksysteem Assyst. Middel 2.14 Relevante documentatie voor de infrastructuur wordt niet structureel bijgewerkt. Tevens hebben wij vastgesteld dat richtlijnen en procedures voor het bijwerken van documentatie (templates, locaties, etc) bij een wijziging ontbreken. Managementreactie: Akkoord. Wij adviseren om richtlijnen en werkinstructies te definiëren voor het bijwerken van relevante documentatie na het doorvoeren van wijzigingen. Tevens verdient het de aanbeveling om periodiek te monitoren of de opgestelde richtlijnen worden nageleefd en of documentatie nog steeds actueel is. Laag 19