Category Archives: IT Auditing

Rijk heeft nog steeds geen greep op IT

0085-AR-Kst-Aanpak-van-ICT-door-het-rijk_gr

De overheid heeft nog een lange weg te gaan voordat het grip heeft op grote, kostbare en  risicovolle IT-projecten voor de diverse overheidsinstanties. Dit is één van de conclusies in het rapport ‘Aanpak van ICT door het Rijk 2012 – Lessons learned’ van de Algemene Rekenkamer. Dat bevat de neerslag van onderzoek om de doelmatigheid van IT-projecten bij de overheid te verbeteren.

‘De doelmatigheid van ICT-projecten blijkt een terugkerende bron van zorg. ICT-projecten leveren niet altijd de gewenste resultaten op, duren langer dan gepland en kosten meer dan begroot’, schetst de Rekenkamer. Eind 2011 waren er ‘in totaal 49 grote en risicovolle ICT-projecten in uitvoering bij het Rijk. De totale meerjarig geraamde kosten van deze ICT-projecten bedragen ruim 2,4 miljard euro’, haalt het rapport de Jaarrapportage Bedrijfsvoering Rijk over 2011 aan.

‘In ons onderzoek hebben we de vormgeving en toepassing onderzocht van verschillende instrumenten voor de governance van ICT(-projecten), waarin het Rijk de afgelopen jaren heeft geïnvesteerd’, schrijft de Rekenkamer. Daarbij trekt het de vergelijking tussen de stand van zaken tijdens de eerdere onderzoeken hiernaar in 2007 en 2008, en de situatie van afgelopen jaar (2012).

Continue reading

Share This:

Electronisch Documentbeheer. Op zoek naar een normenkader

Johan van der Galien en Chris Schaerlaeckens, beiden EDP Audit-medewerker bij de Belastingdienst studeerden in maart 2011 af voor de Postgraduate IT Audit Opleiding van de Vrije Universiteit Amsterdam. In hun scriptie, die we hier publiceren, gaan ze op onderzoek uit naar een normenkader voor elektronisch documentenbeheer.

De in deze scriptie gevolgde methodiek en de denkwijze inzage elektronische documenten is dermate interessant dat ik het zeer interessant vond toestemming te vragen om het stuk te publiceren. Zeer lezenswaardig en een zeer afgewogen en uitgedacht normenkader, dat vooral voor EDP auditors is bedoeld. Juist vanuit dat oogpunt is het voor iedere informatieprofessional noodzakelijk deze scriptie te lezen.

Voor de scriptie: Elektronisch Documentbeheer Op zoek naar een normenkader.

Citatie: Johan van der Galien, Chris Schaerlaeckens, Electronisch Documentenbeheer. Op zoek naar een normenkader (Amsterdam 2011). Scriptie VU Amsterdam.

Share This:

We leren het nooit ….(zucht)

De IT rondom de Justitiële telecomdatabase is niet op orde. De SLA is niet bijgewerkt, de backup is ongedocumenteerd en het netwerk wordt niet gemonitord. Dit blijkt uit de audit die is uitgevoerd over 2010 op het CIOT (Centraal Informatiepunt Onderzoek Telecomgegevens). Die organisatie houdt een database bij met de telecomgegevens van vrijwel alle Nederlanders, waarin opsporingsdiensten ongebreideld en ongecontroleerd kunnen neuzen.

Het CIOT heeft de helft van de zes aanbevelingen uit de audits van voorgaande jaren uitgevoerd. De overige drie zijn ‘niet of niet volledig opgevolgd’, valt te lezen in het  eindrapport 2010. Dat auditrapport is openbaar geworden door een WOB-verzoek van digitale burgerrechtenbeweging Bits of Freedom.

Uit dat rapport blijkt dat de systemen van het CIOT zijn beveiligd met antivirus die handmatig van nieuwe definities wordt voorzien. Het streven is om de handmatige updates wekelijks te installeren, maar het is onbekend of dat ook altijd gebeurt. De waarschijnlijkheid daarvan is niet erg groot. De logging blijkt ook onvolledig.

Continue reading

Share This:

Kwaliteit digitale archivering onder druk

De Utrechtse archiefinspectie maakt zich zorgen over de toekomstige kwaliteit van de Utrechtse archieven. Overheden gaan steeds meer over van een papieren naar een digitale informatiehuishouding, maar passen hun wijze en organisatie van archivering daar niet (voldoende) op aan. Positief is de inspectie over de uitbreiding van de archiefbewaarplaatsen. Dat blijkt uit het gezamenlijk jaarverslag over 2009-2010 van de provinciale archiefinspecties van Utrecht, Noord-Holland, Zuid-Holland en Flevoland.

Het risico op verlies van bedrijfskritische informatie is groot, omdat de organisatie, formatie en het opleidingsniveau van de archiefmedewerkers bij veel overheidsorganisaties nog niet aangepast is op de digitalisering. Vanwege het volgend jaar in werking tredend nieuwe interbestuurlijk toezicht, waarbij de provincie meer op afstand komt te staan, is het van belang dat de organisaties op korte termijn orde op zaken stellen. Het benoemen van een gemeentearchivaris en het uitvoeren van het horizontale gemeentelijke archieftoezicht door een gemeentelijk archiefinspecteur is daarbij essentieel.

Continue reading

Share This:

Belangrijke rol internal auditor in risicomanagement

28 april 2010

Risicomanagement is een middel dat vaak tot doel wordt verheven en is dan vaak technocratisch. Handboeken omschrijven wat er wanneer moet gebeuren, zoals het regelmatig ijken van het risicoprofiel van de organisatie en het rapporteren over de uitkomsten. Zoals uit de praktijk en uit het onderzoek ‘Risicomanagement in tijden van crisis' blijkt, is dit geen garantie voor adequaat risicomanagement. Zo hoeven niet de juiste risico's gerapporteerd te worden en al worden ze juist gerapporteerd, dan betekent dat niet dat de juiste respons gekozen wordt door management. Onderzoekers van de Rijksuniversiteit Groningen, Nyenrode, NIVRA en PricewaterhouseCoopers kunnen zich niet aan de indruk onttrekken dat risicomanagement meer als schaamlap functioneert dan dat het is doorgevoerd en ingebed in de bedrijfsvoering. Zij vroegen bijna honderd respondenten in het onderzoek de kwaliteit van hun risicomanagement van een schoolcijfer te voorzien; gemiddeld gaven zij zich een 6,5. Op grond van de ingevulde surveys waardeerden de onderzoekers veel lager: een 4,5.

Continue reading

Share This:

NEN stelt norm voor archiveringsfunctionaliteiten vast

24 juni 2008

De NEN-normcommissie Informatie- en Archiefmanagement heeft een eerste norm gepubliceerd, namelijk NEN 2082 Eisen voor functionaliteit van Informatie- en Archiefmanagement in programmatuur. De norm moet de uitwisselbaarheid van metagegevens en archiefcontent bevorderen tussen applicaties en organisaties. Alles wat geautomatiseerd plaatsvindt, moet ook automatisch door de software kunnen worden geregistreerd, zodat altijd reconstrueerbaar is wat er wanneer door wie gedaan is. De norm is van belang voor bedrijven en overheden. NEN 2082 beschrijft de eisen waaraan programmatuur moet voldoen. Het doel is gebeurtenissen in een organisatie accuraat vast te leggen. In de norm zijn de eisen verwerkt uit NEN ISO 15489:2001 Informatie- en archiefmanagement en NEN ISO 23081:2006 Processen voor informatie- en archiefmanagement – Meta-gegevens voor archiefbescheiden.

Continue reading

Share This:

Minder hoofdpijn met Sarbanes-Oxley ?

26 mei 2007

De Public Company Accounting Oversight Board (PCAOB) keurde op 24 mei de nieuwe Auditing Standard No.5 goed, waarbij nieuwe richtlijnen (waarmee de Securities and Exchange Commission akkoord gegaan is) worden gegeven die er op zijn gericht om het makkelijker en minder kostbaar te maken voor publieke bedrijven om aan de auditeisen van de Sarbanes-Oxley Act (SOX) van 2002 te voldoen. De Standaard moet nog wel formeel door de SEC worden goedgekeurd, maar de eerste vraag die beantwoord moet worden is of en hoe deze nieuwe standaard het werk van de gemiddelde ICT-er zal beinvloeden. De PCAOB is een niet-commerciële organisatie die volgens de SOX werd opgericht om toezicht te houden op de auditors van deze wetgeving in het ebdrijfsleven. De nieuwe standaard staat externe auditors toe zich te richten op de meest risicovolle gebieden van de interne controles van een bedrijf en meer gebruik te maken van de resultaten van de auditwerkzaamheden van de interne auditors. Ze zullen zich met name gaan richten op het analyse van het eigen evaluatieproces van het management. Het verheldert dat interne auditors geen mening hoeven te vormen over de adequaatheid van dat proces. De nieuwe standaard staat ook toe om audits aan te passen aan de grootte en complexiteit van het te auditen bedrijf.

Continue reading

Share This:

Op zoek naar de herinnering….

Een reeks artikelen over content als driver van performance

3 mei 2007

In 1995 startte ik samen met Ferdinand Ector een onderzoek naar het effect van content op de performance van organisaties. In 2006 beëindigden we onze laatste praktijkcasus en besloten we onze bevindingen in definitieve vorm vast te gaan leggen. Uiteraard zijn een aantal publicaties in de afgelopen jaren voortgevloeid uit dit onderzoek. Enkele artikelen zijn op vbds.nl gepubliceerd, zoals ‘Building the record keeping system’. In dit artikel hebben wij de gist van ons concept vastgelegd. In de reeks artikelen die onder ‘Op zoek naar de herinnering…’ zal verschijnen zullen wij ons concept tot in detail uitwerken en onderbouwen op basis van wetenschappelijke literatuur en uitgevoerde praktijkcasussen. De kern van onze stelling is dat performance van bedrijfsprocessen slechts te bereiken is als twee prestatiedoelstellingen worden gerealiseerd: doelmatigheid en rechtmatigheid. Beide prestatiedoelstellingen representeren zich middels de informatie- en de verantwoordingsfunctie van de informatiehuishouding van een organisatie. Dat laatste wordt de laatste jaren ook ‘compliance’ genoemd. Wij denken dat rechtmatigheid slechts kan worden bereikt indien een verantwoordingssysteem (ook wel ‘record keeping system’ genoemd) binnen de organisatie wordt geïmplementeerd, dat de kwaliteit van de content, gebruikt voor bewijs- en verantwoordingsdoeleinden, garandeert. Dit verantwoordingssysteem richt zich met name op die content die rechtstreeks gebonden is aan de bedrijfsprocessen waarin ze een rol speelt, en de metadata die betekenis geven aan deze content. In ‘Op zoek naar de herinnering…’ wordt aandacht besteed aan ‘organizational memory’ en ‘content auditing’ als middelen om de verantwoordingsfunctie van iedere organisatie te realiseren. In het verantwoordingssysteem worden context, kwaliteit, waardering, behoud en logistiek van content gewaarborgd. In 2007 en 2008 zullen de overige bijdragen aan ‘Op zoek naar de herinnering…’ verschijnen.

Geert-Jan van Bussel
Ferdinand Ector

Continue reading

Share This:

Informatiebeveiliging en auditing sleutels voor compliance

21 december 2006

Het automatiseren van IT beveiligingsfuncties samen met frequente auditing van gegevensbeveiliging en -authenticiteit verbetert compliance, zo geeft een onderzoek van de IT Policy Compliance Group aan. De organisaties die het meest succesvol zijn in het voldoen aan compliance-eisen besteden $1 aan ICT-beveiliging van iedere $30.000 omzet of beschikbaar budget. Het geld daaraan besteed is meer waard dan de adviezen van dure consultants en andere ingehuurde dienstverleners. Die conclusie trekt de groep in het laatste rapport over de relatie tussen compliance en beveiligingsuitgaven. De groep, vorig jaar gevormd door het Computer Security Institute, het Institute of Internal Auditors en Symantec en voorheen bekend onder de naam Security Compliance Counsel, begon het onderzoek met de veronderstelling dat grotere organisaties meer middelen hadden om ieder complianceproject aan te pakken. Hoewel dit uiteraard waar is, waren ze uiterst verrast te moeten concluderen dat grotere organisaties niet noodzakelijkerwijze beter presteerden dan hun kleinere conculega's, daar waar het gaat om daadwerkelijk compliance te bereiken, zo zegt Jim Hurley, directeur van de IT Policy Compliance groep en onderzoeksdirecteur bij Symantec.

Continue reading

Share This:

De automatisering van het databasebeheer. Wie bewaakt de bewaker ?

11 maart 2006

ICT managers doen hun uiterste best om alles bij te houden wat te maken heeft met compliance, beveiliging en het toepassen van verbeteringen. In de praktijk blijkt echter zeer regelmatig dat er een ding is dat wordt vergeten: de beveiliging van de database. Dat heeft te maken met een zeer fundamentele vraag, namelijk wie nu eigenlijk de data controleert. Databases blijken namelijk het ongeveer laatste bastion te zijn van handmatige beheershandelingen. Ze hebben Database Administrators (DBA’s) nodig om een aantal handmatige processen uit te voeren noodzakelijk om het benodigde beheer uit te voeren. In de meeste gevallen heeft een DBA volledige en ongehinderde toegang tot en controle over de databases die zij beheren. Dat op zich is niet erg; wel dat zij niet of nauwelijks verantwoording daarover afleggen en hun werkzaamheden niet of nauwelijks worden gecontroleerd. Zelf de meest rigoreuze compliance-controles binnen het databasebeheer kunnen door iedere DBA worden omzeild.

Geert-Jan van Bussel


Continue reading

Share This:

Procedure voor een software audit

Tool 5

Ontwikkeldatum:
8 mei 2003

Ontwikkeld door:
Van Bussel Document Services V.O.F.

Status:
Versie 3.7.

Versiedatum:
4 januari 2006

Verspreiding:
Vrij te gebruiken met vermelding van copyright

Copyright:
Van Bussel Document Services V.O.F.

Taal:
Engels

Korte introductie:
Een diepgaande software-audit wordt slechts sporadisch uitgevoerd, zo merken wij in onze praktijk regelmatig. In 2003 hebben wij daartoe een procedure uitgewerkt om deze audits op een gestructureerde manier uit te voeren. Zeker met de steeds grotere nadruk op compliance is het toetsen van applicaties op hun werking een belangrijke operatie geworden. Ook voor document- en records managementapplicaties is (gezien hun bedrijfskritische betekenis) een periodieke audit noodzakelijk.

Download tool.

Share This: