際際滷

際際滷Share a Scribd company logo

NOREA Update congres 2007 incl notes

Jurgen van der Vlugt
Jurgen van der Vlugt
1 of 36
NOREA/VERA Update ICT & Control 28-29 november 2007 Voortgezette Educatie Registeraccountants Kundig Adviseren is een Kunst(je) Jurgen van der Vlugt Noordbeek IT Audit Jurgen@Noordbeek.com (Sessie B1) Deze notes pages zijn slechts indicaties van de te bespreken of, al of niet per ongeluk en/of door tijdgebrek, overgeslagen onderwerpen, kanttekeningen en gerelateerde onderwerpen Deze presentatie bevat dus te veel stof, en ook veels te weinig! Alle (opbouwende) commentaren en met name aanvullingen, worden zeer gaarne ontvangen op bovenstaand mailadres. Of bel 06-20664823 of mail voor een in-house discussie
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 2 Wie ben ik? KPMG: WinNT Y2K ABN AMRO: Blueprint consolidatie (business, non-business) Outsourcing Security integration & cybercrime Noordbeek Mgt.control & InfoSec Ooit begonnen bij KPMG, vanuit de techniek (audit en advies) naar Y2K (advies en beetje audit) o.a. in Griekenland en Cara誰bisch gebied ABN AMRO: Group Audit Corporate Centre Blueprint: Alle IT consolideren (voorzover niet AAB-specifiek) Outsourcing: De grote deals, qua control en inhoud Security integration, cybercrime: Structuren doordenken, neerzetten, uitrollen Noordbeek: Full scope audit en advies De plaatjes zijn werklocaties van het Y2K-auditwerk (echt waar) Mocht uw organisatie advies nodig hebben op soortgelijke locaties, dan houd ik me ten zeerste aanbevolen en offer me wel weer op
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 3 Inleiding, aanleiding, agenda NOREA: IT-audit = ( IT-audit + Advies ) IT-audit Assurance Uitgekauwd IT-Audit Advies ? Typologie van advies Kwaliteit, criteria Principes, rules? NB REs en NOREA staan voor Al hetgeene dat op de kwaliteit van de informatieverwerking eenige betrekking heeft 1e bullet wegens de recursie (priv辿-hobby). Ondanks alle SOx- en andere reguleringsontwikkelingen (ethisch perverse ontwikkelingen maar dat terzijde) 2e bullet: Hoewel, uitgekauwd In ieder geval qua procedurele aspecten. De inhoudelijk-kwalitatieve aspecten daarentegen En onverlet het stukje Natuurlijke Adviesfunctie dat vrijwel altijd van boord valt, blijft alleen de aanbevelingscomponent in de Bevinding open. Zie verderop. De adviescomponent is wegens ongeregeldheid tot nu toe (te) onderbelicht. Maar als REs (en RAs) en zeker als NOREA zou je toch willen dat je kwaliteitsgaranties kan bieden, ook op dat terrein En oh ja: Mobieltjes gaarne op stil.
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 4 Model (CHBr) Statuten Vereniging HHR Tucht Toelating Etc. Reglement Gedragscode Uitvoeringsrichtlijnen e.g. Opdrachtverwerving, Dossiervorming, Rapportage, PE Inhoudsrichtlijnen e.g. Raamwerk Assurance, Richtlijn Oordelen Attest (Assertion - based) Direct reporting Assurance In business Advies ? ? ? Reglement Beroepsbeoefening ? Handreikingen; Studierapporten, De EDP-Auditor Ad-hoc Commissie Herziening Beroepregels (CHBr): Code of Ethics (Reglement Gedragscode) ingevoerd dus Losse eindjes in GBRE et al Behoefte aan nieuwe structuur, architectuur Bovenstaande is nog niet officieel; met name het rechterstuk is nog redelijk blanco, terra incarta en nog niet in beton gegoten Maar het Advies-blok is dus juist w辿l onderwerp van deze presentatie. In Business is nog vager; deels van later orde in de andere parallelsessies in deze stream. En het is het toch niet te veel gevraagd het Reglement Gedragscode te hanteren ..?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 5 Inleiding, aanleiding, agenda NOREA: IT-audit = ( IT-audit + Advies ) IT-audit Assurance Uitgekauwd IT-Audit Advies ? Typologie van advies Kwaliteit, criteria Principes, rules? NB al het volgende ten minste deels speculatief Deze presentatie heeft 3 delen Eerst over typologie van advies. Enige initi谷le analyse leert dat het waarschijnlijk daaruit is dat de meest hanteerbare richtlijnen voor (aan)sturing richting levering van (procedureel en inhoudelijk) deugdelijk advies zullen volgen Of althans kwaliteitskenmerken en criteria, handvatten voor richtlijnen Tot slot komen met referentie aan de typologie regel-achtige voorstellen aan bod Nota bene: Pretenties heb ik wel, maar niet dat het volgende verhaal overal zinvol en perfect is. Nogmaals, commentaar is welkom
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 6 Typologie van advies Janus; onzekerheidsreductie ..? Natuurlijk advies en Aanbevelingen Kennis en over de Toekomst Keuzes; Binair, selectief (gesloten of open), exploratief Scenarios en schetsen van mogelijkheden Trechters, trendbreuken en tectoniek
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 7 Janus (I) Fringilla Coelebs: gewone vink (Herseninhoud 0,8gr) Audire Tele-videre Naar links het audire, horen, hetgeen een relatief passieve bezigheid is en als auw-duur! klinkt Naar rechts het (tele)videre, (ver)zien, relatief actief? Daarbij aansluitend op persoonlijke noot dat televidere verslavend werkt
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 8 Janus (II) Voorspellen is moeilijk, Zeker als het de toekomst betreft Feiten (?) Objectief vaststellen ?? Herhaalbaar (?) Zekerheid (?) Juistheid stelling Algoritmes (!) Waarheid bestaat niet Mogelijkheden Willekeurige waarneming (?) Niet herhaalbaar (?) Zekerheid (!) Wat de toekomst brengt Keuzes Toekomst is niet onzeker Er zijn nog wel meer typische verschillen aan te geven: Links onder andere dat het soort werk risico-mijdende, menstype B introverte types trekt, wat die niet (her)kent dat vreet ie niet Rechts daarentegen de thrill seeker menstype-A, open-minded en extravert, attent op weak signals; soms ook rijp voor buzzword bingo
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 9 Natuurlijk advies en Aanbevelingen Natuurlijke adviesfunctie: bemoeials Bevindingen Criteria Norm Condition -/- Vaststelling Risk Tekort Cause Oorzaak Recommendation Aanbeveling: Tekort weg? De natuurlijke adviesfunctie vervalt vrijwel altijd tot buiten de opdracht vallende bemoeizucht, afgewezen Het stramien voor bevindingen is zo oud als Alle mensen zijn sterfelijk Socrates is een mens Ergo De oorzaak wordt te vaak vergeten of veel te dicht bij huis gezocht Daardoor zal de aanbeveling: Werk het raffeltje weg onhaalbaar blijken, en/of irrelevant. De oorzaak van het raffeltje moet worden aangepakt anders gaat het morgen weer fout. En de oorzaak en werkelijke oplossing zijn soms veel omvangrijker dan de scope van de bevinding toelaat. Bovendien: Wie is verantwoordelijk oftewel aanspreekbaar voor de implementatie van de oplossing? Zelden degene waar het raffeltje werd aangetroffen. Bovendien: Wie heeft tijd om bij ieder raffeltje de root cause na te speuren en een haalbare oplossing uit te stippelen ..!? Niet de sterfelijkheid van Socrates is een probleem, maar de sterfelijkheid van mensen. Ga dat eerst maar eens oplossen gewenst ?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 10 Kennis Op de filosofische toer: Waarheid versus werkelijkheid (Platos grot) Epistemologie Formele Theorie (G旦del?), Kuhn/Lakatos Deductie versus inductie Vreest niet als u deze niet allemaal kunt dromen. Dit is slechts buzzword bingo met filosofische pretenties [mislukt, geef ik graag toe] Maar een discussie over verleden en toekomst en feiten komt onvermijdelijk op vragen als: Hoeveel zekerheid kunnen we bereiken? Is de zekerheid binnen mijn hoofd wel terecht, en heeft die betrekking op het beeld dat ik in mijn hoofd heb of heeft die betrekking op de werkelijkheid, whatever dat is? Epistemologie = kennistheorie Eerste relevante is het eindstuk: Formele Theorie. Een theorie is in formele zin een handvol axiomas en zogenaamde productieregels die op basis van de axiomas afgeleide feiten produceren, en op basis daarvan weer volgende, verderweg liggende. Wetenschappelijke doorbraken volgen uit het voor een keertje niet hanteren van een axioma, of de omkering hanteren. Of iets andere productieregels. D叩n springen we ineens van de klassieke natuurkunde naar de quantummechanica enzo. Kuhn en Lakatos lieten zien dat zon formele theorie zn eigen wereldje en groupthink geeft, en dat een ander clubje net zo goed gelijk kan hebben, binnen hun eigen denkraam. G旦del stelde (later bewezen!) dat iedere theorie uitspraken kan opleveren (die dus waar zouden moeten zijn) die in tegenspraak zijn met andere uitspraken binnen de theorie (die ook waar moeten zijn). Oftewel: Kunnen we ooit zeker zijn? Zelfs over het verleden niet! En komen we wellicht tot doorbraakadviezen door de (vaak impliciete) regels te breken ? Tweede relevante is deductie versus inductie. Werken we niet al te veel met Best practices !?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 11 Kennis en over de Toekomst Kennis Van de adviseur, niet-herleidbaar, van de vorige klanten van de adviseur, van leveranciers van oplossingen, van de markt (benchmarks, enqu棚terapporten) Onbewust/bewust, expliciet/impliciet Van gisteren en van vandaag. En van morgen? 200 brainstormmethoden Schr旦dingers kat en multipele universums Kennis (vervolg), waar haal je die vandaan? Bijvoorbeeld van het expliciteren van impliciete kennis, door brainstormen Kennis gaat over feiten (axiomas) en methoden (productieregels), hoe verder de toekomst in vanaf nu, hoe onzekerder dat de oude modellen nog houden Brainstormen alleen al kan op 200 (iets) verschillende manieren En er zijn nog zo veel meer methoden van kenniselicitatie Of je gelijk hebt over de toekomst weet je dan pas en dan kan je niet meer terug, bovendien kan je, door je actie vandaag, de toekomst be誰nvloeden en nog een filosofisch nootje tot slot, als disclaimer in het vooruit: De werkelijkheid h叩d zich kunnen ontwikkelen zoals het de adviseur goed uit zou zijn gekomen ?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 12 Typologie van advies Janus; onzekerheidsreductie ..? Natuurlijk advies en Aanbevelingen Kennis en over de Toekomst Keuzes; Binair, selectief (gesloten of open), exploratief Scenarios en schetsen van mogelijkheden Trechters, trendbreuken en tectoniek Nu dan het echte werk. Een tweedeling.
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 13 Keuzes; binair Binair: Iets doen of niet Existentie of niet van 1 oplossing Advies: Bijdragen inzicht Kwaliteit van de business case Consequenties Externaliteiten Mitigerende acties Direct, k.t., l.t. Auditing (?) Dit is de basisvorm Het advies zal de vorm krijgen van een volledigheidscheck op de business case Neigt naar auditing ..? Is overigens niet risicoloos: Wat als de adviseur wat heeft gemist?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 14 Keuzes; selectief (gesloten) Beste oplossing Pakketselectie (?) Soms in wezen (o.b.v. criteria) g辿辿n oplossing, of criteria leiden tot tegenstrijdige rangvolgordes Investeringsportefeuille Projectenportfeuille (incl. potenti谷le) Universum begrensd (bekend) Doel begrensd Nog steeds: een gesloten vraag, een liefst eenduidig antwoord Het gaat ook om advisering richting beste alternatief Vele praktische varianten. Onder andere richting (audit en) advies bij procurement-zaken; zie Rob Christiaanse in een andere parallelsessie Maar we moeten (?) niet meegaan met de neiging om bij nader inzien sommige criteriawegingen wat minder strikt te hanteren zodat er uitkomt wat wenselijk is Ook al kan het zijn dat geen enkele oplossing op alle showstoppers voldoet Het universum waaruit kan worden gekozen, is misschien wel begrensd maar het kan ook van onze zin afhangen hoe ver we zoeken. Is risicovol; misschien is de perfecte (punt)oplossing er wel maar buiten beeld Anderzijds, Google is uw vriend Denk als methode ook nog eens aan die goeie ouwe SWOT-analyse. Mits (!) goed toegepast, nog altijd bruikbaar
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 15 Keuzes; selectief (open) Begrensd! Doel Onbegrensd universum (onbekend) Criteria? Wat kan Overigens glijdende schaal met vorige Wat kunnen we doen? 1 probleem/doel, in principe onbekend c.q. onbegrensd aantal oplossingen Vaak zijn de criteria ook onbekend, want het is nog onduidelijk Wat we willen doel is oplossen van een probleem, welke richting de oplossing ligt en/of hoe we daar komen, is nog onbekend en Wat we kunnen de inventaris van oplossingsrichtingen Hetgeen natuurlijk tot het risico leidt dat de criteria al een voorkeur krijgen ingebouwd Zoals gezegd bij vorige (gesloten selectief kiezen): Het ligt natuurlijk aan de energie (het budget? ;-]) hoe ver, lang en goed wordt gezocht dus in hoeverre voorbij de standaard riedel oplossingen wordt gekeken
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 16 Keuzes; exploratief Wat kan, bestaat Wat werkt? O.a. test/proef, pilot! Onbekend universum Onbekend doel De meest fuzzy soort zoekopdracht Kijk eens wat de mogelijkheden zijn op het gebied van xyz Wat moeten we met abc Laten we eens brainstormen over ..? Testen en proeven horen in dit rijtje, om te bezien of en hoe iets werkt en wat de uitkomsten en (neven)effecten kunnen zijn Pilot dus Het universum aan mogelijkheden is onbekend, de feitelijke invulling van de werkzaamheden is dus ad hoc Het doel is ook niet zuiver gesteld, of op een hoger abstractieniveau dan de werkzaamheden (ervaring opdoen met) Maar er moet overigens wel een besluit worden genomen; men kan dus in ieder geval niet hetzelfde blijven doen
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 17 Tussen Keuzes en Scenarios Voorgaande: Zelf doen Intern gericht Keuze maken/besluiten Uitloop in externaliteiten Volgende: Omgevinggericht Impact van buiten op binnenwereld Bijsturing: nieuwe of alsnog bestaande doelen Trendwatching Intern ExternBinair Open Invloed Als het gaat om keuzes, is dat een interne aangelegenheid, wellicht met effecten buiten de eigen scope; jammer dan (externaliteiten = collateral damage, op anderen afgewenteld) Scenarios betreffen meer het voorzien van de omgeving, welke impact die gaat hebben, en of daarop zal moeten worden ingespeeld passief altijd want niets doen is ook iets doen ;-] of wellicht actief de mogelijkheden/kansen gaan benutten eigenlijk zouden beide zaken om en om moeten gebeuren, in een kringloop van scenario-analyse, leidend tot keuzes inzake eventuele nieuwe doelen, aanpassing aan de wegen om naar de doelen (oud of nieuw) te komen, die (doen) uitvoeren, waarna opnieuw scenarios kunnen worden afgezocht naar nieuwe mogelijkheden Denk aan Blaise Pascal: Het verleden en het heden zijn onze middelen, alleen de toekomst is ons doel Trendwatching staat op de ranglijst van maatschappelijk aanzien ex aequo met zowel accountant als paaldanser in een homoclub (zelf zou ik accountant niet zo hoog inschatten), is dus een eerzaam beroep ;-] en mits u spreker inhuurt, geen kwakzalverij (No offense voor paaldansers of die clubbezoekers!)
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 18 Scenarios; trechters Kokervisie, het vertrouwen van Been There, Done That, meer van hetzelfde Simpele trechter: vertrouwen op beheerste verandering Exponenti谷le trechter: vertrouwen op non-lineariteit Onderzoeken hoe het Was, vooral en beetje Is, om te bepalen hoe het Wordt? De kokervisie onderschat de veranderlijkheid van de werkelijk-heid, en is een complexiteitsreductie die zo ver gaat dat wel de eigen geestelijke beperking tegemoet wordt gekomen, maar ook het model van de werkelijkheid onbruikbaar ver versimpeld is (Einstein: Je moet alles zo simpel mogelijk maken, maar niet simpeler, zelfs hij onderkende dat niet alles echt simpel te maken is!) De simpele trechter is al iets beter De exponenti谷le trechter gaat er vanuit dat ook niet-lineaire ontwikkelingen mogelijk zijn (en waarom zouden we die uitsluiten in the first place?) Maar alledrie gaan uit van algoritmische voortzetting van huidige ontwikkelingen (of nul-ontwikkelingen) en/of feedback-loops die (model- )afwijkingen onderdrukken. Beperkt de visie wel heel erg. Als de meerderheid altijd gelijk krijgt en bepaalt, wat is dan het nut van minderheid-zijn? Dit denken kan, voor de korte termijn en als (bereiken van) stabiliteit het doel is. Denken dat nooit iets wezenlijk verandert, levert dinosauri谷rs en het altijd net te laat zijn door achter anderen, innovators, aan te sjokken. Komt vaak voor! Benchmarkrapporten, opvolgen van enqu棚te-resultaten anyone? Dat is de waarheid van gisteren; werkt die morgen nog..? (I.e., het is bijna alleen terugkijken, niet vooruit)
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 19 Voorbeeld: Kies de huidige stand (Waarvoor dank) Twee Magic QuadrantsTM als voorbeeld (bron: Gartner) De samenstelling is wellicht niet heel transparant, maar de gidsende functie is duidelijk, en veelgebruikt. Niet geheel ten onrechte. Maar let op: de completeness of vision wil niet zeggen dat de diensten die we willen, voor ons exact op maat zijn. Misschien is onze behoefte juist wel een bijziende, gefocuste aanbieder? En constante verschuivingen geven aan: Het gaat om de stand van vandaag/gisteren.
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 20 Voorbeeld: Kies wat zich heeft bewezen (Waarvoor dank) Ander voorbeeld: de Gartner hype cycleTM? Die al wat meer kijkt naar de toekomst. Omineus is het ontbreken van de omvang van de markten. En voor de klant-organisaties wordt al helemaal niet aangegeven hoe groot de impact kan zijn, intern en/of op naar buiten geleverde producten of diensten en/of marktomvang. Als het gaat om trechters, gaat het ook vooral om het rechterstuk: Wat is volwassen genoeg om te implementeren? En hier duidelijk ook: Zijn onze concurrenten ons niet voor, in de zin dat we de competitive advantage niet meer kunnen halen? Altijd afwachten of het wat wordt, betekent ook altijd genoegen moeten nemen met de kruimels van optimalisatie (kosteneffici谷ntie).
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 21 Scenarios; trendbreuken Reeds zichtbare/identificeerbare inputs, algoritme-tot-effecten onbekend Economies of scale Innovatie Momenten van creatieve destructie (Schumpeter) Opportunity Threat Innovatie Vrijwel altijd is het iets dat al zichtbaar was voor wie scherp ziet, dat een trendbreuk veroorzaakt. Maar hoe de uitwerking is, en waar het kritieke punt ligt, is vaak pas achteraf te bepalen. Wij trendwatchers zitten in de bioscoop en schreeuwen het uit bij iedere haai die we zien (Cassandra, Boy Cried Wolf etc.) ? Sommige doorbraken worden veroorzaakt doordat een partij (als eerste) de economies of scale ziet en weet uit te buiten Dit kan als de economies of scale niet constant zijn; de eerste die een bepaald (adoptie)niveau weet te bereiken, demarreert daarna Of er is echt sprake van een innovator, first mover of een early adoptor van andermans idee Denk aan network effects: Een run-away kettingreactie van adoptie (De term innovatie hoort soms bij incrementele ontwikkeling, soms is de term beperkt tot het doorbraak-concept.) Meestal is er wel sprake van creatieve destructie; degenen die niet opletten, worden opgegeten.
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 22 Scenarios; tectoniek Grote, maatschappelijke ontwikkelingen (Megatrends), lange termijn! Slecht kwantificeerbaar, hypothetisch karakter Tectoniek als term voor grote ontwikkelingen die de hele maatschappij veranderen Voorbeelden: Boekdrukkunst, stoommachine, explosiemotor, lucht- en ruimtevaart, Internet. Door de eeuwen heen exponenti谷le versnelling van de sneeuwballen, zeker als we kleinere schaal in acht nemen. Denk ook aan een term als Tipping Point De visgraat is een nogal opgerekte vorm van een Ishikawa-diagram, normaliter op kleinere scope gebruikt voor analyse van oorzaken en een gevolg. Kan met deeloorzaken etc. De visgraat is wat uit beeld geraakt voor scenario-analyse; terecht want wie weet de oorzaken en effecten goed te benoemen? Beter is om meer vrijheid te nemen. Voorbeeld: Van computer via chip, PC en netwerk naar Internet Ander voorbeeld: Radiohead verkoopt CD In Rainbows online, wat de gek ervoor geeft. Dat sluit platenlabels, CD-branders, winkels uit. Consument is goekoper uit, Radiohead krijgt 5x zo veel in royalties. Alleen de middlemen, tsja. Ook de trend richting ontkenning van klassieke copyrights is er zo een. Kleiner voorbeeld: DVDs die tegelijk met de bioscooprelease uitkomen Andere voorbeelden: Zie sommige zaken op Gartners hype cycle (voorin) Voor ons relevant voorbeeld: IT Doesnt Matter (Nick Carr) Vaak pas achteraf te herkennen ;-[
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 23 Voorbeeld: ABN AMRO Government Bureaucracy Free society Of individuals Collectivity Individualism Scenario-analyse uit het verleden geeft geen garantie voor de toekomst Maar wel bruikbaar in vele situaties Van alle nieuws-gebeurtenissen wordt bepaald in welke richting die wijzen; per kwartaal kan een Stand van Zaken worden gerapporteerd Moeilijkheid blijft natuurlijk: Wat zijn de (Informatievoorzienings- en IT- )consequenties voor de korte termijn, waar moet op worden ingezet?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 24 Voorbeeld: Shell Shell is van oudsher h辿t voorbeeld van scenario-analyse voor strategische planning. Dit is de trilemmatriangle. Zie www.shell.com/static/aboutshell-en/downloads/ our_strategy/shell_global_scenarios/exsum_23052005.pdf (1 regel): Zeer de moeite waard! Bedenk wel weer: We zullen als IT-auditorsadviseurs wel altijd moeten kunnen downdrillen naar informatievoorziening-relevante consequenties. Intellectuele stretch!
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 25 Inleiding, aanleiding, agenda NOREA: IT-audit = ( IT-audit + Advies ) IT-audit Assurance Uitgekauwd IT-Audit Advies ? Typologie van advies Kwaliteit, criteria Principes, rules?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 26 Kwaliteit, criteria (I) Kwaliteit: Value for money Criteria, aspecten? Inhoudelijk Proces-, procedureel Inhoudelijk: Ingewikkeld Procedureel: Redelijk klassiek verwachtingsmanagement
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 27 Kwaliteit, criteria (II) Inhoudelijke kwaliteit: Objectiviteit, herhaalbaarheid Passendheid, Haalbaarheid, implementeerbaarheid? Passend bij opdracht, organisatiestructuur, informatie- en IT-architectuur en -infrastructuur Mandaat, control span, budget Maturity / managementcompetentie, change-ervaring Stretch van het advies (tijd, scope) Rijpheid van de aanbevolen technologie Zie ook parallelsessie Ren辿 Matthijsse Objectiviteit heeft betrekking op het object, het advies! Objectiviteit betekent met name: herhaalbaarheid, door anderen, bedoeld om het advies van Zwarte Magie i.e. impliciete kennis te ontdoen oftewel expliciet te maken hoe & waarmee het advies totstandkwam Het subject, de adviseur, hoeft niet objectief te zijn ..! Als de adviseur maar duidelijk maakt wat haar/zijn voorkeuren zijn Passendheid is helder. Kan ook zijn: Breken met regels omdat anders geen nuttige oplossing voorhanden is Haalbaarheid van de oplossing is een belangrijke, niet alleen wegens commercieel belang (return customers) De klant(contact)persoon moet wel het mandaat, de span of control en het budget hebben om het advies te implementeren, of ermee de boer op te gaan, anders is het zinloos advies Managementcompetentie en change-ervaring idem, anders wordt het advies verkeerd ge誰mplementeerd en dan is dat de schuld van het advies en van de adviseur De stretch hangt hiermee samen, deze moet wel samenvallen met de horizon waarop de klant acteert anders is het ofwel te hoog ingeschoten (en wordt het advies als dictaat naar beneden gedouwd), ofwel de klant mag zn plan niet afmaken (praktijk) Met name als we over IT adviseren: Kan de technologie wel worden ge誰mplementeerd, nu al? Is die voldoende uitgekristalliseerd en/of is het geen dead-endontwikkeling? Ren辿 Matthijsse zal toelichten hoe adviezen aankomen Implementeerbaarheid is ook: Wat doen we morgen om te werken aan het 20-jarenplan ..?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 28 Kwaliteit, criteria (III) Relevantie, volledigheid Toekomstvastheid, robuustheid Context, bandbreedte van geldigheid Voortschrijdend inzicht? Houdbaarheid van het advies Contingencies, contingenties Hoeveel marge ten opzichte van ander advies? Hardheid advies v.v. flexibiliteit Strategy lock-in, vendor lock-in? Toegevoegde waarde = verrassingseffect? Nieuwe inzichten v.v. vastgeroeste idee谷n Productieregels of axiomas bijgesteld/losgelaten Relevantie gaat over de mate waarin het advies de vraag beantwoordt Volledigheid gaat over de mate waarin alle relevante omgevings- (f)actoren etc. zijn meegenomen Toekomstvastheid en robuustheid geven enige beperking aan de hardheid van het advies. Dit moet zodanig worden geformuleerd, dat het advies (enigszins) bestand is tegen een toekomst die zich anders aan ons voordoet dan wij hadden gedacht en ge谷ist Dit geldt zowel in de breedte (hoe variabel is het advies al of niet interpreteerbaar, zodat niet op slag het advies verkeerd wordt) als in de lengte (als de toekomst zich iets anders ontwikkelt, is dat tijdelijk en komt het nog goed of moeten we gaan bijstellen?) Ook moet rekening worden gehouden met nog on-begonnen mega-trends, die over x jaar plots impact beginnen te krijgen. En contingen-cies, mega- trendbreuken die we in potentie al kunnen voorzien Mede aan te geven: Wat moet/mag/kan veranderen aan de omgeving opdat we een ander advies als beste zouden moeten geven? Anderzijds, de slag om de arm moet niet te ruim worden want dan raken we niks meer En toegevoegde waarde moet, zelfs als we de klant shockeren ;-] Juist het verrassende inzicht is vaak het meest waardevol. De klant moet mee in de heli voor de blik.
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 29 Kwaliteit, criteria (IV) Procedureel: Vooraf: Integriteit van de adviseur, kennis, objectiviteit, resultaat Tijdens: Zichtbaarheid, transparantie, logging Na: Toetsing, afhandeling Integriteit van de adviseur: Heeft ook betrekking op ethiek en rekening houden met de consequenties voor de stakeholders ..! Kennis terzake: Vaststellen dat de adviseur wat kan toevoegen Objectiviteit: Geen stokpaardjes, niet al te zeer in herhaling vallen (Powerpointcopier), rekening houden (ten minste transparant zijn!) met eigen belang (financieel, maatschappelijke positie en reputatie) van de adviseur Resultaat: Of het een dik rapport wordt, een memo met plaatjes of alleen plaatjes Zichtbaarheid: Aanwezig zijn, laten zien dat aanbevolen methode wordt gevolgd Transparantie: Zeker ten aanzien van de bronnen en (mate van) gebruik van methodes, data, oplossingen Logging: Traditionele dossierstukken (incl Transparantie-items) Toetsing: Met name t.a.v. haalbaarheid en zo Afhandeling: Traditioneel
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 30 Principes, rules? (I) Wel advies na audit, geen audit na advies Verwachtingsmanagement: Welk type advies Scope en beperkingen/randvoorwaarden (inhoudelijk) Afhankelijkheden Rorty: vocabulaires; deconstructivisme Doel Keuze/scenario-universum Veronderstellingen, geldigheidsmarges De eerste is in wezen een omspannende, heeft geen betrekking op advies-sec: De adviseur zal voorkomen in een situatie te worden geplaatst waarin haar/hem, of enige auditor in een afhankelijkheidsrelatie met haar/hem, wordt gevraagd een audit uit te voeren over enig object waarvan te beoordelen kwaliteitsaspecten mogelijk zijn be誰nvloed door een eerder advies van haar/hem, of van enige auditor in een afhankelijkheidsrelatie met haar/hem De adviseur zal in de opdrachtaanvaarding tot uitdrukking brengen welke vorm van advies zal worden beoogd te worden uitgebracht De adviseur zal de reikwijdte van het advies overwegen en in het dossier notitie maken van de overwegingen, en zal deze in de opdrachtaanvaarding weergeven De adviseur zal de beperkingen en randvoorwaarden waarmee de werkzaamheden zullen worden en zijn uitgevoerd in de opdrachtaanvaarding en in het resultaat aangeven De adviseur zal aangeven welke aannames, vooroordelen en voorafgaande verwachtingen, zoals in ex-ante bekende mogelijke oplossingen en oplossingsrichtingen, verwerkt c.q. als uitsluiting van andere alternatieven, in objectiviteit niet noodzakelijk van toepassing zijn en/of met welke daarvan in het uitgebrachte advies geen rekening is gehouden De adviseur zal bij de rapportage over de opdrachtuitvoering de randvoorwaarden en beperkingen aangeven, in het bijzonder de overwegingen ten aanzien van de voorwaarden in context en in de uit het advies mogelijk volgende acties, die de toepasselijkheid van het advies be誰nvloeden De adviseur zal bij opdrachtaanvaarding aansprakelijkheid voor/door opvolging van het advies uitsluiten Richard Rorty: Contingency, Irony and Solidarity (1989): Paradigmas zijn altijd vocabulaires die onderling niet met elkaar kunnen communiceren, zelfs niet met argumenten die zijn toch alleen maar geldig binnen de eigen vocabulaire http://www.elsewhere.org/pomo : Uw eigen post-modernistische deconstructivistische pamflet- generator If one examines cultural postpatriarchialist theory, one is faced with a choice: either reject conceptual desublimation or conclude that consciousness is capable of significance. The premise of Marxism holds that discourse comes from the collective unconscious. enz.enz.
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 31 Principes, rules? (II) Procedureel: Trans pa ran tie Gevolgde proces, modellen, methoden Zoek-effort, kennisbronnen Uitingsvorm (brainstorm, klankbord, rapport, plannen, presenteren) Advies sec Acties (eventueel) (Zie volgende pagina over ethiek, vooringenomenheid etc.) De adviseur zal verslag doen van <vul in uit de sheet en kleur de plaatjes enige oefening in Powerpoint is nooit weg> De adviseur draagt zorg voor werkwijze en vastlegging van werkzaamheden en werkresultaten op een wijze dat, naar redelijkheid en billijkheid, ingericht en toepasselijke, kwaliteitstoezicht en controle, mogelijk is en niet op voorhand wordt verhinderd
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 32 Principes, rules (III) Ethiek De adviseur zal de reglementen inzake opdrachtaanvaarding, dossiervorming en rapportage in acht nemen (default) Wellicht uit de Code / Reglement Gedragsregels expliciet te maken, bijvoorbeeld: De adviseur zal in de opstelling en het uitbrengen van advies overwegen welke belangen van alle stakeholders worden be誰nvloed, in welke mate dat gebeurt, noodzakelijkerwijs of mogelijk, en of de effecten van deze mogelijke invloeden binnen algemeen geldende ethische en culturele normen aanvaardbaar zijn. Dit voorbeeld om te voorkomen dat (hyper)rationeel juiste adviezen worden gegeven die leiden tot ongewenste consequenties. Denk aan de banaliteit van het kwaad, of aan het vlak voor Kerst ontslaan van 20% van de medewerkers en we zien later wel wie het betreft Integriteit is kaassie. Loyaliteit, vooringenomenheid, belangen: Het is niet z坦 erg; als mar vooraf en achteraf duidelijk wordt gemaakt aan de opdrachtgever wat die belangen zijn en in welke mate deze het advies hebben be誰nvloed Ook: De adviseur zal aangeven welk belang hij mogelijk heeft bij aanvaarding van het advies. Dus als het advies werving inhoudt voor een vervolgopdracht, dat expliciet aangeven Zie verder ROA Raad van Organisatie-Adviesbureaus / OoA Orde van Organisatiekundigen en Adviseurs
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 33 Principles; rules? (IV) Kan dat intern, of alleen extern? Intern: Kennis van organisatie Haalbaarheid Middenin dagelijkse waan Frisheid Jan van Praat Extern: ≒ AdviesAdvies In het thema van de Update: Kan een interne auditor/adviseur wel adviseren, of kan alleen een externe dat? De interne kent weliswaar zijn organisatie door en door, met verbeterde haalbaarheid van de adviezen als mogelijk gevolg mogelijk! want het ontbreekt nogal eens aan de nadruk daarop Door middenin de strijd van alledag te staan, verliest de interne natuurlijk aan frisheid. Ook de frisheid van de helikopterblik kan wel eens teruglopen Desalniettemin zal een flink deel van de richtlijnen ook van toepassing zijn op CCRCR; denk bijvoorbeeld eens aan haalbaarheid en stakeholders- effecten (w.o.: spreken we wel de juiste verantwoordelijke aan met een Bevinding/afkeuring/aanzet tot actie? Wie heeft het juiste mandaat ?) Jan van Praat zal hier in een andere parallelsessie op ingaan Oh en er is natuurlijk het (grote) risico dat een interne auditor zn eigen advies tegenkomt, met een groot risico dat zij/hij dan het eigen advies zou moeten auditen !? Omdat bij advisering juist vaak de frisse blik van buiten wordt gevraagd waarom kwamen de interne goede bedoelingen niet door ? is een externe nodig Het externe advies is daarom dus goud waard (motto: declareren is vooruit zien)
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 34 Samenvattend Audit en Assurance: Boring Janus Advies is w辿l leuk Keuzes versus scenarios Kwaliteit, criteria Principes, rules Nodig Nuttig want U wilde een toelichting op een samenvatting van een lang verhaal met uitgebreide toelichting?
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 35 Afsluitend Niemand hoeft kunstjes, iedereen kunst Kunst is kundig adviseren Weest een kundig kunstenaar Kundig wil zeggen: Ken de regels Weet welke regels te breken, welke niet/nooit ..! Weest origineel, met mate of onmatig veel
NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 36 Het Einde der (spreek)Tijden Is Nabij (Voorspelling of advies?) Vragen ? Zijn er nog vragen over het gepresenteerde? Zijn er nog vragen over het niet-gepresenteerde? Ik zal vandaag en morgen (fysiek) aanwezig zijn; vragen en discussie zijn zeer welkom. Contactgegevens: Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Rijndijk 235 / 209B 2394 CD Hazerswoude Tel 071-3416911 Tel 06-20664823

Recommended

Nostalgicemails
NostalgicemailsNostalgicemails
Nostalgicemails
Armin Caldas
Mis 15 anos en europa6Mis 15 anos en europa6
Mis 15 anos en europa6
Jorge Garcia
Formemos hijos triunfadoresFormemos hijos triunfadores
Formemos hijos triunfadores
Maria Goretti Azuero Bernal
Original Proposal
Original ProposalOriginal Proposal
Original Proposal
Mystifyingproductions
Two Unrelated Talks
Two Unrelated TalksTwo Unrelated Talks
Two Unrelated Talks
thegreatbrix
Yac power point_presentation
Yac power point_presentationYac power point_presentation
Yac power point_presentation
abigailhope5820
NightOER Drills 2
NightOER Drills 2NightOER Drills 2
NightOER Drills 2
Charles Coursey
Sinonim P1/P2 Bilangan 6
Sinonim P1/P2 Bilangan 6Sinonim P1/P2 Bilangan 6
Sinonim P1/P2 Bilangan 6
Mohamed Naim Daipi
Dialogue Magazine Jaargang1
Dialogue Magazine Jaargang1Dialogue Magazine Jaargang1
Dialogue Magazine Jaargang1
Annemieke_Gerritsen
Vern Ashley
Vern AshleyVern Ashley
Vern Ashley
yrhare
Flipped Class 2012
Flipped Class 2012Flipped Class 2012
Flipped Class 2012
zanetijl
Jesus asked
Jesus askedJesus asked
Jesus asked
gahanson57
Keboola slides in english
Keboola slides in englishKeboola slides in english
Keboola slides in english
Ling19860
Wikis Cluster Presentation
Wikis Cluster PresentationWikis Cluster Presentation
Wikis Cluster Presentation
digikids
My Summer At Luigi's
My Summer At Luigi'sMy Summer At Luigi's
My Summer At Luigi's
USI
Asigmen ( aidil )
Asigmen ( aidil )Asigmen ( aidil )
Asigmen ( aidil )
Pensil Dan Pemadam
fingerprintny.Com.2009
fingerprintny.Com.2009fingerprintny.Com.2009
fingerprintny.Com.2009
Stan Poulos
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
Producten en diensten Jolanda ter Maten
Producten en diensten Jolanda ter MatenProducten en diensten Jolanda ter Maten
Producten en diensten Jolanda ter Maten
Jolanda ter Maten
Middagsessie 24 april 2015
Middagsessie 24 april 2015Middagsessie 24 april 2015
Middagsessie 24 april 2015
Walter Grabner
Presentatie new skool 07 11-17
Presentatie new skool 07 11-17Presentatie new skool 07 11-17
Presentatie new skool 07 11-17
Rody Vonk
Sirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris manufacturing day 2013 KU Leuven - Bert LauwersSirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris
Subsidies iwt 2012
Subsidies iwt 2012Subsidies iwt 2012
Subsidies iwt 2012
innovatiecentra
Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
Jurgen van der Vlugt
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Jurgen van der Vlugt
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
Jurgen van der Vlugt
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt

More Related Content

Viewers also liked (9)

Dialogue Magazine Jaargang1
Dialogue Magazine Jaargang1Dialogue Magazine Jaargang1
Dialogue Magazine Jaargang1
Annemieke_Gerritsen
Vern Ashley
Vern AshleyVern Ashley
Vern Ashley
yrhare
Flipped Class 2012
Flipped Class 2012Flipped Class 2012
Flipped Class 2012
zanetijl
Jesus asked
Jesus askedJesus asked
Jesus asked
gahanson57
Keboola slides in english
Keboola slides in englishKeboola slides in english
Keboola slides in english
Ling19860
Wikis Cluster Presentation
Wikis Cluster PresentationWikis Cluster Presentation
Wikis Cluster Presentation
digikids
My Summer At Luigi's
My Summer At Luigi'sMy Summer At Luigi's
My Summer At Luigi's
USI
Asigmen ( aidil )
Asigmen ( aidil )Asigmen ( aidil )
Asigmen ( aidil )
Pensil Dan Pemadam
fingerprintny.Com.2009
fingerprintny.Com.2009fingerprintny.Com.2009
fingerprintny.Com.2009
Stan Poulos
Dialogue Magazine Jaargang1
Dialogue Magazine Jaargang1Dialogue Magazine Jaargang1
Dialogue Magazine Jaargang1
Annemieke_Gerritsen
Vern Ashley
Vern AshleyVern Ashley
Vern Ashley
yrhare
Flipped Class 2012
Flipped Class 2012Flipped Class 2012
Flipped Class 2012
zanetijl
Jesus asked
Jesus askedJesus asked
Jesus asked
gahanson57
Keboola slides in english
Keboola slides in englishKeboola slides in english
Keboola slides in english
Ling19860
Wikis Cluster Presentation
Wikis Cluster PresentationWikis Cluster Presentation
Wikis Cluster Presentation
digikids
My Summer At Luigi's
My Summer At Luigi'sMy Summer At Luigi's
My Summer At Luigi's
USI
Asigmen ( aidil )
Asigmen ( aidil )Asigmen ( aidil )
Asigmen ( aidil )
Pensil Dan Pemadam
fingerprintny.Com.2009
fingerprintny.Com.2009fingerprintny.Com.2009
fingerprintny.Com.2009
Stan Poulos

Similar to NOREA Update congres 2007 incl notes (6)

Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
Producten en diensten Jolanda ter Maten
Producten en diensten Jolanda ter MatenProducten en diensten Jolanda ter Maten
Producten en diensten Jolanda ter Maten
Jolanda ter Maten
Middagsessie 24 april 2015
Middagsessie 24 april 2015Middagsessie 24 april 2015
Middagsessie 24 april 2015
Walter Grabner
Presentatie new skool 07 11-17
Presentatie new skool 07 11-17Presentatie new skool 07 11-17
Presentatie new skool 07 11-17
Rody Vonk
Sirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris manufacturing day 2013 KU Leuven - Bert LauwersSirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris
Subsidies iwt 2012
Subsidies iwt 2012Subsidies iwt 2012
Subsidies iwt 2012
innovatiecentra
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
Producten en diensten Jolanda ter Maten
Producten en diensten Jolanda ter MatenProducten en diensten Jolanda ter Maten
Producten en diensten Jolanda ter Maten
Jolanda ter Maten
Middagsessie 24 april 2015
Middagsessie 24 april 2015Middagsessie 24 april 2015
Middagsessie 24 april 2015
Walter Grabner
Presentatie new skool 07 11-17
Presentatie new skool 07 11-17Presentatie new skool 07 11-17
Presentatie new skool 07 11-17
Rody Vonk
Sirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris manufacturing day 2013 KU Leuven - Bert LauwersSirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris manufacturing day 2013 KU Leuven - Bert Lauwers
Sirris
Subsidies iwt 2012
Subsidies iwt 2012Subsidies iwt 2012
Subsidies iwt 2012
innovatiecentra

More from Jurgen van der Vlugt (19)

Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
Jurgen van der Vlugt
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Jurgen van der Vlugt
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
Jurgen van der Vlugt
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt
ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3
Jurgen van der Vlugt
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10
Jurgen van der Vlugt
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Jurgen van der Vlugt
Down the Blind Alley (PDF)
Down the Blind Alley (PDF)Down the Blind Alley (PDF)
Down the Blind Alley (PDF)
Jurgen van der Vlugt
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
Jurgen van der Vlugt
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
Jurgen van der Vlugt
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009
Jurgen van der Vlugt
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
Jurgen van der Vlugt
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010
Jurgen van der Vlugt
Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
Jurgen van der Vlugt
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Jurgen van der Vlugt
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
Jurgen van der Vlugt
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt
ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3
Jurgen van der Vlugt
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10
Jurgen van der Vlugt
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Jurgen van der Vlugt
Down the Blind Alley (PDF)
Down the Blind Alley (PDF)Down the Blind Alley (PDF)
Down the Blind Alley (PDF)
Jurgen van der Vlugt
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
Jurgen van der Vlugt
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
Jurgen van der Vlugt
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009
Jurgen van der Vlugt
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
Jurgen van der Vlugt
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010
Jurgen van der Vlugt

NOREA Update congres 2007 incl notes

  • 1. NOREA/VERA Update ICT & Control 28-29 november 2007 Voortgezette Educatie Registeraccountants Kundig Adviseren is een Kunst(je) Jurgen van der Vlugt Noordbeek IT Audit Jurgen@Noordbeek.com (Sessie B1) Deze notes pages zijn slechts indicaties van de te bespreken of, al of niet per ongeluk en/of door tijdgebrek, overgeslagen onderwerpen, kanttekeningen en gerelateerde onderwerpen Deze presentatie bevat dus te veel stof, en ook veels te weinig! Alle (opbouwende) commentaren en met name aanvullingen, worden zeer gaarne ontvangen op bovenstaand mailadres. Of bel 06-20664823 of mail voor een in-house discussie
  • 2. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 2 Wie ben ik? KPMG: WinNT Y2K ABN AMRO: Blueprint consolidatie (business, non-business) Outsourcing Security integration & cybercrime Noordbeek Mgt.control & InfoSec Ooit begonnen bij KPMG, vanuit de techniek (audit en advies) naar Y2K (advies en beetje audit) o.a. in Griekenland en Cara誰bisch gebied ABN AMRO: Group Audit Corporate Centre Blueprint: Alle IT consolideren (voorzover niet AAB-specifiek) Outsourcing: De grote deals, qua control en inhoud Security integration, cybercrime: Structuren doordenken, neerzetten, uitrollen Noordbeek: Full scope audit en advies De plaatjes zijn werklocaties van het Y2K-auditwerk (echt waar) Mocht uw organisatie advies nodig hebben op soortgelijke locaties, dan houd ik me ten zeerste aanbevolen en offer me wel weer op
  • 3. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 3 Inleiding, aanleiding, agenda NOREA: IT-audit = ( IT-audit + Advies ) IT-audit Assurance Uitgekauwd IT-Audit Advies ? Typologie van advies Kwaliteit, criteria Principes, rules? NB REs en NOREA staan voor Al hetgeene dat op de kwaliteit van de informatieverwerking eenige betrekking heeft 1e bullet wegens de recursie (priv辿-hobby). Ondanks alle SOx- en andere reguleringsontwikkelingen (ethisch perverse ontwikkelingen maar dat terzijde) 2e bullet: Hoewel, uitgekauwd In ieder geval qua procedurele aspecten. De inhoudelijk-kwalitatieve aspecten daarentegen En onverlet het stukje Natuurlijke Adviesfunctie dat vrijwel altijd van boord valt, blijft alleen de aanbevelingscomponent in de Bevinding open. Zie verderop. De adviescomponent is wegens ongeregeldheid tot nu toe (te) onderbelicht. Maar als REs (en RAs) en zeker als NOREA zou je toch willen dat je kwaliteitsgaranties kan bieden, ook op dat terrein En oh ja: Mobieltjes gaarne op stil.
  • 4. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 4 Model (CHBr) Statuten Vereniging HHR Tucht Toelating Etc. Reglement Gedragscode Uitvoeringsrichtlijnen e.g. Opdrachtverwerving, Dossiervorming, Rapportage, PE Inhoudsrichtlijnen e.g. Raamwerk Assurance, Richtlijn Oordelen Attest (Assertion - based) Direct reporting Assurance In business Advies ? ? ? Reglement Beroepsbeoefening ? Handreikingen; Studierapporten, De EDP-Auditor Ad-hoc Commissie Herziening Beroepregels (CHBr): Code of Ethics (Reglement Gedragscode) ingevoerd dus Losse eindjes in GBRE et al Behoefte aan nieuwe structuur, architectuur Bovenstaande is nog niet officieel; met name het rechterstuk is nog redelijk blanco, terra incarta en nog niet in beton gegoten Maar het Advies-blok is dus juist w辿l onderwerp van deze presentatie. In Business is nog vager; deels van later orde in de andere parallelsessies in deze stream. En het is het toch niet te veel gevraagd het Reglement Gedragscode te hanteren ..?
  • 5. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 5 Inleiding, aanleiding, agenda NOREA: IT-audit = ( IT-audit + Advies ) IT-audit Assurance Uitgekauwd IT-Audit Advies ? Typologie van advies Kwaliteit, criteria Principes, rules? NB al het volgende ten minste deels speculatief Deze presentatie heeft 3 delen Eerst over typologie van advies. Enige initi谷le analyse leert dat het waarschijnlijk daaruit is dat de meest hanteerbare richtlijnen voor (aan)sturing richting levering van (procedureel en inhoudelijk) deugdelijk advies zullen volgen Of althans kwaliteitskenmerken en criteria, handvatten voor richtlijnen Tot slot komen met referentie aan de typologie regel-achtige voorstellen aan bod Nota bene: Pretenties heb ik wel, maar niet dat het volgende verhaal overal zinvol en perfect is. Nogmaals, commentaar is welkom
  • 6. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 6 Typologie van advies Janus; onzekerheidsreductie ..? Natuurlijk advies en Aanbevelingen Kennis en over de Toekomst Keuzes; Binair, selectief (gesloten of open), exploratief Scenarios en schetsen van mogelijkheden Trechters, trendbreuken en tectoniek
  • 7. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 7 Janus (I) Fringilla Coelebs: gewone vink (Herseninhoud 0,8gr) Audire Tele-videre Naar links het audire, horen, hetgeen een relatief passieve bezigheid is en als auw-duur! klinkt Naar rechts het (tele)videre, (ver)zien, relatief actief? Daarbij aansluitend op persoonlijke noot dat televidere verslavend werkt
  • 8. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 8 Janus (II) Voorspellen is moeilijk, Zeker als het de toekomst betreft Feiten (?) Objectief vaststellen ?? Herhaalbaar (?) Zekerheid (?) Juistheid stelling Algoritmes (!) Waarheid bestaat niet Mogelijkheden Willekeurige waarneming (?) Niet herhaalbaar (?) Zekerheid (!) Wat de toekomst brengt Keuzes Toekomst is niet onzeker Er zijn nog wel meer typische verschillen aan te geven: Links onder andere dat het soort werk risico-mijdende, menstype B introverte types trekt, wat die niet (her)kent dat vreet ie niet Rechts daarentegen de thrill seeker menstype-A, open-minded en extravert, attent op weak signals; soms ook rijp voor buzzword bingo
  • 9. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 9 Natuurlijk advies en Aanbevelingen Natuurlijke adviesfunctie: bemoeials Bevindingen Criteria Norm Condition -/- Vaststelling Risk Tekort Cause Oorzaak Recommendation Aanbeveling: Tekort weg? De natuurlijke adviesfunctie vervalt vrijwel altijd tot buiten de opdracht vallende bemoeizucht, afgewezen Het stramien voor bevindingen is zo oud als Alle mensen zijn sterfelijk Socrates is een mens Ergo De oorzaak wordt te vaak vergeten of veel te dicht bij huis gezocht Daardoor zal de aanbeveling: Werk het raffeltje weg onhaalbaar blijken, en/of irrelevant. De oorzaak van het raffeltje moet worden aangepakt anders gaat het morgen weer fout. En de oorzaak en werkelijke oplossing zijn soms veel omvangrijker dan de scope van de bevinding toelaat. Bovendien: Wie is verantwoordelijk oftewel aanspreekbaar voor de implementatie van de oplossing? Zelden degene waar het raffeltje werd aangetroffen. Bovendien: Wie heeft tijd om bij ieder raffeltje de root cause na te speuren en een haalbare oplossing uit te stippelen ..!? Niet de sterfelijkheid van Socrates is een probleem, maar de sterfelijkheid van mensen. Ga dat eerst maar eens oplossen gewenst ?
  • 10. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 10 Kennis Op de filosofische toer: Waarheid versus werkelijkheid (Platos grot) Epistemologie Formele Theorie (G旦del?), Kuhn/Lakatos Deductie versus inductie Vreest niet als u deze niet allemaal kunt dromen. Dit is slechts buzzword bingo met filosofische pretenties [mislukt, geef ik graag toe] Maar een discussie over verleden en toekomst en feiten komt onvermijdelijk op vragen als: Hoeveel zekerheid kunnen we bereiken? Is de zekerheid binnen mijn hoofd wel terecht, en heeft die betrekking op het beeld dat ik in mijn hoofd heb of heeft die betrekking op de werkelijkheid, whatever dat is? Epistemologie = kennistheorie Eerste relevante is het eindstuk: Formele Theorie. Een theorie is in formele zin een handvol axiomas en zogenaamde productieregels die op basis van de axiomas afgeleide feiten produceren, en op basis daarvan weer volgende, verderweg liggende. Wetenschappelijke doorbraken volgen uit het voor een keertje niet hanteren van een axioma, of de omkering hanteren. Of iets andere productieregels. D叩n springen we ineens van de klassieke natuurkunde naar de quantummechanica enzo. Kuhn en Lakatos lieten zien dat zon formele theorie zn eigen wereldje en groupthink geeft, en dat een ander clubje net zo goed gelijk kan hebben, binnen hun eigen denkraam. G旦del stelde (later bewezen!) dat iedere theorie uitspraken kan opleveren (die dus waar zouden moeten zijn) die in tegenspraak zijn met andere uitspraken binnen de theorie (die ook waar moeten zijn). Oftewel: Kunnen we ooit zeker zijn? Zelfs over het verleden niet! En komen we wellicht tot doorbraakadviezen door de (vaak impliciete) regels te breken ? Tweede relevante is deductie versus inductie. Werken we niet al te veel met Best practices !?
  • 11. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 11 Kennis en over de Toekomst Kennis Van de adviseur, niet-herleidbaar, van de vorige klanten van de adviseur, van leveranciers van oplossingen, van de markt (benchmarks, enqu棚terapporten) Onbewust/bewust, expliciet/impliciet Van gisteren en van vandaag. En van morgen? 200 brainstormmethoden Schr旦dingers kat en multipele universums Kennis (vervolg), waar haal je die vandaan? Bijvoorbeeld van het expliciteren van impliciete kennis, door brainstormen Kennis gaat over feiten (axiomas) en methoden (productieregels), hoe verder de toekomst in vanaf nu, hoe onzekerder dat de oude modellen nog houden Brainstormen alleen al kan op 200 (iets) verschillende manieren En er zijn nog zo veel meer methoden van kenniselicitatie Of je gelijk hebt over de toekomst weet je dan pas en dan kan je niet meer terug, bovendien kan je, door je actie vandaag, de toekomst be誰nvloeden en nog een filosofisch nootje tot slot, als disclaimer in het vooruit: De werkelijkheid h叩d zich kunnen ontwikkelen zoals het de adviseur goed uit zou zijn gekomen ?
  • 12. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 12 Typologie van advies Janus; onzekerheidsreductie ..? Natuurlijk advies en Aanbevelingen Kennis en over de Toekomst Keuzes; Binair, selectief (gesloten of open), exploratief Scenarios en schetsen van mogelijkheden Trechters, trendbreuken en tectoniek Nu dan het echte werk. Een tweedeling.
  • 13. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 13 Keuzes; binair Binair: Iets doen of niet Existentie of niet van 1 oplossing Advies: Bijdragen inzicht Kwaliteit van de business case Consequenties Externaliteiten Mitigerende acties Direct, k.t., l.t. Auditing (?) Dit is de basisvorm Het advies zal de vorm krijgen van een volledigheidscheck op de business case Neigt naar auditing ..? Is overigens niet risicoloos: Wat als de adviseur wat heeft gemist?
  • 14. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 14 Keuzes; selectief (gesloten) Beste oplossing Pakketselectie (?) Soms in wezen (o.b.v. criteria) g辿辿n oplossing, of criteria leiden tot tegenstrijdige rangvolgordes Investeringsportefeuille Projectenportfeuille (incl. potenti谷le) Universum begrensd (bekend) Doel begrensd Nog steeds: een gesloten vraag, een liefst eenduidig antwoord Het gaat ook om advisering richting beste alternatief Vele praktische varianten. Onder andere richting (audit en) advies bij procurement-zaken; zie Rob Christiaanse in een andere parallelsessie Maar we moeten (?) niet meegaan met de neiging om bij nader inzien sommige criteriawegingen wat minder strikt te hanteren zodat er uitkomt wat wenselijk is Ook al kan het zijn dat geen enkele oplossing op alle showstoppers voldoet Het universum waaruit kan worden gekozen, is misschien wel begrensd maar het kan ook van onze zin afhangen hoe ver we zoeken. Is risicovol; misschien is de perfecte (punt)oplossing er wel maar buiten beeld Anderzijds, Google is uw vriend Denk als methode ook nog eens aan die goeie ouwe SWOT-analyse. Mits (!) goed toegepast, nog altijd bruikbaar
  • 15. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 15 Keuzes; selectief (open) Begrensd! Doel Onbegrensd universum (onbekend) Criteria? Wat kan Overigens glijdende schaal met vorige Wat kunnen we doen? 1 probleem/doel, in principe onbekend c.q. onbegrensd aantal oplossingen Vaak zijn de criteria ook onbekend, want het is nog onduidelijk Wat we willen doel is oplossen van een probleem, welke richting de oplossing ligt en/of hoe we daar komen, is nog onbekend en Wat we kunnen de inventaris van oplossingsrichtingen Hetgeen natuurlijk tot het risico leidt dat de criteria al een voorkeur krijgen ingebouwd Zoals gezegd bij vorige (gesloten selectief kiezen): Het ligt natuurlijk aan de energie (het budget? ;-]) hoe ver, lang en goed wordt gezocht dus in hoeverre voorbij de standaard riedel oplossingen wordt gekeken
  • 16. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 16 Keuzes; exploratief Wat kan, bestaat Wat werkt? O.a. test/proef, pilot! Onbekend universum Onbekend doel De meest fuzzy soort zoekopdracht Kijk eens wat de mogelijkheden zijn op het gebied van xyz Wat moeten we met abc Laten we eens brainstormen over ..? Testen en proeven horen in dit rijtje, om te bezien of en hoe iets werkt en wat de uitkomsten en (neven)effecten kunnen zijn Pilot dus Het universum aan mogelijkheden is onbekend, de feitelijke invulling van de werkzaamheden is dus ad hoc Het doel is ook niet zuiver gesteld, of op een hoger abstractieniveau dan de werkzaamheden (ervaring opdoen met) Maar er moet overigens wel een besluit worden genomen; men kan dus in ieder geval niet hetzelfde blijven doen
  • 17. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 17 Tussen Keuzes en Scenarios Voorgaande: Zelf doen Intern gericht Keuze maken/besluiten Uitloop in externaliteiten Volgende: Omgevinggericht Impact van buiten op binnenwereld Bijsturing: nieuwe of alsnog bestaande doelen Trendwatching Intern ExternBinair Open Invloed Als het gaat om keuzes, is dat een interne aangelegenheid, wellicht met effecten buiten de eigen scope; jammer dan (externaliteiten = collateral damage, op anderen afgewenteld) Scenarios betreffen meer het voorzien van de omgeving, welke impact die gaat hebben, en of daarop zal moeten worden ingespeeld passief altijd want niets doen is ook iets doen ;-] of wellicht actief de mogelijkheden/kansen gaan benutten eigenlijk zouden beide zaken om en om moeten gebeuren, in een kringloop van scenario-analyse, leidend tot keuzes inzake eventuele nieuwe doelen, aanpassing aan de wegen om naar de doelen (oud of nieuw) te komen, die (doen) uitvoeren, waarna opnieuw scenarios kunnen worden afgezocht naar nieuwe mogelijkheden Denk aan Blaise Pascal: Het verleden en het heden zijn onze middelen, alleen de toekomst is ons doel Trendwatching staat op de ranglijst van maatschappelijk aanzien ex aequo met zowel accountant als paaldanser in een homoclub (zelf zou ik accountant niet zo hoog inschatten), is dus een eerzaam beroep ;-] en mits u spreker inhuurt, geen kwakzalverij (No offense voor paaldansers of die clubbezoekers!)
  • 18. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 18 Scenarios; trechters Kokervisie, het vertrouwen van Been There, Done That, meer van hetzelfde Simpele trechter: vertrouwen op beheerste verandering Exponenti谷le trechter: vertrouwen op non-lineariteit Onderzoeken hoe het Was, vooral en beetje Is, om te bepalen hoe het Wordt? De kokervisie onderschat de veranderlijkheid van de werkelijk-heid, en is een complexiteitsreductie die zo ver gaat dat wel de eigen geestelijke beperking tegemoet wordt gekomen, maar ook het model van de werkelijkheid onbruikbaar ver versimpeld is (Einstein: Je moet alles zo simpel mogelijk maken, maar niet simpeler, zelfs hij onderkende dat niet alles echt simpel te maken is!) De simpele trechter is al iets beter De exponenti谷le trechter gaat er vanuit dat ook niet-lineaire ontwikkelingen mogelijk zijn (en waarom zouden we die uitsluiten in the first place?) Maar alledrie gaan uit van algoritmische voortzetting van huidige ontwikkelingen (of nul-ontwikkelingen) en/of feedback-loops die (model- )afwijkingen onderdrukken. Beperkt de visie wel heel erg. Als de meerderheid altijd gelijk krijgt en bepaalt, wat is dan het nut van minderheid-zijn? Dit denken kan, voor de korte termijn en als (bereiken van) stabiliteit het doel is. Denken dat nooit iets wezenlijk verandert, levert dinosauri谷rs en het altijd net te laat zijn door achter anderen, innovators, aan te sjokken. Komt vaak voor! Benchmarkrapporten, opvolgen van enqu棚te-resultaten anyone? Dat is de waarheid van gisteren; werkt die morgen nog..? (I.e., het is bijna alleen terugkijken, niet vooruit)
  • 19. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 19 Voorbeeld: Kies de huidige stand (Waarvoor dank) Twee Magic QuadrantsTM als voorbeeld (bron: Gartner) De samenstelling is wellicht niet heel transparant, maar de gidsende functie is duidelijk, en veelgebruikt. Niet geheel ten onrechte. Maar let op: de completeness of vision wil niet zeggen dat de diensten die we willen, voor ons exact op maat zijn. Misschien is onze behoefte juist wel een bijziende, gefocuste aanbieder? En constante verschuivingen geven aan: Het gaat om de stand van vandaag/gisteren.
  • 20. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 20 Voorbeeld: Kies wat zich heeft bewezen (Waarvoor dank) Ander voorbeeld: de Gartner hype cycleTM? Die al wat meer kijkt naar de toekomst. Omineus is het ontbreken van de omvang van de markten. En voor de klant-organisaties wordt al helemaal niet aangegeven hoe groot de impact kan zijn, intern en/of op naar buiten geleverde producten of diensten en/of marktomvang. Als het gaat om trechters, gaat het ook vooral om het rechterstuk: Wat is volwassen genoeg om te implementeren? En hier duidelijk ook: Zijn onze concurrenten ons niet voor, in de zin dat we de competitive advantage niet meer kunnen halen? Altijd afwachten of het wat wordt, betekent ook altijd genoegen moeten nemen met de kruimels van optimalisatie (kosteneffici谷ntie).
  • 21. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 21 Scenarios; trendbreuken Reeds zichtbare/identificeerbare inputs, algoritme-tot-effecten onbekend Economies of scale Innovatie Momenten van creatieve destructie (Schumpeter) Opportunity Threat Innovatie Vrijwel altijd is het iets dat al zichtbaar was voor wie scherp ziet, dat een trendbreuk veroorzaakt. Maar hoe de uitwerking is, en waar het kritieke punt ligt, is vaak pas achteraf te bepalen. Wij trendwatchers zitten in de bioscoop en schreeuwen het uit bij iedere haai die we zien (Cassandra, Boy Cried Wolf etc.) ? Sommige doorbraken worden veroorzaakt doordat een partij (als eerste) de economies of scale ziet en weet uit te buiten Dit kan als de economies of scale niet constant zijn; de eerste die een bepaald (adoptie)niveau weet te bereiken, demarreert daarna Of er is echt sprake van een innovator, first mover of een early adoptor van andermans idee Denk aan network effects: Een run-away kettingreactie van adoptie (De term innovatie hoort soms bij incrementele ontwikkeling, soms is de term beperkt tot het doorbraak-concept.) Meestal is er wel sprake van creatieve destructie; degenen die niet opletten, worden opgegeten.
  • 22. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 22 Scenarios; tectoniek Grote, maatschappelijke ontwikkelingen (Megatrends), lange termijn! Slecht kwantificeerbaar, hypothetisch karakter Tectoniek als term voor grote ontwikkelingen die de hele maatschappij veranderen Voorbeelden: Boekdrukkunst, stoommachine, explosiemotor, lucht- en ruimtevaart, Internet. Door de eeuwen heen exponenti谷le versnelling van de sneeuwballen, zeker als we kleinere schaal in acht nemen. Denk ook aan een term als Tipping Point De visgraat is een nogal opgerekte vorm van een Ishikawa-diagram, normaliter op kleinere scope gebruikt voor analyse van oorzaken en een gevolg. Kan met deeloorzaken etc. De visgraat is wat uit beeld geraakt voor scenario-analyse; terecht want wie weet de oorzaken en effecten goed te benoemen? Beter is om meer vrijheid te nemen. Voorbeeld: Van computer via chip, PC en netwerk naar Internet Ander voorbeeld: Radiohead verkoopt CD In Rainbows online, wat de gek ervoor geeft. Dat sluit platenlabels, CD-branders, winkels uit. Consument is goekoper uit, Radiohead krijgt 5x zo veel in royalties. Alleen de middlemen, tsja. Ook de trend richting ontkenning van klassieke copyrights is er zo een. Kleiner voorbeeld: DVDs die tegelijk met de bioscooprelease uitkomen Andere voorbeelden: Zie sommige zaken op Gartners hype cycle (voorin) Voor ons relevant voorbeeld: IT Doesnt Matter (Nick Carr) Vaak pas achteraf te herkennen ;-[
  • 23. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 23 Voorbeeld: ABN AMRO Government Bureaucracy Free society Of individuals Collectivity Individualism Scenario-analyse uit het verleden geeft geen garantie voor de toekomst Maar wel bruikbaar in vele situaties Van alle nieuws-gebeurtenissen wordt bepaald in welke richting die wijzen; per kwartaal kan een Stand van Zaken worden gerapporteerd Moeilijkheid blijft natuurlijk: Wat zijn de (Informatievoorzienings- en IT- )consequenties voor de korte termijn, waar moet op worden ingezet?
  • 24. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 24 Voorbeeld: Shell Shell is van oudsher h辿t voorbeeld van scenario-analyse voor strategische planning. Dit is de trilemmatriangle. Zie www.shell.com/static/aboutshell-en/downloads/ our_strategy/shell_global_scenarios/exsum_23052005.pdf (1 regel): Zeer de moeite waard! Bedenk wel weer: We zullen als IT-auditorsadviseurs wel altijd moeten kunnen downdrillen naar informatievoorziening-relevante consequenties. Intellectuele stretch!
  • 25. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 25 Inleiding, aanleiding, agenda NOREA: IT-audit = ( IT-audit + Advies ) IT-audit Assurance Uitgekauwd IT-Audit Advies ? Typologie van advies Kwaliteit, criteria Principes, rules?
  • 26. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 26 Kwaliteit, criteria (I) Kwaliteit: Value for money Criteria, aspecten? Inhoudelijk Proces-, procedureel Inhoudelijk: Ingewikkeld Procedureel: Redelijk klassiek verwachtingsmanagement
  • 27. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 27 Kwaliteit, criteria (II) Inhoudelijke kwaliteit: Objectiviteit, herhaalbaarheid Passendheid, Haalbaarheid, implementeerbaarheid? Passend bij opdracht, organisatiestructuur, informatie- en IT-architectuur en -infrastructuur Mandaat, control span, budget Maturity / managementcompetentie, change-ervaring Stretch van het advies (tijd, scope) Rijpheid van de aanbevolen technologie Zie ook parallelsessie Ren辿 Matthijsse Objectiviteit heeft betrekking op het object, het advies! Objectiviteit betekent met name: herhaalbaarheid, door anderen, bedoeld om het advies van Zwarte Magie i.e. impliciete kennis te ontdoen oftewel expliciet te maken hoe & waarmee het advies totstandkwam Het subject, de adviseur, hoeft niet objectief te zijn ..! Als de adviseur maar duidelijk maakt wat haar/zijn voorkeuren zijn Passendheid is helder. Kan ook zijn: Breken met regels omdat anders geen nuttige oplossing voorhanden is Haalbaarheid van de oplossing is een belangrijke, niet alleen wegens commercieel belang (return customers) De klant(contact)persoon moet wel het mandaat, de span of control en het budget hebben om het advies te implementeren, of ermee de boer op te gaan, anders is het zinloos advies Managementcompetentie en change-ervaring idem, anders wordt het advies verkeerd ge誰mplementeerd en dan is dat de schuld van het advies en van de adviseur De stretch hangt hiermee samen, deze moet wel samenvallen met de horizon waarop de klant acteert anders is het ofwel te hoog ingeschoten (en wordt het advies als dictaat naar beneden gedouwd), ofwel de klant mag zn plan niet afmaken (praktijk) Met name als we over IT adviseren: Kan de technologie wel worden ge誰mplementeerd, nu al? Is die voldoende uitgekristalliseerd en/of is het geen dead-endontwikkeling? Ren辿 Matthijsse zal toelichten hoe adviezen aankomen Implementeerbaarheid is ook: Wat doen we morgen om te werken aan het 20-jarenplan ..?
  • 28. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 28 Kwaliteit, criteria (III) Relevantie, volledigheid Toekomstvastheid, robuustheid Context, bandbreedte van geldigheid Voortschrijdend inzicht? Houdbaarheid van het advies Contingencies, contingenties Hoeveel marge ten opzichte van ander advies? Hardheid advies v.v. flexibiliteit Strategy lock-in, vendor lock-in? Toegevoegde waarde = verrassingseffect? Nieuwe inzichten v.v. vastgeroeste idee谷n Productieregels of axiomas bijgesteld/losgelaten Relevantie gaat over de mate waarin het advies de vraag beantwoordt Volledigheid gaat over de mate waarin alle relevante omgevings- (f)actoren etc. zijn meegenomen Toekomstvastheid en robuustheid geven enige beperking aan de hardheid van het advies. Dit moet zodanig worden geformuleerd, dat het advies (enigszins) bestand is tegen een toekomst die zich anders aan ons voordoet dan wij hadden gedacht en ge谷ist Dit geldt zowel in de breedte (hoe variabel is het advies al of niet interpreteerbaar, zodat niet op slag het advies verkeerd wordt) als in de lengte (als de toekomst zich iets anders ontwikkelt, is dat tijdelijk en komt het nog goed of moeten we gaan bijstellen?) Ook moet rekening worden gehouden met nog on-begonnen mega-trends, die over x jaar plots impact beginnen te krijgen. En contingen-cies, mega- trendbreuken die we in potentie al kunnen voorzien Mede aan te geven: Wat moet/mag/kan veranderen aan de omgeving opdat we een ander advies als beste zouden moeten geven? Anderzijds, de slag om de arm moet niet te ruim worden want dan raken we niks meer En toegevoegde waarde moet, zelfs als we de klant shockeren ;-] Juist het verrassende inzicht is vaak het meest waardevol. De klant moet mee in de heli voor de blik.
  • 29. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 29 Kwaliteit, criteria (IV) Procedureel: Vooraf: Integriteit van de adviseur, kennis, objectiviteit, resultaat Tijdens: Zichtbaarheid, transparantie, logging Na: Toetsing, afhandeling Integriteit van de adviseur: Heeft ook betrekking op ethiek en rekening houden met de consequenties voor de stakeholders ..! Kennis terzake: Vaststellen dat de adviseur wat kan toevoegen Objectiviteit: Geen stokpaardjes, niet al te zeer in herhaling vallen (Powerpointcopier), rekening houden (ten minste transparant zijn!) met eigen belang (financieel, maatschappelijke positie en reputatie) van de adviseur Resultaat: Of het een dik rapport wordt, een memo met plaatjes of alleen plaatjes Zichtbaarheid: Aanwezig zijn, laten zien dat aanbevolen methode wordt gevolgd Transparantie: Zeker ten aanzien van de bronnen en (mate van) gebruik van methodes, data, oplossingen Logging: Traditionele dossierstukken (incl Transparantie-items) Toetsing: Met name t.a.v. haalbaarheid en zo Afhandeling: Traditioneel
  • 30. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 30 Principes, rules? (I) Wel advies na audit, geen audit na advies Verwachtingsmanagement: Welk type advies Scope en beperkingen/randvoorwaarden (inhoudelijk) Afhankelijkheden Rorty: vocabulaires; deconstructivisme Doel Keuze/scenario-universum Veronderstellingen, geldigheidsmarges De eerste is in wezen een omspannende, heeft geen betrekking op advies-sec: De adviseur zal voorkomen in een situatie te worden geplaatst waarin haar/hem, of enige auditor in een afhankelijkheidsrelatie met haar/hem, wordt gevraagd een audit uit te voeren over enig object waarvan te beoordelen kwaliteitsaspecten mogelijk zijn be誰nvloed door een eerder advies van haar/hem, of van enige auditor in een afhankelijkheidsrelatie met haar/hem De adviseur zal in de opdrachtaanvaarding tot uitdrukking brengen welke vorm van advies zal worden beoogd te worden uitgebracht De adviseur zal de reikwijdte van het advies overwegen en in het dossier notitie maken van de overwegingen, en zal deze in de opdrachtaanvaarding weergeven De adviseur zal de beperkingen en randvoorwaarden waarmee de werkzaamheden zullen worden en zijn uitgevoerd in de opdrachtaanvaarding en in het resultaat aangeven De adviseur zal aangeven welke aannames, vooroordelen en voorafgaande verwachtingen, zoals in ex-ante bekende mogelijke oplossingen en oplossingsrichtingen, verwerkt c.q. als uitsluiting van andere alternatieven, in objectiviteit niet noodzakelijk van toepassing zijn en/of met welke daarvan in het uitgebrachte advies geen rekening is gehouden De adviseur zal bij de rapportage over de opdrachtuitvoering de randvoorwaarden en beperkingen aangeven, in het bijzonder de overwegingen ten aanzien van de voorwaarden in context en in de uit het advies mogelijk volgende acties, die de toepasselijkheid van het advies be誰nvloeden De adviseur zal bij opdrachtaanvaarding aansprakelijkheid voor/door opvolging van het advies uitsluiten Richard Rorty: Contingency, Irony and Solidarity (1989): Paradigmas zijn altijd vocabulaires die onderling niet met elkaar kunnen communiceren, zelfs niet met argumenten die zijn toch alleen maar geldig binnen de eigen vocabulaire http://www.elsewhere.org/pomo : Uw eigen post-modernistische deconstructivistische pamflet- generator If one examines cultural postpatriarchialist theory, one is faced with a choice: either reject conceptual desublimation or conclude that consciousness is capable of significance. The premise of Marxism holds that discourse comes from the collective unconscious. enz.enz.
  • 31. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 31 Principes, rules? (II) Procedureel: Trans pa ran tie Gevolgde proces, modellen, methoden Zoek-effort, kennisbronnen Uitingsvorm (brainstorm, klankbord, rapport, plannen, presenteren) Advies sec Acties (eventueel) (Zie volgende pagina over ethiek, vooringenomenheid etc.) De adviseur zal verslag doen van <vul in uit de sheet en kleur de plaatjes enige oefening in Powerpoint is nooit weg> De adviseur draagt zorg voor werkwijze en vastlegging van werkzaamheden en werkresultaten op een wijze dat, naar redelijkheid en billijkheid, ingericht en toepasselijke, kwaliteitstoezicht en controle, mogelijk is en niet op voorhand wordt verhinderd
  • 32. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 32 Principes, rules (III) Ethiek De adviseur zal de reglementen inzake opdrachtaanvaarding, dossiervorming en rapportage in acht nemen (default) Wellicht uit de Code / Reglement Gedragsregels expliciet te maken, bijvoorbeeld: De adviseur zal in de opstelling en het uitbrengen van advies overwegen welke belangen van alle stakeholders worden be誰nvloed, in welke mate dat gebeurt, noodzakelijkerwijs of mogelijk, en of de effecten van deze mogelijke invloeden binnen algemeen geldende ethische en culturele normen aanvaardbaar zijn. Dit voorbeeld om te voorkomen dat (hyper)rationeel juiste adviezen worden gegeven die leiden tot ongewenste consequenties. Denk aan de banaliteit van het kwaad, of aan het vlak voor Kerst ontslaan van 20% van de medewerkers en we zien later wel wie het betreft Integriteit is kaassie. Loyaliteit, vooringenomenheid, belangen: Het is niet z坦 erg; als mar vooraf en achteraf duidelijk wordt gemaakt aan de opdrachtgever wat die belangen zijn en in welke mate deze het advies hebben be誰nvloed Ook: De adviseur zal aangeven welk belang hij mogelijk heeft bij aanvaarding van het advies. Dus als het advies werving inhoudt voor een vervolgopdracht, dat expliciet aangeven Zie verder ROA Raad van Organisatie-Adviesbureaus / OoA Orde van Organisatiekundigen en Adviseurs
  • 33. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 33 Principles; rules? (IV) Kan dat intern, of alleen extern? Intern: Kennis van organisatie Haalbaarheid Middenin dagelijkse waan Frisheid Jan van Praat Extern: ≒ AdviesAdvies In het thema van de Update: Kan een interne auditor/adviseur wel adviseren, of kan alleen een externe dat? De interne kent weliswaar zijn organisatie door en door, met verbeterde haalbaarheid van de adviezen als mogelijk gevolg mogelijk! want het ontbreekt nogal eens aan de nadruk daarop Door middenin de strijd van alledag te staan, verliest de interne natuurlijk aan frisheid. Ook de frisheid van de helikopterblik kan wel eens teruglopen Desalniettemin zal een flink deel van de richtlijnen ook van toepassing zijn op CCRCR; denk bijvoorbeeld eens aan haalbaarheid en stakeholders- effecten (w.o.: spreken we wel de juiste verantwoordelijke aan met een Bevinding/afkeuring/aanzet tot actie? Wie heeft het juiste mandaat ?) Jan van Praat zal hier in een andere parallelsessie op ingaan Oh en er is natuurlijk het (grote) risico dat een interne auditor zn eigen advies tegenkomt, met een groot risico dat zij/hij dan het eigen advies zou moeten auditen !? Omdat bij advisering juist vaak de frisse blik van buiten wordt gevraagd waarom kwamen de interne goede bedoelingen niet door ? is een externe nodig Het externe advies is daarom dus goud waard (motto: declareren is vooruit zien)
  • 34. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 34 Samenvattend Audit en Assurance: Boring Janus Advies is w辿l leuk Keuzes versus scenarios Kwaliteit, criteria Principes, rules Nodig Nuttig want U wilde een toelichting op een samenvatting van een lang verhaal met uitgebreide toelichting?
  • 35. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 35 Afsluitend Niemand hoeft kunstjes, iedereen kunst Kunst is kundig adviseren Weest een kundig kunstenaar Kundig wil zeggen: Ken de regels Weet welke regels te breken, welke niet/nooit ..! Weest origineel, met mate of onmatig veel
  • 36. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 36 Het Einde der (spreek)Tijden Is Nabij (Voorspelling of advies?) Vragen ? Zijn er nog vragen over het gepresenteerde? Zijn er nog vragen over het niet-gepresenteerde? Ik zal vandaag en morgen (fysiek) aanwezig zijn; vragen en discussie zijn zeer welkom. Contactgegevens: Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Rijndijk 235 / 209B 2394 CD Hazerswoude Tel 071-3416911 Tel 06-20664823
AboutCopyright
息 2025 際際滷