Onderzoeksrapport Verantwoordingen bij DICTUverantwoordingen+bij+DICTU.pdfTPM voorziet in behoefte...

Auditdienst Rijk Ministerie van Financiën

Onderzoeksrapport Verantwoordingen bij DICTU Definitief

Colofon

Titel Onderzoeksrapport verantwoordingen bij DICTU

Uitgebracht aan DICTU, mw. drs. G.M. Keijzer - Balde

Datum 18 oktober 2018

Kenmerk 2018-0000177890

Inlichtingen Auditdienst Rijk 070-342 7700

Inhoud

Aanleiding opdracht

TPM voorziet in behoefte als verbeterinstrument

5

1 Over het onderzoek

2 Klant heeft behoefte aan balans tussen vertrouwen en informatie 7 2.1 Uitgangspunt is vertrouwen, maar vragen om verantwoording nemen toe 7 2.2 IT-Governance is Rijksbreed onderwerp van gesprek 9

3 Wensen van klanten staan centraal bij een TPM 10 3.1 Beperkte uniformiteit zorgt mede voor auditdruk 10 3.2 Ook andere ICT leveranciers kiezen voor een groeipad 11 3.3 Een scope van een TPM is gerichte verantwoording 13

4 Meerdere mogelijkheden voor een organisatie in ontwikkeling 14 4.1 TPM heeft verschillende functies bij de verschillende wijzen van verantwoording

14 4.2 De strekking van een TPM evolueert met de tijd 17 4.3 Route naar verantwoording 18 4.4 Kosten van een TPM 20

5 Verantwoording onderzoek 21 5.1 Werkzaamheden en afbakening 21 5.2 Gehanteerde Standaard- 21 5.3 Verspreiding rapport 21

6 Ondertekening 22

Management reactie 23

Bijlagen 24

Aanleiding opdracht

De Dienst ICT Uitvoering (DICTU) levert ICT diensten aan het Ministerie van Economische Zaken en Klimaat, het Ministerie van Landbouw, Natuur en Voedselkwaliteit en aan een aantal andere ministeries. Als professionele dienstverlener wil DICTU zich over de geleverde ICT diensten kunnen verantwoorden aan haar klanten.

Bij klanten van DICTU is er een toenemende behoefte aan verantwoordingsinformatie over de geleverde ICT diensten in relatie tot de eigen systemen die bij DICTU in beheer zijn.

Bij DICTU vinden er jaarlijks vele audits plaats op de ICT omgeving. Vanuit de directie van DICTU is er behoefte om de impact van audits op de beheerprocessen te beperken en de ICT processen van DICTU op een hoger niveau van volwassenheid te brengen.

Een verklaring in de vorm van een Third Party Mededeling (TPM) en het ontwikkelpad daar naar toe zou een manier kunnen zijn om in deze behoeftes te voorzien door een meer generieke verantwoording af te geven aan meerdere stakeholders. Klanten zijn stakeholders die een TPM ook kunnen gebruiken voor hun auditors.

DICTU heeft de ADR gevraagd een verkenning uit te voeren naar de mogelijkheden en realistische verwachtingen voor het in de nabije toekomst kunnen afgeven van een TPM.

Met een Third Party Mededeling (TPM) wordt in dit onderzoek een verklaring bedoeld die afgegeven wordt door een onafhankelijk auditor over de kwaliteit van een ICT-dienstverlening en beheersing van een organisatie. Een TPM kan bij een verantwoording worden afgegeven of direct bij een afgestemde scope van beheersmaatregelen voor een set van IT componenten.

TPM voorziet in behoefte als verbeterinstrument

Om de vraag te beantwoorden of een TPM in een behoefte voorziet hebben we interviews bij een aantal klanten van DICTU gehouden.

De huidige verantwoordingen die DICTU aan haar klanten verstrekt dekken de informatiebehoeften van klanten niet geheel af. Hierdoor ontstaat er druk op het uitgangspunt van vertrouwen dat klanten in DICTU stellen en neemt de behoefte aan verantwoording en informatieverschaffing door DICTU toe. Mede ingegeven door de toenemende afhankelijkheid van ICT en toenemende regelgeving op het gebied van informatiebeveiliging en privacy hebben klanten behoefte aan uitgebreidere verantwoordingen. En er zijn ook klanten die een uitgebreide verantwoording nodig hebben voor derden. Een TPM zien klanten als een waardevol instrument om zekerheid aan de verantwoordingen van DICTU toe te voegen en als een instrument om de verdere professionalisering een impuls te geven. Daarmee ontstaat een leercirkel en kan DICTU laten zien over hoe er intern aan kwaliteit van beheerprocessen wordt gewerkt.

Om de vraag te beantwoorden wat een TPM voor DICTU betekent hebben we interviews gehouden met medewerkers van DICTU en een ronde tafel georganiseerd met het Interne Audit Team van DICTU (IA).

De diensten die in aanmerking komen voor een TPM dienen te worden bepaald op basis van de geïnventariseerde wensen van klanten en een uitgevoerde risicoanalyse. Op basis var de huidige wensen van klanten en de ADR lijkt een TPM over de beheerprocessen wijzigingsmanagement, logische toegangsbeheer en continuïteit in relatie tot de Cloud infrastructuur een goede eerste stap. De uniformiteit van de beheerprocessen bepaalt in belangrijke mate de doelmatigheid waarmee verantwoording en TPM kunnen worden verzorgd.

De verwachting is dat de wijze waarop DICTU zich verantwoordt aan haar klanten in de loop van de tijd verandert om aan te blijven sluiten bij de veranderende informatiebehoefte. De behoefte aan zekerheid middels een TPM verandert hierin mee.

Een TPM is daarbij een instrument en geen doel op zich. In de samenwerking met klanten zal de auditkalender een prominente rol kunnen spelen waarbij er ook van klanten meer risicobeheer verwacht wordt.

5 van 29 1 Onderzoeksrapport verantwoordingen bij DICTU

Over het onderzoek

Dit onderzoek is mede geïnitieerd vanuit het Interne Audit Team (IA) van DICTU. Dit relatief nieuwe team van DICTU ondersteunt sinds 2016 het management van DICTU bij haar uitdagingen op het gebied van besturing en beheersing. In het voortraject is besproken dat een TPM door DICTU als mogelijkheid wordt gezien om de IT processen van DICTU op een hoger niveau van volwassenheid te brengen en de auditvragen vanuit de verschillende klanten doelmatig te beantwoorden.

Het doel van dit onderzoek is te komen tot een verkenning van de mogelijkheden en realistische verwachtingen voor het in de nabije toekomst kunnen afgeven van een TPM. Daarbij is het geen doel om op korte termijn tot een TPM te komen maar wil de organisatie de resultaten van dit onderzoek gebruiken voor besluitvorming in het DT.

Voor dit onderzoek zijn vier onderzoeksvragen geformuleerd:

1. Wat is de behoefte aan verantwoording van de stakeholders waar een TPM aan bij zou kunnen dragen?

- Bij deze externe verkenning stonden vragen centraal gericht aan klanten als belangrijkste stakeholders over de meerwaarde van een TPM in relatie tot de bestaande verantwoordingen en audits. En de mogelijke bijdrage van een TPM aan het gewenste inzicht in de naleving van afspraken die bijvoorbeeld in SLA's zijn opgenomen.

Wij hebben deze onderzoekvraag uitgewerkt in hoofdstuk 2.

2. Welk aggregatieniveau (categorieën van diensten) van IT diensten zou in aanmerking kunnen komen voor een TPM? Bij deze onderzoeksvraag staat de scope van een eventuele TPM centraal. De scope kan variëren van een specifiek systeem, klant of proces tot de gehele ICT dienstverlening.

3. Hoe en op welke wijze zou een TPM vormgegeven kunnen worden? Met deze vraag wordt het auditspectrum nader verkend. Centraal bij deze verkenning staan de rol van de IA en de te gebruiken kaders bij een eventuele TPM. In het bijzonder wordt aandacht gegeven aan de relatie met de voor DICTU bekende ISO normen. Ook zijn ervaringen opgehaald bij andere ICT dienstverleners binnen de Rijksoverheid.

Wij hebben vraag 2 en 3 beantwoord in hoofdstuk 3.

4. Wat is een realistisch scenario voor DICTU voor TPM's? Om deze vraag te beantwoorden heeft een ronde tafel plaatsgevonden met auditors van IA van DICTU en de ADR waar mogelijke scenario's en groeipaden zijn besproken.

Wij hebben deze onderzoekvraag uitgewerkt in hoofdstuk 4.

6 van 29 Onderzoeksrapport verantwoordingen bij DICTU

2 Klant heeft behoefte aan balans tussen vertrouwen en informatie

In dit hoofdstuk wordt een antwoord gegeven op de volgende onderzoeksvraag. Wat is de behoefte aan verantwoording van de stakeholders waar een TPM aan bij zou kunnen dragen?

Voor het beantwoorden van deze onderzoeksvraag is met diverse klanten van DICTU gesproken zoals RVO, NVWA en RvIG in hun rol als stakeholders. Daarnaast zijn auditors zoals de ADR geïnterviewd.

Samengevat is het beeld uit de interviews dat de huidige verantwoordingen die DICTU aan haar klanten verstrekt de informatiebehoeften niet geheel afdekken. Mede ingegeven door de toenemende afhankelijkheid van ICT en toenemende regelgeving op het gebied van informatiebeveiliging en privacy hebben klanten behoefte aan uitgebreidere en vaak doorlopende verantwoordingen. Een TPM zien klanten als een waardevol instrument om zekerheid aan de verantwoordingen van DICTU toe te voegen. Klanten zien een TPM ook als een instrument om de verdere professionalisering een impuls te geven. Daarmee ontstaat een leercirkel en kan DICTU laten zien hoe er intern aan kwaliteit van beheerprocessen wordt gewerkt.

2.1 Uitgangspunt is vertrouwen, maar vragen om verantwoording nemen toe

Klanten van DICTU geven aan samen te werken met DICTU als leverancier om steeds digitaler te gaan werken. Dit sluit aan op de I-strategie van de overheid. Hierbij geven de klanten aan DICTU te zien als strategische partner. Bij een strategisch partnership hanteren klanten als uitgangspunt dat er vertrouwen is tussen de partijen.

Naast het uitgangspunt van vertrouwen groeit de vraag bij klanten om verantwoording. Hier liggen de volgende oorzaken aan ten grondslag:

Toenemende regelgeving voor onder andere privacy en informatiebeveiliging

De laatste jaren realiseren klanten zich steeds meer dat zij de proceseigenaren zijn en dat het voldoen van informatiebeveiliging aan wetgeving en rijksbrede kaders een lijnverantwoordelijkheid is. Ook vanuit de regelgeving worden toenemende eisen gesteld aan het ICT beheer en de verantwoording daarover. Voorbeeld hiervan is de nieuwe privacyregelgeving (AVG). Maar ook voor de DigiD aansluitingen die door DICTU voor klanten worden beheerd worden inmiddels rapportages over kritische prestatie-indicatoren (KPI's) van DICTU verwacht.

Het gevolg is dat steeds uitgebreidere en meer inhoudelijke verantwoordingen door de klanten aan DICTU worden gevraagd over de kwaliteit van de uitbestede dienstverlening en bijvoorbeeld over beveiligingsincidenten. Klanten geven aan meer informatie te willen dan ze nu krijgen zodat ze zelf hun dagelijkse operaties kunnen sturen. Omdat DICTU op dit moment meer proces- dan product-georiënteerd is zal het voldoen aan de verantwoordingswensen van klanten een investering door de DICTU vergen.


Door de relatiemanagers van DICTU worden nu maandelijks dienstenniveaurapportages voor de klanten opgesteld. Deze rapportages hebben op dit moment veelal een operationeel karakter (incidenten en financiële informatie). Daarnaast zijn er andere afstemmingsmomenten. Zo overlegt het security office van DICTU periodiek met een aantal klanten over informatiebeveiliging en wordt er door DICTU gewerkt aan een klantportaal. Hoewel dit door de klanten wordt gewaardeerd, wordt hiermee aan klanten nog niet het vereiste inzicht gegeven in het integraal voldoen aan regelgeving.

Toenemende afhankelijkheid van ICT

Klanten worden steeds meer afhankelijk van ICT en daarmee van IT leveranciers.

• De NVWA geeft aan dat zij gezien de lopende grote ICT projecten bij DICTU en de belangrijke systemen die door DICTU worden beheerd, steeds meer afhankelijk wordt van de DICTU. NVWA vindt het belangrijk dat het beheer bij DICTU aantoonbaar van voldoende kwaliteit is. Een voorbeeld is het certificatensysteem dat bij uitval tot claims van derden kan leiden. NVWA heeft de vraag om een TPM informeel aan DICTU gesteld.

• RvIG heeft in 2012 het beheer van de ICT-omgeving van het Burger Service Nummer (BSN) ondergebracht bij DICTU. Voor 2012 was het beheer uitbesteed aan een partij buiten de rijksoverheid. Met deze partij was contractueel afgesproken dat jaarlijks een verklaring van een onafhankelijke derde partij aan RvIG werd verstrekt over het beheer van de ICT-omgeving van BSN. Een dergelijke afspraak is niet met DICTU gemaakt. Over 2018 wil RvIG wel deze zekerheid van DICTU.

• RVO is de grootste klant van DICTU en heeft het beheer van nagenoeg al haar systemen uitbesteed aan DICTU. Voor RVO is het op dit moment vaak een black box wat er bij DICTU gebeurt. De huidige certificering conform IS027001 bij DICTU biedt onvoldoende waarborgen aan RVO en een TPM is gewenst. Hiermee wordt volgens RVO inzicht gegeven in de kwaliteit van het ICT beheer voor RVO en daar moet aan gewerkt worden is het beeld. Uit recente ervaringen zoals bijvoorbeeld bij de DIGID audits heeft RVO het beeld gekregen dat DICTU geen optimaal lerende organisatie lijkt te zijn daar geconstateerde afwijkingen uit het verleden niet altijd zijn opgepakt. RVO heeft de vraag om een TPM informeel aan DICTU gesteld. In dit verband geeft RVO ook aan dat zij zelf het leveranciersmanagement nog beter vorm moet geven.

• Door de toenemende digitalisering neemt het toetsen van ICT controls een steeds belangrijkere plaats in bij de jaarrekeningcontroles van de ADR en komt DICTU daardoor sneller in beeld om onderdeel uit te maken van wettelijke controles. Ook vanuit de EU controles zien wij een trend om steeds meer gebruik te maken van controles in de systemen (zoals veldvalidaties en functiescheidingen). De ADR heeft aangegeven dat zij voor de door haar uitgevoerde jaarrekeningcontroles geen TPM nodig heeft. Het afstemmen van de bevindingen door ADR accountants onderling is voldoende. Een TPM kan de afstemming wel ondersteunen. Als een ICT dienstverlener te maken krijgt met externe accountants kan er wel een vraag om een TPM komen.


2.2 IT-Governance is Rijksbreed onderwerp van gesprek

Voor klanten van DICTU is een TPM een zeer welkom instrument waar behoefte aan is. Waar een TPM dan over zou moeten gaan hebben klanten in de interviews nog niet concreet aangegeven. Zij erkennen dat ze zelf daar nog stappen in moeten zetten. Klanten geven ook nog aan niet direct een TPM zonder bevindingen te verwachten maar wel een TPM waaruit blijkt waar DICTU staat.

Op de achtergrond lijken ook vragen rondom governance en sturing te spelen. Klanten zijn de eigen interne controle afdelingen verder aan het versterken en stellen daardoor meer vragen aan leveranciers. Onder andere over de verdeling van kosten van ICT projecten, de keuzemogelijkheden voor nieuwe systemen, de escalatieprocedures en het gebruik van de public Cloud wordt gesproken met DICTU. Voor dit onderzoek is de wijze waarop DICTU wordt aangestuurd niet onderzocht.

Rijksbreed is er in 2017 is een onderzoek) geweest naar de verantwoording en sturing bij SSO's waarbij DICTU, naast twee andere SSO's is onderzocht. Uit dat onderzoek blijkt dat klanten soms ervaren dat zij te weinig mogelijkheden hebben om invloed uit te kunnen oefenen op de koers van de IT-leverancier. Uit het onderzoek blijkt dat er druk is op het principe van vertrouwen waardoor de vraag naar TPM's Rijksbreed meer manifest wordt. Dit geldt ook voor DICTU.

Naar aanleiding van een vooronderzoek naar TPM's in 2017 voor de CTO-raad is er voor gekozen de mogelijkheden van TPM Rijksbreed nu niet verder te onderzoeken.

1 Onderzoeksrapport Verantwoording 550's/ ADR 2017-0000158993 / www.rijksoverheid.n1

9 van 29 j Onderzoeksrapport verantwoordingen bij DICTU

Wensen van klanten staan centraal bij een TPM

Om te bepalen wat een TPM voor DICTU zelf betekent zijn voor dit onderzoek interviews uitgevoerd bij DICTU met IA, security officers, relatiemanagers, en team Kwaliteitsborging. Daarnaast is gesproken met andere ICT leveranciers bij de overheid. De volgende onderzoeksvragen zijn daarbij gehanteerd: Welk aggregatieniveau (categorieën van diensten) van IT diensten zou in aanmerking komen voor een TPM? Hoe en op welke wijze zou een TPM vormgegeven kunnen worden?

Samengevat is het beeld uit de interviews dat een TPM traject een instrument kan zijn voor de uniformering van processen, verhoging van de kwaliteit en stroomlijning van de auditinspanningen. Het sluit aan bij de wens van DICTU om de interne verbeteringen zichtbaar te maken. Daarvoor moeten de beheerprocessen die getoetst worden homogeen zijn waarbij de vastleggingen in de processen zijn ingebed. De processen wijzigingsmanagement, logische toegangsbeheer en continuïteit zijn een mogelijke scope op basis van veel voorkomende auditvragen. Als systeem is de Cloud infrastructuur een mogelijk scope. Andere IT dienstverleners laten zien dat het verkrijgen van een TPM een meerjarig groeipad is.

3.1 Beperkte uniformiteit zorgt mede voor auditdruk

DICTU werkt met 32 generieke ITIL processen die worden beheerd door het team Kwaliteitsborging. Uit onderzoeken van IA en uit de gesprekken met klanten blijkt dat deze processen, hoewel uniform opgezet, nog niet overal uniform werken. Dit is wel belangrijk voor een doelmatige realisatie van een verantwoording en een TPM waarbij processen generiek getoetst kunnen worden.

• De nulmetingen van IA geven een wisselend beeld over de volwassenheidsniveau van de onderzochte processen.

• Door het team Kwaliteitsborging wordt aangegeven dat ITIL voor DICTU het uitgangspunt is maar dat de naleving van de processen niet voor alle onderdelen/ systemen bij DICTU gelijk is. Zo wordt in de praktijk verschillend invulling gegeven aan handhaving en wordt bijvoorbeeld vereiste impact analyse niet altijd toegepast. Daar zijn wel nu verandertrajecten voor gestart: ITIL processen zullen geplot gaan worden op het Agile werken binnen DICTU. Ook wordt de LEAN-methodiek ingevoerd waar het klantbelang een van de basisprincipes is. In de praktijk zien auditors dat vastleggingen omtrent controles verschillen en wordt mede daarom al snel gekozen voor audits per systeem. Een deel van de controles ligt niet bij DICTU maar bij de proceseigenaar zelf. Voor informatiebeveiliging wordt bij DICTU gewerkt met onder andere de IS027001 standaard waarbij er een ISMS wordt bijgehouden. Een ISMS is het managementsysteem van informatiebeveiliging en gaat niet over maatregelen per individueel systeem. Het is daarmee alleen ondersteunend bij audits op systemen. Hoe de maatregelen beslag krijgen per systeem is de verantwoordelijkheid van de proceseigenaren


die daarbij geassisteerd worden door IB coördinatoren waardoor ook uniformiteit kan ontbreken.

• De vastleggingen in workflowsystemen kunnen meer uniform plaatsvinden. Vanuit DICTU wordt dat momenteel onderzocht of het ondersteunende systeem voor het afhandelen van wijzigingen en incidenten (TOPdesk) dit voldoende ondersteunt.

• Uniformiteit is ook lastig te realiseren vanwege het ICT landschap bij DICTU. Het ICT landschap bij DICTU is groot en complex. DICTU beheert ongeveer 14.000 werkplekken, 13.000 mobile devices, 1.500 applicaties en 3.300 servers. Daarvoor gebruikt DICTU 2 datacenters met dataverbindingen met 200 locaties.

In de laatste jaren ervaart DICTU een toenemende auditdruk. Tot vorig jaar werden IT gerelateerde audits door DSC begeleid en/of uitgevoerd. IA heeft die taak nu overgenomen. Intern wordt bij DICTU een auditkalender bijgehouden door IA. Over de jaren 2014 t/m 2017 stonden ongeveer twintig audits gepland per jaar (Zie bijlage 1). Dit zijn deels interne audits en deels externe audits. De IS027001 audit vergt een arbeidsintensieve voorbereiding aan de kant van DICTU. Daarnaast besteedt DICTU veel tijd aan de DigiD assessments. Aan auditbegeleiding zal, zo blijkt uit de interviews, naast de inzet van de IA zeker 5000 uur door DICTU aan audits worden besteed. DigiD en ISO audits lijken het grootste deel te omvatten.

Door de toenemende digitalisering steunt een steeds groter gedeelte van de jaarrekeningcontrole op IT controls en komt daarmee DICTU sneller in beeld om onderdeel uit te maken van wettelijke controles door de ADR. Vanuit de EU controles zien we ook een trend om steeds meer gebruik te maken van controles in de systemen (zoals veldvalidaties en functiescheidingen). Hierdoor komen er ook meer auditvragen bij DICTU als IT leverancier.

De bestaande proces en procedurebeschrijvingen van DICTU kunnen een uitgangspunt zijn voor generieke audits. Voor een TPM moeten procedures zijn uitgewerkt tot op het niveau dat de auditor deze kan testen waarbij niet alleen het "wat" maar ook het "hoe" wordt uitgewerkt. De bestaande procedures kunnen hiervoor verder worden aangevuld door expliciet te maken wat de key controls in een proces zijn en waar deze worden vastgelegd.

3.2 Ook andere ICT leveranciers kiezen voor een groeipad

De verantwoording van ICT-leveranciers binnen de Rijksoverheid aan klanten is op dit moment divers ingericht. De volgende vormen zijn aanwezig:

a. Geen verantwoording; b. SLA-rapportage; c. ICV BIR; d. ISO 27001- certificaat; e. TPM volgens standaard ISAE 3000; f. TPM volgens standaard ISAE 3402.

Een TPM volgens de ISAE 3000 standaard heeft als voordeel dat ook het management van de organisatie een algemeen gedeelte kan schrijven en de governance structuur toelicht. De auditor toetst dan de verklaring van het management. (zie bijlage 2).

Externe dienstverleners zijn gewend om TPM's af te geven. Cap Gemini en ATOS leveren aan verschillende ministeries verantwoordingen over de generieke dienstverlening al dan niet voorzien van een TPM.


Logius Bij Logius is in 2008 een meerjarig traject gestart om te komen tot een beheerverslag (verantwoording) met een TPM. Dit beheerverslag is in 2011 gerealiseerd. In eerste instantie was het beheerverslag gericht op DigiD. In de loop der jaren zijn daar andere beheerdiensten van Logius aan toegevoegd. Veel werk is gaan zitten in het volwassen maken van de keten. Logius heeft diverse onderdelen van haar dienstverlening uitbesteed. Aandachtspunt was om de kwaliteit van de uitbestede dienstverlening op een goede wijze in het beheerverslag van Logius op te nemen. Ook heeft Logius een groei doorgemaakt van het eerste jaar "droogzwemmen", met een 0 meting naar de opzet en het bestaan van beheerprocessen naar later ook toetsing op de werking van beheerprocessen.

Er is een controlframework ontwikkeld door Logius. Het controlframework bestaat uit normen voor de beheerprocessen afgeleid van ITIL (deze staan in de NOREA handreiking bij Uitbesteding van ICT-processen, zie voorbeeld in de bijlage 4). Hierin staan beheerdoelstellingen met mogelijke maatregelen. Naast deze generieke normen zijn per ketenpartner, afhankelijk van hun dienstverlening, ook specifieke beheerdoelstellingen en normen opgesteld en opgenomen in het controlframework.

SSC-ICT SSC-ICT heeft vier verschillende ICT omgevingen en een eigen datacenter. SSC-ICT bedient 8 ministeries en heeft ongeveer 60 audits per jaar die in een auditkalender zijn opgenomen.

Deze auditkalender wordt in de klantenraad afgestemd waarbij klanten ook aangeven welke audits zij willen prioriteren.

SSC-ICT groeit toe naar één organisatie met uniforme processen. Voor vijf ITIL processen (Incident Management, Change Management, Problem Management, Request Fulfilment en Service Asset and Configuration Management) is uniformering inmiddels gerealiseerd. SSC-ICT geeft aan nog niet toe te zijn aan een generieke TPM. Hiervoor moet de eigen organisatie verder op orde worden gebracht. Voor twee klanten van SSC-ICT worden TPM's afgegeven door de ADR: Raad voor de Rechtspraak en P-Direkt. Bij de raad voor de rechtspraak betreft dit een EBS (Oracle) systeem. SSC-ICT heeft geen interne auditfunctie en maakt onder andere gebruik van de diensten van de ADR. Omdat SSC-ICT nog groeit in haar uniformering van processen is het uitvoeren van audits nog complex en tijdsintensief. SSC-ICT streeft ernaar om het aantal audits te verminderen en het tijdsbeslag die audits op haar organisatie leggen te verlagen. Hiervoor worden uniforme bouwstenen van ICT diensten geformeerd met systemen en beheerprocessen die in één keer onderzocht kunnen worden voor meerdere klanten. (De bouwstenen zijn dit moment nog in ontwikkeling).


3.3 Een scope van een TPM is gerichte verantwoording

De ervaring van auditors is dat door het bundelen van audits, het homogeen inrichten van beheerprocessen en door digitalisering kan worden bespaard op de kosten voor voorbereiding , auditbegeleiding en audituitvoering. Door middel van digitalisering kunnen in het proces zelf de benodigde bewijsstukken worden gegenereerd en gestructureerd worden vastgelegd.

In de bijlage 3 is een denkrichting voor het vaststellen van de scope van een TPM geschetst. De dienstverlening van de DICTU wordt hierbij weergegeven in uniforme bouwstenen van ICT diensten. Deze bouwstenen zijn geformeerd met systemen en beheerprocessen die in één keer onderzocht kunnen worden voor meerdere klanten. De uiteindelijk in het kader van de TPM te onderzoeken bouwstenen worden bepaald op basis van de geïnventariseerde wensen van klanten en een uitgevoerde risicoanalyse.

Om een volledige uitspraak te kunnen doen over een systeem zijn ook controles aan de gebruikerskant relevant. Een TPM heeft vaak een normenkader met normen die worden getoetst bij een leverancier en bij de eigenaar. Een andere factor waar rekening mee moet worden gehouden zijn de IT diensten die DICTU uitbesteed, bijvoorbeeld aan ODCN of een andere externe dienstverlener. Dat maakt het afstemproces complexer.

Op basis van de huidige wensen van klanten (inclusief de jaarrekeningcontrole door de ADR) lijkt een TPM over de processen wijzigingsmanagement, logische toegangsbeheer en continuïteit in relatie tot de Cldud infrastructuur een goede eerste stap op het groeipad. Dit kan bestaan naast de huidige ISO audit van de DEKRA. Binnen de Cloud draaien meerdere applicaties op dezelfde infrastructuur in een stack. Er is een uniform beheerproces volgens DICTU. Wij merken in dit verband nog op dat het belangrijk is om de gehanteerde beheersmaatregelen bij de audits af te stemmen met de klanten en dat de audits ook kunnen worden uitgevoerd door interne auditors. Hiervan kunnen externe auditors dan weer gebruik van maken. Ook een interne auditor kan een TPM afgeven.

Over de BIR De scope van een TPM zal vaak breder zijn dan de BIR omdat de BIR enkel over informatiebeveiliging gaat. De nieuwe BIR2017 is gebaseerd op het halen van beheersdoelstellingen in plaats van gebaseerd op beheersmaatregelen zoals in de oude BIR. Dit sluit 100% aan op 15027001(2013). De beheersdoelstellingen voor een TPM die over informatiebeveiliging gaan kunnen daarop aansluiten.


Meerdere mogelijkheden voor een organisatie in ontwikkeling

In een ronde tafel op 18 april 2018 zijn aan de hand van scenario's verschillende wijzen van verantwoording besproken en de rol van een TPM's daarbij. Aanwezig waren de IA van DICTU en de onderzoekers van de ADR.

De volgende onderzoeksvraag is daarbij gehanteerd: Wat is een realistisch scenario voor DICTU voor TPM's?

Samengevat is het beeld uit de ronde tafel dat de wijze waarop DICTU zich verantwoordt aan haar klanten moet veranderen om aan te blijven sluiten bij de veranderende informatiebehoefte van haar klanten. Een TPM sluit hierbij aan en verandert hierin mee. Op basis van de uitkomsten van onderzoeksvragen 1,2 en 3 uit de vorige hoofdstukken wordt een groeitraject voorgesteld. De eerste stap is het opstellen van een auditkalender met waar dat mogelijk is samengestelde audits. Tegelijkertijd kan DICTU toegroeien naar continuous monitoring.

Na een nulmeting en een eventueel verbetertraject kan een TPM worden afgegeven over drie processen: Change Management Security Management en Incident Management voor de Cloud-omgeving. De strekking van deze TPM kan daarna worden uitgebreid in overleg met de klanten van DICTU.

4.1 TPM heeft verschillende functies bij de verschillende wijzen van verantwoording

In de ronde tafel zijn vijf wijzen van verantwoording besproken die DICTU in het vervolg zou kunnen toepassen in de verantwoording aan haar klanten. Bij elke wijze van verantwoording kan een TPM door een onafhankelijke auditor worden afgegeven. De inhoud van de TPM verschilt per wijze van verantwoording en kan ook veranderen/evolueren in de loop van de tijd.

Onderstaande tabel bevat de besproken wijzen van verantwoording met een korte toelichting daarbij.


Huidige werkwijze rolongeren

Auditkalender met samengestelde audits waar mogelijk

D Continuous monitoring

Ruwe da

Uniforme verantwoording (KPI)

Nr. Wijze van verantwoording

Toelichting

Dit betreft een voortzetting van de huidige situatie. Audfts worden per keer ingepland in de combinatie opdrachtgever/ DICTU / auditor. DICTU verstrekt diverse rapportages aan klanten en verantwoordt_ zich, in gesprekken met klanten.'

Dit houdt meer rekening met de klanten door ze intensief te betrekken bij de volledige auditkalender van DICTU (inclusief ADR en andere audits) en mee te laten delen in de resultaten. Zo wordt een afgestemde risicokaart ontwikkeld waarbij bijvoorbeeld in de klanten raad prioriteiten worden bepaald waarbij de klant input kan leveren.

De klantbehoefte wordt vervuld door alle ruwe DICTU data aan klanten beschikbaar te stellen zodat deze zelf informatie kunnen generen. Met de huidige toois en technieken kunnen klanten dan zelf aan de slag. DICTU doet geen veredeling van de informatie.

Hierbij streeft DICTU naar continue informatieverstrekking in een klantportaal (al dan niet afgeschermd per opdrachtgever). Hierbij doet een auditor uitspraak over de juistheid en volledigheid van de informatie in het klantportaal. Het is een dashboard dat informatie uit systemen aftapt. De informatie is veredeld.

DICTU streeft naar een uniforme methodiek van verantwoording waarbij de Planning&Control cyclus van DICTU aansluit op de Planning&Controi cycli van haar opdrachtgevers. Belangrijk hierbij zijn het klantportaal, het afstemmen van ISMS-en en verantwoording In de keten. Concreet betekent dit geen assurance achteraf maar integratie van Planning&Control modellen vooraf.


cope TPM

Voor individuele systemen en per klant

Voor individuele systemen per klant en samengestel voor meerdere klanten Toewerken naar een beheers-verslag

Juistheid en volledigheid ter beschikking stellen data

oordeel /nadeel voor DICTU

- Hoge auditlast

+ Gestructu-reerde Inzet (audit-) capaciteit + Zicht op audits + Begin van fficiëntle-

verbetering — Vergt investering

+ transparantie

- geen context

oordeel/ nadeel voor klant

Huidige situatie

+ Meer betrokken bij en zeggenschap over audits

— Vergt I i vestering

+ kan zelf tijdig analyseren

-DICTU heeft geen zicht op gegenereerde informatie

Achteraf

Ruwe data Kort nadat gebeurtenis Is opgetreden

Continuous monitoring

Uniforme verantwoording (KPI)

+ transparantie + tijdige informatie — Vergt Investering

Functioneert als één afdeling niet klant

+permanent inzicht — Vergt Investering

Functioneert als één afdeling met klant

Kan over tstandkomin

Kort nadat gebeurtenis is opgetreden

Kan over Kort na totstand- gebeurtenis koming maar is minder relevant

Wijze van verantwoording

Huidige werkwijze prolongeren

Auditkalender met samen-gestelde audits waar mogelijk

Tijdigheid

Achteraf

Tijdens de ronde tafel zijn de wijzen van verantwoording bezien op de toepasbaarheid voor DICTU. Zoals in de vorige hoofdstukken van dit rapport is verwoord, is de rode draad uit de gesprekken met de klanten van DICTU dat deze meer informatie wensen over de kwaliteit van de geleverde dienstverlening. Tevens willen klanten zo snel mogelijk worden geïnformeerd als incidenten zijn opgetreden zodat eventuele compenserende maatregelen kunnen worden getroffen. Toekomstige verantwoordingenvormen kunnen daar rekening mee houden.

In onderstaande tabel worden per wijze van verantwoording aangegeven wat de voordelen- en nadelen zijn voor zowel klanten als DICTU. Tevens wordt telkens aangegeven wat de scope van de TPM zou kunnen zijn.


De huidige werkwijze (A) lijkt niet meer geschikt om de transparantie te bieden Het scenario voor het aanleveren van ruwe data (C) of een uniforme verantwoording (E) ligt niet voor de hand. Een meer duurzame route is om na de afstemming met klanten (scenario B) te groeien naar een TPM over (een deel van) het beheer. Klanten hebben een basisniveau waarbij ze specifieke extra blokken kunnen wensen. In het basisniveau zitten in ieder geval de processen die de integriteit waarborgen waarmee ook de accountantscontroles worden ondersteund. Die zijn goed te plannen. Klanten moeten dan keuzes maken waarover ze zekerheid willen. Dit kan bijvoorbeeld via de klantenraad. Op termijn is de verwachting dat meer naar een meer continue verantwoording wordt toegegroeid (scenario D).

4.2 De strekking van een TPM evolueert met de tijd

Een TPM bestaat uit twee delen. Het eerste deel gaat over informatie over de geleverde diensten en het tweede deel bevat de assurance verklaring van de onafhankelijke auditor. Hierbij zijn twee varianten mogelijk. Variant één betekent dat de onafhankelijke auditor een onderzoek doet en op basis daarvan een rapport opstelt over de geleverde dienstverlening met een Assuranceverklaring (direct reporting). De tweede variant stelt dat het management van DICTU een verklaring opstelt over de geleverde dienstverlening. Een onafhankelijke auditor toetst de verklaring van het management op juistheid en volledigheid en verstrekt een Assuranceverklaring bij de managementverklaring.

Klanten van DICTU wensen in eerste instantie een TPM variant 1. In de interviews geven klanten nog niet concreet aan waarover zij een TPM wensen. Wel geven klanten voorbeelden van IT dienstverlening waarover zij meer informatie wensen. Deze voorbeelden betreffen Change Management, Security Management en Incident management. Daarom kan in eerste instantie ervoor worden gekozen om een TPM af te geven over deze drie processen indien deze geBniformeerd en gestandaardiseerd zijn.

De TPM evolueert met de wijze waarop DICTU verantwoording aflegt aan haar klanten. Een TPM kan bijdragen aan het verhogen van het vertrouwen in DICTU. Dat betekent dat de strekking van de TPM ook zal veranderen bijvoorbeeld van variant 1 naar variant 2. Als er sprake is van continuous monitoring kan een TPM worden verstrekt over de totstandkoming van de informatie die beschikbaar wordt gesteld aan klanten.

17 van 29 i Onderzoeksrapport verantwoordingen bij DICTU

4.3 Route naar verantwoording

Het groeipad in de verantwoording van DICTU aan haar klanten is in kaart gebracht met onderstaand schema:

Groeipad externe verantwoording

eh

OP> ,i, e*-

o° s,

"P # c," • §s 6,

e : ._<, d. 42. e,

t, sc§s

s 4 .0 4" .''''

e" b j cp ./ sPV'' Is e'.b`" "<'4' G, ,,,-, .<,,- st, ,<,,,-"P

vt," 41 l's ,604(' ,,,,oe",,,,4t * ,é‘

TPM Opzet&Bestaan Wering

2018 2019 2020 2021 Continuous verantwoording

Stap 0: Ad hoc audits en rapportages Verantwoording vindt plaats via diverse rapportages, gesprekken met klanten en audits. Dit is de huidige situatie medio 2018.

Stap 1: Klantenraad Het instrument audit inzetten als verantwoording richting klanten zoals ook bij andere leveranciers gebeurt. Een klantenraad is inmiddels opgericht maar er zou ook bij de CIO raad kunnen worden aangesloten.

Stap 2: Auditkalender De volgende stap die wij voorstellen is om bij klanten op functioneel niveau te inventariseren welke auditwensen zij hebben en deze in een auditkalender op te nemen. Tijdens de ronde tafel is gesproken over het aanbrengen van samenhang tussen audits. Wellicht kunnen audits worden gecombineerd. Het inventariseren van de auditwensen is een periodieke activiteit van de DICTU. De auditkalender is een levend document dat gedurende het jaar wordt aangevuld op basis van nieuwe wensen van klanten. Door het instellen van een auditkalender samen met klanten in een klantenraad kan de beschikbare auditcapaciteit worden verdeeld over de gewenste audits. Waar dat mogelijk is, kunnen audits voor meerdere klanten worden uitgevoerd. Een ad hoc verzoek van een klant kan betekenen dat in de klantenraad wordt besloten een andere audit van de kalender te schrappen of uit te stellen.

Bij deze stap stellen wij voor is om de DICTU beheeromgeving onder te verdelen in IT-objecten en beheerprocessen en deze in een matrix weer te geven. In deze matrix worden in eerste instantie de 1 geïnventariseerde audits opgenomen. DICTU vertaalt hierbij de functionele auditwens van klanten naar IT-objecten en beheerprocessen. Van iedere audit wordt aangegeven welke IT-objecten en beheerprocessen met welke diepgang worden onderzocht.

Stap 3: Nulmeting Vervolgens wordt een nulmeting uitgevoerd over 2018 waarbij in kaart wordt gebracht welke maatregelen zijn getroffen.

Bij deze stap wordt ook geïnventariseerd welke beheerdiensten zijn uitbesteed en wat aan deze externe leveranciers moet worden gevraagd om voor de uitbestede diensten zichtbaar te maken dat wordt voldaan aan wet- en regelgeving.

Stap 4: Stroomlijnen verantwoording DICTU kan in een verantwoording aangeven welke IT-objecten en beheerprocessen op dit moment voldoen en wat nog in ontwikkeling is. Aan een interne of externe auditor kan worden gevraagd om over de juistheid en volledigheid van deze verantwoording zekerheid toe te voegen.

Stap 5: Uniformering processen In het algemeen kan worden gesteld dat hoe uniformer de beheerprocessen voor klanten zijn ingericht dat te doelmatiger en doeltreffender de route naar een verantwoording kan worden afgelegd. Interne projecten en evaluaties ondersteunen deze uniformering.

Stap 6: TPM opzet en bestaan Een onafhankelijke auditor geeft een TPM af na een onderzoek over 2019 naar de opzet en het bestaan van de getroffen maatregelen met betrekking tot drie aandachtsgebieden waaraan de klanten in de interviews refereren: Change Management, Security Management en Incident Management voor de Cloud-omgeving.

In de verantwoording staat een beschrijving en beoordeling van de homogeen ingerichte IT-componenten en beheerprocessen centraal. In een verantwoording worden ook de concrete eisen voor de inrichting van de IT-componenten en beheerprocessen aangegeven. De resultaten (bevindingen en groeipad) van de confrontatie van voornoemde twee worden ook in de verantwoording opgenomen. Specifiek ingerichte IT-componenten en beheerprocessen voor een klant alsmede specifieke bevindingen voor een klant worden in een bijlage opgenomen. Een klant ontvangt dan de generieke verantwoording en de specifieke bijlage.

Stap 7: Evaluatie: In een volgende stap wordt de TPM geëvalueerd en waar nodig. Het groeipad kan met een risico-model en in overleg met de klantenraad bepaalde prioriteiten worden ondersteund. Mogelijke uitbreidingen van de strekking van een TPM kunnen de compliance kaders zoals de AVG en delen van de BIR of andere processen zijn.

Stap 8: TPM over opzet bestaan en werking De volgende stap omvat dat een onafhankelijke auditor in 2021 over 2020 een TPM afgeeft naar de opzet, het bestaan en de werking van de getroffen maatregelen minimaal met betrekking tot de drie genoemde aandachtsgebieden.

Stap 9: Voorbereiding op continuous verantwoording Tegelijkertijd werkt DICTU toe naar continuous monitoring. Passend hierbij is een samenhangende verantwoording van de DICTU waaruit blijkt in hoeverre de beheeromgeving voldoet aan wet- en regelgeving. Deze verantwoording groeit mee met de eerdere stappen. Dit groeipad kan in de verantwoording worden opgenomen. DICTU kan in deze verantwoording aangeven welke IT-objecten en beheerprocessen op dit moment voldoen en wat nog in ontwikkeling is. Aan een auditor kan worden gevraagd om over de juistheid en volledigheid van deze


verantwoording een verklaring op te stellen. Om dit te kunnen realiseren zullen sensoren moeten worden ingericht die de events opslaan in postbussen van de klant zodat de klant via deze postbussen een continue informatie over de werking van IT-objecten en beheerprocessen ontvangt. DICTU kan deze informatie nog veredelen door vooraf samen met de klanten KPI's te definiëren en de informatie die afwijkt van de KPI's beschikbaar te stellen.

44 Kosten van een TPM

Een mogelijk kostenmodel is dat DICTU zorgt voor een basis verantwoording aan haar klanten. Daarnaast kan een verantwoording over en onderzoek naar objecten en processen die niet homogeen zijn ingericht of waar specifieke afspraken zijn dan voor rekening klanten komen. Auditors geven aan dat een gangbaar TPM normenkader ongeveer 5 controledoelstellingen kent met controlemaatregelen. Een controledoelstelling heeft gemiddeld 6 tot 8 controls. Een ruwe schatting is 16 uur toetswerk per control plus 200 uur aan projectbegeleiding. Dat zou voor 5 control objectives uitkomen op ongeveer 900 uur aan auditwerk.


5 Verantwoording onderzoek

5.1 Werkzaamheden en afbakening

In opdracht van mw. drs. G.M. Keijzer - Baldé van DICTU hebben wij een verkenning van de mogelijkheden en realistische verwachtingen voor het in de nabije toekomst kunnen afgeven van een TPM onderzocht. DICTU wil de resultaten van dit onderzoek gebruiken voor besluitvorming in het DT.

Onderzoeksvragen 1. (Extern) Wat is de behoefte aan verantwoording aan de stakeholders waar

een TPM aan bij zou kunnen dragen? 2. (Intern) Welk aggregatieniveau (categorieën van diensten) van IT diensten

zou in aanmerking komen voor een TPM? 3. (Audit) Hoe en op welke wijze zou een TPM vormgegeven kunnen worden? 4. (Ontwikkeling) Wat is een realistisch scenario voor DICTU voor TPM's?

Het object van onderzoek is de verantwoording over de IT omgeving van DICTU die zij voor haar klanten beheert en de daarbij behorende interne beheersprocessen. Er is geen onderzoek gedaan naar de volwassenheidsniveaus of kwaliteit van de IT processen zelf.

De werkzaamheden zijn uitgevoerd in het najaar van 2017 en het voorjaar van 2018. In overleg is het aantal geïnterviewden hoger dan vooraf was voorzien en heeft de opdracht een langere doorlooptijd gehad.

Voor dit onderzoek zijn 15 gesprekken gevoerd met betrokkenen (zie bijlage 5). De concept interviewverslagen zijn ter afstemming voorgelegd aan de geïnterviewden. Daarnaast zijn documenten verkregen uit het onderzoek bestudeerd. Sluitstuk was een workshop in samenwerking met de IA van DICTU om tot een realistisch scenario te komen.

5.2 Gehanteerde Standaard

Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing.

In dit rapport wordt geen zekerheid verschaft, omdat er geen assurance-opdracht is uitgevoerd.

5.3 Verspreiding rapport

De opdrachtgever, mw. drs. G.M. Keijzer - Baldé van DICTU is eigenaar van dit rapport. De ADR is de interne auditdienst van het Rijk. Het rapport over dit onderzoek is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken na oplevering door de ADR op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.


6 Ondertekening

Den Haag, 18 oktober 2018

Autntmanager Auditdienst Rijk

Management reactie Dank voor de rapportage. Om tot continuous verantwoording te komen zal DICTU een meerjarig groeipad moeten doorlopen met als eerste stappen een afgestemde auditkalender en het (streven naar) een beheersbare vorm van een meer uniforme verantwoording. Dit kan niet zonder de opdrachtgevers van DICTU hierbij te betrekken. De eerste stap is dan het opstellen van een jaarlijkse auditkalender. Deze kalender zal moeten worden besproken in het Bestuurlijk Overleg DICTU en de Klantenadviesraad.

Den Haag, 20 augustus 2018

Gerdine Keijzer- Baldé

Algemeen directeur DICTU

23 van 29 Onderzoeksrapport verantwoordingen bij DICTU

Bijlagen

Bijlage 1: Globaal overzicht audits bij DICTU

2015

Wettelijke taak /EU ADR: EBS, BAS, Client, betalingsverkeer, Compas Compliance: BIR (ADR), DigiD's en ISO (DSC) Vraaggestuurd ADR: Pilot GRC, digitale handtekening, autorisaties, boekingsanalyse, CMDB

2016

Wettelijke taak/EU ADR: EBS, BAS Compliance : BIR, Datalekken,grote ICT projecten (ADR). 0a, DigiD en ISO (IA/DSC) Vraaggestuurd ADR: Domus, virus, bekostiging Tenderned, GLB, Continuïteit, Mobil devices, Rijkspas, ICT kosten Vraaggestuurd IA: o.a. risicomanagement, bedrijfsvoering

2017

Wettelijke taak/EU ADR: EBS, BAS, betalingsverkeer ING, websolutions, Domus, Interreg Compliance : BIR, grote ICT projecten AVG (ADR), ISO, DidiD (IA) Vraaggestuurd ADR: Huis op orde, migratie Cloud, Cloud normenkader beveiligingsbewustzijn, pentesten ACM, omgeving AT, IT Governance Vraaggestuurd IA: o.a. veranderprogramma, Informatiebeveiliging, bedrijfsvoering

2018

Wettelijke taak/EU ADR: EBS, BAS, ANLB, BBR (planning)

Compliance : BIR, grote ICT projecten AVG (ADR), ISO, DidiD (IA) Vraaggestuurd ADR:TPM, betrouwbaarheid rapportages, TOPDesk, beveiligingsorganisatie, afhandeling datalekken, scheiding EZK/LNV, Life IP Vraaggestuurd IA: o.a. veranderprogramma, AVG, Cloud omgeving en Cloud werkplek, Informatiebeveiliging, DISCO

(Betreft een inschatting op basis jaarplan ADR, kalender DICTU DSC, jaarplannen IA)

Bijlage 2: Over richtlijnen

Welke standaarden of richtlijnen gehanteerd worden hangt af van de beroepsgroep en de nationale of internationale setting. De Nederlandse IT auditors die bij de beroepsgroep NOREA zijn aangesloten hanteren deze twee belangrijkste.

1) Richtlijn 3000 (A & D) Assurance opdrachten ISAE 3000 is de standaard voor assurance over niet-financiële informatie

Bij de A (attest) versie is de conclusie van de IT-auditor is gericht op de vraag of de informatie over het onderzoeksobject geen afwijking van materieel belang bevat. Bij een attest-opdracht meet of evalueert een andere partij dan de IT-auditor het onderzoeksobject ten opzichte van de criteria. Het management van de organisatie schrijft bijvoorbeeld een algemeen gedeelte kan en licht de governance structuur toe. Bij de D (Direct) versie is de conclusie van de IT-auditor gericht op de


gerapporteerde uitkomst van de meting of evaluatie van het onderzoeksobject ten opzichte van de criteria.

2) Richtlijn 3402. Assurance rapporten betreffende interne beheersmaatregelen bij een serviceorganisatie. De rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving.

Deze vaktechnische Richtlijn is een Nederlandse vertaling van International Standard on Auditing 3402 ‘Assurance reports on controls at a Service organization'. De tekst van deze Richtlijn 3402 komt overeen met de tekst van Standaard 3402 van de beroepsorganisatie van accountants NBA met uitzondering van aanduiding van het document (Richtlijn versus Standaard),

Internationaal wordt de term Service Organisatie Control (SOC) rapport gehanteerd van het American Institute of Certified Public Accountants (AICPA). Er zijn drie categorieën: • SOC 1 - een rapportage over de beheersmaatregelen bij een serviceorganisatie die relevant zijn voor de interne beheersing van financiële verantwoordingsprocessen. SOC 1-rapporten worden in de Verenigde Staten uitgebracht in overstemming met SSAE 16. Buiten de Verenigde Staten zouden deze rapporten onder de internationale standaard ISAE 3402 kunnen worden uitgebracht. • SOC 2 - een rapportage over de beheersmaatregelen bij een serviceorganisatie die relevant zijn voor informatiebeveiliging, beschikbaarheid, integriteit van gegevensverwerking, vertrouwelijkheid of privacy. In de Verenigde Staten worden SOC 2-rapporten uitgebracht onder standaard AT 101. Buiten de Verenigde Staten zouden deze rapporten onder de internationale standaard ISAE 3000 kunnen worden uitgebracht. • SOC 3 - een Trust Services rapportage voor serviceorganisaties. Evenals de SOC 2-rapporten kunnen deze onder ISAE 3000 worden uitgebracht. Een SOC 3-rapport kan voor een breder publiek worden gebruikt dan een SOC 2-rapport.

Bijlage 3: Auditscoping

Een denkrichting voor de scoping is de standaardprocessen van DICTU af te zetten tegen auditobjecten (bijvoorbeeld de kritieke systemen (in afstemming met klanten). Als beheersdoelstelling kunnen de ISO doelstellingen worden gehanteerd.

Voeg bij de uniforme processen de Key controls toe in de procedurebeschrijvingen. Dit kan een beperkte set zijn van alle maatregelen. Per beheersdoelstelling zijn dan een aantal key controls gedefinieerd die tezamen het controlframework vormen voor een TPM.


Proces Informatiesysteem Orga nisati e-onde rdeel DICTU

Beleid- sproces

Infor matie-beveili ging

Lev erin gs-pro ces

Autori salie Behee

Business Continui ty Manage ment

Availabilit y Managem ent

Capacity Managem ent

Change Managemen

Configur atie Manage ment

Zaakafhandeling en termijnbewaking, Post-en dossierarchieven

Perfectview ACM

v Diverse processen gebruiken het informatiesysteem RP2000. *1)

RP2000 (Resource Planning: modulaire applicatie met o.a. relatiegegevens en vergunningen)

AT

v v Diverse processen gebruiken de weBSite.

WeBSite (www.agentschapteleco m.nl en www.antennebureau.nl)

AT

v v Toezicht op frequentiegebruik.

NFR (nationaal frequentie register)

AT

Documentmanagement DOMUS DB

Financiële transacties eBS DB v v

Kantoorautomatisering Kantoorautomatisering (KA)

DB

Delen documenten Netwerkshare(s) DB

Export en inspectie

Import plant en inspectie

CLE, CMS (Client Export) CLI (Client Import)

NVWA

NVWA v

v

v

v

v Import veterinair en inspectie

Traces EU, Traces NL NVWA

Bijlage 4: Voorbeeld normenkader uitbestede diensten NOREA

6.10 Change Management (CHA)

6.10.1 Definitie

Change Management draagt zorg voor het doorvoeren van wijzigingen in de IT-middelen en IT-diensten.

6.10.3 Beheersingsdoelstellingen

Ref. Beheersingsdoelstellingen

F

Wijzigingsaanvragen dienen te worden geautoriseerd met inachtneming van de risico's voor de IT-dienst.

G

Wijzigingen dienen juist, volledig en tijdig te worden doorgevoerd.

H

De IT-dienst dient te zijn beschermd tegen verstoringen door onjuiste wijzigingen en door ontwikkel- en testactiviteiten.

Nr. Beheersingsmaatregel

Identificatie

Key Doel Vastleggingen

Voorgestelde wijzigingen worden systematisch geclassificeerd op impact en urgentie.

01 F G H Wijzigingsregistratie met impactanalyse.

02 Voorgestelde wijzigingen worden geautoriseerd met in achtneming van de impactanalyse en acceptatiecriteria.

Notulen wijzigingsoverleg. Wijzigingsregistratie.

F H

6.10.5 Prestatie-indicatoren

Prestatie-indicatoren waarmee het prestatieniveau kan worden afgesproken tussen de klant-

en serviceorganisatie, zijn onder andere:

Nr. Prestatie-indicator

Prestatie-indicatoren te meten door de klantorganisatie

Prestatie-indicatoren te meten door de serviceorganisatiel

01

Het aantal of het percentage van wijzigingen dat per periode wordt gesignaleerd zonder registratie en autorisatie. (R)

02

Het aantal of het percentage incidenten per impactcategorie dat uit wijzigingen voortkomt. (R)

03

Het aantal of het percentage wijzigingen dat binnen de geplande doorlooptijd en budget is uitgevoerd. (R)

04

Het gerealiseerde budget of het aantal bestede uren aan wijzigingen per periode. (I)

Zie website: https://www.norea.ni/download/?id=2341

Bijlage 5: Geïnterviewden

Medewerkers IA DICTU Medewerker DSC DICTU Medewerker bureau architectuur DICTU Security manager DICTU Relatiemanager DICTU Medewerkers IA RVO Financiën en control RVO Informatiemanager DICTU Kwaliteitsmanager DICTU Medewerkers informatiebeveiliging RvIG Auditmanagers SSC-ICT CFO en CIO Office NVWA ADR vaktechniek (intern)


Auditdienst Rijk Postbus 20201 2500 EE Den Haag (070) 342 77 00

Onderzoeksrapport Verantwoordingen bij DICTUverantwoordingen+bij+DICTU.pdfTPM voorziet in behoefte...

Documents

Transcript of Onderzoeksrapport Verantwoordingen bij DICTUverantwoordingen+bij+DICTU.pdfTPM voorziet in behoefte...