Toetsingskader voor business intelligence ... Colofon â€کToetsingskader voor business...

download Toetsingskader voor business intelligence ... Colofon â€کToetsingskader voor business intelligence systemen

of 40

  • date post

    24-Feb-2021
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of Toetsingskader voor business intelligence ... Colofon â€کToetsingskader voor business...

  • Toetsingskader voor business intelligence systemen

    - IT auditor versus BI omgevingen -

    postgraduate IT-opleiding Vrije Universiteit Amsterdam Gaston Stassen Niels Kappert

    Assen, maart 2009

  • Colofon ‘Toetsingskader voor business intelligence systemen binnen UVIT’ Het doel van het onderzoek is te komen tot een auditinstrument dat gebruikt kan worden binnen de UVIT organisatie bij de totstandkoming of beoordeling van een business intelligence systeem, waarbij gebruik wordt gemaakt van een datawarehouse en informatiebeveiliging voldoende wordt belicht. Scriptie Deze scriptie is geschreven in het kader van de afronding van de postgraduate IT-auditopleiding aan de Vrije Universiteit van Amsterdam. Begeleider Vrije Universiteit Dr. A. Shahim RE Begeleider Univé verzekeringen Dhr. W. van Maaren Auteurs Dhr. G.P.G. Stassen Dhr. N. Kappert

  • Voorwoord Beste lezer, voor u ligt onze afstudeerscriptie ter afronding van de postgraduate IT- audit opleiding aan de Vrije Universiteit. De totstandkoming van deze scriptie was een boeiend en tijdrovend proces. Wat is nu precies business intelligence en datawarehousing en wanneer spreekt men over een datawarehouse? Is het nodig om een business intelligence systeem te beoordelen en zo ja, op welke wijze zou een IT auditor dit dan kunnen doen? Allemaal vragen die wij in deze scriptie trachten te beantwoorden. Waarom dit onderwerp? Wij constateren dat steeds meer organisaties gebruik maken van business intelIigence oplossingen. Dit geldt ook voor de organisatie UVIT, een fusieorganisatie tussen Univé, Vgz, Iza en Trias, waarbinnen wij werkzaam zijn. Zowel Univé, VGZ, Iza en Trias hebben hun eigen business intelligence omgevingen. Hierbij is in alle gevallen gebruik gemaakt van een centraal datawarehouse. Als gevolg van de fusie zullen de verschillende IT landschappen geïntegreerd worden. Vanwege de hoge informatiewaarde, de kosten en lange doorlooptijden bij de ontwikkeling en implementatie van dergelijke systemen is het van belang dat de risico’s op een afdoende wijze worden beheerst. Daarom wordt binnen UVIT in toenemende mate vanuit het management gevraagd om een audit uit te voeren op dit type systemen. Kortom, wij verwachten dat de IT auditor steeds vaker zal worden geconfronteerd met de vraag om dergelijke systemen te beoordelen. Naast de te verwachte toenemende vraag is er nog een andere reden waarom wij graag meer inzicht willen krijgen in deze materie. Gedurende de reguliere opleiding is weinig tot geen aandacht besteed aan dit onderwerp. Door het kiezen voor business intelligence hebben wij alsnog op een intensieve wijze kennis en ervaring kunnen opdoen rondom dit onderwerp. Wij hopen met dit onderzoek en deze scriptie een bijdrage te hebben geleverd op welke wijze een IT auditor een business intelligence systeem kan beoordelen. Vanzelfsprekend was de totstandkoming van deze scriptie niet mogelijk geweest zonder de inbreng, wijsheid en ondersteuning van de begeleidende coaches. Gaston en Niels

  • Inhoudsopgave

    1 Inleiding en onderzoeksopzet............................................................................ 5 1.1 Achtergrond................................................................................................. 5 1.2 Aanleiding ................................................................................................... 5 1.3 Doelstelling onderzoek ................................................................................ 5 1.4 Onderzoeksvragen ...................................................................................... 6 1.5 Resultaat van het onderzoek....................................................................... 6 1.6 Aanpak........................................................................................................ 6 1.7 Reikwijdte.................................................................................................... 7 1.8 Leeswijzer ................................................................................................... 7

    2 Business intelligence......................................................................................... 8 2.1 Inleiding....................................................................................................... 8 2.2 Invalshoek business intelligence?................................................................ 8 2.3 Wat is business intelligence?....................................................................... 9 2.3.1 Gericht proces ....................................................................................... 9 2.3.2 Bijbehorende voorzieningen .................................................................. 9 2.3.3 BI-cyclus................................................................................................ 9

    2.4 Nut en noodzaak van business intelligence................................................10 2.4.1 Verwachtingspatroon............................................................................10 2.4.2 Informatiekloof ......................................................................................11

    2.5 Karakteristieken van business intelligence systemen .................................12 2.5.1 Business intelligence systemen versus operationele systemen ............13 2.5.2 Datawarehouse concept .......................................................................13 2.5.3 Welke kwaliteitsaspecten spelen een rol bij informatiesystemen?.........16

    3 Kwaliteitsmodellen en informatiebeveiliging .....................................................19 3.1 Inleiding......................................................................................................19 3.2 Kwaliteitsmodellen binnen UVIT .................................................................19 3.3 Wat is informatiebeveiliging?......................................................................20 3.3.1 Kwaliteitsaspecten informatiebeveiliging...............................................21 3.3.2 Waarom informatiebeveiliging?.............................................................21 3.3.3 Informatiebeveiliging binnen UVIT ........................................................22

    4 Praktijkonderzoek.............................................................................................24 4.1 Aanpak.......................................................................................................24 4.2 Belangrijkste bevindingen en conclusies ....................................................24 4.2.1 Mate van belang van de BI systemen voor UVIT ..................................24 4.2.2 De mate waarin aandacht is voor informatiebeveiliging ........................25 4.2.3 Risicoinventarisatie...............................................................................26

    5 Het auditinstrument ..........................................................................................27 5.1 Inleiding......................................................................................................27 5.2 Het toetsingskader .....................................................................................27

    6 Samenvatting ...................................................................................................31 Literatuurlijst.....................................................................................................33 Begrippenlijst ...................................................................................................34 Bijlage I: Kenmerken BI systemen UVIT...........................................................36 Bijlage II: Scoremodel BI systemen UVIT.........................................................37 Bijlage III: Programma workshop......................................................................38 Bijlage IV: Overige onderkende risico’s ............................................................39 Bijlage V: Lijst van betrokken medewerkers .....................................................40

  • 908_toetsingkader_voor_business_intelligence_systemen_Kappert_Stassen.doc 5 - 40

    1 Inleiding en onderzoeksopzet

    1.1 Achtergrond Business intelligence systemen zijn voornamelijk bedoeld om managers van accurate en relevante informatie te voorzien, waardoor strategische beslissingen worden verbeterd. De consequenties van niet accurate en irrelevante data in deze informatiesystemen kunnen leiden tot foutieve beslissingen die desastreuze gevolgen kunnen hebben voor de bedrijfscontinuïteit van een organisatie. De Univé-VGZ-IZA-Trias organisatie (UVIT) is onderhevig aan een fusie waarbij de verschillende IT landschappen geïntegreerd zullen worden. Dat betekent dat keuzes worden gemaakt welke systemen blijven bestaan en welke systemen uitgefaseerd zullen worden. Bij dit selectietraject zal eveneens een keuze worden gemaakt uit de aanwezige business intelligence systemen. Vanuit het oogpunt van de hoge informatiewaarde, de kosten en lange doorlooptijden die vaak gepaard gaan bij de ontwikkeling en implementatie van deze systemen is het van belang dat de risico’s aan dergelijke systemen op een afdoende wijze worden beheerst. Daarom wordt binnen UVIT in toenemende mate vanuit het management gevraagd om een audit uit te voeren op dit type systemen.

    1.2 Aanleiding Voor een verzekeraar als UVIT is het zorgvuldig omgaan met informatie van het grootste belang. Dit is niet alleen een verplichting naar de klant, maar eveneens een wettelijke verplichting die wordt gecontroleerd door externe toezichthouders. De afgelopen jaren heeft UVIT een serieuze achterstand o