Deel 5 Bestuurlijke informatieverzorging en automatisering

Report
Deel 5 BIV en automatisering
1
2
Elementen geautomatiseerd BIVsysteem
Niet alleen hardware maar ook
• Software waaronder besturingsprogramma’s,
• Gegevensverzamelingen;
• Mensen (gebruikers, beheerders,
ontwikkelaars);
• Procedures
“De ketting is zo sterk als de zwakste schakel!”
3
Toepassingsvraag 1
• Geef een aantal voorbeelden hoe procedures
een technisch goed informatiesysteem toch
sterk kunnen verzwakken.
4
5
Onderwerpen
1. Informatiebeleid en informatieplan (18)
2. Ontwikkelen van informatiesystemen (19)
3. General & application controls (20)
6
1. Informatiebeleid en informatieplan
• Informatiebeleid: de rol van bestuurlijke
informatieverzorging binnen de strategie van
de onderneming
• Informatieplan: concreet uit te voeren
projecten die vorm geven aan het
informatiebeleid
7
Relatie ondernemingsstrategie en
informatiebeleid specifiek ICT
• Indirecte rol: de ICT moet de strategie
mogelijk maken.
• Directe rol: de ICT leidt tot een nieuwe
strategie.“Voorbeeld: verkopen via internet”
8
Ondernemingsstrategie en ICT
9
Toepassingsvraag 2
• Welke rol moest de bonuskaart van Albert
Heijn aanvankelijk krijgen en hoe veranderde
deze rol toen de strategie veranderde?
10
Informatieplan is de concrete
vormgeving van informatiebeleid
1. Informatiesysteemmodel;
2. technische infrastructuur;
3. organisatie van de bestuurlijke
informatieverzorging;
4. procesmodel;
5. projectplannen.
11
12
2. Ontwikkelen van informatiesystemen
Ongeacht de methode van systeemontwikkeling
zullen systemen altijd:
• Relevante informatie moeten produceren;
• voldoende waarborgen voor betrouwbaarheid
moeten hebben;
• voldoende waarborgen voor continuïteit
moeten hebben;
• moeten voldoen aan kosten-baten
afwegingen.
13
Succesvolle ontwikkeling is niet
vanzelfsprekend
• Gevolgen van slechte ontwikkeling kunnen
aanzienlijk zijn en lang doorwerken.
• Klanten worden hier ook mee geconfronteerd.
• Aanzienlijke risico’s.
14
15
Belangrijke risico's
Voorbeeld beheersingsmaatregel
Het opgeleverde geautomatiseerd informatiesysteem
Bepaal informatiebehoefte met
levert geen relevante informatie.
behulp van tolmodel.
Het opgeleverde geautomatiseerd informatiesysteem
Stel van te voren de
levert geen betrouwbare informatie.
betrouwbaarheidsrisico’s vast.
Het opgeleverde geautomatiseerde informatiesysteem
Bepaal en test of aan de
werkt niet continue.
continuïteitseisen is voldaan.
De ontwikkeling van het geautomatiseerde
Gefaseerde planning,
informatiesysteem duurt te lang.
voortgangscontrole.
De ontwikkeling van het geautomatiseerde
Budget per fase, tussentijdse
informatiesysteem kost te veel geld.
controle op overschrijding.
De gebruikers kunnen of willen niet met het ontwikkelde
Betrek gebruikers,
geautomatiseerde informatiesysteem werken.
gebruikeracceptatietest.
16
Toepassingsvraag 3
• Wie kent er uit eigen ervaring een organisatie
waar de ontwikkeling van een nieuw
informatiesysteem niet succesvol verliep?
• Wat waren de gevolgen?
17
Fasen bij systeemontwikkeling
18
Verschillende methoden
• Traditionele watervalmethoden (bijvoorbeeld
SDM): sterk gestructureerd en weinig flexibel.
• Prototyping, komt zo snel mogelijk tot een
prototype dat door interactie met gebruikers
steeds meer bijgeschaafd wordt.
• Standaardpakket, organisatie zal zich moeten
aanpassen ondanks de mogelijkheid tot
parametriseren (praktijk bij ERP).
19
De fasering verschilt per methode.
20
21
22
Toepassingsvraag 4
• Wat wordt bedoeld met een waterval
methode?
23
24
Toepassingsvraag 5
• Voor welke situaties is de Dynamic System
Development methode als voorbeeld van
prototyping niet zo geschikt?
25
Ontwikkelfasen ERP-systemen:
standaard software
26
Toepassingsvraag 6
• Welke overwegingen moet een organisatie
maken bij de softwareselectie gelet op de
leverancier?
27
3. General & application controls
• General controls: algemene interne
controlemaatregelen die van toepassing zijn
op alle applicaties.
• Application controls: interne controle
maatregelen binnen een individuele
applicatie.
28
General control framework
29
30
Data resource controls
Trends in gegevensbeheer:
• centrale verwerking
• cloud computing
31
Toepassingsvraag 7
• Cloud computing biedt een oplossing voor een
aantal risico’s maar betekent ook nieuwe
risico’s. Wat wordt hier mee bedoeld?
32
33
Security controls voor verschillende
risico’s
Categorie risico's

Schade door brand

Schade door water

Schade door variaties in de stroomvoorziening

Vervuiling

Vernieling als gevolg van een ramp

Ongeoorloofde inbraak

Virus en wormen

Misbruik van software, gegevens en diensten

Hackers
34
35
36
Toepassingsvraag 8
• Moet de aandacht voor security controls voor
elke organisatie gelijk zijn?
37
Operations controls, vaak uitbesteed
dan zijn afspraken noodzakelijk!
Stappen om tot een Service Level Agreement te komen
Stap 1. Onderzoek naar het niveau en het soort ICT-diensten
Stap 2.Specificeren en kwantificeren van de af te nemen diensten.
Stap 3.Selectie van de dienstverlener.
Stap 4. Meten van de werkelijke prestaties en vergelijken met de afgesproken
prestaties
Stap 5. Bijstellen van de afgesloten Service Level Agreement.
38
Quality assurance controls
Impliceert onder meer:
• Het vaststellen aan welke kwaliteitseisen op
welk niveau moet worden voldaan;
• Het meten van het werkelijke
kwaliteitsniveau;
• Het zo nodig aanpassen van de ICT-actviteiten.
39
Application control framework
Application controls
Betekenis
IT Boundary controls
Interne controle maatregelen die de toegang regelen tot
applicaties (waaronder logische toegangsbeveiliging).
Input Controls
Interne controle maatregelen die zorg dragen voor een volledige
en juiste invoer in de applicaties.
Communication controls
Interne controle maatregelen die zorgdragen voor een
betrouwbare verbinding tussen de invoerder en het verwerkende
geautomatiseerde informatiesysteem.
Processing controls
Interne controle maatregelen die zorgdragen voor een volledige
en juiste verwerking van de ingevoerde gegevens.
Database controls
Interne controle maatregelen die zorg dragen voor een
betrouwbare werking van de databases.
Output controls
Interne controle maatregelen die zich richten op de juistheid en
volledigheid van de uitvoer.
40
41
Toepassingsvraag 9
• Op welke wijze hangen de application controls
met elkaar samen? Zie je een logische
volgorde?
42
Boundary controls
Risico’s:
• Slordig omgaan met wachtwoorden.
• Het niet goed bijhouden van de
competentietabellen.
• Superusers.
43
44
Input controls
Juistheid
Volledigheid

Field checks

Verplichte invoervelden

Bestaanscontrole

Batch controles

Redelijkheidscontrole

Waarschijnlijkheidscontrole
45
46
47
Processing controls
Bewaken volledige, juiste en tijdige verwerking:
• vaak technisch van aard (door het systeem zelf
uitgevoerd);
• kunnen ook het karakter van geprogrammeerde
verbandscontroles hebben.
“ontvangen aanvragen = geaccepteerde aanvragen
+ aanvragen in behandeling + afgewezen
aanvragen”.
48
49
Toepassingsvraag 10
• Moeten de verbanden uit figuur 20.9 altijd
sluiten?
• Wie brengt deze verbanden aan?
• Op welke wijze komt de gebruiker van het
informatiesysteem er achter dat de verbanden
niet sluiten?
50
Output controls
Interne controle maatregelen gericht op de
juistheid en volledigheid van de uitvoer.
• Juistheid: bijvoorbeeld visuele controle van
een geproduceerde factuur.
• Volledigheid: aantal geproduceerde
rekeningoverzichten volgens
verwerkingsverslag = aantal bijmutaties
debiteuren?
51
52
Communication controls
Gerichte op de betrouwbare transmissie van
gegevens tussen gebruiker en systeem.
• Beveiligde kanalen;
• Soms is encryptie noodzakelijk.
• Maatregelen kunnen ook gericht zijn op
reservecapaciteit aan hardware.
53
Database controls
• Interne controlemaatregelen gericht op het
integer en beschikbaar houden van databases.
• Betrouwbare werking Database Management
Systeem (DBMS) is essentieel!
54
55

similar documents