De juiste balans tussen control en collaboration voor de interne beheersing van

De interviewvragen welke binnen dit onderdeel van het interview zijn gesteld luiden als volgt: 6. Hoe kijkt u tegen deze benaderingen van interne beheersing aan, bent u het er mee

eens dat er een balans tussen control en collaboration gevonden moet worden?

7. Wat is volgens u de juiste balans tussen control en collaboration met betrekking tot de interne beheersing voor autorisatiebeheer?

8. Kan de juiste balans tussen control en collaboration bijdragen aan de interne beheersing van autorisatiebeheer?

9. Wat vindt u er van om de juiste balans tussen control en collaboration nader te specificeren in termen van een effectievere of efficiëntere interne beheersing?

10. Wat is uw mening over deze redenering? Heeft u mogelijk nog opmerkingen/aanvullingen? Vraag: 6 7 8 9 10 Geïnterv iewde: 1 Ja, de controlbalans moet afgestemd worden op het bedrijf zijn waar hij wordt toegepast.

Afdelingen waar creatiever om moet worden gegaan met informatie

collaboration aanpak. Afdelingen waar het risico op fraude en fouten hoog is control aanpak.

Keuze werkt door in informatiebeveiliging sbeleid. Moet wederzijds vertrouwen tussen werkgever en werknemer zijn. Je bereikt meer met vertrouwen dan met repressie.

Weet niet of het wel zo simpel uitgedrukt kan worden. Ook vanuit risicoperspectief naar controlbalans kijken. Mee eens. 2 Klopt. Financiële instellingen kiezen control kant met invloeden uit collaboration zijde. Dit om flexibiliteit

Ik denk het wel. Is gevaarlijke opmerking. Binnen beide benaderingen moet een effectieve interne beheersing gewaarborgd Hier ben ik het wel degelijk mee eens.

De inhoud van IT-control, en dan met name functiescheiding, is wat mij betreft cruciaal voor de interne beheersing van autorisatiebeheer. Dit omdat IT-control aan de ene kant te maken heeft met beheersing maar aan de andere kant ook te maken heeft met efficiency en effectiviteit. Doormiddel van de achterliggende gedachte van functiescheiding kun je efficiency en effectiviteit bewerkstelligen. (Leijendekker)

toe te voegen aan interne beheersing autorisatiebeheer.

worden. 3 Ja, vinden van

balans heeft grotendeels te maken met vanuit welk

risicoperspectief je dit probleem benaderd. Moet een balans tussen beide worden gevonden.

Is afhankelijk van type bedrijf en het risicoprofiel. Financiële instelling moet op bedrijfskritische applicaties control aanpak toe passen en op niet

bedrijfskritische applicaties collaboration aanpak toepassen.

Ja, als de balans niet op orde is verdwijnt het overzicht.

Vind ik een goede specificatie. Hier ben ik het mee eens. 4 Is afhankelijk van organisatorische context. Moet balans gevonden worden omdat alleen control een negatieve invloed op motivatie van werknemers heeft.

Is geen generiek model. Financiële instelling kiest niet voor boven gemiddelde invulling van de collaboration zijde. Controlbalans ligt tussen midden en de controlzijde in.

Mogelijk. Kan ik niet helemaal overzien.

Goede specificatie als het gaat om niet bedrijfskritische applicaties Goed omschrij ven wat je definieer t als bedrijfsk ritisch. 5 Ja, je kunt niet

alles top-down benaderen. Je zoekt een middenweg tussen top-down inzicht en uitgegeven autorisaties. Jazeker. Zijn drijfveren van autorisatiebeheer. Financiële instelling zal kiezen voor controlkant met collaboration invloeden.

Geen goede specificatie. Keus voor één van twee uitersten sluit effecten beide benaderingen niet uit. Ja, hier ben ik het mee eens. 6 Ik ben het er helemaal mee eens. Op risicovolle applicatie control. Op niet risicovolle applicatie collaboration.

Ja, anders raak je het overzicht kwijt.

Is meer dan alleen efficiency en effectiviteit. As tussen control en collaboration verschuift afhankelijk van risicobenadering. Ja, daar ben ik het mee eens. ID* X Beveiligings-filosofie is niet “alles mag, tenzij” maar evenmin “niets mag, tenzij”.

X X X

* Intern Document Tabel 5: De juiste controlbalans voor de interne beheersing van autorisatiebeheer

Alle geïnterviewden toonden zichtbaar (grote) interesse in de vraag wat de juiste balans tussen control en collaboration is voor de interne beheersing van autorisatiebeheer. De geïnterviewden waren het eens met de conclusie van Sundaramurthy en Lewis (2003), dat er een balans tussen control en collaboration moet worden gevonden. De heer Ter Hart gaf aan dat er een controlbalans moet worden gevonden omdat er simpelweg de tijd niet voor is om alles top-down te benaderen. Hierdoor kan lokaal (op een afdeling of kantoor) meer speelruimte aanwezig zijn. Dit blijkt uit het volgende citaat:

Als je naar autorisatiebeheer kijkt heb je van bovenaf de visie, richtlijnen en kaders waarin het proces moet bewegen en daarbinnen kan lokaal wat meer speelruimte aanwezig zijn. Hoe men hier mee omgaat, hangt af van de grootte en het risicoprofiel van de organisatie. (ter Hart)

Met betrekking tot de controlbalans werd door sommige geïnterviewden gerefereerd aan de huidige situatie van de interne beheersing binnen autorisatiebeheer bij Friesland Bank. De geïnterviewden gaven aan dat de mogelijkheid om op uitzonderingen op de regel in te spelen nagenoeg niet aanwezig is. Omdat er momenteel een strikte benadering van interne beheersing binnen autorisatiebeheer wordt gehanteerd. Omdat flexibiliteit in een dergelijk systeem ontbreekt, is het moeilijk om op maatschappelijke en technologische ontwikkelingen in te spelen. Zoals een geïnterviewde aangaf heeft waarschijnlijk ieder bedrijf in theorie de voorkeur voor een zo control mogelijk gerichte aanpak. Maar in de praktijk is een keuze voor één van de twee uiterste beheersingsbenaderingen geen reële mogelijkheid. Daarnaast werd aangegeven dat de benadering van juiste controlbalans veelal afhankelijk is van de typologie of het risicoprofiel van een organisatie. Daarom is het, overeenkomstig Merchant en v/d Stede (2003), niet mogelijk om een uniforme of generieke controlbalans op te stellen welke toepasbaar is op elke organisatie. De heer Meindertsma verwoordde dit heel duidelijk:

De geïnterviewden vonden het dan ook een pluspunt dat er in het theoretisch stappenplan rekening wordt gehouden met de “organisatorische context”. Zij gaven aan dat door dit aspect toe te voegen duidelijk wordt aangegeven dat de controlbalans moet worden afgestemd op de specifieke organisatie waar het model wordt toegepast.

Met betrekking tot vraag 7 werd opgemerkt dat door de invloeden van de organisatorische context het logisch is dat er organisaties zijn welke een meer control gerichte aanpak of juist een meer collaboration gerichte aanpak van interne beheersing kiezen. De geïnterviewden gaven aan dat een financiële instelling zoals een bank niet snel zal kiezen voor een groter dan gemiddelde invulling van de collaboration zijde. Dit door de vele diverse potentieel aanwezige risico´s op fraude en de steeds strenger wordende wet- en regelgeving waar financiële instellingen mee te maken hebben. Maar de geïnterviewden benadrukten dat ook binnen financiële instellingen doorstroming van enige collaboration invloeden in de interne beheersing van autorisatiebeheer wel degelijk gewenst is. De heer de Zwart deelde deze mening, zoals blijkt uit onderstaand citaat:

Volgens de geïnterviewden is het juiste scenario voor de interne beheersing van autorisatiebeheer binnen een financiële instelling gepositioneerd tussen het midden en de controlzijde op de controlbalans. Er werd bij vraag 7 tevens opgemerkt dat de juiste balans tussen control en collaboration afhankelijk moet zijn van het risico wat een applicatie met zich meebrengt. Dit houdt in dat bij een risicovolle applicatie een control aanpak wordt toegepast terwijl bij een niet risicovolle applicatie een collaboration aanpak wordt toegepast. De geïnterviewden gaven aan dat wanneer binnen een bank iets als risicovol wordt beschouwd dit (veelal) betrekking heeft op de vertrouwelijkheid en integriteit van de gegevens die een applicatie beheert/bewerkt. Anderzijds slaat het soms ook op de vereiste beschikbaarheid van de gegevens in een applicatie. Daarnaast werd aangegeven dat applicaties welke risicovol zijn kunnen worden aangemerkt als bedrijfskritisch en vice versa. Er werd opgemerkt dat binnen een financiële instelling een strengere grens dient te worden gehanteerd bij de definiëring van een bedrijfskritische applicatie. Dit door de verhoogde kans Ik ben van mening dat een control benadering, dus vanuit zeer bureaucratisch perspectief, pur sang ook niet werkt. Naarmate taakvolwassenheid en ervaring bij medewerkers toeneemt, moet je medewerkers meer vrijheid geven/gunnen. Anders krijg je vanzelf weerstand en dat heeft weer een negatieve invloed op de motivatie van werknemers. Dat geldt ook op het vlak van autorisaties. (de Zwart)

De balans tussen control en collaboration is dus niet zwart of wit maar je zou dat in een schaal (van hoog naar laag of vice versa) kunnen zien. (Meindertsma)

op fraude binnen een dergelijke instelling. Deze grens dient nadrukkelijk(er) afgestemd te worden met het risicoprofiel en de risk appetite van de instelling. Enkele geïnterviewden gaven aan te verwachten dat deze meer op control gerichte benadering waarschijnlijk resulteert in een groter aantal applicaties welke als bedrijfskritisch aangeduid wordt.

Bij vraag 8 gaven alle geïnterviewden aan te denken de juiste balans tussen control en collaboration mogelijk kan bijdragen aan de interne beheersing van autorisatiebeheer. Omdat dit verband teruggrijpt op wat de drijfveren van een organisatie zijn om autorisatiebeheer toe te passen. Een compliance gerichte organisatie zal sneller voor een control aanpak kiezen terwijl een organisatie welke op efficiency gericht is sneller voor een collaboration aanpak zal kiezen. Tevens werd aangegeven dat wanneer de balans niet op orde was het overzicht van de beheersing van autorisatiebeheer verloren zou kunnen gaan.

Vanuit dat oogpunt bekeken is in vraag 9 de suggestie gemaakt om de juiste balans tussen control en collaboration nader te specificeren in termen van een effectievere of efficiëntere interne beheersing. Hoewel de geïnterviewden, vanuit het perspectief van de twee uitersten, zich hier wel in konden herkennen bestond er wel enige twijfel over deze rechtlijnige benadering. De geïnterviewden vroegen zich af of er gevoelsmatig niet nog meer was dan alleen de harde knip tussen efficiency en effectiviteit. Dit omdat de keuze om de nadruk te leggen op één van de twee benaderingen de effecten van de andere benadering niet uitsluit. Mede omdat er altijd een effectieve interne beheersing aanwezig moet zijn binnen autorisatiebeheer. De heer Groen gaf aan dat het nuanceverschil, en dus het antwoord op de vraag, misschien ligt op het niveau waar over gesproken wordt. Hij verwoordde dit als volgt:

Door de geïnterviewden werd aangegeven dat de controlbalans vanuit risicoperspectief benaderd zou kunnen worden. Dit om binnen organisaties onderscheid in de toe te passen controlbalans te kunnen maken. Het scenario wat geïnterpreteerd kan worden als de invulling van de algemene juiste balans tussen control en collaboration (middelste scenario figuur 4) werd in vraag 10 aan de geïnterviewden voorgelegd. Alle geïnterviewden waren het met dit scenario eens. Omdat zij het eens waren met de invulling van het scenario en de achterliggende gedachtegang van dit scenario, welke vanuit risicoperspectief opgesteld is. 4.2.4 Conceptueel model

De interviewvraag welke binnen dit onderdeel van het interview is gesteld is als volgt:

11. Wat is uw mening over het door mij opgestelde theoretisch raamwerk?

Vraag: 11

Geïnterviewde:

1 Mooi plaatje. In de praktijk zal voor een bepaalde mate van zekerheid gekozen worden door voor bedrijfskritische applicaties te kiezen voor de control kant en voor andere applicaties te kiezen voor de collaboration kant. Hierin kan ook geen eenduidige rechtlijnige keuze worden gemaakt.

2 Logisch en begrijpelijk model. Keuze tussen control en collaboration heeft tevens te maken met hoe de organisatie in zijn geheel wordt aangestuurd. Daarom bij keuze van de juiste controlbalans rekening houden met de strategie en doelstellingen van de organisatie. Controlbalans vanuit risk based denkwijze benaderen en niet vanuit een control denkwijze. 3 Logisch en begrijpbaar model. Business zal collaboration zijde kiezen voor applicatie terwijl

risk management control zijde kiest. Overleg tussen beide welke controlbalans voor een

Als je alleen maar over applicaties zou spreken dan is er een verschil tussen efficiency en effectiviteit. Maar als je naar de permissies binnen een applicatie kijkt dan zie je dat dit de derde factor is die er overheen komt. Deze derde factor bepaalt samen met wat op procesniveau binnen een afdeling gebeurt en hoe bedrijfskritisch een applicatie daadwerkelijk is. (Groen)

applicatie wordt gekozen en welke applicaties aangeduid worden als bedrijfskritisch of niet. Controlbalans wordt bepaald op basis van de hoeveelheid risico die je wilt lopen. Daarom model binnen de context van het ERM model plaatsen.

4 Logisch en begrijpbaar figuur. Zou heel mooi zijn dat je komt tot een soort van handvaten over wanneer een applicatie bedrijfskritisch is en wanneer je welke controlaanpak moet kiezen. Model moet niet worden gezien als een heel statisch geheel wat niet meer wijzigt. 5 Begrijpelijk model. Mogelijk zijtak maken naar operational excellence zodat er een

fundamentele keuze is om controlscenario’s op te stellen of niet. Je bent altijd al in control, dat laat je in dit raamwerk niet volledig los. De keuze van de controlbalans moet in lijn zijn met de hele interne beheersing van (de IT van) de organisatie.

6 Gedachtegang achter het model is logisch en ik ben met het model eens. Model moet worden gezien binnen context van enterprise risk management (ERM) en IT-Governance. Dit kan uitgewerkt worden middels kaders om het model. Zo wordt zichtbaar dat conceptueel model geplaatst wordt binnen risicogebaseerd autorisatiebeheer. Daarmee wordt duidelijk dat de controlbalans vanuit risicoperspectief benaderd moet worden.

ID* X

* Intern Document Tabel 6: Conceptueel model

Alle geïnterviewden vonden het conceptueel model logisch en begrijpelijk. Omdat dit model visueel inzichtelijk maakt wat de balans tussen control en collaboration is en hoe de juiste balans concreet ingevuld zou kunnen worden. In de interviews werd aangegeven dat het logisch is dat in de praktijk zal worden gekozen voor een control aanpak voor bedrijfskritische applicaties en een collaboration aanpak voor niet-bedrijfskritische applicaties. Dit omdat voor een bepaalde mate van zekerheid wordt gekozen. Het middelste scenario geeft deze zekerheid. Twee geïnterviewden gaven aan dat bij de keuze voor de juiste balans tussen control en collaboration en de concrete invulling hiervan rekening moet worden gehouden met de (interne beheersings)strategie en de doelstellingen van de organisatie als geheel. Dit omdat het niet logisch zou zijn om voor de interne beheersing van autorisatiebeheer een geheel ander uitgangspunt van interne beheersing te hanteren. Dit zou kunnen resulteren in conflicterende beheersingsstrategieën welke onduidelijkheden binnen de organisatie veroorzaken. Er werd door een geïnterviewde opgemerkt dat het jammer zou zijn dat het conceptueel model zou worden gezien als een statisch geheel wat, na eens ingevuld te zijn, niet meer wijzigt. Om dit tegen te gaan zou het model vanuit een risicogebaseerde denkwijze benaderd moeten worden. Deze suggestie werd door drie geïnterviewden gemaakt. Risico’s worden continu gemonitord. Als het model vanuit risicoperspectief benaderd wordt zou dit kunnen betekenen dat de invulling van het model, dus de keuze voor een meer op control of collaboration gerichte aanpak voor een bepaalde applicatie, op reguliere basis zou kunnen wijzigen. Dit zou betekenen dat wanneer het model vanuit een risicoperspectief wordt benaderd, het model als minder statisch zou kunnen worden ervaren. De daarop aansluitende suggestie, welke door twee geïnterviewden werd gemaakt, is om het model binnen de context van enterprise risk management (ERM) en IT-governance te plaatsen. Dit kan gerealiseerd worden door kaders om het model te plaatsen. Hierdoor wordt inzichtelijk gemaakt dat het conceptueel model benaderd moet worden vanuit risicogebaseerd autorisatiebeheer. Tevens wordt hierdoor duidelijk dat de controlbalans vanuit risicoperspectief benaderd moet worden. Het volgende citaat versterkt deze gedachtegang:

De buitenschil bestaat uit enterprise risk management (ERM). Dit geeft aan dat je vanuit de wereld van enterprise risk vanuit een breed perspectief naar risico´s kijkt. Specifiek voor de financiële sector volgt juist na ERM het vierkant IT-Governance. En daar weer binnen heb je de wereld (het vierkant) van risicogebaseerd autorisatiebeheer. Binnen dit laatste vierkant kun je dan jouw conceptueel model plaatsen. Door de omringende lagen schets je dat risicogebaseerd autorisatiebeheer, met daarin jouw model, onderdeel uitmaakt van het grotere enterprise risk en IT-Governance. Daarmee maak je duidelijk dat het conceptueel model duidelijke raakvlakken heeft met de riskmanagement optiek. Je geeft door deze aanpassingen aan in welke wereld je het door jou opgestelde conceptueel model terugvindt. En dat maakt ook de relatie inzichtelijk

Drie geïnterviewden gaven aan dat het goed is om de controlbalans vanuit risicoperspectief te benaderen omdat hierdoor inzicht kan worden gekregen in hoe risicovol een applicatie is en vanuit welke gedachte hij beheerst kan worden.