Een referentiekader en SIVA; wát is het eigenlijk?


Referentiekaders worden beschreven als een verzameling van criteria die door een onderzoeker gebruikt kan worden om een beeld te geven van diepgang. In het geval van audits wordt het kader een soort meetinstrument voor de auditor. In het algemeen blijkt echter dat auditors terug moeten vallen op eigen inzicht om te bepalen welke criteria relevant zijn. Het boek ‘’SIVA – Methodiek voor de ontwikkeling van auditreferentiekaders’’ van Wiekram Tewarie m.m.v. Eline ter Meer en Eric Nieuwland beschrijft het SIVA-raamwerk dat auditors ondersteunt in hun dagelijkse praktijk en in staat stelt relevante auditelementen systematisch in kaart te brengen.

Deze methodiek zal steeds meer worden toegepast binnen o.a. de overheid (baselines) en daarom maken wij je er graag alvast bekend mee. In deel 1 van onze blogreeks over SIVA starten we bij de basis: het referentiekader.

Wat is een referentiekader?

Een referentiekader is een verzameling criteria die wordt gehanteerd voor een onderzoek. Dit kader geeft zicht op de cruciale onderzoeksobjecten en de vereiste diepgang. Het kader dient als middel voor de auditor om op terug te kunnen vallen. Daarnaast draagt het kader bij aan zo objectief mogelijk auditen.
In de praktijk vallen auditors echter regelmatig (ook) terug op eigen documentatie, zoals eerder uitgevoerde audits. Dit geniet niet te voorkeur omdat de opdrachtgever ‘officieel’ zorg moet dragen voor een kader (daar waar geen sprake is van een opgelegd kader). Auditors bundelen vaak een selectie aan hulpmiddelen zoals baselines, handboeken en best practices om tot een bruikbaar kader te komen.

De noodzakelijke structuur

Een referentiekader resulteert uiteindelijk in een verzameling van zowel algemene als gedetailleerde normen, waarbij de gedetailleerde normen vaak voortkomen uit de algemene. Deze structuur wordtniet altijd gehanteerd door auditors, waardoor een lijst van normen snel ‘plat’ (vinkenlijst) kan worden en uiteindelijk niet optimaal bijdraagt aan hetgeen dat onderzocht wordt. Zaken die niet in de initiële gestructureerde lijst van de auditor staan opgenomen worden vervolgens ook niet meegenomen in het onderzoek. Volgens het principe: alles óf niets. Kortom: een overzichtelijke structuur (incl. gelaagdheid) in het referentiekader biedt houvast aan zowel de auditor als de opdrachtgever.

Van rule-based naar principle-based

Momenteel wordt bij audits veel gebruik gemaakt van een ‘’platte lijst’’, ofwel de rule-based benadering. Deze benadering gaat uit van een aantal specifieke regels voor de uitvoering van een actie of een regel waaraan voldaan moet worden. Bijvoorbeeld het aantal sloten op de deur is maximaal twee. Als wordt voldaan dan is er een check. Wordt niet voldaan dan wordt een vervolgstap beschreven.

Er is een alternatief voor deze rule-based benadering en dat is de principle-based benadering. Deze benadering is gebaseerd op de ontwikkelingen binnen de disciplines financial auditing en accounting. De principle-based benadering gaat uit van een conceptueel raamwerk (framework) dat als brede aanpak dient en die verschillende standaarden ondersteunt. Het framework helpt bij het krijgen van inzicht in de noodzakelijke controls en bij het definiëren van de essentiële elementen.

De SIVA-methodiek is ontwikkeld naar de aanpak binnen IT-auditing. SIVA gaat uit van de volgende componenten: Structuur, Inhoud, Vorm en Analysevolgorde (SIVA). Door deze vier componenten als structuur te gebruiken in het referentiekader valt het terug op een framework, waarbij (op systematische wijze) algemene en/of neutrale normen te identificeren zijn. Het conceptuele framework (principle-based benadering) is flexibeler dan een platte structuur (rule-based benadering), omdat per audit wordt bekeken hoe de (SIVA-)componenten in elkaar steken.

Een goed referentiekader is een boek

Een goed boek kent ook de componenten Structuur, Inhoud, Vorm en Analysevolgorde (SIVA). Denk aan hoofdstukken (structuur) om het leesbaar te maken, tekst als inhoud, grammatica als vorm en een lijn of plan in het verhaal dat dient als volgorde. Om referentiekaders te ontwikkelen wordt steeds teruggevallen op deze vier elementen. Het referentiekader bestaat uit domeinen als structuur, waarbinnen auditelementen worden omvat als inhoud. Een auditelement wordt in het kader van vorm als een norm opgesteld, met behulp van voorschriften. Vervolgens worden deze domeinen in een vooraf bepaalde volgorde geanalyseerd.

Structuur                ↔   Domeinen (bestaan uit auditelementen)

Inhoud                    ↔   Auditelementen (opgesteld als normen)

Vorm                       ↔   Voorschriften (voor consistente formulering van auditprincipes)

Analysevolgorde   ↔   Volgorde (logische volgordelijkheid)

Aanvulling op eisen

De International Federation of Accountants (IFAC) heeft in de International Standard on Assurance Engagements (ISAE) vijf kwaliteitseisen benoemd waar (verzamelingen van) normen aan moeten voldoen.
Het SIVA-raamwerk gaat o.a. uit van deze kwaliteitseisen, maar die zijn vervolgens aangevuld. Het overzicht van kwaliteitseisen aan referentiekaders komt er volgens het SIV(A)-raamwerk zo uit te zien:

Structuur     – Gestructureerdheid

– Coherentie

Inhoud          – Betrouwbaarheid

– Begrijpelijkheid

– Transparantie

– Relevantie

– Herbruikbaarheid

– Neutraliteit

– Geïntegreerdheid

– Volledigheid

– Coherentie (Inhoud)

Vorm             – Consistentie

Tezamen geven de bovengenoemde componenten van het SIVA-raamwerk invulling aan de kwaliteitseisen die aan referentiekaders worden gesteld.

SIVA componenten: wordt vervolgd

In latere blogs zullen wij je steeds meer bekend maken met het SIVA-raamwerk en daarin specifiek ingaan op de vier componenten: Structuur, Inhoud, Vorm en Analysevolgorde. In de basis biedt de component Structuur een patroon van domeinen om auditomgevingen in samenhang te kunnen analyseren en informatie te organiseren. De component Inhoud geeft daarbij een patroon van neutrale auditelementen (normen) om onderkende domeinen te kunnen analyseren en samenhang van elementen bij elkaar te brengen. De component Vorm biedt een formuleringsvoorschrift voor auditprincipes en bij de component Analysevolgorde gaat het om structuur in de volgordelijkheid binnen de analyses.

Uiteindelijk is de SIVA-methodiek een solide basis die auditors houvast biedt om audits uit te kunnen voeren.

Wil je meer weten over het SIVA-raamwerk? Blijf dan op de hoogte via onze blogs. In de volgende blog gaan we verder in op SIVA component 1: Structuur.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren van Muel Kaptein kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).