Skip to main content

SIVA – Structuur & overzicht


Eerder nam ik je in deze blog mee in de wereld van (audit)referentiekaders en SIVA. Vandaag wil ik je verder meenemen in deze methodiek. Vandaag gaat het over de SIVA component Structuur. Later volgen ook Inhoud, Vorm en Analysevolgorde. Structuur helpt je om complexiteit te doorgronden en het onderzoeksobject overzichtelijk te maken. Je maakt kennis met de functionele en compositionele benadering evenals het 3C model. De blog sluit af met een beschrijving van de lagenstructuur in het referentiekader.

Structuur in de complexiteit

Een auditor heeft te maken met een probleemgebied en daarbij komen vaak complexe organisatorische en technische zaken naar voren. Daarnaast is er een overvloed aan beschikbare informatie, op uiteenlopende abstractieniveaus. Binnen een audit kom je diverse componenten tegen, waarmee onderdelen worden verstaan die als zelfstandige eenheden van gedrag of functionaliteit gezien kunnen worden. Een component kan dan een op zichzelf staand onderdeel zijn binnen het (deel)onderzoek.

Je kunt overzicht creëren door de componenten (onderdelen) binnen het probleemgebied te splitsen, waardoor er afzonderlijke componenten ontstaan die tezamen juist weer een (logisch) geheel vormen. Door steeds afzonderlijke componenten te onderzoeken kan een auditor systematischer en fundamenteler te werk gaan. Hij verliest zo niet het grote plaatje uit het oog, maar is in staat om gefocust op ieder onderdeel in te gaan.

Twee benaderingen

Het SIVA-raamwerk gaat uit van twee benaderingen uit de systeemtheorie, namelijk de functionele benadering en de compositionele benadering. Onderstaand licht ik ze voor je toe.

De Functionele benadering

Gerelateerd aan de General System Theory (GST), ook wel de black box benadering genoemd, is de functionele benadering. Een auditor legt binnen deze benadering de nadruk op externe functies die de systemen vervullen. Door systemen te splitsen en te delen en in samenhang te analyseren, voer je de functionele benadering uit. Om het Structuur component binnen het SIVA raamwerk te ontwikkelen is deze benadering toegepast.

De Compositionele benadering

De compositionele benadering is gerelateerd aan de General Theory of Thing (GTT), ook wel de white box benadering genoemd. Hiermee richt richt een auditor op de interne relaties en componenten binnen een systeem in tegenstelling tot de functionele benadering die de focus legt op de externe functies. Het component Inhoud binnen het SIVA raamwerk is hiermee ontwikkeld.

De functionele benadering en de compositionele benadering zorgen beiden voor een eigen structuur. De functionele leidt tot een globale structuur met lagen voor het referentiekader. De compositionele benadering geeft een manier om de auditelementen van deze lagenstructuur te identificeren.

Het 3C-model

Je kunt het auditdomein modelleren vanuit de functionele benadering en daarbij het 3C-model gebruiken (De Leeuw en Bunge). Het 3C-model model sluit min of meer aan op een natuurlijke cyclus;

  1. Ontstaan – alle wezens (mens, dier) en objecten ontstaan op een bepaald moment
  2. Bestaan – alle wezens (mens, dier) en objecten bestaan gedurende een periode
  3. Vergaan – alle wezens (mens, dier) en objecten vergaan na verloop van tijd.

Binnen het auditdomein kom je ook verschillende aspecten tegen die te maken hebben met bovenstaande cyclus, zoals bijvoorbeeld conditionele (reden van bestaan), configuratie (betekenis van bestaan) en controle aspecten (voorkomen van vergaan). Het 3C-model bestaat uit drie subsystemen, namelijk:

  1. Controlling system (C1)
  2. Controlled system (C2)
  3. Control organ (C3)

Binnen C1 stel je condities voor de andere twee subsystemen vast en vorm je de actieve besturing en beinvloeding van C2 en C3. C2 vertegenwoordigt over het algemeen het beoogde object van onderzoek binnen de audit. C2 dient altijd beschouwd te worden in samenhang met C1 en C3 en het doel van C2 is om de verwachte resultaten voort te brengen. Tot slot C3; het subsysteem dat zorgdraagt voor beheersing van C2 op basis van richtlijnen uit C1.

Directe invloed

Het 3C-model heeft directe invloed op de inhoud van het referentiekader. Bij het Controlling System (C1) betrek je conditionele aspecten in het referentiekader, zoals het beleid en de architectuur die nodig zijn om gestelde doelen te bereiken.

Bij het Controlled System (C2) breng je de relaties tussen het Controlled System – het object van onderzoek – en de kaders sturen en beheersen tot uitdrukking. Je maakt zo het object expliciet in zijn context en het kan zo worden onderzocht. Denk hierbij aan businessprocessen, IT-diensten en IT-componenten van het auditobject.

Binnen het Control Organ (C3) bevinden objecten zich die zorgen voor organisatiebrede metingen en waarnemingen. Het onderwerp van de audit wordt vanuit deze omgeving gemanaged en deze vervult hiermee en controlfunctie. Denk hierbij aan human resource-processen en processen voor o.a. service management.

Samenvattend kan je stellen dat:

  1. het Controlling system (C1) gerelateerd is aan het aspect richten: condities gericht op C1 en C2;
  2. het Controlled system (C2) gerelateerd is aan de aspecten inrichten en verrichten: uitvoeringsactiviteiten binnen C2;
  3. het Control organ (C3) gerelateerd is aan het aspect berichten: beheersing en evaluatie van C2 en rapportagers hierover naar C1.

De lagenstructuur van het referentiekader

Tot slot wil ik je in deze blog nog meenemen in de lagenstructuur van het referentiekader die wordt bepaald door de aard van de componenten. De onderverdeling is als volgt (van boven naar beneden):

Algemeen-beleidscontextlaag

De laag met elementen die aangeven wat men organisatiebreed wil bereiken met daarbinnen o.a. doelstellingen, beleid, strategie en vernieuwing.

Specifiek-beleidscontextlaag

Bevat conditionele aspecten die direct van toepassing zijn op het onderzoeksobject.

Uitvoeringscontextlaag (auditobject)

De operationele, verwerkingsaspecten of implementatie aspecten van het object van onderzoek zijn opgenomen in deze laag. Binnen het IT-domein wordt deze laag ook nog onderverdeeld in:

  • Bovenlaag (gebruiker en applicatie georiënteerd)
  • Middenlaag (de concrete verwerkingslaag met de rol van mediator)
  • Onderlaag (concrete
  • infrastructuur- en communicatielaag).

Specifieke controlcontextlaag

Bevat specifieke beheersings- en evaluatie aspecten t.a.v. het auditobject.

Algemene controlcontextlaag

Bevat de waarnemings- en beheersingsaspecten op basis waarvan het auditobject wordt beheerst, en vervult de controlfunctie.

Tot slot

Klopt, dit is geen lichte kost. Maar ik hoop dat ik je met deze blog iets meer inzicht heb verschaft in de wereld van het audit referentiekader en de structuur waarin deze is onderverdeeld. Je kunt nu de diverse audit elementen binnen het te onderzoeken domein identificeren. En dat kan op z’n minst handig zijn in je dialoog met auditors.

Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…