SIVA – Structuur & overzicht


Eerder nam ik je in deze blog mee in de wereld van (audit)referentiekaders en SIVA. Vandaag wil ik je verder meenemen in deze methodiek. Vandaag gaat het over de SIVA component Structuur. Later volgen ook Inhoud, Vorm en Analysevolgorde. Structuur helpt je om complexiteit te doorgronden en het onderzoeksobject overzichtelijk te maken. Je maakt kennis met de functionele en compositionele benadering evenals het 3C model. De blog sluit af met een beschrijving van de lagenstructuur in het referentiekader.

Structuur in de complexiteit

Een auditor heeft te maken met een probleemgebied en daarbij komen vaak complexe organisatorische en technische zaken naar voren. Daarnaast is er een overvloed aan beschikbare informatie, op uiteenlopende abstractieniveaus. Binnen een audit kom je diverse componenten tegen, waarmee onderdelen worden verstaan die als zelfstandige eenheden van gedrag of functionaliteit gezien kunnen worden. Een component kan dan een op zichzelf staand onderdeel zijn binnen het (deel)onderzoek.

Je kunt overzicht creëren door de componenten (onderdelen) binnen het probleemgebied te splitsen, waardoor er afzonderlijke componenten ontstaan die tezamen juist weer een (logisch) geheel vormen. Door steeds afzonderlijke componenten te onderzoeken kan een auditor systematischer en fundamenteler te werk gaan. Hij verliest zo niet het grote plaatje uit het oog, maar is in staat om gefocust op ieder onderdeel in te gaan.

Twee benaderingen

Het SIVA-raamwerk gaat uit van twee benaderingen uit de systeemtheorie, namelijk de functionele benadering en de compositionele benadering. Onderstaand licht ik ze voor je toe.

De Functionele benadering

Gerelateerd aan de General System Theory (GST), ook wel de black box benadering genoemd, is de functionele benadering. Een auditor legt binnen deze benadering de nadruk op externe functies die de systemen vervullen. Door systemen te splitsen en te delen en in samenhang te analyseren, voer je de functionele benadering uit. Om het Structuur component binnen het SIVA raamwerk te ontwikkelen is deze benadering toegepast.

De Compositionele benadering

De compositionele benadering is gerelateerd aan de General Theory of Thing (GTT), ook wel de white box benadering genoemd. Hiermee richt richt een auditor op de interne relaties en componenten binnen een systeem in tegenstelling tot de functionele benadering die de focus legt op de externe functies. Het component Inhoud binnen het SIVA raamwerk is hiermee ontwikkeld.

De functionele benadering en de compositionele benadering zorgen beiden voor een eigen structuur. De functionele leidt tot een globale structuur met lagen voor het referentiekader. De compositionele benadering geeft een manier om de auditelementen van deze lagenstructuur te identificeren.

Het 3C-model

Je kunt het auditdomein modelleren vanuit de functionele benadering en daarbij het 3C-model gebruiken (De Leeuw en Bunge). Het 3C-model model sluit min of meer aan op een natuurlijke cyclus;

  1. Ontstaan – alle wezens (mens, dier) en objecten ontstaan op een bepaald moment
  2. Bestaan – alle wezens (mens, dier) en objecten bestaan gedurende een periode
  3. Vergaan – alle wezens (mens, dier) en objecten vergaan na verloop van tijd.

Binnen het auditdomein kom je ook verschillende aspecten tegen die te maken hebben met bovenstaande cyclus, zoals bijvoorbeeld conditionele (reden van bestaan), configuratie (betekenis van bestaan) en controle aspecten (voorkomen van vergaan). Het 3C-model bestaat uit drie subsystemen, namelijk:

  1. Controlling system (C1)
  2. Controlled system (C2)
  3. Control organ (C3)

Binnen C1 stel je condities voor de andere twee subsystemen vast en vorm je de actieve besturing en beinvloeding van C2 en C3. C2 vertegenwoordigt over het algemeen het beoogde object van onderzoek binnen de audit. C2 dient altijd beschouwd te worden in samenhang met C1 en C3 en het doel van C2 is om de verwachte resultaten voort te brengen. Tot slot C3; het subsysteem dat zorgdraagt voor beheersing van C2 op basis van richtlijnen uit C1.

Directe invloed

Het 3C-model heeft directe invloed op de inhoud van het referentiekader. Bij het Controlling System (C1) betrek je conditionele aspecten in het referentiekader, zoals het beleid en de architectuur die nodig zijn om gestelde doelen te bereiken.

Bij het Controlled System (C2) breng je de relaties tussen het Controlled System – het object van onderzoek – en de kaders sturen en beheersen tot uitdrukking. Je maakt zo het object expliciet in zijn context en het kan zo worden onderzocht. Denk hierbij aan businessprocessen, IT-diensten en IT-componenten van het auditobject.

Binnen het Control Organ (C3) bevinden objecten zich die zorgen voor organisatiebrede metingen en waarnemingen. Het onderwerp van de audit wordt vanuit deze omgeving gemanaged en deze vervult hiermee en controlfunctie. Denk hierbij aan human resource-processen en processen voor o.a. service management.

Samenvattend kan je stellen dat:

  1. het Controlling system (C1) gerelateerd is aan het aspect richten: condities gericht op C1 en C2;
  2. het Controlled system (C2) gerelateerd is aan de aspecten inrichten en verrichten: uitvoeringsactiviteiten binnen C2;
  3. het Control organ (C3) gerelateerd is aan het aspect berichten: beheersing en evaluatie van C2 en rapportagers hierover naar C1.

De lagenstructuur van het referentiekader

Tot slot wil ik je in deze blog nog meenemen in de lagenstructuur van het referentiekader die wordt bepaald door de aard van de componenten. De onderverdeling is als volgt (van boven naar beneden):

Algemeen-beleidscontextlaag

De laag met elementen die aangeven wat men organisatiebreed wil bereiken met daarbinnen o.a. doelstellingen, beleid, strategie en vernieuwing.

Specifiek-beleidscontextlaag

Bevat conditionele aspecten die direct van toepassing zijn op het onderzoeksobject.

Uitvoeringscontextlaag (auditobject)

De operationele, verwerkingsaspecten of implementatie aspecten van het object van onderzoek zijn opgenomen in deze laag. Binnen het IT-domein wordt deze laag ook nog onderverdeeld in:

  • Bovenlaag (gebruiker en applicatie georiënteerd)
  • Middenlaag (de concrete verwerkingslaag met de rol van mediator)
  • Onderlaag (concrete
  • infrastructuur- en communicatielaag).

Specifieke controlcontextlaag

Bevat specifieke beheersings- en evaluatie aspecten t.a.v. het auditobject.

Algemene controlcontextlaag

Bevat de waarnemings- en beheersingsaspecten op basis waarvan het auditobject wordt beheerst, en vervult de controlfunctie.

Tot slot

Klopt, dit is geen lichte kost. Maar ik hoop dat ik je met deze blog iets meer inzicht heb verschaft in de wereld van het audit referentiekader en de structuur waarin deze is onderverdeeld. Je kunt nu de diverse audit elementen binnen het te onderzoeken domein identificeren. En dat kan op z’n minst handig zijn in je dialoog met auditors.

Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in