Skip to main content

SIVA – Inhoud & auditelementen (1)

| IB&P | ,

Twee weken geleden schreven we een blog over het eerste SIVA hulpmiddel: Structuur. Structuur helpt je bij het overzicht bewaren over het onderzoeksobject door het op te delen in lagen. Vandaag zoomen we verder in op het onderzoeksobject en neem ik je mee in het tweede hulpmiddel: Inhoud. Er is veel te zeggen over de onderwerp dus zijn het twee blogs geworden. Later volgen nog blogs over de hulpmiddelen Vorm en Analysevolgorde.

Auditelementen identificeren

Het SIVA raamwerk is bedoeld als een conceptueel raamwerk met het uiteindelijke doel om referentiekaders op te kunnen stellen. Lees er meer over in deze eerste blog uit de SIVA blogreeks. Door auditelementen specifieker te benoemen kunnen ze dienst gaan doen als concepten binnen dit raamwerk, ook wel auditprincipes genoemd.

Je gaat neutrale auditelementen identificeren en om dit te doen gebruik je een benadering aan de hand van invalshoeken. Deze (vier) invalshoeken vormen een belangrijk onderdeel van je aanpak en daar gaan we in de volgende alinea’s verder op in.

DFGS – wat?

DFGS staat voor de verschillende invalshoeken, namelijk de Doel, Functie, Gedrag en Structuur invalshoek.

De Doel-invalshoek

Het “waarom”, de te realiseren doelen, randvoorwaarden en middelen die ervoor gaan zorgen dat je de doelen kunt behalen. Hier wordt het doel van een product of van een organisatie beschreven en kom je dichter bij de bedoeling of de reden van het betstaan van je onderzoeksobject.

De Functie-invalshoek

Het ‘’wat’’, auditelementen die gerelateerd zijn aan functies op zowel organisatorisch als technisch gebied die ervoor zorgen dat de doelen bereikt kunnen worden. Denk hierbij aan acties die definiëren wat er bijvoorbeeld moet worden gedaan door een systeem.

De Gedrag-invalshoek

Het “hoe”, je geeft hier weer hoe de realisatie van acties verloopt. Denk hierbij vooral aan operationalisatie van de functies die zijn geïdentificeerd en het toewijzen van taken en verantwoordelijkheden. Hoe moeten de resultaten bereikt gaan worden?

De Structuur-invalshoek

Wederom het ‘’hoe”, maar dan gericht op de samenhang. Je geeft hier het verband tussen de diverse onderdelen weer. Denk aan o.a. de structuur van de organisatie en de architectuur van het systeem.

Groene-weide

De benadering die je doorloopt met de DFGS-methodiek wordt ook wel de ‘’groene-weide’’ aanpak genoemd. Dit komt van de analogie dat je in een nieuwe situatie terecht komt, je identificeert relevante auditelementen en hebt daarbij een scala aan mogelijkheden. De DFGS aanpak schetst de weg van een doel naar een functie en daarvandaan naar gedrag en structuur.

Auditelementen & DFGS

Er is nu dus een aantal neutrale auditelementen opgebouwd om te gebruiken binnen het SIVA-raamwerk. Deze auditelementen hebben een model met concepten opgeleverd, namelijk:

  1. Het Doel-model dat de auditelementen missie, doelstelling, visie, organisatie, strategieplan, wet en beleid, stakeholders, middelen en risicomanagement bevat;
  2. Het Functie-model dat de auditelementen omvat die te maken hebben met de organisatorische functie en technische functies evenals o.a. evenwichtsfuncties en beschermfuncties;
  3. Het Gedrag-model, dit model bevat o.a. de resources, actoren, objecten en de (niet-) functionele vereisten;
  4. Tot slot ook nog het Structuur-model dat de organisatiestructuur, de structuur van de IT-organisatie, business architectuur en de business-IT alignment bevat.

Ben je benieuwd hoe de samenhang tussen neutrale auditelementen en praktijkelementen nu in de praktijk is? Om dat te verduidelijken hebben we onderstaand schema uit het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ opgenomen in deze blog.

Neutrale auditelementenAuditelementen in de praktijk
DoelstellingVeilig netwerk
BeleidNetwerkbeleid
Functie (barrier)Zonering, filterfunctie
ActorNetwerkontwerper
ObjectNetwerk
Eigenschappen/featuresConfiguraties/configuratieparameters
Niet-functionele vereistenBeveiligingsinstellingen
ArchitectuurNetwerkarchitectuur

Door met name naar de auditelementen in de praktijk te kijken krijgt het DFGS-model contextueel een beter gezicht en wordt het praktischer van aard. Hieronder gaan we uitgebreid in op de auditelementen per invalshoek.

Auditelementen binnen het Doel-model

Binnen het Doel-model vind je de richtinggevende stuurinstrumenten die ervoor zorgen dat een organisatie haar activieiten (processen) adequaat kan beheersen.

  1. Organisatie – Een groep mensen of actoren die er als collectief aan bijdragen dat doelstellingen worden bereikt.
  2. Wetten en beleid – Deze verschaffen randvoorwaarden en beperkingen waaraan geconformeerd moet worden en hebben met name een ondersteunende rol bij het realiseren van doelen.
  3. Stragisch plan-  Een plan geeft richting en inzicht om te bekijken hoe stakeholders acteren binnen de mogelijkheden die beschikbaar zijn.
  4. Doelstellingen – De intenties van de organisatie
  5. Stakeholders – Alle actoren aan wie verantwoordelijkheden zijn gegeven om een doel te bereiken. Goed om na te gaan wie een rol spelen en welke invloed dit heeft op je auditelement.
  6. Middelen –  De kritische factoren van je organisatie
  7. Assessment – De periodieke analyses om te meten hoe het ervoor staat.

Tot zover

Tot zover voor vandaag! Ik hoop dat ik je met deze blog iets meer inzicht heb verschaft in de wereld van het audit referentiekader en de diverse invalshoeken waarmee je naar auditelementen kunt kijken. Volgende keer meer over de Inhoud (jaja, met hoofdletter 😉 Dan gaan we verder met de Functie-, Gedrag- en Structuur-invalshoek. Mét een mooi overzichtsplaatje. Beloofd.

Wil je verder lezen over dit onderwerp? Volg dan deze onze blogreeks over SIVA die is gebaseerd op het boek ‘’SIVA – Methodiek voor ontwikkeling van auditreferentiekaders’’ van Wiekram N.B. Tewarie.

IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Vraag informatie aan om deze cursus in-house te organiseren!

Ga naar website

Meer blogs lezen

De interne controlecyclus; zo maak je toetsing werkbaar

Een belangrijk onderdeel binnen de BIO 2.0 is de interne controlecyclus: hoe toets je structureel of je maatregelen ook echt doen wat ze moeten doen? Niet één keer per jaar omdat het moet, maar continu, als onderdeel van je dagelijkse praktijk. In…
Verder lezen

Zo breng je informatiebeveiligingsbeleid écht tot leven in de organisatie

Bij veel gemeenten voelt informatiebeveiligingsbeleid nog als een verplicht nummer. Zonde! Want een goed informatiebeveiligingsbeleid kan juist richting geven aan de hele organisatie.
Verder lezen

Van afspraken naar praktijk: grip op gegevensdeling in samenwerkingsverbanden

Gemeenten werken steeds vaker samen. Die samenwerking is logisch want samen kun je meer bereiken maar het betekent ook dat er steeds meer gegevens gedeeld worden. En dan is de vraag: hoe zorg je ervoor dat dit rechtmatig, veilig en transparant geb…
Verder lezen

De CISO als strategisch adviseur van het bestuur

De CISO is niet alleen een technische expert, maar vooral een strategisch adviseur die bestuurders helpt digitale risico’s te begrijpen en bestuurlijke keuzes te maken.
Verder lezen

Waarom privacy voelt als een last

Voor veel mensen voelt privacy als gedoe. Weer een DPIA, nog een formulier, een vinkje hier, een verwerkersovereenkomst daar. In deze blog kijken we waarom privacy in de praktijk vaak als een last voelt. Maar belangrijker nog: wat je kunt doen om …
Verder lezen

Informatiebeveiliging vraagt om gedragsverandering

Gedrag verandert niet door kennisoverdracht alleen. Het draait om de dagelijkse keuzes die medewerkers maken. Goede informatiebeveiliging vraagt daarom om gedragsverandering, en uiteindelijk om een cultuurverandering binnen de organisatie.
Verder lezen