Skip to main content

Concrete toepassing van SIVA

| Renco Schoemaker | ,

In de SIVA blogreeks hebben we ingezoomd op de diverse onderdelen binnen het SIVA-raamwerk dat je terug kunt vinden in het boek “SIVA, methodiek voor de ontwikkeling van auditreferentiekaders“. We gingen in op de Structuur, Inhoud, Vorm en de Analysevolgorde als specifieke componenten binnen het SIVA-raamwerk. Om het overzicht te behouden brengen we in deze laatste blog in de SIVA reeks alles bij elkaar. Onderaan vind je directe links naar de eerdere SIVA-blogs.

Wat is een referentiekader?

Een referentiekader is een verzameling criteria dat voor een onderzoek (audit) gehanteerd wordt. Een referentiekader helpt de auditor om structuur en transparantie aan te brengen en geeft een beeld van hoe een onderzoek is uitgevoerd en van de onderzoeksobjecten binnen de audit.

Referentiekaders worden vaak ofwel Rule-based ofwel Principle-based opgezet. Rule-based zegt het al een beetje; je gebruikt ‘platte’ lijsten oftewel regels waaraan voldaan moet worden. Principle-based legt de focus op het conceptuele, waarbij een conceptueel framework wordt toegepast om inzicht te krijgen in controls (beheersmaatregelen).

Lees er meer over in deze blog: Een referentiekader en SIVA; wát is het eigenlijk?

Componenten

SIVA is een methodiek voor de ontwikkeling van een referentiekader en bestaat uit Structuur, Inhoud, Vorm en Analysevolgorde. Deze elementen helpen je om te voldoen aan kwaliteitseisen voor referentiekaders. Structuur zorgt voor coherentie in het geheel, Inhoud voor betrouwbaarheid, transparantie en relevantie, Vorm voor de consistentie en de Analysevolgorde geeft de volgorde aan van de analyse van de structuur. Dit helpt je met name om op de juiste wijze om te gaan met het component structuur.

Modelleren & 3C

Om het auditdomein in een model te brengen wordt het 3C-model gebruikt. Het 3C model bestaat uit drie subsystemen, namelijk het Controlling System (C1), Controlled System (C2) en het Control Organ (C3).

  • Binnen C1 stel je condities voor de andere twee subsystemen vast en vorm je de actieve besturing en beïnvloeding van C2 en C3.
  • C2 vertegenwoordigt over het algemeen het beoogde object van onderzoek binnen de audit. C2 dient altijd beschouwd te worden in samenhang met C1 en C3 en het doel van C2 is om de verwachte resultaten voort te brengen.
  • C3, het Control organ, zorgt voor de beheersing op basis van regels en richtlijnen uit C1 en hierin bevinden de objecten zich die zorgen voor waarnemingen op organisatiebrede schaal. Het onderwerp van de audit wordt vanuit deze omgeving gemanaged en deze vervult hiermee en controlfunctie.

Het 3C model heeft directe invloed op de inhoud van je referentiekader en helpt je dit juist weer te geven.

Lees er meer over in deze blog: SIVA – Structuur & overzicht

Lagen

Je te onderzoeken auditobject is onderverdeeld in een lagenstructuur. Binnen deze lagen heb je algemene en specifieke lagen. De algemene lagen zorgen voor het organisatiebrede doel van de audit. De specifieke lagen letten vooral op de specifieke condities die aan het onderzoek vast hangen. De uitvoeringslagen gaan vervolgens (weinig verrassend) in op de operationele kant en de implementatie/verwerking.

De onderverdeling in lagen is als volgt:

  • Beleidscontextlaag. De laag met elementen die aangeven wat men organisatiebreed wil bereiken met daarbinnen o.a. doelstellingen, beleid, strategie en vernieuwing. Er kan ook sprake zijn van een algemeen-beleidscontextlaag plus een of meerdere specifiek-beleidscontextlagen.
  • Uitvoeringscontextlaag (auditobject). De operationele, verwerkingsaspecten of implementatie aspecten van het object van onderzoek zijn opgenomen in deze laag. Binnen het IT-domein wordt deze laag vaak nog nader onderverdeeld.
  • Controlcontextlaag. Bevat de waarnemings- en beheersingsaspecten op basis waarvan het auditobject wordt beheerst, en vervult de controlfunctie. Er kan ook sprake zijn van een algemene controlcontextlaag plus één of meerdere specifieke controlcontextlagen.

Invalshoeken

Door een benadering met diverse invalshoeken te gebruiken neemt een auditor zowel processen uit het businessdomein als uit het IT-domein mee in een audit. Dit helpt je om één conceptuele entiteit vanuit verschillende kanten te benaderen, wat vaker wordt gedaan om dat wat je onderzoekt beter te kunnen doorgronden.

Het SIVA-raamwerk erkent vier invalshoeken met de letters DFGS. Doel, Functie, Gedrag en Structuur die je helpen om de relevante auditelementen te identificeren. Binnen de diverse invalshoeken zijn uiteenlopende auditelementen te definiëren.

  1. Het Doel-model dat de auditelementen missie, doelstelling, visie, organisatie, strategieplan, wet en beleid, stakeholders, middelen en risicomanagement bevat;
  2. Het Functie-model dat de auditelementen omvat die te maken hebben met de organisatorische functie en technische functies evenals o.a. evenwichtsfuncties en beschermfuncties;
  3. Het Gedrag-model, dit model bevat o.a. de resources, actoren, objecten en de (niet-) functionele vereisten;
  4. Het Structuur-model, tot slot, dat de organisatiestructuur, de structuur van de IT-organisatie, business architectuur en de business-IT alignement bevat.

Het Doel-model zorgt ervoor dat je instrumenten krijgt om te sturen en processen adequaat kunt beheersen. Denk aan o.a. Stakeholders, Middelen, Doelstellingen en een Strategisch plan. Het functie-model geeft aan hoe doelstellingen gerealiseerd worden door te kijken naar o.a. performance en taken. Het Gedrag-model omschrijft de interacties die ervoor zorgen dat doelstellingen van de organisatie worden bereikt, evenals de actoren en resources. Het Structuur-model zorgt vervolgens voor de toetsing van de samenhang van het geheel.

Lees er meer over in deze blog: SIVA – Inhoud & auditelementen (1)

Model – Structuur en Inhoud

Je maakt binnen SIVA gebruik van een raamwerk, onderverdeeld in vier genoemde invalshoeken. Onderstaand hebben we dit raamwerk voor je gevisualiseerd. Onder iedere invalshoek vallen diverse concepten (auditelementen) met onderlinge relaties die uit het model te halen zijn. Een auditor voert op iedere Structuur-laag een Inhoud-analyse uit met dit raamwerk, die ook wel de Structuur-Inhoudmatrix wordt genoemd. Deze matrix vormt de hoofdstructuur waarin concepten worden geplaatst.

Lees er meer over in deze blog: SIVA – Inhoud & auditelementen (2)

Auditprincipes

In het SIVA-raamwerk zijn twee soorten Vormprincipes te onderkennen. Dit zijn de richtinggevende principes en de beoordelingsprincipes. Een audit principe wordt tevens uitgedrukt in diverse relaties die onafhankelijk of afhankelijk van aard kunnen zijn.

Binnen de relaties ken je variabelen als het Wie (actoren die verantwoordelijk zijn), het Wat (drukt acties of een te bereiken doel uit) of het Waarom (drukt doelstellingen/intenties uit). Door deze principes te gebruiken kun je patronen scheppen wat vervolgens kan worden uitgelezen. Neem bijvoorbeeld de zin ‘’Het management dient arbo-technische maatregelen te treffen om de veiligheid op de werkvloer te garanderen’’.

Het Wie is in dit geval het management, het Wat de “Arbo-technische maatregelen treffen” en het Waarom is “Om de veiligheid op de werkvloer te garanderen”. Door zinnen op te bouwen volgens deze principes laat je geen ruimte voor verschillen in interpretatie. Dit is essentieel!

Fasen & Analysevolgorde

Het zal je niet verrassen dat het onderdeel Analysevolgorde van SIVA zorgt voor de toepassing en het doorlopen van activiteiten vanuit het raamwerk. De volgorde zorgt voor een logische set aan stappen om een referentiekader te ontwikkelen. Iets wat in de praktijk vaak bij andere aanpakken ontbreekt.

Binnen Analysevolgorde zijn drie fasen te herkennen. Door een combinatie te gebruiken van een top-down en bottom-up benadering krijg je een ideale mix. Door deze te koppelen aan de fasen middle, middle-out en middle-in krijg je een iteratief proces. Analysevolgorde wordt ook wel M3 genoemd naar deze 3 fasen.

  • Fase 1 betreft het analyseren van het auditobject van uit de kenmerken van de lagen in het middel (middle), de uitvoeringscontext.
  • Fase 2 betreft het analyseren van het auditobject vanuit de kenmerken van beleidscontext (BC) ofwel middle-out, middle-in.
  • Fase 3 is het analyseren van het auditobject vanuit de kenmerken van controlcontext (CC), ofwel middle-out, middle-in.

Voor de uiteindelijke toepassing kan een drielagenstructuur worden gebruikt die uit diverse vormen kan bestaan. Wij beschrijven de eenvoudige vorm die wordt toegepast wanneer een auditobject moet worden beoordeeld in een brede organisatorische context. Denk bijvoorbeeld aan relaties tussen afdelingen en divisies en het beoordelen van primaire processen. Ik begrijp dat het allemaal wat veel wordt zo. Laten we het concreet maken.

Stel je gaat aan de slag met Analysevolgorde en de fasen.

In fase 1 ga je dan identificeren welke operationele auditaspecten er zijn voor de beoordeling van het object dat je onderzoekt. Je gebruikt het DFGS-model om relevante audit elementen te selecteren en je karakteriseert zo het te onderzoeken auditobject.

In fase 2 ga je meer in op de analyse van de beleidscontext en voorkom je door aan de hand van de lagenstructuur te werken dat je willekeurige audit elementen betrekt in een audit. Je stelt vragen over welk beleid er is en welke processen van invloed zijn.

In fase 3 kijk je dan naar de control context (fase 3 lijkt erg op fase 2, om het nog wat makkelijker te maken). Je gaat uit van kennis over het auditobject in zowel de uitvoeringscontext als de beleidscontext. Je identificeert welke controls (beheersmaatregelen) er zijn en aan welke vereisten ze moeten voldoen.

Tot slot kom je tot een gedegen analyse van alle relevante audit elementen en schrapt eventuele elementen die geen directe of indirecte relatie hebben met het auditobject. It’s as simple as that! 🙂

Lees er meer over in deze blog: Vorm & Analysevolgorde binnen SIVA

Het SIVA-raamwerk – Afronding

Ik hoop je met deze blog een overzicht te hebben gegeven over de inhoud van onze blogreeks over SIVA. Wil je verder inzoomen op de specifieke onderdelen? Bekijk dan de onderstaande blogs die specifieker ingaan op de opbouw van het raamwerk.

  1. Een referentiekader en SIVA; wát is het eigenlijk?
  2. SIVA – Structuur & overzicht
  3. SIVA – Inhoud & auditelementen (1)
  4. SIVA – Inhoud & auditelementen (2)
  5. Vorm & Analysevolgorde binnen SIVA
Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.
Verder lezen

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.
Verder lezen

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…
Verder lezen

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.
Verder lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen