De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

1. Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid.

Verwante presentaties


Presentatie over: "1. Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid."— Transcript van de presentatie:

1 1

2 Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid in de loop der jaren Vanaf 1992 gecertificeerd bij ISACA. Visie: testen is primair een brugfunctie tussen IT en Business. Waarbij de tester continu balanceert tussen wat wenselijk en wat mogelijk is.

3 22 jaar Quality Assurance 1989 in dienst bij de start van Software Control Procesmatig ontwikkelen, ISO Testen, TMap, functioneel 1999 Millennium, systemen overall controleren 2001 € migratie, functional overhaul 2004 Performance testen 2007 Outsourcing van software naar India, cultuur 2009 Change management in software ontwikkeling 2010 Risico management geïntegreerd in testen 2011 Testen vanuit Business geïmplementeerd 3

4 Het ISACA RISK IT Framework voor Testers Omgaan met risico’s Risk Appetite – Onderzoeken – Maatregelen 4

5 Samenvatting van de presentatie: Trend is (crisis) dat stakeholders eisen dat goedkoper en efficiënter getest wordt. Financiële instellingen willen, door Basel en Solvency gedreven, risicomanagement en risicogebaseerde sturing van de organisatie, processen en projecten. Raamwerken COBIT en RISK IT bieden handvatten om met risico’s in IT om te gaan. Gebruik van RISK IT principes bij testen leidt tot een betere aanpak van Risico Gebaseerd Testen. 5

6 Waarnemingen in de testmarkt 1.Toenemende eis dat IT-projecten waarde toevoegen. 2.Stakeholders eisen goedkoper en efficiënter testen. 3.Behoefte aan betere, op risico’s gebaseerde sturing van IT-projecten. 4.Testen gericht op herkenbare Business-risico’s. Kortom:niet vinken maar vonken! 6

7 Waar staat ISACA voor? ISACA is begon in1969 als “Information Systems Audit and Control Association” De naam bestaat nog, echter niet meer als acroniem. De doelstelling is: “Trust in and Value from Information Systems”, en in Nederland “Vertrouwen in en waarde uit informatiesystemen” Certificeringen: CISA, CISM, CGEIT, CRISC 7

8 Waar staat ISACA voor? CISA1978audit> CISM2002security> CGEIT2007inrichten> CRISC2010risicomanagement>

9 Wat biedt ISACA? Ca actieve leden. Ontzettend veel kennis over hoe IT aan te sturen, te ontwikkelen, te beheersen, en rendabel te maken. Bekende raamwerken ISACA : COBIT, eerste versie 1996, in april 2012 COBIT 5. VAL IT in 2007 RISK IT in 2010 Aanvullende documentatie over hoe de raamwerken te gebruiken, aan te passen en in te voeren. 9

10 COBIT 5 – sinds april 2012 The one ring that rules them all 10

11 RISK IT: Compleet én IT tegelijk 11

12 Drie domeinen: 12

13 Aangevuld met activiteiten … 13

14 Daarvan voor testen van belang 14

15 Testen, met als basis Risico Analyse Doel: met testen risico’s en kansen beheersen Systeem-risico’s overstijgen naar Business Risico’s Risico’s ranken volgen Business prioriteiten Bijdrage van testers: deskundig op IT gebied Early warning 15

16 Welke adviezen kunnen we geven? Doel: waardevol zijn voor Business, de klant Nauw contact met Business houden, hun taal spreken Ook continuous testing? Alle testen van white box testen tot integrale E2E test integreren? Meedenken over oplossingen Ervaring laten tellen Juridisch ondersteunend 16

17 Testen → Risico’s rapporteren. 17 Testen op Business risico’s Nauwe samenwerking met Business management Bijhouden status en bevindingen Rapporteren op Business impact

18 Testen, de IT Risico’s overstijgen Doel: aanhaken bij Risico Beleid van de onderneming Vraagt een andere blik op omgaan met Risico’s Meer waarde voor de Business tegen lagere kosten. 18

19 “Standaard” PRIMA risicomatrix (voorbeeld) 19

20 Testdilemma’s: 20 Risico is erg groot +++ Test kost € Doen of niet doen? Risico is erg groot +++ Test kost € Doen of niet doen? Risico is klein + Test kost € Doen of niet doen? Conclusie: alle keuzen zijn relatief.

21 De oplossing: Langszij komen met Business Invloed van de Risk Appetite van de onderneming. Risico is tevens Kans ISACA’s definitie van risico: Risk is a natural part of the business landscape. If left unmanaged, the uncertainty can spread like weeds. If managed effectively, losses can be avoided and benefits obtained. 21

22 Risk map 22

23 Gebruikelijke acties 23 Opportunity: kosten verlagen, door minder maatregelen tegen deze risico’s te nemen Acceptable: geen maatregelen nemen, eventuele verliezen nemen Unacceptable: verzekeren, samenwerken, uitbesteden, maatregelen nemen om naar acceptable te komen. Really unacceptable: vermijden, uitstappen, naar alternatieven zoeken

24 Risico ligt in gebied “opportunity” Test kost € Doen of niet doen? Kans om € te besparen! De testmanager als inkoper 24

25 Risico ligt in gebied “acceptable” Het management is van mening dat het risico (eventueel na reeds genomen maatregelen) genomen kan worden Test kost € Doen of niet doen? Vraag beantwoorden: wat levert het op, Beter voorbereid zijn op falen van IT Testen van maatregelen bij optreden risico Terugdringen van de kans door oorzaakanalyse De testmanager als sparring partner 25

26 Risico is “unacceptable” Het management is van mening dat het risico (zelfs na genomen maatregelen) niet genomen kan worden Voorbeeld: Maandomzet = € Risico: 50% kans op verlies van € Test kost € Doen of niet doen? Interessant: test moet meestal wel gedaan worden maar niet als kosten de pan uitrijzen, dan alternatief vinden Nodig: een zorgvuldige afweging van kosten en baten De testmanager als consultant 26

27 Risico is “really unacceptable” Het management is van mening dat het risico (zelfs na alle genomen en te nemen maatregelen) te groot is en het project desnoods moet stoppen Test kost € Doen of niet doen? Maakt niet veel uit: test moet gedaan worden, tenzij het project stopt. Het bedrijf wil het risico absoluut niet lopen. De uitkomst van de test is kritisch en wordt met argusogen bekeken. De testmanager als waarzegger -> focus op onderkennen alle risico’s -> kosten mogen toenemen om zekerheid te krijgen 27

28 Risico is ???? En wat als de test 1 maand duurt en de verwachte winst nog steeds € per jaar is ?? 28 Jaarwinst = € Risico is 5% op verlies van € Test kost € Doen of niet doen?

29 Model maken 29

30 Samenvatting Risk Appetite stuurt de testaanpak Verschillende soorten Business risico’s vragen om verschillende benadering Kosten-Baten analyse geeft inzicht in welke test[soort]en zin hebben Omdat testen beter aansluiten bij de Risk Appetite is de communicatie met de stakeholders optimaal De opbrengst van testen kan duidelijk gemaakt worden. 30

31 Vragen 31

32 32


Download ppt "1. Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid."

Verwante presentaties


Ads door Google