1. Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid.

Slides:



Advertisements
Verwante presentaties
Onze kernwaarden.
Advertisements

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Customer Essentials Portfolio en Benefits Management 30 oktober 2013.
Menno Karres Lead Auditor
1 IT Management vs IT Governance in de Welzijnssector in Vlaanderen Studiedag: Efficiëntie en Effectiviteit 28/09/2012.
Peter Kuijer, TrainerMatch Eddy van Eeden, Oopen
Pilot Loondispensatie Oktober •Aanleiding aanmelding / deelname pilot •Doelgroep •Toegangstoets •Uitgangspunten - ontwikkelingen •Huidige status.
10 tips voor een gouden start Groeitips
Business case als besluitvoorbereidend instrument
Ontwikkelmij ontwikkelt zijn klant
Zero Accidents Netwerk NL Robert Bezemer, Gerard Zwetsloot.
Veranderingen bij ICT afdelingen, cultuur en processen Rosemarijn de Groot 18 januari 2012.
Een ingewikkeld gesprek over cultuur of toch niet?
INTERNE AUDIT : uw partner ? MBA-dinnercauserie 7 februari 2002 Rudi Hex, cia Hoofdauditor kredieten KBC.
Visie op HNW juni Belang van een Visie Een Visie op Werken is de overkoepelende beschrijving hoe een organisatie werk in de toekomst ziet. De visie.
Haal wel rendement uit IT investeringen Ton Tijdink.
Een startersgids voor innovatie
Logical Framework Approach
2C1’s Excellent Vision. Mission: 2C1’s Excellent Vision wil in de markt opvallen doordat onze klanten hogere rendementen behalen dan die bedrijven waarvoor.
De kracht van GAC Business Solutions
Monitoring en Benchmarking Maarten Zemann & Arie Uyttenbroek 1 april 2009.
Wat kunnen wij voor uw organisatie betekenen ? Even voorstellen
Welkom bij de presentatie van het
De kracht van Qurius Qurius heeft al ruim 15 jaar ervaring met het implementeren van Microsoft Dynamics ERP software, en als één van de weinigen met ge.
De kracht van Herke ICT Group Herke is gespecialiseerd in automatisering en optimalisatie van bedrijfsprocessen in de bouw. Als marktleider in rolgebaseerde.
De kracht van GAC Business Solutions GAC is meer dan een leverancier van softwareoplossingen. Als business partner zorgen we samen met u voor optimalisatie.
Rol van de ankerpunten Mogelijke invullingen Netwerk Interne Organisatiebeheersing 9 juni 2011 Dany Dewulf.
WWB proces + Inbedding in Risicomanagement ISO 31000
Prince2 Componenten.
© de vries business consultancy, 2008
Acceptatiemanagement conform B-Accept Winand van Drenth
Succesvol Partnerschap bij Duurzame Bouwprojecten
Met Stakeholders Gedeelde Visie
Risk Based Testing van pakketsoftware
september 2009 Aanbevelingen van Compliance professionals
@Vise Business Consultancy Author: Hans Groen
Visie & Strategie.
ArchiValue: de APG-Case
“practical advice that works” Drs A.D. van Buuren Tel:
“Kijken, denken en doen met voor risico”
6 stappen in Risico management
Naar een optimaal HR - beleid
Agenda Inleiding en Lagerhuis: Proces management en proces keten optimalisatie gaat ons helpen inzicht te krijgen in de impact van toekomstige veranderingen.
Congres Rechtmatige zorg: Een kijkje in de keuken van de medisch specialist Herman-Jan Pennings, longarts Michael Ehlen, Manager F&C Laurentius ziekenhuis,
Insights & Essentials Willem van Putten
1 IT Service Management Theorie (1). 2 Van ‘Beheren van dozen’ naar ‘Beheer van bedrijfsprocessen’ Bron: white paper van BMC Software. Leverancier van.
Presentatie titel BIMBDK01 Bedrijfskundige thema’s Week 2
Relatie tussen Architectuur en Beheer. Inleiding  Architectuur:  Inzicht in samenhang en beheersing van verandering;  Actuele problematiek  Architectuur.
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2011/2012 Opdracht 3.
Orienteren/ monitoren Informatie selectie Informatie creatie Documentatie publicatie algemeen projecten Toegepaste informatieproducten 1.Copieren (bronnen)
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2011/2012 Opdracht 2.
H6 Risicomanagement. Risicpmanagement stap 1 Factoren inventariseren die projectresultaat beïnvloeden Gevolg bedrijfsresultaat (externe projecten): –Financieel.
1 IT Service Management George Pluimakers Theorie (3)
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
Toezicht op governance: waar draait het om en paralellen tussen de mediasector en de financiële sector Wijnand Nuijts – Manager toezicht Governance Gedrag.
 E-learning business case Frank Klabbers. Infolearn  Infolearn  Leeromgevingen, content-multimedia ontwikkeling training en onderwijskundig advies.
1 Financiële risico’s decentralisaties Robert ‘t Hart
MODERN BOEREN OP OUDE HOEVES even voorstellen 3 partners proces; nieuwe samenwerking expeditie ruimte.
Businesscase vanuit een ander perspectief Herman Uffen MSc. Koplopers Archief 2020.
Businesscase als sturingsinstrument Presentatie voor de raad op 10 november 2014 WELKOM.
Optimalisering inhoudelijke opname en ontslaggegevens.
 Definitie  Toepassing  Aanleiding  Soorten  Voordelen  Nadelen  Conclusie.
Bons op de deuren! BMI-congres 31 mei Linda Kos (Zaans Medisch Centrum) Katja de Jongh (Franciscus Gasthuis) Carmen van der Heijden (Franciscus Gasthuis.
Les 1: Brainstorm en kennismaken
Human Resources Accounting
De PRA is dood! Leve de PRA!
Is testen een project op zich?
Risicocommunicatie en de omgevingswet
Flexibel programmeren van onderwijs en toetsen
Transcript van de presentatie:

1

Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid in de loop der jaren Vanaf 1992 gecertificeerd bij ISACA. Visie: testen is primair een brugfunctie tussen IT en Business. Waarbij de tester continu balanceert tussen wat wenselijk en wat mogelijk is.

22 jaar Quality Assurance 1989 in dienst bij de start van Software Control Procesmatig ontwikkelen, ISO Testen, TMap, functioneel 1999 Millennium, systemen overall controleren 2001 € migratie, functional overhaul 2004 Performance testen 2007 Outsourcing van software naar India, cultuur 2009 Change management in software ontwikkeling 2010 Risico management geïntegreerd in testen 2011 Testen vanuit Business geïmplementeerd 3

Het ISACA RISK IT Framework voor Testers Omgaan met risico’s Risk Appetite – Onderzoeken – Maatregelen 4

Samenvatting van de presentatie: Trend is (crisis) dat stakeholders eisen dat goedkoper en efficiënter getest wordt. Financiële instellingen willen, door Basel en Solvency gedreven, risicomanagement en risicogebaseerde sturing van de organisatie, processen en projecten. Raamwerken COBIT en RISK IT bieden handvatten om met risico’s in IT om te gaan. Gebruik van RISK IT principes bij testen leidt tot een betere aanpak van Risico Gebaseerd Testen. 5

Waarnemingen in de testmarkt 1.Toenemende eis dat IT-projecten waarde toevoegen. 2.Stakeholders eisen goedkoper en efficiënter testen. 3.Behoefte aan betere, op risico’s gebaseerde sturing van IT-projecten. 4.Testen gericht op herkenbare Business-risico’s. Kortom:niet vinken maar vonken! 6

Waar staat ISACA voor? ISACA is begon in1969 als “Information Systems Audit and Control Association” De naam bestaat nog, echter niet meer als acroniem. De doelstelling is: “Trust in and Value from Information Systems”, en in Nederland “Vertrouwen in en waarde uit informatiesystemen” Certificeringen: CISA, CISM, CGEIT, CRISC 7

Waar staat ISACA voor? CISA1978audit> CISM2002security> CGEIT2007inrichten> CRISC2010risicomanagement>

Wat biedt ISACA? Ca actieve leden. Ontzettend veel kennis over hoe IT aan te sturen, te ontwikkelen, te beheersen, en rendabel te maken. Bekende raamwerken ISACA : COBIT, eerste versie 1996, in april 2012 COBIT 5. VAL IT in 2007 RISK IT in 2010 Aanvullende documentatie over hoe de raamwerken te gebruiken, aan te passen en in te voeren. 9

COBIT 5 – sinds april 2012 The one ring that rules them all 10

RISK IT: Compleet én IT tegelijk 11

Drie domeinen: 12

Aangevuld met activiteiten … 13

Daarvan voor testen van belang 14

Testen, met als basis Risico Analyse Doel: met testen risico’s en kansen beheersen Systeem-risico’s overstijgen naar Business Risico’s Risico’s ranken volgen Business prioriteiten Bijdrage van testers: deskundig op IT gebied Early warning 15

Welke adviezen kunnen we geven? Doel: waardevol zijn voor Business, de klant Nauw contact met Business houden, hun taal spreken Ook continuous testing? Alle testen van white box testen tot integrale E2E test integreren? Meedenken over oplossingen Ervaring laten tellen Juridisch ondersteunend 16

Testen → Risico’s rapporteren. 17 Testen op Business risico’s Nauwe samenwerking met Business management Bijhouden status en bevindingen Rapporteren op Business impact

Testen, de IT Risico’s overstijgen Doel: aanhaken bij Risico Beleid van de onderneming Vraagt een andere blik op omgaan met Risico’s Meer waarde voor de Business tegen lagere kosten. 18

“Standaard” PRIMA risicomatrix (voorbeeld) 19

Testdilemma’s: 20 Risico is erg groot +++ Test kost € Doen of niet doen? Risico is erg groot +++ Test kost € Doen of niet doen? Risico is klein + Test kost € Doen of niet doen? Conclusie: alle keuzen zijn relatief.

De oplossing: Langszij komen met Business Invloed van de Risk Appetite van de onderneming. Risico is tevens Kans ISACA’s definitie van risico: Risk is a natural part of the business landscape. If left unmanaged, the uncertainty can spread like weeds. If managed effectively, losses can be avoided and benefits obtained. 21

Risk map 22

Gebruikelijke acties 23 Opportunity: kosten verlagen, door minder maatregelen tegen deze risico’s te nemen Acceptable: geen maatregelen nemen, eventuele verliezen nemen Unacceptable: verzekeren, samenwerken, uitbesteden, maatregelen nemen om naar acceptable te komen. Really unacceptable: vermijden, uitstappen, naar alternatieven zoeken

Risico ligt in gebied “opportunity” Test kost € Doen of niet doen? Kans om € te besparen! De testmanager als inkoper 24

Risico ligt in gebied “acceptable” Het management is van mening dat het risico (eventueel na reeds genomen maatregelen) genomen kan worden Test kost € Doen of niet doen? Vraag beantwoorden: wat levert het op, Beter voorbereid zijn op falen van IT Testen van maatregelen bij optreden risico Terugdringen van de kans door oorzaakanalyse De testmanager als sparring partner 25

Risico is “unacceptable” Het management is van mening dat het risico (zelfs na genomen maatregelen) niet genomen kan worden Voorbeeld: Maandomzet = € Risico: 50% kans op verlies van € Test kost € Doen of niet doen? Interessant: test moet meestal wel gedaan worden maar niet als kosten de pan uitrijzen, dan alternatief vinden Nodig: een zorgvuldige afweging van kosten en baten De testmanager als consultant 26

Risico is “really unacceptable” Het management is van mening dat het risico (zelfs na alle genomen en te nemen maatregelen) te groot is en het project desnoods moet stoppen Test kost € Doen of niet doen? Maakt niet veel uit: test moet gedaan worden, tenzij het project stopt. Het bedrijf wil het risico absoluut niet lopen. De uitkomst van de test is kritisch en wordt met argusogen bekeken. De testmanager als waarzegger -> focus op onderkennen alle risico’s -> kosten mogen toenemen om zekerheid te krijgen 27

Risico is ???? En wat als de test 1 maand duurt en de verwachte winst nog steeds € per jaar is ?? 28 Jaarwinst = € Risico is 5% op verlies van € Test kost € Doen of niet doen?

Model maken 29

Samenvatting Risk Appetite stuurt de testaanpak Verschillende soorten Business risico’s vragen om verschillende benadering Kosten-Baten analyse geeft inzicht in welke test[soort]en zin hebben Omdat testen beter aansluiten bij de Risk Appetite is de communicatie met de stakeholders optimaal De opbrengst van testen kan duidelijk gemaakt worden. 30

Vragen 31

32