Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdMathilda Eilander Laatst gewijzigd meer dan 8 jaar geleden
1
1
2
Wie is Jaap 2 Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT kwaliteit en testen > 100 testtrajecten geleid in de loop der jaren Vanaf 1992 gecertificeerd bij ISACA. Visie: testen is primair een brugfunctie tussen IT en Business. Waarbij de tester continu balanceert tussen wat wenselijk en wat mogelijk is.
3
22 jaar Quality Assurance 1989 in dienst bij de start van Software Control. 1990 Procesmatig ontwikkelen, ISO 9000 1995 Testen, TMap, functioneel 1999 Millennium, systemen overall controleren 2001 € migratie, functional overhaul 2004 Performance testen 2007 Outsourcing van software naar India, cultuur 2009 Change management in software ontwikkeling 2010 Risico management geïntegreerd in testen 2011 Testen vanuit Business geïmplementeerd 3
4
Het ISACA RISK IT Framework voor Testers Omgaan met risico’s Risk Appetite – Onderzoeken – Maatregelen 4
5
Samenvatting van de presentatie: Trend is (crisis) dat stakeholders eisen dat goedkoper en efficiënter getest wordt. Financiële instellingen willen, door Basel en Solvency gedreven, risicomanagement en risicogebaseerde sturing van de organisatie, processen en projecten. Raamwerken COBIT en RISK IT bieden handvatten om met risico’s in IT om te gaan. Gebruik van RISK IT principes bij testen leidt tot een betere aanpak van Risico Gebaseerd Testen. 5
6
Waarnemingen in de testmarkt 1.Toenemende eis dat IT-projecten waarde toevoegen. 2.Stakeholders eisen goedkoper en efficiënter testen. 3.Behoefte aan betere, op risico’s gebaseerde sturing van IT-projecten. 4.Testen gericht op herkenbare Business-risico’s. Kortom:niet vinken maar vonken! 6
7
Waar staat ISACA voor? ISACA is begon in1969 als “Information Systems Audit and Control Association” De naam bestaat nog, echter niet meer als acroniem. De doelstelling is: “Trust in and Value from Information Systems”, en in Nederland “Vertrouwen in en waarde uit informatiesystemen” Certificeringen: CISA, CISM, CGEIT, CRISC 7
8
Waar staat ISACA voor? CISA1978audit> 90.000 CISM2002security> 18.000 CGEIT2007inrichten> 5.000 CRISC2010risicomanagement> 16.000 8
9
Wat biedt ISACA? Ca. 100.000 actieve leden. Ontzettend veel kennis over hoe IT aan te sturen, te ontwikkelen, te beheersen, en rendabel te maken. Bekende raamwerken ISACA : COBIT, eerste versie 1996, in april 2012 COBIT 5. VAL IT in 2007 RISK IT in 2010 Aanvullende documentatie over hoe de raamwerken te gebruiken, aan te passen en in te voeren. 9
10
COBIT 5 – sinds april 2012 The one ring that rules them all 10
11
RISK IT: Compleet én IT tegelijk 11
12
Drie domeinen: 12
13
Aangevuld met activiteiten … 13
14
Daarvan voor testen van belang 14
15
Testen, met als basis Risico Analyse Doel: met testen risico’s en kansen beheersen Systeem-risico’s overstijgen naar Business Risico’s Risico’s ranken volgen Business prioriteiten Bijdrage van testers: deskundig op IT gebied Early warning 15
16
Welke adviezen kunnen we geven? Doel: waardevol zijn voor Business, de klant Nauw contact met Business houden, hun taal spreken Ook continuous testing? Alle testen van white box testen tot integrale E2E test integreren? Meedenken over oplossingen Ervaring laten tellen Juridisch ondersteunend 16
17
Testen → Risico’s rapporteren. 17 Testen op Business risico’s Nauwe samenwerking met Business management Bijhouden status en bevindingen Rapporteren op Business impact
18
Testen, de IT Risico’s overstijgen Doel: aanhaken bij Risico Beleid van de onderneming Vraagt een andere blik op omgaan met Risico’s Meer waarde voor de Business tegen lagere kosten. 18
19
“Standaard” PRIMA risicomatrix (voorbeeld) 19
20
Testdilemma’s: 20 Risico is erg groot +++ Test kost € 10.000 Doen of niet doen? Risico is erg groot +++ Test kost € 100.000 Doen of niet doen? Risico is klein + Test kost € 10.000 Doen of niet doen? Conclusie: alle keuzen zijn relatief.
21
De oplossing: Langszij komen met Business Invloed van de Risk Appetite van de onderneming. Risico is tevens Kans ISACA’s definitie van risico: Risk is a natural part of the business landscape. If left unmanaged, the uncertainty can spread like weeds. If managed effectively, losses can be avoided and benefits obtained. 21
22
Risk map 22
23
Gebruikelijke acties 23 Opportunity: kosten verlagen, door minder maatregelen tegen deze risico’s te nemen Acceptable: geen maatregelen nemen, eventuele verliezen nemen Unacceptable: verzekeren, samenwerken, uitbesteden, maatregelen nemen om naar acceptable te komen. Really unacceptable: vermijden, uitstappen, naar alternatieven zoeken
24
Risico ligt in gebied “opportunity” Test kost € 10.000 Doen of niet doen? Kans om € 10.000 te besparen! De testmanager als inkoper 24
25
Risico ligt in gebied “acceptable” Het management is van mening dat het risico (eventueel na reeds genomen maatregelen) genomen kan worden Test kost € 10.000. Doen of niet doen? Vraag beantwoorden: wat levert het op, Beter voorbereid zijn op falen van IT Testen van maatregelen bij optreden risico Terugdringen van de kans door oorzaakanalyse De testmanager als sparring partner 25
26
Risico is “unacceptable” Het management is van mening dat het risico (zelfs na genomen maatregelen) niet genomen kan worden Voorbeeld: Maandomzet = € 1.000.000. Risico: 50% kans op verlies van € 1.000.000 Test kost € 10.000. Doen of niet doen? Interessant: test moet meestal wel gedaan worden maar niet als kosten de pan uitrijzen, dan alternatief vinden Nodig: een zorgvuldige afweging van kosten en baten De testmanager als consultant 26
27
Risico is “really unacceptable” Het management is van mening dat het risico (zelfs na alle genomen en te nemen maatregelen) te groot is en het project desnoods moet stoppen Test kost € 10.000 Doen of niet doen? Maakt niet veel uit: test moet gedaan worden, tenzij het project stopt. Het bedrijf wil het risico absoluut niet lopen. De uitkomst van de test is kritisch en wordt met argusogen bekeken. De testmanager als waarzegger -> focus op onderkennen alle risico’s -> kosten mogen toenemen om zekerheid te krijgen 27
28
Risico is ???? En wat als de test 1 maand duurt en de verwachte winst nog steeds € 1.200.000 per jaar is ?? 28 Jaarwinst = € 1.200.000 Risico is 5% op verlies van € 1.000.000 Test kost € 10.000 Doen of niet doen?
29
Model maken 29
30
Samenvatting Risk Appetite stuurt de testaanpak Verschillende soorten Business risico’s vragen om verschillende benadering Kosten-Baten analyse geeft inzicht in welke test[soort]en zin hebben Omdat testen beter aansluiten bij de Risk Appetite is de communicatie met de stakeholders optimaal De opbrengst van testen kan duidelijk gemaakt worden. 30
31
Vragen 31
32
32
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.