������������ ����

���������������������������

12-11-2008 VUroRE 2

Inhoud

1. Doelstelling2. Hoofdlijnen systeemconcept3. Assurance object4. Inrichting assurance5. Meetpunten zekerheid6. Zekerheid of schijn?

12-11-2008 VUroRE 3

1.Doelstelling

• Inzicht gewenste / haalbare zekerheid grootschalige HR-processen:– Wat is nodig?– Wat is haalbaar?

• Welke zekerheid kan IT-auditor bieden?• Conclusie (schijn)zekerheid• Hoofdlijnen

12-11-2008 VUroRE 4

2. Hoofdlijnen syst.concept - 1

• Rijksdienst � SSC: P-Direkt• Ketenproces HRM-diensten rijksdienst• > 100.000 medewerkers + > € 100n• Politieke belangstelling• Zekerheid nodig over:

– € (v/j/t) + integriteit– Beschikbaarheid– Exclusiviteit (Wbp)

• Project Migratie SAP-HR: inrichting HR+ZB(5 dept. 6 HCS, 65.000 medewerkers)

12-11-2008 VUroRE 5

2. Hoofdlijnen syst.concept - 2

• Control filosofie HR-processen:– Controle vóóraf:

• Overleg manager en medewerker• Controle op juistheid door automatisering

– Controle achteraf:• Terugkoppeling op gedrag vanuit systeem• Controle op werking van hele proces• Afwikkeling bevindingen op departement• Controle Auditdiensten op basis van steekproef• Kwaliteitstoets HR-processen IT-auditor

12-11-2008 VUroRE 6

2. Hoofdlijnen syst.concept - 3

• Realisatie via SAP/R3– HR = personeelsgegevens– PY = bruto-netto, afrekening, afdracht – PI = info uitwisseling (in en uit)– BI = infoverstrekking– EIC = ondersteuning zelfbediening– Relatie andere SAP-modules

• Uitbesteding delen ketenproces

12-11-2008 VUroRE 7

2. Hoofdlijnen syst.concept - 4

Relatie SAP-HR met andere SAP-modulesBedrijfsnummer

Controllinggebied

Personeelsgebied

Personeelssubgebied

Personeelsnummer

Formatieplaats

Medewerkersubgroep

Medewerkergroep

Kostenplaats

Functie

Organisatieeenheid

Afrekeneenheid

Ondernemingsstructuur

Personeelsstructuur

Organisatiestructuur

Organisatiestructuur

aansluitnummer/

/externe instantie

12-11-2008 VUroRE 8

2. Hoofdlijnen syst.concept - 5

verwerkerr

BZK

EC

Arbo

……

ABP

……

Expert AdviesP&O Servicedesk

2e L

ijnP

erso

nele

Die

nste

n

1e L

ijnP

orta

l ond

erst

euni

ng

Zelfbediening

Die

nstv

erle

ning

ssys

tem

enB

acko

ffice

/ ve

rwer

kingHRM

portal

informatie+

transactie(zelfbediening )

Gemeenschappelijke Uitvoeringsprocessen

HR-VerwerkerHR-Ondersteuner

Manager

Medewerker

Zelfbediening

12-11-2008 VUroRE 9

3. Assurance object - 1

Schets processen

Ik wil…

Betaling

Rapportage

Ik wil…

Betaling

Rapportage

Ik wil…

Betaling

Rapportage

Navigatienaar wens

Wat wil ik?

Navigatienaar wens

Wat wil ik?

Navigatienaar wens

Wat wil ik?

Schermformulier

Opdracht

Schermformulier

Opdracht

Schermformulier

Opdracht

Opslaangegevens

Verwerken

Opslaangegevens

Verwerken

Opslaangegevens

Verwerken Salarisverwerking

Loonelementen

Salarisverwerking

Salarisverwerking

Loonelementen

Salarisverwerking

Salarisverwerking

Loonelementen

Salarisverwerking

Wie ben ik?Wie ben ik?Wie ben ik?

Identificatieautorisatie

Mag ik watIk wil?Mag ik watIk wil?Mag ik watIk wil?

goedkeuring

12-11-2008 VUroRE 10

3. Assurance objecten - 2

SysteemschetsMSHR/CO P-D/DVS

Infosyst.

Dept

Zelfbedien= 26 proc

PI

Handm

PY

StrokenBetalen

Afdrachten

BI MiniPY

HR

MedewMngr.HR-O

HR-Verwerker MedewHR-OExtern

Portaal

PIUitvoer

A

B

C

E

Form.BezetJourn.

Div

D

12-11-2008 VUroRE 11

4. Inrichting assurance - 1

• Assurance kenmerken SAP i.r.t. HR:– Functionaliteit, controles, autorisaties in HR � portaal

= ‘leeg’– Standaard controles HR niet inzichtelijk– Controles customizing documenteren– SAP HR � SAP BI / SAP EIC– Rapportages = complex

• Formele uitvoer HR-processen � juridisch dicht• ???? = in ontwikkeling!

12-11-2008 VUroRE 12

4. Inrichting assurance - 2

• Rol IT-auditors in keten– Departement:

• € = samen met Financial Auditor• IT-aspecten lokale implementatie portaal, netwerk,

koppelingen rijksweb, etc.

– Project:• System audit � opzet / bestaan / werking• Audit HR-Verwerker � opzet / bestaan / werking• Audit ketenpartners � werking = TPM / SAS70• Beheerverslag

12-11-2008 VUroRE 13

4. Inrichting assurance - 3

• General controls in relatie tot;– Dienstenovereenkomsten klanten– Contracten - SLA’s – DAP’s– HR-Verwerker– Autorisaties– Etc.

• Systeemcontroles = A t/m E• Testtraject: ., ., � KIT

12-11-2008 VUroRE 14

4. Inrichting assurance - 4

• Inrichting HR-Verwerker

Manager

Staf IC

Relatiebeheer Contact Centrum Adm. verwerking Autorisatiebeh.

Interface gegevens

� �

systemen

1e-lijnklanten

Invoer mutaties

HR

Toekennenrollen enanalyse gebruik

= = = =Taken:

12-11-2008 VUroRE 15

4. Inrichting assurance - 5

• Autorisaties– Normale problematiek (SAP All, vertrokken

medewerkers, overrulen rollen vanuit andere modules, etc.)

– Specifieke problematiek HR:• Relatie portaal � � HR• Autorisaties HR � BI• Manager + HRO + HRV = 2 rollen:

– Functionele rol– Medewerkers rol

12-11-2008 VUroRE 16

5. Meetpunten zekerheid

• Belangrijkste controlemaatregelen per object

XBestandsvergelijking

XDiagonale beoordeling uitvoer

XVolledigheidscontrole infotypes HR en PY

X4-ogenprincipe op basis autorisatie

In combinatie maatregelen o.g.v A&K-analyse: generieke en geprogrammeerde maatregelen

XLogging + reproductie mutatie

XMutatieverslag voor departement

XXXHashtotals / checksums / tellingen

EDCBAControlemaatregel / Subobject

12-11-2008 VUroRE 17

6.Zekerheid of schijn? -1

• Kerntaak IT-auditor: zekerheid bieden• Conclusie huidig inzicht:

– € �v/j/t + integriteit– Beschikbaarheid � portaal + betalen– Exclusiviteit � toegang / gebruik (Wbp)

lijkt oordeel met ‘redelijke mate’ zekerheid mogelijk

• Schijn?

12-11-2008 VUroRE 18

6. Zekerheid of schijn? - 2

Wat wordt het?

of