Download - 12 11 2008 5 - vurore.nl
������������ ����
���������������������������
12-11-2008 VUroRE 2
Inhoud
1. Doelstelling2. Hoofdlijnen systeemconcept3. Assurance object4. Inrichting assurance5. Meetpunten zekerheid6. Zekerheid of schijn?
12-11-2008 VUroRE 3
1.Doelstelling
• Inzicht gewenste / haalbare zekerheid grootschalige HR-processen:– Wat is nodig?– Wat is haalbaar?
• Welke zekerheid kan IT-auditor bieden?• Conclusie (schijn)zekerheid• Hoofdlijnen
12-11-2008 VUroRE 4
2. Hoofdlijnen syst.concept - 1
• Rijksdienst � SSC: P-Direkt• Ketenproces HRM-diensten rijksdienst• > 100.000 medewerkers + > € 100n• Politieke belangstelling• Zekerheid nodig over:
– € (v/j/t) + integriteit– Beschikbaarheid– Exclusiviteit (Wbp)
• Project Migratie SAP-HR: inrichting HR+ZB(5 dept. 6 HCS, 65.000 medewerkers)
12-11-2008 VUroRE 5
2. Hoofdlijnen syst.concept - 2
• Control filosofie HR-processen:– Controle vóóraf:
• Overleg manager en medewerker• Controle op juistheid door automatisering
– Controle achteraf:• Terugkoppeling op gedrag vanuit systeem• Controle op werking van hele proces• Afwikkeling bevindingen op departement• Controle Auditdiensten op basis van steekproef• Kwaliteitstoets HR-processen IT-auditor
12-11-2008 VUroRE 6
2. Hoofdlijnen syst.concept - 3
• Realisatie via SAP/R3– HR = personeelsgegevens– PY = bruto-netto, afrekening, afdracht – PI = info uitwisseling (in en uit)– BI = infoverstrekking– EIC = ondersteuning zelfbediening– Relatie andere SAP-modules
• Uitbesteding delen ketenproces
12-11-2008 VUroRE 7
2. Hoofdlijnen syst.concept - 4
Relatie SAP-HR met andere SAP-modulesBedrijfsnummer
Controllinggebied
Personeelsgebied
Personeelssubgebied
Personeelsnummer
Formatieplaats
Medewerkersubgroep
Medewerkergroep
Kostenplaats
Functie
Organisatieeenheid
Afrekeneenheid
Ondernemingsstructuur
Personeelsstructuur
Organisatiestructuur
Organisatiestructuur
aansluitnummer/
/externe instantie
12-11-2008 VUroRE 8
2. Hoofdlijnen syst.concept - 5
verwerkerr
BZK
EC
Arbo
……
ABP
……
Expert AdviesP&O Servicedesk
2e L
ijnP
erso
nele
Die
nste
n
1e L
ijnP
orta
l ond
erst
euni
ng
Zelfbediening
Die
nstv
erle
ning
ssys
tem
enB
acko
ffice
/ ve
rwer
kingHRM
portal
informatie+
transactie(zelfbediening )
Gemeenschappelijke Uitvoeringsprocessen
HR-VerwerkerHR-Ondersteuner
Manager
Medewerker
Zelfbediening
12-11-2008 VUroRE 9
3. Assurance object - 1
Schets processen
Ik wil…
Betaling
Rapportage
Ik wil…
Betaling
Rapportage
Ik wil…
Betaling
Rapportage
Navigatienaar wens
Wat wil ik?
Navigatienaar wens
Wat wil ik?
Navigatienaar wens
Wat wil ik?
Schermformulier
Opdracht
Schermformulier
Opdracht
Schermformulier
Opdracht
Opslaangegevens
Verwerken
Opslaangegevens
Verwerken
Opslaangegevens
Verwerken Salarisverwerking
Loonelementen
Salarisverwerking
Salarisverwerking
Loonelementen
Salarisverwerking
Salarisverwerking
Loonelementen
Salarisverwerking
Wie ben ik?Wie ben ik?Wie ben ik?
Identificatieautorisatie
Mag ik watIk wil?Mag ik watIk wil?Mag ik watIk wil?
goedkeuring
12-11-2008 VUroRE 10
3. Assurance objecten - 2
SysteemschetsMSHR/CO P-D/DVS
Infosyst.
Dept
Zelfbedien= 26 proc
PI
Handm
PY
StrokenBetalen
Afdrachten
BI MiniPY
HR
MedewMngr.HR-O
HR-Verwerker MedewHR-OExtern
Portaal
PIUitvoer
A
B
C
E
Form.BezetJourn.
Div
D
12-11-2008 VUroRE 11
4. Inrichting assurance - 1
• Assurance kenmerken SAP i.r.t. HR:– Functionaliteit, controles, autorisaties in HR � portaal
= ‘leeg’– Standaard controles HR niet inzichtelijk– Controles customizing documenteren– SAP HR � SAP BI / SAP EIC– Rapportages = complex
• Formele uitvoer HR-processen � juridisch dicht• ???? = in ontwikkeling!
12-11-2008 VUroRE 12
4. Inrichting assurance - 2
• Rol IT-auditors in keten– Departement:
• € = samen met Financial Auditor• IT-aspecten lokale implementatie portaal, netwerk,
koppelingen rijksweb, etc.
– Project:• System audit � opzet / bestaan / werking• Audit HR-Verwerker � opzet / bestaan / werking• Audit ketenpartners � werking = TPM / SAS70• Beheerverslag
12-11-2008 VUroRE 13
4. Inrichting assurance - 3
• General controls in relatie tot;– Dienstenovereenkomsten klanten– Contracten - SLA’s – DAP’s– HR-Verwerker– Autorisaties– Etc.
• Systeemcontroles = A t/m E• Testtraject: ., ., � KIT
12-11-2008 VUroRE 14
4. Inrichting assurance - 4
• Inrichting HR-Verwerker
Manager
Staf IC
Relatiebeheer Contact Centrum Adm. verwerking Autorisatiebeh.
Interface gegevens
� �
systemen
1e-lijnklanten
Invoer mutaties
HR
Toekennenrollen enanalyse gebruik
= = = =Taken:
12-11-2008 VUroRE 15
4. Inrichting assurance - 5
• Autorisaties– Normale problematiek (SAP All, vertrokken
medewerkers, overrulen rollen vanuit andere modules, etc.)
– Specifieke problematiek HR:• Relatie portaal � � HR• Autorisaties HR � BI• Manager + HRO + HRV = 2 rollen:
– Functionele rol– Medewerkers rol
12-11-2008 VUroRE 16
5. Meetpunten zekerheid
• Belangrijkste controlemaatregelen per object
XBestandsvergelijking
XDiagonale beoordeling uitvoer
XVolledigheidscontrole infotypes HR en PY
X4-ogenprincipe op basis autorisatie
In combinatie maatregelen o.g.v A&K-analyse: generieke en geprogrammeerde maatregelen
XLogging + reproductie mutatie
XMutatieverslag voor departement
XXXHashtotals / checksums / tellingen
EDCBAControlemaatregel / Subobject
12-11-2008 VUroRE 17
6.Zekerheid of schijn? -1
• Kerntaak IT-auditor: zekerheid bieden• Conclusie huidig inzicht:
– € �v/j/t + integriteit– Beschikbaarheid � portaal + betalen– Exclusiviteit � toegang / gebruik (Wbp)
lijkt oordeel met ‘redelijke mate’ zekerheid mogelijk
• Schijn?
12-11-2008 VUroRE 18
6. Zekerheid of schijn? - 2
Wat wordt het?
of