Continue verbetering door samenwerking tussen de Lines of Defense

Information security bij Heineken

2 oktober 2015
In dit artikel:

Heineken is in de laatste jaren explosief gegroeid door verschillende grote acquisities, zoals Brau Union in Oost-Europa (2003), Scottish & Newcastle in het Verenigd Koninkrijk (2008), FEMSA in Mexico en Brazilië (2010) en Asia Pacific Breweries in Azië (2012), zie figuur 1. Deze acquisities hebben het bedrijf in korte tijd veranderd in een wereldspeler die actief is in meer dan 70 landen met meer dan 160 productielocaties en ongeveer 81.000 werknemers. Deze wereldwijde footprint geeft het bedrijf een bijzonder risicoprofiel dat afwijkt van haar directe concurrenten.

In de landen waar de onderneming actief is zijn het de operating companies, oftewel OpCos, die de markt bedienen. De OpCos zijn verantwoordelijk voor hun inkoop, productie, verkoop en financiële administratie. In de laatste jaren is de organisatie begonnen met de introductie van shared services, bijvoorbeeld voor inkoop en financiële processen. De grote geografische spreiding en aanwezigheid in zowel volwassen markten als groeimarkten brengt specifieke uitdagingen en risico’s met zich mee voor informatiebeveiliging en de inrichting hiervan. Zie figuur 2.

In dit artikel beschrijven wij hoe Heineken ervoor zorgt dat informatiebeveiliging consistent door de gehele organisatie wordt gewaarborgd en welke rol IT-audit hierin speelt.

Schermafbeelding 2015-09-30 om 12.15.42

Heineken Business Framework

Risicobeheersing is een integraal onderdeel van de manier waarop de organisatie onderneemt. Het Heineken Business Framework dat hieraan ten grondslag ligt, is gebaseerd op het COSO Internal Control Framework. Binnen het Heineken Business Framework zijn de Heineken Rules (HeiRules) leidend. HeiRule 1 is de Heineken Code of Conduct, de gedragscode waarbinnen alle medewerkers moeten werken. De andere 36 HeiRules richten zich op specifiekere zaken zoals bijvoorbeeld Safety & Health (HeiRule 4); Financial Reporting (HeiRule 24) en Information Security (HeiRule 27). Zie figuur 3.

Schermafbeelding 2015-09-30 om 12.25.44

HeiRule 27: Informatiebeveiliging

HeiRule 27 is gericht op informatie­beveiliging. Deze HeiRule heeft als doel de vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening zeker te stellen en de impact van risico’s hieromtrent te minimaliseren. Door informatie­beveiliging in een HeiRule op te nemen, onderstreept het management dat informatie een essentiële productiefactor voor de bedrijfs­voering is en dat deze beschermd dient te worden. Gebrek aan informatie­beveiliging binnen de organisatie kan leiden tot ernstige verstoring van de bedrijfsprocessen, verlies van vertrouwelijke gegevens, fraude of het niet naleven van wet- en regelgeving met als gevolg reputatieschade.

HeiRule 27 beschrijft op hoog niveau de doelstellingen voor informatiebeveiliging en de daaraan gerelateerde beheersmaatregelen. Daarnaast zijn gedetailleerde standaarden en procedures beschikbaar aan de hand waarvan de OpCos deze maatregelen kunnen implementeren. Zie figuur 4. Het centrale document hierbij is de Heineken Information Security Standard (ISS).

Schermafbeelding 2015-09-30 om 14.15.54

De ISS bevat de minimumeisen voor informatiebeveiliging en IT-Governance die van toepassing zijn voor alle OpCos. Voor kleinere OpCos, productieomgevingen (Process Control Domain) en leveranciers zijn aangepaste versies van de ISS beschikbaar. De eerste versie van de ISS werd in 2007 geschreven en de standaard wordt periodiek bijgewerkt. De ISS is in lijn met bekende standaarden zoals ISO 27001 en COBIT. Het bestaat uit tien hoofdstukken, met 26 beheersdoelstellingen en in totaal 52 beheersmaatregelen. De ISS is gevalideerd door de externe accountant en dekt de minimale vereisten vanuit de jaarrekeningcontrole af. Het wordt breed gedragen binnen de organisatie.

Informatiebeveiliging houdt niet op bij de organisatiegrenzen. Heineken maakt gebruik van een aantal externe dienstverleners. Om ervoor te zorgen dat ook deze dienstverleners voldoen aan de beheersmaatregelen uit de ISS, is er een aangepaste versie van de ISS beschikbaar. In de contracten met de IT-dienstverleners wordt standaard naar deze versie van de ISS verwezen.

De introductie van de ISS als centrale standaard heeft veel voordelen met zich meegebracht. Voor de introductie had elke OpCo haar eigen policy en standaarden voor informatiebeveiliging. Dit resulteerde in een situatie waar er geen overeenstemming was tussen de verschillende Lines of Defense (zie hierna) over de toetsingsnormen. Door de verschillende standaarden was er ook geen eenduidig inzicht op groepsniveau in waar de risico’s binnen de organisatie zaten. Daarnaast waren er relatief weinig initiatieven voor verbetering en het delen van good practices tussen de OpCos. De introductie van de ISS heeft hier veel in veranderd. De ISS is de gemeenschappelijke standaard voor informatiebeveiliging, waardoor een gemeenschappelijke taal is ontstaan. Hierdoor zijn de verwachtingen rondom informatiebeveiliging voor de gehele organisatie eenduidig en consistent.

De introductie van de standaard was niet zonder uitdagingen. Een van de zaken die essentieel waren voor het succes was onder andere het creëren van draagvlak op senior managementniveau. Er zijn roadshows georganiseerd door Global Audit IT (3rd line) en de IT Security & Risk Management afdeling (2nd Line) om de boodschap gezamenlijk te verspreiden. Daarnaast zijn er bonusgerelateerde targets opgesteld voor de OpCo IT-managers. Staffing voor het project is opgelost door het creëren van een virtueel team, samengesteld uit de OpCo Information Security Coördinators.

Schermafbeelding 2015-09-30 om 15.05.29

Lines of Defense

Voor de risicobeheersing van de organisatie is het zogenoemde ‘4 Lines of Defense’ model ingericht. Dit model stroomlijnt de inter­actie tussen management en de verschillende assurance functies. De organisatie kent de volgende vier ‘verdedigingslinies’ rondom informatiebeveiliging:

  1. Management;
  2. Information Security & Risk Management (IS&RM);
  3. Global Audit (GA);
  4. Externe Auditor.

1st Line: Management

Het management wordt gezien als de 1st Line of Defense en is de meest omvangrijke van de 4 Lines. Het management is primair verantwoordelijk voor de processen, procedures en de systemen. Hieronder valt tevens de verantwoordelijkheid voor de informatiebeveiliging. Het OpCo-management heeft de taak om de beheersmaatregelen gedefinieerd in de ISS te implementeren en uit te voeren. Het management wordt hierbij ondersteund door Regionaal en Global IT management.

2nd Line: Information Security & Risk Management (IS&RM)

De 2nd Line of Defense functie voor informatiebeveiliging wordt vervuld door de ‘Information Security & Risk Management’ (IS&RM) afdeling. Deze afdeling is onderdeel van het Chief Information Office dat direct aan de Chief Information Officer (CIO) rapporteert en is onafhankelijk van de IT-afdelingen die IT-oplossingen bouwen, uitrollen en onderhouden. IS&RM draagt eraan bij dat alle IT-diensten voldoen aan de interne kwaliteitsnormen en aan contractuele, reglementaire en wettelijke vereisten. Dit doen ze door zeker te stellen dat de beheersmaatregelen die informatiebeveiliging moeten garanderen zijn geïmplementeerd, bijvoorbeeld door het reviewen van de OpCo verbeterplannen voor de informatiebeveiliging.

IS&RM ondersteunt de IT-organisatie door het ontwikkelen van standaarden en policies, het geven van Information security awareness trainingen en het opzetten van verbetertrajecten. Daarnaast faciliteren ze de control monitoring door middel van:

  • Information Risk Self Assessments (IRSA);
  • reviewen van verbeterplannen (Information Security Improvement Plannen).

3rd Line: Global Audit (GA)

Als 3rd Line of Defense zorgt Global Audit (GA) voor een onafhankelijke en objectieve beoordeling van de effectiviteit van het Internal Control Framework. De taken van GA zijn vastgesteld in een charter dat is goedgekeurd door de Executive Board en door het Audit Committee. GA rapporteert hiërarchisch aan de Chief Executive Officer (CEO) en functioneel aan de voorzitter van het Audit Committee.

Het decentrale risicoprofiel heeft tot een auditstructuur geleid waar GA dicht bij het regiomanagement zit met standplaatsen in Amsterdam, Krakow (Polen), New York, Monterrey (Mexico) en Singapore.

GA richt zich op een groot aantal risicogebieden en voert audits uit in alle onderdelen van het bedrijf (zoals marketing, verkoop, inkoop, HR en de brouwerijen). Ongeveer 20 procent van de capaciteit is gericht op IT-audit. De IT-audits richten zich op informatiebeveiliging, projecten/programma’s en IT-gerelateerde beheersmaatregelen in operationele processen (door gezamenlijk optrekken met de operationele audit collega’s).

4th Line: Externe Auditor

De 4th Line of Defense wordt gevormd door de externe auditor waarmee Heineken voldoet aan haar wettelijke controleplicht. Waar GA als 3rd line vooral gericht is op het bredere interne controle raamwerk, richt de externe auditor zich primair op de betrouwbaarheid van de financiële verslaggeving. Waar mogelijk steunt de externe auditor op de activiteiten van de 3rd line.

Zelfevaluatie en IT-audits

Binnen de organisatie is sprake van een duidelijke verdeling van verantwoordelijkheden voor de lokale processen, procedures en de systemen. Een gebalanceerde en effectieve samenwerking tussen de verschillende Lines of Defense is essentieel voor het managen van IT-risico’s.

Succesfactoren voor deze effectieve samenwerking zijn zaken als een duidelijke taakverdeling tussen de Lines of Defense om zo eventuele overlap te minimaliseren. De 2nd line is bijvoorbeeld verantwoordelijk voor het bijhouden van de standaarden, het organiseren van de selfassessments en het monitoren van de verbeterplannen. Audit maakt dankbaar gebruik van deze 2nd line-activiteiten om haar risicoanalyses en auditwerkzaamheden te versnellen.

De effectiviteit van de informatiebeveiliging wordt binnen de organisatie getoetst via een combinatie van zelfevaluaties en IT-audits.

Om continue verbeteringen in informatiebeveiliging te realiseren is in 2007 een gecombineerde aanpak van zelfevaluatie en IT-auditactiviteiten geïntroduceerd. Deze aanpak bestaat uit drie onderdelen:

  1. Information Risk Self Assessment (IRSA) uitgevoerd door de IT-manager in de OpCo, resulterend in het OpCo verbeterplan.
  2. IT Security Audit (ISA) uitgevoerd door Global Audit (GA).
  3. Central IT Audit (CITA) uitgevoerd door de externe accountant.

Information Risk Self Assessment

Elke OpCo en corporate functie is verplicht toezicht te houden op haar naleving van de ISS. Dit wordt getoetst via een zelfevaluatie (selfassessment). De Information Risk Self Assessment (IRSA) wordt onder leiding van het IS&RM-team tweemaal per jaar uitgevoerd door de IT-afdeling van de OpCos en door Central IT Operations. De resultaten van deze gedetailleerde IRSA worden gebruikt door de OpCos om te rapporteren over de naleving van de informatiebeveiligingsnormen. Daarnaast zorgt de IRSA voor een periodieke evaluatie van de voortgang ten opzichte van opgestelde verbeterplannen. Het IS&RM-team gebruikt de IRSA-resultaten om gedurende het jaar reviews uit te voeren. De resultaten worden vervolgens vergeleken met de zelfevaluatie, uitgevoerd door de OpCo.

De OpCos worden ondersteund bij de zelfevaluatie door een web-based applicatie. Deze applicatie heeft twee hoofdtaken, ten eerste het bijhouden van de IRSA-vragenlijst en de antwoorden, en ten tweede een Dashboardfunctie die de OpCos in staat stelt om de resultaten van hun selfassessment te analyseren en te benchmarken met andere OpCos. Dit faciliteert de kennisdeling tussen de verschillende OpCos.

De beheersmaatregelen beschreven in de ISS zijn opgenomen in de IRSA. Voor het uitvoeren van de zelfevaluatie moet het verantwoordelijk management de beheersmaatregelen toetsen en bewijsmateriaal verzamelen om aan te tonen in welke mate de OpCo aan de eisen voldoet. Voor deze evaluatie moet minimaal één item getoetst worden om aan te tonen dat de beheersmaatregel bestaat. Voor de zelfevaluatie is een steekproefgrootte van één voldoende. Om bijvoorbeeld te toetsen of wijzigingen worden goedgekeurd voordat ze in productiesystemen geïmplementeerd worden (change management), wordt een willekeurige wijziging geselecteerd en getoetst of de juiste goedkeuringen daadwerkelijk aanwezig zijn.

Voordat de resultaten centraal verzameld worden, moeten ze door de lokale financieel directeur en de lokale internal control afdeling gevalideerd worden. Het doel is 100 procent naleving voor alle beheersmaatregelen. Een ‘groene’ score is een score van 95 procent of hoger. Een actieplan is vereist om alle tekortkomingen op te lossen.

De zelfevaluatievragenlijsten staan gedurende het hele jaar permanent open voor aanpassingen. Dit geeft de organisatie de flexibiliteit om resultaten van verbeteringen gedurende het jaar zichtbaar te maken. Twee keer per jaar worden de resultaten bevroren voor rapportagedoeleinden (medio juli en medio december). De resultaten van de evaluatie uit juli vormen daarnaast ook input voor de financiering van eventuele verbeterplannen als onderdeel van de jaarlijkse begroting. De decemberresultaten geven een overzicht van de gerealiseerde verbeteringen gedurende het jaar. De IRSA-resultaten leveren daarnaast ook input voor de ISA’s.

Information Security Audit

Elk jaar voert Global Audit IT een aantal Information Security Audits (ISA’s) uit. Doelstellingen van de ISA’s zijn:

  • Toetsen van de effectiviteit van een selectie van IT-beheersmaatregelen uit de ISS.
  • Toetsen van de kwaliteit van de uitgevoerde IRSA’s.
  • Rapporteren over de status van de IT-beheersmaatregelen.
  • Geven van praktische aanbevelingen aan het OpCo-management om de efficiëntie van het proces te verbeteren en beheersmaatregelen te versterken.
  • Het stroomlijnen van interne en externe auditactiviteiten.

In het Global Auditjaarplan zijn vijftien tot vijfentwintig ISA’s opgenomen. De jaarlijkse selectie van OpCos en beheersmaatregelen in scope volgt een op risicoanalyses gebaseerd meerjarig roulatieschema. De OpCos in scope worden geselecteerd op basis van OpCo-omvang, complexiteit van het IT-landschap, compliance-score van de zelfevaluaties en audithistorie. Op basis hiervan wordt de ISA-frequentie per OpCo bepaald. Dit kan elk jaar, elke twee of drie jaar, of alleen op verzoek zijn. De definitieve selectie van OpCos in scope voor het jaarplan wordt vastgesteld en overeengekomen met de regionale IT-directeuren.

Voor de scope van de ISA worden de IT-applicaties geselecteerd die de kritische bedrijfsprocessen ondersteunen en relevant zijn voor de jaarrekening, zoals financiële systemen en de systemen die de inkoop en verkoop ondersteunen. Naast de IT-applicaties zijn ook de lokaal beheerde infrastructuur en diensten in scope zoals bijvoorbeeld back-up, virusbescherming en netwerken.

De ISA’s worden geleid door gekwalificeerde IT-auditors en ondersteund door een guest auditor uit een andere OpCo. Dit zijn veelal Information Security Coördinators die vooraf een korte training ontvangen en een vertrouwelijkheidsverklaring tekenen. Zij ondersteunen vervolgens twee of meer ISA’s per jaar. Hiermee wordt het netwerk rondom informatiebeveiliging versterkt.

Als normenkader voor deze audits wordt gebruik gemaakt van dezelfde standaard (namelijk ISS) die ook als basis dient voor de IRSA. Tijdens de ISA’s wordt een selectie van de beheersmaatregelen uit de ISS getest. Met de externe accountant is een minimale selectie van maatregelen uit de ISS afgesproken met het oog op de jaarrekeningcontrole, zoals access management en change management. Hiernaast worden elk jaar additionele gebieden eenmalig geselecteerd en toegevoegd aan de scope van de ISA, bijvoorbeeld software licentiemanagement, configuratiemanagement en incidentmanagement. Op deze wijze wordt de ISS over een periode van enkele jaren volledig afgedekt.

Overeenkomst met externe accountant

De scope van deze ISA’s wordt jaarlijks gevalideerd door de externe accountant. Deze bevestigt dat de scope voldoende is om zijn eisen voor de jaarrekeningcontrole af te dekken. Dit betekent dat als GA een ISA heeft uitgevoerd er in principe geen extra IT-auditactiviteiten plaatsvinden door de externe accountant. Hiervoor is echter wel een review noodzakelijk op elke ISA audit file. Na afloop hiervan wordt het lokale externe auditteam via een memo ingelicht dat zij op de werkzaamheden van GA kunnen steunen. Door dit memo op te nemen in de lokale audit file dekt het lokale externe audit team hun documentatieverplichting rondom IT af. De focus van de ISA’s ligt hoofdzakelijk op General IT Controls. IT-auditactiviteiten voor het toetsten van application controls worden eventueel lokaal afgedekt.

De externe accountant beoordeelt jaarlijks of IT-auditactiviteiten verricht moeten worden in de OpCos waarvoor geen ISA’s zijn uitgevoerd. Dit is afhankelijk van de mate waarin de OpCo lokaal zijn eigen IT-systemen en infrastructuur beheert. In dergelijke situaties zal een lokaal team IT-auditactiviteiten uitvoeren op een selectie van beheersmaatregelen uit de ISS. De resultaten kunnen vervolgens eenvoudig worden geconsolideerd, omdat de bekende structuur van de ISS wordt gevolgd.

Central IT Audit

Als onderdeel van de jaarrekeningcontrole voert de externe accountant jaarlijks een Central IT Audit (CITA) uit. Deze audit is van toepassing op de centrale IT-diensten die door Global Information Services (GIS) aan de OpCos worden verleend. Een selectie van de beheersmaatregelen uit de ISS wordt tijdens deze audit getoetst. Deze selectie wordt vastgesteld door de externe accountant en GIS. De scope is afgestemd op de controle-eisen die relevant zijn voor de jaarrekening. Voor de IT-diensten afkomstig van externe leveranciers ontvangt Heineken elk jaar de benodigde Assurancerapporten (zoals een ISAE3402). In sommige gevallen voert GA de auditwerkzaamheden bij de leveranciers uit. Deze dienen als input voor de CITA om de centrale IT-diensten volledig te kunnen afdekken.

Schermafbeelding 2015-09-30 om 15.10.46

Meten en Monitoren

De geconstateerde risico’s en de aanbevelingen en actieplannen die uit de verschillende audits en assessments naar voren komen, worden gelogd in het wereldwijde issue trackingsysteem (HeiControl van BWise). Dit geeft een volledig overzicht van de IT-issues, de vereiste acties, voortgang en deadlines. Op basis hiervan kan het IT-managementteam zijn verantwoordelijkheid nemen voor de realisatie van de verbeteringen. Hiernaast stellen de OpCos specifieke verbeterplannen op voor de informatiebeveiliging. Zij rapporteren elk kwartaal over de voortgang om waar nodig te kunnen bijsturen. De IS&RM-afdeling monitort deze voortgang en rapporteert dit regelmatig naar het IT-managementteam. Zie figuur 6 hierboven.

Geleerde lessen

Om informatiebeveiliging op een hoger niveau te krijgen is een aantal zaken van belang gebleken voor de introductie van het informatiebeveiligingsmodel:

  • Tone at the top door middel van aandacht en commitment voor informatiebeveiliging vanuit het seniormanagement.
  • Een gemeenschappelijke taal door de introductie van de ISS. Dit vereenvoudigt de communicatie over initiatieven en normen en biedt een gemeenschappelijk begrippenkader.
  • Continuïteit in de standaard. Gedurende langere tijd consequent vasthouden aan één standaard brengt de rust in de organisatie die nodig is om de nodige verbeteringen door te voeren.
  • Stimuleren van het delen van good practises tussen OpCos.

De geïntegreerde aanpak van de Lines of Defense heeft de volgende resultaten opgeleverd:

  • Continue verbetering gedurende meerdere jaren in compliance niveaus in alle OpCos.
  • Effectieve samenwerking tussen de Lines of Defense waardoor overlap in werkzaamheden is geminimaliseerd en de belasting van de organisatie is beperkt.
  • Versterking van het netwerk van IT-security-experts, onder andere door het inschakelen van IT-security coördinators als guest auditors.
  • Belangrijke besparing in externe accountantskosten door het kunnen steunen op interne IT-audits.
  • Het kunnen verschaffen van een geconsolideerd inzicht in IT-securityrisico’s over het bedrijf heen aan het senior management.

R. (Ralf) Grootendorst en M. (Marco) Rozenberg

Ralf Grootendorst is werkzaam bij Heineken Global Audit. Hij houdt zich voornamelijk bezig met Proces, Project en Information Security audits binnen Heineken. Marco Rozenberg is Global Audit Director binnen Heineken en is verantwoordelijk voor de Operational audit teams in Europa en het Global IT audit team.