Toezicht en de IT-organisatie
Afgelopen decennia is elke organisatie een digitaal informatieproces geworden en is er een diffuse verbinding ontstaan tussen de ‘oude technische’ IT-afdeling en de moderne informatie organisatie. Kon men vroeger makkelijk verantwoordelijkheden tussen business en IT helder aangegeven, tegenwoordig is die scheiding niet zo makkelijk meer.
De opkomst van allerhande (externe) clouddiensten – geïntegreerd met interne processen – creëert een complex veld van informatieprocessen en dataverzamelingen. Dit heeft zijn impact op toezicht en bijbehorende audits als onderdeel van de jaarrekening en toezicht op de continuïteit van de organisatie. Omdat het totale bedrijfsproces afhankelijk is geworden van die complexe informatiestromen en datasets, heeft het vak van auditor steeds meer een inhoudelijke informatiekant gekregen.
De audit
Auditing is het controleren van een organisatie. Werkt de organisatie volgens de normen en voldoen die normen nog wel aan de praktijk? Een audit omvat ook het uitvoeren van een accountantscontrole van de verantwoordingsstukken van de organisatie: ‘beschrijven de jaarrekeningen en (interne) management rapportages (nog) de werkelijkheid?’ Auditing vraagt een systematische en gedisciplineerde aanpak van de controle van diverse verantwoordingen, inclusief de administratieve organisatie daarvan.
Van oudsher was de (interne) financiële audit de belangrijkste audit. Omdat veel processen, en vooral resultaten van processen, steeds meer vanuit goed gedefinieerde digitale applicaties worden gegenereerd, is de focus ook verschoven naar de juistheid van de IT-systemen. Volgen digitale processen inderdaad normen en afspraken en zijn digitale resultaten overeenkomstig de werkelijkheid? Onze wereld is voor een groot deel virtueel geworden. De ‘boekhouding’ vertaalt het beeld van die virtuele wereld naar de fysieke wereld; onze echte realiteit. Deze virtuele werelden (kunnen) overzien, maakt de uitvoering van de IT-audit steeds complexer.
De IT-audit
De audit naar het functioneren van de interne IT-organisatie omvat de structuur en de verantwoordelijkheden van de IT-organisatie, de hardware, de systeemsoftware en-applicaties, het interne en externe netwerk en de veiligheids- en calamiteitensystemen. Oorspronkelijk was de IT-audit een beperkt specialisme binnen het auditing-vakgebied. EDP-auditing of te wel de beoordeling van Electronic Data Processing. Maar groeiende automatisering, gebruik van interne en externe clouddiensten en data-koppelingen met partners, leveranciers en klanten, maakt dat dit vakgebied in snel tempo een eigen vakgebied aan het worden is.
Door de toenemende automatisering is er integratie nodig van ‘accounting deskundigheid’ met die van ‘informatie deskundigheid’. De kennis is niet meer ‘slechts’ bedrijfseconomische en administratieve kennis. Hoe en door wie zijn de informatieprocessen opgesteld en worden ze getoetst. Nieuwe wetgeving als SOX, Basel en GDPR betekent dat het beheersen van de ICT processen en de daarvoor verantwoordelijke informatie-organisatie steeds belangrijker wordt. Omdat informatie processen steeds diffuser het gehele bedrijfsproces ondersteunen, ontstond de uitdaging deze ‘diffusiteit’ als belangrijk risk en control element beter te beschrijven en vast te leggen.
Diffuus
Diffuus is een oud leenwoord uit het Frans en betekent ‘verspreid’. In de medische wetenschap wordt het woord gebruikt voor een aandoening zonder scherpe begrenzing. Daarnaast kennen we het begrip uit de natuurkunde zoals bijvoorbeeld dat een bewolkte hemel een diffuus licht geeft. Het geeft de contouren aan zonder al te veel scherpte. Daarom past het woord diffuus zo mooi bij wat we zien in de moderne informatie organisatie: de scheiding tussen IT-proces en business proces is aan het vervagen, wordt dus diffuser. De scheidslijnen vervagen en dat maakt het auditproces lastiger. Daarnaast is er vanuit de toezichthouder de toenemende roep naar betere controlekwaliteit, welke echter op zichzelf ook een diffuus karakter heeft.
Wat is controlekwaliteit? Dit is de verzameling van zogenaamde Audit Quality Indicator’s (AQI’s) die samen een totaal beeld geven van de geleverde controlekwaliteit over een proces of activiteit. Kwaliteit is in de eerste plaats geen constante. Ook is altijd een minimum niveau waaraan wordt getoetst. Maar wat houdt – boven dat vereiste minimum – de kwalificatie ruim voldoende tot goed in? Inzicht daarin, vraagt dat de verschillende AQI’s in een raamwerk met elkaar verbonden (moeten) zijn en de impact van en op elkaar is benoemd. De kwaliteit van de data in het ene proces kan (grote) invloed hebben op de uitkomsten van een ander proces. Hoe leg je die afhankelijkheden vast? Zeker door de toekende gebruik van externe clouddiensten is IT-auditing een proces geworden dat kwadratisch in complexiteit toeneemt.
Procesgerichte kwaliteitsbeheersing
Bij het woord IT-auditor denken we aan een mens. Een deskundige vakman of -vrouw die gespecialiseerd is in het uitvoeren van audits. Echter, de toegenomen complexiteit vraagt nieuwe gereedschappen opdat die deskundige als mens deze werkzaamheden nog kan uitvoeren. We zullen het auditproces dus zelf ook moeten digitaliseren en automatiseren om binnen haalbare en betaalbare grenzen goed toezicht te kunnen houden en garanderen. Dit doet me denken aan uitdagingen die de automatiserende fabriek in de jaren tachtig en negentig had. De periode dat vanuit Japan kwaliteitsgerichte procesbeheersing in de mode kwam.
De uitdaging hield in dat men óf elk onderdeel dat een geautomatiseerde machine maakte apart ging controleren c.q. meten óf men ontwierp het productieproces zodanig, dat er geen foute onderdelen uit het proces kónden komen. Als men begin en einde van de productietijd een ‘referentie-onderdeel’ door het proces liet lopen, en men controleerde het eerste en laatste onderdeel, dan had men de garantie dat per definitie alle tussenliggende onderdelen kwalitatief goed waren. Dit vroeg wel een totaal nieuwe manier van ontwerpen, inrichten en beheren van productieprocessen. Het vakgebied flexibele productie automatisering ontstond waardoor hele productiestraten van machines en robots – door zelfcontrole inherent kwalitatief – hun werkzaamheden uitvoeren. Onze fabrieken werken nog steeds zo.
Informatie-productiestraten
Informatieprocessen zijn niets anders dan informatie-productiestraten: geautomatiseerde productie van informatieproducten. Opgebouwd uit onderliggende onderdelen c.q. datasets die elk voor zich – in zichzelf – kwalitatief goed moeten zijn. Laat de dataset zich zelf controleren in het proces waar het gemaakt of verwerkt wordt. In de fysieke productiewereld maakten we zowel producten als processen slim waardoor een productielijn zijn eigen kwaliteit kon controleren. Kwaliteit was de norm, non-kwaliteit de afwijking onder streng toezicht.
Automatisering van de informatiesystemen vraagt dezelfde kwaliteitshulpmiddelen die ooit de basis vormden voor de kwalitatief goed geautomatiseerde fabrieken zoals we die nog steeds kennen. Echter, productieautomatisering en keten-integratie is een apart vakgebied. In de jaren negentig vergezeld met de opkomst van CAD/CAM en MRP/ERP systemen: de digitalisering van productontwerp en -beschrijving en de logistiek om het te bestellen, te maken en te leveren. Een van mijn eerste blogs in 2010 ging over automatisering van de IT onder het kopje ‘IT-ers hebben alles geautomatiseerd behalve zichzelf’. Dat gold toen niet alleen het uitvoerende werk van veel IT-specialisten maar ook de kwaliteitsbewaking. De afgelopen tien jaar zijn gelukkig veel IT-werkzaamheden geautomatiseerd. Nu de kwaliteitsbewaking nog om onze steeds zwaarder belaste IT-auditors te ontlasten.
Auteur: Hans Timmerman (foto), directeur van Fortierra