1. NOREA/VERA Update ICT & Control 28-29 november 2007
Voortgezette Educatie Registeraccountants
Kundig Adviseren is een Kunst(je)
Jurgen van der Vlugt
Noordbeek IT Audit
Jurgen@Noordbeek.com
(Sessie B1)
Deze notes pages zijn slechts indicaties van de te bespreken of, al of niet
per ongeluk en/of door tijdgebrek, overgeslagen onderwerpen,
kanttekeningen en gerelateerde onderwerpen
Deze presentatie bevat dus te veel stof, en ook veels te weinig!
Alle (opbouwende) commentaren en met name aanvullingen, worden zeer
gaarne ontvangen op bovenstaand mailadres.
Of bel 06-20664823 of mail voor een in-house discussie…
2. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 2
Wie ben ik?
• KPMG:
• WinNT
• Y2K
• ABN AMRO:
• Blueprint consolidatie
(business, non-business)
• Outsourcing
• Security integration & cybercrime
• Noordbeek
• Mgt.control & InfoSec
• Ooit begonnen bij KPMG, vanuit de techniek (audit en advies) naar Y2K
(advies en beetje audit) o.a. in Griekenland en Caraïbisch gebied
• ABN AMRO: Group Audit Corporate Centre
• Blueprint: Alle IT consolideren (voorzover niet AAB-specifiek)
• Outsourcing: De grote deals, qua control en inhoud
• Security integration, cybercrime: Structuren doordenken, neerzetten,
uitrollen
• Noordbeek: Full scope audit en advies
• De plaatjes zijn werklocaties van het Y2K-‘auditwerk’ (echt waar)
• Mocht uw organisatie advies nodig hebben op soortgelijke locaties, dan
houd ik me ten zeerste aanbevolen en offer me wel weer op
3. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 3
Inleiding, aanleiding, agenda
• NOREA: IT-audit = ( IT-audit + Advies )
• IT-audit → Assurance → Uitgekauwd
• IT-Audit → Advies …?
• Typologie van advies
• Kwaliteit, criteria
• Principes, rules?
• NB RE’s en NOREA staan voor ‘Al hetgeene dat op de kwaliteit van de
informatieverwerking eenige betrekking heeft’
• 1e bullet wegens de recursie (privé-hobby). Ondanks alle SOx- en
andere reguleringsontwikkelingen (ethisch perverse ontwikkelingen maar
dat terzijde)
• 2e bullet: Hoewel, uitgekauwd… In ieder geval qua procedurele
aspecten. De inhoudelijk-kwalitatieve aspecten daarentegen …
En onverlet het stukje Natuurlijke Adviesfunctie dat vrijwel altijd van
boord valt, blijft alleen de aanbevelingscomponent in de Bevinding open.
Zie verderop.
• De adviescomponent is wegens ongeregeldheid tot nu toe (te)
onderbelicht. Maar als RE’s (en RA’s) en zeker als NOREA zou je toch
willen dat je kwaliteitsgaranties kan bieden, ook op dat terrein
• En oh ja: Mobieltjes gaarne op stil.
4. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 4
Model (CHBr)
Statuten
‘Vereniging’
• HHR
• Tucht
• Toelating
• …
• Etc.
Reglement Gedragscode
Uitvoeringsrichtlijnen e.g. Opdrachtverwerving, Dossiervorming, Rapportage, PE
Inhoudsrichtlijnen e.g. Raamwerk Assurance, Richtlijn Oordelen
Attest
(Assertion
- based)
Direct
reporting
Assurance
In business
Advies
? ?
?
Reglement Beroepsbeoefening
?
Handreikingen; Studierapporten, De EDP-Auditor
• Ad-hoc Commissie Herziening Beroepregels (CHBr):
• Code of Ethics (Reglement Gedragscode) ingevoerd dus
• Losse eindjes in GBRE et al
• Behoefte aan nieuwe structuur, architectuur
• Bovenstaande is nog niet ‘officieel’; met name het rechterstuk is nog
redelijk blanco, terra incarta en nog niet in beton gegoten
• Maar het Advies-blok is dus juist wél onderwerp van deze presentatie.
• In Business is nog vager; deels van later orde in de andere
parallelsessies in deze stream.
En het is het toch niet te veel gevraagd het Reglement Gedragscode te
hanteren ..?
5. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 5
Inleiding, aanleiding, agenda
• NOREA: IT-audit = ( IT-audit + Advies )
• IT-audit → Assurance → Uitgekauwd
• IT-Audit → Advies …?
• Typologie van advies
• Kwaliteit, criteria
• Principes, rules?
NB al het volgende ten minste deels speculatief
• Deze presentatie heeft 3 delen
• Eerst over typologie van advies. Enige initiële analyse leert dat het
waarschijnlijk daaruit is dat de meest hanteerbare richtlijnen voor
(aan)sturing richting levering van (procedureel en inhoudelijk) deugdelijk
advies zullen volgen
• Of althans – kwaliteitskenmerken en criteria, handvatten voor
richtlijnen…
• Tot slot komen met referentie aan de typologie regel-achtige voorstellen
aan bod
• Nota bene: Pretenties heb ik wel, maar niet dat het volgende verhaal
overal zinvol en perfect is. Nogmaals, commentaar is welkom
6. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 6
Typologie van advies
• Janus; onzekerheidsreductie ..?
• Natuurlijk advies en Aanbevelingen
• Kennis en over de Toekomst
• Keuzes;
Binair, selectief (gesloten of open), exploratief
• Scenario’s en schetsen van mogelijkheden
Trechters, trendbreuken en tectoniek
7. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 7
Janus (I)
Fringilla Coelebs:
gewone vink
(Herseninhoud 0,8gr)
Audire Tele-videre
• Naar links het audire, horen, hetgeen een relatief passieve bezigheid is
en als auw-duur! klinkt
• Naar rechts het (tele)videre, (ver)zien, relatief actief?
• Daarbij aansluitend op persoonlijke noot dat televidere verslavend werkt
8. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 8
Janus (II)
• Voorspellen is moeilijk,
• Zeker als het de toekomst betreft
• Feiten (?)
• Objectief vaststellen ??
• Herhaalbaar (?)
• Zekerheid (?)
• Juistheid stelling
• Algoritmes (!)
• Waarheid bestaat niet
• Mogelijkheden
• Willekeurige ‘waarneming’ (?)
• Niet herhaalbaar (?)
• Zekerheid (!)
• Wat de toekomst brengt
• Keuzes
• Toekomst is niet onzeker
• Er zijn nog wel meer ‘typische’ verschillen aan te geven:
• Links onder andere dat het soort werk risico-mijdende, menstype B
introverte types trekt, wat die niet (her)kent dat vreet ‘ie niet
• Rechts daarentegen de thrill seeker menstype-A, ‘open-minded’ en
extravert, attent op weak signals; soms ook rijp voor buzzword bingo
9. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 9
Natuurlijk advies en Aanbevelingen
• ‘Natuurlijke adviesfunctie’: bemoeials
• Bevindingen
Criteria Norm
Condition -/- Vaststelling
Risk Tekort
Cause ⇑ Oorzaak
Recommendation Aanbeveling: Tekort weg?
• De natuurlijke adviesfunctie vervalt vrijwel altijd tot buiten de opdracht
vallende bemoeizucht, afgewezen
• Het stramien voor bevindingen is zo oud als …
• Alle mensen zijn sterfelijk
• Socrates is een mens
• Ergo …
• De oorzaak wordt te vaak vergeten of veel te dicht bij huis gezocht
• Daardoor zal de aanbeveling: ‘Werk het raffeltje weg’ onhaalbaar
blijken, en/of irrelevant. De oorzaak van het raffeltje moet worden
aangepakt anders gaat het morgen weer fout. En de oorzaak en
werkelijke oplossing zijn soms veel omvangrijker dan de scope van
de bevinding toelaat.
• Bovendien: Wie is verantwoordelijk oftewel aanspreekbaar voor de
implementatie van de oplossing? Zelden degene waar het raffeltje
werd aangetroffen.
• Bovendien: Wie heeft tijd om bij ieder raffeltje de ‘root cause’ na te
speuren en een haalbare oplossing uit te stippelen ..!?
• Niet de sterfelijkheid van Socrates is een probleem, maar de
sterfelijkheid van mensen. Ga dat eerst maar eens oplossen…
gewenst … ?
10. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 10
Kennis
• Op de filosofische toer:
• Waarheid versus werkelijkheid (Plato’s grot)
• Epistemologie
• Formele Theorie (Gödel?), Kuhn/Lakatos
• Deductie versus inductie
• Vreest niet als u deze niet allemaal kunt dromen. Dit is slechts buzzword bingo met
filosofische pretenties [mislukt, geef ik graag toe]
• Maar een discussie over verleden en toekomst en ‘feiten’ komt onvermijdelijk op
vragen als: Hoeveel zekerheid kunnen we bereiken? Is de zekerheid binnen mijn
hoofd wel terecht, en heeft die betrekking op het beeld dat ik in mijn hoofd heb of
heeft die betrekking op de ‘werkelijkheid’, whatever dat is?
• Epistemologie = kennistheorie
• Eerste relevante is het eindstuk: Formele Theorie. Een theorie is in formele zin een
handvol axioma’s en zogenaamde ‘productieregels’ die op basis van de axioma’s
afgeleide ‘feiten’ produceren, en op basis daarvan weer volgende, verderweg
liggende.
• Wetenschappelijke doorbraken volgen uit het voor een keertje niet hanteren van een
axioma, of de omkering hanteren. Of iets andere productieregels. Dán springen we
ineens van de klassieke natuurkunde naar de quantummechanica enzo.
• Kuhn en Lakatos lieten zien dat zo’n formele theorie z’n eigen wereldje en
groupthink geeft, en dat een ander clubje net zo goed gelijk kan hebben, binnen hun
eigen denkraam.
• Gödel stelde (later bewezen!) dat iedere theorie uitspraken kan opleveren (die dus
waar zouden moeten zijn) die in tegenspraak zijn met andere uitspraken binnen de
theorie (die ook waar moeten zijn).
• Oftewel: Kunnen we ooit zeker zijn? Zelfs over het verleden niet! En komen we
wellicht tot doorbraakadviezen door de (vaak impliciete) regels te breken …?
• Tweede relevante is deductie versus inductie. Werken we niet al te veel met “Best”
practices !?
11. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 11
Kennis en over de Toekomst
• Kennis
• Van de adviseur, niet-herleidbaar, van de vorige klanten
van de adviseur, van ‘leveranciers’ van ‘oplossingen’,
van de markt (benchmarks, enquêterapporten)
• Onbewust/bewust, expliciet/impliciet
• Van gisteren en van vandaag. En van morgen?
• 200 brainstormmethoden
• Schrödinger’s kat en multipele universums
• Kennis (vervolg), waar haal je die vandaan?
• Bijvoorbeeld van het expliciteren van impliciete kennis, door
brainstormen
• Kennis gaat over feiten (axioma’s) en methoden (productieregels),
hoe verder de toekomst in vanaf ‘nu’, hoe onzekerder dat de oude
modellen nog houden
• Brainstormen alleen al kan op 200 (iets) verschillende manieren
• En er zijn nog zo veel meer methoden van ‘kenniselicitatie’
• Of je gelijk hebt over de toekomst weet je dan pas en dan kan je niet
meer terug, bovendien kan je, door je actie vandaag, de toekomst
beïnvloeden
• … en nog een filosofisch nootje tot slot, als disclaimer in het vooruit:
De werkelijkheid hád zich kunnen ontwikkelen zoals het de adviseur
goed uit zou zijn gekomen …?
12. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 12
Typologie van advies
• Janus; onzekerheidsreductie ..?
• Natuurlijk advies en Aanbevelingen
• Kennis en over de Toekomst
• Keuzes;
Binair, selectief (gesloten of open), exploratief
• Scenario’s en schetsen van mogelijkheden
Trechters, trendbreuken en tectoniek
• Nu dan het echte werk. Een tweedeling.
13. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 13
Keuzes; binair
• Binair: Iets doen of niet
• Existentie of niet van 1 ‘oplossing’
• Advies: Bijdragen inzicht
• Kwaliteit van de ‘business case’
• Consequenties
• Externaliteiten
• Mitigerende acties
• Direct, k.t., l.t.
• Auditing (?)
• Dit is de basisvorm
• Het advies zal de vorm krijgen van een ‘volledigheidscheck op de
business case’
• Neigt naar auditing ..?
• Is overigens niet risicoloos: Wat als de adviseur wat heeft gemist?
14. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 14
Keuzes; selectief (gesloten)
• ‘Beste’ oplossing
• Pakketselectie (?)
• Soms in wezen (o.b.v. criteria) géén oplossing,
of criteria leiden tot tegenstrijdige rangvolgordes
• Investeringsportefeuille
• Projectenportfeuille (incl. potentiële)
• Universum begrensd (bekend)
• Doel begrensd
• Nog steeds: een gesloten vraag, een liefst eenduidig antwoord
• Het gaat ook om advisering richting ‘beste’ alternatief
• Vele praktische varianten. Onder andere richting (audit en) advies bij
procurement-zaken; zie Rob Christiaanse in een andere parallelsessie
• Maar we moeten (?) niet meegaan met de neiging om bij nader inzien
sommige criteriawegingen wat minder strikt te hanteren zodat er uitkomt
wat wenselijk is
• Ook al kan het zijn dat geen enkele oplossing op alle showstoppers
voldoet…
• Het universum waaruit kan worden gekozen, is misschien wel begrensd
maar het kan ook van onze zin afhangen hoe ver we zoeken. Is
risicovol; misschien is de perfecte (punt)oplossing er wel maar buiten
beeld
• Anderzijds, Google is uw vriend
• Denk als methode ook nog eens aan die goeie ouwe SWOT-analyse.
Mits (!) goed toegepast, nog altijd bruikbaar…
15. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 15
Keuzes; selectief (open)
• Begrensd! Doel
• Onbegrensd universum (onbekend)
• Criteria?
• Wat kan
• Overigens glijdende schaal met vorige
• ‘Wat kunnen we doen?’
• 1 probleem/doel, in principe onbekend c.q. onbegrensd aantal
oplossingen
• Vaak zijn de criteria ook onbekend, want het is nog onduidelijk
• Wat we willen – doel is oplossen van een probleem, welke richting
de oplossing ligt en/of hoe we daar komen, is nog onbekend en
• Wat we kunnen – de inventaris van oplossingsrichtingen
• Hetgeen natuurlijk tot het risico leidt dat de criteria al een voorkeur
krijgen ingebouwd
• Zoals gezegd bij vorige (gesloten selectief kiezen): Het ligt natuurlijk aan
de energie (het budget? ;-]) hoe ver, lang en goed wordt gezocht dus in
hoeverre voorbij ‘de standaard riedel oplossingen’ wordt gekeken
16. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 16
Keuzes; exploratief
• Wat kan, bestaat
• Wat werkt?
• O.a. test/proef, pilot!
• Onbekend universum
• Onbekend doel
• De meest fuzzy soort zoekopdracht
• ‘Kijk eens wat de mogelijkheden zijn op het gebied van xyz’
• ‘Wat moeten we met abc’
• ‘Laten we eens brainstormen over …’ ..?
• Testen en proeven horen in dit rijtje, om te bezien of en hoe iets werkt
en wat de uitkomsten en (neven)effecten kunnen zijn
• ‘Pilot’ dus
• Het universum aan mogelijkheden is onbekend, de feitelijke invulling van
de werkzaamheden is ‘dus’ ad hoc
• Het doel is ook niet zuiver gesteld, of op een hoger abstractieniveau dan
de werkzaamheden (‘ervaring opdoen met’)
• Maar er moet overigens wel een besluit worden genomen; men kan dus
in ieder geval niet hetzelfde blijven doen
17. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 17
Tussen Keuzes en Scenario’s
• Voorgaande:
• Zelf doen
• Intern gericht
• Keuze maken/besluiten
• Uitloop in externaliteiten
• Volgende:
• Omgevinggericht
• Impact van buiten
op ‘binnen’wereld
• Bijsturing: nieuwe of
alsnog bestaande doelen
• Trendwatching
Intern ExternBinair
Open
Invloed
• Als het gaat om keuzes, is dat een interne aangelegenheid, wellicht met
effecten buiten de eigen scope; jammer dan
(externaliteiten = collateral damage, op anderen afgewenteld)
• Scenario’s betreffen meer het voorzien van de omgeving, welke impact
die gaat hebben, en of daarop zal moeten worden ingespeeld – passief
altijd want niets doen is ook iets doen ;-] of wellicht actief de
mogelijkheden/kansen gaan benutten
• … eigenlijk zouden beide zaken om en om moeten gebeuren, in een
kringloop van scenario-analyse, leidend tot keuzes inzake eventuele
nieuwe doelen, aanpassing aan de wegen om naar de doelen (oud of
nieuw) te komen, die (doen) uitvoeren, waarna opnieuw scenario’s kunnen
worden afgezocht naar nieuwe mogelijkheden
• Denk aan Blaise Pascal: Het verleden en het heden zijn onze middelen,
alleen de toekomst is ons doel
• Trendwatching staat op de ranglijst van maatschappelijk aanzien ex
aequo met zowel ‘accountant’ als ‘paaldanser in een homoclub’ (zelf zou
ik ‘accountant’ niet zo hoog inschatten), is dus een eerzaam beroep ;-] en
mits u spreker inhuurt, geen kwakzalverij
(No offense voor paaldansers of die clubbezoekers!)
18. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 18
Scenario’s; trechters
• Kokervisie, het vertrouwen van Been There,
Done That, meer van hetzelfde
• Simpele trechter: vertrouwen op beheerste
verandering
• Exponentiële trechter: vertrouwen op
non-lineariteit
• Onderzoeken hoe het Was, vooral en beetje Is, om te bepalen hoe het
Wordt?
• De kokervisie onderschat de veranderlijkheid van de werkelijk-heid, en is
een complexiteitsreductie die zo ver gaat dat wel de eigen geestelijke
beperking tegemoet wordt gekomen, maar ook het model van de
werkelijkheid onbruikbaar ver versimpeld is (Einstein: Je moet alles zo
simpel mogelijk maken, maar niet simpeler, zelfs hij onderkende dat niet
alles echt simpel te maken is!)
• De simpele trechter is al iets beter
• De exponentiële trechter gaat er vanuit dat ook niet-lineaire ontwikkelingen
mogelijk zijn (en waarom zouden we die uitsluiten in the first place?)
• Maar alledrie gaan uit van algoritmische voortzetting van huidige
ontwikkelingen (of nul-ontwikkelingen) en/of feedback-loops die (model-
)afwijkingen onderdrukken.
• Beperkt de visie wel heel erg. Als de meerderheid altijd gelijk krijgt en
bepaalt, wat is dan het nut van minderheid-zijn?
• Dit denken kan, voor de korte termijn en als (bereiken van) stabiliteit het
doel is. Denken dat nooit iets wezenlijk verandert, levert dinosauriërs en
het altijd net te laat zijn door achter anderen, innovators, aan te sjokken.
• Komt vaak voor! Benchmarkrapporten, opvolgen van enquête-resultaten
anyone? Dat is de waarheid van gisteren; werkt die morgen nog..? (I.e., het
is bijna alleen terugkijken, niet vooruit)
19. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 19
Voorbeeld: Kies de huidige stand
(Waarvoor dank)
• Twee Magic QuadrantsTM als voorbeeld (bron: Gartner)
• De samenstelling is wellicht niet heel transparant, maar de gidsende
functie is duidelijk, en veelgebruikt. Niet geheel ten onrechte.
• Maar let op: de completeness of vision wil niet zeggen dat de diensten
die we willen, voor ons exact op maat zijn. Misschien is onze behoefte
juist wel een bijziende, gefocuste aanbieder…?
• En constante verschuivingen geven aan: Het gaat om de stand van
vandaag/gisteren.
20. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 20
Voorbeeld: Kies wat zich heeft bewezen
(Waarvoor dank)
• Ander voorbeeld: de Gartner hype cycleTM? Die al wat meer kijkt naar de
toekomst.
• Omineus is het ontbreken van de ‘omvang’ van de markten. En voor de
klant-organisaties wordt al helemaal niet aangegeven hoe groot de
impact kan zijn, intern en/of op naar buiten geleverde producten of
diensten en/of –marktomvang.
• Als het gaat om trechters, gaat het ook vooral om het rechterstuk: Wat is
volwassen genoeg om te implementeren?
• En hier duidelijk ook: Zijn onze concurrenten ons niet voor, in de zin dat
we de ‘competitive advantage’ niet meer kunnen halen?
• Altijd afwachten of het wat wordt, betekent ook altijd genoegen moeten
nemen met de kruimels van optimalisatie (kostenefficiëntie).
21. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 21
Scenario’s; trendbreuken
• Reeds zichtbare/identificeerbare inputs,
algoritme-tot-effecten onbekend
• Economies of scale
• Innovatie
• Momenten van creatieve destructie
(Schumpeter)
Opportunity Threat
‘Innovatie’
• Vrijwel altijd is het iets dat al zichtbaar was voor wie scherp ziet, dat een
trendbreuk veroorzaakt. Maar hoe de uitwerking is, en waar het kritieke
punt ligt, is vaak pas achteraf te bepalen. Wij trendwatchers zitten in de
bioscoop en schreeuwen het uit bij iedere haai die we ‘zien’…
(Cassandra, Boy Cried ‘Wolf’ etc.) ?
• Sommige ‘doorbraken’ worden veroorzaakt doordat een partij (als eerste)
de economies of scale ziet en weet uit te buiten
• Dit kan als de economies of scale niet constant zijn; de eerste die een
bepaald (adoptie)niveau weet te bereiken, demarreert daarna
• Of er is echt sprake van een innovator, first mover of een early adoptor
van andermans idee
• Denk aan ‘network effects’: Een run-away kettingreactie van adoptie
• (De term ‘innovatie’ hoort soms bij incrementele ontwikkeling, soms is de
term beperkt tot ‘het ‘doorbraak’-concept.)
• Meestal is er wel sprake van creatieve destructie; degenen die niet
opletten, worden opgegeten.
22. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 22
Scenario’s; tectoniek
• Grote, maatschappelijke ontwikkelingen
(Megatrends), lange termijn!
• Slecht kwantificeerbaar, hypothetisch karakter
• ‘Tectoniek’ als term voor grote ontwikkelingen die de hele maatschappij
veranderen
• Voorbeelden: Boekdrukkunst, stoommachine, explosiemotor, lucht- en
ruimtevaart, ‘Internet’.
• Door de eeuwen heen exponentiële versnelling van de sneeuwballen, zeker als
we kleinere schaal in acht nemen. Denk ook aan een term als Tipping Point
• De visgraat is een nogal opgerekte vorm van een Ishikawa-diagram, normaliter
op kleinere scope gebruikt voor analyse van oorzaken en een gevolg. Kan met
deeloorzaken etc.
• De visgraat is wat uit beeld geraakt voor scenario-analyse; terecht want wie weet
de oorzaken en effecten goed te benoemen?
• Beter is om meer vrijheid te nemen.
• Voorbeeld: Van ‘computer’ via ‘chip’, ‘PC’ en ‘netwerk’ naar ‘Internet’
• Ander voorbeeld: Radiohead verkoopt ‘CD’ In Rainbows online, wat de gek
ervoor geeft. Dat sluit platenlabels, CD-branders, winkels uit. Consument is
goekoper uit, Radiohead krijgt 5x zo veel in royalties. Alleen de middlemen, tsja.
• Ook de trend richting ontkenning van klassieke copyrights is er zo een.
• Kleiner voorbeeld: DVDs die tegelijk met de bioscooprelease uitkomen
• Andere voorbeelden: Zie sommige zaken op Gartner’s hype cycle (voorin)
• Voor ons relevant voorbeeld: IT Doesn’t Matter (Nick Carr)
• Vaak pas achteraf te herkennen ;-[
23. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 23
Voorbeeld: ABN AMRO
Government
Bureaucracy
Free society
Of individuals
Collectivity
Individualism
• Scenario-analyse uit het verleden geeft geen garantie voor de
toekomst…
• Maar wel bruikbaar in vele situaties
• Van ‘alle’ nieuws-gebeurtenissen wordt bepaald in welke richting die
wijzen; per kwartaal kan een Stand van Zaken worden gerapporteerd
• Moeilijkheid blijft natuurlijk: Wat zijn de (Informatievoorzienings- en IT-
)consequenties voor de korte termijn, waar moet op worden ingezet?
24. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 24
Voorbeeld: Shell
• Shell is van oudsher hét voorbeeld van scenario-analyse voor
strategische planning.
• Dit is de trilemmatriangle.
• Zie www.shell.com/static/aboutshell-en/downloads/
our_strategy/shell_global_scenarios/exsum_23052005.pdf
(1 regel): Zeer de moeite waard!
• Bedenk wel weer: We zullen als IT-auditorsadviseurs wel altijd moeten
kunnen downdrillen naar informatievoorziening-relevante consequenties.
Intellectuele stretch!
25. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 25
Inleiding, aanleiding, agenda
• NOREA: IT-audit = ( IT-audit + Advies )
• IT-audit → Assurance → Uitgekauwd
• IT-Audit → Advies …?
• Typologie van advies
• Kwaliteit, criteria
• Principes, rules?
26. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 26
Kwaliteit, criteria (I)
• Kwaliteit: Value for money
• Criteria, aspecten?
• Inhoudelijk ↔ Proces-, procedureel
• Inhoudelijk: Ingewikkeld
• “Procedureel”: Redelijk klassiek verwachtingsmanagement
27. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 27
Kwaliteit, criteria (II)
• Inhoudelijke kwaliteit:
• Objectiviteit, herhaalbaarheid
• Passendheid, Haalbaarheid, implementeerbaarheid?
• Passend bij opdracht, organisatiestructuur, informatie- en
IT-architectuur en -infrastructuur
• Mandaat, control span, budget
• Maturity / managementcompetentie, change-ervaring
• Stretch van het advies (tijd, scope)
• Rijpheid van de aanbevolen ‘technologie’
• Zie ook parallelsessie René Matthijsse
• Objectiviteit heeft betrekking op het object, het advies!
• Objectiviteit betekent met name: herhaalbaarheid, door anderen, bedoeld
om het advies van Zwarte Magie i.e. impliciete kennis te ontdoen oftewel
expliciet te maken hoe & waarmee het advies totstandkwam
• Het subject, de adviseur, hoeft niet objectief te zijn ..! Als de adviseur maar
duidelijk maakt wat haar/zijn voorkeuren zijn
• Passendheid is helder. Kan ook zijn: Breken met regels omdat anders geen
nuttige oplossing voorhanden is
• Haalbaarheid van de ‘oplossing’ is een belangrijke, niet alleen wegens
commercieel belang (return customers)
• De klant(contact)persoon moet wel het mandaat, de span of control en
het budget hebben om het advies te implementeren, of ermee de boer
op te gaan, anders is het zinloos advies
• Managementcompetentie en change-ervaring idem, anders wordt het
advies verkeerd geïmplementeerd en dan is dat de schuld van het
advies … en van de adviseur
• De stretch hangt hiermee samen, deze moet wel samenvallen met de
horizon waarop de klant acteert anders is het ofwel te hoog ingeschoten
(en wordt het advies als dictaat naar beneden gedouwd), ofwel de klant
mag z’n plan niet afmaken (praktijk)
• Met name als we over IT adviseren: Kan de technologie wel worden
geïmplementeerd, nu al? Is die voldoende uitgekristalliseerd en/of is het
geen dead-endontwikkeling?
• René Matthijsse zal toelichten hoe adviezen aankomen…
• Implementeerbaarheid is ook: Wat doen we morgen om te werken aan het
20-jarenplan ..?
28. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 28
Kwaliteit, criteria (III)
• Relevantie, ‘volledigheid’
• Toekomstvastheid, robuustheid
• Context, bandbreedte van geldigheid
• Voortschrijdend inzicht? Houdbaarheid van het advies
• Contingencies, contingenties
• Hoeveel marge ten opzichte van ander advies?
• Hardheid advies v.v. flexibiliteit
• Strategy lock-in, vendor lock-in?
• Toegevoegde waarde = verrassingseffect?
• Nieuwe inzichten v.v. vastgeroeste ideeën
• Productieregels of axioma’s bijgesteld/losgelaten
• Relevantie gaat over de mate waarin het advies de vraag beantwoordt
• Volledigheid gaat over de mate waarin alle ‘relevante’ omgevings-
(f)actoren etc. zijn meegenomen
• Toekomstvastheid en robuustheid geven enige beperking aan de hardheid
van het advies. Dit moet zodanig worden geformuleerd, dat het advies
(enigszins) bestand is tegen een toekomst die zich anders aan ons
voordoet dan wij hadden gedacht en geëist
• Dit geldt zowel in de breedte (hoe variabel is het advies al of niet
interpreteerbaar, zodat niet op slag het advies verkeerd wordt) als in de
lengte (als de toekomst zich iets anders ontwikkelt, is dat tijdelijk en komt
het nog goed of moeten we gaan bijstellen?)
• Ook moet rekening worden gehouden met nog on-begonnen mega-trends,
die over x jaar plots impact beginnen te krijgen. En contingen-cies, mega-
trendbreuken die we in potentie al kunnen voorzien
• Mede aan te geven: Wat moet/mag/kan veranderen aan de omgeving
opdat we een ander advies als beste zouden moeten geven?
• Anderzijds, de slag om de arm moet niet te ruim worden want dan raken
we niks meer
• En toegevoegde waarde moet, zelfs als we de klant shockeren ;-]
• Juist het verrassende inzicht is vaak het meest waardevol. De klant moet
mee in de heli voor de blik.
29. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 29
Kwaliteit, criteria (IV)
• Procedureel:
• Vooraf:
Integriteit van de adviseur, kennis, objectiviteit, resultaat
• Tijdens:
Zichtbaarheid, transparantie, logging
• Na:
Toetsing, afhandeling
• Integriteit van de adviseur: Heeft ook betrekking op ethiek en
rekening houden met de consequenties voor de stakeholders ..!
• Kennis terzake: Vaststellen dat de adviseur wat kan toevoegen
• Objectiviteit: Geen stokpaardjes, niet al te zeer in herhaling vallen
(Powerpointcopier), rekening houden (ten minste transparant zijn!)
met eigen belang (financieel, maatschappelijke positie en reputatie)
van de adviseur
• Resultaat: Of het een dik rapport wordt, een memo met plaatjes of
alleen plaatjes
• Zichtbaarheid: Aanwezig zijn, laten zien dat aanbevolen methode
wordt gevolgd
• Transparantie: Zeker ten aanzien van de bronnen en (mate van)
gebruik van methodes, data, oplossingen
• Logging: Traditionele dossierstukken (incl Transparantie-items)
• Toetsing: Met name t.a.v. haalbaarheid en zo
• Afhandeling: Traditioneel
30. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 30
Principes, rules? (I)
• Wel advies na audit, geen audit na advies
• Verwachtingsmanagement:
• Welk type advies
• Scope en beperkingen/randvoorwaarden (inhoudelijk)
• Afhankelijkheden
• Rorty: ‘vocabulaires’; deconstructivisme
• Doel
• Keuze/scenario-universum
• Veronderstellingen, geldigheidsmarges
• De eerste is in wezen een omspannende, heeft geen betrekking op advies-sec: De adviseur zal
voorkomen in een situatie te worden geplaatst waarin haar/hem, of enige auditor in een
afhankelijkheidsrelatie met haar/hem, wordt gevraagd een audit uit te voeren over enig object waarvan
te beoordelen kwaliteitsaspecten mogelijk zijn beïnvloed door een eerder advies van haar/hem, of van
enige auditor in een afhankelijkheidsrelatie met haar/hem
• De adviseur zal in de opdrachtaanvaarding tot uitdrukking brengen welke vorm van advies zal worden
beoogd te worden uitgebracht
• De adviseur zal de reikwijdte van het advies overwegen en in het dossier notitie maken van de
overwegingen, en zal deze in de opdrachtaanvaarding weergeven
• De adviseur zal de beperkingen en randvoorwaarden waarmee de werkzaamheden zullen worden en
zijn uitgevoerd in de opdrachtaanvaarding en in het resultaat aangeven
• De adviseur zal aangeven welke aannames, vooroordelen en voorafgaande verwachtingen, zoals in
ex-ante bekende mogelijke oplossingen en oplossingsrichtingen, verwerkt c.q. als uitsluiting van
andere alternatieven, in objectiviteit niet noodzakelijk van toepassing zijn en/of met welke daarvan in
het uitgebrachte advies geen rekening is gehouden
• De adviseur zal bij de rapportage over de opdrachtuitvoering de randvoorwaarden en beperkingen
aangeven, in het bijzonder de overwegingen ten aanzien van de voorwaarden in context en in de uit het
advies mogelijk volgende acties, die de toepasselijkheid van het advies beïnvloeden
• De adviseur zal bij opdrachtaanvaarding aansprakelijkheid voor/door opvolging van het advies
uitsluiten
• Richard Rorty: Contingency, Irony and Solidarity (1989): Paradigma’s zijn altijd ‘vocabulaires’ die
onderling niet met elkaar kunnen communiceren, zelfs niet met argumenten – die zijn toch alleen maar
geldig binnen de eigen vocabulaire
• http://www.elsewhere.org/pomo : Uw eigen post-modernistische deconstructivistische pamflet-
generator… “If one examines cultural postpatriarchialist theory, one is faced with a choice: either reject
conceptual desublimation or conclude that consciousness is capable of significance. The premise of
Marxism holds that discourse comes from the collective unconscious. “ enz.enz.
31. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 31
Principes, rules? (II)
• Procedureel: Trans pa ran tie
• Gevolgde proces, modellen, methoden
• Zoek-effort, kennisbronnen
• Uitingsvorm
(brainstorm, klankbord, rapport, plannen, presenteren)
• Advies sec
• Acties (eventueel)
• (Zie volgende pagina over ethiek, vooringenomenheid etc.)
• De adviseur zal verslag doen van … <vul in uit de sheet en kleur de
plaatjes → enige oefening in Powerpoint is nooit weg>
• De adviseur draagt zorg voor werkwijze en vastlegging van
werkzaamheden en werkresultaten op een wijze dat, naar redelijkheid en
billijkheid, ingericht en toepasselijke, kwaliteitstoezicht en –controle,
mogelijk is en niet op voorhand wordt verhinderd
32. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 32
Principes, rules (III)
• Ethiek
• De adviseur zal de reglementen inzake opdrachtaanvaarding,
dossiervorming en rapportage in acht nemen (default)
• Wellicht uit de Code / Reglement Gedragsregels expliciet te maken,
bijvoorbeeld: De adviseur zal in de opstelling en het uitbrengen van
advies overwegen welke belangen van alle stakeholders worden
beïnvloed, in welke mate dat gebeurt, noodzakelijkerwijs of mogelijk, en
of de effecten van deze mogelijke invloeden binnen algemeen geldende
ethische en culturele normen aanvaardbaar zijn. Dit voorbeeld om te
voorkomen dat (hyper)rationeel juiste adviezen worden gegeven die
leiden tot ongewenste consequenties. Denk aan de banaliteit van het
kwaad, of aan het vlak voor Kerst ontslaan van 20% van de
medewerkers en we zien later wel wie het betreft
• Integriteit is kaassie. Loyaliteit, vooringenomenheid, belangen: Het is
niet zó erg; als mar vooraf en achteraf duidelijk wordt gemaakt aan de
opdrachtgever wat die belangen zijn en in welke mate deze het advies
hebben beïnvloed
• Ook: De adviseur zal aangeven welk belang hij mogelijk heeft bij
aanvaarding van het advies. Dus als het advies werving inhoudt voor
een vervolgopdracht, dat expliciet aangeven…
• Zie verder ROA Raad van Organisatie-Adviesbureaus / OoA Orde van
Organisatiekundigen en Adviseurs
33. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 33
Principles; rules? (IV)
• Kan dat intern, of alleen extern?
• Intern:
• Kennis van organisatie → Haalbaarheid ↑
• Middenin dagelijkse waan → Frisheid ↓
• Jan van Praat
• Extern:
•• AdviesAdvies
• In het thema van de Update: Kan een interne auditor/adviseur wel adviseren,
of kan alleen een externe dat?
• De interne kent weliswaar zijn organisatie door en door, met verbeterde
haalbaarheid van de adviezen als mogelijk gevolg – mogelijk! want het
ontbreekt nogal eens aan de nadruk daarop
• Door middenin de strijd van alledag te staan, verliest de interne natuurlijk aan
frisheid. Ook de frisheid van de helikopterblik kan wel eens teruglopen
• Desalniettemin zal een flink deel van de ‘richtlijnen’ ook van toepassing zijn
op ‘CCRCR’; denk bijvoorbeeld eens aan haalbaarheid en stakeholders-
effecten (w.o.: spreken we wel de juiste verantwoordelijke aan met een
Bevinding/afkeuring/aanzet tot actie? Wie heeft het juiste mandaat …?)
• Jan van Praat zal hier in een andere parallelsessie op ingaan
• Oh en er is natuurlijk het (grote) risico dat een interne auditor z’n eigen
advies tegenkomt, met een groot risico dat zij/hij dan het eigen advies zou
moeten auditen !?
• Omdat bij advisering juist vaak de frisse blik van buiten wordt gevraagd
– waarom kwamen de interne goede bedoelingen niet door …? – is een
externe nodig
• Het externe advies is daarom dus goud waard
(motto: declareren is vooruit zien)
34. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 34
Samenvattend
• Audit en Assurance: ‘Boring’
• Janus
• Advies is wél leuk
• Keuzes versus scenario’s
• Kwaliteit, criteria
• Principes, rules
• Nodig
• Nuttig want →
• U wilde een toelichting op een samenvatting van een lang verhaal met
uitgebreide toelichting…?
35. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 35
Afsluitend
• Niemand hoeft kunstjes, iedereen kunst
• Kunst is kundig adviseren
• Weest een kundig kunstenaar
• Kundig wil zeggen: Ken de regels
• Weet welke regels te breken, welke niet/nooit ..!
• Weest origineel,
met mate of onmatig veel
36. NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 36
Het Einde der (spreek)Tijden Is Nabij
(Voorspelling of advies?)
Vragen …?
Zijn er nog vragen over het gepresenteerde? Zijn er nog vragen over het
niet-gepresenteerde? Ik zal vandaag en morgen (fysiek) aanwezig zijn;
vragen en discussie zijn zeer welkom.
Contactgegevens:
Ir.drs. J. (Jurgen) van der Vlugt RE CISA
Noordbeek B.V.
Rijndijk 235 / 209B
2394 CD Hazerswoude
Tel 071-3416911
Tel 06-20664823