De SYSQA dienst auditing Een introductie
Algemene informatie voor medewerkers van SYSQA B.V.
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
2 van 8 1.2 06-04-2011
Inhoudsopgave 1
INLEIDING .......................................................................................................................... 3 1.1 1.2
ALGEMEEN ................................................................................................................... 3 VERSIEBEHEER ............................................................................................................. 3
2
WERKWIJZE AUDIT ........................................................................................................... 4
3
VALKUILEN BIJ EEN AUDIT .............................................................................................. 7
4
VOORDELEN VAN DE SYSQA-AANPAK............................................................................ 8
5
LITERATUURVERWIJZINGEN............................................................................................ 8
Almere © 2011
Proud of it
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
3 van 8 1.2 06-04-2011
1 Inleiding 1.1
Algemeen
Één van de diensten die SYSQA aanbiedt, is auditing. Met behulp van een audit beantwoordt SYSQA vragen die opdrachtgevers hebben op het gebied van automatisering. Audits zijn korte, gestructureerde onderzoekstrajecten waarbij de onderzoeksvraag en het referentiekader leidend zijn. Audits kunnen betrekking hebben op: - Projecten. Voorbeelden hiervan zijn: Is de gerapporteerde voortgang gelijk aan de werkelijke voortgang van het project? Werkt het project volgens de overeengekomen aanpak? - Processen. Voorbeelden hiervan zijn: Is er gewerkt conform het beschreven proces? Worden alle participanten naar tevredenheid betrokken in het proces? Voldoet ons testproces aan de eisen van gestructureerd testen? - Producten. Voorbeelden hiervan zijn: Voldoen de tussenproducten aan de eisen gesteld in het kwaliteitssysteem? Kan dit systeem werken op een bepaalde databasetechnologie? Is de software gebouwd conform internationale standaards? Het voorliggende document beschrijft de dienst auditing.
1.2 Versie 0.1 1.0 1.1 1.2
Versiebeheer Status Concept Definitief Definitief Definitief
Datum 7 maart 2001 14 maart 2001 17 april 2001 06 april 2011
Almere © 2011
Auteur SYSQA SYSQA SYSQA SYSQA
Opmerkingen Eerste concept Aanpassing na opmerkingen Toevoegen valkuilen en verwerken Aanpassen opmaak
Proud of it
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
4 van 8 1.2 06-04-2011
2 Werkwijze audit Het onderstaand schema geeft de werkwijze weer die SYSQA hanteert bij de uitvoering van audits. Vooronderzoek
Formuleren probleemstelling
Bepalen referentiekader
Bepalen aspecten
Afbakening Oriëntatie
Opstellen checklists Opstellen detailplan
Strategiebepaling
Uitvoering
Analyse
Opstellen Plan van aanpak
Onderzoeken
Opstellen conclusies
Bepalen risico's
Formuleren aanbevelingen
Rapportage
Afronding
Afronding
Vervaardigen rapportage
Uitvoeren evaluatie
In het vooronderzoek worden allereerst de opdrachtformulering samen met de opdrachtgever opgesteld. Ook de aspecten die onderzocht dienen te worden, worden bepaald. Vervolgens wordt in samenwerking met de opdrachtgever bepaald wat op basis van welk referentiekader beoordeeld gaat worden, en wordt een gedetailleerd plan van aanpak opgesteld. Het plan van aanpak bevat ook checklists en de vragenlijsten. Het feitelijk onderzoek vindt plaats in de uitvoeringsfase, waarna het concept eindrapport volgt. Via het hoor-wederhoor-principe worden anderen bij het onderzoek betrokken zodat het eindrapport aangescherpt wordt. SYSQA beoogt hiermee dat zaken niet vergeten worden in het onderzoek, zodat een optimaal draagvlak voor de resultaten binnen uw organisatie ontstaat en dat manco’s in het rapport worden voorkomen. De fasering die SYSQA aanbrengt in het onderzoek, biedt de opdrachtgever zowel voor als tijdens het traject continu inzicht in de voortgang. Daarmee krijgt de opdrachtgever de zekerheid dat het onderzoek de juiste kant op gaat, zodat de opdrachtgever indien nodig bij kunt sturen. Hieronder is een toelichting op de verschillende fasen opgenomen. Almere © 2011
Proud of it
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
5 van 8 1.2 06-04-2011
Vooronderzoek Oriëntatie In de oriëntatiefase worden met de opdrachtgever de probleemstelling, de deelaspecten en het referentiekader bepaald. Het doel hiervan is, om eensluidend vast te stellen wat en met welk oogmerk en op welke aspecten wordt onderzocht. Met de aspecten wordt bedoeld de uitdieping van de hoofdvragen en de detailvragen zoals die eerder in dit voorstel bij de opdrachtformulering staan genoemd. De scope en diepgang wordt daarmee voor alle betrokkenen exact bepaald. Hiermee wordt beoogd dat de verwachtingen van de betrokkenen niet afwijken van waar het onderzoek antwoord op gaat geven. Tegelijkertijd vindt de intake plaats van het basismateriaal, dat onder andere gebruikt gaat worden voor het beantwoorden van de detailvragen. Voorbeelden van basismateriaal zijn systeemdocumentatie, projectdocumentatie, beschrijvingen van het kwaliteitssysteem etc. De belangrijkste activiteit bij het voorbereiden van het onderzoek is het vaststellen van het referentiekader per deelaspect. Hierdoor komt vast te staan aan welke eisen en normen de beantwoording van de hoofdvragen en detailvragen worden getoetst. Indien onvoldoende referentiekader beschikbaar is, kan SYSQA voor zinvolle aanvulling zorgdragen. Strategiebepaling In de strategiebepaling worden afgewogen keuzes gemaakt op welke manier het onderzoek plaatsvindt. De keuzes hebben betrekking op de vraag wie geïnterviewd gaan worden en welke documentatie met welke diepgang beoordeeld gaat worden. De factoren die een rol spelen bij de afweging zijn de kosten, de kwaliteit van de informatie die met de interviews en documentatie wordt verkregen, en als derde de dekkingsgraad. Bovendien worden in deze fase de checklists en vragenlijsten vervaardigd die bij het onderzoek gehanteerd gaan worden. De onderkende aspecten, het referentiekader en de standaard checklists en vragenlijsten waar SYSQA over beschikt, worden samen met de opdrachtgever omgevormd tot voor dit specifieke onderzoek te hanteren checklists en vragenlijsten. De checklists en vragenlijsten worden bij de uitvoering als leidraad gehanteerd waardoor het volledige analyseproces op een reproduceerbare wijze wordt ingericht. Dit geeft de opdrachtgever de zekerheid dat het onderzoek op een volstrekt objectieve en onpartijdige wijze plaatsvindt. Zou de opdrachtgever opnieuw het onderzoek uitvoeren, dan resulteert dat weer in dezelfde uitkomsten. Daarnaast geeft het de opdrachtgever de zekerheid hoe aan de antwoorden van de vraagstelling wordt gekomen. Na het opstellen van de checklists en vragenlijsten wordt het detailplan opgesteld, waarin de benodigde inspanningen worden vertaald naar medewerkers, doorlooptijd, benodigde tijd en eventuele hulpmiddelen en dergelijke. Als laatste stap wordt vervolgens het plan van aanpak opgesteld, waarin is opgenomen: De grenzen van het onderzoek; De afbakening; Het referentiekader voor het onderzoek; De randvoorwaarden en uitgangspunten; Planning in tijdsbesteding en doorlooptijd van medewerkers van de opdrachtgever en SYSQAmedewerkers; Almere © 2011
Proud of it
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
6 van 8 1.2 06-04-2011
De te volgen werkwijze en aanpak; De rapportagevorm en -momenten; De verantwoordelijkheden en bevoegdheden.
Alle zaken zoals checklists, vragenlijsten en plan van aanpak worden voor afronding van de strategiebepalingsfase met de opdrachtgever doorgesproken. Uitvoering Analyse In deze fase vindt het onderzoek plaats. Het onderzoek wordt uitgevoerd zoals het is beschreven in het detailplan. De interviews worden afgenomen en de documentatiestudie wordt uitgevoerd. De documenten worden beoordeeld op basis van een steekproef. De bevindingen worden systematisch geregistreerd en geclassificeerd. Hiermee wordt voorkomen dat bevindingen uit het onderzoek tussen wal en schip vallen of niet meer te traceren zijn. Bovendien kan de opdrachtgever later op eenvoudige wijze de onderzoeksresultaten terugvinden, alsmede de manier waarop die resultaten zijn verkregen. Ook tijdens de analysefase vindt regelmatig terugkoppeling met de opdrachtgever plaats, opdat de opdrachtgever zeker weet dat het onderzoek de juiste kant op gaat, en dat de opdrachtgever zekerheid krijgt dat hij antwoord krijgt op de hoofdvragen. Rapportage Het onderzoeksrapport wordt eerst in concept opgesteld en op de laatste dag van het onderzoek aan de opdrachtgever overhandigd. Op een door de opdrachtgever vast te stellen datum, wordt het conceptrapport met de opdrachtgever besproken en wordt het principe toegepast van hoor en wederhoor. Vervolgens wordt het definitieve eindrapport opgesteld. Het definitieve rapport wordt niet later dan één werkweek na de eindbespreking aan de opdrachtgever overhandigd. Het eindrapport bevat minimaal de volgende onderwerpen: opdrachtformulering; samenvatting; bevindingen. conclusie en risico's; aanbevelingen; De relaties die in het rapport worden gelegd tussen de bevindingen aan de ene kant en de conclusies en aanbevelingen aan de andere kant, maken het rapport voor de opdrachtgever extra waardevol.
Almere © 2011
Proud of it
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
7 van 8 1.2 06-04-2011
3 Valkuilen bij een audit Er zijn een aantal valkuilen bij een audit. In dit hoofdstuk zijn er een aantal opgenomen. Nadat de klant de opdracht heeft verstrekt begint het feest. De eerste valkuil is het auditplan. Reeds bij het schrijven van het plan probeert men de vragen te beantwoorden terwijl het zaak is uit te denken hoe de vragen beantwoord moeten gaan worden. Wij merken dat aan uitspraken als rommel, slecht systeem, het is een zootje, etc. Allemaal waarde oordelen zonder bewijs! De volgende valkuil is hele grote steekproeven. Dat heeft te maken met onzekerheid. Een nieuwbakken auditor wil 30 van de 100 functies onderzoeken voordat een betrouwbare uitspraak gedaan kan worden. Eenmaal bezig ontdekt men bij de tweede functie reeds een trend die bij de derde functie wordt bevestigd en bij de vijfde functie treed reeds verveling op. Dit betekent niet te grote steekproeven maar wel gevarieerd. 2 Kleine, 2 middel, 2 grote, verdeelt over deelsystemen en vervaardigd door verschillende medewerkers. De volgende valkuil is je basismateriaal. Indien er politiek in het spel is, is de kans groot dat je bewust oud materiaal krijgt toegeworpen. Bij eventuele conclusies kunnen de verantwoordelijken roepen dat één en andere in de nieuwe versie reeds is verholpen. Opdrachtgever en auditor blijven gefrustreerd achter. Dus … registreer en rapporteer welke materiaal je wanneer van wie hebt gekregen. Verder zul je merken dat betrokkenen gedurende de audit continue lopen te vissen naar de mogelijke uitkomsten. Trap er niet in want binnen het uur heb je herrie met de partij die het met die uitkomst niet eens is. Bovendien kan je bij een ander inzicht bijna niet meer veranderen. Niemand maar dan ook niemand mag gedurende het onderzoek uitspraken doen in de trant van "het valt me mee" of "het is wel een redelijk systeem" of "ik begrijp dat een onafhankelijk onderzoek gewenst is". Alleen bij de wekelijkse voortgang kan één en ander worden besproken en dan alleen met de opdrachtgever. Die krijgt ook als eerste het concept te zien, waarna het concept te hand wordt gesteld aan de andere partij (wederhoor is essentieel om een waardevol rapport te krijgen waar opdrachtgever en eventuele andere partijen werkelijk iets mee kunnen).
Almere © 2011
Proud of it
Organisatie Titel Onderwerp
SYSQA B.V. De dienst auditing Een introductie
Pagina Versie Datum
8 van 8 1.2 06-04-2011
4 Voordelen van de SYSQA-aanpak De aanpak die SYSQA hanteert heeft een aantal voordelen:
5
Een gefaseerde aanpak biedt de opdrachtgever drie voordelen. Zowel vooraf als tijdens het traject krijgt de opdrachtgever continu inzicht in de voortgang. Ten tweede heeft de opdrachtgever de zekerheid dat het onderzoek de juiste kant op gaat en dat de hoofdvragen worden beantwoord op een door de opdrachtgever gewenste manier. SYSQA werkt met mijlpalen in het onderzoek, waardoor de opdrachtgever diverse beslismomenten en toetsmomenten krijgt en de opdrachtgever in staat wordt gesteld om bij te sturen in het proces. Met de checklists, de vragenlijsten en het plan van aanpak verkrijgt de opdrachtgever bovendien inzicht in de wijze waarop het traject zich verder ontwikkelt. De uitvoering van het onderzoek vindt plaats door ervaren medewerkers, die zowel achtergrond in de ICT, als kennis en ervaring in de kwaliteitszorg binnen de ICT hebben. Voor de opdrachtgever betekent dat de hij de zekerheid krijgt dat zijn vragen deskundig beantwoord worden. De opdrachtgever mag dan ook een hoge kwaliteit verwachten van de wijze waarop het onderzoek wordt uitgevoerd en de resultaten die uit het onderzoek voortvloeien. SYSQA past bij haar onderzoeken in praktijk bewezen methoden en technieken toe. In relatief weinig tijd levert SYSQA de door de opdrachtgever gewenste resultaten op. SYSQA past het principe van hoor en wederhoor toe. Daarmee wordt voorkomen dat zaken over het hoofd worden gezien tijdens het onderzoek. Het onderzoeksresultaat biedt daardoor binnen de organisatie een groter draagvlak omdat mensen mee kunnen praten over de bevindingen. Tot slot worden manco’s in het rapport voorkomen en ka de opdrachtgever beter onderbouwde beslissingen en keuzes nemen. Door middel van het formuleren van conclusies en aanbevelingen, reikt SYSQA oplossingen aan met betrekking tot de onderhavige vraag. Met de juiste prioriteitstelling en concrete maatregelen kan de opdrachtgever een belangrijk deel van zijn problemen oplossen. Door de objectieve instelling van SYSQA heeft de opdrachtgever de zekerheid dat hij in het rapport niet tussen de regels door leest dat hij SYSQA dient te nemen om bijvoorbeeld de systeemontwikkeling uit te laten voeren.
Literatuurverwijzingen
J. van Praat, H. Suerink - Praktijkboek inleiding EDP-auditing - 9026717180
Almere © 2011
Proud of it
