Ketenaudit van PIN
N
Niets is zo praktisch als een goede theorie. Mollema
We nemen de ketenbenadering als uitgangspunt voor het analyseren van en Welters verkennen in hun artikel [MOLL10] de de IT-audit van PIN (elektronisch theorie en praktijk van ketenaudits aan de hand betalen met een PINpas). In het algemeen is IT-audit gericht op organisavan de vraag: is een vaktechnisch verantwoorde torische, procesmatige en technische ketenaudit een optie of utopie? aspecten van IT gerelateerde objecten. Met name het organisatorische Zij komen tot de conclusie dat een ketenaudit in aspect van de ketenaudit is in theorie en praktijk onderbelicht, terwijl dit de praktijk, onder de huidige omstandigheden, aspect cruciaal blijkt te zijn voor de niet zomaar uitvoerbaar is en poneren de volgende beheersing en auditing van ketens. Het ontbreken van normen en een stelling: er kan niet worden vastgesteld dat de referentiekader voor het organisatoriketen adequaat functioneert, waarmee niet kan sche aspect vormt dan ook een belemmering voor het uitvoeren van worden vastgesteld dat het ketendoel wordt een ketenaudit in de praktijk. Aan de gehaald. hand van de vraag: is de ketenaudit van elektronisch betalen met PIN Aan de hand van de vraag: is de ketenaudit uitvoerbaar?, gaan we uitgebreid in op het organisatorische aspect van de van elektronisch betalen met PIN uitvoerbaar?, ketenaudit. Er zijn twee redenen dat we PIN kiezen als keten voor de anaonderzoeken wij in dit artikel onder welke lyse: PIN lijkt een beheerste keten en voorwaarden de ketenaudit van de financiële we verwachten dat in de keten concrete ketenauditobjecten zijn te transacties met PIN uitvoerbaar is. Vanuit de onderkennen. bijzondere situatie bij PIN trekken wij een meer algemene conclusie voor de uitvoerbaarheid van ketenaudit. EMIEL BOLIER
Hierna gaan we eerst in op de relevantie van de ketenaudit van elektronisch betalen met PIN. In de daarop volgende paragraaf kiezen we dan een referentiemodel voor de ketenaudit
en gaan we in op de risico’s die specifiek zijn voor een keten. Vervolgens beschrijven we de PINketen. Daarna gaan we na wat volgens het gekozen referentiemodel de aanknopingspunten zijn voor de ketenaudit bij de ITaudit van PIN. Passieve coördinatie op koppelvlakken zal niet toereikend blijken te zijn voor de beheersing van de PINketen. Vervolgens onderzoeken wij de kenmerkende gevolgen voor de controleaanpak door de ketenbenadering toe te passen op de IT-audit van elektronisch betalen met PIN in de praktijk. De coördinatie van de werkzaamheden van de verschillende auditors op basis van risicoanalyse en de audit van een relevant ketenauditobject komen daar aan de orde. In de slotconclusie geven we een samenvatting en onze visie op de stelling van Mollema en Welters. WAAROM KETENAUDIT VAN PIN? De economische voortbrenging van goederen en diensten ordent zich meer en meer in ketens. De toenemende ketenvorming kan worden verklaard door twee duidelijke tendensen. De eerste is toename van outsourcing van IT. Door standaardisering en schaalvoordelen kan een de IT-Auditor nummer 3 | 2011
21
service provider het proces aanbieden met hoge kwaliteit van beveiliging en beheer tegen een relatief lage kostprijs. De tweede tendens is toenemende specialisatie waarbij verschillende partijen zich op een enkele taak of functionaliteit van een proces richten (nichevorming), in plaats van een grotere partij die het gehele proces beheerst. Het is niet verwonderlijk dat deze twee tendensen samen opgaan, omdat gestandaardiseerde communicatie op de koppelvlakken nodig is bij outsourcing van IT en essentieel bij specialisatie op deelprocessen. Deze tendensen zien we ook bij de betaalketen van PIN. De keten van elektronisch betalen met PIN wordt complexer door het tot stand komen van één Europese betaalmarkt SEPA (Single Euro Payments Area) en verdere globalisering [SEPA08]. Daarbij komt dat het belang van elektronisch betalen met PIN toeneemt, omdat de opmars van pinnen doorzet en naar verwachting voorlopig aanhoudt [MOB10]. Gezien het belang vraagt de maatschappij om stabiel en storingsvrij betalen met PIN. Skimming en andere manieren om het rekeningnummer en de PINcode van de pas te ontfutselen, leiden tot wantrouwen van de consument en winkelier bij pinnen. Vertrouwen van de consument en de winkelier is er alleen wanneer betalen met PIN zonder noemenswaardige incidenten verloopt. Belanghebbende ketenpartners en toezichthouders baseren hun vertrouwen eveneens op het adequaat functioneren van de betaalketen van PIN. Omdat elektronisch betalen plaatsvindt met sterk geautomatiseerde systemen, is hun vertrouwen direct afhankelijk van de beheersing van de IT in deze keten. Dit leidt tot vragen van belanghebbenden als ‘Welke zekerheid is er dat de bits en bytes de transacties juist en volledig representeren?’ of ‘Is de kwaliteit van de onderliggende systemen voldoende voor het functioneren en het beheer-
22
de IT-Auditor nummer 3 | 2011
sen van de processen bij elektronisch betalen?’ Audit kan antwoord geven op deze vragen en zekerheid (assurance) bieden. Omdat sprake is van een keten, is ketenaudit nodig om vast te stellen dat de ketenrisico’s in voldoende mate worden beheerst. De hoge graad van automatisering vraagt om een deskundige. Bij uitstek is dit het terrein van de IT-auditor. KETENAUDIT Achtereenvolgens worden een model voor de beheersing van ketens, het begrip ketenaudit en de algemene ketenrisico’s behandeld. Een referentiemodel voor ketenaudit Met name het organisatorische aspect van ketenaudit is in theorie en praktijk onderbelicht. De spaarzame referentiemodellen voldoen niet aan de praktijk van ketenaudit. In dit onderdeel zetten we een referentiemodel voor het organisatorische aspect van ketenaudit uiteen. Het grafische model voor ketenaudit dat Mollema en Welters [MOLL10] in hun artikel aanhalen, is het model dat in eerdere edities van de IT-Auditor is uiteengezet [MEER05], [BRUI06-1] en [BRUI06-2]. Het is een praktisch/inductief model, dat is gebaseerd op vier min of meer gestileerde praktijksituaties van aanbodgerichte ketens binnen de publieke sector [MEER05]. Mollema en Welters signaleren het ontbreken van normenkaders en opdrachtgeverschap als voornaamste problemen bij het toepassen van het model in de praktijk. Zij komen tot de conclusie dat een ketenaudit in de praktijk onder de huidige omstandigheden niet zomaar uitvoerbaar is. Anders geformuleerd: het grafische model voldoet niet als referentiemodel voor ketenaudit in de praktijk. Nu er geen referentiemodel voor ketenaudit voor handen is, zijn we genoodzaakt om naar een geschikt model om te zien. In dit artikel baseren wij ons op een reeds bestaand model voor ketenbeheersing: het
ketenmodel volgens INK (Instituut Nederlandse Kwaliteit). De reden dat we het INK-model kiezen, is dat het INK-model gebaseerd is op de coördinatiemechanismen van Mintzberg [MINT92] die voldoende universeel toepasbaar lijken. Het is een theoretisch/deductief model. Door het INK-model toe te passen op een praktijksituatie, onderzoeken wij in de hoofdstukken ‘De aanknopingspunten voor ketenaudit bij PIN’ en ‘De ketenbenadering toegepast op de IT-audit van PIN in de praktijk’ of dit model kan dienen als referentiemodel voor het organisatorische aspect van ketenaudit. Het ketenmodel volgens INK De ketenbenadering volgens INK is zowel voor de private sector als de publieke sector toepasbaar. Het onderscheid tussen privaat en publiek is echter geen onderscheidend criterium voor de keten in zijn geheel, omdat bij ketens de beheersing van processen over de grenzen van organisaties heen gaat en het mogelijk is dat beide organisatievormen in de keten voorkomen. Volgens INK ontwikkelen organisaties zich via niveaus van beheersing, te weten: het niveau van beheersing van activiteiten, processen, systemen (organisaties), ketens en ten slotte integratie. Bij een keten past een eigen vorm en niveau van beheersing. De beheersing van ketens gaat over organisatiegrenzen heen en vindt plaats in een samenwerkingsverband. Daarmee vindt, afgezien van de eigen processtap, de beheersing van de keten plaats buiten het eigen bedrijfsdomein van de afzonderlijke zelfstandige organisaties die in de keten samenwerken en van elkaar afhankelijk zijn. Een keten wordt gedefinieerd als [INK08] en idem [MEER05]: een (i) samenwerkingsverband tussen partijen die zowel (ii) zelfstandig, als (iii) afhankelijk van elkaar functioneren, omdat ze (iv) volgtijdelijke handelingen uitvoeren, gericht op een (v) afzonderlijk doel.
INK onderscheidt vijf typen van ketensamenwerking op basis van de organisatiewijze. In volgorde van los naar vast samenwerkingsverband is dit: gezamenlijk initiatief, gezamenlijk project, structurele samenwerking, vlaggenschip merkenstrategie en institutionele samenwerking. Het onderscheid naar type is van belang omdat er verschil is in de succesfactoren [INK10], [MINK07]. INK noemt het verschil tussen een organisatie en een keten gradueel. Bij beide samenwerkingsverbanden is voor optimale effectiviteit, efficiency, en kostenbeheersing van het proces de afstemming van mensen, tijd, geld, kwaliteit, risico en informatie van belang. Kenmerkend voor een keten is dat hiërarchie ontbreekt. Beheersing van processen vindt plaats door coördinatie van de activiteiten door communicatie en afspraken. Net als Mintzberg [MINT92] onderscheidt INK drie coördinatiemechanismen: • Standaardisatie (van processen, van output of van kennis en vaardigheden). • Afstemming door overleg en communicatie. • Ketenregie.
Mate van samenwerking
De drie vormen van ketencoördinatie verschillen vooral in de mate van actieve c.q. passieve coördinatie. Dit bepaalt de intensiteit van de samenwerking en van de frequentie en omvang van communicatie in de keten.
Zie figuur 1 voor de samenhang van de vormen van ketencoördinatie. De bollen representeren drie categorieën van maatregelen voor de coördinatie van de activiteiten binnen de keten. Ketenregie is de meest actieve vorm van coördinatie. Zowel de onderlinge samenwerking als de afstemming door communicatie kent een hoge intensiteit. De regie betreft het formuleren van regels, het maken van afspraken en plannen, het toezien op de uitvoering en het corrigeren bij afwijking. Als de mate van samenwerking minder is, dan verloopt de coördinatie vooral via afstemming door communicatie en overleg van de actoren in de keten. Bij standaardisatie is weinig afstemming door communicatie nodig. Het proces, de output of kennis en vaardigheden zijn uitgekristalliseerd en dus voorspelbaar. In de praktijk hebben de bollen grillige contouren en overlappen elkaar deels. Het maakt uit of beheersing op strategisch, tactisch en operationeel niveau wordt beoogd. De drie vormen van ketencoördinatie vullen elkaar aan. De ketengovernance en het primaire proces van de keten bepalen de passende beheersing van de keten [BRUI06-1] en daarmee de passende vorm en mix van de coördinatiemechanismen. Kete ngove rnance [BRUI06-1] is het waarborgen dat de wijze van sturen, beheersen en toezicht houden in een keten, evenals het daar-
regie
afstemming
standaardisatie Mate van afstemming door communicatie
Figuur 1: Vormen van ketencoördinatie
over op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden, gebeurt in onderlinge samenhang, gericht op een efficiënte en effectieve realisatie van doelstellingen en in lijn met de bestuurlijke visie. Het INK-model is dusdanig algemeen geformuleerd dat het in principe toepasbaar is op iedere keten en daarmee bruikbaar in veel situaties. Van keten naar ketenaudit Ketenaudit wordt gedefinieerd [BRUI06-1] als: een onderzoek dat moet leiden tot een gefundeerd oordeel of advies over de beheersing van een keten als geheel ten aanzien van een gekozen object van onderzoek. De ketenaudit richt zich alleen op dát aspect of onderdeel van zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke doel en de beheersing van de gehele keten’ Volgens deze definitie kan er sprake zijn van een assurance-opdracht of van een adviesopdracht. In dit artikel besteden wij alleen aandacht aan de assurance-opdracht in ketenverband. Ketenaudit volgt de keten en loopt over organisatiegrenzen heen. De auditor geeft assurance in ketenverband. Deze vorm van assurance over de beheersing van de keten als geheel is onderbelicht in de literatuur [ALVN09]. Assurance-opdracht in ketenverband Basisfiguur bij een assuranceopdracht is dat een uitvoerende partij verantwoording aflegt aan de opdrachtgever of belanghebbende over de uitgevoerde activiteiten volgens normen die de opdrachtgever/ belanghebbende stelt. Zonder duidelijke toetsingsnormen en/of bij het ontbreken van een opdrachtgever, kan geen assurance worden geboden. Wij vinden dan ook dat ketenmanagement aan ketenaudit vooraf gaat, bijvoorbeeld in de vorm van een ketenregisseur. De beheersdoelen en de daarmee samenhangende beheersmaatregelen en kwaliteitseisen van de IT-Auditor nummer 3 | 2011
23
de ketenprocessen zijn dan bepaald. In de bij de keten passende governance liggen de normen en het opdrachtgeverschap besloten. Zonder gedeelde normen, beheersmaatregelen en opdrachtgeverschap is een vaktechnisch verantwoorde ketenaudit niet mogelijk. Toepassing van de drie coördinatiemechanismen De drie vormen van ketencoördinatie uit het INK-model helpen volgens ons om een ketenaudit adequaat in te richten en te structureren. De toepassing betreft de volgende twee aspecten: 1. Omdat de ketenaudit meer organisaties betreft, zijn meestal meer auditors bij de ketenaudit betrokken. Betrokken auditors zullen zelf een samenwerkingsvorm voor de uitvoering van de ketenaudit moeten kiezen. Hier helpen de coördinatiemechanismen om de uitvoering van de ketenaudit te coördineren. Voor situaties bij de overheid kan het grafische model van [MOLL10] als richtlijn dienen. 2. De audit richt zich op de vormen van ketencoördinatie. De coördinatiemechanismen zijn het object van onderzoek. Voor- en nadeel van ketenaudit Voordeel van ketenaudit De meerwaarde van ketenaudit ligt in de beoordeling van de keten als geheel. De coördinatiemechanismen in de keten dienen niet alleen voor het afstemmen van de activiteiten, maar moeten ook de risico’s die kleven aan het fenomeen keten mitigeren. In vergelijking met zelfstandige organisaties introduceert een keten risico’s door afhankelijkheden en door aansluiting/communicatie tussen partners in de keten. Een ketenrisico is het risico dat door afhankelijkheden in de keten een verstoring bij de ene ketenpartner gevolgen heeft voor een andere ketenpartner. Andere ketenri-
24
de IT-Auditor nummer 3 | 2011
sico’s zijn gelegen in gebrekkige aansluiting/communicatie in de keten tussen de deelprocessen of onderliggende systemen bij de ketenpartners. Een ketenaudit besteedt mede aandacht aan (de beheersing van) juist dit soort risico’s. Bij individuele onderzoeken worden ketenrisico’s meestal niet geraakt, omdat de onderzoeken gericht zijn op de ketenpartners afzonderlijk. Daardoor is het beeld bij individuele onderzoeken niet volledig. Beoordeling van de relevante ketenrisico’s is noodzakelijk om tot een afgewogen oordeel over de beheersing van ketenprocessen te komen. In de paragraaf ‘De beheersing van PIN’ komen relevante ketenrisico’s van de PIN-keten aan de orde. Nadeel van ketenaudit Een praktisch nadeel bij een ketenaudit is dat vrijwel altijd meer auditors van de verschillende ketenparticipantenen/of van externe partijen betrokken zijn. De onderlinge samenwerking vraagt om coördinatie en kan resulteren in hogere kosten en langere doorlooptijden. ELEKTRONISCH BETALEN MET PIN PIN is een vorm van elektronisch betalen met een debit card waaraan een vaste bankrekening is gekoppeld. De kaart kan alleen worden gebruikt in combinatie met de pincode (persoonlijk identificatie nummer). PINbetaling is na contante betaling het belangrijkste betaalmiddel in Nederland. Jaarlijks zijn er meer dan 2 miljard PIN-betalingen met een totaal transactievolume van ruim 75 miljard Euro. PIN zegt op haar eigen website dat ‘het systeem’ niet bestaat: het is een serie van schakels die met elkaar verbonden zijn. De verbindingen tussen de schakels moeten er gezamenlijk voor zorgen dat de transactie tot stand komt, dat het juiste bedrag van de juiste rekening wordt gehaald en op de juiste rekening wordt bijgeschreven. In de betaalketen zijn de
computers en systemen van de transactieverwerkers een belangrijke schakel [PIN11]. PIN is geïntroduceerd in 1987 en stopt waarschijnlijk eind 2011 als merk doordat in Europees verband wordt overgestapt naar bankpassen met gebruik van de EMV-chip die gebaseerd zijn op een andere technologie. Rollenmodel van PIN Binnen de betaalketen zijn er verschillende rollen te onderkennen. De eigenaar van de betaalformule PIN (PIN B.V., respectievelijk Currence, de aandeelhouder van PIN B.V.) is belast met het definiëren en beheren van de eisen ten aanzien van deze rollen. Afhankelijk van hun positie in het betaalproces hebben de participanten verschillende rollen. Figuur 2 geeft een overzicht van de participanten en hun relaties bij betalen met PIN. Rolbeschrijving PIN B.V. verstrekt licenties en certificaten aan de participanten die één of meerdere rollen vervullen. Voor iedere rol is een uniforme set van regels opgesteld waaraan iedere licentiehouder en certificaathouder zich dient te conformeren, de zogenoemde Rules & Regulations PIN. Relevante processen in de PINketen De relevante processen in de keten zijn naast (i) het doen van de pinbetaling (ii) de kaartproductie, -personalisatie en -distributie en (iii) de productie, levering en aansluiten van PINbetaalautomaten. De laatste twee processen ondersteunen het proces PINbetaling. Voor het betalen met PIN beschikt de kaarthouder naast een PINkaart over een bankrekening bij de bank die de kaart uitgeeft. De zogenoemde Issuing Bank is verantwoordelijk voor de productie, personalisatie en distributie van de kaart. De partij waaraan wordt betaald, de acceptant, beschikt over een betaalautomaat die voldoet aan de specificaties van PIN B.V.
Eisen liggen op het vlak van beveiliging, prestatie, functionaliteit en datacommunicatie. De kaarthouder betaalt via de PINbetaling de acceptant voor de geleverde prestatie. De afwikkeling van dit betaalproces verloopt online volgens het four corners model. De vier hoeken zijn de kaarthouder, de acceptant, de bank van de kaarthouder en de bank van de acceptant. Het berichtenverkeer is versleuteld en afgeschermd via dedicated lijnen met het oog op vertrouwelijkheid en integriteit van de gegevens. Beschrijving van het betaalproces Betalen met PIN is het primaire proces van de keten. De kaarthouder haalt de PINkaart door de gecertificeerde betaalautomaat bij de acceptant (identificatie). Na het intoetsen van de persoonlijke pincode door de kaarthouder (authenticatie) en het invoeren van het af te rekenen bedrag door de acceptant, vraagt de terminal om het accorderen van de transactie door de kaarthouder (druk op ‘JA’). De betaalautomaat verstuurt een autorisatieverzoek voor betaling aan de Acquiring Processor. De Acquiring Processor controleert het autorisatieverzoek op syntax en stuurt het autorisatieverRollenmodel PIN
zoek door aan de gecertificeerde Switch. De Switch is gekoppeld aan alle autorisatiesystemen van Issuing Banken en leidt het verzoek door naar het autorisatiesysteem van de bank van de kaarthouder. Na controle van het banktegoed volgt het resultaat van de autorisatie dezelfde weg terug naar de terminal (‘u heeft betaald’ dan wel ‘saldo niet toereikend’). De betaalautomaat verstuurt de gegevens van geslaagde betalingen naar de Acquiring Processor die op dagelijkse basis alle transacties aanbiedt aan het Clearing House. Settlement tussen de Issuing Bank en de Acquiring Bank verloopt via De Nederlandse Bank (DNB) op basis van de gegevens van het Clearing House.
zijn de grote banken in Nederland die zo invloed hebben op de strategische besluitvorming over de betaalproducten. Het bevorderen van een goede werking van het betalingsverkeer in Nederland is onderdeel van de oversight taak van DNB. In dat kader is Currence onderworpen aan oversight door DNB. De reden van de uitgebreide governance is dat banken eindverantwoordelijk zijn in het issuing en acquiring domein (zie figuur 2).
Governance bij PIN Currence, de moeder van PIN B.V. is een zelfstandige organisatie en eigenaar van collectieve nationale betaalproducten zoals PIN, iDEAL en acceptgiro. Zij stelt regels op voor het gebruik van haar producten en houdt toezicht op naleving van deze regels. Banken en toeleveranciers sluiten licentie- en/of certificaatovereenkomsten af met Currence voor het gebruik van haar producten. Eigenaar van de aandelen van Currence
Is PIN een keten? Uit de beschrijving van het rollenmodel PIN blijkt dat er sprake is van een samenwerkingsverband tussen (i) verschillende partijen: kaarthouder, issuing bank, issuing processor, switch, acquiring processor, acquiring bank, acceptant, PIN B.V. en Clearing House. Deze partijen functioneren zowel (ii) zelfstandig, als ook (iii) afhankelijk van elkaar tijdens de verwerking van een PINtransactie. De voorbereidende handelingen en de eigenlijke verwerking hierin zijn (iv) volgtijdelijk en gericht op de afwikkeling van het betaalproces als (v) afzonderlijk doel. Alle vijf elementen uit de INK-definitie worden bij PIN geraakt. Wij typeren PIN als een keten. Het ketentype is ‘geïnstitutionaliseerde samenwerking’, omdat de samenwerking sterk wordt beïnvloed door financiële wet- en regelgeving.
(Currence)
PIN B.V.
Wederverkoper
PIN
Terminalleveranoter
Kaarthouder
Acceptant of
Dafaoomleveranoter
AP&P Issuing domein
Acquiring domein
Clearing House
Issuing Bank
Issuing Processor
Switch
Settlement KaartKaartKaartpersonaleveranoter vemietiger licator
Figuur 2: Rollenmodel PIN [CURR11]
Acquiring Bank
Acquiring Processor
DE AANKNOPINGSPUNTEN VOOR KETENAUDIT BIJ PIN In dit hoofdstuk verkennen wij allereerst de vraag of PIN een keten is. Vervolgens gaan wij na of het INKmodel toepasbaar is op PIN.
De beheersing van PIN PIN B.V. treedt op als centrale ketenregisseur om de complexiteit in de keten het hoofd te bieden. Naast ontwikkeling en promotie van het merk, het opstellen van de regelgeving en het verstrekken van certificaten en licenties, houdt PIN B.V. toezicht op het naleven van de ketenregelgede IT-Auditor nummer 3 | 2011
25
ving, coördineert zij de fraudebestrijding en faciliteert collectieve overlegstructuren. PIN B.V. dwingt zover als mogelijk is uniformiteit af door het verplichten van het gebruik van gestandaardiseerde protocollen, interfaces, procedures, kaarten, terminals en kassasystemen. Afstemming vindt plaats door overleg en standaardisatie op operationeel en tactisch niveau. Op strategisch niveau vindt regie plaats door middel van een jaarlijkse planning & controlcyclus en het afleggen van verantwoording via het jaarrapport. Wij constateren dat PIN B.V. de keten beheerst door de drie coördinatiemechanismen van het INK-model te gebruiken. Hieruit concluderen wij dat het INK-model toepasbaar is op PIN. Passieve coördinatie op koppelvlakken is niet toereikend voor de beheersing van de PIN-keten. De complexiteit en de dynamiek van de
vele veranderingen in de keten maken actieve coördinatie noodzakelijk. Robuustheid van de betaalketen van PIN In oktober 2009 heeft de Stichting Bevordering Efficiënt Betalen (SBEB) het eindrapport ‘Naar een robuustere PINketen in Nederland’ gepubliceerd [SBEB09]. Aanleiding voor het onderzoek waren klachten over storingen en installatieproblemen. Het rapport noemt (1) de complexiteit in de keten en (2) het ontbreken van één eindverantwoordelijke partij over de gehele keten als structurele grondoorzaken van de verminderde robuustheid en daarmee de verhoogde storingsgevoeligheid van de keten. Figuur 3 geeft een indruk van de complexiteit in de keten. Een oplossing is de feitelijke keuze die een winkelier maakt voor acqui-
rer, terminalleverancier, datacomleverancier en processor. De complexiteit van de keten vormt een relevant ketenrisico, omdat iedere permutatie een potentiële storingsituatie representeert. Het ontbreken van één eindverantwoordelijke partij over de gehele keten is een relevant ketenrisico omdat de retailers door de afhankelijkheden en de vele mogelijk niet goed afgestemde processtappen in de keten niet weten welke dienstverlener ze kunnen aanspreken voor de oplossing van een storing. Het rapport stelt drie maatregelen voor om de risico’s af te dekken en daarmee de robuustheid van de keten te verhogen: • Vereenvoudig het aanbod en maak de aanbiedingsstructuur transparant. • Versterk certificering. • Beleg storingsescalatie bij een neutrale partij.
Het grote aantal mogelijke permutaties, waaruit de ondernemer zelf een keuze maakt, vergroot storingsgevoeligheid Acquirer Interpaytijdperk
Terminal
Datacom
Processor
Switch
=
• Alleen variatie in keuze van terminals (totaal ~~15 permutaties) • 1 dedicated datacomverbinding • Acquiring, processing en switching in 1 hand (Interpay) • Certificering terminal door zelfde partij waardoor per saldo de keten end-to-end gecertificeerd was ~150 permutaties
=
• Variatie op alle ketenonderdelen (totaal ~12.500 permutaties) • Keuzes geïnitieerd door ondernemer • Datacom via gedeelde infrastructuur • Certificering op ketenonderdelen ~12,500 permutaties
Alphyra Interpay
CCV
KPN
Interpay
Interpay
EFT systems
~1 acquirer
Huidige situatie
× 15 terminals × 10 Datacom × leverancier
ING
CCV
KPN
ABN Amro
Banksys
Infopact
Rabo bank
Payzone
BT
~10 acquirers
de IT-Auditor nummer 3 | 2011
×
Equens
1 switch
Equens
CCV
× 25 terminals × ~25 gecertifi- × 2 processors × (p.m. kassaceerde koppelingen) breedbandproducten
Figuur 3: Aantal mogelijke oplossingen [SBEB09]
26
1 processor
1 switch
Bij het vereenvoudigen van het aanbod ligt de nadruk op het verder standaardiseren en beperken van de keuzemogelijkheden per ketenonderdeel. Het certificeren van producten en ook van de keten als geheel, het gecoördineerd aanbrengen van wijzigingen (patches en upgrades) bij ketensystemen en -processen hebben als doel om storingen in de keten te verminderen en vergen regie. Een onafhankelijk meldpunt maakt afstemmen mogelijk door het vooraf melden van wijzigingen, juist identificeren van storingen, het toewijzen aan de veroorzaker en communicatie naar de betrokkenen. Currence heeft hiervoor een centraal online meldsysteem ingericht: CONNECT. De drie maatregelen om het ketenproces te verbeteren, passen binnen de drie coördinatiemechanismen van het INK-model. Dit versterkt ons vermoeden van de toepasbaarheid van het model bij ketenaudit omdat het aansluit bij de beheersprocessen van de keten als geheel en niet enkel gericht is op ketenonderdelen. Ook bij het verhogen van de robuustheid blijkt actieve coördinatie noodzakelijk. DE KETENBENADERING TOEGEPAST OP DE IT-AUDIT VAN PIN IN DE PRAKTIJK In dit hoofdstuk onderzoeken wij de kenmerkende gevolgen voor de controleaanpak door de ketenbenadering toe te passen op de IT-audit van PIN in de praktijk. De coördinatie van de werkzaamheden van de verschillende auditors op basis van risicoanalyse en de audit van een relevant ketenauditobject komen hierbij aan de orde. Theoretische opzet van ketenaudit van IT Betalingen met PIN verlopen niet altijd vlekkeloos. Participanten streven naar een veilige en ongestoorde PINbetaling van kaarthouder naar acceptant. Het waardetransport binnen de keten stelt hoge eisen aan de kwaliteitsaspecten beschikbaar-
heid, integriteit, vertrouwelijkheid, onweerlegbaarheid en controleerbaarheid. Deze eisen hebben betrekking op de geautomatiseerde systemen en beheerprocessen zoals incident management, problem and change management, availability management, en security management in de keten. De complexiteit van de keten en de hoge graad van automatisering vraagt om IT-audit. De regelgeving binnen de keten als gevolg van de institutionele samenwerking biedt bruikbare uitgangspunten voor het formuleren van normen voor IT-auditors. Het opdrachtgeverschap is als onderdeel van de ketengovernance georganiseerd. Bij de PIN-keten is de geëigende opdrachtgever PIN B.V., na afstemming in de keten. De beoordeling van de keten valt volgens onze benadering uiteen in twee onderdelen: 1. Een beoordeling door de keten IT-auditor van de binnen de keten aanwezige regelgeving en coördinatiemechanismen, inclusief het beheer en functioneren hiervan. Daaronder vallen ook de maatregelen om de ketenrisico’s te beheersen. 2. Een beoordeling door de ketenpartner IT-auditor van iedere processtap bij de ketenpartners – in het bijzonder de issuing en acquiring bank – als onderdeel van hun eigen bedrijfsvoering. Omdat er bijna altijd meer auditors betrokken zijn bij ketenaudit is volgens ons coördinatie van het samenwerkingsverband van IT-auditors nodig (zie de paragraaf Van keten naar ketenaudit). Dit samenwerkingsverband heeft het karakter van een joint audit, waarbij verschillende auditors samenwerken en gezamenlijk een verklaring ondertekenen. Het is van belang dat er aansluiting is van de registraties van de beheersing van de individuele processtap in de keten met de registraties van de interne beheersing van individuele ketenpartner zelf. Voorbeelden zijn
dezelfde periode van verslaggeving en dezelfde specificatie van geregistreerde grootheden. Er zijn dan minder ‘uitzoekposten’ met als resultaat dat de beheersing en audit van de keten eenvoudiger worden. De keten IT-auditor De keten IT-auditor kijkt naar de toepasbaarheid van de regelgeving, de effectiviteit van de coördinatiemechanismen, de afdekking van ketenrisico’s, het naleven van de opgestelde normen en beheerprocessen om een oordeel te kunnen geven over het functioneren van de keten. Informatie over het functioneren van de ketenpartners verkrijgt de ketenauditor van de ketenpartner IT-auditor. Deze informatie vormt belangrijke input. De toegevoegde waarde van de ketenaudit van IT is het verhogen van het vertrouwen in de keten bij de partners en indirect bij het publiek door het geven van assurance in ketenverband. De ketenpartner IT-auditor De ketenpartner IT-auditor beoordeelt de naleving van de regelgeving aan de hand van de geautomatiseerde systemen en omringende processen die de keten raken. Idealiter is dit onderdeel van de reguliere IT-audit bij de ketenpartner. Hiervoor verdiept de ketenpartner auditor zich in de regelgeving en stemt hij zijn werkzaamheden af met de keten IT-auditor door coördinatie (standaardisatie, afstemming en/of regie) van de samenwerking met de keten IT-auditors. Banken hebben een bijzondere positie omdat zij eindverantwoordelijk zijn voor de door hen uitbestede bedrijfsprocessen die belangrijk kunnen zijn voor hun financiële verantwoording. De processing en switching van de PINbetalingen zijn voornamelijk uitbesteed aan Equens. De IT-audits die bij Equens plaatsvinden, zijn de interne audit, audit voor PCI-DSS (Payment Card Industry Data Security Standard [PCIDSS] en de institutionele audit de IT-Auditor nummer 3 | 2011
27
door DNB. Daarnaast wordt door de banken een SAS70 verklaring type 2 van Equens gevraagd. Zelf is Equens ISO27001 en BS25999 gecertificeerd, maar deze certificeringen zijn niet verplicht. De relevante referentie/normenkaders voor IT-audit van de uitbestede processen bij Equens zijn: • De algemeen aanvaarde standaarden en referentie/normenkaders voor IT-audit: onder andere de Code voor Informatiebeveiliging (ISO/NEN27001), ITIL, COBIT en COSO. • De normenkaders met een institutioneel karakter: Wet op het financieel toezicht, regelgeving van DNB, Currence-regels (de regelgeving van DNB is hierin verwerkt en de regels zijn dus vergelijkbaar met wetgeving). Alle ge-cobranded cards (Maestro) moeten voldoen aan regelgeving van MasterCard, PCI-DSS.
Voor perioden van onderzoek, waarin de datum 15 juni 2011 is inbegrepen, is de nieuwe standaard ISAE 3402 verplicht. Voor de belangrijkste wijzigingen ten opzichte van SAS 70 verwijzen wij naar een helder artikel eerder verschenen in de IT-Auditor [EWAL10]. We volstaan hier met te constateren dat de relatie tussen ketenassurance en de standaarden SAS 70/ISAE 3402 nadere invulling behoeft. De geïnterviewde IT-auditors van Currence/PIN, Equens en een grote bank bevestigden de behoefte aan assurance in ketenverband. Zij stonden positief tegenover een ketenaudit van PIN. Zij stonden overigens ook positief tegenover de een ketenaudit van de andere betaalproducten van Currence (Chipknip, Incasso/Machtigen, Acceptgiro en iDEAL). De afzonderlijke ketenaudits zijn eventueel samen te smeden tot een generieke ketenaudit van elektronisch betalen.
De praktijk van de ketenaudit van IT bij PIN De praktijk van de ketenaudit van IT is onderzocht aan de hand van interviews met vier IT-auditors die betrokken zijn bij de IT-audit van Currence, Equens en een grote bank. De interviews richtten zich op het gebruik van de coördinatiemechanismen om de integrale ketenaudit te coördineren enerzijds en op de audit van een specifiek coördinatiemechanisme in de keten anderzijds. Regie om de ketenaudit te coördineren Currence voert via haar dochteronderneming PIN B.V. de regie over de audits in de betaalketen van PIN. De inventarisatie van de individuele en ketenrisico’s is de basis voor het plannen van audits. Bij de inventarisatie gebruikt men voor de risicoanalyse een matrix van rollen en systeemcomponenten ten opzichte van gestelde eisen. Dit nuttig hulpmiddel
Hoe wordt auditfunctie ingevuld?
INSTELLINGEN (Integere & beheerste bedrijfsvoering)
Licentiehouder Certificaathouder (DNB vergunning & (Geen Fee) Licentie Fee)
Betaal Autom.
Kssa kopp.
Dcom Host & Netw. Switch
Certificering (voor rol in betaalketen)
REGULIER (Toetsing op Naleving)
Doorlopend toezicht (going concern)
Partiële toetsing (obv indicaties vooraf of obv events achteraf)
THEMATISCH (Toetsing op Aspecten)
Horizontaal (over objecten)
Thematische toetsing (één aspect bij meerdere instellingen bijv, fraudepreventieprocedures)
Integrale toetsing Rules (organisatorisch-proces compliance)
de IT-Auditor nummer 3 | 2011
iDEAL Mssg
ICT Infrastructuur
INITIEEL (Controle aan de Poort)
Figuur 4: Toezichtmodel van Currence [BALR09]
28
APPARATUUR/ PROGRAMMATUUR (Veiligheid & betrouwbaarheid systemen)
Integrale toetsing Standaarden (security-technische compliance)
helpt bij de identificatie (waar in de keten) en classificatie (impact) van ketenrisico’s. Per instelling/rol en hardware/software component wordt beoordeeld of er wordt voldaan aan de regelgeving. Bij de toetsing worden facetten als compliance, organisatie, techniek en processing beoordeeld tegen de kwaliteitsaspecten beschikbaarheid van de systemen (continuïteit), integriteit (fraudeaspecten) en privacy (vertrouwelijkheid). Met de matrix worden risicosegmenten, gezamenlijke aspecten, dwarsverbanden, doublures en hiaten in de te plannen audits zichtbaar. Door de verschillende risico’s in samenhang te bezien komen alle risico’s in de keten in beeld en kan het relatieve belang van de risico’s worden beoordeeld. Vervolgens kan de totale auditinspanning in de keten worden geprioriteerd met differentiatie naar financial, compliance, security, operational en IT-audits. Zoals reeds vermeld in de paragraaf ‘Theoretische opzet van ketenaudit van IT’ is de aansluiting met de
interne beheersing van de individuele participanten in de keten en de uitlijning met de gehele keten belangrijk. Vermindering van ‘uitzoekposten’, gericht op alleen de keten, resulteert in lagere kosten van beheersing en audit van de keten. In het toezichtmodel van Currence (figuur 4) is de matrix verwerkt. Een coördinatiemechanisme als object van audit Als voorbeeld van een coördinatiemechanisme als object van audit nemen wij CONNECT. Vanaf eind 2008 heeft Currence het centraal meldsysteem voor storingen ‘CONNECT’ ontwikkeld en een escalatieteam ingericht waarin de belangrijkste partijen uit de keten deelnemen om de storingsafhandeling over de keten eenduidig te beleggen. Zie figuur 5 voor incidentafhandeling met CONNECT. CONNECT is een ketencoördinatiemechanisme waarmee een deel van de risico’s van afhankelijkheden en gebrekkige communicatie/aansluiting in de keten worden gemitigeerd.
Identificatie Centrale acties en communicatie met achterban ketenpartijen
Evaluatie
Escaleren van incidenten
Mobiliseren escalatieteam Probleem lokaliseren en oplossen met relevante achterban Terugkoppelen per uur naar escalatieteam Communiceren storingsbron en geschatte afhandeltijd naar achterban overige partijen
Evalueren grondoorzaken Identificeren en initiëren preventieve maatregelen Evalueren identificatie- en afhandelingproces Vastleggen verbeterpunten in draaiboeken Doorvoeren verbeterideeën bij achterban Rapporteren storingen
Waarschuwen en instrueren voor storingsrisico’s Communiceren instructies bij bekende storingen
Melden van grootschalige incidenten via diverse kanalen (tel., portal, SMS) Up-to-date houden portal met geschatte afhandeltijd
Rapporteren over aantal en duur van grote incidenten Rapporteren over afhandeling en verbeteringen Updaten van instructies
Inrichten centraal meldsysteem (CMS) voor wijzigingen en storingen Aggregeren en monitoren actuele tracking-informatie bij ketenpartijen Aanvullen met continue metingen (steekproeven)
Communicatie naar retailers en breed publiek
Incidentafhandeling
Daarmee is het een relevant ketenauditobject waarvan opzet, bestaan en werking kan worden getoetst. In figuur 4 valt de toetsing van CONNECT binnen het blok reguliere toetsing op naleving bij de instellingen. Regelgeving eist dat ketenpartners geplande en ongeplande storingen centraal melden, deze delen met andere ketenpartners en netjes afwikkelen. Ook wijzigingen aan eigen systemen en procedures die de PINketen raken, behoren te worden gemeld. Currence kan met behulp van CONNECT storingen proactief identificeren, door combinatie met andere meetgegevens structureel het betaalproces evalueren en een leercirkel inrichten. Hieruit volgt de auditvraag of alle ketenpartners wel tijdig, juist en volledig alle meldingen en afwikkelingen in CONNECT registreren volgens de opzet die in de Rules en Regulations is vastgelegd. Currence kan vaststellen of de waargenomen storingen in CONNECT door de betrokken ketenpartners zijn gemeld. Ook de (beheersing van de) opvolging van
Figuur 5: Incident afhandeling met CONNECT [SBEB09] de IT-Auditor nummer 3 | 2011
29
de regels kan de ketenauditor goed beoordelen. Analyse van een storing kan uitwijzen dat een verstoring niet gemeld is door de ketenpartner. De ketenpartner-auditor heeft een belangrijke taak om de volledigheid van het melden van relevante geplande en ongeplande storingen vast te stellen. Niet iedere wijziging die niet gemeld is aan CONNECT, leidt immers tot een storing. Uit de afwikkeling van storingen kan blijken dat nader overleg nodig is tussen de ketenpartners. Ook kan blijken dat aanpassing van deelprocessen of onderliggende systemen met inzetten van ketenregie gewenst is. Bijvoorbeeld door het aanpassen van de regelgeving (Rules and Regulations). Met CONNECT wordt het incident- en problem management van de keten beheersbaar. Het heeft overeenkomsten met de ITILprocessen zoals die binnen organisaties worden toegepast, aangevuld met een voorziening om communicatie mogelijk te maken voor coördinatie binnen de keten. Dit strookt met de opmerking van INK dat het verschil tussen een organisatie en keten gradueel is. CONCLUSIE Wij vinden dat de ketenaudit volgens het INK-model uitvoerbaar is bij de IT-audit van elektronisch betalen met PIN. De casestudie IT-audit binnen de PIN-keten toont de geschiktheid van het INK-model aan als referentiemodel voor het organisatorische aspect van de ketenaudit. Het INK-model geeft richting aan de vraag of de ketenaudit wel mogelijk is en helpt om de objecten die specifiek zijn voor ketens te onderkennen. De ketenaudit is het resultaat van de gecoördineerde samenwerking tussen meer IT-auditors en is met name nodig voor het beoordelen van de relevante ketenrisico’s. In de praktijk wordt de behoefte een assurance in ketenverband bevestigd. Bij de keten IT-audit is invulling van zowel de organisatorische als proces-
30
de IT-Auditor nummer 3 | 2011
matige en technische IT-aspecten van belang. HOE VERDER? Wij zien mogelijkheden voor verdere uitwerking van de ketenaudit in praktijk en in theorie. Praktijk De geïnterviewde IT-auditors staan positief tegenover een ketenaudit van PIN en overigens ook van de overige betaalproducten van Currence (PIN, Chipknip, Incasso/Machtigen, Acceptgiro en iDEAL). Het verdient aanbeveling dat Currence/PIN het initiatief neemt tot een ketenauditoverleg met (vertegenwoordigers van) participanten in de keten(s) om de voorwaarden voor een ketenaudit vast te stellen. Voor de keten IT-audit komen zowel organisatorische als procesmatige en technische IT-aspecten aan de orde. Theorie Het INK-model is algemeen geformuleerd en is in principe toepasbaar bij iedere keten. Verder onderzoek is nodig om na te gaan bij welke ketentypen ketenaudit zinvol is. Het model kan worden verfijnd door het standaardisatiemechanisme verder te onderscheiden naar de drie vormen van standaardisatie van Mintzberg: standaardisatie van processen, output/product of kennis en vaardigheden. Voorts kan worden onderzocht of de volgende vragen relevant zijn voor ketenbeheersing en ketenaudit: • Zijn er alternatieve modellen voor ketenbeheersing die als referentiemodel voor het organisatorische aspect van de ketenaudit kunnen dienen? • Wat is de invloed van de aard van het ketenproces (bijvoorbeeld handel, productie en dienstverlening) en de omvang van de keten? • Wat is de invloed van de fase van de levenscyclus van de keten? • Welke factoren hebben invloed op de samenstelling van de vorm
en mix van de coördinatiemechanismen? • Zijn de coördinatiemechanismen alleen in combinatie effectief of is beheersing mogelijk door een of twee mechanismen in te zetten voor ketenbeheersing? Verder onderzoek en theorievorming helpen om het referentiemodel voor het organisatorische aspect te operationaliseren en dragen bij aan een deskundige en zorgvuldige uitvoering van ketenaudits. Uiteindelijk is niets zo praktisch als een goede theorie. Ten slotte geven we onze visie op de stelling van Mollema en Welters. Aan de hand van de vraag: ‘is een vaktechnisch verantwoorde ketenaudit een optie of utopie?’ Komen zij tot de conclusie dat een ketenaudit in de praktijk onder de huidige omstandigheden niet zomaar uitvoerbaar is en poneren de volgende stelling: er kan niet worden vastgesteld dat de keten adequaat functioneert, waarmee niet kan worden vastgesteld dat het ketendoel wordt gehaald. In dit artikel vinden wij dat de beheersing van de keten een noodzakelijke voorwaarde is voor een vaktechnisch verantwoorde ketenaudit. Onze visie luidt: bij een keten met adequate beheersmaatregelen, gedeelde normen en afgestemde beheersdoelen is een vaktechnisch verantwoorde ketenaudit uitvoerbaar. Aan de hand van gedeelde normen kan worden vastgesteld dat de keten adequaat functioneert en dat het ketendoel wordt gehaald. Bij ketens zonder adequate beheersmaatregelen en normen is ketenaudit een utopie. Aan dit artikel werkten mee: Dr. R. (René) Matthijsse, VU-coach, A.M. (Arnold) Roza RA EMITA, Bedrijfscoach, Drs. S.K. (Suren) Balraadjsing RE EMITA, J. (Hans) Lameijer RE CISA. Een ieder dank daarvoor. ■
Literatuur [ALVN09] Algemene Leden Vergadering NOREA, Mollema, R.J. en Matthijsse, R. 09-12-2009. [BALR09]Balraadjsing, S., Currence; Elektronisch betalen en vertrouwen, presentatie VUrORE-seminar: Geeft elektronisch geld vertrouwen?, 11 november 2009. http:// www.vurore.nl/templates/downloads/11_11_2009_08. pdf (geraadpleegd op 18 juli 2011). [BRUI06-1] Bruijn, de A.J.M., Meer, van der, Nieuwenhuizen, P.C.J. Slot, M.C.M. en Staveren, van B.J., Ketengovernance: startpunt voor keteninrichting en ketenauditing, de EDP-Auditor, nr. 1, 2006. [BRUI06-2] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen, P.C.J. Slot, M.C.M. en Staveren, van B.J.,Ketengovernance: ketensamenwerking binnen het publieke domein, de EDP-Auditor, nr. 2, 2006. [CURR11] Currence, Algemene Toelichting Rules & Regulations PIN, http://www.currence.nl/Downloads/ Cu_RR_P_AlgemeneToelichting.pdf (geraadpleegd op 18 juli 2011).
[EWAL10] Ewals, R.Ch.T., ISAE 3402: een nieuw hoofdstuk voor de IT-auditor, de IT-Auditor, nr. 3, 2010 [INK08] Ketenmanagement in INK-perspectief, INK Zaltbommel, april 2008, www.ink.nl. [INK10] Samenwerken in de keten, 2010, www.ink.nl. [MEER05] Meer, van der A.J. en Dirks, L.G., Ketenauditing in de publieke sector, complex en daarom spannend!, de EDP-Auditor, nr. 3 2005. [MINK07] Minkman, M.M.N. en Ahaus, C.T.B., Ketenkwaliteit, de organisatiegrens voorbij, Kwaliteit in beeld, 2007. [MINT92] Mintzberg, H., Organisatiestructuren, Academic Service Economie en Bedrijfskunde, Schoonhoven, 1992. [MOB10] Rapportage Maatschappelijk Overleg Betalingsverkeer 2009, mei 2010, www.minfin.nl/ MOBRapportage. [MOLL10] Mollema, R.J., Welters, M.M.J.M., Vaktechnisch verantwoorde ketenaudits: optie of utopie?, de IT-Auditor, nr 3, 2010, pag. 53-55.
[NOREA.C1] NOREA, C1 Raamwerk Assurance Opdrachten. [PCI-DSS] Payment Card Industry Data Security Standard 2.0, www.pcisecuritystandards.org. [PIN11] PIN, Hoe gaat een PINbetaling, Hoe werkt ‘het systeem’ nu eigenlijk?, http://www.pin.nl/nl-NL/ Zakelijk/PINAccepteren/Pages/HoegaateenPINbetaling. aspx (geraadpleegd op 18 juli 2011). [SBEB09] Stichting Bevorderen Efficiënt Betalen, Naar een robuustere PIN-keten in Nederland, oktober 2009, www.efficiëntbetalen.nl/websites/efficiëntbetalen/ docs/ Eindrapport_robuustere_pinketen_finaal.pdf. [SEPA08] De gevolgen van SEPA voor pinnen met de betaalpas, 19 mei 2008, www.sepanl.nl/nvbdownloads. [TREN08] Trends Business Procesmanagement, 2008, http://www.conquaestor.nl/SiteCollectionImages/brochure%20ambitie%2020021.pdf.
Reactie op artikel Bolier namens werkgroep ketenauditing Dit artikel vormt een reactie op een artikel van de Werkgroep Ketenauditing van NOREA. De werkgroep zet de discussie voort via onderstaande reactie. De heer Bolier toont in dit artikel met de casus ‘betalen met pin’ aan dat bij een keten met adequate beheersmaatregelen, gedeelde normen en afgestemde beheersdoelen een vaktechnisch verantwoorde ketenaudit een optie is; aan de hand van gedeelde normen kan immers worden vastgesteld dat de keten adequaat functioneert en dat het ketendoel wordt gehaald. De vraag is of de stelling van Welters en Mollema waarop Bolier reageert hiermee ontkracht wordt of juist bevestigd. Deze stelling luidde: er kan niet worden vastgesteld dat de keten adequaat functi-
oneert, waarmee niet kan worden vastgesteld dat het ketendoel wordt gehaald. Deze stelling kwam voort uit de ervaring dat in ketens de beheersing vaak niet eenduidig op orde is en dat zelfs de doelen van een keten niet altijd helder zijn. Bolier brengt in de casus ‘Betalen met pin’ drie belangrijke randvoorwaarden in om een succesvolle ketenaudit mogelijk te maken: met adequate beheersmaatregelen, gedeelde normen en afgestemde beheersdoelen. Strikt genomen bevestigt hij daarmee de stelling, wat hij in de eindconclusie ook zo formuleert met de woorden, ‘bij ketens zonder adequate beheersmaatregelen en normen is ketenaudit een utopie’. Het artikel en de casus laten aan de andere kant zien dat een goed opgezette keten met duidelijke
governance audits op doelstellingen zeer goed mogelijk maakt en daar zijn we naar op zoek. Een kritisch punt is wel dat er steeds gesproken wordt over één keten. Er zijn minstens een uitgifteproces, het primaire betaalproces, het clearingproces en een waaier aan ondersteunende processen te onderscheiden. Wat nu precies de keten is of dat het een netwerk van ketenprocessen is, wordt niet duidelijk. Het inbrengen van de drie coördinatiemechanismen, standaarden, afstemming en regie voegt een belangrijk element in de discussie over ketens toe. Hieraan mag in een volgend artikel aandacht worden besteed in relatie tot verschillende types ketenprocessen. Ruud Mollema, namens de Werkgroep Ketenauditing van NOREA
Drs. E. (Emiel) Bolier RA CISA EMITA studeerde Bedrijfseconomie en Bestuurlijke Informatiekunde aan de Erasmus Universiteit te Rotterdam en vervolgens postdoctoraal Accountancy. Onlangs heeft hij de postgraduate opleiding IT-audit aan de VU te Amsterdam afgerond. Hij is werkzaam als accountant en EDP-auditor bij de Belastingdienst Rijnmond, te Rotterdam. Hij heeft dit artikel op persoonlijke titel geschreven.
de IT-Auditor nummer 3 | 2011
31
