Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Soft Controls binnen de IT General Controls? Een onderzoek naar de toepassing van soft contols binnen de IT General Controls
Soft Controls binnen de IT General Controls?
Pagina 1
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Postgraduate IT Audit Vrije Universiteit Amsterdam Studentnummer: 1695517 Scriptienummer: 1000 Student: J. N. van Aalsum Begeleider: J. Hulstijn Contact informatie: J.N. van Aalsum Tel: 06 518 24 888
Soft Controls binnen de IT General Controls?
Pagina 2
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Voorwoord Tot voor drie jaar terug had ik nog nooit met de term IT General Controls te maken gehad. Mijn werkervaring is begonnen als operator achter een mainframe waar ik batches startte, back-‐ups maakte en prints uitdraaide. De werkzaamheden stonden beschreven in documenten en ik deed wat me opgedragen werd. In de jaren die volgden bleef de informatie technologie als een rode draad door mijn dagelijkse arbeid lopen. Alle facetten van de IT passeerden de revue zonder dat ik hierover nadacht in termen van het “in control zijn” en “mitigerende maatregelen”. Wel piekerde ik regelmatig over het beperken van risico’s en het beheersen hiervan. Nu na twintig jaar rond dwalen in de IT schrijf ik een scriptie over cultuur en gedragingen binnen de IT waarbij ik specifiek de inzet van Soft Controls binnen de IT General Controls onderzoek. Deze scriptie is voor mij de afsluiting van de studie IT Audit aan de VU maar ook een belangrijk punt in de voortzetting van mijn dwalen binnen de IT met als nieuw hoofdstuk Audit. Ik wil alle mensen bedanken die een rol hebben gespeeld in de kennis en ervaring die ik op dit moment bezit maar in het bijzonder Merlijn van Lint1 die aan de basis stond mijn carrière zoals deze nu is. Jan Nico van Aalsum Heerenveen, maart 2010 1 Merlijn van Lint 9 nov 1996 Soft Controls binnen de IT General Controls?
Pagina 3
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Leeswijzer In de afbeelding hieronder wordt op schematische wijze aangegeven hoe deze scriptie is opgebouwd en hoe de onderwerpen zich tot elkaar verhouden: Huidige manier van Audit
Gedrag / Cultuur
Verbeteringen ?
IT General Controls
Soft Controls
Toekomstige manier van Audit
Kan de IT Auditor dit
Onderzoek
Conclusie
Soft Controls binnen de IT General Controls?
Pagina 4
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
INHOUD 1. INLEIDING & THEMATISERING................................................................................................................. 6 1.1 INLEIDING .....................................................................................................................................................6 1.2 IN CONTROL DOOR IT GENERAL CONTROLS ..........................................................................................................9 1.3 UITBREIDING IT GENERAL CONTROLS ...............................................................................................................11 2. THEORETISCH KADER .............................................................................................................................13 2.1 2.2 2.3 2.4 2.5 2.6 2.7
GEDRAG EN ORGANISATIE ..............................................................................................................................13 GEDRAG, CULTUUR EN ORGANISATIE................................................................................................................19 SOFT CONTROLS ...........................................................................................................................................21 GEDRAG, CULTUUR EN SOFT CONTROLS ............................................................................................................22 SOFT CONTROLS BINNEN DE IT GENERAL CONTROLS ............................................................................................24 AUDIT EN SOFT CONTROLS .............................................................................................................................26 SOFT CONTROLS EN HET KENNISGEBIED VAN DE IT AUDITOR .................................................................................28
3. ONDERZOEK ..........................................................................................................................................29 3.1 METHODIEK ................................................................................................................................................29 3.2 RESULTATEN ................................................................................................................................................31 3.3 BESCHOUWING RESULTAAT ONDERZOEK ............................................................................................................36 4. DSB PRAKTIJK CASUS .............................................................................................................................38 5. CONCLUSIE ............................................................................................................................................44 5.1 5.2 5.3 5.4
IN HOEVERRE IS HET MOGELIJK OM ‘SOFT CONTROLS” TE TOETSEN BINNEN DE IT GENERAL CONTROLS ..........................44 BLIK VOORUIT: DE TOEVOEGING ‘GEDRAG EN ORGANISATIE’ IN DE IT GENERAL CONTROLS .........................................46 SUGGESTIES VOOR VERVOLGONDERZOEK ...........................................................................................................47 PERSOONLIJKE REFLECTIE EN TERUGBLIK OP DE SCRIPTIE ........................................................................................48
BIBLIOGRAFIE................................................................................................................................................49
Soft Controls binnen de IT General Controls?
Pagina 5
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
1. Inleiding & thematisering
1.1
Inleiding
De theorie van het auditen van IT General Controls lijkt zo eenvoudig, maar is dit wel het geval? Auditors zijn gewoon om via een vooraf gedefinieerd control framework een audit uit te voeren en de resultaten feitelijk te rapporteren. Al het bewijsmateriaal wordt zorgvuldig gedocumenteerd waardoor de verwijzingen hiernaar in het rapport geen enkel spoor van misverstand achter laten. Maar hoe is het mogelijk dat risico’s werkelijkheid worden en in sommige gevallen desastreuze gevolgen hebben voor organisaties? Jérôme Kerviel wordt er in begin 2008 van verdacht dat hij zijn werkgever, de Franse bank Société Générale, door ongeoorloofde transacties op de futuremarkt opzadelde met een verlies van 4,9 miljard Euro. Kerviel had bij de bank op verschillende afdelingen gewerkt waaronder de controle afdeling. Hierdoor was hij volledig op de hoogte van de beheersmaatregelen die het controle team van de bank uitvoerde ten behoeve van de interne controle en de jaarrekening. In de meeste organisaties wordt niet onderkend dat het gedrag van medewerkers, of beter de fouten en misdragingen een risico in de continuïteit opleveren. De maatregel tot de beheersing van de continuïteit wordt als een onderdeel van de IT General Controls getest maar zijn we in de huidige vorm wel volledig in de audit? Er bestaan uit gekristalliseerde normen en standaarden, zoals Cobit2, voor het auditen van de harde controls maar zou de audit niet compleet zijn wanneer we op een juiste manier de Soft Controls kunnen testen? De hoofdvraag van deze scriptie is: Worden binnen de IT General Controls de risico’s beter onderkend door het toetsen van “Soft Controls”.
2
Cobit, http://www.isaca.org/
Soft Controls binnen de IT General Controls?
Pagina 6
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
PALM verzekeringen (hierna PALM), mijn werkgever, is een financiële instelling. Zoals elke financiële instelling, staat ook PALM onder toezicht van DNB. Dit toezicht houdt onder andere in, dat DNB toets in hoeverre PALM met haar organisatie “ in control” is. Met andere woorden, in hoeverre worden de risico’s welke een financiële instelling als PALM loopt, binnen de organisatie afgedekt door toereikende controlemaatregelen. De risico’s kunnen zowel organisatorisch, financieel als IT technisch zijn en de controls zullen daar dan ook op toegespitst zijn. Niet alleen de toezichthouder, maar ook andere stakeholders, zoals de Raad van Commissarissen, de Raad van Bestuur en de externe accountant willen vaststellen in hoeverre PALM “ in control” is. Hiertoe worden binnen PALM regelmatig audits uitgevoerd, zowel door de IA-‐ afdeling (interne audit) en de externe account, waarbij ik heb vastgesteld dat tot nu toe voornamelijk de “Harde Controls” worden getoetst om een beeld te krijgen in hoeverre de organisatie in control is. Echter een belangrijk aspect voor een organisatie, om controlemaatregelen te doen slagen, is in mijn ogen de cultuur van de organisatie en het gedrag van de medewerkers. Ik wordt in deze mening ondersteunt door diverse wetenschappelijke onderzoeken van Wallage, Roth, van Bergenhenegouwen, naar cultuur en gedrag. Meningen en methodes van deze onderzoekers worden later in deze scriptie uitgewerkt of geciteerd. Deze onderzoeken zal ik als theoretisch kader in mijn scriptie hanteren. In deze scriptie wil ik daarom aan de orde stellen in hoeverre het verstandig is om naast deze “ harde controls” ook “ soft controls” te toetsen. Dit geldt natuurlijk niet alleen binnen de IT General Controls, maar binnen alle controls in de organisatie. Vanwege mijn opleiding tot IT auditor beperk ik mij in deze scriptie tot de IT General Controls.
De subvraag van deze scriptie is: Wanneer er besloten wordt om “Soft Controls” te toetsen binnen de reguliere audit, is de PALM (IT) Auditor dan in staat om “Soft Controls” te toetsen? Het antwoord op deze twee vragen wil ik verkrijgen door een literatuur studie en het uivoeren van een enquête onder de Auditors van PALM. Deze enquête wordt uitgevoerd om een beeld te verkrijgen hoe de Auditor binnen PALM denkt over “Soft Controls” en het inzetten van de “Soft Controls” binnen de Audit.
Soft Controls binnen de IT General Controls?
Pagina 7
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
In hoofdstuk 1 wordt er ingegaan op de controle van de IT General Controls en welke uitbreiding er noodzakelijk zou zijn wil je Soft Controls kunnen testen.. In hoofdstuk 2 wordt vervolgens beschreven wat gedrag is en hoe vandaag de dag wordt omgegaan met gedrag, cultuur en Soft Controls in de organisatie. Er wordt uitgelegd wat Soft Controls zijn. Wanneer er Soft Controls zouden toegevoegd worden aan de IT General Controls zal de IT Auditor dit ook moeten kunnen beoordelen, maar is hij of zij hier wel toe instaat? In hoofdstuk 3 wordt de enquête besproken die ik in het kader van het onderzoek heb uitgevoerd. De enquête is hoofdzakelijk bedoeld om er achter te komen hoe er gedacht wordt over gedrag, cultuur en Soft Controls binnen de PALM organisatie. Hiervoor heb ik alle auditors een enquête formulier verstuurd en is het antwoord verwerkt. Hoofdstuk 4 de conclusie geef ik mijn oordeel of het verstandig is om “Soft Controls” te toetsten binnen de IT General Controls. Hierbij gebruik ik ook de mening van de auditors van PALM. Dit kan omdat PALM een ‘representatieve’ organisatie is binnen de financiële sector. Verder wordt er vooruit geblikt naar de toekomst en wordt er een suggestie gedaan voor een vervolgonderzoek en een persoonlijke reflectie op deze scriptie.
Soft Controls binnen de IT General Controls?
Pagina 8
1.2
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
In control door IT General Controls
De belangrijkste functie van de IT General Controls is op dit moment dat de relevantie informatie voldoet aan de gestelde eisen van betrouwbaarheid en beschikbaarheid. Voor de beheersing van de infrastructuur is een stelsel aan maatregelen en procedures nodig die worden aangeduid als IT General Controls: • • • • • •
beleid; fysieke beveiliging; logische toegangsbeveiliging; wijzigings-‐ en probleembeheer; testen; back-‐up en recovery en uitwijk.
De IT General Controls worden geaudit aan de hand van een vooraf gedefinieerd control framework. De set van beheersmaatregelen in dit framework zijn veelal afgeleid van COBIT, ITIL3, code voor informatiebeveiliging4 of Coso5.
COBIT's success as an increasingly internationally accepted set of guidance materials for IT governance has resulted in the creation of a growing family of publications and products designed to assist in the implementation of effective IT governance throughout an enterprise. http://www.isaca.org
Al deze audit methodes zijn voornamelijk gericht op harde controls. De IT Auditor meet het “in control” zijn van een IT organisatie af aan het beoordelen van de IT General Controls en de Application Controls. De IT Auditor stelt een normenkader op en vult dit met informatie en evidence met betrekking tot de systemen en applicaties.
3
http://www.itil-‐officialsite.com
4
http://www2.nen.nl/nen/servlet/dispatcher.Dispatcher?id=234731
5
http://www.coso.org/
Soft Controls binnen de IT General Controls?
Pagina 9
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Onderstaande punten zijn een voorbeeld wat zoal beoordeeld kan worden: • de omgeving waar de computers staan. Denk aan koeling, brandveiligheid, stroomstoring; • de toegangsbeveiliging van de computerruimtes; • het dubbel uitvoeren van systemen; • het beschikbaar hebben van extra systemen indien één van de systemen uitvalt; • het dubbel opslaan van informatie, of het zodanig opslaan van informatie dat deze bij een gedeeltelijk verlies is te reconstructuren (RAID); • het hebben van verzekeringen ter beperking van de schade. De processen omtrent bovenstaande punten moeten in opzet, bestaan en werking aanwezig en beschreven zijn. Aan de mate van de eerder genoemde betrouwbaarheid en beschikbaarheid meten we af of we “ in control” zijn. Wanneer de IT Auditor op deze wijze zijn beoordeling heeft gegeven vertrouwt de accountant op de deskundigheid van de IT Auditor en kan na gelang het positieve of negatieve antwoord al dan niet steunen op de geteste processen. Geeft het op deze manier van controleren ook daadwerkelijk vertrouwen dat de organisatie “ in control” is? In deze scriptie zal ik onderzoek doen naar deze vraag.
Soft Controls binnen de IT General Controls?
Pagina 10
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
1.3
Uitbreiding IT General Controls
Vandaag de dag worden IT General Controls voornamelijk op harde controls getest. Ik vraag me in het hoofdstuk “In control door IT General Controls” af of het testen op deze wijze een schijn zekerheid is of dat we kunnen stellen dat de huidige methode voldoende is. In de IT General Controls wordt het onderwerp continuïteit getest en proberen we vast te stellen wat de bedreigingen zijn inzake de voortgang van de organisatie. Wanneer we een voorbeeld van een te toetsen punt nemen vanuit het hoofdstuk 1.2, de toegangsbeveiliging van de computerruimtes; mogen we dan stellen dat wanneer alle processen (opzet) beschreven zijn, daadwerkelijk zijn ingevoerd (bestaan) en de beheersmaatregelen het afgelopen jaar juist hebben gefunctioneerd we in control zijn qua continuïteit? Naar mijn mening beslist niet! Naar mijn idee kan een organisatie niet blind vertrouwen op een beheersmaatregel die het gehele vorige jaar heeft gewerkt wanneer je kijkt naar het komende jaar. Het gedrag van de persoon welke de maatregel uitvoert speelt hier een grote rol. Wat zorgt ervoor dat een beveiligingsbeambte de ene keer wel een check doet op een persoonsidentiteit en de andere keer niet en zouden we hier ook niet beheersmaatregelen moeten treffen.
De audit van IT General Controls zou doeltreffender zijn wanneer er een hoofdstuk “Gedrag en Organisatie” opgenomen wordt.
De doelstelling van deze toevoeging zou er op gericht moeten zijn welk gedrag wenselijk is (opzet), welke cultuur heerst er op dit ogenblik (bestaan) en of er gedragswijzigingen hebben plaatsgevonden het afgelopen jaar (werking). Soft Controls binnen de IT General Controls?
Pagina 11
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Wanneer we puur aan gedrag denken wordt er niet direct een associatie gelegd naar de IT omgeving van de organisatie. Ik kan me er aan ontrekken dat de eerste gedachte dan ook zou zijn; hoort het controleren en bijsturen van gedrag wel bij een IT auditor en specifiek in dit geval de IT General Controls? Hier verder over filosoferend zouden we ook deze lijn door kunnen trekken naar de fysieke toegangsbeveiliging. Hoort testen van een fysieke toegang wel tot het takenpakket van de IT auditor en is dit niet iets wat bij bijvoorbeeld bewaking moet liggen?
In deze scriptie wordt geen antwoord geven op de vraag waarom er niet of onvoldoende op Soft Controls wordt getest maar ga ik onderzoeken of risico’s beter worden getoetst door het toevoegen van “Soft Controls” aan de IT General Controls en zo ja is de IT Auditor bij machte om deze audit uit te voeren. De IT Auditors behoren risico’s te onderkennen en een audit uit te voeren op de beheersmaatregelen die zijn getroffen om risico’s te mitigeren. Wanneer je vanuit deze stelling redeneert en doortrekt naar de IT General Controls moet een IT Auditor alle risico’s beoordelen die een bedreiging kunnen vormen voor de IT omgeving. De terechte vraag die volgt is; kan het gedrag van een medewerker van een organisatie een risico vormen voor bijvoorbeeld de continuïteit van deze organisatie. Het antwoord zal eenduidig “ja!” zijn, maar waarom wordt dit gedrag niet of onvoldoende opgenomen in de IT Genral Controls?
Soft Controls binnen de IT General Controls?
Pagina 12
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2. Theoretisch kader
“Soft Controls” hebben als uitgangspunt gedrag en cultuur. Door dit hoofdstuk wil ik tonen hoe gedrag is opgebouwd en hoe cultuur en gedrag zich tot elkaar verhouden in een organisatie. Voorts wordt een uitleg gegeven wat “Soft Controls” zijn volgens een Jim Roth, de Amerikaanse goeroe op het gebied van “Soft Controls”. Er wordt ook ingegaan op het auditen van “Soft Controls” en de vraag of de IT Auditor van nu instaat is om deze controls te toetsen. Dit hoofdstuk moet een antwoord geven op de vraag of door het toetsen van “Soft Controls” binnen de IT General Controls beter de risico’s
2.1
Gedrag en Organisatie
Gedrag is onder te verdelen in bewust of gepland gedrag en onbewust of automatisch gedrag. In de psychologie wordt over het algemeen gesteld dat Bewust gedrag 5 % slechts 5 %6 van ons gedrag werkelijk bewust wordt gekozen. Dit zijn wel vijf belangrijke procenten. Het draait hierbij om keuzes voor de langere termijn. Het resterende gedrag is meestal onbewust en automatisch. Het is gedrag dat wordt gestuurd door prikkels die worden ervaren wanneer een medewerker binnen de organisatie werkzaamheden verricht. Onbewust gedrag 95 % Afbeelding 1 Wanneer we kijken naar gedrag binnen een organisatie gecombineerd met Soft Controls onderscheid ik twee gedragscategorieën: 1. Onbewust gedrag 2. Bewust gedrag Verder in dit hoofdstuk wordt dieper op het bewuste en onbewuste gedrag in gegaan. 6 Tiggelaar B. (2005) Dromen durfen doen Soft Controls binnen de IT General Controls?
Pagina 13
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
IJsbergmodel volgens Bergenhenegouwen et al (1999)
Veranderbaarheid Hoog
Belangrijkheid Laag Vakkennis en vaardigheden
Intermediaire vaardigheden Waarden, normen, beroepsethiek en morele maatstaven Laag
Hoog Zelfconcept, motieven, inzet, gedrevenheid en overtuigingskracht
Afbeelding 2
Het “IJsbergmodel” (afbeelding 2) opgesteld door van Bergenhenegouwen7 Van Bergenhenegouwen stelt dat door gedrag hierbij een verdeling aan van hoog naar laag met betrekking tot de veranderbaarheid en de belangrijkheid. Heel duidelijk is daardoor te zien dat de waarden, normen, beroepsethiek en morele maatstaven erg belangrijk zijn maar ook dat de veranderbaarheid hiervan erg laag is. Dit wil niet zeggen dat het niet mogelijk is, maar we zullen meer onderzoek en toetsing binnen de organisatie moeten verrichten om de risico’s hierin te kunnen beheersen.
7
IJsbergmodel van Bergenhenegouwen, Gids voor Personeelsmanagement jaargang. 85 nr. 1 -‐ 2006
Soft Controls binnen de IT General Controls?
Pagina 14
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
1. Onbewust gedrag In de psychologie stelt men dat één van de uitgangspunten is dat elke mens uniek is en onbewust met gedachten zijn gedrag beïnvloedt. Gebeurtenissen die in het verleden, vaak de in de jeugd fase, hebben plaatsgevonden vormen deze onbewuste processen. Het denken, handelen en voelen van een persoon wordt op deze wijze beïnvloedt door het verleden. In 2007 presenteerde de Radboud Universiteit in samenwerking met cultuurcentrum LUX in Nijmegen de nieuwste vindingen op het gebied van de sociale psychologie in een gepopulariseerde vorm met de titel Buiten Bewustzijn. De centrale boodschap was dat de tijd van Freud en zijn definitie van het onbewuste voorbij is. Het onderbewustzijn is niet meer het duistere terrein van seks en agressie, maar veeleer een schatkamer vol intuïtieve mechanismen die het gedrag sturen, genoemd: het adaptieve onbewuste. De verwerkingscapaciteit van het onbewuste brein is groter, het legt verbanden, werkt associatief, pakt beelden, emoties, ervaringen mee en is daardoor slimmer. Professor Ap Dijksterhuis: ‘Zet het onderbewustzijn doelgericht voor je aan het werk. Geef het de opdracht een beslissing te nemen en ga vervolgens iets anders doen, ondertussen is je brein onbewust aan het nadenken en rolt er een betere beslissing uit.’ In de psychologie is een stroming die men behaviorisme noemt. De behavioristische theorie is vooral ontwikkeld in de Verenigde Staten rond 1920. Belangrijke grondleggers zijn: Pavlov8, Watson9 en Skinner10. De theorie komt er in het kort op neer dat het mogelijk is om gedrag te voorspellen door gedragsbeïnvloeding.
8
Ivan Petrovitsj Pavlov (1849 – 1936) was een Russische fysioloog. Hij is bekend van de onderzoekingen van conditioneringen. 9
John Broadus Watson (1878 – 1958) was een Amerikaanse psycholoog.
10
Burrhus Skinner (1904 – 1990) was een invloedrijk Amerikaans psycloog.
Soft Controls binnen de IT General Controls?
Pagina 15
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Het gedrag kun je meten iets wat je meet is betrouwbaar. Het meten van dit gedrag is in mijn geval de audit “Soft Controls” binnen de IT General Controls. De basis is dat er principes gevonden worden om (goed) gedrag in stand te houden waardoor het voorspelbaar is en iets kan zeggen over de continuïteit. Door het voorspellen, meten en het beïnvloeden van onbewust gedrag kunnen ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt worden. Risico’s die niet zouden worden getoetst wanneer alleen de reguliere maatregelen van de IT General Controls getoetst worden.
Soft Controls binnen de IT General Controls?
Pagina 16
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2. Bewust gedrag
Met het begrip “bewust gedrag” wil ik het gedrag van een medewerker aanduiden die het resultaat van zijn of haar handelen overziet. Dit gedrag kan positief maar natuurlijk ook negatief zijn, waardoor risico’s binnen de organisatie ontstaan. Deze risico’s, samen met de risico’s die kunnen ontstaan door het onbewuste gedrag, willen we ondervangen door controls en vallen door deze categorisering in de Soft Controls. Het “bewust gedrag” heeft alles te maken met integeriteit van de medewerker. De heer Muel Kaptein11 heeft een model uitgezet waarin helder wordt uiteengezet hoe integeriteit, bewust gedrag, onderverdeeld kan worden;
Integriteit12
zelfregulerend vermogen • Helderheid Groepen kunnen blind raken voor de publieke moraal, ondanks dat er bijvoorbeeld een gedragscode is; • Voorbeeldgedrag Goed voorbeeld doet goed volgen en slecht voorbeeld doet slecht volgen; • Handhaving Niets is zo dodelijk als integriteitbeleid dat met veel tamtam wordt geïntroduceerd en dat de eerste de beste overtreder niet wordt bestraft; zelfvoorzienend vermogen • Betrokkenheid Achteloosheid, gebrek aan motivatie en loyaliteit, respectloze behandeling kunnen een bron van niet-‐integer gedrag zijn; • Uitvoerbaarheid Een andere belangrijke reden voor niet-‐integer gedrag is vaak dat mensen worden opgezadeld met onrealistische doelen en onvoldoende middelen;
11
Vink, H.J.A, Kaptein M., Soft Controls bij de rijksoverheid: een onder-‐ zoek naar de oorzaak van rechtmatigheidsfouten, Maandblad voor
Accountancy en Bedrijfseconomie 12
Muel Kaptein (1969) professor in bedrijfsethiek en integriteits-‐ management aan de Erasmus Universiteit.
Soft Controls binnen de IT General Controls?
Pagina 17
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
zelfcorrigerend vermogen • Transparantie Hoe lager de detectiekans, hoe groter de overtreding; • Bespreekbaarheid Wanneer praten over integriteit een taboe is dan wordt de doofpot al snel een beerput; Deze zeven factoren zijn binnen een organisatie de voedingsbodem voor integer dan wel niet-‐integer gedrag. Wanneer deze zeven factoren aanwezig zijn binnen een organisatie mogen we spreken van een integere organisatie. Dan is het helder wat van medewerkers wordt verwacht. Zijn dilemma’s bespreekbaar. En worden managers en medewerkers bijvoorbeeld aangesproken op hun gedrag. Wanneer deze factoren niet aanwezig zijn geeft dat een “red flag” inzake de integriteit van de organisatie.
Uiteindelijk zijn bovenstaande zeven fatoren uitgangspunten voor Soft Controls. In de zin dat het gaat om hoe managers en medewerkers deze factoren ervaren, ondervinden en percipiëren. Ze zijn soft omdat deze factoren niet direct waarneembaar zijn, maar zijn ingebed in de cultuur en klimaat van de organisatie. De heer Kaptein geeft voorts aan dat deze Soft Controls “integriteitmaatregelen” door een enquête onder de medewerkers getest zou kunnen worden. Persoonlijk zou ik een andere wijze van toetsen kiezen. Ik twijfel door de beperkte mate van geloofwaardigheid inzake objectiviteit waardoor de methode weinig betrouwbaar wordt in de meting van gedragsvaardigheden. Mijn voorkeur gaat dan ook uit naar integriteitmaatregelen die doormiddel van interview worden getoetst. Door het toetsen “Integriteitmaatregelen” van bewust gedrag kunnen ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt worden. Risico’s die niet zouden worden getoetst wanneer alleen de reguliere maatregelen van de IT General Controls getoetst worden.
Soft Controls binnen de IT General Controls?
Pagina 18
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2.2
Gedrag, Cultuur en Organisatie Een gevoel, gedachte of idee zijn zaken die te maken hebben met cultuur. Cultuur is niet direct zichtbaar en moeilijk doorbreekbaar. Cultuur is ook aangeleerd en blijft vaak lang hetzelfde. Volgens Hofstede13 houdt het begrip organisatiecultuur het volgende in: een organisatiecultuur is een collectieve mentale programmering die de leden van de ene organisatie onderscheidt van die van een andere. Hiermee wil Hofstede aangeven dat elke organisatie zijn eigen cultuur heeft. Een omschrijving van een organisatiecultuur is die van Schein. Hij reserveert het begrip cultuur van een organisatie voor:
“The deeper level of basic assumptions and beliefs that are shared by members of an organization, that operate unconsciously, and that define in a basic ‘taken – for – granted’ fashion an organization’s view of itself and its environment.” 14
– Schein -‐
De zienswijze van Schein komt er op neer dat de organisatiecultuur is als een ui (afbeelding 3) welke bestaat uit meerdere lagen. Hoe dichter je bij de binnenste laag komt hoe moeilijker deze is te veranderen. Hij onderscheidt van binnen naar buiten de volgende lagen in de organisatiecultuur: • Normen en waarden • Helden, mythen en rituelen • Gedragscodes en uitingsvormen
Afbeelding 3
13
Hofstede, G., Allemaal andersdenkenden
14
Schein, E. H., Organization culture & leadership
Soft Controls binnen de IT General Controls?
Pagina 19
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Een sterke organisatiecultuur kan een belangrijk bindend element vormen. De cultuur vindt haar oorsprong in onder andere de historie van het bedrijf (oprichters, leidersfi-‐guren, fusies, verhuizingen, beleidswijzigingen), de branche en het type markt waarop men actief is. Cultuur is de wijze waarop mensen met elkaar omgaan, de doelen die zij gezamenlijk nastreven of de waarden die worden gedeeld. De kern van cultuur is openheid en eerlijkheid. Een cultuur waarin mensen weten waar de organisatie naar toe gaat, waarom bepaalde beslissingen zijn genomen, en wat er van hen verwacht wordt. Interne communicatie en het gedrag van het management speelt daarin een cruciale rol. De cultuur van een organisatie is vaak bepalend voor alle processen die zich voordoen binnen de organisatie. Wanneer de cultuur zodanig is dat vooropgezette processen in gevaar komen door onduidelijke communicatie, geslotenheid van het management, oneerlijke of een niet eenduidige behandeling van de medewerkers levert dit risico op. Door het meten van cultuur, bijvoorbeeld de communicatie, openheid management, omgang en bejegening van de medewerkers binnen een organisatie, kunnen risico’s betreffende bedrijfsprocessen beter getoetst worden. Wanneer we dit binnen de IT General Controls toetsen levert dit een meerwaarde op ten opzichte van een methode waar niet op cultuur wordt getoetst.
Soft Controls binnen de IT General Controls?
Pagina 20
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2.3
Soft Controls
De kern van soft controls betreft vooral het proces om het gedrag van individuen in overeenstemming met – veelal expliciet geformuleerde – ideaalbeelden van bestuurders en leidinggevenden te doen zijn en zichtbaar te maken in welke mate dat al dan niet lukt. Het gaat dus om pogingen van bovenaf om het gedrag van medewerkers te beheersen. In feite komt deze bedoeling op hetzelfde neer als de systemen van ‘competentiemanagement’ die de laatste jaren in veel organisaties zijn ingevoerd, als pogingen om de mankerende werking van harde P&C systemen te verbeteren met een aanpak die meer op de menskant is gericht. Waar gaat het bij soft controls meer concreet om? In veel benaderingen van soft controls lijkt vooral het meetbaar maken van aspecten die te maken hebben met de stijl van leidinggeven, cultuur.15 Hartog en de Korte geven16 een aantal voorbeelden en aspecten van definities: • De Heus en Stremmelaar definiëren het onderscheid tussen harde en zachte controls op basis van de mate waarin het de persoon zelf beïnvloedt ofwel op basis van de effecten van de controls. Soft controls gaan dieper en beïnvloeden de overtuigingen of zelfs de persoonlijkheid van de medewerkers, terwijl harde controls meer zijn gericht op het gedrag en de vaardigheden. • Soft controls worden ook wel eens onderscheiden naar de mate waarin ze kunnen worden waargenomen of zelfs ‘beetgepakt’. Vooraanstaande collega’s plegen te roepen dat soft controls ‘hard’ zijn zodra je ze ‘meetbaar’ hebt gemaakt! • Of worden onderscheiden naar de mate waarin het direct het gedrag betreft. • Nog een andere invalshoek betreft de volgende definitie: soft controls zijn alle (persoonlijke en sociale) gedragsfactoren en aspecten die bepalen of (harde) controls al dan niet effectief zijn.
15
TPC hoofdartikel juni 2008
16
Hartog, P., Korte, R. de, Twintig over Internal/ Operational Auditing, 2003, Vera/ Eurac
Soft Controls binnen de IT General Controls?
Pagina 21
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2.4
Gedrag, Cultuur en Soft Controls
In Nederland wordt redelijk veel gepubliceerd17 en geschreven omtrent het onderwerp Soft Controls. De algemene mening betreffende een softe aanpak is een niet al te positieve aanpak. Soft wordt over het algemeen geassocieerd met niet streng en niet doortastend of het onvermogen tot orde houden. Soft Controls Bij Soft Controls denken wij vooral aan het gebruiken van een aanpak die rekening houdt Controls gericht op het bewust met mensen ‘zoals ze zijn en doen’, dus met hun beïnvloeden van het innerlijke sterke en zwakke kanten en hun eigen waarden (persoonlijkheid en overtuigingen) van de medewerker tot uiting komend in (het ‘Ist’), die kunnen afwijken van de dikwijls het gedrag van de medewerker bij het expliciet geformuleerde kernwaarden van een realiseren van de gestelde doelen van organisatie (het ‘Soll’). de organisatie Er zou meer aandacht moeten komen voor de cultuur in organisaties binnen de accounting en auditing. Wanneer werkgevers en werknemers duidelijk samen doelen afspreken wordt h et begrip voor elkaar steeds groter en zullen beide partijen zich daar beter aan houden. Volgens hoogleraar accountantscontrole aan de Universiteit Amsterdam Philip Wallage vormen Soft Controls het antwoord op bijvoorbeeld de huidige banken crisis.
17 Arts, F. (2009) Soft controls? Ik zie ze niet! CIAD Blog november 2009 http://ciadblog.wordpress.com/2009/11/25/soft-‐controls-‐ik-‐zie-‐ze-‐niet/ Bos, P, de Korte R., (2008) Soft Controls: wie het begrijpt heeft niet goed nagedacht, Audit magazine nr. 4 2008 Hartog, P.H., Leijtens H. (1999) Social Auditing: de harde invloed van soft controls, De Operational Auditor, nr. 2 1999
Soft Controls binnen de IT General Controls?
Pagina 22
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Een citaat van Wallage:18 Er moet een betere balans komen tussen regels en vertrouwen, zo meent Wallage. De manier waarop organisaties bestuurd worden heeft namelijk alles te maken met de angst voor het nemen van eigen verantwoordelijkheid. Weliswaar besteden organisaties veel geld en aandacht aan het beter in control zijn en leidt dit tot een duidelijkere verdeling van taken, rollen en verantwoordelijkheden, aan de andere kant is het hoogst onzeker of deze maatregelen tot een lager risicoprofiel leiden. Er zijn immers legio negatieve neveneffecten zoals juridisering en een risicomijdende cultuur. Wallage denkt dan ook dat Soft Controls, meer eigen verantwoordelijkheid en meer vertrouwen beter dan de hard controls fouten en fraude voorkomen. Hoewel de roep om meer toezicht als gevolg van de crisis steeds luider klinkt, acht hij het juist nu de tijd om een pleidooi te houden voor het gebruik van Soft Controls. Er is volgens hem immers behoefte aan nieuwe ideeën en idealen. Wanneer er in de top van een organisatie een ‘graai’ cultuur heerst zal de organisatie die daar onderzit zich niet direct verantwoordelijk voelen voor de continuïteit van deze organisatie. “Tone at the top” is een veel gehoorde en toepasselijke kreet. Maar ook hoe collega’s met elkaar omgaan is een key control in de cultuur van de organisatie. Samengevat betekend dit dat vooral vertrouwen in elkaar ervoor zorgt dat we meer verantwoordelijkheid durven te nemen. Dit vertrouwen kan alleen ontstaan wanneer werkgever en werknemer samen doelen stellen en deze door regel tot uitvoering brengen.
18 Wallage P., Soft Controls als antwoord op de crisis Soft Controls binnen de IT General Controls?
Pagina 23
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2.5
Soft Controls binnen de IT General Controls
Vanuit de definitie van Soft Controls van Roth (1997)19 zijn de volgende sociaalorganisatorische aspecten te benoemen die bepalend kunnen zijn voor een systeem van Soft Controls: -‐ -‐ -‐ -‐ -‐ -‐
Integriteit van de medewerker en ethische waarden Organisatorisch commitment t.o.v. competenties Management filosofie De stijl van leiding geven door het management Het onderkennen en begrijpen van risico’s door het management Communicatie
Deze aspecten kunnen worden toegepast als “Soft Controls” wanneer we het over IT General Controls hebben. Elke organisatie zal voor zichzelf moeten uitmaken hoe deze factoren worden getoetst en risico’s in deze worden afgedekt door maatregelen. Maar in algemene zin zouden de normen als uitgangssituatie van de “Soft Controls” er uit kunnen zien als deze tien voorbeelden: 1. Op de hoogte zijn van de doelen van de organisatie en deze onderschrijven 2. Zien dat hun leidinggevenden zowel binnen als buiten de organisatie de maatschappelijk aanvaarde kernwaarden van organisatie verkondigen. 3. Integer en in lijn met de kernwaarden van de organisatie en maatschappij handelen 4. De visie van hun leidinggevenden erkennen en hun stijl van leidinggeven als constructief ervaren 5. Op de hoogte zijn van interne richtlijnen en deze naar eer en geweten naleven 6. Zich thuis voelen in de cultuur van de organisatie 7. Op de hoogte gehouden worden van belangrijke ontwikkelingen in de organisatie en maatschappij 8. Hun verantwoordelijkheden kennen en hierop worden afgerekend 9. Zien dat het management een weloverwogen risicohouding heeft op korte en lange termijn 10. Op een constructieve manier met elkaar samenwerken 19 Roth, J., ‘A hard look at Soft Controls’, Internal Auditor, Institute of Internal Auditors, How to Evaluate Soft Controls
Soft Controls binnen de IT General Controls?
Pagina 24
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
De Soft Controls zijn bruikbaar om te toetsen binnen de IT General Controls. Een voorbeeld wordt hieronder gegeven aan de hand van de logische Toegangsbeveiliging: Norm: Logische toegang policies zijn gedocumenteerd Maatregel (hard) Logische toegang policies zijn vastgesteld, gedocumenteerd en worden jaarlijks beoordeeld volgens vaste procedures Maatregel (soft) Het management en de medewerkers zijn op de hoogte van het feit dat de vastgestelde logische toegang policies jaarlijks moeten worden beoordeeld, voeren deze werkzaamheden ook daadwerkelijk naar eer en geweten uit en kennen de redenen waarom dit belangrijk is. Op deze manier worden de Soft Controls gekoppeld aan de Harde Controls om het gedrag en het bewust zijn van de medewerkers en het management te toetsten. Dit is een manier wanneer de Soft Controls geïntegreerd worden in de huidige toetsing. Een andere manier zou kunnen zijn dat er een hoofdstuk “Gedrag en Organisatie” wordt opgenomen in de reguliere hoofdstukken van de IT General Controls. Dit zou gedaan kunnen worden door een vragenlijst op te stellen in het hoofdstuk “Gedrag en Organisatie”. Een vraag die hier in thuis zou horen is bijvoorbeeld: Hoe worden de medewerkers op de hoogte gehouden door de interne richtlijnen met betrekking tot de IT General Controls en hoe zorgt het management ervoor dat deze naar eer en geweten worden nageleefd? Door een extra hoofdstuk “Gedrag en Organisatie” op te nemen in de IT General waarin de “Soft Controls” worden getoetst kan een beter beeld ontstaan van het gedrag van de medewerkers en het management en de cultuur van de organisatie. In het hoofdstuk met daarin het gedrag uitgewerkt hebben we kunnen zien dat gedrag en cultuur extra risico’s opleveren. Wanneer we deze niet toetsen worden een aantal risico’s niet mee genomen in de audit en kunnen we stellen dat de audit niet volledig is.
Soft Controls binnen de IT General Controls?
Pagina 25
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2.6
Audit en Soft Controls
Wanneer vastgesteld wordt dat het verstandig is om Soft Controls op te nemen in de IT General Controls dan moeten deze Controls ook geaudit worden. Jim Roth wordt gezien als een guru op het gebied van Soft Controls. Hij hanteert een benadering waar de focus wordt gelegd op de effecten: bent u tevreden met …. Zo nee, wat zou daaraan moeten worden gedaan? Of; wat zijn de problemen / risico’s. Hoe komt dit en waar ligt dat aan? Roth hanteert de volgende stappen:20
Afbeelding 4
1. Het definiëren van de evaluatiecriteria ofwel van de gewenste effecten. 2. Het bevragen van de manager ‘how do you assure yourself that ...?’ en mogelijk van medewerkers ‘do other employees understand ...? . 3. Vervolgens dient de auditor hiervoor ‘evidence’ te verzamelen. 4. Pas daarna wordt gekeken naar het onderliggende proces. In de praktijk wordt deze benadering vaak ingevuld door de Soft Controls te definiëren in termen van de werking van harde controls: Harde controls:
Zachte controls:
Code of conduct
Internalisatie van de normen en waarden
Programma om verbetermogelijkheden te initiëren (bijvoorbeeld ideeënbus)
Management luistert echt en staat open voor verbetermogelijkheden
Compliance Handboek
Medewerkers begrijpen de richtlijnen en voelen zich verantwoordelijk
20
Roth, J., ‘A hard look at Soft Controls’, Internal Auditor, Institute of Internal Auditors, How to Evaluate Soft Controls
Soft Controls binnen de IT General Controls?
Pagina 26
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Roth geeft hierin aan dat deze aanpak vooral bruikbaar is wanneer het gaat om het definiëren van verbeterpunten. Om te komen tot een oordeel over de kwaliteit is deze aanpak minder van toepassing. Een andere manier om de Soft Controls te auditen is het opstellen van vragenlijsten, groepsinterviews en observaties om het gedrag en dus de cultuur, houding en motivatie te toetsen. Een voorbeeld van stellingen zou kunnen zijn: • • • • • • •
Er is een code of conduct, waarvan het management het belang aangeeft Senior management demonstreert sterke ethische waarden Onze targets zijn realistisch en haalbaar Onze medewerkers hebben de kennis en vaardigheden om hun taken goed uit te voeren Onze afdeling leert van haar fouten Medewerkers worden eerlijk behandeld Management stimuleert open communicatie
Wanneer we bovenstaande stellingen willen toepassen op de IT General Controls zullen er meer inhoudelijke normen moeten worden opgenomen. Een voorbeeld van een interne softe controle maatregel wordt hieronder gegeven. Interne controledoelstelling Logische beveiliging tools en technieken zijn geïmplementeerd en geconfigureerd om toegang te krijgen tot programma’s en data. Interne harde controle maatregel Gebruikers hebben een uniek eigen account en werken alleen onder hun eigen account naam. Interne softe controle maatregel De medewerkers zijn ervan overtuigd dat ze alleen moeten inloggen onder hun eigen account en dat gebruik van het account van een ander risico’s met zich mee brengt en begrijpen ook de risico’s wanneer ze dit niet doen. Wanneer we op deze manier een audit uitvoeren kunnen we niet alleen vaststellen dat een medewerker onder zijn eigen account werkt maar dat hij ook het nut hiervan inziet en het dus ook daadwerkelijk uitvoert. Soft Controls binnen de IT General Controls?
Pagina 27
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
2.7
Soft Controls en het kennisgebied van de IT Auditor
Om een beeld te kunnen geven wat het minimale kennisgebied van de IT Auditor is neem ik als voorbeeld de postdoctorale IT Audit opleiding aan de VU in Amsterdam en vergelijk ik dit met een specialisatie in het vakgebied van de studie psychologie. De studieprogramma’s21 22 laten zien dat het bestuderen van gedrag en de beïnvloeding hiervan in het vakgebied van de studie psychologie liggen. Binnen de IT Audit studie aan de VU in Amsterdam wordt weinig tot geen aandacht besteed aan de relatie gedrag en de organisatie. De kennis die de IT Auditor na zijn studie aan de VU in Amsterdam heeft zal dan ook puur zijn eigen ervaring en kunde moeten zijn die hij zich zelf eigen gemaakt heeft of opdoet via een andere studie. De IT Auditor zal na zijn studie goed kunnen beschrijven hoe de organisatie volgens ITIL ingericht dient te worden en welke harde beheersmaatregelen je moet testen om tot een volledig en juist oordeel te komen. Wanneer we het op deze manier beschouwen is er dus een tekort, wanneer je opgedane ervaring voor en na de opleiding buiten beschouwing laat, aan kennis op het gebied “Gedrag en Organisatie” wanneer een IT Auditor zijn studie heeft afgerond. De volgende vraag komt dan direct aan de orde: Welke kennis zou een IT Auditor moeten bezitten om “Gedrag en Organisatie” op een juiste manier te kunnen beoordelen? Een mogelijkheid hiertoe is het extra trainen van de IT Auditor in organisatiesociologie of een extra vak psychologie en gedrag in de IT Audit opleiding en ook door zijn werkervaring zal hij meer ervaring opdoen met gedrag en cultuur binnen organisaties. Door de instroom van auditors met andere dan bedrijfeconomische (voor)opleiding, is mijn verwachting dat er meer ervaring zal ontstaan in ‘feeling’ hebben met “Soft Controls”.
21
http://www.feweb.vu.nl/nl/opleidingen/postgraduate-‐opleidingen/it-‐audit-‐opleiding/programma/index.asp
22
http://www.vu.nl/nl/opleidingen/masteropleidingen/opleidingenoverzicht/p-‐r/psychologie/specialisaties-‐en-‐ afstudeerrichtingen/index.asp
Soft Controls binnen de IT General Controls?
Pagina 28
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
3. Onderzoek 3.1
Methodiek
Ik heb gekozen voor een enquête als onderzoeksmethode. De vragen zijn gesteld aan alle auditors (28) van mijn werkgever PALM. Dit om een beeld te verkrijgen hoe de Auditor binnen PALM denkt over “Soft Controls” en het inzetten van de “Soft Controls” binnen de Audit.
Vraag 1: Binnen de IT General Controls worden een aantal facetten getest. Welk facet geeft volgens u de meeste risico’s?
Doel: Soft Controls zijn belangrijk inzake de continuïteit van de organisatie en ik wil weten of medewerkers continuïteit als een groot risico facet zien. Vraag 2: Vindt u dat met de audit methode van nu alle risico’s met betrekking tot de IT General Controls worden afgedekt? Doel: Met deze vraag wil ik onderzoeken of medewerkers de huidige audit methode voldoende vinden en dus alle risico’s in kaart brengt. Vraag 3: Wat zijn volgens u de belangrijkste Soft Controls? Doel: Welke van de gegeven Soft Controls hebben de meeste invloed op de organisatie volgens de PALM auditors. Vraag 4: Wat is bepalend voor uw gedrag, betreffende het naleven van regels, binnen de organisatie? Doel: Mensen kunnen gecorrigeerd worden in hun gedrag en met deze vraag wil ik erachter komen welke manier het meest effectief is volgens de medewerkers.
Soft Controls binnen de IT General Controls?
Pagina 29
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Vraag 5: Soft Controls zijn belangrijk voor de continuïteit van een organisatie, dus is het inschatten en sturen van gedrag daarmee belangrijk geworden. Denkt u dat het toekomstig gedrag van een medewerker getoetst kan worden? Doel: Verwachten de auditors van PALM dat je kunt inschatten hoe een medewerker zich over een jaar zal gedragen of is er niets zo veranderlijk als de mens. Vraag 6: Waarom wordt het auditen van Soft Controls belangrijker? Doel: Wat is de reden dat we meer en meer de Soft Controls zullen gaan testen. Vraag 7: Voor welke gebieden zijn volgens u Soft Controls van belang? Doel: In welk gebied zitten de meeste risico’s inzake Soft Controls. Vraag 8: Wat zou procentueel het getal moeten zijn inzake Soft Controls binnen de interne audit van de PALM? Doel: In welke mate zouden Soft Controls geaudit moeten worden om aan te kunnen geven of de organisatie ‘in control’ is. Vraag 9: Vindt u dat Soft Controls een onderdeel moeten zijn van de IT General Controls? Doel: Vind de medewerker het verstandig / noodzakelijk om Soft Controls toe te voegen aan de IT General Controls. Vraag 10: Denkt u dat een IT Auditor in staat is om Soft Controls binnen de IT General Controls te auditen? Doel: Is de IT Auditor wel capabel genoeg om Soft Controls te auditen.
Soft Controls binnen de IT General Controls?
Pagina 30
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
3.2
Resultaten
Vraag 1: Binnen de IT General Controls worden een aantal facetten getest. Welk facet geeft volgens u de meeste risico’s?
43,9%
Continuïteit Fysieke toegangsbeveiliging
Logische toegangsbeveiliging Computer operations Geen idee
2,3% 35,6% 10,6% 7,6%
0%
25%
50%
Meeste risico
75%
100%
Totaal
Vraag 2: Vindt u dat met de audit methode van nu alle risico’s met betrekking tot de IT General Controls worden afgedekt?
4,8%
Ja Nee
38,1% 57,1%
Weet niet
0%
25%
50%
Risico’s afgedekt
75%
100%
Totaal
Soft Controls binnen de IT General Controls?
Pagina 31
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Vraag 3: Wat zijn volgens u de belangrijkste Soft Controls?
19%
Motivatie van de medewerker Cultuur binnen de organisatie
39,7%
De mate van integriteit Stijl van leidinggeven Geen idee
29,2% 12,1% 0% 0%
25%
50% Belangrijkheid
75%
100%
Totaal
Vraag 4: Wat is bepalend voor uw gedrag, betreffende het naleven van regels, binnen de organisatie? Management Salaris Represailles Opvoeding Geen idee
28,7% 0% 9,3% 58,1% 3,9%
0%
25%
50%
Meest bepalende
75%
100%
Totaal
Soft Controls binnen de IT General Controls?
Pagina 32
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Vraag 5: Soft Controls zijn belangrijk voor de continuïteit van een organisatie, dus is het inschatten en sturen van gedrag daarmee belangrijk geworden. Denkt u dat het toekomstig gedrag van een medewerker getoetst kan worden?
17,2%
Nee Ja, door assesments Ja, door audit Geen idee
40,9%
20,4% 21,5%
0%
25%
50% Mogelijkheid toetsing
75%
100%
Totaal
Vraag 6: Waarom wordt het auditen van Soft Controls belangrijker? Het beschermen van de reputatie van de organisatie De top van de organisatie vraagt erom Om fraude te ontdekken Het alleen auditen van Harde Controls is niet voldoende om risico’s af te dekken
Geen idee
24,2%
7,8%
6,3%
57,8%
3,9%
0%
25%
50% Meest belangrijke reden
75%
100%
Totaal
Soft Controls binnen de IT General Controls?
Pagina 33
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Vraag 7: Voor welke gebieden zijn volgens u Soft Controls van belang?
32,6%
Compliance Beveiliging Financiële vastlegging Human resource / Personeel
29% 14,9% 21,3% 2,3%
Geen idee
0%
25%
50%
Van belang
75%
100%
Totaal
Vraag 8: Wat zou procentueel het getal moeten zijn inzake Soft Controls binnen de interne audit van de PALM? 0 – 20 % 20 – 40 % 40 – 60 % 60 – 80 % 80 – 100 % Geen idee
19% 28,6% 14,3% 0% 0% 38,1%
0%
25%
50%
Soft Controls binnen audit
75%
100%
Totaal
Soft Controls binnen de IT General Controls?
Pagina 34
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Vraag 9: Vindt u dat Soft Controls een onderdeel moeten zijn van de IT General Controls?
Nee, hoeven in z’n geheel niet geaudit te worden Nee, laat dit door bijvoorbeeld HR doen Ja, maar minimaal Ja, als apart onderdeel van IT General Controls Geen idee
0%
9,2% 26,6% 55 %
9,2 %
0%
25%
50%
Soft Controls binnen IT GC
75%
100%
Totaal
Vraag 10: Denkt u dat een IT Auditor in staat is om Soft Controls binnen de IT General Controls te auditen? Nee, een IT auditor is geen psycholoog Ja Ja, maar hij / zij zal hiervoor Extra training nodig hebben Geen idee
4,8 % 9,5 % 76,2 % 9,5 %
0%
25%
50% In staat te auditen
75%
100%
Totaal
Soft Controls binnen de IT General Controls?
Pagina 35
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
3.3
Beschouwing resultaat onderzoek
Het onderzoek heeft plaatsgevonden onder de auditors van PALM. Ik ben me er van bewust dat dit niet kan gelden als een algemene mening onder auditors. PALM is door de grote van de organisatie, ruim 4500 medewerkers en 180 kantoren, een representatieve organisatie. Er werken 28 auditors verdeeld onder de Financial, IT en Operational audit. Continuïteit wordt zoals de verwachting was als eerste genoemd inzake het grootste risico binnen de organisatie. Opmerkelijk is dat ook de logische toegangsbeveiliging vaak wordt aangegeven. Mijn verklaring hiervoor is dat dit misbruik van toegang tot het computersysteem ervoor kan zorgen dat onbevoegden bij de financiële gegevens van de organisatie kunnen, wat gezien wordt als een duidelijk risico. Het grootste deel van de ondervraagden weet niet of de huidige methode van het testen alle risico’s afdekt met betrekking tot de IT General Controls. Bijna vijf procent geeft aan dat de risico’s voldoende worden afgedekt waardoor mijn conclusie is dat de huidige methode nog risico’s open laat die getest moeten worden. Cultuur scoort het hoogste in de mate van belangrijkheid inzake de Soft Controls en integriteit wordt als tweede genoemd. Integriteit is niet los te koppelen van misbruik en wordt in deze enquête belangrijk gevonden. Management en opvoeding worden bij de auditors zelf als belangrijkste factor genoemd voor het naleven van de regels. Represailles schijnen weinig invloed te hebben en salaris geeft in deze groep geen extra stimulans om de regels na te leven. De ondervraagden vinden dat vooral vooraf door een assessment moet worden getoetst of het gedrag van een aanstaande medewerker de continuïteit van de organisatie in gevaar zal brengen waar zeventien procent aangeeft dat het sturen of toetsen van een (aanstaande) medewerkers geen zin heeft. In een assessment toetst men het gedrag en persoonlijkheid van de medewerker en op deze manier probeert de organisatie een inschatting te maken hoe de aanstaande medewerk in verschillende situaties zal zich zal gedragen.
Soft Controls binnen de IT General Controls?
Pagina 36
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Op deze manier probeert de organisatie toekomstige risico’s door toedoen van deze aanstaande medewerker te voorkomen. Men is het met de stelling eens dat alleen het toetsen van Harde Controls niet voldoende is om alle risico’s af te dekken. In combinatie met andere vragen ondersteund dit mijn visie dat het testen van Soft Controls verstandig en wenselijk is. Alle aangegeven gebieden worden als belangrijk gezien met betrekking tot het toetsen van Soft Controls. Wat opvallend is dat de financiële verslaglegging als minst belangrijk wordt gezien. Gemiddeld genomen wordt tussen twintig en veertig procent gezien als het percentage Soft Controls binnen de generieke audit binnen PALM. Dit mag toch als een duidelijk signaal gezien worden met betrekking tot de inzet van Soft Controls. Meer dan tachtig procent geeft aan dat het noodzakelijk is om de Soft Controls toe te voegen aan de IT General Controls waarvan meer dan vijftig procent aangeeft dat het een apart onderdeel van de IT General Controls zou moeten zijn. Bijna alle ondervraagden zijn het er mee eens dat de IT Auditor op dit moment niet instaat is om de Soft Controls te testen of vindt dat er in ieder geval extra training nodig is. Conclusie Uit de enquête blijkt dat de auditors van PALM vinden dat er nog risico’s ongetoetst blijven bij de huidige testmethode en dat door het testen van Soft Controls de risico’s gereduceerd kan worden. De cultuur wordt gezien als belangrijke beheersmaatregel inzake de integriteit binnen de organisatie. Het gedrag van de medewerkers dient vooral vooraf, door assesments, getoetst te worden omdat men vermoedt dat beïnvloeding later moeilijk is. Het management (tone at the top) heeft volgens de ondervraagden een grote invloed op deze cultuur en het gedrag. De auditor van PALM geven ook dat zij vinden dat er nog training nodig is om de “Soft Controls” naar behoren te toetsen. Samengevat: De auditors van PALM vinden dat door het toevoegen van “Soft Controls” de risico’s beter worden getoetst, maar zij zijn voorts van mening dat er training noodzakelijk is om deze “Soft Controls” voldoende te kunnen beoordelen.
Soft Controls binnen de IT General Controls?
Pagina 37
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
4. DSB praktijk casus In deze casus wil ik tonen hoe het mogelijk is dat een accountant, volgens de wet, een goedkeurende verklaring kan afgeven terwijl er nog risico’s ongetoetst blijven welke achteraf desastreus voor de organisatie blijken te zijn. Voorts wil ik aantonen dat wanneer op “Soft Controls” getest wordt er een betere toetsing van de risico’s plaatsvindt. De DSB is in 1975 opgericht als Buro Frisia door zakenman Dirk Scheringa en zijn vrouw Baukje Scheringa-‐de Vries. Het bedrijf leverde hypothecaire en consumptieve leen-‐, spaar-‐, en verzekeringsproducten aan particulieren en had in Nederland een marktaandeel van circa 17% op het gebied van consumptief krediet. Op 24 december 2005 kreeg de DSB van De Nederlandsche Bank een bankvergunning. Anders dan bij veel andere banken kwam de winst bij de DSB vooral uit provisie-‐inkomsten, afkomstig van de verkoop van koopsommen en overlijdensrisicoverzekeringen die tegelijk met de hypothecaire en consumptieve leningen worden verkocht. Deze koppelverkoop is officieel verboden in Nederland; de consument moet opletten en de Autoriteit Financiële Markten moet er op toezien. Er gebeurde echter langere tijd niets en DSB kon doorgaan met deze verkoopmethode. Pas in 2009 kwam de methode uitgebreid in de media in opspraak. Door de maatschappelijke druk raakte DSB Bank in opspraak. Klanten (Afb. 5) zochten contact met de media nadat zij in de financiële problemen waren geraakt door een hypotheeklening bij DSB Bank. De koopsom werd aan de DSB betaald uit een verhoging van de hypothecaire lening. Het afsluiten van een (overlijdens)risicoverzekering naast een hypotheek is niet ongebruikelijk. Wel is het ongebruikelijk om deze verzekering in één keer te betalen. Er werd gesteld dat DSB tot wel 80% provisie in rekening bracht van de koopsom, hoewel DSB zelf stelde dat dit gemiddeld slechts 51% bedroeg en dat dit percentage voor de sector niet ongebruikelijk was.
Soft Controls binnen de IT General Controls?
Pagina 38
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
In Afbeelding 5 is te zien dat de rente inkomsten van de bank niet rendabel waren. De verliezen werden opgevangen door de behaalde winsten met door koppelverkoop verkochte koopsompolissen. Op deze polissen zat een provisie van 80%, welke ter discussie gesteld werd bij het bekend worden in de maatschappij en de politiek. Hierdoor namen de winsten uit dit product af en konden de verliezen van de rente inkomsten niet meer dekken. Deze verliezen tezamen met het opkomen van claims inzake de koopsompolissen zorgde ervoor dat er een liquiditeit probleem bij de bank ontstond. Geld
Maatschappelijke en politieke druk
Product inkomsten Rente inkomsten
Tijd
Afbeelding 5
Claims
In mei 2009 heeft de Autoriteit Financiële Markten (AFM) twee boetes opgelegd, omdat de DSB Bank onzorgvuldig was geweest bij het verstrekken van hypotheekleningen. Op 28 september 2009 vertelden oud-‐medewerkers van de DSB Bank in het tv-‐ programma NOVA dat de bank systematisch en op grote schaal zoveel en zo hoog mogelijke koopsompolissen verkocht, zonder de klant te waarschuwen voor de risico’s. De koopsompolissen werden via koppelverkoop aan de man gebracht: zonder koopsompolis kreeg de klant geen hypotheeklening. Van de (overbodige) koopsommen kwam minimaal 80% als provisie bij DSB terecht. Soft Controls binnen de IT General Controls?
Pagina 39
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Op 1 oktober 2009 om 7.45 uur deed Pieter Lakeman van de Stichting Hypotheekleed een oproep in het KRO-‐programma Goedemorgen Nederland. Hij riep alle rekeninghouders op om hun tegoeden bij de DSB Bank weg te halen: 'DSB moet failliet', aldus Lakeman. Tien dagen na de oproep van Lakeman bleken de problemen bij DSB aanzienlijk. In drie dagen hadden rekeninghouders 317 miljoen opgenomen, hetgeen was opgelopen tot 664 miljoen op het moment dat de rechtbank tot een noodregeling besloot. Op verzoek van de bewindvoerders heeft de rechtbank de DSB Bank op 19 oktober 2009 failliet verklaard. Had het failliet gaan van de bank voorkomen kunnen worden? Op deze vraag kan ik niet met zekerheid antwoord geven, maar een feit is dat Accountantskantoor Ernst & Young op 29 juni de jaarrekening 2008 van DSB Bank goedkeurde zonder verdere waarschuwingen of vraagtekens. Om er achter te komen wat de beweegredenen waren van Ernst & Young om een goedkeurende verklaring te geven kijken we naar wat de wet hierover voorschrijft: Artikel 2:393 lid 3 BW De accountant onderzoekt of de jaarrekening het in artikel 362 lid 1 vereiste inzicht geeft. Artikel 2:362 lid 1 BW De jaarrekening geeft volgens normen die in het maatschappelijk verkeer als aanvaardbaar worden beschouwd een zodanig inzicht dat een verantwoord oordeel kan worden gevormd omtrent het vermogen en het resultaat, alsmede voor zover de aard van een jaarrekening dat toelaat, omtrent de solvabiliteit en de liquiditeit van de rechtspersoon. Belangrijk in deze wettekst is het begrip “in het maatschappelijk verkeer als aanvaardbaar worden beschouwd”. De koopsompolissen die door de DSB met een provisie van minimaal 80% zijn verkocht, worden door de maatschappij niet als aanvaardbaar beschouwd waardoor gesuggereerd zou kunnen worden dat onterecht een goedkeurende verklaring is afgegeven.
Soft Controls binnen de IT General Controls?
Pagina 40
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Alleen heeft het “ maatschappelijk aanvaardbare beschouwen” alleen betrekking op de solvabiliteit en de liquiditeit van de rechtspersoon. Wat buiten beschouwing wordt gelaten is de continuïteit. Wanneer in de jaarrekening van 2008 inzake de continuïteit een oordeel had moeten worden gegeven dan zou het gedrag en de cultuur van de organisatie ook getoetst en gerapporteerd moeten worden. Het gedrag en de cultuur van een organisatie is zoals eerder geschreven in deze scriptie in een hoge mate afhankelijk van het beleid wat opgesteld is door de top van de organisatie. Het beleid van de DSB was er opgericht dat minimaal 80% provisie behaald werd door de koppelverkoop van koopsompolissen. Deze winsten zijn niet maatschappelijk aanvaard en gaven daarmee op de lange termijn risico’s in de continuïteit van de organisatie. Wanneer hadden deze risico’s hoogst waarschijnlijk wel onderkend kunnen worden en was er op tijd ingegrepen, zodat een faillissement afgewend kon worden?
Toezicht
Gap CEO / CFO
Stelsel van maatregelen
Soft Controls
Accountant Waardering accountant (professional judgment)
Uitvoerende controle werkzaamheden (vinken)
Hard Controls
Afbeelding 6 Afbeelding 6 toont het stelsel van maatregelen. Onder in de driehoek vinden de uitvoerende controle werkzaamheden plaats, het zogenaamde “vinken”. Op dit niveau worden in de huidige audit vooral de “Harde Controls” getoetst. In het midden van de driehoek vindt het “professional judgement” van de accountant plaats en toetsing van de “entity level controls”. Soft Controls binnen de IT General Controls?
Pagina 41
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Hier worden de conclusies getrokken en wordt er op basis van de vastgestelde toetsingsresultaten een accountantsverklaring geformuleerd. Al deze maatregelen zijn er op gericht om risico’s binnen de organisatie te beheersen. Wanneer we kijken naar de bovenkant van de driehoek, CEO & CFO, dan is daar een “Gap” ontstaan betreffende het toetsen van maatregelen. In hoofdstuk 2.5 zijn een aantal normen opgenomen die als uitgangssituatie van “Soft Controls” kunnen gelden. Wanneer we deze normen zouden toepassen op de situatie bij de DSB zouden norm 2, 3 en 9 signalen opgeleverd moeten hebben, te weten: 2. Zien dat hun leidinggevenden zowel binnen als buiten de organisatie de maatschappelijk aanvaarde kernwaarden van organisatie verkondigen. Het via koppelverkoop aan de man brengen van koopsompolissen waarop tenminste 80% als provisie bij de DSB terecht kwam is geen maatschappelijk aanvaarde kernwaarde. 3. Integer en in lijn met de kernwaarden van de organisatie en maatschappij handelen Geen hypothecaire lening verstrekken wanneer niet gelijktijdig een koopsompolis wordt afgesloten is geen integere kernwaarde in de maatschappij. 9. Zien dat het management een weloverwogen risicohouding heeft op korte en lange termijn
Koppel verkoop van koopsompolissen is niet geoorloofd in Nederland. Er werd niet ingegrepen door controlerende instanties maar als organisatie weet je dat dit geen verstandig beleid is en dat dit voor de langere termijn extra risico’s op gaat leveren. De maatschappij zal vroeg of laat niet akkoord gaan met het betalen van 80% provisie en dit zal zich tegen de organisatie keren.
Soft Controls binnen de IT General Controls?
Pagina 42
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Wanneer in Artikel 2:362 lid 1 BW naast solvabiliteit en de liquiditeit ook continuïteit was opgenomen, hadden resultaten inzake de toetsing van bovenstaande “Soft Controls” ook opgenomen moeten worden in de accountantsverklaring waardoor duidelijker zou zijn geworden welke risico’s de organisatie liep. Resumerend zijn in deze casus alleen “Harde Controls” getoetst waardoor de accountants verklaring aan alle minimale eisen voldeed die de wet voorschrijft. Maar dat alle risico’s die de DSB liep beschreven heeft moet ik bestrijden en mijn inziens gaat het hierbij een accountants verklaring wel degelijk om. Achteraf bleken door de heersende cultuur en het beleid binnen de organisatie risico’s te ontstaan die tot de ondergang van de organisatie hebben geleid. Waarschijnlijk was met het alleen toetsen van “Soft Controls” binnen de IT General Controls het faillissement van de DSB niet voorkomen maar in combinatie van het toetsten van “Soft Controls” door de gehele organisatie was deze kans aanzienlijk groter geweest of in ieder geval was eerder zichtbaar geworden dat door het onverantwoorde beleid risico’s zijn ontstaan die zo groot werden dat ze de ondergang van deze organisatie betekenden.
Soft Controls binnen de IT General Controls?
Pagina 43
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
5. Conclusie
5.1
In hoeverre is het mogelijk om ‘Soft Controls” te toetsen binnen de IT General Controls
IT General Controls gaan uit van het volgen van procedures en richtlijnen zoals bijvoorbeeld; computer operations, change management en logische toegangsbeveiliging. Onderzoeker J. Roth geeft aan dat het testen van alleen de harde controls niet alle risico’s afdekt en een in control statement kan geven. De onderzoeken van de heer Roth ‘A hard look at Soft Controls’ laten zien dat het auditen van bedrijfscultuur, vertrouwen en gedrag (Soft Controls) een completer beeld geeft van het gehele veld van risico’s. Wanneer ik in mijn persoonlijke werkomgeving kijk zijn de “Soft Controls” en het auditen hiervan een ondergeschoven kindje. Voornamelijk worden alleen controls beoordeeld waarvan de auditor harde feiten op tafel kan leggen. Mijn persoonlijke ervaring is dat raden van bestuur en audit commissies willen niet geconfronteerd worden met een onderbuik gevoel. Wanneer je alleen al de bibliografie van deze scriptie bekijkt is er veel literatuur geschreven en artikelen geplaatst welke een oordeel hebben over Soft Controls en de organisatie. Mijn beeld, door twintig jaar IT ervaring, is dat er op dit moment weinig “Soft Controls” worden geaudit binnen de Financial en IT auditing met namen in de top van de organisatie. Soft Controls meten de cultuur van de organisatie welke wordt gevormd door het gedrag van de medewerkers. Mijn conclusie betreffende gedrag na het onderzoek is: Door het voorspellen, meten en het beïnvloeden van onbewust gedrag kunnen ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt worden. Door het meten van “Integriteitmaatregelen” betreffende bewust gedrag kunnen ook de risico’s hieromtrent worden getoetst en dan dus zichtbaar gemaakt worden. Soft Controls binnen de IT General Controls?
Pagina 44
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Andersom geldt ook dat de cultuur het gedrag van medewerkers beïnvloed. Goed voorbeeld doet volgen is het credo. Tone at the top. Wanneer in de top van de organisatie de integriteit ver te zoeken is zal dit in de rest van de organisatie zijn weerslag hebben. Mijn conclusie betreffende cultuur in de organisatie na het onderzoek is: Door het meten van cultuur, bijvoorbeeld de communicatie, openheid management, omgang en bejegening van de medewerkers binnen een organisatie, kunnen risico’s betreffende bedrijfsprocessen beter getoetst worden.
Op de vraag of risico’s beter geaudit kunnen worden wanneer Soft Controls toegevoegd worden aan de IT General Controls is mijn antwoord “ja”.
Na mijn onderzoek ben ik tot de conclusie gekomen dat door het toevoegen van “Soft Controls” binnen de IT General Controls risico’s beter onderkend worden. Voorwaarde hieraan is dat de Soft Controls binnen de gehele organisatie doorgevoerd moeten om effectief en dan dus meetbaar te kunnen zijn. Het toevoegen van Soft Controls kan meer inzicht in de risico’s geven en betere garanties geven betreffende de continuïteit van de werking van de IT General Controls. Er zal verder onderzoek gedaan moeten worden naar de manier hoe en door wie. Mijn voorstel hierin zou zijn om een passage ‘Gedrag en Organisatie’ op te nemen in de IT General Controls. In deze passage zal op zo’n manier op gedrag en cultuur geaudit moeten worden dat er een beeld ontstaat welke extra risico’s de organisatie loopt. In de enquête hebben de auditor van PALM antwoord gegeven op de vraag of zij in staat zijn om “Soft Controls” te toetsen?
De auditors van PALM vinden dat door het toevoegen van “Soft Controls” de risico’s beter worden getoetst, maar zij zijn voorts van mening dat er training noodzakelijk is om deze “Soft Controls” voldoende te kunnen beoordelen. Mijn persoonlijke mening hierin is dat wanneer de opleiding tot IT Auditor aan de VU meer aandacht aan de audit van “Soft Controls” zou besteden ik nog beter risico’s zou kunnen toetsen.
Soft Controls binnen de IT General Controls?
Pagina 45
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
5.2
Blik vooruit: De toevoeging ‘Gedrag en Organisatie’ in de IT General Controls
Het gedrag van medewerkers binnen een organisatie kent veel afhankelijkheden. Het grootste gedeelte van het gedrag wordt bepaald door ervaringen uit de jeugd maar externe factoren kunnen het gedrag in het hier en nu beïnvloeden. Wanneer we vooruit kijken naar de audit van de IT General Controls verwacht ik dat men meer en meer gebruik zal gaan maken van tools en applicaties om aan te tonen of een organisatie ‘in control’ is. Systemen sluiten steeds meer en beter op elkaar aan en wanneer we kijken naar ERP applicaties kunnen we stellen dat het online auditen niet ver weg meer is. Om een audit uit te voeren hoeft de IT Auditor dan niet meer naar de klant maar kan hij door in te loggen op zijn audit tool de status van de IT General Controls live uitlezen. Gedrag daarentegen is niet of lastig via een tool te auditen. De IT Auditor zal zich moeten voorbereiden op een toekomst waarin waarschijnlijk Soft Controls een belangrijk onderdeel worden van zijn werkzaamheden. In een artikel in de Automatisering Gids23 was al te lezen dat de Rijksuniversiteit van Groningen een nieuwe opleiding start inzake IT Auditing: De Rijksuniversiteit Groningen komt met een nieuwe opleiding over IT-‐auditing. De studie draait onder andere om risicomanagement, compliance en it-‐governance. De opleider wil zich vooral richten op de manier waarop in de toekomst met IT-‐auditing wordt omgegaan. Volgens de universiteit gaat het in de ict de laatste jaren minder om operationeel ondernemen en is strategie belangrijker geworden. De IT-‐auditing, die de organisatie van de automatisering in de gaten houdt, verandert daardoor ook. ‘Het vakgebied IT-‐audit zal een toekomstgericht karakter krijgen, waarbij assurance, audit en assessment integraal benaderd worden', aldus professor en hoogleraar information management Hans Wortmann die daarmee onder andere doelt op de betrouwbaarheid van informatiesystemen. Volgens de hoogleraar houdt de IT-‐auditor van de toekomst zich vooral bezighouden met effectiviteit en bedrijfs-‐ en beheerprocessen.
De IT audit risico’s worden uitgebreid met de factor “Gedrag” en zo ook de IT General Controls dus zal ook de aanpak moeten veranderen door een IT Auditor die zich bewust en opgeleid is om gedrag te kunnen beheersen door middel van maatregelen. 23
Automatisering Gids 19 juni 2009
Soft Controls binnen de IT General Controls?
Pagina 46
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
5.3
Suggesties voor vervolgonderzoek
Een suggestie voor een vervolgonderzoek zou een onderzoek kunnen zijn naar de concrete beheersmaatregelen om ‘Gedrag en Organisatie’ binnen de IT General Controls vorm te geven. Welke maatregelen zorgen ervoor dat gedragsrisico’s afnemen of beheersbaar worden. Een resultaat zou een control framework moeten zijn waarmee de IT Auditor uit de voeten kan om een standaard audit uit te voeren en als resultaat kan opnemen in zijn dossier. De Audit van ‘Gedrag en Organisatie’ binnen de IT General Controls wordt hierdoor tastbaar en is gebaseerd op feiten.
Soft Controls binnen de IT General Controls?
Pagina 47
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
5.4
Persoonlijke reflectie en terugblik op de scriptie
Deze scriptie heeft mij een betere visie op “Soft Controls” gebracht. Niet alleen dat we er slim aan doen om ze op te nemen in de IT General Controls maar vooral het feit dat het meten van gedrag een belangrijke factor is in de continuïteit van een organisatie. Aan het begin verwachtte ik dat deze scriptie vooral zou gaan over fraude maar gaandeweg kwam ik tot de conclusie dat dit maar een klein gedeelte inzake Soft Controls bestrijkt. Nooit heb ik me zo verdiept in gedrag en cultuur in combinatie met risico’s, waardoor ik beter ben gaan beseffen welke risico’s buiten de “Harde Controls” nog meer aanwezig zijn. Waar ik net begon te wennen aan de reguliere audit komen er bij het auditen van “Soft Controls” nog een heel scala aan controls bij waardoor het auditen nog intensiever wordt. Gedrag is divers en kan grillig zijn waardoor toetsen van controls binnen de IT voor IT Auditors een kunst op zich wordt. Door dit onderzoek ben ik me er ook meer bewust van geworden dat een integere en oprechte cultuur waar medewerkers zich veilig en verbonden voelen van levensbelang is voor een organisatie.
Soft Controls binnen de IT General Controls?
Pagina 48
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Bibliografie
Tiggelaar, B. (2005) Dromen, durven, doen, Spectrum Landsberg, M. (1999) De TAO van motivatie, inspireer uzelf en anderen, Academic Services Da Veiga, Eloff J.H.P. (2009) A Framework and Assessment Instrument for Information Security Culture, Computers & Security 2009 Robbins, S., Judge T. (2008) Gedrag in organisaties Soons, T., Soft Controls -‐ http://www.alterlogic.nl/publicaties/SoftControls.pdf Stremmelaar M.T.L., de Heus R.S. (2000) Auditen van Soft Controls Otten, J.H.M., (2001) Alignment audit, Operational auditor 2001 Schein, E. H. (2004) Organization culture & leadership Swinkels, W. (2003) Tone at the top Bos, P, de Korte R., (2008) Soft Controls: wie het begrijpt heeft niet goed nagedacht, Audit magazine nr. 4 2008 Wallage P. (2009) Soft Controls als antwoord op de crisis, profnews Hartog, P.H., Leijtens H. (1999) Social Auditing: de harde invloed van soft controls, De Operational Auditor, nr. 2 1999 Roth, J., ‘A hard look at Soft Controls’, Het audit magazine nr. 4 2009 Vink, H.J.A, Kaptein M. (2008) Soft Controls bij de rijksoverheid: een onder-‐ zoek naar de oorzaak van rechtmatigheidsfouten, Maandblad voor Accountancy en Bedrijfseconomie nr. 6 (2008) Hofstede, G.J, Hofstede G. (2005) Allemaal andersdenkenden Ouchi, W. G. (1981) Theory Z
Soft Controls binnen de IT General Controls?
Pagina 49
Postgraduate IT Audit thesis -‐ J.N. van Aalsum
Aardema, H., Puts, H. (2008) De harde werking van soft controls TPC Hoofdartikel juni 2008 Rijneveld, T., Willems, S., Belang van Soft Controls voor privacy PWC Spotlight uitgave 3 2009 Campbell, I., Relying upon the organisation’s Ethical Environment http://www.facilitatedcontrols.com/internal-‐auditing/softcrtl.shtml Arts, F. (2009) Soft controls? Ik zie ze niet! CIAD Blog november 2009 http://ciadblog.wordpress.com/2009/11/25/soft-‐controls-‐ik-‐zie-‐ze-‐niet/ Klijn E. (2010) De Harde Realiteit van Soft Controls Publicatiehttp://www.amsterdambusinessschool.nl/emia/nieuws.cfm/9941C176-‐ 1321-‐B0BE-‐A418E00E17B9D73C Loon B. (2010) Onderzoek Soft Controls bij interne accountantsdiensten KPMG Advisory 2010 Tiggelaar B. (2005) Dromen durfen doen Hartog, P., Korte, R. (2003) Soft Controls, object van de auditor Artikel Auditing.nl 2003 IJsbergmodel van Bergenhenegouwen, Gids voor Personeelsmanagement jaargang. 85 nr. 1 -‐ 2006
Soft Controls binnen de IT General Controls?
Pagina 50