NOREA/VERA Update ICT & Control 28-29 november 2007
Voortgezette Educatie Registeraccountants
Kundig Adviseren is een Kuns...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 2
Wie ben ik?
• ...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 3
Inleiding, aan...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 4
Model (CHBr)
S...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 5
Inleiding, aan...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 6
Typologie van ...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 7
Janus (I)
Frin...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 8
Janus (II)
• V...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 9
Natuurlijk adv...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 10
Kennis
• Op d...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 11
Kennis en ove...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 12
Typologie van...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 13
Keuzes; binai...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 14
Keuzes; selec...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 15
Keuzes; selec...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 16
Keuzes; explo...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 17
Tussen Keuzes...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 18
Scenario’s; t...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 19
Voorbeeld: Ki...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 20
Voorbeeld: Ki...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 21
Scenario’s; t...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 22
Scenario’s; t...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 23
Voorbeeld: AB...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 24
Voorbeeld: Sh...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 25
Inleiding, aa...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 26
Kwaliteit, cr...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 27
Kwaliteit, cr...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 28
Kwaliteit, cr...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 29
Kwaliteit, cr...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 30
Principes, ru...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 31
Principes, ru...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 32
Principes, ru...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 33
Principles; r...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 34
Samenvattend
...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 35
Afsluitend
• ...
NOREA/VERA Update ICT & Control 28-29 november 2007
Update on ICT & Controle(e) 2007: Role based auditing 36
Het Einde der...
Upcoming SlideShare
Loading in …5
×

NOREA Update congres 2007 incl notes

275 views
170 views

Published on

Published in: Business, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
275
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

NOREA Update congres 2007 incl notes

  1. 1. NOREA/VERA Update ICT & Control 28-29 november 2007 Voortgezette Educatie Registeraccountants Kundig Adviseren is een Kunst(je) Jurgen van der Vlugt Noordbeek IT Audit Jurgen@Noordbeek.com (Sessie B1) Deze notes pages zijn slechts indicaties van de te bespreken of, al of niet per ongeluk en/of door tijdgebrek, overgeslagen onderwerpen, kanttekeningen en gerelateerde onderwerpen Deze presentatie bevat dus te veel stof, en ook veels te weinig! Alle (opbouwende) commentaren en met name aanvullingen, worden zeer gaarne ontvangen op bovenstaand mailadres. Of bel 06-20664823 of mail voor een in-house discussie…
  2. 2. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 2 Wie ben ik? • KPMG: • WinNT • Y2K • ABN AMRO: • Blueprint consolidatie (business, non-business) • Outsourcing • Security integration & cybercrime • Noordbeek • Mgt.control & InfoSec • Ooit begonnen bij KPMG, vanuit de techniek (audit en advies) naar Y2K (advies en beetje audit) o.a. in Griekenland en Caraïbisch gebied • ABN AMRO: Group Audit Corporate Centre • Blueprint: Alle IT consolideren (voorzover niet AAB-specifiek) • Outsourcing: De grote deals, qua control en inhoud • Security integration, cybercrime: Structuren doordenken, neerzetten, uitrollen • Noordbeek: Full scope audit en advies • De plaatjes zijn werklocaties van het Y2K-‘auditwerk’ (echt waar) • Mocht uw organisatie advies nodig hebben op soortgelijke locaties, dan houd ik me ten zeerste aanbevolen en offer me wel weer op
  3. 3. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 3 Inleiding, aanleiding, agenda • NOREA: IT-audit = ( IT-audit + Advies ) • IT-audit → Assurance → Uitgekauwd • IT-Audit → Advies …? • Typologie van advies • Kwaliteit, criteria • Principes, rules? • NB RE’s en NOREA staan voor ‘Al hetgeene dat op de kwaliteit van de informatieverwerking eenige betrekking heeft’ • 1e bullet wegens de recursie (privé-hobby). Ondanks alle SOx- en andere reguleringsontwikkelingen (ethisch perverse ontwikkelingen maar dat terzijde) • 2e bullet: Hoewel, uitgekauwd… In ieder geval qua procedurele aspecten. De inhoudelijk-kwalitatieve aspecten daarentegen … En onverlet het stukje Natuurlijke Adviesfunctie dat vrijwel altijd van boord valt, blijft alleen de aanbevelingscomponent in de Bevinding open. Zie verderop. • De adviescomponent is wegens ongeregeldheid tot nu toe (te) onderbelicht. Maar als RE’s (en RA’s) en zeker als NOREA zou je toch willen dat je kwaliteitsgaranties kan bieden, ook op dat terrein • En oh ja: Mobieltjes gaarne op stil.
  4. 4. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 4 Model (CHBr) Statuten ‘Vereniging’ • HHR • Tucht • Toelating • … • Etc. Reglement Gedragscode Uitvoeringsrichtlijnen e.g. Opdrachtverwerving, Dossiervorming, Rapportage, PE Inhoudsrichtlijnen e.g. Raamwerk Assurance, Richtlijn Oordelen Attest (Assertion - based) Direct reporting Assurance In business Advies ? ? ? Reglement Beroepsbeoefening ? Handreikingen; Studierapporten, De EDP-Auditor • Ad-hoc Commissie Herziening Beroepregels (CHBr): • Code of Ethics (Reglement Gedragscode) ingevoerd dus • Losse eindjes in GBRE et al • Behoefte aan nieuwe structuur, architectuur • Bovenstaande is nog niet ‘officieel’; met name het rechterstuk is nog redelijk blanco, terra incarta en nog niet in beton gegoten • Maar het Advies-blok is dus juist wél onderwerp van deze presentatie. • In Business is nog vager; deels van later orde in de andere parallelsessies in deze stream. En het is het toch niet te veel gevraagd het Reglement Gedragscode te hanteren ..?
  5. 5. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 5 Inleiding, aanleiding, agenda • NOREA: IT-audit = ( IT-audit + Advies ) • IT-audit → Assurance → Uitgekauwd • IT-Audit → Advies …? • Typologie van advies • Kwaliteit, criteria • Principes, rules? NB al het volgende ten minste deels speculatief • Deze presentatie heeft 3 delen • Eerst over typologie van advies. Enige initiële analyse leert dat het waarschijnlijk daaruit is dat de meest hanteerbare richtlijnen voor (aan)sturing richting levering van (procedureel en inhoudelijk) deugdelijk advies zullen volgen • Of althans – kwaliteitskenmerken en criteria, handvatten voor richtlijnen… • Tot slot komen met referentie aan de typologie regel-achtige voorstellen aan bod • Nota bene: Pretenties heb ik wel, maar niet dat het volgende verhaal overal zinvol en perfect is. Nogmaals, commentaar is welkom
  6. 6. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 6 Typologie van advies • Janus; onzekerheidsreductie ..? • Natuurlijk advies en Aanbevelingen • Kennis en over de Toekomst • Keuzes; Binair, selectief (gesloten of open), exploratief • Scenario’s en schetsen van mogelijkheden Trechters, trendbreuken en tectoniek
  7. 7. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 7 Janus (I) Fringilla Coelebs: gewone vink (Herseninhoud 0,8gr) Audire Tele-videre • Naar links het audire, horen, hetgeen een relatief passieve bezigheid is en als auw-duur! klinkt • Naar rechts het (tele)videre, (ver)zien, relatief actief? • Daarbij aansluitend op persoonlijke noot dat televidere verslavend werkt
  8. 8. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 8 Janus (II) • Voorspellen is moeilijk, • Zeker als het de toekomst betreft • Feiten (?) • Objectief vaststellen ?? • Herhaalbaar (?) • Zekerheid (?) • Juistheid stelling • Algoritmes (!) • Waarheid bestaat niet • Mogelijkheden • Willekeurige ‘waarneming’ (?) • Niet herhaalbaar (?) • Zekerheid (!) • Wat de toekomst brengt • Keuzes • Toekomst is niet onzeker • Er zijn nog wel meer ‘typische’ verschillen aan te geven: • Links onder andere dat het soort werk risico-mijdende, menstype B introverte types trekt, wat die niet (her)kent dat vreet ‘ie niet • Rechts daarentegen de thrill seeker menstype-A, ‘open-minded’ en extravert, attent op weak signals; soms ook rijp voor buzzword bingo
  9. 9. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 9 Natuurlijk advies en Aanbevelingen • ‘Natuurlijke adviesfunctie’: bemoeials • Bevindingen Criteria Norm Condition -/- Vaststelling Risk Tekort Cause ⇑ Oorzaak Recommendation Aanbeveling: Tekort weg? • De natuurlijke adviesfunctie vervalt vrijwel altijd tot buiten de opdracht vallende bemoeizucht, afgewezen • Het stramien voor bevindingen is zo oud als … • Alle mensen zijn sterfelijk • Socrates is een mens • Ergo … • De oorzaak wordt te vaak vergeten of veel te dicht bij huis gezocht • Daardoor zal de aanbeveling: ‘Werk het raffeltje weg’ onhaalbaar blijken, en/of irrelevant. De oorzaak van het raffeltje moet worden aangepakt anders gaat het morgen weer fout. En de oorzaak en werkelijke oplossing zijn soms veel omvangrijker dan de scope van de bevinding toelaat. • Bovendien: Wie is verantwoordelijk oftewel aanspreekbaar voor de implementatie van de oplossing? Zelden degene waar het raffeltje werd aangetroffen. • Bovendien: Wie heeft tijd om bij ieder raffeltje de ‘root cause’ na te speuren en een haalbare oplossing uit te stippelen ..!? • Niet de sterfelijkheid van Socrates is een probleem, maar de sterfelijkheid van mensen. Ga dat eerst maar eens oplossen… gewenst … ?
  10. 10. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 10 Kennis • Op de filosofische toer: • Waarheid versus werkelijkheid (Plato’s grot) • Epistemologie • Formele Theorie (Gödel?), Kuhn/Lakatos • Deductie versus inductie • Vreest niet als u deze niet allemaal kunt dromen. Dit is slechts buzzword bingo met filosofische pretenties [mislukt, geef ik graag toe] • Maar een discussie over verleden en toekomst en ‘feiten’ komt onvermijdelijk op vragen als: Hoeveel zekerheid kunnen we bereiken? Is de zekerheid binnen mijn hoofd wel terecht, en heeft die betrekking op het beeld dat ik in mijn hoofd heb of heeft die betrekking op de ‘werkelijkheid’, whatever dat is? • Epistemologie = kennistheorie • Eerste relevante is het eindstuk: Formele Theorie. Een theorie is in formele zin een handvol axioma’s en zogenaamde ‘productieregels’ die op basis van de axioma’s afgeleide ‘feiten’ produceren, en op basis daarvan weer volgende, verderweg liggende. • Wetenschappelijke doorbraken volgen uit het voor een keertje niet hanteren van een axioma, of de omkering hanteren. Of iets andere productieregels. Dán springen we ineens van de klassieke natuurkunde naar de quantummechanica enzo. • Kuhn en Lakatos lieten zien dat zo’n formele theorie z’n eigen wereldje en groupthink geeft, en dat een ander clubje net zo goed gelijk kan hebben, binnen hun eigen denkraam. • Gödel stelde (later bewezen!) dat iedere theorie uitspraken kan opleveren (die dus waar zouden moeten zijn) die in tegenspraak zijn met andere uitspraken binnen de theorie (die ook waar moeten zijn). • Oftewel: Kunnen we ooit zeker zijn? Zelfs over het verleden niet! En komen we wellicht tot doorbraakadviezen door de (vaak impliciete) regels te breken …? • Tweede relevante is deductie versus inductie. Werken we niet al te veel met “Best” practices !?
  11. 11. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 11 Kennis en over de Toekomst • Kennis • Van de adviseur, niet-herleidbaar, van de vorige klanten van de adviseur, van ‘leveranciers’ van ‘oplossingen’, van de markt (benchmarks, enquêterapporten) • Onbewust/bewust, expliciet/impliciet • Van gisteren en van vandaag. En van morgen? • 200 brainstormmethoden • Schrödinger’s kat en multipele universums • Kennis (vervolg), waar haal je die vandaan? • Bijvoorbeeld van het expliciteren van impliciete kennis, door brainstormen • Kennis gaat over feiten (axioma’s) en methoden (productieregels), hoe verder de toekomst in vanaf ‘nu’, hoe onzekerder dat de oude modellen nog houden • Brainstormen alleen al kan op 200 (iets) verschillende manieren • En er zijn nog zo veel meer methoden van ‘kenniselicitatie’ • Of je gelijk hebt over de toekomst weet je dan pas en dan kan je niet meer terug, bovendien kan je, door je actie vandaag, de toekomst beïnvloeden • … en nog een filosofisch nootje tot slot, als disclaimer in het vooruit: De werkelijkheid hád zich kunnen ontwikkelen zoals het de adviseur goed uit zou zijn gekomen …?
  12. 12. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 12 Typologie van advies • Janus; onzekerheidsreductie ..? • Natuurlijk advies en Aanbevelingen • Kennis en over de Toekomst • Keuzes; Binair, selectief (gesloten of open), exploratief • Scenario’s en schetsen van mogelijkheden Trechters, trendbreuken en tectoniek • Nu dan het echte werk. Een tweedeling.
  13. 13. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 13 Keuzes; binair • Binair: Iets doen of niet • Existentie of niet van 1 ‘oplossing’ • Advies: Bijdragen inzicht • Kwaliteit van de ‘business case’ • Consequenties • Externaliteiten • Mitigerende acties • Direct, k.t., l.t. • Auditing (?) • Dit is de basisvorm • Het advies zal de vorm krijgen van een ‘volledigheidscheck op de business case’ • Neigt naar auditing ..? • Is overigens niet risicoloos: Wat als de adviseur wat heeft gemist?
  14. 14. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 14 Keuzes; selectief (gesloten) • ‘Beste’ oplossing • Pakketselectie (?) • Soms in wezen (o.b.v. criteria) géén oplossing, of criteria leiden tot tegenstrijdige rangvolgordes • Investeringsportefeuille • Projectenportfeuille (incl. potentiële) • Universum begrensd (bekend) • Doel begrensd • Nog steeds: een gesloten vraag, een liefst eenduidig antwoord • Het gaat ook om advisering richting ‘beste’ alternatief • Vele praktische varianten. Onder andere richting (audit en) advies bij procurement-zaken; zie Rob Christiaanse in een andere parallelsessie • Maar we moeten (?) niet meegaan met de neiging om bij nader inzien sommige criteriawegingen wat minder strikt te hanteren zodat er uitkomt wat wenselijk is • Ook al kan het zijn dat geen enkele oplossing op alle showstoppers voldoet… • Het universum waaruit kan worden gekozen, is misschien wel begrensd maar het kan ook van onze zin afhangen hoe ver we zoeken. Is risicovol; misschien is de perfecte (punt)oplossing er wel maar buiten beeld • Anderzijds, Google is uw vriend • Denk als methode ook nog eens aan die goeie ouwe SWOT-analyse. Mits (!) goed toegepast, nog altijd bruikbaar…
  15. 15. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 15 Keuzes; selectief (open) • Begrensd! Doel • Onbegrensd universum (onbekend) • Criteria? • Wat kan • Overigens glijdende schaal met vorige • ‘Wat kunnen we doen?’ • 1 probleem/doel, in principe onbekend c.q. onbegrensd aantal oplossingen • Vaak zijn de criteria ook onbekend, want het is nog onduidelijk • Wat we willen – doel is oplossen van een probleem, welke richting de oplossing ligt en/of hoe we daar komen, is nog onbekend en • Wat we kunnen – de inventaris van oplossingsrichtingen • Hetgeen natuurlijk tot het risico leidt dat de criteria al een voorkeur krijgen ingebouwd • Zoals gezegd bij vorige (gesloten selectief kiezen): Het ligt natuurlijk aan de energie (het budget? ;-]) hoe ver, lang en goed wordt gezocht dus in hoeverre voorbij ‘de standaard riedel oplossingen’ wordt gekeken
  16. 16. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 16 Keuzes; exploratief • Wat kan, bestaat • Wat werkt? • O.a. test/proef, pilot! • Onbekend universum • Onbekend doel • De meest fuzzy soort zoekopdracht • ‘Kijk eens wat de mogelijkheden zijn op het gebied van xyz’ • ‘Wat moeten we met abc’ • ‘Laten we eens brainstormen over …’ ..? • Testen en proeven horen in dit rijtje, om te bezien of en hoe iets werkt en wat de uitkomsten en (neven)effecten kunnen zijn • ‘Pilot’ dus • Het universum aan mogelijkheden is onbekend, de feitelijke invulling van de werkzaamheden is ‘dus’ ad hoc • Het doel is ook niet zuiver gesteld, of op een hoger abstractieniveau dan de werkzaamheden (‘ervaring opdoen met’) • Maar er moet overigens wel een besluit worden genomen; men kan dus in ieder geval niet hetzelfde blijven doen
  17. 17. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 17 Tussen Keuzes en Scenario’s • Voorgaande: • Zelf doen • Intern gericht • Keuze maken/besluiten • Uitloop in externaliteiten • Volgende: • Omgevinggericht • Impact van buiten op ‘binnen’wereld • Bijsturing: nieuwe of alsnog bestaande doelen • Trendwatching Intern ExternBinair Open Invloed • Als het gaat om keuzes, is dat een interne aangelegenheid, wellicht met effecten buiten de eigen scope; jammer dan (externaliteiten = collateral damage, op anderen afgewenteld) • Scenario’s betreffen meer het voorzien van de omgeving, welke impact die gaat hebben, en of daarop zal moeten worden ingespeeld – passief altijd want niets doen is ook iets doen ;-] of wellicht actief de mogelijkheden/kansen gaan benutten • … eigenlijk zouden beide zaken om en om moeten gebeuren, in een kringloop van scenario-analyse, leidend tot keuzes inzake eventuele nieuwe doelen, aanpassing aan de wegen om naar de doelen (oud of nieuw) te komen, die (doen) uitvoeren, waarna opnieuw scenario’s kunnen worden afgezocht naar nieuwe mogelijkheden • Denk aan Blaise Pascal: Het verleden en het heden zijn onze middelen, alleen de toekomst is ons doel • Trendwatching staat op de ranglijst van maatschappelijk aanzien ex aequo met zowel ‘accountant’ als ‘paaldanser in een homoclub’ (zelf zou ik ‘accountant’ niet zo hoog inschatten), is dus een eerzaam beroep ;-] en mits u spreker inhuurt, geen kwakzalverij (No offense voor paaldansers of die clubbezoekers!)
  18. 18. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 18 Scenario’s; trechters • Kokervisie, het vertrouwen van Been There, Done That, meer van hetzelfde • Simpele trechter: vertrouwen op beheerste verandering • Exponentiële trechter: vertrouwen op non-lineariteit • Onderzoeken hoe het Was, vooral en beetje Is, om te bepalen hoe het Wordt? • De kokervisie onderschat de veranderlijkheid van de werkelijk-heid, en is een complexiteitsreductie die zo ver gaat dat wel de eigen geestelijke beperking tegemoet wordt gekomen, maar ook het model van de werkelijkheid onbruikbaar ver versimpeld is (Einstein: Je moet alles zo simpel mogelijk maken, maar niet simpeler, zelfs hij onderkende dat niet alles echt simpel te maken is!) • De simpele trechter is al iets beter • De exponentiële trechter gaat er vanuit dat ook niet-lineaire ontwikkelingen mogelijk zijn (en waarom zouden we die uitsluiten in the first place?) • Maar alledrie gaan uit van algoritmische voortzetting van huidige ontwikkelingen (of nul-ontwikkelingen) en/of feedback-loops die (model- )afwijkingen onderdrukken. • Beperkt de visie wel heel erg. Als de meerderheid altijd gelijk krijgt en bepaalt, wat is dan het nut van minderheid-zijn? • Dit denken kan, voor de korte termijn en als (bereiken van) stabiliteit het doel is. Denken dat nooit iets wezenlijk verandert, levert dinosauriërs en het altijd net te laat zijn door achter anderen, innovators, aan te sjokken. • Komt vaak voor! Benchmarkrapporten, opvolgen van enquête-resultaten anyone? Dat is de waarheid van gisteren; werkt die morgen nog..? (I.e., het is bijna alleen terugkijken, niet vooruit)
  19. 19. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 19 Voorbeeld: Kies de huidige stand (Waarvoor dank) • Twee Magic QuadrantsTM als voorbeeld (bron: Gartner) • De samenstelling is wellicht niet heel transparant, maar de gidsende functie is duidelijk, en veelgebruikt. Niet geheel ten onrechte. • Maar let op: de completeness of vision wil niet zeggen dat de diensten die we willen, voor ons exact op maat zijn. Misschien is onze behoefte juist wel een bijziende, gefocuste aanbieder…? • En constante verschuivingen geven aan: Het gaat om de stand van vandaag/gisteren.
  20. 20. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 20 Voorbeeld: Kies wat zich heeft bewezen (Waarvoor dank) • Ander voorbeeld: de Gartner hype cycleTM? Die al wat meer kijkt naar de toekomst. • Omineus is het ontbreken van de ‘omvang’ van de markten. En voor de klant-organisaties wordt al helemaal niet aangegeven hoe groot de impact kan zijn, intern en/of op naar buiten geleverde producten of diensten en/of –marktomvang. • Als het gaat om trechters, gaat het ook vooral om het rechterstuk: Wat is volwassen genoeg om te implementeren? • En hier duidelijk ook: Zijn onze concurrenten ons niet voor, in de zin dat we de ‘competitive advantage’ niet meer kunnen halen? • Altijd afwachten of het wat wordt, betekent ook altijd genoegen moeten nemen met de kruimels van optimalisatie (kostenefficiëntie).
  21. 21. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 21 Scenario’s; trendbreuken • Reeds zichtbare/identificeerbare inputs, algoritme-tot-effecten onbekend • Economies of scale • Innovatie • Momenten van creatieve destructie (Schumpeter) Opportunity Threat ‘Innovatie’ • Vrijwel altijd is het iets dat al zichtbaar was voor wie scherp ziet, dat een trendbreuk veroorzaakt. Maar hoe de uitwerking is, en waar het kritieke punt ligt, is vaak pas achteraf te bepalen. Wij trendwatchers zitten in de bioscoop en schreeuwen het uit bij iedere haai die we ‘zien’… (Cassandra, Boy Cried ‘Wolf’ etc.) ? • Sommige ‘doorbraken’ worden veroorzaakt doordat een partij (als eerste) de economies of scale ziet en weet uit te buiten • Dit kan als de economies of scale niet constant zijn; de eerste die een bepaald (adoptie)niveau weet te bereiken, demarreert daarna • Of er is echt sprake van een innovator, first mover of een early adoptor van andermans idee • Denk aan ‘network effects’: Een run-away kettingreactie van adoptie • (De term ‘innovatie’ hoort soms bij incrementele ontwikkeling, soms is de term beperkt tot ‘het ‘doorbraak’-concept.) • Meestal is er wel sprake van creatieve destructie; degenen die niet opletten, worden opgegeten.
  22. 22. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 22 Scenario’s; tectoniek • Grote, maatschappelijke ontwikkelingen (Megatrends), lange termijn! • Slecht kwantificeerbaar, hypothetisch karakter • ‘Tectoniek’ als term voor grote ontwikkelingen die de hele maatschappij veranderen • Voorbeelden: Boekdrukkunst, stoommachine, explosiemotor, lucht- en ruimtevaart, ‘Internet’. • Door de eeuwen heen exponentiële versnelling van de sneeuwballen, zeker als we kleinere schaal in acht nemen. Denk ook aan een term als Tipping Point • De visgraat is een nogal opgerekte vorm van een Ishikawa-diagram, normaliter op kleinere scope gebruikt voor analyse van oorzaken en een gevolg. Kan met deeloorzaken etc. • De visgraat is wat uit beeld geraakt voor scenario-analyse; terecht want wie weet de oorzaken en effecten goed te benoemen? • Beter is om meer vrijheid te nemen. • Voorbeeld: Van ‘computer’ via ‘chip’, ‘PC’ en ‘netwerk’ naar ‘Internet’ • Ander voorbeeld: Radiohead verkoopt ‘CD’ In Rainbows online, wat de gek ervoor geeft. Dat sluit platenlabels, CD-branders, winkels uit. Consument is goekoper uit, Radiohead krijgt 5x zo veel in royalties. Alleen de middlemen, tsja. • Ook de trend richting ontkenning van klassieke copyrights is er zo een. • Kleiner voorbeeld: DVDs die tegelijk met de bioscooprelease uitkomen • Andere voorbeelden: Zie sommige zaken op Gartner’s hype cycle (voorin) • Voor ons relevant voorbeeld: IT Doesn’t Matter (Nick Carr) • Vaak pas achteraf te herkennen ;-[
  23. 23. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 23 Voorbeeld: ABN AMRO Government Bureaucracy Free society Of individuals Collectivity Individualism • Scenario-analyse uit het verleden geeft geen garantie voor de toekomst… • Maar wel bruikbaar in vele situaties • Van ‘alle’ nieuws-gebeurtenissen wordt bepaald in welke richting die wijzen; per kwartaal kan een Stand van Zaken worden gerapporteerd • Moeilijkheid blijft natuurlijk: Wat zijn de (Informatievoorzienings- en IT- )consequenties voor de korte termijn, waar moet op worden ingezet?
  24. 24. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 24 Voorbeeld: Shell • Shell is van oudsher hét voorbeeld van scenario-analyse voor strategische planning. • Dit is de trilemmatriangle. • Zie www.shell.com/static/aboutshell-en/downloads/ our_strategy/shell_global_scenarios/exsum_23052005.pdf (1 regel): Zeer de moeite waard! • Bedenk wel weer: We zullen als IT-auditorsadviseurs wel altijd moeten kunnen downdrillen naar informatievoorziening-relevante consequenties. Intellectuele stretch!
  25. 25. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 25 Inleiding, aanleiding, agenda • NOREA: IT-audit = ( IT-audit + Advies ) • IT-audit → Assurance → Uitgekauwd • IT-Audit → Advies …? • Typologie van advies • Kwaliteit, criteria • Principes, rules?
  26. 26. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 26 Kwaliteit, criteria (I) • Kwaliteit: Value for money • Criteria, aspecten? • Inhoudelijk ↔ Proces-, procedureel • Inhoudelijk: Ingewikkeld • “Procedureel”: Redelijk klassiek verwachtingsmanagement
  27. 27. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 27 Kwaliteit, criteria (II) • Inhoudelijke kwaliteit: • Objectiviteit, herhaalbaarheid • Passendheid, Haalbaarheid, implementeerbaarheid? • Passend bij opdracht, organisatiestructuur, informatie- en IT-architectuur en -infrastructuur • Mandaat, control span, budget • Maturity / managementcompetentie, change-ervaring • Stretch van het advies (tijd, scope) • Rijpheid van de aanbevolen ‘technologie’ • Zie ook parallelsessie René Matthijsse • Objectiviteit heeft betrekking op het object, het advies! • Objectiviteit betekent met name: herhaalbaarheid, door anderen, bedoeld om het advies van Zwarte Magie i.e. impliciete kennis te ontdoen oftewel expliciet te maken hoe & waarmee het advies totstandkwam • Het subject, de adviseur, hoeft niet objectief te zijn ..! Als de adviseur maar duidelijk maakt wat haar/zijn voorkeuren zijn • Passendheid is helder. Kan ook zijn: Breken met regels omdat anders geen nuttige oplossing voorhanden is • Haalbaarheid van de ‘oplossing’ is een belangrijke, niet alleen wegens commercieel belang (return customers) • De klant(contact)persoon moet wel het mandaat, de span of control en het budget hebben om het advies te implementeren, of ermee de boer op te gaan, anders is het zinloos advies • Managementcompetentie en change-ervaring idem, anders wordt het advies verkeerd geïmplementeerd en dan is dat de schuld van het advies … en van de adviseur • De stretch hangt hiermee samen, deze moet wel samenvallen met de horizon waarop de klant acteert anders is het ofwel te hoog ingeschoten (en wordt het advies als dictaat naar beneden gedouwd), ofwel de klant mag z’n plan niet afmaken (praktijk) • Met name als we over IT adviseren: Kan de technologie wel worden geïmplementeerd, nu al? Is die voldoende uitgekristalliseerd en/of is het geen dead-endontwikkeling? • René Matthijsse zal toelichten hoe adviezen aankomen… • Implementeerbaarheid is ook: Wat doen we morgen om te werken aan het 20-jarenplan ..?
  28. 28. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 28 Kwaliteit, criteria (III) • Relevantie, ‘volledigheid’ • Toekomstvastheid, robuustheid • Context, bandbreedte van geldigheid • Voortschrijdend inzicht? Houdbaarheid van het advies • Contingencies, contingenties • Hoeveel marge ten opzichte van ander advies? • Hardheid advies v.v. flexibiliteit • Strategy lock-in, vendor lock-in? • Toegevoegde waarde = verrassingseffect? • Nieuwe inzichten v.v. vastgeroeste ideeën • Productieregels of axioma’s bijgesteld/losgelaten • Relevantie gaat over de mate waarin het advies de vraag beantwoordt • Volledigheid gaat over de mate waarin alle ‘relevante’ omgevings- (f)actoren etc. zijn meegenomen • Toekomstvastheid en robuustheid geven enige beperking aan de hardheid van het advies. Dit moet zodanig worden geformuleerd, dat het advies (enigszins) bestand is tegen een toekomst die zich anders aan ons voordoet dan wij hadden gedacht en geëist • Dit geldt zowel in de breedte (hoe variabel is het advies al of niet interpreteerbaar, zodat niet op slag het advies verkeerd wordt) als in de lengte (als de toekomst zich iets anders ontwikkelt, is dat tijdelijk en komt het nog goed of moeten we gaan bijstellen?) • Ook moet rekening worden gehouden met nog on-begonnen mega-trends, die over x jaar plots impact beginnen te krijgen. En contingen-cies, mega- trendbreuken die we in potentie al kunnen voorzien • Mede aan te geven: Wat moet/mag/kan veranderen aan de omgeving opdat we een ander advies als beste zouden moeten geven? • Anderzijds, de slag om de arm moet niet te ruim worden want dan raken we niks meer • En toegevoegde waarde moet, zelfs als we de klant shockeren ;-] • Juist het verrassende inzicht is vaak het meest waardevol. De klant moet mee in de heli voor de blik.
  29. 29. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 29 Kwaliteit, criteria (IV) • Procedureel: • Vooraf: Integriteit van de adviseur, kennis, objectiviteit, resultaat • Tijdens: Zichtbaarheid, transparantie, logging • Na: Toetsing, afhandeling • Integriteit van de adviseur: Heeft ook betrekking op ethiek en rekening houden met de consequenties voor de stakeholders ..! • Kennis terzake: Vaststellen dat de adviseur wat kan toevoegen • Objectiviteit: Geen stokpaardjes, niet al te zeer in herhaling vallen (Powerpointcopier), rekening houden (ten minste transparant zijn!) met eigen belang (financieel, maatschappelijke positie en reputatie) van de adviseur • Resultaat: Of het een dik rapport wordt, een memo met plaatjes of alleen plaatjes • Zichtbaarheid: Aanwezig zijn, laten zien dat aanbevolen methode wordt gevolgd • Transparantie: Zeker ten aanzien van de bronnen en (mate van) gebruik van methodes, data, oplossingen • Logging: Traditionele dossierstukken (incl Transparantie-items) • Toetsing: Met name t.a.v. haalbaarheid en zo • Afhandeling: Traditioneel
  30. 30. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 30 Principes, rules? (I) • Wel advies na audit, geen audit na advies • Verwachtingsmanagement: • Welk type advies • Scope en beperkingen/randvoorwaarden (inhoudelijk) • Afhankelijkheden • Rorty: ‘vocabulaires’; deconstructivisme • Doel • Keuze/scenario-universum • Veronderstellingen, geldigheidsmarges • De eerste is in wezen een omspannende, heeft geen betrekking op advies-sec: De adviseur zal voorkomen in een situatie te worden geplaatst waarin haar/hem, of enige auditor in een afhankelijkheidsrelatie met haar/hem, wordt gevraagd een audit uit te voeren over enig object waarvan te beoordelen kwaliteitsaspecten mogelijk zijn beïnvloed door een eerder advies van haar/hem, of van enige auditor in een afhankelijkheidsrelatie met haar/hem • De adviseur zal in de opdrachtaanvaarding tot uitdrukking brengen welke vorm van advies zal worden beoogd te worden uitgebracht • De adviseur zal de reikwijdte van het advies overwegen en in het dossier notitie maken van de overwegingen, en zal deze in de opdrachtaanvaarding weergeven • De adviseur zal de beperkingen en randvoorwaarden waarmee de werkzaamheden zullen worden en zijn uitgevoerd in de opdrachtaanvaarding en in het resultaat aangeven • De adviseur zal aangeven welke aannames, vooroordelen en voorafgaande verwachtingen, zoals in ex-ante bekende mogelijke oplossingen en oplossingsrichtingen, verwerkt c.q. als uitsluiting van andere alternatieven, in objectiviteit niet noodzakelijk van toepassing zijn en/of met welke daarvan in het uitgebrachte advies geen rekening is gehouden • De adviseur zal bij de rapportage over de opdrachtuitvoering de randvoorwaarden en beperkingen aangeven, in het bijzonder de overwegingen ten aanzien van de voorwaarden in context en in de uit het advies mogelijk volgende acties, die de toepasselijkheid van het advies beïnvloeden • De adviseur zal bij opdrachtaanvaarding aansprakelijkheid voor/door opvolging van het advies uitsluiten • Richard Rorty: Contingency, Irony and Solidarity (1989): Paradigma’s zijn altijd ‘vocabulaires’ die onderling niet met elkaar kunnen communiceren, zelfs niet met argumenten – die zijn toch alleen maar geldig binnen de eigen vocabulaire • http://www.elsewhere.org/pomo : Uw eigen post-modernistische deconstructivistische pamflet- generator… “If one examines cultural postpatriarchialist theory, one is faced with a choice: either reject conceptual desublimation or conclude that consciousness is capable of significance. The premise of Marxism holds that discourse comes from the collective unconscious. “ enz.enz.
  31. 31. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 31 Principes, rules? (II) • Procedureel: Trans pa ran tie • Gevolgde proces, modellen, methoden • Zoek-effort, kennisbronnen • Uitingsvorm (brainstorm, klankbord, rapport, plannen, presenteren) • Advies sec • Acties (eventueel) • (Zie volgende pagina over ethiek, vooringenomenheid etc.) • De adviseur zal verslag doen van … <vul in uit de sheet en kleur de plaatjes → enige oefening in Powerpoint is nooit weg> • De adviseur draagt zorg voor werkwijze en vastlegging van werkzaamheden en werkresultaten op een wijze dat, naar redelijkheid en billijkheid, ingericht en toepasselijke, kwaliteitstoezicht en –controle, mogelijk is en niet op voorhand wordt verhinderd
  32. 32. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 32 Principes, rules (III) • Ethiek • De adviseur zal de reglementen inzake opdrachtaanvaarding, dossiervorming en rapportage in acht nemen (default) • Wellicht uit de Code / Reglement Gedragsregels expliciet te maken, bijvoorbeeld: De adviseur zal in de opstelling en het uitbrengen van advies overwegen welke belangen van alle stakeholders worden beïnvloed, in welke mate dat gebeurt, noodzakelijkerwijs of mogelijk, en of de effecten van deze mogelijke invloeden binnen algemeen geldende ethische en culturele normen aanvaardbaar zijn. Dit voorbeeld om te voorkomen dat (hyper)rationeel juiste adviezen worden gegeven die leiden tot ongewenste consequenties. Denk aan de banaliteit van het kwaad, of aan het vlak voor Kerst ontslaan van 20% van de medewerkers en we zien later wel wie het betreft • Integriteit is kaassie. Loyaliteit, vooringenomenheid, belangen: Het is niet zó erg; als mar vooraf en achteraf duidelijk wordt gemaakt aan de opdrachtgever wat die belangen zijn en in welke mate deze het advies hebben beïnvloed • Ook: De adviseur zal aangeven welk belang hij mogelijk heeft bij aanvaarding van het advies. Dus als het advies werving inhoudt voor een vervolgopdracht, dat expliciet aangeven… • Zie verder ROA Raad van Organisatie-Adviesbureaus / OoA Orde van Organisatiekundigen en Adviseurs
  33. 33. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 33 Principles; rules? (IV) • Kan dat intern, of alleen extern? • Intern: • Kennis van organisatie → Haalbaarheid ↑ • Middenin dagelijkse waan → Frisheid ↓ • Jan van Praat • Extern: •• AdviesAdvies • In het thema van de Update: Kan een interne auditor/adviseur wel adviseren, of kan alleen een externe dat? • De interne kent weliswaar zijn organisatie door en door, met verbeterde haalbaarheid van de adviezen als mogelijk gevolg – mogelijk! want het ontbreekt nogal eens aan de nadruk daarop • Door middenin de strijd van alledag te staan, verliest de interne natuurlijk aan frisheid. Ook de frisheid van de helikopterblik kan wel eens teruglopen • Desalniettemin zal een flink deel van de ‘richtlijnen’ ook van toepassing zijn op ‘CCRCR’; denk bijvoorbeeld eens aan haalbaarheid en stakeholders- effecten (w.o.: spreken we wel de juiste verantwoordelijke aan met een Bevinding/afkeuring/aanzet tot actie? Wie heeft het juiste mandaat …?) • Jan van Praat zal hier in een andere parallelsessie op ingaan • Oh en er is natuurlijk het (grote) risico dat een interne auditor z’n eigen advies tegenkomt, met een groot risico dat zij/hij dan het eigen advies zou moeten auditen !? • Omdat bij advisering juist vaak de frisse blik van buiten wordt gevraagd – waarom kwamen de interne goede bedoelingen niet door …? – is een externe nodig • Het externe advies is daarom dus goud waard (motto: declareren is vooruit zien)
  34. 34. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 34 Samenvattend • Audit en Assurance: ‘Boring’ • Janus • Advies is wél leuk • Keuzes versus scenario’s • Kwaliteit, criteria • Principes, rules • Nodig • Nuttig want → • U wilde een toelichting op een samenvatting van een lang verhaal met uitgebreide toelichting…?
  35. 35. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 35 Afsluitend • Niemand hoeft kunstjes, iedereen kunst • Kunst is kundig adviseren • Weest een kundig kunstenaar • Kundig wil zeggen: Ken de regels • Weet welke regels te breken, welke niet/nooit ..! • Weest origineel, met mate of onmatig veel
  36. 36. NOREA/VERA Update ICT & Control 28-29 november 2007 Update on ICT & Controle(e) 2007: Role based auditing 36 Het Einde der (spreek)Tijden Is Nabij (Voorspelling of advies?) Vragen …? Zijn er nog vragen over het gepresenteerde? Zijn er nog vragen over het niet-gepresenteerde? Ik zal vandaag en morgen (fysiek) aanwezig zijn; vragen en discussie zijn zeer welkom. Contactgegevens: Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Rijndijk 235 / 209B 2394 CD Hazerswoude Tel 071-3416911 Tel 06-20664823

×