31 januari 2008 10:51

Bereid de vooruitgang voor

Interne en externe controles zijn in trek. Zo zijn er steeds meer IT audits. Na zo’n audit zijn er vaak heel wat IT-verantwoordelijken die zich gepakt voelen. De resultaten van de audit kunnen hard aankomen, zeker als de ontvanger zich op voorhand eigenlijk geen rekenschap had gegeven van de omvang en draagwijdte van de doorlichting.

Meestal worden de vaststellingen en aanbevelingen van een audit eerst besproken, nog tijdens de opdracht, alvorens ze in een formeel rapport worden neergeschreven. Vervolgens worden ze verstuurd naar de opdrachtgever en de algemene directie.

Als het de bedoeling is dat de audit een voordeel oplevert voor de organisatie en de aandacht trekt op echte, nuttige verbeteringen, dan moeten de personen die de auditors opvangen zich goed kunnen voorbereiden. Zo vermijden we dat de audit uitloopt op onterechte, haastige conclusies, of op aanbevelingen waar de onderneming weinig mee kan aanvangen. Wat dan weer kan leiden tot het verspillen van de schaarse middelen aan verbeteringen die niet prioritair zijn.

De aanbevelingen kunnen erg uiteenlopen in draagwijdte. De meest belangrijke zijn aanbevelingen die een gebrek aan interne controle vaststellen, met onaanvaardbare risico’s tot gevolg. Andere draaien eerder rond procesverbetering. Om van de audit een succes te maken, moeten de IT-verantwoordelijken er tijd aan besteden op voorhand en tijdens de missie, en moeten ze ook op lange termijn werken.

Tijdens de missie moeten ze een verbindingspersoon aanwijzen die ervoor zorgt dat de auditoren de nodige informatie tijdig ontvangen. Die persoon zal ook alle vaststellingen van de auditors opvragen zo gauw die er zijn. Van elke vaststelling en aanbeveling wordt de impact op de organisatie bestudeerd. De mogelijke vaststellingen moeten aandachtig worden opgevolgd zodat nog tijdens de audit objectieve en gestructureerde argumenten naar voren kunnen worden gebracht. De aanbevelingen van de auditors moeten aan een kosten-batenanalyse worden onderworpen. Aanbevelingen die een negatief effect zouden hebben, moeten worden gecounterd.

Op voorhand moet ook heel wat gebeuren. Er moet worden geëvalueerd of de juiste best practices worden toegepast en of de interne controles volstaan in het domein dat aan de audit onderworpen wordt. Zo kan al op voorhand een verbetering worden voorgesteld en, te gepasten tijde, aan de auditoren voorgelegd. Dat kan best gebeuren zonder de haast en emotie die we te vaak aantreffen tijdens auditopdrachten.

Op langere termijn moeten IT-verantwoordelijken regelmatig de risico’s opmeten en regelmatig verbeteringen voorstellen die de maturiteit van de belangrijke processen verhogen. Daartoe moeten de nodige projecten worden opgestart. Heel wat IT-verantwoordelijken kiezen voor een referentiekader zoals dat ook door veel auditoren wordt gehanteerd, zoals ISO 27001 of Cobit. Dat heeft het voordeel dat ze dan dezelfde taal spreken als hun gesprekspartners, en dat de reële omvang van de audit voor iedereen duidelijk is.

Natuurlijk is het geen doel op zich om ervoor te zorgen dat een audit tot zo weinig mogelijk vaststellingen leidt. Maar wie zelf werkt aan de verbetering van zijn processen, die behoudt het vaderschap van die verbeteringen en blijft dus meester van die processen.

Georges Ataya is hoogleraar aan de Solvay Business School, internationaal vicepresident van het IT Governance Institute en afgevaardigd bestuurder van ICT Control SA-NV.