De eerste beginselen van Business & IT Alignment zijn al 43 jaar oud. Doelstelling hierbij is IT aan te laten sluiten bij de behoeften, richting en ontwikkelingen in de business om daarmee zoveel mogelijk toegevoegde waarde te kunnen leveren.
De doelstelling van IT audit is met name om te komen tot een oordeel over de kwaliteit van de beheersmaatregelen die nodig zijn om de risico’s in de IT omgeving beheersing. Het beheersen van de IT risico’s is de verantwoordelijkheid van de IT afdeling en maakt tevens onderdeel uit van IT Governance.
Wederzijds vertrouwen is ver te zoeken
Logischerwijs zijn IT en IT audit dus eigenlijk bezig met hetzelfde. De één alleen vanuit de rol van degene die het moet implementeren en de ander om een onafhankelijk oordeel te geven over de werking[1] ervan. In de praktijk lijkt het echter wel dat beide partijen denken dat ze naar verschillende doelstellingen werken en heerst er veel onbegrip. Dat is natuurlijk ook wel zo voor wat betreft kosten, klanttevredenheid en digitalisering i.p.v. beheersing, maar niet voor IT risico’s.
IT risico beheer zit door de IT doelstellingen (bijv. kostenreductie, productiviteitsverbetering) echter niet direct in het DNA van de IT’er, IT audit heeft daarnaast zijn eigen problemen. Het komt bijvoorbeeld nog erg vaak voor dat IT audit spreekt in haar eigen vaktaal. Ook worden nog te vaak IT objecten geaudit door IT auditors die het object niet echt begrijpen. Tenslotte ligt de druk voor opleveren van evidence vaak bij IT, maar de auditor blijft onduidelijk wanneer er een resultaat wordt opgeleverd en is onduidelijk over wat wordt gedaan met evidence dat geconstateerde bevindingen tegenspreekt. Tenslotte wordt er regelmatig strijdt gezocht door gebruikte ‘ondervragings’-technieken i.p.v. dat er aan de relatie wordt gewerkt. Dit is op zich vreemd, want beide hebben een verbeterbeteringdoelstelling alleen dan met een andere achtergrond.
Verbeteren van de Alignment
Zoals hiervoor beschreven valt er veel te verbeteren aan de samenwerking tussen IT en IT Audit. Een naar onze mening goede wijze om hieraan te werken is door middel van de vertrouwensformule.
De vertrouwensformule geeft aan dat om het vertrouwen te verhogen de “teller” zo hoog mogelijk moet zijn en de “noemer” zo laag mogelijk. Dat betekent dat er 4 draaiknoppen voor IT auditors zijn om het vertrouwen te verhogen. (In het boek “de IT Kersensensatie” wordt ingegaan op de vertrouwensformule voor IT om de relatie tussen de Business en IT te verbeteren)
- IT Auditors met de juiste expertise
Zorg dat de IT auditor met de juiste kennis gebruikt wordt om een object te onderzoeken. Junior auditors inzetten op audits waar ze geen kennis en ervaring in hebben is mogelijk, maar begeleidt ze in de contacten met de auditee en bij de totstandkoming en afstemming van de bevindingen.
- Wees betrouwbaar in woord en daad
Leg niet alleen de verantwoordelijkheid voor het tijdig opleveren van evidence bij de auditee. Wees zelf ook duidelijk over wat de ander van de IT auditor kan verwachten zowel qua afspraken maar ook wat er opgeleverd wordt. Geef als IT auditor ook duidelijk aan wat gebeurt met tegenargumenten of evidence op geconstateerde bevindingen.
- Werk aan de relatie
Een IT’er heeft net als een IT auditor een rol in een organisatie en worden betaald om hun werk te doen. Ook al lijken de belangen tegenstrijdig tussen een auditee en een auditor, uiteindelijk zijn de doelstellingen hetzelfde. Daarnaast is een instelling van “in de basis is iemand goed” beter dan dat we elkaar wederzijds prutsers vinden.
- Probeer je in te leven
Probeer als IT auditor je in te leven in de IT’er. Meestal zijn ze niet bewust bezig de boel te verzieken maar hebben zijn andere doelstellingen waar ze op worden afgerekend dan het beheersen van IT risico’s. Daarnaast is vastleggen, formaliseren en bureaucratie niet iets waar de gemiddelde IT’er heel gelukkig van wordt.
Bovenstaande betekent dat de IT auditor naast vakspecialist ook IT specialist moet zijn. Tevens zijn sociaal communicatieve vaardigheden essentieel en is naast IQ dus ook EQ belangrijk om je te kunnen verplaatsen in de auditee.
Geïnteresseerd om meer te weten hoe je kunt werken aan de Alignment tussen IT en IT Audit? neem contact op via info@i-inc.nl
[1] Onder werking wordt verstaan: het kunnen achteraf aantonen dat de taak, proces etc. is uitgevoerd conform de norm.