IT & Operations

Starreveld doet hedendaagse risico's tekort

12 januari 2017

Een van de pijlers van de opleiding voor controllers, accountants en IT-auditors is het vak Bestuurlijke Informatieverzorging en Administratieve Organisatie. Binnen educatieve instellingen is dit vak grotendeels gebaseerd op de klassieke theorie van Starreveld. Die theorie is ontwikkeld in de zestiger en zeventiger jaren. Maar in de afgelopen halve eeuw hebben zich ingrijpende wijzigingen voorgedaan in de IT, en daarmee in de besturing en beheersing van organisaties.

TIAS zag zijn traditionele aanpak in de afgelopen jaren steeds minder aanslaan en besloot een andere richting te kiezen met het vak Business Process Control, gegeven door vijf nieuwe docenten uit het bedrijfsleven, die alle three lines of defence vertegenwoordigen. We spraken met drie van hen.

San Emmen trapt af: ‘De basis voor Bestuurlijke Informatieverzorging en Administratieve Organisatie is in de jaren zestig en zeventig grotendeels gelegd door Starreveld. In die tijd was het voor accountants belangrijk om de volledigheid van opbrengstverantwoording en de juistheid van de kostenregistratie te kunnen aantonen binnen een organisatie. Maar de wereld is veranderd. Waar het vroeger meer ging om de beweging van goederen, gaat het nu meer om de verwerking van transacties op allerlei gebieden.ʼ Piet Poos vult aan: ‘Toen Starreveld zijn theorie ontwikkelde, was Nederland nog een agrarisch-industriële samenleving. Intussen is de wereld te complex om alleen vanuit die ene dimensie te beschrijven. We kijken daarom vanuit een aantal dimensies naar de wereld en maken nog steeds een typering van een organisatie, al is het een complexere. De waarde van het typologiemodel van Starreveld zit in een voorgedefinieerde risicoanalyse: bij een bepaalde typologie hoort een aantal standaardrisicoʼs. Wij vinden dat door de beperktheid van het model een onvolledige risicoanalyse plaatsvindt. Daarom gaat onze aanpak veel meer uit van een analyse van de bedrijfsprocessen waarbij we, in plaats van een voorgedefinieerde risicoanalyse per typologie, meteen uitgaan van vooraf gedefinieerde risicoʼs per bedrijfsproces.ʼ

Wim Pauw: ‘Starreveld gaat heel erg uit van controle en tegengesteld belang. In veel bedrijven kijken we tegenwoordig naar risicomanagement en naar het feit dat risicobeheersing wat kan opleveren.ʼ Poos onderschrijft dit: ‘Daar komt bij dat ik vind dat IT-auditors in een andere omgeving acteren dan financial auditors. De klassieke theorie is te veel van accountants, voor accountants. Ik wil dichter bij de behoefte van het management van een organisatie komen. En er moet meer aandacht zijn voor IT.ʼ Emmen reageert: ‘De klassieke theorie houdt bijvoorbeeld nauwelijks rekening met IT-systemen, waaraan je een deel van de controles kunt overlaten. Maar de komst van IT betekent ook nieuwe risicoʼs. Steeds meer processen vinden immers geautomatiseerd plaats. In sommige processen komt er nauwelijks nog een mens aan te pas, alleen als het mis dreigt te gaan.ʼ

‘Maar niet alleen de IT-component is nieuw ten opzichte van de klassieke theorie. ‘Wat tegenwoordig steeds meer telt, is reputatierisico. Een organisatie valt niet om van bijvoorbeeld 7 procent omzetverlies, maar als de Raad van Bestuur van een bank een aantal verkeerde besluiten neemt, kan dat betekenen dat het hele bedrijf omvalt,ʼ vertelt Pauw.

Poos: ‘Als auditor moet je heel snel tot een analyse kunnen komen. Waar gaat het over en wat is het probleem? We hebben het vak nu zo ingericht dat je goed kunt analyseren wat er speelt en welke eisen je eraan kunt stellen. Het snel en adequaat kunnen uitvoeren van die analyse is de kern van het vak.ʼ

Ander beheerssysteem

Volgens de nieuwe insteek leren de studenten te beginnen met een analyse van een organisatie. Hoe ziet die organisatie op hoofdlijnen eruit? Wat zijn de belangrijkste stakeholders bij de inrichting van processen? Poos: ‘Klanten en leveranciers zijn de stakeholders die de grootste impact hebben op de inrichting van de bedrijfsprocessen, daarom kijken we specifiek naar de relaties met hen. Als je steeds andere leveranciers en andere klanten hebt, moet je een ander beheerssysteem hebben dan als je raamcontracten met vaste leveranciers of vaste klanten hebt.ʼ De volgende stap is waar de belangrijkste beheersmaatregelen gelegd moeten gaan worden. ‘Hoe stromen waarden en transacties door een organisatie heen? Ongeacht of dat nu goederen bij een retailer, betaalopdrachten bij een bank of claims bij een verzekeraar zijn. Voor ons maakt het niet uit wat voor soort transacties het zijn, maar juist hoe ze door een organisatie heenlopen,ʼ legt Poos uit. Vervolgens is de vraag hoe er gerapporteerd wordt. Emmen: ‘Met de juiste rapportages kan het management de juiste beslissingen nemen op het juiste moment. Maar ook kan het daarmee verantwoording afleggen van hoe de organisatie werkt.ʼ

In de analyse wordt nadrukkelijk gekeken naar de compositie en samenhang van de bedrijfsprocessen. De stakeholderanalyse en operationsanalyse zijn daarbij de bouwstenen om de risicoʼs binnen die processen te vinden. Poos: ‘Welke eisen stellen we aan de inrichting binnen de organisatie om greep te hebben op de bedrijfsprocessen? Dan hebben we het niet over maatregelen, maar over functionele eisen. En wie is verantwoordelijk voor welke processen? Hoe is de governance ingericht?ʼ

In de volgende stap wordt een analyse van de ondersteunende IT-architectuur gemaakt. Poos: ‘Welke systemen zijn er? Hoe hangen deze samen? Waar vindt de primaire registratie plaats? Wat is de leidende administratie? Welke eisen moeten worden gesteld aan het onderling afstemmen van transactiestromen? Komen de autorisaties overeen met de verantwoordelijkheden binnen en buiten het bedrijf? Pas als deze analyses zijn afgerond, kunnen per proces de maatregelen worden gedefinieerd.ʼ

Praktische toepassing

Aan de hand van onder meer deze stappen leren de studenten om een normstelling in de vorm van beheerdoelstellingen te definiëren. Die eisen gaan zwaar in op automatisering. TIAS is de enige opleiding in Nederland die in deze vorm nadrukkelijk de IT betrekt in het vak Bestuurlijke Informatieverzorging en Administratieve Organisatie.

Executive Master of IT Auditing

Met de Executive Master of IT Auditing versterkt u uw IT-kennis en ontwikkelt u een unieke combinatie van technische en communicatieve vaardigheden.

Lees meer over deze master

Reageren
U kunt reageren op bovenstaand artikel. Reacties worden gemodereerd en na goedkeuring geplaatst.