IT & Operations

Trusted Data Analytics biedt IT auditor kritische blik

22 maart 2017

Angelique Koopman en Maurice Op het Veld verzorgen bij de opleiding tot IT auditor het onderdeel Trusted Data Analytics. Wat houdt dat precies in en wat kun je ermee als IT auditor? Een interview.

‘Hoe weet ik of de resultaten en data, waarop analyses gebaseerd zijn, kloppen? Steeds vaker nemen we beslissingen op basis van data-analyse. Die onderliggende data en de algoritmen zelf moeten wel goed zijn’, vertelt Op het Veld. Als voorbeeld noemt hij een autovakantie. ‘Stel dat je naar je bestemming rijdt met behulp van een TomTom. Rijd je dan wel de meest optimale route? Misschien heeft TomTom een deal gesloten met McDonald’s en word je langs zijn restaurants en parkeerplaatsen geleid. We weten het niet; het is een black box. We hebben mensen nodig die feiten kunnen checken en kunnen valideren of data en data-analyse correct zijn of gemanipuleerd. Meer zekerheid krijgen over de correctheid van de onderliggende data, daarheen breidt ook het vak van IT Auditing zich uit.’ 

‘Met het onderdeel Trusted Data Analytics proberen we de deelnemers een kritische blik mee te geven,’ voegt Koopman toe. Zelf richt ze zich daarin op proces mining. Dat is dat je data-analyse doet, maar dan in de context van het proces. 

Verbindende schakel

Steeds meer gebeurtenissen (‘events’) worden geregistreerd en opgeslagen in IT-systemen. Op dit moment staat ‘Big Data’ volop in de schijnwerpers en denken we vaak aan bedrijven als Google en Facebook. Event data zijn echter in elke organisatie te vinden en op elk niveau. Process mining is de verbindende schakel tussen data en proces. Dankzij process mining is het mogelijk tegelijkertijd prestatie-georiënteerde en compliance-georiënteerde vragen te stellen. Door procesmodellen te koppelen aan event data kunnen knelpunten opgespoord worden en is precies te zien waar en waarom mensen afwijken van het normatieve proces. Met de toepassing van process mining in het mogelijk om data in de context van onder meer bedrijfsprocessen te analyseren. Hiermee kan de ‘black box’ van gegevensverwerkende processen, inclusief de interne beheersing van organisaties inzichtelijk gemaakt worden. Vervolgens kunnen gedetailleerde analyses en toetsing aan normen worden uitgevoerd. Dit is niet alleen interessant voor organisaties zelf, juist ook voor interne en externe accountants is process mining interessant bij het uitvoeren van audits. Goed controleren gaat onder meer over het stellen van de juiste vragen. Process mining is toepasbaar in de verschillende fasen van het controleproces en biedt op een unieke manier inzicht in wat er echt gebeurt in een organisatie. Om de juiste conclusies te trekken is het echter nodig te weten hoe process mining werkt en hoe het op de juiste wijze toegepast kan worden. Je leest dan bijvoorbeeld een event log in; een overzicht van de stapjes die in de organisatie zijn gevolgd. Denk bijvoorbeeld aan een verkoopproces, waarin je onderdelen hebt als de aankoop, de goedkeuring van de factuur en de betaling. Dat maak je dan inzichtelijk.

Koopman: ‘Ik verzorg voor de deelnemers een hele dag proces mining, waarbij we hands-on aan de slag gaan. Het is belangrijk dat de deelnemers zelf ervaren wat proces mining is. Ze krijgen toegang tot de tool Disco en dan gaan we met elkaar een casus maken. Het belangrijkste is dat ze het zélf doen, dan gaat het meer leven. Vervolgens koppelen we het geleerde aan IT Auditing. Hoe kun je het toepassen? Wat zijn de randvoorwaarden? Waar moet je voor waken?’ 

Dat onderliggende data moeten kloppen, kunnen Koopman en Op het Veld niet genoeg onderschrijven. Data science wordt gebruikt om beslissingen te nemen. Daarbij heb je verschillende methoden waaronder analytics en data mining. Deelnemers aan het programma komen in aanraking met al deze methoden. Zo zien ze dat er verschillende soorten data zijn die gebruikt worden door de eigen organisatie, de accountant of door een andere betrokkene. Welke tools gebruikt de eigen organisatie om beslissingen te nemen? ‘Het is van belang dat we een IT auditor trainen om kritisch te blijven over hoe data-analyse ingezet wordt en wat de kwaliteit daarvan is, zodat de beslissingen die hij of zij maakt aan de hand van die data-analyse zo goed mogelijk zijn en kloppen,’ vertelt Op het Veld.

Op het Veld vervolgt: ‘Goede data analyse is belangrijk, het kan zelfs om levens gaan. Denk maar aan een zelfrijdende auto. Stel dat de auto moet uitwijken en de keuze krijgt: rijd ik tegen een paal aan of tegen een groep kinderen? Wat doet de auto dan? Redt hij jouw leven of dat van de kinderen? Dat hangt af van wie het algoritme heeft gebouwd. Zelf weet ik op voorhand niet wat hij doet. Heeft de bouwer daarin wel de juiste afwegingen gemaakt?’ 

Onder de motorkap

De parallel is snel te trekken naar de IT auditor. Koopman: ‘Het is niet ons doel om van de IT auditor een data-analist te maken. Maar het is wel belangrijk dat die de onderliggende methodes snapt en de resultaten kunt interpreteren. Zeker als je met data-analyse bezig bent, is het belangrijk dat je kritisch blijft en snapt wat er onder de motorkap gebeurt. Zeg maar het openen van de black box.’ Bij de simpele tools bepaal je als gebruiker wat er gebeurt. Maar IT auditors werken met steeds meer geavanceerde tools. ‘Bij het toepassen van process mining wordt data met behulp van een algoritme gevisualiseerd in een procesmodel. De gebruikte tool geeft een bepaalde interpretatie aan die data om die te kunnen visualiseren. Zo’n visualisatie hoeft niet in iedere tool er hetzelfde uit te zien, terwijl deze inhoudelijk wel hetzelfde is. Soms kan het procesmodel in een tool zo complex worden dat we er niet uitkomen. Dat ligt aan de manier van visualiseren, daardoor is het als mens lastiger te interpreteren. Met een andere wijze van visualiseren, kunnen we er mogelijk wel een beter leesbaar plaatje van maken. Afhankelijk van wat voor insteek je kiest, kan er iets bijzonders uit het plaatje blijken. Daar zie ik toegevoegde waarde voor de auditor, die met een kritische blik kijkt,’ besluit Koopman. 

Executive Master of IT Auditing

Met de Executive Master of IT Auditing versterkt u uw IT-kennis en ontwikkelt u een unieke combinatie van technische en communicatieve vaardigheden.

Lees meer over deze master

Reageren
U kunt reageren op bovenstaand artikel. Reacties worden gemodereerd en na goedkeuring geplaatst.