Doorlopend auditen van grote programma’s
Beheerst verandermanagement is een must in deze tijd van enorme veranderingen. Ook een must is het om continu de vinger aan de pols te houden door het uitvoeren van doorlopende audits. De auditdienst van de Rabobank heeft hiervoor gekozen. Knelpunten in programma’s kunnen daardoor vroegtijdig worden gesignaleerd.
Er is de laatste tijd in de media veel te doen over falende ICT-programma’s en -projecten. Met name enkele grote ICT-projecten bij de overheid zijn negatief in het nieuws en er is een levendige discussie ontstaan rond de vraag hoe dit beter kan. De nieuwswaarde is te danken aan het feit dat het hier om publiek geld gaat, het wil echter niet zeggen dat het elders allemaal van een leien dakje gaat. Integendeel, grote programma’s en projecten zijn nog altijd moeilijk te beheersen. Dat geldt ook in de financiële wereld.
Het is interessant om te zien hoe de discussie zich op een aantal belangrijke punten eigenlijk al decennia herhaalt. Wie het boekje Waarom falen informatiesystemen nog steeds? van prof.drs. J.A.M. Oonincx uit 1982 leest, kan tot de schokkende conclusie komen dat veel oorzaken nog onveranderd voortbestaan. Zoals bijvoorbeeld onvoldoende betrokkenheid van gebruikers en het al dan niet bewust aanhouden van te optimistische tijdsplanningen.
Als één bank erin slaagt de kosten significant te verlagen, dan kunnen de andere niet achterblijven. Daarom verplaatsen alle grote banken in hoog tempo hun dienstverlening naar internet en mobiel
De kunst van beheerst veranderen
Momenteel vinden veel veranderingen plaats in de financiële dienstverlening. Diverse ontwikkelingen leiden hiertoe. Door de brede verspreiding van internet en de toename van bancaire internetgebaseerde toepassingen hebben consumenten steeds minder behoefte aan bezoek aan fysieke bankkantoren. Daarnaast zijn banken in een permanente concurrentieslag met elkaar verwikkeld. Als één bank erin slaagt de kosten significant te verlagen, dan kunnen de andere niet achterblijven. Daarom verplaatsen alle grote banken in hoog tempo hun dienstverlening naar internet en mobiel. Dat resulteert in die organisaties in een sterke toename van omvangrijke en complexe ICT-programma’s en -projecten. Gezien de omvang en het tempo van de veranderingen is de kunst van beheerst veranderen belangrijker dan ooit.
Het planmatig realiseren van programmadoelstellingen binnen een budget is evenwel iets dat regelmatig boven onze macht gaat. Over de oorzaken is veel geschreven. Waar relatief weinig over geschreven wordt, is de rol die een auditfunctie zou kunnen vervullen. De auditdienst van de Rabobank is in 2013 gestart met het ontwikkelen van nieuwe auditinstrumenten én een veranderde interventiebenadering. Hiermee denkt de auditdienst een significante bijdrage te (kunnen) leveren aan beheerst veranderen.
De rol van audit
De Rabobank is de afgelopen jaren intensief aan de slag geweest met het vraagstuk van beheerst veranderen. De regievoering op grote ICT-programma’s vindt meer in gezamenlijkheid plaats tussen business en ICT, het ontwikkelen onder architectuur is geprofessionaliseerd en implementaties vinden gefaseerd plaats zodat eventueel tijdig bijgesteld kan worden.
Vanuit de auditfunctie is een specifieke vorm van auditing vormgegeven waarmee de grote (ICT-)programma’s over meerdere jaren worden gevolgd en beoordeeld. Vanuit Audit Rabobank Groep (ARG) is hiervoor de ‘doorlopende programma-audit’ ontwikkeld. Het komt er kort gezegd op neer dat ARG, of het nu gaat om een strategisch programma, een ICT-portfolio of een zogenaamde cultuurbeweging, in een vroegtijdig stadium betrokken is en door kritisch mee te kijken voor tijdige bijsturing kan zorgen. Dit alles om aan beheerst verandermanagement binnen de organisatie bij te dragen. Het is een speciale, ontwikkelingsgerichte, operational audit binnen het ARG ‘auditassortiment’.
Ambities
De ambitie van Audit Rabobank Groep ten aanzien van programma’s is stimulering van beheerst verandermanagement binnen de organisatie door:
Het leveren van assurance, met name ten behoeve van:
– programma- en projectbeheersing;
– stelsel van beheersmaatregelen (in processen, systemen) zoals opgeleverd door programma’s en projecten (het eindproduct).
Het signaleren van verbeterpunten (natuurlijke adviesrol of specifiek adviestraject).
Dit alles met betrekking tot het proces en de organisatie ervan en het op te leveren product.
De aard van de bijsturing vanuit audit is hiermee veranderd. Door mee te bewegen met het programma en ‘just in time’ aanbevelingen te doen, kunnen bevindingen tussentijds worden gerapporteerd en niet slechts na oplevering van een systeem of bij wijziging van het primaire proces zoals in de klassieke audit-aanpak vaak het geval was. Daarom heeft ARG ervoor gekozen om regelmatig de beheersmaatregelen te beoordelen. Op deze manier kan ARG de early-warningrol beter invullen dan in een traditionele aanpak van een audit met een begin en een eind, inclusief perioden dat ARG helemaal geen vinger aan de pols heeft. ARG houdt de vinger nu min of meer permanent aan de pols.
Nieuwe instrumenten
Deze arbeidsintensieve auditaanpak wordt natuurlijk niet op ieder programma en/of project losgelaten. Voor het bepalen van de relevante programma’s die voor deze audit-aanpak in aanmerking komen heeft ARG een risicoanalysemethodiek ontwikkeld waarmee alle soorten programma’s kunnen worden gecategoriseerd (zie tabel 1).
Voor programma’s met een hoog inherent risico worden jaarlijks naast periodieke gesprekken met de programmaleiding twee of meer deelonderzoeken uitgevoerd. Deze deelonderzoeken richten zich op de beheersing van het programma en onderliggende projecten en op de beoordeling van het design (opzet) van de deliverables. Tevens wordt beoordeeld of realisatie van de overall doelstellingen van het programma en/of de business case nog voldoende ‘on track’ is en of risico’s in dit kader adequaat worden beheerst.
De keuze van specifiek te beoordelen objecten en deliverables in de deelonderzoeken is uiteraard mede afhankelijk van de projectfase. Tijdens de deelonderzoeken worden hierin nadere keuzen gemaakt. Deze keuzen worden altijd afgestemd met de programmaleiding. Afstemmen betekent hier natuurlijk niet instemmen of toestemmen. Het afstemgesprek is erop gericht om de toegevoegde waarde van de audit te maximaliseren en dat kan natuurlijk het best met de leiding zelf. Om een productieve samenwerking te bewerkstelligen dienen de betrokken auditors te beschikken over senioriteit en is een juiste toon en attitude nodig. Het is van belang om dit op te merken, want een auditor die bezig is zoveel mogelijk bevindingen te verzamelen in zo kort mogelijke tijd zal hier niets bereiken.
Veelal is er bij de programma-audits sprake van een limited-assuranceonderzoek. Hierbij worden geen uitgebreide testwerkzaamheden verricht. Daardoor wordt een beperkte mate van zekerheid gegeven ten aanzien van de effectiviteit van het geheel aan beheersmaatregelen en werking.1 ARG vat systematisch de conclusies samen in een restrisicobeeld per onderzocht object en in een totaaloordeel (zie tabel 2 en 3).
Voor programma-audits wordt gewerkt met een standaard risico control matrix (RCM). Zo kunnen de auditresultaten vergeleken worden over de programma’s heen. In deze RCM zijn voor de onderkende risico’s hulpvragen opgenomen die tijdens de audit aan de orde moeten komen. Afhankelijk van de fase van het programma/project en de specifieke risico’s wordt op basis van de standaard RCM per deelonderzoek een RCM op maat uitgewerkt. Zo wordt zoveel mogelijke toegevoegde waarde geleverd.
De reacties
Zoals al aangegeven worden de uitkomsten van de doorlopende audits altijd eerst gedeeld met een vertegenwoordiger van het programma. Veelal hoort ARG terug dat het zeer op prijs gesteld wordt dat ARG proactief meekijkt tijdens het proces. Tevens wordt aangegeven dat het uitdagen door ARG helpt om risico’s te onderkennen en mitigerende maatregelen te nemen. Uiteindelijk wordt daarmee toegevoegde waarde geleverd voor het programma om betere kwaliteit te leveren en de programmadoelstellingen te behalen. Dat is waar het uiteindelijk om gaat.
Periodiek restrisicobeeld en jaarlijkse management letter
Periodiek wordt over de programma’s gerapporteerd in de vorm van restrisicobeelden, waarmee inzicht wordt gegeven in de mate van beheersing van de veranderingen. Deze worden uitgebracht aan de stuurgroepen van de programma’s. Deze uitingen van ARG worden afgestemd met de programmavertegenwoordiger. Wanneer in een programma belangrijke problemen geconstateerd worden, vindt tevens rapportage plaats aan het internal audit & compliance commitee (IACC).
Door het gebruik van een standaard normenkader en standaard restrisicobeelden kunnen aan het eind van het jaar ook tamelijk eenvoudig de zogenaamde management letter issues opgesteld worden op het gebied van beheersing van het verandermanagement.
Ten slotte
De intensiteit, het tempo en de schaal van de veranderingen binnen de bancaire wereld vragen om een andere benadering dan een traditionele auditbenadering waarbij binnen een vast tijdsbestek eenmalig een oordeel wordt gegeven over de risicobeheersing. In dit artikel hebben we uiteengezet hoe wij als auditdienst een optimale bijdrage aan ‘beheerst veranderen’ denken te kunnen leveren. Dit realiseren we door een doorlopende audit met meerdere tussentijdse rapportages. Nieuwe hulpmiddelen ten behoeve van diagnose (welk programma komt in aanmerking en welk niet?), risicobepaling en rapportage zijn daarbij ontwikkeld. De auditees reageren verheugd op onze aanpak en laten ons in evaluaties weten dat ze met deze aanpak goed geholpen zijn.
Noot
- Het onderzoek wordt uitgevoerd conform het stramien voor assuranceopdrachten (NV COS 3000) en voldoet aan de internationale Standaarden voor de interne auditpraktijk.
Over
Ellen Fijneman is senior auditor bij Audit Rabobank Groep.
Aad Spee is senior auditor bij Audit Rabobank Groep.
Kees Valk is auditmanager bij Audit Rabobank Groep.
Dit artikel is op persoonlijke titel geschreven.
Reacties (0)
Lees meer over dit onderwerp:
Is risicomanagement overtollig?
Veel internal auditors zullen hun wenkbrauwen fronsen bij de kop van dit artikel. Voor hen hoort het beheersen van risico’s bij internal audit zoals vuurwerk bij oudjaarsavond. De afgelopen jaren zijn de inzichten echter sterk veranderd.
Lees meerDe internal auditor op de bijrijdersstoel bij complexe ICT-projecten
In dit artikel wordt op een verhalende manier verteld over het onderzoek dat bij de ESAA is verricht rondom de vraag waarom mensen wel of niet geneigd zijn om te luisteren naar risicowaarschuwingen van de internal auditor.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.