Inhoud. van de redactie. Een goed begin. 3 VAN DE REDACTIE. 4 COLUMN Heeft u uw AI nog onder controle? Alper Söylemez

Transcriptie

1 Een goed begin. Een goed begin is het halve werk luidt de uitdrukking. Zou dit dikke nummer van de IT-Auditor een voorbode zijn van de goede voornemens die lezers hebben gemaakt om dit jaar een artikel te schrijven of anderszins een bijdrage te leveren aan de IT-Auditor? Dat zou mooi zijn! Als eerste treft u de column aan. Het rumoer rond de Mayakalender is voor Alper Söylemez inspiratie om op zoek te gaan naar IT-gerelateerde bedreigingen. Een interview houden we dit keer met Bart Lohmeijer, die zijn carrière in de IT-auditing verruilde voor een riskmanagementfunctie bij RABO Vastgoedgroep. Dat een auditrapport niet het einde hoeft te zijn van onze werkzaamheden, maar het begin kan zijn van een veranderingstraject waarbij wij ook betrokken zijn, betogen Reno de Vette en Winfried Nanninga. Waarderend auditen is het instrument hiervoor en daarover gaat hun artikel. Bring Your Own Device kwam eerder aan de orde. Dit keer een case study naar het managen van de implementatie en de effecten door Brigit Peek en Thomas Adelaar. Een uiterst praktische bijdrage ten behoeve van de dagelijkse auditpraktijk is de mapping van COBIT en ASL door de werkgroep van de ASL BiSL Foundation. Bart Jacobs beschrijft IRMA, een project met het doel chipcards te ontwikkelen voor attribuut-gebaseerde authenticatie. Een concrete toepassing van het need to know -principe en een mooie ontwikkeling vanuit het oogpunt van privacy en security. Ten slotte doet Wim Pauw verslag van een omwenteling bij Achmea op het gebied van risicobeheersing Van macht naar kracht. Arno Nuijten promoveerde en Thomas Wijsman schreef een recensie over zijn proefschrift: Deaf Effect for Risk Warnings; A Causal Examination applied to Information Systems Projects. Een Dag uit het leven komt van Petra ten Berg, die in Denemarken woont en bij IKEA in Zweden werkt. De opiniebijdrage van twee redactieleden gaat over de betrouwbaarheid van software in auto s en de rol die de IT-auditor daarin zou kunnen spelen. Wij hopen dat dit lezers uitnodigt te reageren. Traditiegetrouw ten slotte het nieuws uit de opleidingen, waarin een interview met Martijn Dekker, de nieuwe TiasNimbas hoofddocent en in de rubriek van de NOREA treft u een verslag aan van het Update-congres 2012 over Next Generation Assurance. Veel leesplezier. Thea Gerritse van de redactie 1 Inhoud 3 VAN DE REDACTIE Een goed begin. Thea Gerritse 4 COLUMN Heeft u uw AI nog onder controle? Alper Söylemez 5 INTERVIEW MET BART LOHMEIJER, SERNIOR RISK MANAGER RABO VASTGOEDGROEP Van nullen en enen naar stenen Achmed Bouazza en Maarten Buijs 9 APPRECIATIVE INQUIRY IN DE AUDITPRAKTIJK Waarderend Auditen Reno de Vette en Winfried Nanninga 15 CASESTUDY NAAR HET MANAGEN VAN DE IMPLEMENTATIE EN DE EFFECTEN Bring Your Own Device Brigit Peek en Thomas Adelaar 22 MAPPING VAN TWEE FRAMEWORKS COBIT en ASL Annita Krol, Joep Janssen, Machteld Meijer en Wim van t Einde 29 IRMA Attributen in plaats van identiteiten Bart Jacobs 36 VAN MACHT NAAR KRACHT Risk en Compliance Wim Pauw 40 BOEKBESPREKING C est le ton qui fait la musique Thomas Wijsman 42 DAG UIT HET LEVEN Petra ten Berg 45 OPINIE Betrouwbaarheid van software in auto s Achmed Bouazza en Hans Kramer 47 UIT DE OPLEIDINGEN 50 VAN DE NOREA jaargang de IT-Auditor nummer

2 column Heeft u uw AI nog onder controle? Alper Söylemez is Manager Data Analytics bij Ernst & Young Het jaar dat we volgens de Maya s niet meemaken, is nu toch gekomen. Het einde van de wereld is een onderwerp dat in vele culturen en verhalen opduikt, maar tot nu toe nog niet is uitgekomen. Het doemdenken is van alle tijden. Sommige scenario s zijn gebaseerd op fictie, zoals de zombie-uitbraak, terwijl van andere scenario s de kans veel realistischer wordt ingeschat door wetenschappers, zoals de risico s van global warming. Soms is de grens tussen fictie en realiteit niet eens duidelijk; wat ooit fictie was, kan ineens realiteit worden. Onlangs heeft de Cambridge University een threat center opgericht met als doel te onderzoeken wat de mogelijke bedreigingen van Artifical Intelligence (AI) zullen worden in het komende decennium. Is AI pure fictie? Of is judgment day echt onvermijdelijk? AI is overigens niet de eerste IT-gerelateerde bedreiging die het einde van de wereld (of mensheid) zou inluiden. Nog niet zo heel lang geleden was er de millenium bug of Y2K, die het hele fundament van onze samenleving op zijn grondvesten deed schudden en door enkelen werd gekoppeld aan de Bijbelse Apocalyps. Hoewel dit probleem ons weliswaar niet naar onze ondergang had kunnen leiden, waren er wel risico s geïdentificeerd die we als ITauditor erkenden waarop de programmatuur van de systemen werd aangepast. Uiteindelijk ging de hele overgang naar het jaar 2000 vlekkeloos, mede dankzij het signaleren van de risico s en de preventieve aanpak. Met de manier waarop we vandaag de dag naar IT kijken, lijkt het onwaarschijnlijk dat we ooit ten onder zullen gaan aan onze eigen creatie. IT is in principe niet meer dan een serie nulletjes en eentjes, waarmee een logische set van regels wordt gebouwd door een (menselijke) programmeur. Dit maakt het uitermate geschikt voor organisaties om modellen te maken van een proces. Ben je echter te stringent met je regels, dan beperk je de mogelijkheden in het proces. En beperkte mogelijkheden kunnen leiden tot gemiste opbrengsten. Het is om die reden dat niet het gehele proces geautomatiseerd is waardoor er momenten zijn waarop een persoon nog activiteiten moet uitvoeren. Maar de doorontwikkeling van de automatisering gaat verder en de (geautomatiseerde) processen worden steeds complexer. Als IT-auditor merk ik bij het doorlopen van een proces dat de uitzonderingsregels een steeds interessanter onderwerp vormen. Vaak is het proces zoals de organisatie het denkt te weten lang niet meer representatief voor de werkelijkheid. De mogelijkheden en vrijheden binnen een proces zullen alleen maar toenemen bij de komst van een AI dat de intelligentie van een mens zal ontstijgen. Stel dat er in de toekomst een AI wordt ontwikkeld en dat dit AI-systeem ingezet gaat worden door organisaties. Hoe moeten wij hier dan als IT-auditors mee omgaan? Moeten wij de AI toetsen en met het AI-systeem in gesprek gaan? Volgt het systeem nog een gedefinieerd proces waaraan wij kunnen toetsen? Of is iedere actie uniek? Kunnen wij begrijpen waarom bepaalde keuzes zijn gemaakt door een systeem dat onze intelligentie overstijgt? Zijn mensen überhaupt nog nodig binnen de organisatie? Als alle fouten menselijk zijn, kunnen we dan niet alles voor waarheid aannemen en hebben we de dan nog wel assurance nodig? Maar wie of wat in de organisatie is er uiteindelijk dan nog in control? De bedreiging van AI, waarbij de mensheid van de aardbodem verdwijnt, hoeft misschien niet iets te zijn waar wij ons zorgen over moeten maken, dat doet de Cambridge University immers al. Maar misschien kunnen wij wel bijdragen aan de oplossingen, immers het invoeren van functiescheidingen tussen AI-systemen en het inregelen van access management om de vrijheden te beperken, zijn zaken waar wij ons nu ook mee bezighouden. Doen we het niet om de mensheid te behoeden van zijn ondergang, dan is het nog altijd handig voor onze klanten om hun organisatie beheersbaar te houden. 4 de IT-Auditor nummer

3 INTERVIEW MET BART LOHMEIJER, SENIOR RISK MANAGER RABO VASTGOEDGROEP Van nullen en enen naar stenen De gastheer van uw twee reporters, Bart Lohmeijer, had bij wijze van spreken een rol kunnen spelen in de speelfilm The Seven Year Itch. Zijn loopbaan kenmerkt zich vooral door het ongeveer met een dergelijk interval veranderen van werkkring. De laatste switch die Bart heeft gemaakt, is het verlaten van het vakgebied van IT-audit. Dat komt goed uit voor deze rubriek, waarin we regelmatig in gesprek gaan met IT-auditors die van werkkring zijn veranderd. ACHMED BOUAZZA EN MAARTEN BUIJS Kun je om te beginnen jouw loopbaan eens schetsen? Na mijn diensttijd bleef ik in de tachtiger jaren min of meer in Defensie-sferen werkzaam. Bij het TNO Fysisch en Elektronisch laboratorium (FEL) leerde ik samen met Paul Overbeek hoe je op een veilige manier informatie kunt delen. Ik hield me daar bezig met datacommunicatie en cryptobeheer en beschouw het nog steeds als een goede leerschool. Na een korte zijsprong bij ABB Lummus Crest, een belangrijk ingenieursbureau voor Shell, startte ik als Manager Operations Datacommunicatie bij Ergon installatietechniek, toen nog onderdeel van de Hollandse Beton Groep. Hier was ik medeverantwoordelijk voor het ontwerp en de aanleg van de operationele datacommunicatie infrastructuur van diverse grote bedrijven en overheden. Begin 2000 bleek dat KPMG mij vanwege mijn kennis over datacommunicatie goed kon gebruiken bij de uitvoering van ITaudits. Ik leerde hier onder de vleugels van Edo Roos Lindgreen en Ronald Paans bij de General Practice Amstelveen in de praktijk de mores van de vakken IT-audit en ITadvisory. Ik voerde onder andere KPMG Corporate Information Security (CIS) trajecten, certificeringsopdrachten, Afhankelijkheids- en Kwetsbaarheids-analyses en audit reviews uit. Ook stelde ik met collega s SAS 70- verklaringen en TPM s op. Gedurende langere tijd was ik namens KPMG als auditor meerdere keren per jaar aanwezig bij (middel)grote nationale en internationale ondernemingen evenals bij (semi-)- overheids- en non-profitorganisaties. Vaak leidden deze opdrachten tot adviestrajecten over het verbeteren van de informatiebeveiliging. Bevredigend en uitdagend werk! Toch heb je op een bepaald moment een overstap gemaakt en ben je gestopt met IT-audit. Waarom? Vanuit KPMG was ik al sinds 2000 betrokken bij het ABN Amro Bouwfonds Nederlandse Gemeenten. Het Bouwfonds was, voordat het werd verkocht aan de Rabobank, een onderdeel van ABN Amro. In eerste instantie kreeg ik hier voor een paar dagen per jaar een certificeringsopdracht rond informatiebeveiliging (conform ISO 27001). ABN Amro, en later de Rabobank, zijn SOx plichtig. Ik hielp hier mee voor wat betreft de IT-kant, met name met de beoordeling van de general IT-controls templates. Na verloop van tijd kreeg het advieswerk steeds meer nadruk en dat ging op den duur knellen met het eveneens uitvoeren van IT-audits. Uiteindelijk trok de advieskant mij toch meer aan en na acht jaar IT-audit leek het me een natuurlijk moment om te switchen. Er sluimerde een ambitie om intensiever bij één en dezelfde klant betrokken te zijn en hen te helpen succesvol te ondernemen. Nog dichter op de business, een rol die in mijn ogen ook past bij de IT-auditor van de toekomst. Inmiddels werd ik vader en woonde ik in Amersfoort. Nadat de voormalige security officer met pensioen was gegaan, maakte ik de overstap naar het Bouwfonds. Alweer vijf jaar werk ik nu als Senior Risk Manager samen met twee collega s bij interview de IT-Auditor nummer

4 interview de afdeling Control & Risk van de Rabo Vastgoedgroep. Risk is verantwoordelijk voor het beleid ten aanzien van en de controle op de risicoposities van Rabo Vastgoedgroep. De risico s van Rabo Vastgoedgroep zijn ingedeeld in zes hoofdcategorieën, te weten: Markt-, Krediet-, Financiering-, IT-, Business Continuity Management (BCM) en informatiebeveiligingsrisico s. Ik ben verantwoordelijk voor de laatste drie. In vergelijking tot een financiële instelling heeft dit bedrijf een relatief kleine IT-organisatie. De Rabo Vastgoedgroep heeft vijf divisies. Risk Management is decentraal georganiseerd. De primaire riskmanagementtaken liggen met name in de divisies. Het Risk Managementbestuurscentrum adviseert, consolideert, rapporteert en maakt beleid. Bart is de enige risk manager die opereert vanuit IT, BCM en informatiebeveiligingsperspectief. Hij rapporteert aan de Chief Financial Risk Officer van dit bedrijf. Het beleid dat wordt geïmplementeerd, is gebaseerd op sound principles of operational risk, opgesteld naar aanleiding van het Basel III akkoord. In het kader van de beheersing van de operationele risico s moeten alle incidenten (>10K) worden geregistreerd. Bij de CFRO komen alle lijnen van de risico managementfuncties bij elkaar. Risk Management bedient drie soorten klanten. Op de eerste plaats is daar natuurlijk de Rabobank zelf, de moederorganisatie. Vervolgens definieert Risk Management passend beleid voor de afzonderlijke divisies en draagt zij zorg dat zij hiermee compliant zijn. Ten slotte wil de hoofddirectie dat Risk Management haar ondersteunt met kennis, oordelen en visie. Je bent nu dus senior risk manager Wat houdt dit werk in? Samengevat: de risk manager helpt de organisatie om de risico s te managen en compliant te zijn met wet- en regelgeving. Voor de risk manager die IT en informatiebeveiliging tot zijn verantwoordelijkheidsgebied heeft, is zowel toereikende kennis van belangrijke onderwerpen die in de Het primaire proces is gericht op het financieren en realiseren van vastgoed. Stenen zijn belangrijker; de ruimte die het object inneemt kun je zien. IT is ondersteunend aan de bedrijfsvoering, en voor de meeste collega s een stuk virtueler financiële sector spelen als van de general IT- controls noodzakelijk. Voor de Rabobank blijft vastgoed een (steen)goede investering. Centrale vraag hierbij is: hoe zorgen we voor een passende governance? De vastgoedsector weet traditioneel niet veel van de hoge kwaliteitsstandaarden voor IT die voor financiële bedrijven al heel gewoon zijn. Voor een risk manager zit er veel vertaalwerk in om dit voor de CFO transparant te maken. Met name omdat deze nogal eens de neiging heeft om te zeggen kan het allemaal een tandje minder?. Informatiebeveiliging is een onderdeel van Operational Risk Management, evenals BCM. De Nederlandse Bank let sterk op dit laatste, banken moeten een toereikend BCM-beleid hebben. Hoe kan risk management bijdragen aan het vergroten van de compliance? Ik beschouw risk management als belangrijk instrument in relatie tot het verkrijgen van compliance, want risk management gaat aan de voorkant na welke risico s de businessdoelstellingen in gevaar brengen. ISO27001 wordt gehanteerd als kwaliteitsstandaard voor het inrichten en onderhouden van een stelsel van maatregelen die de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van gegevens en informatiesystemen waarborgen. Hiermee voldoet de Rabo Vastgoedgroep aan het Rabobank Groepsbeleid. Wij laten de business vanuit de plannen die men wil realiseren IT-risico s definiëren en bijbehorende BIV-waarden bepalen. Hoe wil de business vervolgens deze risico s mitigeren en welke maatregelen wil men daartoe treffen? Een van de zaken om dit traject te verbeteren, is het opstellen en bottom-up hanteren van een IT-controlframework. Op basis van COBIT is er binnen de Vastgoedgroep een IT-controlframework opgesteld om de compliancy beter in de grip te houden. Aan externe toezichthouders wordt gevraagd om hun controlframework aan COBIT te relateren. Zo kan een koppeling worden gemaakt met de interne AO/IC en kan de IT-organisatie eenvoudig het benodigde bewijs opleveren. Bovendien weet men daar dan ook: als wij deze COBIT-controls naleven, zitten wij in de goede richting voor wat betreft het compliant zijn. Risk management is belangrijk om vanuit het framework de juiste elementen te gebruiken om een best fit te realiseren. Uitgangspunt hierbij is dat de IT-organisatie zelf verantwoordelijk is voor het nemen van de maatregelen. In het algemeen bestaat bij mij het gevoel dat de stand van zaken rond de general IT-controls in brede zin een redelijk betrouwbaar beeld geeft over de kwaliteit van de informatiebeveiliging. Risk Management zit samen met interne ITauditors rond de tafel om hun visie op de business en risico s te geven zodat het controleprogramma scherper wordt gesteld. Internal Audit bestaat naast het hoofd Internal Audit uit drie auditmanagers en drie auditors. Er is een directe samenwerking met ARG (Audit Rabobank Groep). Door het feit dat de wet- en regelgeving alleen maar toeneemt, groeit ook de behoefte aan een geïntegreerde auditbenadering. 6 de IT-Auditor nummer

5 Als vrucht van alle inspanningen wordt de Rabo Vastgoedgroep jaarlijks gecertificeerd tegen ISO Het certificaat wordt afgegeven door de certificerende instantie BSI. Wat ervaar je als de belangrijkste verschillen tussen IT-audit en risk management? Ik heb acht jaar ervaring als IT-auditor bij een groot kantoor. Hier is vaak sprake van kortdurende relaties, je voert een audit uit en je bent klaar. Door het vele reizen, de diversiteit qua niveau van onderwerpen en diepgang van de audits ervaar ik het ook wel als topsport. Je bent bovendien omringd door jonge ambitieuze collega s die alles even interessant vinden! Als risk manager bij de Vastgoedgroep werk je in veel kleinere teams. Je hebt meer tijd om je in de materie te verdiepen en het onderzoek rustig af te ronden. Interessant is ook de politieke dimensie die zeker van zich doet spreken. De risk manager wordt meer onderdeel van de bedrijfscultuur en als zodanig meer aangesproken op zijn kennis. Bestuurders vinden het ook niet makkelijk om risico s te duiden, en vragen daarom advies. Het is leuk om ze daarbij te helpen. Ik zie overeenkomst met de mogelijke gevolgen van een zogeheten qualified audit rapport met betrekkelijk veel tekortkomingen. Dit kan binnen de organisatie tot de nodige spanningen leiden. Net als een (IT-)auditor moet je als risk manager de IT-Auditor nummer

6 interview hier je rug recht houden en tevens de onafhankelijkheid bewaren. Hoe zijn jouw huidige ervaringen met IT-auditors, je vroegere beroepsgenoten? Ervaar je toegevoegde waarde van IT-auditors? De afgelopen jaren heb ik met externe ITauditors in het algemeen positieve ervaringen opgedaan. Ik zie dat de interne IT-auditors enorm in kennis investeren. Soms weet de IT-auditor het niet helemaal goed als het gaat om Cloud, Big Data, Mobile, Outscouring, Cyber Crime, Security maar dat is een mooie uitdaging om samen op te trekken. Daarnaast levert een rapport wel eens spanningen op als er risico s worden beschreven die reeds bekend zijn of al voldoende worden beheerst. Het lijkt er dan op alsof de auditors met hun bevindingen hun toekomstige werkgelegenheid creëren. Van IT-auditors verwacht ik een goede voorbereiding, een op feiten gebaseerd verhaal en een gedegen professional judgement. Als hier sprake van is, merk ik zeker de toegevoegde waarde van IT-auditors. Wel ben ik van mening dat IT-auditors het best eens mogen opschrijven als beheer en inrichting van de IT goed zijn geregeld. Vaak lijkt het in de rapportages of er alleen aandacht is voor negatieve aspecten. Interne auditors willen trouwens nog wel eens wat vaker positievere aspecten opnemen in hun rapport. In hoeverre heeft jouw ervaring als ITauditor je geholpen in je huidige functie? Van een aantal aspecten die ik als belangrijk heb ervaren in de IT-auditpraktijk maak ik vandaag de dag nog gebruik. Een voorbeeld hiervan is het besef dat je een goed product moet leveren en geen half werk. Ook het nastreven van operational excellence valt in deze categorie. In de Norearichtlijnen zitten hiervoor goede aanknopingpunten. Een goede communicatie en afstemming zijn volgens mij essentieel voor een effectieve audit. Dat zijn zaken die ik heb meegenomen en enorm goed helpen in de praktijk. En wat voor alle huidige ITauditors ook geldt: realiseer je wat jouw advies of aanbeveling teweeg kan brengen. Wees je heel bewust van jouw rol. Luister ook goed naar de boodschap van de ander, soms is het goed om hier iets van mee te nemen in de rapportage. Welk advies zou je IT-auditors willen meegeven? Met name interne auditors zouden beter en in een vroeger stadium van de audit moeten communiceren. Ik heb ervaren dat De risk manager helpt de organisatie om de risico s te managen en compliant te zijn met wet- en regelgeving externe audits eerder worden aangekondigd dan interne audits. Er gaat een zorgvuldig proces vooraf aan de totstandkoming van een auditprogramma. De opgestelde auditprogramma s worden echter nogal eens slecht gecommuniceerd binnen organisaties. Maak bijtijds duidelijk wat je gaat doen en geef bijvoorbeeld aan wat je verplicht bent te doen. Dit geldt ook tijdens de uitvoering. Je kunt niet drie maanden niets van je laten horen en dan opeens een rapport op de bus doen. Een auditor moet ook tussentijds communiceren. Voor een auditee voelt een audit toch vaak aan als een tentamen. Iets anders: de auditor wil het management doorgaans wijzen op verbeterpunten, maar gaat daar soms te ver in door en moet afgeremd worden. Je kunt op meerdere manieren naar de wereld kijken! Is er ooit een comeback mogelijk naar de IT-audit? Ik sluit niets uit, maar het is niet het eerste waar ik naar kijk. Het vak risk management biedt mij nog veel mogelijkheden om verder te groeien. Tot slot: hoe kijk jij als CISA aan tegen de fusie tussen NOREA en ISACA? Zoals ik al aan het begin zei, heb ik het auditvak geleerd in mijn periode bij KPMG. Ik heb geen RE-auditopleiding gedaan, omdat ik eigenlijk gelijk ging samenwerken met zeer ervaren hoogleraren en docenten van deze opleidingsinstituten. Met mijn IT-ervaring kon ik direct aan de slag en wat is mooier dan het ITauditvak gelijk in de praktijk toe te passen? Ik moest echter wel het CISA-examen doen om op z n minst zelfstandig als auditor te kunnen werken, zeker bij opdrachten in het buitenland. Daar hoef je bij het begrip CISA verder niets meer uit te leggen, in tegenstelling tot RE. Ik ben van mening dat de RE-opleiding een grotere diepgang heeft dan het CISA-traject. Een RE heeft er ook meer voor moeten doen. Maar, hoewel NOREA en ISACA beide hun eigen historie hebben, kunnen ze elkaar wel degelijk aanvullen en dat is goed voor het vakgebied. Bart werpt naar aanleiding van de recente incidenten rond het afgeven van assuranceverklaringen nog een interessante vraag op: Moeten RE s zich niet bezinnen op de vraag wat het leveren van assurance feitelijk betekent? Ik denk dat dit voor de kantoren mede naar aanleiding van elk recent incident steeds vaker een riskante opgave wordt. Naar mijn mening zouden RE s en CISA s wel eens meer gewoon hun bevindingen moeten rapporteren in plaats van assuranceverklaringen af te geven. Mede op basis van deze vraagstelling verwacht ik nog wel grote veranderingen in het auditvak. 8 de IT-Auditor nummer

7 APPRECIATIVE INQUIRY IN DE AUDITPRAKTIJK Waarderend Auditen DDe eisen en verwachtingen ten aanzien van het auditvak zijn volop in beweging en ze worden steeds hoger [ACHT08]. Om werkelijk effectief te kunnen zijn, zal de auditor niet alleen tot conclusies en aanbevelingen moeten komen, maar ook daadwerkelijk een bijdrage moeten leveren bij het aanpakken en verbeteren van de geconstateerde tekortkomingen. Een relatief nieuw instrument dat de auditor hierbij ter beschikking staat is Waarderend Auditen, een aanpak die gebaseerd is op de veranderkundige principes van Appreciative Inquiry (AI). Wat Waarderend Auditen nu precies inhoudt, hoe het zich verhoudt tot AI en welke voordelen en risico s aan de toepassing ervan zijn verbonden, zal in dit artikel worden toegelicht. RENO DE VETTE EN WINFRIED NANNINGA Aan auditors worden steeds hogere eisen gesteld. Naast het puur geven van assurance, wordt de auditor ook steeds meer gezien als een adviseur op het gebied van interne beheersing in brede zin. Van hem wordt dan ook verwacht dat hij een daadwerkelijke oplossing biedt voor de gevonden tekortkomingen. Naast het zuiver constateren van de feiten wordt van de auditor ook een actieve bijdrage in het verander- en verbeterproces verwacht. Binnen de NOREA-werkgroep Effect Based Auditing wordt - binnen de vaktechnische kaders van de audit professie - gekeken welke veranderkundige hulpmiddelen toegepast kunnen worden om tot resultaten te komen die beter aansluiten bij de klantwens. Een dergelijke resultaatgerichte Effect Based Auditaanpak heeft een positieve uitwerking op alle betrokken partijen. Allereerst richting de opdrachtgever, omdat deze naast een overzicht van tekortkomingen ook een aanzet tot de oplossing daarvan krijgt. Daarnaast zijn er positieve effecten voor zowel de auditor, het auditproces, als de auditee, omdat gerichter en op een opbouwende wijze naar verbetering wordt gestreefd. Voor een nadere uitwerking van de ideeën inzake Effect Based Auditing verwijzen wij naar een artikel dat eerder in de IT- Auditor is verschenen, onder de titel Audit als Interventie [NANN10]. Eén van de onderwerpen waarop de werkgroep zich richt, is het fenomeen Waarderend Auditen en de interactie tussen de auditor en de gecontroleerde. Door het gebruik van de principes van Appreciative Inquiry (AI) die binnen Waarderend Auditen een belangrijke rol spelen, ontstaat tijdens het auditproces een meer positieve en diepgaande informatie-uitwisseling. Wanneer de auditor kiest voor toepassing van AI heeft dit een gunstig effect op het verminderen van weerstanden en het creëren van commitment bij de auditee. Omdat Waarderend Auditen voor een belangrijk deel is gebaseerd op de principes van Appreciative Inquiry (AI) zullen deze als eerste worden besproken. PRINCIPES VAN AI Appreciative Inquiry is een onderzoeksmethode die in de jaren tachtig van de vorige eeuw is ontstaan binnen de organisatiewetenschappen. Eén van de grondleggers is Cooperrider [COOP08] die deze theorie binnen een aantal praktijkcases gebruikte om de in een organisatie aanwezige ervaringen als bron voor positieve actie te gebruiken (zie kader Dr. David Cooperrider). Gebaseerd op zijn praktijkervaringen beschrijft hij in zijn dissertatie zowel een algemene onderzoeksbenadering als een concrete uitvoeringsmethode voor AI. De onderzoeksbenadering appelleert aan de intrinsieke motivatie die de meeste medewerkers binnen een organisatie bezitten. Het aanspreken en benutten van deze motivatie in plaats van een directieve aanpak, was voor Cooperrider een effectieve manier om een organisatie te veranderen. de IT-Auditor nummer

8 Dr. David Cooperrider Dr. David Cooperrider heeft gewerkt als onderzoeker en adviseur bij een groot aantal verschillende organisaties, waaronder; Motorola, GTE, BP America, World Vision, Seattle Group Health, Teledesic, Imagine Chicago, Technoserve, the Mountain Forum, en United Way of America. Tegenwoordig zijn David en zijn collega s betrokken bij organizational learning projecten in 57 verschillende organisaties, verspreid over meer dan honderd landen in Afrika, Azië, Europa, en Noord- en Zuid-Amerika. De meeste van deze projecten zijn gebaseerd op de methodiek van Appreciative Inquiry waarmee David bekend is geworden. Een onderzoeksaanpak conform AI kent een aantal fasen. De eerste fase bestaat uit het analyseren van de kwaliteiten van de organisatie (discover), die vervolgens worden gebruikt om de organisatie aan te zetten tot verbetering. Deze analyse van kwaliteiten komt in plaats van de gebruikelijke analyse van problemen en knelpunten van de organisatie. De tweede fase is bedoeld om een beeld te krijgen tot wat de nieuwe organisatie zich zou kunnen gaan ontwikkelen (dream). In plaats van een analyse van oorzaken en tekortkomingen richt de onderzoeker zich op de toekomstige mogelijkheden. In de derde fase wordt een gezamenlijke dialoog aangegaan, zowel van de onderzoeker met de betrokkenen, als tussen de betrokkenen onderling. Centraal daarbij staat de vraag: hoe zou de nieuwe situatie bereikt kunnen worden en wat moet daarvoor worden gedaan (design). Dit in plaats van de klassieke aanpak die bestaat uit een analyse van mogelijke oplossingen door een kleine kring van deskundigen. In de vierde fase ten slotte wordt daadwerkelijk vorm gegeven aan de realisatie (deliver). Tabel 1 bevat een overzicht van de verschillende fases van AI en een vergelijking met de traditionele probleembenadering. Waar de traditionele aanpak van problemen sterk retrospectief is en zich vooral richt op de geconstateerde tekortkomingen, is de aanpak van AI toekomstgericht en waardeert vooral de positieve krachten die reeds in de organisatie aanwezig zijn. PRAKTISCHE TOEPASSING VAN AI De toepassing van AI heeft impliciet tot gevolg dat er op een positieve wijze naar mensen, organisaties en situaties wordt gekeken. Om deze invalshoek tijdens het onderzoek ook te kunnen realiseren is er een drietal praktische uitgangspunten geformuleerd: 1. Hanteren van een open blik Ten eerste vraagt AI van de onderzoeker dat hij het onderzoek met een open blik uitvoert. Dat wil zeggen dat onderzoeksactiviteiten exploratief worden ingericht. AI-gebaseerde onderzoeken hebben gewoonlijk dan ook geen vooraf vastgesteld kader. Tijdens de uitvoering van het onderzoek kunnen er ook aspecten worden meegenomen die buiten de initiële onderzoekscope liggen. Om dit proces vorm te geven, mag de onderzoeker uitdagen en stimuleren om na te denken over deze aspecten. Tijdens het onderzoek helpt de open blik om de relevante bevindingen te ontdekken die anders door de strikte afbakening mogelijk buiten beschouwing zouden zijn gebleven. 2. Positief formuleren van onderzoeksvragen Ten tweede dienen onderzoeksvragen zoveel mogelijk positief te worden geformuleerd. Een belangrijk uitgangspunt van AI is een positieve houding en het stellen van positief geformuleerde vragen zal leiden tot het gaan denken in mogelijkheden. Een organisatie kan bovendien leren van eerdere successen en gebruikmaken van reeds aanwezige kwaliteiten om daarmee huidige knelpunten op te lossen. Een positieve grondhouding is dan ook een belangrijk aspect van AI. 3. Voeren van een gelijkwaardige dialoog Ten derde zal de onderzoeker tijdens het onderzoek de dialoog zoveel mogelijk bevorderen. Een dialoog is een gesprek tussen twee of meer mensen, organisaties of afdelingen. De dialoog die AI beoogt, zijn gesprekken met tweerichtingsverkeer, waarbij niet alleen de onderzoeker en de betrokkenen, maar ook de betrokkenen onderling naar elkaar luisteren, op elkaar reageren en zo gezamenlijk nieuwe inzichten verwerven. Fase Appreciative Inquiry Traditionele probleembenadering 1. Discover Waarderen van het beste dat er nu al is Vaststellen van het probleem 2. Dream Verbeelden hoe de gewenste Analyseren van oorzaken organisatie zou kunnen zijn 3. Design In dialoog bepalen hoe de organisatie zou moeten worden 4. Deliver Het creëren van de nieuwe innovatieve organisatie Tabel 1: De vier fases van AI Analyseren van mogelijke oplossingen Opstarten actie Deze praktische uitgangspunten van AI stimuleren zowel de motivatie en participatie van de betrokkenen als die van de opdrachtgever en vormen daarmee een goede basis voor een effectief onderzoeks- en veranderproces. Het mag daarom niet verwonderen dat AI niet alleen in de academische wereld maar ook in het bedrijfsleven steeds meer in de belangstelling komt te staan. 10 de IT-Auditor nummer

9 WAARDEREND AUDITEN De toepassing van AI in verandertrajecten wordt ook wel Waarderend Organiseren genoemd. Het gebruik van de term Waarderend Auditen ligt in het verlengde daarvan en is in feite een reguliere auditaanpak, die is verrijkt met de principes van Appreciative Inquiry [KALK11]. Inmiddels wordt Waarderend Auditen in de praktijk steeds vaker toegepast en wordt naar de effecten daarvan ook onderzoek gedaan (zie kader Een slagvaardiger overheid). Waarderend Auditen vermindert volgens Drent eventuele negatieve reacties binnen de onderzochte organisatie en vergroot de veranderbereidheid van medewerkers [DREN09]. Tevens blijkt de informatie die voortkomt uit een Waarderende Audit de interne communicatie positief te beïnvloeden en beter bruikbaar te zijn voor de ontwikkeling van verbeterplannen en -strategieën. Waarderend Auditen stimuleert de medewerkers om onderling en met de leiding in gesprek te gaan over verandering en verbetering. Haagsma concludeert bovendien dat het Waarderend Auditen de acceptatie van de internal auditfunctie in zijn geheel verhoogt [HAAG08]. De kenmerkende principes van AI vat hij samen als: zorg voor een open blik, ga uit van een positieve grondhouding en voer een stimulerende dialoog. Een slagvaardiger overheid In het kader van een slagvaardiger overheid is een reeks van kleinschalige efficiencyonderzoeken uitgevoerd bij een grote uitvoeringsorganisatie. Doel van deze deelonderzoeken was om zoveel mogelijk onbenutte restcapaciteit binnen de verschillende werkprocessen te identificeren en waar mogelijk deze te optimaliseren. Bij de uitvoering van dit onderzoek is nadrukkelijk gekozen voor de aanpak van Waarderend Auditen. Dit heeft geleid tot een resultaat dat door de organisatie werd herkend en gedragen, een resultaat ook dat direct tot verbeteringen heeft geleid en een resultaat dat uitnodigde tot verdere verbetering. Deze drie uitgangspunten van AI komen ook bij de uitvoering van een Waarderende Audit aanpak, nadrukkelijk naar voren. Hieronder lichten wij voor elk uitgangspunt de toepasbaarheid bij Waarderend Auditen toe. Uitgangspunt: open blik Tijdens de Waarderende Audit kan de open blik helpen bij het vaststellen van het onderzoekkader, de invalshoek, het object van onderzoek en het normenkader. De principes van AI, waarbij onderzoeken kunnen worden uitgevoerd zonder een vaststaand normenkader, lijken op het eerste gezicht moeilijk te verenigen met het werk van een auditor dat nu eenmaal wel zo n normenkader vereist. Uiteraard is het ook goed mogelijk om te werken vanuit een vooraf vaststaand normkader dat gedurende het auditproces wordt aangepast. Hiervoor wordt tijdens de audit een onderzoeksactiviteit ingepland om het normenkader te construeren. Tijdens deze activiteit kunnen vermoedens en ideeën worden meegenomen. Op een waarderende manier auditen betekent dat de auditor zijn uitgangspunten en aannames laat bevestigen door de auditees (onderzoek betrokkenen). Dit geeft niet alleen een extra zekerheid, maar kan bij de auditor ook weer tot nieuwe inzichten leiden en daarmee uiteindelijk ook tot een beter auditresultaat. Dit bereikt de auditor door het inwinnen van inlichtingen, het observeren van activiteiten en het verkrijgen van bevestigingen van derden. Ook kan de auditor bij het werken met een open blik gewoon gebruik blijven maken van vooraf vastgelegde normenkaders, mits hij maar zorgt voor een goede onderzoeks- methodologie en voor een transparante vastlegging van de verzamelde informatie en de geformuleerde conclusies [KALK10]. De open blik zorgt juist voor een betere toepassing van het formele normenkader omdat daarmee ook ruimte wordt geboden aan situationele en specifieke omstandigheden die in een generiek normenstelsel nu eenmaal noodgedwongen ontbreken. Uitgangspunt: positieve onderzoeksvragen De auditor zal tijdens de Waarderende Audit doelstelling, onderzoeksvragen, interviewvragen en rapportages zoveel mogelijk positief formuleren. Ook in de auditrapportages zullen zoveel mogelijk positieve formuleringen worden gebruikt. Uit onderzoek van Cooperrider komt naar voren dat één van de kenmerken van goed functionerende organisaties is dat in de interne communicatie tweemaal zoveel positieve als negatieve beelden voorkomen [COOP08]. Positieve communicatie leidt dus blijkbaar tot positieve actie. Het is dus aannemelijk dat positief geformuleerde auditrapportages ook een positief effect zullen hebben op de onderzochte organisatie. Tijdens de audit zal de positieve gesprekstoon tijdens het veldwerk ook doorwerken in de wederzijdse houding van de auditor en de auditee. Door vooral ook de nadruk te leggen op het gemeenschappelijk belang zullen weerstanden verminderen en zal het gemakkelijker worden om door te dringen tot de kern van de zaak. In een positieve omgeving zal nu eenmaal eerder een vertrouwensband ontstaan die het voor de auditee gemakkelijker maakt om eventuele tekortkomingen ter sprake te brengen. Uitgangspunt: gelijkwaardige dialoog Tijdens de Waarderende Audit dient niet alleen het onderzoek te worden uitgevoerd, de auditor heeft nog een extra rol te vervullen voor wat betreft het faciliteren van de (groeps)gesprekken. Omdat het succes van elke organisatieverandering en -verbetering afhankelijk is van de medewerkers, is het van belang om al tijdens de audit de dialoog de IT-Auditor nummer

10 tussen de medewerkers te bevorderen. Medewerkers zouden dan ook veel meer dan bij de traditionele audit betrokken moeten worden bij het ontwerp van de audit, het formuleren van het normenkader en het analyseren van de onderzoeksresultaten. Een goed passende communicatievorm is het groepsgesprek. Dit komt dan in de plaats van veel voorkomende een-op-een vraaggesprekken tijdens de uitvoeringsfase. Hoe meer de medewerkers zelf de belangrijkste thema s zien en benoemen, hoe sneller zij de daaraan verbonden conclusies zullen accepteren en hoe groter het commitment zal zijn om de aanbevelingen te implementeren. Auditen in dialoog wordt door deze verbreding zeker niet minder vrijblijvend voor de auditor: hij is er nu immers voor verantwoordelijk dat er een gezamenlijk inzicht ontstaat dat ook bruikbaar is. Verificatie van de audit(tussen)resultaten vergroot de betrouwbaarheid en daarmee ook de bruikbaarheid van de auditresultaten. Uit onderzoek is gebleken dat de toepassing van één of meer van de bovengenoemde drie uitgangspunten de effectiviteit van de audit aanzienlijk kan vergroten [DREN09, HAAG08]. Toepassing van deze uitgangspunten bij het Waarderend Auditen heeft een aantal evidente voordelen, maar daarnaast zijn er ook een aantal risico s te onderkennen. Zowel voorals nadelen zullen in het onderstaande worden besproken. Specifieke voordelen van Waarderend Auditen Het karakter van het traditionele auditproces verandert door de toepassing van de AI-principes Met de invoering van het Waarderend Auditen ontstaat een meer dynamisch, toekomstgericht en positief gericht auditproces. Hieronder worden een aantal van de meest in het oog springende voordelen van Waarderend Auditen besproken. Meer onderzoeksmogelijkheden Door binnen het Waarderend Auditen gebruik te maken van de principes van AI verruimt de auditor zijn onderzoeksmogelijkheden. De auditor krijgt de beschikking over instrumenten die uit het sociale wetenschapsdomein afkomstig zijn. We zien dit bijvoorbeeld in het AI-principe van gelijktijdigheid: onderzoek en verandering zijn geen verschillende trajecten, maar onderzoek is actief en interactief veranderen. De onderzoeksinstrumenten uit de organisatieveranderkunde bieden de auditor hierbij extra mogelijkheden om zijn onderzoek uit te voeren en tot betere resultaten te komen. Bredere informatievergaring Het verzamelen en combineren van gegevens tot eindconclusies zijn met Waarderend Auditen niet meer het resultaat van één centraal oordelende persoon: de auditor. In overeenstemming met de principes van AI wordt juist meer uitgegaan van onderlinge discussie en een gezamenlijk proces van oordeelsvorming. Belangrijk onderdeel van het onderzoek is om zaken gezamenlijk ter discussie te stellen en elkaars afwegingen te begrijpen. Het eindproduct is de uitkomst van een gezamenlijk denktraject waarin de verschillende perspectieven worden meegenomen. Grotere veranderbereidheid Het aangaan van een dialoog en alle spelers betrekken in het denk- en beoordelingsproces is een belangrijk onderdeel van Waarderend Auditen. Dit draagt bij tot actieve participatie en een aanzienlijke verhoging van de acceptatie van het auditresultaat. Een bredere acceptatie en een groter draagvlak voor de auditresultaten, zal voor de opdrachtgever leiden tot een beter toepasbaar auditproduct. Bij de opstart van eventuele vervolg- en verbeteracties, door de auditor of door andere deskundigen, zal er immers sprake zijn van een grotere veranderbereidheid. De verbetering van het imago van de auditor Auditors hechten veel waarde aan hun onafhankelijke positie binnen de organisatie en hun kritische imago. In extreme gevallen kan dit er toe leiden dat de auditor los komt te staan van de dagelijkse praktijk. Waarderend Auditen garandeert een blijvende verbinding tussen de auditor en de betrokken medewerkers op de werkvloer. Het handelen van de auditor tijdens het onderzoek is transparanter. De audit zal hierdoor zichtbaarder zijn voor de organisatie. De medewerkers zullen de auditor ook als begripvoller ervaren, wat weer bijdraagt aan een positieve houding ten opzichte van de audit. De verrijking van auditopdrachten Auditors krijgen de laatste jaren steeds meer oog voor factoren die ook het gedrag beïnvloeden. Met Waarderend Auditen krijgt de auditor de mogelijkheid om hieraan concreet invulling te geven. Daarnaast geeft Waarderend Auditen aan de auditees meer ruimte om via de weergave van percepties, het geven van meningen of door gedrag, hun inbreng te hebben en invloed uit te oefenen. Waarderend Auditen biedt aan interne auditdiensten de kans om hun dienstverlening te verbreden door een grotere verscheidenheid aan audits te verrichten [OCKE11]. Behalve het bekende toetsende onderzoek passend bij assurance, met een met de opdrachtgever overeengekomen normenkader en gericht op beslissen door de leiding van de organisatie, liggen er volgens hem kansen bij verkennend, beschrijvend en verklarend onderzoek. De AI-principes sluiten goed aan op deze onderzoeksoorten, dus de Waarderende auditor kan hier direct mee aan de slag. Aandachtspunten en risico s Naast de genoemde voordelen die een Waarderende Audit met zich meebrengt zijn er ook een aantal beperkingen en mogelijk zelfs risico s 12 de IT-Auditor nummer

11 waarmee de auditor rekening moet houden. De bedrijfscultuur Een randvoorwaarde voor een succesvolle dialoog is een bedrijfscultuur die flexibiliteit en vrijheid van handelen nastreeft. Tijdens de contextanalyse moet de auditor zich een beeld vormen van de bedrijfscultuur om de effectiviteit van de Waarderend Auditen-aanpak te overwegen. Een open, veilige omgeving is vereist om kwalitatieve reflecties van de auditees te kunnen verzamelen. Achtergehouden en onuitgesproken ideeën verminderen de kwaliteit van het eindproduct. De auditor moet de cultuureigenschappen kennen en hierop anticiperen tijdens de uitvoering van de audit. Niet elke opdracht is geschikt Niet elke opdracht is geschikt voor het toepassen van de AI-principes en het uitvoeren van een Waarderende Audit. Een auditopdracht waarbij het normenkader al is aangereikt en niet meer kan worden aangepast, laat weinig ruimte voor een onderzoek met een open blik. Er is dan geen noodzaak voor onderlinge discussie en een gezamenlijk leertraject. Daarom zal bij onderzoeken die alleen gericht zijn op een terugblik of die plaatsvinden in het kader van formele externe verantwoording de traditionele auditaanpak effectiever zijn. De competenties van de auditor Waarderend auditen vraagt om aanvullende en specifieke kennis en kunde van de auditor. Zo vraagt het toepassen van AI-principes veel vaardigheid van de auditor in het verkrijgen van draagvlak en medewerking van de auditees. Hiertoe zal de auditor naast zijn standaard competenties als kritisch denken, analytisch vermogen en oordeelsvorming, ook moeten beschikken over competenties als coachingsvaardigheden, sensitiviteit en creativiteit. Indien deze onvoldoende aanwezig zijn vraagt dit een extra investering om ze te ontwikkelen. Schuivende normen In een reguliere audit toetst de auditor de door hem aangetroffen situatie aan een vooraf vastgestelde normset. Bij Waarderend Auditen wordt nadrukkelijk ook ruimte gegeven aan de inbreng van de auditee. Immers, waar de auditor expert is op het gebied van (generieke) controle- en beheersmaatregelen, is de auditee juist expert in de (specifieke) toepassing van die maatregelen en de situationele omstandigheden die het effect daarvan bepalen. Deze beide zienswijzen zijn nodig voor een goed resultaat. Het is echter niet uitgesloten en eerder zelfs te verwachten dat de auditor in de gedachtewisseling met de auditee moet constateren dat zijn initiële normset op een aantal punten bijstelling of aanvulling behoeft. Als dat het geval is zal in het auditdossier aan de hand van de gespreksverslagen en de daarin genoemde argumenten een duidelijke afweging moeten worden gemaakt om welke normen het gaat en op welke wijze deze worden bijgesteld. Deze afweging is de eenduidige verantwoordelijkheid van de auditor zelf, maar zal wel uitdrukkelijk en met argumenten aan de auditee uitgelegd moeten worden. Resources De uitvoering van een Waarderende Audit vraagt gewoonlijk meer tijd en inspanning dan een reguliere auditopdracht. Er zullen meer mensen bij het onderzoek betrokken zijn, zodat de omvang en intensiteit van de communicatie en coördinatie omvangrijker zal zijn. Ook zal door het grotere aantal betrokkenen zowel de compleetheid van de uitvoering van het onderzoek (procesbewaking) als de volledigheid van de besproken en geïdentificeerde kansen (inhoudsbewaking) complexer worden. Deze taken kosten weliswaar meer tijd vergeleken met een traditionele audit, maar zullen later in het veranderproces in positieve zin weer worden gecompenseerd. Verplichting tot actie Bij het Waarderend Auditen wordt nadrukkelijk een brug geslagen naar de medewerkers binnen de organisatie. Hun inbreng wordt gevraagd en gebruikt in het onderzoek. Ook is het te verwachten dat deze aanpak er toe leidt dat een groter aantal medewerkers uit de organisatie (auditees) in het onderzoek zullen participeren. Dit alles schept verwachtingen en vergroot de druk op de opdrachtgever om na het gereedkomen van het auditresultaat daarmee ook daadwerkelijk iets te doen. De kans dat een auditrapport ongezien in de la verdwijnt, zal bij een Waarderende Audit dan ook niet groot zijn. CONCLUSIE Het uitvoeren van een Waarderende Audit en het toepassen van de AIprincipes die daarin liggen besloten, doen zeker geen afbreuk aan het methodische, onafhankelijke of objectieve karakter van een reguliere auditaanpak. Integendeel, het zorgt voor een verrijking. Niet alleen wordt de kwaliteit van het auditproces en auditproduct verhoogd, ook heeft de uitkomst van de audit een grotere impact en een groter draagvlak en biedt daarmee een beter uitgangspunt voor een opvolgend verander- en verbetertraject. De kwaliteit van een Waarderende Audit is bovendien breder gericht dan alleen een focus op de vaktechnische kwaliteit. De door de klant ervaren kwaliteit van het geleverde auditproduct en daarmee de geleverde toegevoegde waarde, zijn minstens zo belangrijk. Dus ook de ervaringen die tijdens het auditproces worden opgedaan, kunnen de uiteindelijke kwaliteit daarvan aanzienlijk verhogen. Met deze ervaring wordt het audit resultaat de uitkomst van een gezamenlijk proces van de hele organisatie. De opdrachtgever kan de IT-Auditor nummer

12 dit gezamenlijke product gebruiken als een eerste stap in een verandertraject naar verbetering. Een Waarderende Audit kan daarmee een positief en blijvend effect op de organisatie hebben. Daarnaast voelen de medewerkers van de organisatie zich meer betrokken bij het auditproces. Zij voelen zich meer gewaardeerd doordat er naar hen geluisterd wordt en zij zien hun inbreng direct terug in het auditresultaat. Overigens wordt de audit zelf, dankzij de principes van AI, een creatiever proces dat ook veel leuker is om te doen, omdat je als auditor actief betrokken bent bij het veranderproces van de organisatie. Kortom, Waarderend Auditen en de principes van AI bieden de auditor de mogelijkheid om het auditproces niet alleen creatiever en toegankelijker te maken, maar bovendien aan de auditresultaten meer impact en draagvlak te geven. Waarderend Auditen is dan ook een veelbelovende volgende stap in de verdere verrijking van het auditvakgebied. Literatuur [ACHT08] Achterberg, H., Cursus Natuurwetenschappen: Duurzame ontwikkeling, Open Universiteit Nederland, [COOP08] Cooperrider D.L., Whitney D., Stavros J.S., Appreciative Inquiry Handbook- For Leaders of Change, 2nd Edition, [DREN09] Drent E., The effect of appreciative auditing on audit outcomes and employee attitude towards change, master thesis Rijksuniversiteit Groningen, [HAAG08] Haagsma A., Appreciative auditing, Referaat UvA, [KALK10] Kalker R., Zarrou L., Zeeuw M. de, Waarderend Auditen bij de RAD, katalysator voor verbetering, whitepaper Rijksauditdienst, [KALK11] Kalker R., Zarrou L., Zeeuw M. de, Waardering werkt in: Auditmagazine, maart [NANN10] Nanninga, W., Audit als interventie; Van controle naar concrete verbeteringen in: de IT-Auditor, nr. 2, [OCKE11] Ockels G.F., De positionering van de Internal / Operational Audit als een toetsend onderzoek, column Drs. R. (Reno) C. de Vette is lid van de NOREA-werkgroep Effect based Auditing en is werkzaam als Senior Auditor bij ministerie van V&J. Binnen het brede IT- en operational auditvakgebied heeft hij bijzondere belangstelling voor het realiseren van audits waarin een (inter)actieve rol voor de auditees nodig is. Momenteel werkt hij aan een slot-examendocument voor de Erasmus School of Accounting & Assurance over Waarderend Auditen. Mr. W. (Winfried) R. Nanninga RE CMC is lid van de NOREAwerkgroep Effect Based Auditing. Hij is IT-auditor en daarnaast heeft hij ook een uitgebreide veranderkundige opleiding gedaan en is hij CMC gecertificeerd. In het dagelijks leven is hij werkzaam bij ACS in Driebergen, een organisatie die zich toelegt op het uitvoeren en optimaliseren van auditwerkzaamheden mede door deze te integreren met veranderkundige principes. 14 de IT-Auditor nummer

13 CASESTUDY NAAR HET MANAGEN VAN DE IMPLEMENTATIE EN DE EFFECTEN Bring Your Own Device BBring Your Own Device (BYOD) is een term die menig CIO en IT-manager maar al te bekend voorkomt. Steeds vaker worden zij geconfronteerd met vragen over strategie en beleid rondom BYOD. Inmiddels is BYOD in Nederland een trend; het inzetten van privéapparaten door werknemers voor werkdoeleinden is dagelijkse realiteit geworden. Over de effecten hiervan op organisaties is momenteel echter nog weinig bekend. Door middel van een casestudy onder vier bedrijven brengen wij in dit artikel de effecten van BYOD op zowel organisaties als werknemers in kaart en formuleren wij op basis hiervan een aantal beleidsaanbevelingen. BRIGIT PEEK EN THOMAS ADELAAR In de afgelopen jaren is het gebruik van mobiele technologie en applicaties sterk toegenomen. Dit heeft de basis gelegd voor de recente trend BYOD, waarbij werknemers persoonlijke mobiele apparaten meenemen naar het werk, of deze thuis en onderweg inzetten voor werkgerelateerde doeleinden. Over de betekenis van de term BYOD bestaat nog enige discussie en in de literatuur is geen eenduidige definitie te vinden. In het kader van ons onderzoek is de volgende definitie van BYOD geformuleerd: het fenomeen waarbij een organisatie het voor haar werknemers mogelijk maakt hun privé-mobiele apparaten, zoals smartphones, tablets of laptops, voor het werk te gebruiken en te verbinden met het bedrijfsnetwerk en zo toegang te krijgen tot bedrijfsapplicaties, -gegevens en -resources zoals , fileservers, databases en intranet. De snelle opmars van BYOD is het resultaat van de volgende ontwikkelingen: De consumerization van mobiele IT. De opkomst van het nieuwe werken (HNW). De veranderende motivaties en verwachtingen van werknemers. Ten eerste is de consumerization van mobiele IT een belangrijke aanleiding voor BYOD. Dit is de toenemende tendens waarbij nieuwe mobiele apparaten eerst op de consumentenmarkt verschijnen alvorens zij zich verspreiden naar de werkvloer. Het lijkt er steeds meer op dat de consumentenmarkt mobiele IT- innovaties drijft in plaats van de IT-enterprisesector. Gartner voorspelt dat de verkoop van tablets en smartphones in 2013 oploopt tot 1,2 miljard stuks wereldwijd. Ten tweede vervaagt de scheiding tussen privé en werk door de voortgaande uitrol van Het Nieuwe Werken (HNW). HNW maakt het mogelijk om plaats- en tijdonafhankelijk te werken. BYOD ligt in het verlengde van HNW, maar het is geen voorwaarde hiervoor [WAUT12]. BYOD vraagt tevens van werkgevers om het mogelijk te maken voor hun werknemers om device- of platformonafhankelijk te kunnen werken en overal en altijd toegang te hebben tot het bedrijfsnetwerk. Uit onderzoek onder 250 Nederlandse bedrijven blijkt dat meer dan de helft HNW geheel of gedeeltelijk ingevoerd heeft en dat nog eens 42 procent bezig is met oriëntatie op en voorbereiding voor de invoering hiervan [RSM12]. In 2011 werkte al bijna de helft van de Nederlandse werknemers (gedeeltelijk) vanuit huis en steeg het gemiddeld aantal thuiswerkuren naar 13 per week [ERNS11]. Ten slotte veranderen de verwachtingen die jonge werknemers hebben ten aanzien van beschikbaarheid van de IT-Auditor nummer