Organisaties krijgen steeds meer een internationaal en globaal karakter. Deze trend heeft invloed op de IT-omgeving en dus op de (IT-)audit en advisering hiervan. Het kan echter ook zijn dat technologische ontwikkelingen ook mogelijkheden scheppen op het gebied van globalisering. Denk bijvoorbeeld aan de invloed van breedbandinternet op de samenleving en organisaties.
Globalisering zal dus aanpassingen van de IT-auditor vragen, maar zeker ook leiden tot nieuwe mogelijkheden en uitdagingen op het IT-auditvakgebied.
Inleiding
Globalisering en internationalisering zijn tegenwoordig vaak gebruikte termen om aan te geven dat de wereld steeds kleiner wordt en bijna iedereen met elkaar in verbinding staat. Dit is vooral het gevolg van de voortdurende technologische ontwikkelingen, die leiden tot nieuwe mogelijkheden, zoals goedkoop breedbandinternet en een wereldwijde 24 maal 7 ‘BlackBerry’-werkplek. Ook de ontwikkelingen in en invloed van de emerging markets, waaronder de BRIC-landen (Brazilië, Rusland, India en China), hebben globalisering bij veel organisaties op de kaart gezet.
Globalisering en technologische ontwikkelingen hebben natuurlijk ook invloed op de wijze waarop organisaties met hun strategie en IT omgaan. Doordat breedbandinternet, opslagmedia en snellere IT-systemen steeds goedkoper worden, kiezen organisaties er bijvoorbeeld meer en meer voor om hun IT (bijvoorbeeld ERP-systemen) verder te standaardiseren en centraliseren. Deze ontwikkelingen hebben vaak ook een verandering van risicoprofiel tot gevolg. Bij veel kleine lokale systemen zal de op het optreden van een probleem of calamiteit groter zijn, maar is de impact op de totale bedrijfsvoering kleiner. Bij grote gecentraliseerde systemen is de kans op optreden wellicht kleiner, maar is de impact des te groter. Deze standaardisatie en centralisatie van IT zal ook invloed hebben op de wijze waarop de IT-audit- of advieswerkzaamheden worden uitgevoerd.
In dit artikel worden de invloed en eventuele uitdagingen van globalisering met een IT- en IT-auditinvalshoek toegelicht. Hierbij zal tevens kort worden ingegaan op de artikelen die in dat kader in deze Compact zijn opgenomen.
Gevolgen van en mogelijkheden voor globalisering ten aanzien van IT en audit
Om een analyse te maken van de status van de IT-omgeving of een groeipad van (IT-)veranderingen te definiëren wordt vaak het Nolan Norton-groeiprocessenraamwerk gebruikt ([Nola79]). Dit raamwerk is reeds gepubliceerd in de jaren tachtig, lang voordat de term globalisering bestond, maar wordt tegenwoordig nog veelvuldig toegepast.
Het raamwerk bestaat uit een viertal processen, namelijk Management & Organisatie, Processen & Applicaties, Infrastructuur en Mensen & Cultuur. De mate van beheersing en volwassenheidsniveau van deze processen afzonderlijk en de balans tussen de processen heeft invloed op de performance dan wel kosten/baten van IT binnen een organisatie. Het raamwerk kan ook worden gebruikt in het kader van globalisering. De vier groeiprocessen zullen invloed hebben op de globalisering (bijvoorbeeld breedbandinternet), maar ook zal globalisering invloed hebben op de ontwikkelingen van deze vier groeiprocessen (internationalisering strategie van een organisatie). In figuur 1 is deze wisselwerking afgebeeld met behulp van de pijlen van en naar het blokje ‘Globalisering’.
Figuur 1. Globalisering: impact én trigger.
(Naar [Nola79].)
Globalisering en de ontwikkelingen op de vier groeiprocessen zullen invloed hebben op hoe organisaties met hun IT omgaan en dus ook invloed hebben op en uitdagingen zijn voor het IT-auditberoep.
Management & Organisatie
Groeien is het strategische sleutelwoord voor organisaties, hetzij via autonome groei, dan wel via fusies of overnames. Organisaties kunnen ook niet achterblijven bij het uitbreiden naar de emerging markets. Niet alleen voor het outsourcen van bedrijfsprocessen of IT-afdelingen (bijvoorbeeld India), maar ook voor de productie of afzetmarkt (bijvoorbeeld China). Deze expansiedrift heeft natuurlijk impact op de IT-strategie. Hierbij zijn efficiency en kostenreductie essentieel door niet alleen de IT-omgeving, maar ook bedrijfsprocessen verder te concentreren en te centraliseren in onder meer shared service centers. Deze ontwikkelingen hebben invloed op de wijze waarop IT-auditwerkzaamheden worden uitgevoerd. Was het vroeger zo dat alle organisatieonderdelen een afgebakende auditscope hadden, tegenwoordig zien we dat het factuurafhandelingsproces uitgevoerd wordt door een shared service center in Polen, de ERP-applicatie beheerd wordt in Nederland en het datacenter fysiek in Brazilië staat, maar remote beheerd wordt vanuit India. Dit opknippen van processen heeft een zeer directe invloed op de wijze van beheersing door de organisatie, maar natuurlijk ook op de scope en aanpak voor de IT-audit van de general IT en de application controls. In het artikel ‘Internationalisatie van leasemaatschappijen: groeien én snoeien’ belicht Wolters deze trend vanuit de leasemarkt. Hierbij wordt de impact van de internationale bedrijfsstrategie op de IT-strategie beschreven en de impact daarvan op de IT-audit van deze organisaties.
Globalisering is ook van toepassing op IT-projecten, bijvoorbeeld voor de implementatie van internationale wet- en regelgeving zoals Sarbanes-Oxley, grote procesverbeteringsprojecten of wereldwijde ERP-implementaties. Deze projecten vinden per definitie op ‘corporate’niveau plaats. De beheersing en het welslagen van zulke corporateprojecten vragen om een gedegen aanpak en vaak ondersteuning van een IT-auditor.
Ook nog dichter bij het IT-auditberoep heeft de globalisering toegeslagen. Tijdens de extra Algemene Vergadering van NOREA op 13 juli 2006 is ingestemd met de aanvaarding van de ‘Code of Ethics voor IT-auditors’ ter vervanging van het Reglement Gedrags- en Beroepsregels Register EDP-Auditors (GBRE). In het artikel van Kloosterman en De Kiewit wordt deze code, die is afgeleid van de Code of Ethics van de International Federation of Accountants (IFAC), toegelicht. In het artikel wordt ingegaan op het feit dat de code uitgaat van een sterke verantwoordelijkheid van de IT-auditor zelf, waardoor de implementatie meer is dan alleen het uitgeven van een boekje aan de register IT-auditors.
Processen & Applicaties
De reeds aangehaalde concentratie en centralisatie van organisatieonderdelen en daardoor bedrijfsprocessen heeft natuurlijk een directe invloed op de applicaties en IT-systemen. Organisaties willen de bedrijfsprocessen verder standaardiseren en uniformeren en met behulp van een ‘template’ de (ERP-)applicatie gestandaardiseerd uitrollen over de gehele wereld. Vaak wordt aan een dergelijk ERP-systeem de term kernel gegeven, omdat tachtig procent van de functionaliteit voor alle organisatieonderdelen gelijk is en niet meer snel zal veranderen. De overige twintig procent functionaliteit zal specifiek gecustomized dienen te worden om aan de lokale specificaties voor fiscale en wettelijke regelgeving te kunnen voldoen.
De implementatie van een dergelijk ERP-pakket vraagt naast een beheerst project (zie ook onder Management & Organisatie) een flexibele, schaalbare en internationaal georiënteerde applicatie. In het artikel ‘Leasingsoftware: een internationaal gezelschap op een internationaal speelveld’ geven Hoffman, Peeters en Wolters een overzicht van het aanbod van automotive- en equipement-leasesoftware en gaan zij kort in op het internationale karakter.
Grote internationale applicaties brengen navenante risico’s met zich mee. Het belang van een effectieve beheersing van processen binnen dergelijke applicaties is dan ook uitermate groot. Vooral als het kritieke processen betreft zoals het gecentraliseerde betalingsproces. In het artikel ‘Elektronisch bankieren met OfficeNet’ van Van Houwelingen wordt in eerste instantie vanuit een praktische invalshoek ingegaan op de risico’s en maatregelen van een kleine betalingsorganisatie. Het blijkt namelijk dat de meeste risico’s blijven bestaan bij de inrichting van een gecentraliseerde betalingsorganisatie, echter de implementatie van de maatregelen is complexer. Een mooie uitdaging als audit- of ondersteuningstraject voor een IT-auditor.
Infrastructuur
In de inleiding is reeds aangegeven dat technologische ontwikkelingen een aanjager kunnen zijn voor de globalisering. Als voorbeelden zijn het breedbandinternet en de ‘BlackBerry’-werkplek genoemd. Deze ontwikkeling kan echter ook risico’s met zich meebrengen voor de beveiliging en beheersing van de technische infrastructuur. Dat geldt vooral op het gebied ‘wie ben jij’ en ‘wat mag jij’, de simpele betekenis van ‘Identity & Access Management’, afgekort ‘I AM’. In het artikel ‘Globalisering en de complexiteit van logische toegang’ gaan Hermans, Van Ham en Ter Hart onder andere in op het inzetten van ‘I AM’ om operational excellence (efficiënt autorisatieaanvragen automatiseren) en compliance (voldoen aan regelgeving) te bereiken. Wellicht kan zelfs gesteld worden dat een globaal ‘I AM’-concept kan worden gezien als een randvoorwaarde voor het verder globaliseren van organisaties.
Een andere ontwikkeling is het verder onderbrengen van IT-processen binnen shared service centers of zelfs het outsourcen van de processen. Beide vormen hebben invloed op de wijze van beheersing door de organisaties. De concentratie van IT-processen op een en dezelfde plek kan net als bij de applicaties leiden tot een hogere impact en dus risico. In dat kader zullen de noodzakelijke ‘in control’-statements, zoals een SAS70-verklaring voor onder andere Sarbanes-Oxley, ook hoog op het ‘to do’-lijstje van de IT-auditor blijven staan.
Mensen & Cultuur
Bij globalisering wordt vaak in eerste instantie gedacht aan verre reizen en culturen. Het succesvol uitvoeren van internationaal project valt of staat met de samen- en wisselwerking tussen verschillende culturen. De eigenwijze Nederlander, de hiërarchische Duitser, de geregelde Chinees, de patriottistische Amerikaan, de degelijke Engelsman, enzovoort dienen in een internationaal project samen te werken. De Grooth belicht de bedrijfscultuur vanuit zijn meer dan veertigjarige internationale ervaring. Hij sluit zijn betoog af met een drietal praktische adviezen, die iedere internationale werknemer ter harte dient te nemen.
Ook integer handelen is een randvoorwaarde voor samenwerking in en tussen organisaties. Echter, door het internationale karakter van organisaties is het vaststellen van dé ‘integriteit’ en het managen ervan binnen een organisatie vaak niet eenvoudig. Kloosterman en De Kiewit lichten integriteit vanuit verschillende invalshoeken toe. Er wordt ook ingegaan op de integriteitthermometer, een geautomatiseerde tool die binnen een organisatie internationaal de integriteit kan vaststellen en monitoren. Eventuele afwijkingen van de benchmark kunnen worden geïdentificeerd en worden aangepakt.
Conclusie
Bij de term internationale IT-audit wordt vaak in eerste instantie gedacht aan het aspect reizen inclusief de kennismaking met andere culturen, en in mindere mate aan de mogelijkheden en uitdagingen op het gebied van de IT-audit zelf.
Door de internationalisering en globalisering zullen organisaties hun IT-omgeving ‘globaliseren’ op het gebied van Management & Organisatie, Processen & Applicaties, Mensen & Cultuur en Infrastructuur. Deze ontwikkeling zal een verandering opleveren voor de aanpak en methodieken van de IT-auditor en -adviseur, maar zij zal zeer zeker ook tot opportunities kunnen leiden op het vakgebied van de IT-audit.
Literatuur
[Nola79] R.L. Nolan, Managing the Crises in Data Processing. Harvard Business Review 57, no. 2, March-April 1979.