Ook digitale informatienetwerken vereisen management control

Vanuit audit en control is helaas nog vaak sprake van een falende of ontbrekende assurance bij de uitwisseling van data in een ketenomgeving. Nieuwe technologie en wet- en regelgeving maken alles nog complexer. Door innovatie in audit en assurance kan waardevolle terugkoppeling gegeven worden over de kwaliteit van risicobeheersing aan de deelnemers van het informatienetwerk. Directie en management kunnen maatregelen nemen om strategische doelstellingen en risicogebieden af te dekken.

Lees ook: Ketenauditing en ketencontrolling zijn beroepen van de toekomst
                 Digitalisering dwingt tot samenwerking accountant en itauditor 
 

1. Vitaal onderdeel van moderne samenleving            
Wij lezen het dagelijks in de krant. Samenwerking tussen organisaties en in informatienetwerken wordt steeds belangrijker door trends in digitale connectie, voortschrijdende specialisatie, toenemende afhankelijkheden, hogere maatschappelijke eisen en toenemende interactie en samenwerking. Organisaties en personen die met elkaar samenwerken en communiceren, maken feitelijk deel uit van een organisatie-overstijgend stelsel voor de uitwisseling van data. Eigenlijk praten wij over het tot stand brengen van een ecosysteem of een informatie-infrastructuur voor de uitwisseling van data. Het betreft vooral het structureren en digitaliseren van de communicatie die nodig is om de gegevens aan elkaar beschikbaar te stellen. Op deze wijze zijn digitale informatienetwerken ontstaan. Hierdoor blijft ook de positie van controllers en auditors in beweging.

In tegenstelling tot de klassieke automatisering, waarbij toepassingen voornamelijk gericht zijn op interne toepassingen binnen organisaties, richten informatienetwerken zich voornamelijk op communicatie tussen organisaties en personen die met elkaar samenwerken. Met deze informatienetwerken, die de grenzen van de eigen organisatie overschrijden, kunnen diverse informatievraagstukken in bedrijfsleven en publieke sector opgelost worden, die tot dusver onoplosbaar bleken te zijn met uitsluitend organisatorische maatregelen. Een illustratief voorbeeld is bijvoorbeeld de Loonaangifteketen, de financiële aorta van Nederland. Je ziet dan, dat informatiemanagement bij samenwerkingsverbanden zich voornamelijk richt op structurering en overzicht en minder op inhoud van informatiestromen.

Een efficiënt informatienetwerk is gebaat bij digitalisering van de gegevensuitwisseling tegen zo laag mogelijke kosten, bezien over het gehele ecosysteem en dus zonder deeloptimalisering. De voordelen van dergelijke informatienetwerken komen het beste tot uiting bij grootschalige samenwerking, doordat de ketensamenwerking processen bevat waarin organisaties periodiek hetzelfde informatieproces uitvoeren; de informatiestromen een groot verwerkingsvolume kennen (veel berichtenverkeer); en organisaties de aansluitende backoffice taken geautomatiseerd kunnen afhandelen, bijvoorbeeld bij informatiefabrieken. 

De realisatie van dergelijke informatiesystemen, het zijn eigenlijk communicatiestelsels geworden, heeft vaak ingrijpende gevolgen. De dynamieken in allianties, en nieuwe technologie zoals blockchain, leiden tot enorme potentiële groeigebieden voor de uitwisseling van allerlei data. En dit alles in combinatie met privacy en security compliance. Afnemersgroepen, organisatorische aspecten, voorwaarden en consequenties moeten eerst zorgvuldig beoordeeld worden.

2. Zijn control en audit bij uitvoeringketens dan anders?                         
Ketenpartners in bedrijfsleven en overheden werken samen om een gezamenlijk doel te bereiken. Zij stemmen hun organisaties en processen op elkaar af om de uitvoeringsprocessen, die door hun organisaties heen lopen, zo goed mogelijk te laten verlopen. Dergelijke informatiestromen kunnen onderwerp van een audit zijn. Het beheersen van risicogebieden bij ketensamenwerking is een gezamenlijke verantwoordelijkheid van alle partijen. Vanuit het perspectief van audit en control is echter nog steeds vaak sprake van een falende assurance in de situatie van procesintegratie en gegevensuitwisseling in een informatienetwerk. 

Een goede assurance heeft echter pas zin als aan twee basisvoorwaarden wordt voldaan. Ten eerste moet de assurance zich richten op de keten als geheel. In de praktijk blijkt dat ketenpartners hun werkzaamheden weliswaar op elkaar afstemmen en in een ketenomgeving uitvoeren, maar dat ze vaak geen gezamenlijke visievorming en regievoering hebben. Ten tweede heeft assurance vaak pas zin als er sprake is van een gesloten managementcyclus. Binnen overheden bijvoorbeeld ontbreekt het op veel plaatsen aan terugkoppelmechanismen tussen uitvoering en beleid, waardoor de managementcyclus niet gesloten is.

De samenstelling van ketensamenwerking en informatienetwerken is steeds in beweging. Bovendien is een ketenaudit moeilijk uitvoerbaar omdat elke zelfstandige ketenpartner eigen toetsingsnormen heeft. De belangstelling voor ketenaudits hangt af van hoe tegen een audit wordt aangekeken. Er worden steeds meer operational audits uitgevoerd die zich richten op de beoordeling en/of advisering van processen tussen organisaties. Zij zien de ontwikkeling naar extern ketendenken als een vervolgstap op het interne procesmatige denken. Door deze externe oriëntatie wordt de context, niet de interne organisatie en inrichting, meer bepalend voor de zekerheden die gezocht worden. 

3. Bestaat er voldoende innovatie in audit en assurance? 
Er komt heel veel op auditors en controllers af; zij hebben een veel strategischere rol gekregen en moeten hun visie geven op allerlei integrale thema’s. Zij moeten bijvoorbeeld vaker gericht zijn op het behalen van maatschappelijke doelstellingen van hun bedrijf of instantie. Het gaat meer om waardecreatie dan om cijfers. Professional judgment en principle based auditing vormen vaak eerder een basis voor het verschaffen van zekerheden dan de gangbare, meer operationele normenkaders en procedures. Dit heeft geleid tot de noodzaak om nieuwe audit- en andere assurance methoden te ontwikkelen, met name vanuit het perspectief van ketensamenwerking en digitale informatienetwerken.

Ketenauditing maakt een betere assurance en een betere samenwerking binnen informatienetwerken mogelijk. Doordat de verantwoordelijke opdrachtgevers of keteneigenaren de individuele organisaties kunnen vertrouwen, kunnen ook de deelnemers elkaar vertrouwen. Zij weten dat de processtappen correct worden uitgevoerd en kunnen op de integriteit vertrouwen van de door andere gebruikers aangeleverde data. De rapportages over het functioneren van het informatienetwerk als geheel wordt eveneens versterkt. Door visievorming, betere aansturing en management control treedt verbetering op in de vaak nog gebrekkige uitwisseling van informatie en kennis tussen de partijen in een informatienetwerk. 

We staan aan de vooravond van een digitaal tijdperk en moeten beslissingen nemen over fundamentele vraagstukken. Dit zorgt tegelijkertijd ook voor de urgentie van innovatie in audit en assurance, aangezien de belangrijke risico’s vaak op de grensvlakken van partijen en gebruikers liggen. Vaak wordt een keten nog steeds niet als geheel, maar per afzonderlijke schakel (ketenfase of deelnemende partij) bestuurd en beheerst. Nieuwe inzichten komen nu snel tot stand door nauwe samenwerking en interactie met de praktijk. Vraaggesprekken in het werkveld met accountants, controllers en IT auditors leiden al gauw tot praktische kernvragen zoals:

• Op welke wijze en in hoeverre onderscheidt management control binnen organisaties zich van management control in een ketenomgeving waarbij diverse onbeheersbare en niet-beïnvloedbare omgevingsfactoren een rol spelen?
• Welke aspecten spelen een rol bij de regievoering en beheersing van samenwerking tussen organisaties en het daarbij relevante informatiemanagement, en op welke wijze gaan de verantwoordelijke betrokkenen hiermee om?
• Op welke wijze wordt digitale connectie gerealiseerd en met welke risicofactoren en beheersmaatregelen dient hierbij rekening te worden gehouden?

In een volgende bijdrage zal hierop worden ingegaan.

Dr. René Matthijsse RE, lector Keteninformatiemanagement en Control aan Fontys Hogescholen en tevens associate professor IT Auditing aan de Vrije Universiteit Amsterdam, onderzoekt hoe ketensamenwerking en digitalisering het financiële vakgebied veranderen.