Auditing & Zelforganisatie

De aanleiding voor deze artikelreeks is de ervaring die ik heb opgedaan met een ISAE 3402 audit binnen de context van (een transitie naar) zelforganisatie. Een ISAE 3402 is een verklaring van een onafhankelijke auditorganisatie dat de processen die een klant heeft uitbesteed aan een dienstverlener voldoen aan de norm. Gaandeweg het traject werd duidelijk dat het generieke normenkader, een set van beheersmaatregelen zoals geformuleerd door de beroepsorganisatie van IT-auditors (NOREA), niet of moeilijk verenigbaar is met een zelforganisatie. Dit betekent niet dat een zelforganisatie niet voor een audit kan slagen! Integendeel, een zelforganisatie is misschien wel beter in staat haar beheersmaatregelen extern te verantwoorden dan menig conventionele organisatie.

Deze blogpost gaat in op wat ISAE 3402 is en wordt kort het verschil tussen een conventioneel paradigma en dat van een zelforganisatie uitgelegd.

In een aantal vervolgartikelen ga ik dieper in op een generiek normenkader met beheersmaatregelen voor een zelforganisatie waarmee een auditor ‘uit de voeten kan’.

Wat is ISAE 3402?

Steeds meer organisaties besteden functies en activiteiten op het gebied van informatie- en communicatietechnologie uit aan IT-dienstverleners. Steeds vaker zijn dit functies en activiteiten die bij een verstoring een grote impact hebben op de bedrijfsvoering. Een continue goed functioneren van de IT-dienstverlening is dus van essentieel belang. Afspraken hierover worden doorgaans vastgelegd in een Service Level Agreement (SLA) die periodiek geëvalueerd worden op basis van de geleverde prestaties. Echter een SLA biedt onvoldoende zekerheid over de kwaliteit van de dienstverlening. Dit is een reden waarom organisaties periodiek een onafhankelijk oordeel willen over de kwaliteit van de uitbestede functies en activiteiten. Eén van de mogelijkheden is de uitvoering van een ISAE 3402 assurance opdracht.

Steeds vaker eisen accountants een ISAE 3402 rapportage van organisaties die hun IT-processen uitbesteden aan een serviceprovider. Voor sommige financiële instellingen is zelfs in de ‘Wet financieel toezicht’ vastgelegd dat zij moeten aantonen dat de serviceorganisatie de uitbestede processen intern beheerst. Als organisatie wil je zeker weten dat (financiële) data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 wordt dat aangetoond.

Ook certificaten (bijv. ISO 27001/27002, ISO 20000 ed) zijn belangrijke bewijsstukken voor kwaliteit en dat aan (inter-)nationale standaarden en best practises worden voldaan. Echter veel certificaten zijn een momentopname (een foto) van de kwaliteit die op het moment van de audit is geconstateerd. Wij waren op zoek naar een ‘onafhankelijk oordeel’ over de kwaliteit van dienstverlening gedurende een langere periode. Niet alleen een foto (opzet en bestaan), maar een film (werking)!

Conventioneel vs Zelforganisatie

De beheersmaatregelen voor een zelforganisatie verschillen met die van een conventioneel gemanagede organisatie. Voor een groot deel worden deze verschillen veroorzaakt door een radicaal ander managementparadigma (zie tabel)

ConventioneelZelforganisatie
Aansturen mensen en processenAansturen van rollen (en de rol is ‘eigenaar’ van het proces)
Hiërarchie van posities (en daarmee macht)Hiërarchie van doelstellingen (purpose) – iedereen heeft macht op basis van spelregels
Je mag iets doen als je toestemming hebtJe mag alles doen (in het realiseren van de purpose van je rollen) tenzij het
expliciet verboden is
Besluitvorming op basis van macht en/of consensusBesluitvorming op basis van consent (integratieve besluitvorming)
Verantwoordelijkheden zijn impliciet en/of afgeleid van de hiërarchische positie/functie Alleen expliciete verantwoordelijkheden bestaan
Spanningen zijn negatief (stress) en moeten waar mogelijk voorkomen worden.
Continue verbeteren is een separate
activiteit.
Spanningen zijn positief (stretch) – een kans om te verbeteren gebaseerd op de dagelijkse praktijk.
Continue verbeteren is bestaansvoor-waarde van de rol.

De beheersingsdoelstellingen zijn onverminderd ook van toepassing op een zelforganisatie. Echter een zelforganisatie hanteert een ander begrippenkader. In een aantal vervolgartikelen worden de verschillen en overeenkomsten uitgelegd aan de hand van de generieke beheersmaatregelen van NOREA.

Next: Beleid

5 gedachten over “Auditing & Zelforganisatie”

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s