SIVA – Methodiek voor de ontwikkeling van Auditreferentiekaders

23 december 2014
In dit artikel:

Het boek ‘SIVA – Methodiek voor de ontwikkeling van auditreferentiekaders’ van Wiekram Tewarie lag al geruime tijd op de stapel te lezen boeken naast mijn bed. Het boek is in april dit jaar uitgekomen en biedt volgens de achterflap ‘praktische handvatten’ voor het auditvak vanuit een methodiek die hij SIVA noemt. SIVA is een volgtijdelijke methode en staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Ik ben er een paar keer in begonnen, maar ben even zo vaak afgehaakt. Hoe kwam dat? Het is geen boek waar je heel gemakkelijk je weg in vindt. Voor ‘lezen in bed’ is het boek te diepgaand – het vergt een meer geconcentreerde lezer. Toch leek het boek me interessant genoeg om mijn tanden er eens in te zetten en via deze boekbespreking wil ik mijn ervaringen met u delen.

Schermafbeelding 2014-12-23 om 13.58.45

De praktijkgerichte SIVA-methodiek is stevig verankerd in theorieën uit verschillende disciplines variërend van audit tot systeemtheorie en de filosofische zijnsleer. Geen enkele pagina in het boek mist onderbouwing. Tewarie’s dissertatie, A Structured Approach to IT Auditing – Model Based Development of Audit Terms of Reference, bevat de wetenschappelijke basis voor de SIVA-methodiek. Hierover verscheen in 2011 reeds een artikel in de IT-Auditor van de hand van onder anderen Tewarie.1

Tewarie merkt op dat de werkwijze voor het opstellen van de verzameling criteria voor een audit, het referentiekader, veelal louter gebaseerd is op het inzicht van auditors. Het risico daarbij is dat niet de juiste of niet alle onderwerpen aan de orde komen. Een referentiekader is dan ook in de regel een (willekeurige) mix van algemene en gedetailleerde normen. Tewarie wijst de weg naar een beter onderbouwde aanpak en geeft in zijn boek antwoord op de vraag hoe je systematisch relevante criteria voor een audit kunt vaststellen.

Voor ‘lezen in bed’ is het boek te diepgaand – het vergt een meer geconcentreerde lezer

Na een inleiding waarin hij de noodzaak van een gestructureerde aanpak aangeeft, beschrijft Tewarie het fundament van referentiekaders en introduceert hij SIVA. SIVA is een verzameling hulpmiddelen voor het ontwikkelen van relevante normenkaders. De hulpmiddelen Structuur, Inhoud, Vorm en Analysevolgorde worden in successievelijke hoofdstukken uitgewerkt en theoretisch onderbouwd. Tewarie maakt in zijn boek gebruik van een case, die hij verschillende malen terug laat komen in de opeenvolgende hoofdstukken. Hiermee geeft hij aan dat referentiekaders, gebaseerd op louter inzicht van auditors (in dit geval studenten), noch gestructureerd noch volledig zijn. Hij legt de casus als het ware tegen de verschillende hulpmiddelen aan en maakt de lezer daarbij duidelijk dat het intuïtief opstellen van een referentiekader geen garantie vormt voor relevantie en volledigheid. Overigens zou het mij mooi lijken om in een onderzoek de uitkomsten van verschillende opstellers die de methode van Tewarie hanteren naast elkaar te leggen.

Het negende hoofdstuk beschrijft heel praktisch, hoe je met de vier hulpmiddelen via een gestructureerde aanpak een referentiekader kunt samenstellen. Hierbij komen theorie en praktijk bij elkaar en wordt meteen duidelijk waarom op pagina 5 van het boek een citaat van Kurt Lewin staat: ‘There is nothing so practical as a good theory’. De casus uit hoofdstuk 3 wordt in het tiende hoofdstuk systematisch volgens de SIVA-methode uitgewerkt. De lezer moet er wel rekening mee houden dat het toepassen van de methode veel effort vereist en wellicht meer specifiek geschikt is voor jaarlijkse audits bij grotere organisaties.

There is nothing so practical as a good theory

Dat SIVA niet alleen te gebruiken is als hulpmiddel voor IT-audit, zien we in de uitwerking van een tweede casus in het boek, de Bijlmerramp. Vanuit het perspectief van operational audit wordt geïllustreerd hoe het referentiekader voor de onderzoeksonderwerpen ‘onderhoudstoestand van het vliegtuig en de motoren’ kan worden ontwikkeld. Hierbij toont Tewarie ten eerste aan dat SIVA een bredere toepassing kent dan louter IT-audit. Ten tweede laat hij zien dat een systematische aanpak leidt tot een identificatie van aanvullende auditelementen voor een referentiekader ten opzichte van de bestaande aanpak bij onderzoek naar incidenten in de transportsector.

Ten slotte wordt in de twee laatste hoofdstukken het basisinstrument, in casu het referentiekader, gepositioneerd binnen het auditproces en bekeken door de ‘lens’ van IT-governance.

SIVA is geen boek voor op het nachtkastje. De informatiedichtheid is hiervoor te groot. Wel is het een boek voor auditors die het belang onderkennen van een praktische, systematische en grondig onderbouwde aanpak voor het ontwikkelen van referentiekaders en evaluatie van bestaande referentiekaders. Kortom een ‘doe boek’ met een stevig theoretisch fundament!

1 Tewarie, W., Paans, R., Hulstijn, J., Het construeren van referentiekaders: een principle-based aanpak, de IT-Auditor, jaargang 20, nummer 2 , 2011.­

Drs. H.A.J. (Henri) Raaphorst RE

Henri Raaphorst is Hoofd IT-Audit bij het ministerie van Defensie. Zijn leidende thema voor het werk is ‘Bouwen aan vertrouwen’. Vertrouwen binnen zijn team, in de relatie met de klant/collega’s en vertrouwen in de IV/ICT, die van toenemend belang is voor de taken van de Nederlandse Krijgsmacht.