Deel 1

Interne (IT-)auditor levert meer waarde met een ‘Audit Manifesto’

23 september 2020 Edwin Galama
PDF
In dit artikel:

De organisaties die wij auditen, omarmen in hun IT-voortbrengingsproces steeds vaker agile en haar werkwijzen. Wij IT-auditors kunnen hierbij niet achterblijven en hebben zelf ook kennis nodig over het onderliggende beheerstelsel en de uitgangspunten bij agile werken. De beste manier om deze kennis op te doen is door het agile werken zelf te ervaren en toe te passen, en vooral door ons zelf ook de agile mindset eigen te maken. Zo zijn we beter in staat om onze opdrachtgevers meer en beter zichtbare toegevoegde waarde te leveren. Hoog tijd daarom, voor een nieuwe mindset van de IT-auditor, en doorontwikkeling van onze werkwijze en auditaanpak.

Als interne (IT-)auditor hebben we onze audit-omgeving zien veranderen van relatief simpel en stabiel in uiterst complex en dynamisch. Dit onder invloed van een aantal elkaar versterkende ontwikkelingen, zoals innovatieve informatietechnologie, oprukkende globalisering, overvloed aan informatie en individualisering. Door de exponentiële groei van de IT wordt het IT-voortbrengingsproces van een onderneming of instelling bovendien een steeds belangrijker middel om haar strategische doelstellingen te bereiken. Het streven hierbij is flexibiliteit en een kortere time to market, waarvoor steeds vaker de agile mindset wordt omarmd. Wij IT-auditors kunnen door een beoordeling van het IT-voortbrengingsproces snel veel toegevoegde waarde leveren, gezien het belang van dit proces voor de onderneming. Hiervoor hebben we zelf ook kennis nodig over het onderliggende beheerstelsel en de uitgangspunten bij agile werken.

In dit artikel geef ik mijn visie in welke richting onze beroepsgroep moet bewegen om te blijven aansluiten op de agile-transformatie die gaande is. Als ervaren externe en interne registeraccountant merk ik dat collega’s vaak teruggrijpen op pre-agile beoordeling van het beheerstelsel rond een agile IT-voortbrengingsproces. Ik zie ook weinig IT-auditors met kennis van en ervaring met de agile-werkwijze. Daarom heb ik mij verdiept in dit onderwerp voor mijn afstudeeropdracht voor de eenjarige RE-opleiding voor RA’s aan de UVA. Ik denk dat de inzichten en handvatten die naar voren kwamen nuttig zijn voor andere IT-auditors en deel ze daarom graag.

Dit eerste deel behandelt de agile mindset en daaraan ten grondslag liggende vier agile-succesfactoren en de essentiële veranderingen (shifts) bij agile werken. In het daarop aansluitende tweede deel, in de volgende editie van de IT-auditor, pas ik de agile-succesfactoren toe op de werkwijze van een IT-auditor. Dat mondt uit in een Audit Manifesto, naar analogie van het Manifesto for agile software development uit 2001 (hierna: Agile Manifesto).

Voor het verwerven van de agile mindset is een goed begrip nodig van het agile-gedachtengoed en de daaraan ten grondslag liggende uitgangspunten. Na een introductie van het agile-gedachtengoed behandel ik daarom in dit eerste deel de uitgangspunten bestaande uit:

  • de vier kernwaarden en twaalf principes;
  • te hanteren gebruiken en de spelregels van Scrum.

Daarna ga ik in op de essentiële veranderingen die aan een agile mindset ten grondslag liggen, de zogenoemde shifts.

Agile gedachtengoed

We zien organisaties voor hun IT-voortbrengingsproces in een steeds hoger tempo de agile mindset omarmen. Ook wordt het ‘agile denken’ steeds breder ingezet om meer waarde te leveren en beter in te spelen op de steeds sneller veranderende omgeving. Hierdoor verandert het te beoordelen beheerstelsel als onderzoekobject, omdat agile nadrukkelijk culturele en personele aspecten in de beheersing introduceert. Hierdoor veranderen de te hanteren normenkaders voor audits ook.

Figuur 1: Agile gedachtengoed (bron: [AGIL01])

Deze paragraaf behandelt vanuit het begrip ‘mindset’ het agile gedachtengoed en de wezenlijke veranderingen bij agile werken ten opzichte van de meer traditionele werkwijzen.

Het begrip ‘mindset’ verwijst naar houdingen tegenover en automatische reacties op bepaalde situaties. In figuur 1 is te zien dat bij een agile mindset vier kernwaarden, twaalf principes en tal van ondersteunende gebruiken horen. [AGIL20]

Een mindset verander je niet van de ene op de andere dag, en ook de transformatie naar een agile mindset is een langdurig proces. Het verwerven van inzicht, begrip en kennis over agile kost nu eenmaal tijd. De ontwikkeling van een agile mindset is niet zozeer het overstappen op een nieuwe vastgelegde werkwijze op basis van voorschriften en instructies. Het is vooral een verandering in denken die bestaat uit het loslaten van bestaande zekerheden, het accepteren van de onzekerheden van agile en het improviseren dat eigen is aan de agile benadering.

Het Agile Manifesto met vier kernwaarden en twaalf principes

Het agile werken is ontstaan in de IT-wereld. Het is niet bedacht door één persoon of binnen een specifieke organisatie. De benadering ontstond doordat verschillende softwareontwikkelaars behoefte hadden aan een andere manier van werken dan de traditionele sequentiële (waterval)aanpak. Ze ontdekten al snel dat ze veel dezelfde beginselen toepasten. In 2001 hebben ze na een aantal informele bijeenkomsten de voor hen belangrijkste beginselen in hun Agile Manifesto neergelegd. [AGIL01] Het Agile Manifesto bevat een korte maar zeer krachtige omschrijving van vier kernwaarden en twaalf principes voor softwareontwikkeling. In de volgende twee subparagrafen geef ik een opsomming van de kernwaarden en principes. Voor de omschrijving van de kernwaarden en principes maak ik gebruik van de vertaling van de Agile Scrum Groep [AGIL20]. Het betreft een vrije vertaling waarmee de toepasbaarheid van de kernwaarden en principes breder is dan alleen bij softwareontwikkeling. In deel 2 van dit artikel, in de volgende editie van de IT-Auditor, gebruik ik deze kernwaarden en principes om de Agile-succesfactoren toe te passen op de werkwijze van een IT-auditor.

Vier kernwaarden

De vier kernwaarden zijn:

  1. Mensen en hun onderlinge interactie boven processen en hulpmiddelen.
  2. Opgeleverde deelprojecten boven allesomvattende documentatie of plannen.
  3. Samenwerking met de klant boven contractonderhandelingen.
  4. Inspelen op verandering boven het volgen van een plan.

In de formulering van deze kernwaarden geeft het woord ‘boven’ aan dat wat aan de rechterkant staat belangrijk blijft, maar dat wat links staat nóg belangrijker is. Alle acht aspecten zijn dus belangrijk. De formuleringen aan de linkerkant vormen de kritische succesfactoren van agile. Ze zijn weergegeven in figuur 2.

Figuur 2: De vier agile succesfactoren van agile

De twaalf principes

De principes uit het Agile Manifesto zijn de uitgangspunten en regels die je hanteert bij het op een agile wijze organiseren van je werkzaamheden. Het stelt je instaat om flexibeler, wendbaarder op veranderingen in te spelen waardoor opdrachtgevers meer toegevoegde waarde ervaren. Het betreffen de volgende principes:

  1. Een tevreden klant is altijd de hoogste prioriteit.
  2. Een veranderende scope is welkom, ook laat in het project.
  3. Lever werkende onderdelen van het project op in korte cycli.
  4. Werk op dagelijkse basis multidisciplinair
  5. Projecten worden uitgevoerd door gemotiveerde medewerkers, met de support en het vertrouwen dat zij nodig hebben.
  6. De effectiefste manier van informatieoverdracht is face-to-face.
  7. Een werkend product is de belangrijkste indicator van vooruitgang.
  8. Zoek naar een constant innovatietempo.
  9. Besteed voortdurend aandacht aan hoge kwaliteit.
  10. Eenvoud staat centraal.
  11. De beste ontwerpen komen voort uit zelforganisatie.
  12. Reflecteer geregeld op hoe de samenwerking verbeterd kan worden.

Bovenstaande principes zijn in deel 2 van mijn artikel gebruikt bij het toepassen van de Agile-succesfactoren.

Scrum

Er bestaan verschillende agile-methoden, bijvoorbeeld Scrum en Kanban. Voor het toepassen van de agile-succesfactoren heb ik gekozen voor Scrum. [SCRU17] De naam ‘Scrum’ is ontleend aan de rugbysport en verwijst naar de manier waarop een rugbyteam samen, snel, iteratief, flexibel de bal punten laat scoren (zie kader ‘De term “scrum” in rugby’.

De term ‘scrum’ in rugby

In rugby staat ‘scrum’ voor de manier waarop na een overtreding het spel wordt hervat. Tijdens de scrum evalueert het team samen en speelt in op de gewijzigde spelomstandigheden, om de volgende stap te bepalen, gericht op het einddoel: scoren! Dit raakt de kern van Scrum als ontwikkelmethode, en kan naar mijn mening ook worden toegepast op auditing: ook in het auditproces moeten we vaker stilstaan bij de vraag of we wel voldoende waarde leveren. Scrum is namelijk een waarde gedreven manier van werken die ervoor zorgt dat het meest waardevolle wordt opgeleverd binnen de beperkingen van tijd en budget. Wie deze aanpak wil omarmen, neemt eerst kennis van de spelregels, opgenomen in de Scrum-gids [SCRU17], alvorens het auditproces te verrijken met deze agile werkwijze.

Shifts

Hierna volgt de onderliggende essentie van de agile mindset in termen van vier belangrijke shifts, veranderingen in het denken. Wij IT-auditors moeten ons deze shifts eigen maken door ervan bewust te zijn en ze te begrijpen. Hierdoor zijn we in staat ons eigen auditproces agile in te richten.

Shift 1: paradigma-shift

Veelal is het voor opdrachtgevers en toekomstige gebruikers onmogelijk vooraf goed te bepalen aan welke eisen en wensen een te ontwikkelen product, bijvoorbeeld een nieuwe applicatie, moet voldoen. Vaak weten ze pas wat ze willen als ze een concreet product in de praktijk ervaren. Ook leiden voortschrijdend inzicht en technologische ontwikkelingen gedurende een project geregeld tot substantiële wijzigingen in de behoefte.

Traditionele aanpakken schieten dan tekort omdat ze ervan uitgaan dat aan het begin van een project de scope vaststaat. Kosten en tijd worden daar vervolgens uit afgeleid. Agile keert die relatie om, door te werken met timeboxen. Een timebox is een vooraf afgesproken periode waarin het ontwikkelteam met een contant tempo naar een bepaald doel toewerkt. Daarbij staan in principe kosten en tijd vast, terwijl de scope van het binnen de timebox op te leveren deelresultaat hiervan wordt afgeleid. Dit betekent dat je bepaalt welke functionaliteit, van hoge kwaliteit, je binnen de beschikbare hoeveelheid tijd en geld kunt opleveren, gelet op de snelheid waarmee het ontwikkelteam kan werken. [OLYM19] Figuur 3 geeft deze paradigma-shift weer. We zien de verschuiving van een plan-gedreven aanpak naar een verander-gedreven aanpak Deze verandering wordt ook wel omschreven als ‘van schijnzekerheid naar een heldere onzekerheid’.

Figuur 3: paradigma-shift – van een plan-gedreven aanpak naar een verander-gedreven aanpak (bron: [OLYM19])

Shift 2: shift-left

Door de agile-principes verschuift de aandacht voor kwaliteit naar voren in het proces in plaats van achteraf. Door interactiever met elkaar samen te werken en open te staan om van elkaar te leren, komt de noodzaak van kwaliteitsverbeteringen tijdiger naar voren. In kleinere stapjes werken maakt het ook gemakkelijker een stapje terug te doen in het proces om deze kwaliteitsverbeteringen door te voeren. Achteraf corrigeren van problemen of toevoegen van ontbrekende functionaliteit is veel lastiger en verhoogt de doorlooptijd en projectkosten. In ons vakgebied geldt dit vooral voor de zogenoemde non-functionals, zoals de vereisten voor beveiliging en privacy. Door bijvoorbeeld vroeg in het proces te signaleren dat er onvoldoende aandacht is voor deze non-functionals, is het gemakkelijker om hier alsnog rekening mee te houden. Herstelwerkzaamheden en verspilling worden sterk gereduceerd door eerder in het proces aandacht voor kwaliteit te hebben. Zo ontstaat ook meer waarde in geld en in menselijk onderling vertrouwen. Dit wordt de shift-left genoemd, waarmee wordt bedoeld dat de focus verschuift van het eind (meestal rechts aangegeven) naar het begin (meestal links). Zie figuur 4.

Figuur 4: Shift left (bron: [CRUI17]) Shift 3: van procesgericht naar resultaatgericht

Bij het traditionele watervalproces ligt de focus vooral op de procesbeheersing. Bij de agile-veranderprocessen ligt de focus op het eerder leveren van werkende producten, het leerproces en de ervaring die wordt opgedaan. Denk hierbij aan het zo snel mogelijk laten zien van een prototype aan de eindgebruiker. Het gesprek en overleg met de eindgebruiker is vooral gericht op het behalen van de beste inhoudelijke resultaten en minder op procedures en planning. [SOL18]

Shift 4: van top-down naar bottom-up

Uitgangspunt bij een agile-organisatie is dat men een hiërarchie hanteert van competentie in plaats van een hiërarchie van autoriteit, waarbij bottom-up wordt gewerkt in plaats van top-down. In een hiërarchie van competentie hebben de meer competente teamleden een richtinggevende rol bij het teamwerk. Het management is minder de uiteindelijke autoriteit en heeft vooral de rol van facilitator, door een stimulerend werkkader voor het autonome uitvoerende team te creëren. De teams opereren binnen dit werkkader zelfstandig, nemen zelf beslissingen en voeren als individu en als team zelfcontrole uit. Het management steunt veel meer dan in zijn traditionele rol op de culturele en personele waarden zoals ‘vertrouwen’ en ‘intrinsieke motivatie’.

Afsluiting

Dit eerste deel van mijn artikel geeft inzicht in het agile-gedachtengoed, via een beschrijving van de kernwaarden, principes, spelregels van Scrum en de essentiële veranderingen (shifts) ten opzichte van traditionele aanpakken. Deze inzichten zijn randvoorwaardelijk voor het goed kunnen toepassen van de agile-succesfactoren die besloten liggen in de vier kernwaarden (zie figuur 5).

Figuur 5: Nogmaals de vier agile succesfactoren

Vooruitblik deel 2 van dit artikel

De vier agile-succesfactoren, met de bijbehorende twaalf principes, vertaal ik in deel 2 van dit artikel in het volgende nummer naar de werkwijze van de IT-auditor.

Vragen die daarbij beantwoord worden zijn onder meer:

  • Kunnen alle agile-succesfactoren allemaal wel op onze werkwijze worden toegepast?
  • Wat zijn de grenzen en kanttekeningen aan onze eigen shift-left door het omarmen van de agile-mindset?
  • Hoe gaan we om met de beroepsregels voor objectiviteit, geheimhouding en documentatie?

Het toepassen van de vier agile-succesfactoren leidt tot een concreet handvat voor de IT-auditor; een Audit Manifesto. Dit Audit Manifesto heeft ook vier kernwaarden en twaalf principes, die de IT-auditor in staat stellen zijn of haar opdrachtgevers meer en beter zichtbare toegevoegde waarde te leveren.

Literatuur

[AGIL01] agilemanifesto.org, Manifesto for agile Software Development, 2001, http://agilemanifesto.org, geraadpleegd op 2 september 2020.

[AGIL20] agile Scrum Group, agile Manifest (voor non-IT), 2020, https://agilescrumgroup.nl/agile-manifest/, geraadpleegd op 2 september 2020.

[CRUI17] Geert van der Cruijsen, It’s 2017: Test automation is not optional when building mobile apps!, January 16, 2017, https://mobilefirstcloudfirst.net/2017/01/2017-test-automation-not-optional-building-mobile-apps/,  geraadpleegd op 3 september 2020.

[OLYM19] Olympic Training & Advies, Systeemontwikkeling als proces, https://www.olympic.nl/actueel/systeemontwikkeling-als-proces.html, geraadpleegd op 2 september 2020.

[SCRU17] Scrum Guides, De ScrumGids – De definitieve gids voor Scrum: De regels van het spel, https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Dutch.pdf, 2017, geraadpleegd op 2 september 2020.

[SOL18] Solingen, R. v., Interview: ‘In een complexe omgeving is falen niet fout maar juist geweldig’. Audit Magazine 2018, nr. 2, http://www.auditmagazine.nl/auditmagazine/nummer_2_2018/MobilePagedReplica.action?pm=2&folio=6#pg6, geraadpleegd op 2 september 2020.

Geen categorie

E.N. (Edwin) Galama RA | Senior interne auditor bij het CJIB

Edwin Galama werkte van 1996 tot en met 2010 bij EY, waarvan vier jaar op de Nederlandse Antillen. Als externe registeraccountant was hij in de functie van auditmanager verantwoordelijk voor jaarrekeningcontroles en diverse bijzondere onderzoeken, waarvan veel in de publieke sector. In 2010 maakte hij de overstap naar de interne auditafdeling van het Centraal Justitioneel Incasso Bureau (CJIB), gecombineerd met z’n eigen freelance praktijk. Het CJIB is het grootste software house van Friesland met veel financiële stromen, waar Edwin met nog vier collega’s de interne auditfunctie verzorgt. Sinds de onlangs afgeronde eenjarige opleiding voor IT-auditor aan de Universiteit van Amsterdam, verschuiven de werkzaamheden steeds meer van het beoordelen van financiële stromen naar de (onderliggende) ICT-processen en -omgevingen. Hiernaast levert hij een bijdrage binnen de NOREA-kennisgroep Software Development.