Het beheersen van de risico’s bij ketensamenwerking is een gezamenlijke verantwoordelijkheid van de ketenpartners. Door een ketenaudit uit te voeren kan de IT-auditor de ketenpartners waardevolle terugkoppeling geven over de kwaliteit van de risicobeheersing. Daarnaast kunnen de ketenpartners worden geadviseerd over maatregelen die zij kunnen nemen om strategische doelstellingen en risicogebieden af te dekken.
Organisaties maken deel uit van een ecosysteem met andere organisaties. Het succes van organisaties in het bedrijfsleven en de publieke sector hangt steeds meer af van het vermogen tot samenwerking met ketenpartners zoals afnemers, toeleveranciers, kennisinstellingen en dergelijke. Zij zijn met elkaar verbonden via informatieketens en hebben met elkaar verenigbare doelen. Door samenwerking en communicatie in ketens en netwerken is het geheel meer dan de som der delen.
Ketensamenwerking en digitale connectie
Bedrijfsleven, overheden en samenleving werken steeds meer samen op basis van informatie- en gegevensuitwisseling, maken gebruik van digitalisering en functioneren bestuurlijk en operationeel in ketens en netwerken. Uitvoeringsketens worden steeds belangrijker door voortschrijdende specialisatie, toenemende afhankelijkheden, hogere maatschappelijke eisen en toenemende interactie en samenwerking. Daarnaast ontstaan betere ketenprestaties en privacywaarborgen door de stroomlijning van informatie-uitwisseling, doordat privacy by design mogelijk wordt.
Het ontstaan van netwerken of ecosystemen komt voort uit een fundamentele heroverweging van de aard en het functioneren van organisaties en van de relaties tussen organisaties. De nieuwe organisatie, de extended enterprise, is een uitgestrekt weefsel van relaties, waar alle organisatieniveaus en functiegebieden bij zijn betrokken en waarin de interne en externe grenzen doorlaatbaar en verschuivend zijn. [MAN12]; [VERS09]
Innovatieve organisaties zijn in de kern informatie-gedreven, real-time organisaties die met behulp van actuele informatie voortdurend en onmiddellijk reageren op stimuli vanuit een dynamische omgeving. Informatie en goederen worden just-in-time ontvangen van de toeleveranciers en voor de verzending van het product of de dienstverlening naar de afnemer geldt hetzelfde. De informatie vanuit de omgeving komt elektronisch via self-serviceconcepten en webportalen binnen en wordt onmiddellijk verwerkt. Organisaties streven op deze manier naar betere dienstverlening, mogelijke kostenreductie en tijdsvoordelen. Op deze wijze wordt ook de voorraadfunctie uitgeschakeld of op zijn minst verminderd, en kan omgeschakeld worden van massaproductie op onmiddellijk te leveren maatwerk. [TAN11]
Deze dynamieken hebben een uitwerking op de organisatie en inrichting van informatiesystemen. [MATT15] Het functioneren in uitvoeringsketens in een dynamische en turbulente omgeving heeft implicaties voor de interne en externe organisatiestructuur, en in het verlengde daarvan voor de interne en externe informatiestructuur. Traditionele informatiesystemen hebben hun werkingsgebied binnen de eigen organisatie. De bestuurlijke en juridische grenzen van organisaties zijn lange tijd de natuurlijke grenzen gebleken van geautomatiseerde informatiesystemen. Voordeel daarvan is dat ze zonder invloeden van en afspraken met de buitenwereld, naar eigen inzicht konden worden ontwikkeld en beheerd. Nadeel is dat de effectiviteit van de systemen voornamelijk binnen de eigen organisaties merkbaar is.
Een keteninformatieinfrastructuur breekt met dit principe van gebonden organisatiegrenzen. Er wordt een brug geslagen tussen de samenwerkende organisaties. De betrokken partijen offeren ieder een stukje autonomie op ten gunste van het functioneren van de gehele keten.
Daar liggen dan ook de uitdagingen bij de ontwikkeling van een informatie-infrastructuur. Een sterke relatie tussen de partijen is nodig om de beoogde win-win effecten te bereiken en te behouden. Digitale informatienetwerken die ontworpen zijn om organisatiegrenzen te overschrijden, zullen een sterk groeiend onderdeel van de digitale economie uitmaken.
De toename van digitalisering leidt in toenemende mate tot virtuele integratie van de bedrijfsprocessen tussen organisaties onderling en met hun belangrijkste stakeholders, met behoud van de eigen juridische identiteit. Voor financiële managers zijn ketens en netwerken van organisaties een nog betrekkelijk nieuw interessegebied. In de klassieke accountancy en bedrijfseconomie is alle aandacht gericht op de interne beheersing van een organisatie, als middelpunt van het universum. Door de toenemende complexiteit van globalisering, individualisering en samenwerking met haar afhankelijkheden zullen regievoering en risicobeheersing een steeds belangrijkere rol gaan spelen. Vooral ‘in de keten’, bijvoorbeeld de keten van toeleveranciers, zal het vraagstuk van audit en control een grotere rol gaan spelen. [TAN11]; [MAN12]
Niet de individuele organisaties, maar de keten als geheel zorgt voor waardecreatie en dient als geheel in control te zijn
Digitalisering betekent niet alleen dat de communicatie in de keten verandert maar vooral ook dat er meer informatie beschikbaar is (big data), dat informatie sneller kan worden verwerkt (fast-close) en dat er snellere en betere analyses gemaakt kunnen worden (business intelligence). De explosie aan data betekent ook, dat organisaties zich nadrukkelijker moeten afvragen wat ze nu eigenlijk moeten meten en weten om waarde te kunnen creëren. Informatiewaarde houdt immers verband met waardecreatie. Daarbij zijn ook de inrichting van de databanken en de organisatie rondom de databanken van belang.
Digitale connectie biedt veel potentieel voor organisaties in de publieke en private sector, omdat tegemoet kan worden gekomen aan de wens van de afnemers zelf om te bepalen wat, wanneer en tegen welke condities wordt geconsumeerd. De verantwoordelijkheid voor de kwaliteit van de gegevens is bij wet geregeld. Daarin is overigens niet de betrouwbaarheid van de informatieketens geregeld. [GRIJ10]; [TAN11]
Keteninformatiemanagement als vraagstuk
Waar organisaties met elkaar samenwerken, maken zij feitelijk deel uit van een organisatie-overstijgend keteninformatiesysteem. Keteninformatisering is het tot stand brengen van een informatie-infrastructuur1 voor geautomatiseerde informatie-uitwisseling tussen organisaties in een bedrijfsketen of organisatienetwerk. Keteninformatisering betreft dus vooral het structureren en automatiseren van de communicatie die nodig is om aan elkaar de gegevens beschikbaar te stellen waarover alle deelnemers in de keten moeten kunnen beschikken. In tegenstelling tot de klassieke automatisering, waarbij de toepassingen voornamelijk intern gericht zijn, richt keteninformatiemanagement of keteninformatisering zich voornamelijk op communicatie tussen organisaties binnen de ketenomgeving.
Keteninformatisering (interorganisational information systems) wordt in dit artikel opgevat als een informatiemanagement-vraagstuk, gericht op het realiseren en onderhouden van een informatie-infrastructuur voor de ketenomgeving. [GRIJ10]; [MATT16] In dit kader zijn twee dimensies van belang: het ontwerpen van de informatie-infrastructuur (business-IT alignment) en het plannen, implementeren en gebruiken van de informatievoorziening (strategic fit). Het 9-vlaks informatiemanagementmodel van Maes zet deze twee dimensies tegen elkaar uit en biedt een referentiekader voor inhoud en aanpak van informatiemanagement in een ketenomgeving. Als binnen een ketensamenwerking een overkoepelend informatiebeleid wordt uitgevoerd, dan zal zich dat moeten richten naar de ontwikkelingen in de afzonderlijke organisaties. Het beleid dat daar gevoerd wordt, zal in de informatienetwerken moeten doorwerken.
Structurele informatievraagstukken in bedrijfsketens blijken vaak moeilijk op te lossen met alleen interne informatiesystemen. Nieuwe mogelijkheden worden geopend door een toepassingsonafhankelijke informatie-infrastructuur in te richten, die is afgestemd op de gemeenschappelijke eisen van de betrokken organisaties. Met keteninformatisering kunnen informatievraagstukken in bedrijfsleven en publieke sector worden opgelost, die met organisatorische maatregelen alleen tot dusver onoplosbaar bleken te zijn.
Het overzicht van de loonaangifteketen in Nederland in figuur 1 geeft een goed beeld van het aantal betrokken partijen in het ecosysteem en de informatiestromen tussen de verschillende processen die voortdurend aan de gang zijn. Omvang en volumes bepalen de complexiteit, die zorgen voor diverse managementvraagstukken, zowel bestuurlijk als operationeel.
Wanneer organisaties voor de gedeelde informatieverwerking aangewezen zijn op human-to-human communicatie, dan blijkt dit vaak de zwakke schakel in het informatienetwerk. De nadelen van louter organisatorische maatregelen gaan vooral zwaar wegen vanaf het moment dat het volume van de gegevens en de frequentie van gegevensuitwisseling en informatieverwerking tussen organisaties toeneemt. Een goed voorbeeld zijn supply chains, waarin bedrijven, voor de optimalisering van de interne bedrijfsprocessen, steeds afhankelijker worden van informatie uit de systemen van andere organisaties.
De voordelen van geautomatiseerde system-to-system ketenintegratie komen het beste tot uiting in informatieketens met karakteristieken zoals ([LOGI14]; [TAN11]):
- De keten kent processen waarin organisaties gezamenlijk periodiek hetzelfde informatieproces uitvoeren.
- De informatieketen kent een groot verwerkingsvolume (veel berichtenverkeer).
- Organisaties kunnen de op elkaar aansluitende backoffice-taken geautomatiseerd afhandelen.
De wijzigingen in organisatiestructuur en taakuitvoering in een samenwerkingsverband leiden tot groei van de gegevensuitwisseling tussen verschillende organisaties. Daarnaast zijn er twee generieke trends, die ieder een uiting zijn van het streven naar integratie. De eerste generieke trend is het streven in diverse sectoren naar modulariteit en integreerbaarheid van op zichzelf staande informatiesystemen. De tweede generieke trend is, dat de huidige informatiesystemen steeds verder uitgebreid worden met ongestructureerde of minder gestructureerde, (multimedia)elementen, zoals sociale media en mobiele toepassingen.
Gegevens spelen een belangrijke rol in het berichtenverkeer tussen organisaties. Zij geven invulling aan de informatieverplichtingen die uitvragende partijen opleggen aan partnerorganisaties in de keten. Deze informatieverplichtingen vloeien voort uit een drietal perspectieven: het verantwoordingsperspectief, het transactieperspectief en het beleidsmatig perspectief. Bij ieder perspectief is er sprake van een informatieketen waarbij informatie wordt uitgewisseld tussen minimaal twee verschillende organisaties: de aanleverende partij en de vragende partij. In de meeste informatieketens zijn meer organisaties betrokken zoals intermediairs, accountants, toezichthouders, agenten, banken en uitvoeringsorganisaties. Een efficiënte informatieketen is gebaat bij de digitalisering van de gegevensuitwisseling tussen de ketenpartners tegen zo laag mogelijke kosten, bezien over de gehele keten en dus geen deeloptimalisering.
De belangrijkste factor bij horizontale keteninformatisering is het ontbreken van een formele hiërarchie. Grote databanken met gegevens die gemeenschappelijk door de betrokken organisaties gebruikt worden, vergen meer samenwerkingsbereidheid dan in ketens waar dat formele gezag wel aanwezig is. Keteninformatiemanagement richt zich volgens Grijpink daarom voornamelijk op overzicht en minder op inhoud. [GRIJ10] In dit kader spreekt hij eerder van ketencoördinatie dan van ketenregie.
De realisering van informatienetwerken heeft altijd ingrijpende interne reorganisaties tot gevolg, en niet zelden zijn de gevolgen voor externe gebruikers ook ingrijpend. Aan het tot stand brengen van gegevensuitwisseling tussen autonome organisaties gaat een langdurige en intensieve onderhandelings- en voorbereidingsweg vooraf. Daarbij dient naast de politiek-bestuurlijke overwegingen ook aandacht te worden besteed aan de financieel-economische aspecten zoals transactiekosten en beheerkosten. Organisatorische aspecten, voorwaarden en consequenties moeten eerst zorgvuldig beoordeeld worden. Op basis hiervan zijn gefundeerde keuzen mogelijk over het aantrekken dan wel afstoten van activiteiten en over veranderingen in netwerkpatronen en relaties. De technologie mag bij het implementeren nooit de boventoon voeren. [MAN12]; [MATT15]
Control en audit in de keten
Het beheersen van de risico’s in een keten of een ketenproces is een gezamenlijke verantwoordelijkheid van de ketenpartners. Vanuit audit en control is helaas nog vaak sprake van falende of ontbrekende assurance bij ketensamenwerking en informatiemanagement in een ketenomgeving. Ketenpartners werken samen om een gezamenlijk doel te bereiken. Zij stemmen hun organisaties en processen op elkaar af om het uitvoeringsproces, dat door hun organisaties heen loopt, zo goed mogelijk te laten verlopen. Wat deze ketenpartners bindt, is het gezamenlijke doel dat zij nastreven, zoals de levering van een product aan de markt of de publieke dienstverlening aan burger en bedrijfsleven. Dergelijke ketens kunnen onderwerp van een audit zijn. [NORE16]
Door een ketenaudit uit te voeren kan de auditor de ketenpartners terugkoppeling geven over de kwaliteit van risicobeheersing. Daarnaast kan de auditor de ketenpartners adviseren over maatregelen die getroffen kunnen worden om strategische doelstellingen en risicogebieden af te dekken. Door invulling van zowel de attestfunctie als de adviesfunctie draagt de auditor bij aan het verbeteren van de beheersing van de keten en het verschaffen van zekerheden.
Ketenbeheersing heeft echter pas zin als aan twee basisvoorwaarden wordt voldaan. Ten eerste moet de ketenbeheersing zich richten op de keten als geheel. In de praktijk blijkt dat ketenpartners hun werkzaamheden wel op elkaar afstemmen en in de ketenomgeving uitvoeren, maar dat geen sprake is van ketenregie, al dan niet in gezamenlijk overleg. Ten tweede heeft ketenbeheersing pas zin als er sprake is van een gesloten managementcyclus. Echter, bij overheden ontbreekt het op veel plaatsen aan terugkoppelmechanismen tussen uitvoering en beleid, waardoor de managementcyclus niet gesloten is.
Beheersen risico’s in een keten of een ketenproces is gezamenlijke verantwoordelijkheid van de ketenpartners
De structuur van een keten is voortdurend in beweging. Daarnaast is een ketenaudit moeilijk uitvoerbaar omdat elke zelfstandige ketenpartner eigen toetsingsnormen heeft. Bovendien hangt de belangstelling voor ketenaudits af van hoe tegen een audit wordt aangekeken. De audit wordt buiten de auditdiensten overwegend gezien als instrument voor de financiële oordeelsvorming. De ketenaudit is dan ook een onbekend en onbemind fenomeen; uitvoeringsketens zouden te ingewikkeld zijn om te auditen. Hierbij neemt de kans namelijk toe op specifieke auditproblemen zoals: de scope van het onderzoek is te groot en moeilijk af te bakenen, het aantal betrokkenen is te groot, de bestuurlijke verhoudingen zijn niet helder gedefinieerd en de belangen van de betrokkenen zijn verstrengeld.
Maar er zijn ook auditdiensten die al geruime tijd ervaring hebben opgedaan met procesmatig denken. Ze voeren operational audits uit die zich richten op de beoordeling en/of advisering van interorganisationele bedrijfsprocessen. Zij zien de ontwikkeling van interne informatievoorziening naar extern ketendenken als een vervolgstap op procesmatig denken.
Ketenauditing maakt het beter mogelijk zekerheden te verschaffen en samen te werken in ketens en netwerken. Omdat de formeel verantwoordelijke opdrachtgever en het (bestuurlijk) aansprakelijke gremium de individuele organisaties kan vertrouwen, kunnen de ketenpartners ook elkaar vertrouwen. Ze weten dat de processtappen bij andere organisaties, waarvoor zij geen verantwoordelijkheid dragen, correct worden uitgevoerd en dat ze kunnen vertrouwen op de integriteit van de gegevens die deze organisaties hun aanleveren. Daarnaast wordt de informatievoorziening over het functioneren van de keten als geheel versterkt.
Het woord ketenaudit zegt op zichzelf al dat een ketenaudit het totale ketenproces beziet en dus over de organisatiegrenzen heen kijkt. Dit zorgt tegelijkertijd ook voor de toegevoegde waarde van een ketenaudit, aangezien belangrijke risico’s vaak op de grensvlakken van organisaties liggen. Vaak wordt een keten niet als geheel maar per afzonderlijke schakel (ketenfase of deelnemende partner) bestuurd en beheerst. Voor zover de keten wél als geheel wordt bestuurd, ontbreekt meestal de beheersing tijdens en na afloop van het ketenproces via onafhankelijke toetsen.
Professional judgement en principle based auditing vormen hierbij eerder een solide uitgangspunt dan de gangbare, meer operationele normenkaders en procedures. Dit heeft geleid tot de noodzaak om vanuit dit uitgangspunt moderne audit- en andere assuranceproducten te ontwikkelen.
Door een betere controle treedt bovendien verbetering op in de vaak nog gebrekkige uitwisseling van informatie en kennis tussen de schakels in een keten. De informatie over de stand van zaken bij, bijvoorbeeld, de basisregistraties en kernregisters is daarvan een goed voorbeeld, net als de randvoorwaarden en gevolgen bij de invoering van cloud computing door mkb-bedrijven.
In de trustbenadering staat de motivatie om samen te werken centraal. De vraag is hierbij hoe in een alliantie gebruik kan worden gemaakt van verschillen om waarde te creëren en hoe mensen kunnen worden gemotiveerd zoveel mogelijk bij te dragen. De aanname achter de trustbenadering is dat niet zozeer sprake is van mogelijk conflicterende doelen, maar dat door samenwerking juist complementaire doelen kunnen worden bereikt. Binnen een trustbenadering zijn andere besturingstechnieken relevant dan binnen een controlbenadering. Meer dan op systemen ligt de nadruk op gezamenlijke normen en waarden en de opbouw van vertrouwen tussen partners. [MAN12]
Afgezien van de discussie of de ene benadering beter is dan de andere, geldt dat onder sommige omstandigheden meer de controle-elementen van belang zijn, terwijl in andere situaties de elementen van de trustbenadering meer aandacht verdienen. Nadat de strategische keuze is gemaakt voor een control- of een trustbenadering, kan een gedetailleerd operationeel besturingsmodel worden ontworpen. Bij het inrichten van ketenbesturing kan op een van de twee perspectieven de nadruk worden gelegd. Deze twee perspectieven zijn leidend bij het invullen van de bouwstenen van besturing.
Case study: keteninformatisering in de zorgsector
De NOREA-kennisgroep Keteninformatiemanagement heeft onlangs een praktijkgericht onderzoek uitgevoerd naar de beheersing van keteninformatisering in de zorgsector. [NORE16] Op basis van groepsdiscussies, interviews en een rondetafelbijeenkomst met RE’s zijn aandachtspunten gepubliceerd met het doel de inrichting, uitvoering, beheersing en verantwoording van de zorgketens, of informatieketens in het algemeen, te verbeteren.
De toenemende vorming van informatieketens, en daarmee hun maatschappelijke impact, was voor de kennisgroep aanleiding hieraan aandacht te besteden door de beheersing van een specifieke informatieketen onder de loep te nemen en om na te gaan waar verbeteringen nodig zijn. Specifiek werd gekeken naar de informatieketens in de zorg, waar de rol van de IT-auditor toeneemt als gevolg van de vele informatiesystemen en digitale connecties die betrokken zijn.
Net als bij de loonaangifte-keten in Nederland (zie figuur 1) geeft figuur 2 een goede illustratie van het aantal betrokken partijen in de zorgsector en de informatiestromen tussen de verschillende cure-processen die voortdurend gaande zijn. Omvang en volumes bepalen de complexiteit, die zorgt voor diverse managementvraagstukken, zowel bestuurlijk als operationeel.
Steeds meer informatiesystemen en entiteiten worden verbonden en daarna zelfs geïntegreerd, met als gevolg zeer complexe ketenconstructies. De verschillende entiteiten brengen ieder hun (administratieve en zorg-)
processen, regelgeving en standaarden mee, wat leidt tot complexiteit van de informatieketen. Het potentiële verlies aan efficiëntie en effectiviteit daardoor is een belangrijk werkgebied voor de IT-auditor, die met zijn specifieke kennis en expertise helpt knelpunten in de informatieketen te identificeren en hiervoor oplossingen te vinden.
Het onderzoek heeft zich in het bijzonder gericht op de declaratieketen in de zorgsector. [NORE16] Het onderzoek laat zien dat het maatschappelijk belang gediend is met een verbetering van het functioneren van een informatienetwerk in het algemeen. Momenteel is de declaratieketen een aaneensluiting van losse delen, een historisch ontstane lappendeken. Van een werkelijk geïntegreerde en geautomatiseerde informatieketen is (nog) geen sprake. Entiteiten in de informatieketen zijn ziekenhuizen en zorgverzekeraars, maar ook De Nederlandsche Bank en Zorginstituut Nederland. Een entiteit die minder in beeld is als onderdeel van de keten, maar waar het functioneren van de keten wellicht wel de meeste impact op heeft, is de burger als patiënt of zorgconsument. Verbeteringen in de keten in efficiëntie en effectiviteit leiden potentieel ook tot positieve effecten voor hen, zoals de beoogde kostenreductie en transparantie, waardoor de kwaliteit van de zorg verder kan worden verbeterd.
Het onderzoek geeft aan dat, mede als gevolg van een toename van (volledig) geautomatiseerde informatieketens, het risico van onjuiste informatieverstrekking aanwezig is. Dit risico kan overigens verminderd worden door tijdens het ontwikkelingsproces ruimte in te bouwen voor changemanagement en professionele testprocedures. De aandachtspunten gelden wellicht ook voor andere informatieketens in de zorgsector en in overige sectoren. Kort samengevat volgen hierna de aandachtspunten voor de verbetering van de informatieketens.
1. Samenhang
De zorg is nog geen geïntegreerde keten maar een verzameling individuele entiteiten. De samenwerking tussen de entiteiten in de zorgketen is niet optimaal, maar biedt wel veel potentieel. Potentiële voordelen worden vooralsnog onvoldoende benut. Focus op integratie en naadloze aansluiting van de entiteiten kan leiden tot synergie.
2. De ketens zijn complex
De complexiteit in de ketens leidt tot het ontbreken van een eenduidige governancestructuur met als gevolg dat er geen duidelijke verdeling van verantwoordelijkheid is. Daarnaast leidt de complexiteit tot moeilijkheden in de databeheersing met als risico het onvermogen om essentiële data te delen en zelfs het potentieel verlies van belangrijke informatie. Een voorbeeld hiervan kwam aan het licht toen de Inspectie voor de Gezondheidszorg in mei 2016 een lijst van ziekenhuisdoden publiceerde. Het bericht meldde dat in de afgelopen drie jaar 1.214 patiënten zijn overleden door een calamiteit terwijl het werkelijke aantal meer dan het dubbele was. Ziekenhuizen waren in staat medische missers te maskeren en informatie verborgen te houden voor andere partijen in de keten, iets wat sneller tot het verleden behoort in een goed functionerende informatieketen.
3. Belangenverschillen
Diverse entiteiten hebben verschillende belangen en meerdere rollen in verschillende ketens. Mede door de complexiteit in de informatieketen ervaren de betrokken entiteiten belangenconflicten. Sommige vervullen meerdere rollen, waardoor het onduidelijk wordt welke belangen en prioriteiten ze hebben. Hierdoor ontbreekt het aan duidelijke prioritering en komt resultaat moeizaam tot stand. Daarnaast is het moeilijk om de verantwoordelijkheid bij één entiteit te leggen wanneer een ketenprobleem moet worden opgelost.
4. Reputatieschade
Door de vele ‘eilanden’ binnen de zorgsector wordt het risico op onjuiste of onvolledige informatieoverdracht ten aanzien van declaraties vergroot. Denk daarbij ook aan de grote media-aandacht voor zorgfraude en de hoge declaraties bij kleine ingrepen. Dit leidt tot reputatieschade.
5. Kosten
Hoge kosten in de zorg vormen een voortdurend punt van discussie waarbij veel aandacht wordt besteed aan manieren om deze kosten te verlagen. Een voorwaarde hiervoor is een goede informatie-infrastructuur, met onderscheid tussen het primaire proces en andere processen, zoals administratie en verantwoording. Deze niet-primaire processen zijn te verbeteren met een betere informatie-infrastructuur om zo efficiënter en effectiever te opereren.
6. Toezicht
Meerdere entiteiten houden toezicht in de zorgsector, waardoor dezelfde controle nu meerdere keren wordt uitgevoerd. Een goede informatie-infrastructuur maakt het delen van informatie tussen entiteiten efficiënter en effectiever, wat tot een beter werkend proces leidt.
7. IT-controls versus handmatige controls
De zorgsector maakt nog gebruik van veel handmatige beheersmaatregelen waardoor audits arbeidsintensief kunnen zijn. Een overgang naar meer geautomatiseerde controles op basis van een IT-beheersingsraamwerk kan zorgdragen voor een efficiënter en betrouwbaarder ketenproces en ook voor een overgang naar een systeemgerichte controle- en auditaanpak.
De NOREA-kennisgroep ziet het verbeteren van de governance van en over de declaratieketen als een van de manieren om het functioneren van de keten te verbeteren. De specifieke maatregelen die worden aanbevolen zijn onderverdeeld op basis van de verantwoordelijke instanties.
Ook voor auditors geeft de kennisgroep aan wat zij kunnen betekenen in de keteninformatisering. Auditors identificeren niet alleen problemen in de keten, maar geven er vanuit hun onafhankelijke positie en deskundigheid ook mogelijke oplossingen voor en doen suggesties voor verbeteringen. Daarnaast kunnen de financial auditors de algehele betrouwbaarheid van de informatiestromen in de keten toetsen, de operational auditors kunnen meehelpen bij de overall governance van de keten en de IT-auditors kunnen adviseren over de transitie naar meer geautomatiseerde controles en de opzet en werking van IT. Hiermee wordt ketenbeheersing versterkt, met als gevolg dat zorgketenpartijen een hoger niveau van efficiëntie en effectiviteit bereiken, met positieve gevolgen voor de keten en de zorgconsument.
Tot slot
Keteninformatisering is een actueel thema met een grote maatschappelijke relevantie en impact. Diverse werkgebieden in de publieke en private sector bevatten informatieketens, waarvan gebleken is dat hun integratie, monitoring en beheersing efficiënter en effectiever kunnen worden ingericht en uitgevoerd.
Vanuit verschillende invalshoeken wordt steeds meer naar de werking van het risicomanagement gekeken dat in een uitvoeringsketen of een informatienetwerk wordt toegepast. In ketens is samenwerking tussen de verschillende activiteiten van groot belang voor een deugdelijke risicobeheersing. Als een standaard auditaanpak op een keten wordt toegepast, dan wordt het totaal van deze keten niet afgedekt. Deze standaard auditaanpak is immers vaak gebaseerd op individuele entiteiten die in wisselend verband samenwerken. De ketenpartners vormen dan samen een keten, maar er wordt in de risicobeoordeling en de auditplanning weinig rekening gehouden met hun onderlinge samenhang. Momenteel is bij ketensamenwerking het uitvoeren van één allesomvattende audit nog niet haalbaar.
Aangezien de ketens voor een groot deel bestaan uit aaneengeschakelde IT-systemen, is hier een cruciale rol voor de IT-auditor weggelegd. De rol van de IT-auditor hierin is het beoordelen van de governance van deze ketens, de identificatie van zwakke schakels en witte vlekken in de beheersing op de ketens van opeenvolgende en op elkaar aansluitende gegevensverwerkingen, en het aandragen van suggesties voor verbeteringen. Voor complexe ketens is het dus noodzakelijk dat meerdere uit te voeren audits in samenhang worden bekeken om een oordeel te kunnen geven over de totale keten. Dit vereist een multidisciplinaire regievoering.
Literatuur
[AREN08] Arendsen, R. Geen bericht, goed bericht: een onderzoek naar de effecten van de introductie van elektronisch berichtenverkeer met de overheid op de administratieve lasten van bedrijven. Dissertatie Universiteit van Amsterdam, 2008.
[ECKA12] Eckartz, S. Managing the business case development in inter-organizational IT projects: A methodology and its application. University of Twente, dissertation, 2012.
[GRIJ10] Grijpink, J.H.A.M. Keteninformatisering in kort bestek; Theorie en praktijk van grootschalige informatie-uitwisseling. Tweede druk. Boom Lemma. Den Haag, 2010.
[KART08] Kartseva, V. Designing Controls for Network Organizations. Tinbergen Institute. VU University Amsterdam, 2008.
[KETE10] Ketenbureau LAK. Handvatten voor ketensamenwerking: Ervaringen uit de loonaangifteketen. UWV/Belastingdienst, 2010.
[LOGI14] Logius. Wijk, R. van, N. Bharosa, M. Janssen & N. de Winne. De keten uitgedaagd: Besturen en verantwoorden in een wereld vol ICT. IOS Press en TU Delft, 2014.
[MAN12] Man, A.P. de, Bahlman, M., Alexiev, A.S. & Tjemkes, B.V. Management van allianties bij open innovatie – kennisintensieve zakelijke diensten. In W. van der Aa & P. den Hertog (Eds.), Open diensteninnovatie in Nederland (pp. 41-57). Den Haag SMO, 2012.
[MATT02] Matthijsse, R.P.H.M. en T.M.A. Bemelmans. Het managen van diversiteit: Een adaptief model voor ICT-regiebesturing. Informatie, jrg. 44, maart 2002.
[MATT15] Matthijsse, R.P.H.M. Open Data en keteninformatie-management, iBestuur, maart, 2015
[MATT16] Matthijsse, R.P.H.M. Jaarrekeningcontrole en risicomanagement in de cloud; NOREA, de IT-Auditor, januari 2016.
[NORA13] Ketens de baas; Pijlers en bouwstenen voor ketensturing. ICTU Den Haag, 2013.
[NORE16] NOREA; Kennisgroep Keten-informatiemanagement; Public Management Letter: Beheersing Keteninformatisering Zorgsector, 2016.
[NYFE08] NYFER, Nyenrode Forum for Economic Research. Handvatten voor goede ketensamenwerking. Nyenrode Breukelen, (2008).
[TAN11] Tan, Y.H. Technieken voor verantwoord vertrouwen. TU Delft, Intreerede, 29 april 2011.
[VERS09] Versendaal, J. Openheid van organisaties en de digitale architectuur: Overleven of het verschil maken. Hogeschool Utrecht. Openbare les, maart 2009.
