Kenniskloof IT-auditor dichten

23 december 2014
In dit artikel:

Sinds begin 2014 vorm ik samen met een aantal collega’s de sectie IT-Audit binnen het Joint IV Commando (JIVC), de leverancier van IV-producten en diensten van het ministerie van Defensie. Voor de meeste teamleden is het een nieuwe uitdaging binnen de organisatie en voor een aantal ervaren auditors hun eerste baan bij Defensie. In een dagelijks veranderende omgeving willen wij als auditors toegevoegde waarde leveren voor de organisatie. Om aan kenniseisen en competenties te kunnen (blijven) voldoen, is het van belang dat de IT-auditor zich blijft ontwikkelen.

De functie van IT-auditor stelt een aantal kenniseisen, zoals theoretische kennis van het vakgebied Auditing, de klantorganisatie, de technische systemen en de beheerorganisatie en -processen. Wat een IT-auditor ook nodig heeft zijn adviesvaardigheden, analytisch vermogen, communicatieve vaardigheden, klantgerichtheid en oordeelsvermogen. Om aan deze kenniseisen en competenties te kunnen (blijven) voldoen, is het van belang dat de IT-auditor zich blijft ontwikkelen. Een IT-auditor komt bovendien in aanraking met veranderingen in de markt, de producten- en dienstenportfolio van de klant en de organisatiestructuur en -cultuur van de klant. Tevens ontwikkelt de informatie- en communicatietechnologie zich vrijwel dagelijks. De kennis van de IT-auditor veroudert hierdoor razendsnel. De klant en de auditorganisatie hechten belang aan auditors die deze kwaliteiten en toegevoegde waarde kunnen blijven tonen in de snel veranderende wereld. Om zijn kennis en vaardigheden op peil te houden, is het nodig dat de IT-auditor dit organiseert. Dit vergroot zijn creativiteit, flexibiliteit en het innoverend vermogen. Kennis geldt tegenwoordig niet voor niets als de vierde productiefactor naast kapitaal, natuur en arbeid. Document management kan de kennis van de medewerkers ontwikkelen door mogelijkheden te bieden kennis te scheppen, te verwerven, over te dragen, te zoeken, te hergebruiken en klaar te maken om handelingen op te baseren.

In dit artikel beschrijf ik hoe de IT-auditor zijn kenniskloof kan inventariseren en via een aantal stappen kan dichten. Tevens ga ik in op de voorwaarden die nodig zijn om een goede omgeving te creëren waarin het mogelijk is om kennis op te bouwen en te borgen en die kennisoverdracht ondersteunt en beheerst. Ook ga ik in op de mogelijkheden die documentmanagement biedt aan de altijd leergierige IT-auditor die aan kennismanagement doet.

Kennis en kennismanagement

Kennis bestaat volgens Weggeman uit de kenniscomponenten I (Informatie) en EVA (Ervaring, Vaardigheden, Attitude). [WEGG97]

Informatie is gecodificeerde expliciete kennis en is persoonsonafhankelijk te maken door opname in documenten als rapporten, procedures, best practices, handboeken en computersystemen. Bij informatie gaat het om kennen en weten. Via onderwijs is overdracht van expliciete kennis mogelijk. Ervaring, vaardigheden en attitude is impliciete kennis en persoonsafhankelijk. Hierbij gaat het om kunnen, willen en weten. Ervaringen en vaardigheden zijn opgedaan in het werk en tijdens studies. De attitude gaat over de houding die een persoon heeft ten aanzien van de wil tot kennis vergaren en delen en zijn communicatieve vaardigheden. Het delen van impliciete kennis gebeurt door te vertellen, te demonstreren of te imiteren.

NOREA stelt als de beroepsorganisatie van IT-auditors bovendien eisen aan documentatie, kwaliteitsbeheersing, de wijze van beroepsuitoefening, gedrag en permanente educatie. Deze eisen gelden voor het uitvoeren van professionele diensten. [NORE13] Kennismanagement is dus niet een keuze, maar een verplichting voor de IT-auditor.

In de literatuur bestaan veel definities van kennismanagement en in deze definities komt vooral het belang van de organisatie tot uiting, zoals bij Boersma [BOER02]: ‘Kennismanagement is het beleidsmatig en planmatig inzetten, beheren, aanmaken, bijstellen, in stand houden, en afbouwen van kennis die voor een organisatie noodzakelijk is teneinde haar taken uit te kunnen voeren.’

De definitie van Weggeman [WEGG97] is meer persoonsgericht en noemt rendement en plezier als voordelen van kennismanagement: ‘Kennismanagement is het zodanig inrichten en besturen van de processen in de Kenniswaardeketen dat daardoor het rendement en het plezier van de productiefactor kennis vergroot worden.’ De definitie die de Defensie Materieel Organisatie hanteert, spreekt mij het meest aan en is gericht op het faciliteren van kennisoverdracht tussen personen:

‘Kennismanagement is het scheppen van een omgeving waarin kennis wordt opgebouwd en geborgd en waarbinnen kennisoverdracht wordt ondersteund en beheerst.’ [DEFE13]

De kenniswaardeketen

De kenniswaardeketen van Weggeman (zie figuur 1) is een vaak gehanteerd model om kennismanagement in een organisatie in kaart te brengen en toe te passen. [WEGG00]

Schermafbeelding 2014-12-23 om 15.33.28

Kennis neemt in waarde toe als de kennis zich meer naar rechts verplaatst in de kennis-waardeketen. Per stap in de waardeketen zijn verschillende acties mogelijk om te verbeteren. Het model bestaat uit vijf hoofdprocessen. Hierna beschrijf ik deze hoofdprocessen, waarbij ik tevens aangeef op welke wijze de IT-auditor die aan kennismanagement doet hier invulling aan kan geven.

1 Vaststellen benodigde kennis en inventariseren beschikbare kennis

De op basis van de strategische doelstellingen bepaalde benodigde kennis wordt afgezet tegen de beschikbare kennis. Zowel het niveau van de theoretische kennis als de praktijkervaring wordt in kaart gebracht. Door de benodigde kennis af te zetten tegen de beschikbare kennis wordt de kenniskloof inzichtelijk.

De IT-auditor kan het auditjaarplan gebruiken om de benodigde kennis vast te stellen en deze vervolgens af te zetten tegen zijn theoretische kennis en vaardigheden. Op deze wijze brengt hij zijn kenniskloof in kaart.

 

2 Kennisontwikkeling

De kenniskloof van de organisatie geeft inzicht in de kennis die de organisatie nodig heeft, te ontwikkelen via trainingen of het inhuren van expertise. De kenniskloof van de IT-auditor bepaalt welke kennis hij nodig heeft, te ontwikkelen via bijvoorbeeld opleidingen, trainingen, mentorschap en coaching. De IT-auditor legt dit vast in zijn persoonlijk ontwikkelplan (POP, zie de paragraaf ‘Ontwikkelingsplan IT-auditor’). Om zijn kenniskloof te kunnen dichten mag van de IT-auditor lerend gedrag verwacht worden. Kennismanagement is zowel een verantwoordelijkheid van de auditorganisatie als van de IT-auditor. Het lerend gedrag bestaat niet alleen uit het jaarlijks scoren van voldoende punten voor permanente educatie, maar ook uit het nemen van initiatief en verantwoordelijkheid om de kenniskloof te dichten en de verkregen kennis te borgen en te delen met collega’s en vakgenoten.

 

3 Kennis delen

De al in de organisatie beschikbare kennis wordt gedeeld zodat iedereen daar voordeel van heeft en er een optimale kenniswaarde kan ontstaan. De kennis komt tot leven als binnen de organisatie kennisdeling ingebed is in de processen en onderdeel is van de organisatiecultuur.

Kennisdeling faciliteert de verdere ontwikkeling van de IT-auditor, waarbij een eis aan de IT-auditor is dat hij op zijn beurt ook aan kennisdeling doet.

 

4Kennis toepassen

Kennis, ervaringen en vaardigheden worden aangeleerd en vervolgens toegepast binnen de organisatie. Pas op deze wijze wordt het geïntegreerd in de organisatie. Waarde ontstaat door het toepassen van kennis en informatie in het werk.

Als de IT-auditor de vergaarde kennis toepast binnen zijn onderzoek, maakt hij zich de informatie, ervaringen en vaardigheden echt eigen en creëert hij waarde voor zichzelf, de auditorganisatie en de klant.

 

5 Kennis evalueren

Evalueren is een belangrijk onderdeel van alle fasen om zorg te dragen voor continue verbetering. Periodiek evalueert de IT-auditor met zijn leidinggevende zijn persoonlijke kennismanagement, met aandacht voor de kennisontwikkeling van de IT-auditor en het proces van kennismanagement. De uitkomsten van deze evaluatie vormen weer het beginpunt in de kenniswaardeketen.

Voorwaarden kennismanagement

Het is de verantwoordelijkheid van de auditorganisatie om te zorgen voor een goede voedingsbodem voor kennismanagement. Hierbij gaat het om voorwaarden op het gebied van organisatiestructuur, bedrijfsprocessen, infrastructuur, cultuur en leiderschapsstijl.

Het is voor de IT-auditor essentieel om zijn creativiteit, flexibiliteit en innoverend vermogen op peil te houden

Een belangrijke rol is weggelegd voor het management. [RANG04] Noodzakelijk is bijvoorbeeld dat het management in houding en gedrag de IT-auditor faciliteert bij het dichten van zijn kenniskloof. Een andere voorwaarde is dat de deelprocessen van de kenniswaardeketen in de organisatie geborgd en continu geëvalueerd en verbeterd worden. En ten slotte is een voorwaarde dat de vastlegging van kennis en ervaringen structureel en gestructureerd plaatsvindt, zodat de IT-auditor gemakkelijk de kennisbronnen kan raadplegen.

De IT-auditor is geholpen met een cultuur van kennisdeling tussen auditors en experts. De IT-auditor heeft immers pas toegang tot de kennis in de hoofden van collega’s, vakgenoten en experts op het moment dat hij via een persoonlijk contact het gesprek aangaat, vragen stelt of ervaringen, opvattingen en overtuigingen deelt. Bij voorkeur is dit dagelijkse routine en ingebed in een proces van kennisdeling. [THIR98]

Kennisoverdracht vindt ook plaats via mentoren, kennisgemeenschappen en kennisbijeenkomsten. Een vereiste is dan ook dat de medewerker deel uitmaakt van een netwerk van auditors en experts waarin ruimte is om ervaringen te bespreken, te onderzoeken, te evalueren en om aan intervisie te doen. Op deze manier kan een cultuur ontstaan van lerend gedrag en kennisdeling. Door deze kennis te documenteren en van context te voorzien, wordt deze ontsloten voor de overige medewerkers.

ICT-middelen, zoals contentmanagementsystemen, kennisbanken, portals en communicatiesystemen, zijn nodig om het kennismanagement van de IT-auditor te faciliteren. Denk hierbij aan functionaliteiten als documentmanagement, zoeken, archiveren en samenwerken.

Als de auditorganisatie aan deze randvoorwaarden voldoet, is er een prima voedingsbodem gecreëerd voor kennismanagement en kennisdeling.

Ontwikkelingsplan IT-auditor

Ontwikkeling en opleiding zijn continue processen die rusten op de pijlers persoonlijk meesterschap, vakkennis en vakgerelateerde vaardigheden en de context waarbinnen de medewerker werkt (zie figuur 2). [MINI13]

Schermafbeelding 2014-12-23 om 15.33.36

 

Onder persoonlijk meesterschap verstaan we het ontwikkelen en benutten van persoonlijk potentieel in de zin van kwaliteiten en talenten. Ontwikkeling van vakkennis en -vaardigheden gaat over het onderhouden, actualiseren en vernieuwen van vakkennis en ook over het opdoen van vakinhoudelijke vaardigheden en ervaringen. De pijler ‘context’ betekent dat de IT-auditor zich moet ontwikkelen binnen de omgeving waarin hij functioneert. Hij heeft kennis nodig over de auditorganisatie waarin hij werkzaam is, over de toe te passen methoden en technieken en over de klantorganisaties. Het gaat hierbij zowel om procedures en regels als om de organisatiecultuur. Ook het vergroten van zijn netwerk is hierbij van belang. Als de IT-auditor deze drie pijlers verder ontwikkelt, versterkt hij zijn marktwaarde voor de auditorganisatie en voor de klant. Een beproefd instrument hierbij is het POP. Een POP kan helpen bij het vormgeven en plannen van de persoonlijke en professionele ontwikkeling van de IT-auditor. Het stimuleert om na te denken over de huidige kwaliteiten, kennis en vaardigheden en over kwaliteiten, kennis en vaardigheden die verder ontwikkeld moeten worden. Over die ontwikkeling maakt hij samen met zijn leidinggevende heldere, schriftelijke afspraken die tijdens formele gespreksmomenten worden vastgelegd en geëvalueerd.

Documentmanagement en kennismanagement

De tijdens de audit gebruikte en gegenereerde content bevindt zich veelal in de persoonlijke bestanden van de IT-auditor. Deze werkwijze biedt weinig waarborgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de dossiers. Ook bestaat het risico dat onvoldoende wordt voldaan aan de wettelijke richtlijnen zoals de Archiefwet en aan de richtlijnen van de beroepsorganisatie NOREA over dossiervorming. Tevens vindt hierdoor de vastlegging van kennis en ervaringen ongestructureerd plaats, waardoor kennisbronnen lastiger zijn te raadplegen.

Documentmanagement kan de kennis van de medewerkers ontwikkelen door mogelijkheden te bieden kennis te scheppen, te verwerven, over te dragen, te zoeken, te hergebruiken en klaar te maken om handelingen op te baseren. Op deze wijze kunnen kennisbanken ontwikkeld worden rondom documenten, die de key enablers worden voor systematische probleemoplossing en systematisch leren van ervaringen.

Een documentmanagementsysteem ondersteunt het gestructureerd vastleggen van en zoeken in elektronische auditdossiers. Het biedt functionaliteiten als importeren en exporteren van bestanden in verschillende formaten, het importeren, registreren en exporteren van normenkaders en het vastleggen en bevragen van metadata via zoekargumenten. Een documentmanagementsysteem bevordert een cultuur van kennisdeling die de informatieflow door de organisatie faciliteert. [JENK08]

Hoe kan de altijd leergierige auditor zijn kenniskloof dichten en op welke wijze kan de auditorganisatie de auditor hierin faciliteren?

Een belangrijke toegevoegde waarde van een documentmanagementsysteem voor de auditorganisatie naast het ondersteunen van kennismanagement, is de beveiliging van content via een autorisatiestructuur, het versiebeheer van de content in de auditdossiers en het compliant zijn en blijven met de Archiefwet en de normen en richtlijnen van de beroepsorganisatie.

Conclusie

De kenniswaardeketen van Weggeman [WEGG00] is geschikt om de kenniskloof van de IT-auditor te inventariseren, zijn kennis verder te ontwikkelen, te delen en toe te passen. De deelprocessen van de kenniswaardeketen borgen de continue verbetering van de kennis van de IT-auditor en het proces van kennismanagement. Dit is voor de IT-auditor essentieel om zijn creativiteit, flexibiliteit en innoverend vermogen op peil te houden. Op deze wijze blijft hij in een dagelijks veranderende omgeving toegevoegde waarde leveren voor de auditorganisatie en de klant. Het POP is een beproefd instrument om de persoonlijke en professionele ontwikkeling van de IT-auditor vorm te geven en te plannen.

Het is aan de auditorganisatie om ervoor te zorgen dat de voorwaarden voor kennismanagement op het gebied van organisatie, bedrijfsprocessen, infrastructuur, cultuur en leiderschapsstijl op orde zijn.

Een documentmanagementsysteem faciliteert hierbij het vastleggen, overdragen, zoeken en hergebruiken van kennis.

Literatuur

[ADRI13] Adriaanse, J., Kennismanagement CDC: Een inventarisatie naar de stand van zaken op het gebied van kennismanagement binnen het CDC. Ongepubliceerd materiaal. Ministerie van Defensie, 2013.

 

[BOER02] Boersma, J., Management van kennis. Assen: Koninklijke van Gorcum BV, 2002.

 

[DEFE13] Defensie Materieel Organisatie, Hand-out Leidinggevende Kennismanagement. Ongepubliceerd materiaal. Ministerie van Defensie, 2013.

 

[JENK08] Jenkins. T., Enterprise Content Management Technologie. Waterloo: Open Text Corporation, 2008.

 

[MINI13] Ministerie van Defensie, Handleiding Persoonlijk Ontwikkel Plan. Ongepubliceerd materiaal. Ministerie van Defensie, 2013.

 

[NORE13] NOREA, Thema’s. Beschikbaar via http://www.norea.nl/Norea/Thema’s/default.aspx, 2013. Geraadpleegd op 5 september 2014.

 

[RANG04] Ranganathan, C., Adopters and non-adopters of business-to-business electronic commerce in Singapore. Information and management, vol 42, p. 89-102, 2004.

 

[THIR98] Thiry, M.B., Wognum, P.M., Weerd-Nederhof, P.C. de, Kennismanagement in adviesbureaus en productontwikkeling. Bedrijfskundig vakblad, 5, p. 23-32, 1998.

 

[WEGG97] Weggeman, M., Kennismanagement, inrichting en besturing van kennisintensieve organisaties. Schiedam: Scriptum, 1997.

 

[WEGG00] Weggeman, M., Kennismanagement: de praktijk. Schiedam: Scriptum, 2000.

R.J.L. (Ruud) Wissenburg

Ruud Wissenburg is senior medewerker IT-audit bij het ministerie van Defensie. Samen met zijn collega’s en de klant draagt hij via audits bij aan een betrouwbare informatievoorziening van Defensie. JIVC IT-audit voert de onderzoeken uit volgens het principe van ‘Waarderend auditen’. Uitgangspunt is in vertrouwen samenwerken met de auditee en het benadrukken van de positieve elementen binnen de organisatie om een verbetering te initiëren.