Artikel

Architectuur voor de auditor: een zege of een nachtmerrie?

Een IT-auditor beoordeelt een object tegen een vooraf met de opdrachtgever overeengekomen norm. Wat nu als de opdrachtgever de enterprise architectuur naar voren schuift als norm? Is een enterprise architectuur te gebruiken als normenkader voor een audit?

Dat is een interessante vraag. Er wordt immers veel geïnvesteerd in architectuur om de strategie van een organisatie te operationaliseren in de vorm van veranderprogramma's. Deze verander-programma's zijn op hun beurt weer regelmatig object van audit.

Wat is een architectuur? Architectuur is gedefinieerd in IEEE 1471-2000 als "the fundamental organization of a system embodied in its components, their relationships to each other, and to the environment, and the principles guiding its design and evolution".

Voor de auditor geeft deze definitie een goed handvat, immers de samenhang van de objecten wordt in een architectuur vastgelegd en er staan principes in de architectuur die de auditor kan gebruiken om een audit op te baseren.

Echter de praktijk is weerbarstig. Wanneer is een architectuur van voldoende niveau zodat de auditor zijn normenkader kan baseren op de enterprise architectuur? Voor de beantwoording van deze vraag zijn twee zaken van belang. Ten eerste het te beoordelen object in relatie tot de architectuur en ten tweede de volwassenheid van de architectuur.

Indien de granulariteit van het te beoordelen object significant afwijkt van de enterprise architectuur is het hanteren van de architectuur als normenkader weinig zinvol. In de situatie dat de granulariteit niet significant afwijkt is de eerste horde genomen om de enterprise architectuur als normenkader te gebruiken. Echter de volgende horde doemt direct op:is de enterprise architectuur volwassen genoeg om als normenkader te dienen? Deze vraag laat zich niet zomaar beantwoorden.

Immers wat is een volwassen enterprise architectuur? In de methode Dragon1 voor enterprise architectuur worden tien kenmerken genoemd die passen bij een volwassen enterprise architectuur. Het betreffen kenmerken zoals: volledigheid, erkenning, bruikbaarheid en begrijpelijkheid.

De conclusie is op basis van de kenmerken gerechtvaardigd om eerst een pre-audit te doen op de enterprise architectuur alvorens het daadwerkelijke audit object te beoordelen.

Op basis van bovenstaande kenmerken kan een normenkader worden opgesteld met een bijbehorende normstelling. De resultaten van deze pre-audit geven inzicht of de enterprise architectuur voldoende basis biedt als normenkader voor het daadwerkelijk te beoordelen object. Als side kick wordt high level het volwassenheidsniveau van het architectuur denken en doen van een organisatie in beeld gebracht.

Voor een pakkende auditrapportage is het van belang het oordeel rechtstreeks te koppelen aan de strategie van de onderneming (bijvoorbeeld: het via internet aanbieden van selfservice portals). De bevindingen onderbouwen het oordeel, dus indien de bevinding is dat er geen semantische beschrijving is van de te valideren invoergegevens, werkt dit direct door naar de klanten, immers foutieve invoer van de klant leidt tot correcties, nabellen etc. Kortom het doel selfservice portals wordt niet ingevuld.

Daarnaast wordt het proces vervuild met foutieve invoer die tegen hoge kosten uit het proces moeten worden gehaald. Hiermee ondermijnt het ontbreken van de semantische beschrijving van de te valideren invoergegevens, de strategie van kosten verlagen.

Gecombineerd leidt het ontbreken van een semantische beschrijving op zijn minst tot een gebrekkige invulling van de doelstelling het verhogen van de omzet. Immers klanten worden niet bediend zoals gesuggereerd in het selfservice portal, daarnaast staat een hoog kostenniveau een concurrerende prijsstelling in de weg.

De uitdaging voor de auditor van 2010 is het beoordelen van de volwassenheid van de enterprise architectuur. Immers goed gereedschap is het halve werk!

Categorie:   
Auteur(s)
afbeelding van fijtsevos
Fijtse Vos
Business4IT

Fijtse is een energieke, gedreven professional met een sterk ontwikkeld analytisch vermogen en met een enorme drive om complexe problemen op een creatieve en daadkrachtige manier op te lossen.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.