In de SIVA blogreeks hebben we ingezoomd op de diverse onderdelen binnen het SIVA-raamwerk dat je terug kunt vinden in het boek “SIVA, methodiek voor de ontwikkeling van auditreferentiekaders“. We gingen in op de Structuur, Inhoud, Vorm en de Analysevolgorde als specifieke componenten binnen het SIVA-raamwerk. Om het overzicht te behouden brengen we in deze laatste blog in de SIVA reeks alles bij elkaar. Onderaan vind je directe links naar de eerdere SIVA-blogs.
Een referentiekader is een verzameling criteria dat voor een onderzoek (audit) gehanteerd wordt. Een referentiekader helpt de auditor om structuur en transparantie aan te brengen en geeft een beeld van hoe een onderzoek is uitgevoerd en van de onderzoeksobjecten binnen de audit.
Referentiekaders worden vaak ofwel Rule-based ofwel Principle-based opgezet. Rule-based zegt het al een beetje; je gebruikt ‘platte’ lijsten oftewel regels waaraan voldaan moet worden. Principle-based legt de focus op het conceptuele, waarbij een conceptueel framework wordt toegepast om inzicht te krijgen in controls (beheersmaatregelen).
Lees er meer over in deze blog: Een referentiekader en SIVA; wát is het eigenlijk?
SIVA is een methodiek voor de ontwikkeling van een referentiekader en bestaat uit Structuur, Inhoud, Vorm en Analysevolgorde. Deze elementen helpen je om te voldoen aan kwaliteitseisen voor referentiekaders. Structuur zorgt voor coherentie in het geheel, Inhoud voor betrouwbaarheid, transparantie en relevantie, Vorm voor de consistentie en de Analysevolgorde geeft de volgorde aan van de analyse van de structuur. Dit helpt je met name om op de juiste wijze om te gaan met het component structuur.
Om het auditdomein in een model te brengen wordt het 3C-model gebruikt. Het 3C model bestaat uit drie subsystemen, namelijk het Controlling System (C1), Controlled System (C2) en het Control Organ (C3).
Het 3C model heeft directe invloed op de inhoud van je referentiekader en helpt je dit juist weer te geven.
Lees er meer over in deze blog: SIVA – Structuur & overzicht
Je te onderzoeken auditobject is onderverdeeld in een lagenstructuur. Binnen deze lagen heb je algemene en specifieke lagen. De algemene lagen zorgen voor het organisatiebrede doel van de audit. De specifieke lagen letten vooral op de specifieke condities die aan het onderzoek vast hangen. De uitvoeringslagen gaan vervolgens (weinig verrassend) in op de operationele kant en de implementatie/verwerking.
De onderverdeling in lagen is als volgt:
Door een benadering met diverse invalshoeken te gebruiken neemt een auditor zowel processen uit het businessdomein als uit het IT-domein mee in een audit. Dit helpt je om één conceptuele entiteit vanuit verschillende kanten te benaderen, wat vaker wordt gedaan om dat wat je onderzoekt beter te kunnen doorgronden.
Het SIVA-raamwerk erkent vier invalshoeken met de letters DFGS. Doel, Functie, Gedrag en Structuur die je helpen om de relevante auditelementen te identificeren. Binnen de diverse invalshoeken zijn uiteenlopende auditelementen te definiëren.
Het Doel-model zorgt ervoor dat je instrumenten krijgt om te sturen en processen adequaat kunt beheersen. Denk aan o.a. Stakeholders, Middelen, Doelstellingen en een Strategisch plan. Het functie-model geeft aan hoe doelstellingen gerealiseerd worden door te kijken naar o.a. performance en taken. Het Gedrag-model omschrijft de interacties die ervoor zorgen dat doelstellingen van de organisatie worden bereikt, evenals de actoren en resources. Het Structuur-model zorgt vervolgens voor de toetsing van de samenhang van het geheel.
Lees er meer over in deze blog: SIVA – Inhoud & auditelementen (1)
Je maakt binnen SIVA gebruik van een raamwerk, onderverdeeld in vier genoemde invalshoeken. Onderstaand hebben we dit raamwerk voor je gevisualiseerd. Onder iedere invalshoek vallen diverse concepten (auditelementen) met onderlinge relaties die uit het model te halen zijn. Een auditor voert op iedere Structuur-laag een Inhoud-analyse uit met dit raamwerk, die ook wel de Structuur-Inhoudmatrix wordt genoemd. Deze matrix vormt de hoofdstructuur waarin concepten worden geplaatst.
Lees er meer over in deze blog: SIVA – Inhoud & auditelementen (2)
In het SIVA-raamwerk zijn twee soorten Vormprincipes te onderkennen. Dit zijn de richtinggevende principes en de beoordelingsprincipes. Een audit principe wordt tevens uitgedrukt in diverse relaties die onafhankelijk of afhankelijk van aard kunnen zijn.
Binnen de relaties ken je variabelen als het Wie (actoren die verantwoordelijk zijn), het Wat (drukt acties of een te bereiken doel uit) of het Waarom (drukt doelstellingen/intenties uit). Door deze principes te gebruiken kun je patronen scheppen wat vervolgens kan worden uitgelezen. Neem bijvoorbeeld de zin ‘’Het management dient arbo-technische maatregelen te treffen om de veiligheid op de werkvloer te garanderen’’.
Het Wie is in dit geval het management, het Wat de “Arbo-technische maatregelen treffen” en het Waarom is “Om de veiligheid op de werkvloer te garanderen”. Door zinnen op te bouwen volgens deze principes laat je geen ruimte voor verschillen in interpretatie. Dit is essentieel!
Het zal je niet verrassen dat het onderdeel Analysevolgorde van SIVA zorgt voor de toepassing en het doorlopen van activiteiten vanuit het raamwerk. De volgorde zorgt voor een logische set aan stappen om een referentiekader te ontwikkelen. Iets wat in de praktijk vaak bij andere aanpakken ontbreekt.
Binnen Analysevolgorde zijn drie fasen te herkennen. Door een combinatie te gebruiken van een top-down en bottom-up benadering krijg je een ideale mix. Door deze te koppelen aan de fasen middle, middle-out en middle-in krijg je een iteratief proces. Analysevolgorde wordt ook wel M3 genoemd naar deze 3 fasen.
Voor de uiteindelijke toepassing kan een drielagenstructuur worden gebruikt die uit diverse vormen kan bestaan. Wij beschrijven de eenvoudige vorm die wordt toegepast wanneer een auditobject moet worden beoordeeld in een brede organisatorische context. Denk bijvoorbeeld aan relaties tussen afdelingen en divisies en het beoordelen van primaire processen. Ik begrijp dat het allemaal wat veel wordt zo. Laten we het concreet maken.
Stel je gaat aan de slag met Analysevolgorde en de fasen.
In fase 1 ga je dan identificeren welke operationele auditaspecten er zijn voor de beoordeling van het object dat je onderzoekt. Je gebruikt het DFGS-model om relevante audit elementen te selecteren en je karakteriseert zo het te onderzoeken auditobject.
In fase 2 ga je meer in op de analyse van de beleidscontext en voorkom je door aan de hand van de lagenstructuur te werken dat je willekeurige audit elementen betrekt in een audit. Je stelt vragen over welk beleid er is en welke processen van invloed zijn.
In fase 3 kijk je dan naar de control context (fase 3 lijkt erg op fase 2, om het nog wat makkelijker te maken). Je gaat uit van kennis over het auditobject in zowel de uitvoeringscontext als de beleidscontext. Je identificeert welke controls (beheersmaatregelen) er zijn en aan welke vereisten ze moeten voldoen.
Tot slot kom je tot een gedegen analyse van alle relevante audit elementen en schrapt eventuele elementen die geen directe of indirecte relatie hebben met het auditobject. It’s as simple as that! 🙂
Lees er meer over in deze blog: Vorm & Analysevolgorde binnen SIVA
Ik hoop je met deze blog een overzicht te hebben gegeven over de inhoud van onze blogreeks over SIVA. Wil je verder inzoomen op de specifieke onderdelen? Bekijk dan de onderstaande blogs die specifieker ingaan op de opbouw van het raamwerk.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap