Ondernemingen voeren te weinig controles uit op de betrouwbaarheid van hun ict-afdeling, vindt adviesorganisatie KPMG. Het bedrijf deed onderzoek onder driehonderd bedrijven. Bijna tachtig procent van de bedrijven voert eens per jaar een audit uit op de ict-afdeling. ‘Het is te veel een statisch proces', zegt Rob Fijneman, voorzitter van de IT Advisory van KPMG. ‘Bedrijven zouden op kwartaalbasis moeten beoordelen wat er zich afspeelt, zodat ze snel de ict-risico's in beeld hebben.'
Tijdens een audit moeten bedrijven de ict-organisatie doorlichten. ‘Het doorlichten moet op vier vlakken gebeuren', zegt Fijneman. ‘Er moet worden gecontroleerd op de infrastructuur, applicaties, de ict-organisatie en het proces.' Bedrijven moeten kijken of alles naar behoren functioneert en of het aan de kwaliteitseisen voldoet. ‘Maar ook moet ook worden gekeken of er nog effectief of efficiënt gewerkt wordt', aldus Fijneman.
Als bedrijven niet regelmatig een it-audit uitvoeren, hebben ze de beveiligingsrisico's te laat in de gaten, zegt de voorzitter. 'Of je hebt te laat door dat ict-projecten uit de pas lopen. Dat zorgt voor geldverspilling.'
Zestien procent van de onderzochte bedrijven heeft de beschikking over doorlopende of op kwartaalbasis georganiseerde planningstrajecten. Van de ondervraagde bedrijven heeft een kwart geen gestandaardiseerd planningproces.
Technische kant
Bovendien vindt Fijneman dat bedrijven een te sterke focus hebben op de technische kant van de ict tijdens een audit. Ict wordt binnen bedrijven steeds belangrijker. Het gevolg daarvan is volgens de onderzoekers dat organisaties steeds afhankelijker zijn van de ict. 'Deze moet ook de bredere businessdoelen ondersteunen.'
En rara wiens core business is het om dit soort audits uit te voeren? Misschien kun je beter je ITers wat exta belonen ipv het geld tegen de muur te gooien bij KPMG..
Hoe ironisch: “Maar ook moet ook worden gekeken of er nog effectief of efficient gewerkt wordt” zegt een pennelikker van KPMG.
Ik bedoel maar, is dat nog wel mogelijk na de stortvloed van Sox eisen/controls van de laatste jaren?
De ene afdeling die de andere andere niet meer vertrouwd, IT personeel dat wordt behandeld als eind-users, etc. Ook valt het mij op dat de auditors nooit afreizen naar India om te zien hoe de ge-outsourde systemen aldaar worden beheerd.
Maar aan de andere kant … het zou wel eens aardig zijn om nu eens een keer al die ITSM processen eens kritisch tegen het licht te houden in plaats van de (hard)core IT. Vooral bij de overheid mag daar wel eens stevig in gehakt worden.