quote:
Op dinsdag 11 december 2007 21:45 schreef desliz het volgende:Mag ik hieruit dan ook concluderen dat de audit werkt met bestaande systemen/processen en dat consultancy meer gericht is op nieuwe wensen/eisen van een klant?
Ja en nee. IT Audit kan namelijk ook richten op wensen en eisen van de klant. IT Consultancy kan ook werken met bestaande systemen. Ik zal nog steeds eerder zeggen dat IT Audit meer te maken heeft met interne beheersing, en consultancy meer met de bedrijfsuitoefening.
Misschien dat ik het kan illustreren met een voorbeeld. Ik probeer het heel zwart-wit te houden, in praktijk moet je het ietsjes genuanceerder zien:
Hans wilt een onderneming starten. Hij denkt aan een kleine exportbedrijf met 3 personeelsleden. De IT Consultancy (ITC) wordt ingeschakeld om een pakket voor Hans te selecteren. Opdrachten worden in het pakket ingevoerd, net als de planning, facturatie en boekhouding. In een periode van een jaar heeft Hans heel veel klachten gekregen, daarnaast viel hem op dat de boekhouding niet klopt, dus schakelt hij een IT Audit (ITA) in en laat de ITA onderzoeken hoe dit kan. ITA vertelt aan Hans dat er een lek is in de logische toegangsbeveiliging. Iedereen kan namelijk muteren in de boekhouding. Daarnaast zijn er te weinig automatische controles in het pakket aanwezig. Je kunt bijvoorbeeld als datum 32-07-2007 invoeren, zonder dat er een foutmelding naar voren komt. De ITA adviseert dat voor alle 3 personeelsleden ieder een eigen inlog en wachtwoord krijgt met beperkte bevoegdheden. Daarnaast dienen automatische controles in het pakket te worden geprogrammeerd. Hans denkt aan een uitbreiding van zijn exportbedrijf. Hij wilt chauffeurs in dienst nemen die de export vervoeren. Het gehele logistieke planning is vrij ingewikkeld en schakelt weer een ITC in om uit te zoeken wat de mogelijkheden zijn. ITC stelt voor om of een software te laten maken dat gekoppeld kan worden met bestaande pakket, of een nieuwe pakket aanschaffen en implementeren. Hans kiest voor een nieuwe pakket. Maar nu er ruim 100 mensen voor Hans werken, vraagt Hans aan ITC om deze 100 mensen te begeleiden en hun te trainen voor het gebruik van het nieuwe pakket. Hans heeft daarnaast wel zijn lesje geleerd van de fouten. Hij laat zich door de ITC adviseren wat de mogelijkheden zijn voor rapportages via het systeem, zodat Hans altijd op de hoogte is wat er met zijn onderneming gebeurd. Daarnaast laat Hans zich adviseren door de ITC hoe het pakket en organisatorisch geregeld kan worden zodat de fouten van vroeger zullen worden voorkomen. De ITC legt Hans uit wat de mogelijkheden zijn, en het ziet er veel belovend uit. Hans is overtuigd dat het nu 100% goed zit. Een maand later is alles geimplementeerd. Hans begint toch een beetje te twijfelen. Het pakket ziet er goed uit, het proces er omheen ook. Maar Hans weet nog steeds niet of het werkt. Stel dat werknemer 1 bij de inkoop werkt, en nu overgeplaatst is naar de administratie, kan hij nog steeds inloggen mijn zijn oude inloggegevens en vervolgens inkooporders plaatsen? Hans vraagt aan de ITA of hij kan onderzoeken of het proces ook zo werkt zo als het hoort, oftewel de werking van wat de ITC heeft voorgesteld en geimplementeerd.