Column: Governance, Audit en Test

Governance is de wijze waarop organisaties aantonen, dat ze geen onnodige risico’s nemen en zorgvuldig met hun gelden omgaan. Het belang van governance neemt in de komende tijd meer en meer toe.

Hiervoor is een aantal redenen aan te wijzen. Veel organisaties werken met publiek geld, of geld van anderen, bijvoorbeeld banken en verzekeraars. Deze organisaties moeten verantwoording af leggen over hoe zij deze gelden beheren. Niet alleen aan de overhield, ook aan het grote publiek. Dat is zich door de huidige bankencrisis bewust geworden wat de impact is van financieel wanbeheer. Daarnaast geldt dat organisaties meer en meer diensten laten uitvoeren door externe partijen. Voor de uitbestedende organisatie geldt natuurlijk wel dat ze zekerheid willen hebben dat de uitvoerende partij, de service organisatie, zijn interne controle op orde heeft. Controle is noodzakelijk.

Basel III, Solvency 2, Sas70, Sarbanes-Oxley zijn bekende governance modellen.Op het eerste gezicht hebben deze weinig te maken met IT. Toch hebben ze grote gevolgen voor de systemen, de systeemontwikkeling en testen.Enerzijds dienen de controles die de norm voorschrijft te worden vertaald naar testen die worden uitgevoerd. Anderzijds dienen de resultaten van de testen te worden herleid naar impact voor de compliance. Daar doorheen lopen techniek en organisatie. Deze twee bepalen welke controles procesmatig en welke technisch worden geimplementeerd.

Figuur: kennisgebieden komen bij elkaar

“Binnen onze organisatie heeft governance een grote omslag teweeg gebracht.” Legt Henk uit, “Wij moeten aantonen de financiële risico’s in de klauw te hebben. Er is een groot aantal controlepunten benoemd. Veel van deze punten zijn geborgd in de software. Je kunt hierbij denken aan de scheiding van rollen. De autorisatiematrix en de systeemworkflow zijn ontworpen op basis van het vier-ogenprincipe. Tijdens het testen van de release controleren wij of het ook echt niet mogelijk is om als één persoon ongezien grote bedragen uit te geven. Daarnaast testen we de rapportage heel nauwkeurig. Een apart testteam onderzoekt of de bedragen in financiële rapporten correct zijn. Ik moet er niet aan denken wat er kan gebeuren als er bijvoorbeeld een rekenfout in de berekeningen zit en het management daarop een verkeerde beslissing neemt.”

Governance dwingt het houden van audits af, die controleren of de risicomaatregelen goed worden uitgevoerd. Dit kunnen externe en interne audits zijn. Voor testers biedt dit veel mogelijkheden. Enerzijds worden er ineens externe kwaliteitseisen aan het testen gesteld. Het testproces wordt daarmee gestructureerder en beter geembed in de ontwikkelprocessen. Audits bieden daarnaast draagvlak, motivatie en goede argumenten om de benodigde verbeteringen ook daadwerkelijk door te voeren. Daarnaast hebben testers bewezen aanleg te hebben voor het auditorschap, Hiermee opent er een heel nieuw scala aan carrière mogelijkheden.

—————-
Derk-Jan de Grood werkt als testexpert bij Valori. Hij adviseert organisaties bij het inrichten en verbeteren van hun testactiviteiten. Als productmanager werkt hij aan innovaties in het Valori dienstaanbod. Daarnaast spreekt en publiceert hij met groot enthousiasme over ontwikkelingen in het testvak.

Henk is een fictieve tester, net zoals jij en ik.