Auditing Social Media - scripties.uba.uva.nl
Transcript of Auditing Social Media - scripties.uba.uva.nl
Auditing Social Media “The race to grow ears”
Rienk Rienks
Amsterdam, 5 september 2014
Begeleider: Willem van Loon
Universiteit van Amsterdam Business School
Executive Internal Auditing Program
2
Voorwoord
Voor u ligt het referaat waarmee ik mijn postdoctorale studie Executive Internal Auditing
Programme aan de Universiteit van Amsterdam afrond.
Dit voorwoord biedt mij de gelegenheid een aantal mensen te bedanken. Op de eerste plaats wil ik
mijn werkgever, ABN AMRO, bedanken voor de mogelijkheid om deze studie te volgen.
Ik wil prof. dr. Willemijn van Dolen (hoogleraar marketing Universiteit van Amsterdam), prof. dr. J.
Strikwerda (hoogleraar Strategy en Marketing Universiteit van Amsterdam), John Bendermacher
(Group Audit ABN AMRO), Rinus van der Struis (Audit Rabobank Group), Jenny van Stein (Channel
Manager Social Media ABN AMRO), Martijn Wesseling (Audit SNS REAAL) en Tom van der Ven (Head
IT Audit SNS Reaal) hartelijk danken voor hun medewerking aan de interviews.
Willem van Loon wil ik bedanken voor zijn begeleiding, de stimulerende suggesties om ook op
andere manieren onderzoek te doen en de steun in algemene zin. Ook ben ik dankbaar voor mijn
(ex)collega’s Dagmar van Steenbrugge, Eugene Aschebrock en Andre van der Meer voor hun tijd en
bijdrage.
Tot slot wil ik Seyed Jalaleddin Bani Hashemi, vriend en collega, bedanken voor zijn kritische blik en
goede suggesties.
Rienk Rienks
3
Contents Voorwoord ........................................................................................................................................ 2
Executive Summary ........................................................................................................................... 4
Hoofdstuk 1: Inleiding ....................................................................................................................... 6
Hoofdstuk 2: Wat is Social Media? ................................................................................................... 10
Hoofdstuk 3 Control Models Social Media ....................................................................................... 16
Hoofdstuk 4 Bestaande Audit Referentiekaders ISCACA & IIA .......................................................... 25
Hoofdstuk 5 Theoretisch Audit Referentiekader Social Media .......................................................... 31
Hoofdstuk 6 Gevalideerd Audit Referentiekader Social Media ......................................................... 37
Bibliography .................................................................................................................................... 46
4
Executive Summary Social Media was 10 jaar geleden nog redelijk onbekend. In 2014 is het niet meer weg te denken uit
onze samenleving. Via internet applicaties zoals Twitter, Facebook en Instagram kunnen gebruikers
van Social Media makkelijk inhoud publiceren op het internet. Via Social Media wordt er met elkaar,
maar ook over elkaar gesproken. Ook ondernemingen zien de mogelijkheden van Social Media als
nieuw kanaal om consumenten te benaderen. Echter, Social Media is anders dan traditionele
kanalen omdat het een dialoog faciliteert tussen ondernemingen en hun stakeholders en dit dialoog
vindt plaats in de publieke ruimte. Dit biedt kansen, maar er zijn zeker ook risico’s. Negatieve
berichtgeving kan ook escaleren. Ook Nederlandse grootbanken begeven zich op Social Media en
proberen de kansen van Social Media te grijpen. ING, ABN AMRO, Rabobank en SNS REAAL zijn
Nederlandse grootbanken. De Nederlandse grootbanken verzorgen samen het merendeel van de
kredietverlening en andere bankproducten aan Nederlandse huishoudens en bedrijven. Een
grootbank dient daarom ook de risico’s van Social Media te beheersen. Internal audit kan bijdragen
aan deze risico beheersing.
In deze scriptie is een onderzoek gedaan naar in hoeverre een effectief audit referentiekader voor
Social Media voor grootbanken realiseerbaar is.
Voor een succesvolle bijdrage van Social Media aan bedrijfsdoelstellingen zijn er drie kritische
succesfactoren waaraan een organisatie dient te voldoen:
1. Een effectieve interne organisatie om Social Media te faciliteren;
2. Effectief monitoren van Social Media;
3. Verworven inzichten uit Social Media omzetten in acties.
Deze kritische succesfactoren zijn gebruikt als kapstok in het formuleren van een theoretisch audit
referentiekader voor Social Media voor grootbanken.
De Social Media audit referentiekaders van de Information Systems Audit and Control Association
(ISACA) en het Institute of Internal Auditors (IIA) zijn gebruikt om het theoretische audit
referentiekader te voorzien van relevante doel-risico-beheersmaatregel-teststap onderdelen.
Uiteindelijk konden hiermee slechts twee van de drie kritische succesfactoren worden voorzien van
doel-risico-beheersmaatregel-teststap onderdelen.
Voor de derde kritische succesfactor kon geen beroep worden gedaan op zowel het referentiekader
van het IIA als dat van het ISACA. Voor de derde kritische succesfactor is op basis van psychologie- en
sociale studies literatuur een nieuwe doel-risico-beheersmaatregel-teststap geïntroduceerd.
De scope van het onderzoek is beperkt tot grootbanken, omdat het systeem risico door Social Media
versterkt kan worden. Ook zijn grootbanken relatief actiever op social media dan “klein” banken. Het
theoretische referentiekader is voorgelegd aan audit experts van Nederlandse grootbanken. Met
hun feedback is het audit referentiekader gevalideerd.
Het doel van het onderzoek was om een analyse te geven hoe een Social Media audit voor
grootbanken ingericht kan worden. De belangrijkste risico’s van Social Media voor grootbanken zijn
wet- en regelgeving risico’s, reputatie- en operationele risico’s. Deze risico’s zijn verwerkt in het
5
audit referentiekader en mitigerende maatregelen zijn hieraan toegevoegd. Het doel was uiteindelijk
om te onderzoeken in hoeverre een effectief referentiekader voor grootbanken realiseerbaar is.
De conclusie is dat een effectief audit referentiekader voor Social Media voor Nederlandse
grootbanken realiseerbaar is.Het is alleen effectief mits er voldaan wordt aan alle drie de kritische
succesfactoren voor een succesvolle bijdrage van Social Media aan bedrijfsdoelstellingen. Het
gevalideerde Social Media audit referentiekader bestaat daarmee uit onderdelen van het ISACA en
IIA referentiekaders met een nieuwe onderdeel.
In dit nieuwe onderdeel gaat het er om dat een grootbank nieuwe acties ontwikkelt aan de hand van
verworven inzichten. Zowel het IIA als ISACA besteden geen aandacht aan deze kritische
succesfactor voor Social Media.Met dit nieuwe onderdeel is het Social Media audit referentiekader
voor grootbanken hiermee een uitbreiding op de ISACA en IIA referentiekaders en is toegespitst op
grootbanken.
6
Hoofdstuk 1: Inleiding Social Media dwingt organisaties tot een hele andere manier van omgaan met klanten. Het belang van Social Media zal in de toekomst alleen maar toenemen. Het publiek bepaalt steeds meer wie er door mogen naar de ‘volgende ronde’ en wie niet. Haak aan op Social Media of haak af.
ING Bank had begin 2013 een probleem met saldi op de rekeningen van hun klanten. Het webcare team van de ING Bank heeft de saldoproblemen niet goed opgevangen. Klanten werden niet goed geïnformeerd over de oorzaak. De imagoschade is groot, mede door de niet tijdige reactie.
Het niet adequaat en tijdig reageren op Social Media events kunnen leiden tot reputatieschade voor ondernemingen. Bij het toenemende belang van Social Media zullen banken dit nieuwe fenomeen goed moeten analyseren. Sociale voelsprieten van een organisatie dienen juist ingezet te worden in een toenemende volatiele externe omgeving. Echter, is Social Media wel te benaderen vanuit de wel bekende management control benaderingen? Is het voldoende om een uitgewerkte Social Media strategie te hebben om deze tactisch te vertalen naar een Plan-Do-Check-Act (Deming and Walton 1986)?
Internal Audit kan van toegevoegde waarde zijn in de beheersing van de risico’s van Social Media. Vanuit een risk-based audit programma kunnen beheersmaatregelen worden getest. Echter de vraag rijst op welke wijze de toegevoegde waarde ingevuld wordt met betrekking tot Social Media. Twitter, Facebook, Linkedin zijn bekende voorbeelden van gevestigde Social Media waar men redelijk duidelijk een risico kan definiëren. Instagram, Foursquare, Pinterest en Flickr zijn voorbeelden van Social Media die relatief minder bekend zijn en de vraag is in welke mate deze door een bedrijf beheerst worden en dienen te worden. Hiernaast zijn voorgaande voorbeelden vooral westerse geïnitieerde Social Media. Jiepang, Renren, LAGbook and Sonico zijn Social Media platformen, die miljoenen volgers hebben in China, de Arabische wereld, Afrika en Zuid Amerika. In hoeverre kan een organisatie alles monitoren en nieuwe ontwikkelingen (snel) integreren in de bedrijfsvoering? Dient een bedrijf in de huidige tijd op een andere manier georganiseerd te worden om flexibeler te reageren op hevige externe ontwikkelingen?
Het feit is dat er een diversiteit aan Social Media bestaat en de ontwikkelingen elkaar razendsnel opvolgen. Hierdoor neemt de impact van Social Media toe op organisaties. Naar mijn mening ligt hier een rol voor internal audit weggelegd. De vraag luidt: hoe zorg je als organisatie ervoor dat je “in control” bent als het gaat om Social Media? Dit betekent niet alleen dat je effectief georganiseerd hoort te zijn bent om te reageren bij een (negatief) event, maar is de vraag: op welke wijze dient Social Media bij te dragen aan de bedrijfsdoelstellingen?
Probleemstelling en onderzoeksvragen
Doel
De kredietcrisis wordt grotendeels in de schoenen van de banken geschoven. Ze zouden met hun korte termijngedrag zoveel mogelijk producten (hebben) willen verkopen. Ook Nederlandse grootbanken zijn bezig met het herstellen van het vertrouwen van de Nederlandse burger in banken. Social Media is een relevante optie voor banken om mede bij te dragen aan dit herstel van vertrouwen. Daarom is het noodzakelijk dat een Nederlandse grootbank Social Media op een effectieve manier inzet. Internal audit kan een bijdrage leveren aan het effectief inzetten van Social Media waardoor dit bijdraagt aan doelstellingen van grootbanken.
De doelstelling van het onderzoek is om een analyse te geven hoe een Social Media audit voor grootbanken ingericht kan worden. Het doel is uiteindelijk om te onderzoeken in hoeverre een effectief referentiekader voor grootbanken realiseerbaar is.
7
Probleemstelling
Social Media dient een bijdrage te leveren aan de doelstellingen van een grootbank. Het probleem is dat een effectief referentiekader voor een Social Media audit voor grootbanken (nog) niet bestaat. Hiernaast is de vraag of een Social Media audit referentiekader voor grootbanken daadwerkelijk anders ingericht moet worden dan een Social Media audit referentiekader voor andere organisaties.
In hoeverre is een effectief audit referentiekader voor Nederlandse grootbanken voor Social Media te realiseren?
Scope
Grootbanken: Een systeembank en grootbank worden vaak in een adem genoemd, maar een harde definitie van een grootbank is niet te vinden. Volgens De Nederlandse Bank (De Nederlandse Bank 2014) heeft een individuele grootbank een omvang van meer dan 50% van het Nederlands bbp; voor ING en Rabobank is dit zelfs meer dan 100%. De Nederlandse grootbanken verzorgen samen het merendeel van de kredietverlening aan Nederlandse huishoudens (85%) en bedrijven (60%) (De Nederlandse Bank 2014). Het voornaamste verschil tussen een grootbank en “klein” banken ligt in het systeem risico. Een faillissement van een van de grootbanken (ING, Rabobank, ABN AMRO, SNS) kan niet worden opgevangen door de Nederlandse banksector zelf. Een faillissement van de overige banken zou een domino-effect teweeg brengen. De banksector en de Nederlandse overheid staan hierdoor garant voor het kapitaal van grootbanken. De grootbanken ING, Rabobank, ABN AMRO en SNS bank zijn ook systeemrelevant (De Nederlandse Bank 2014). Hoewel Nederlandse grootbanken en systeembanken in een adem genoemd worden, gaat het om de relevantie van scope van het onderzoek. Uit een interview met de channel manager Social Media ABN AMRO blijkt dat het managen van reputatie via Social Media veel relevanter is voor grote, bekende banken dan kleine banken in Nederland. Grootbanken hebben nu eenmaal meer klanten die zich op Social Media begeven. Een kleine bank heeft de keuze om in zijn nichemarkt andere communicatievormen te kiezen, terwijl een grootbank gedwongen wordt om met de massa in gesprek te gaan via Social Media. Social Media is een communicatiemiddel en de grootbanken hebben hiermee het grootste bereik. Negatieve berichtgeving via Social Media kan het systeemrisico vergroten. Reputatiemanagement via Social Media is voor grootbanken van belang om het gebrek aan vertrouwen in een grootbank niet te laten escaleren in een bankrun. Hiervoor dient een grootbank mitigerende maatregelen in te regelen. Een uitgangspunt voor deze scriptie is dat er door een (groot)bank gekozen is voor een actieve deelname aan Social Media. Het niet participeren aan Social Media kan een strategische beslissing zijn. Bij grootbanken lijkt er gekozen te zijn voor deze actieve deelname aan Social Media (Twitter: @Rabobank (volgers: 82.500 / tweets: 47.800) versus @NIBC_Bank (volgers: 125 / tweets: 124) en @Binckbank (volgers: 1.791 / tweets: 92)). Het resultaat van deze scriptie kan daarom ook toepasbaar zijn op “klein” banken met vergelijkbare actieve deelname aan Social Media.
Informatie Technologie: De beheersing van IT van Social Media ligt in de scope van dit onderzoek.
Onderzoeksvragen
1. Wat betekent Social Media voor Nederlandse Grootbanken? 2. Welke management control systemen zijn geschikt om Social Media te beheersen? 3. Hoe wordt in bestaande referentiekaders gekeken naar Social Media? 4. Wat zijn de belangrijkste eisen aan het auditen van Social Media? 5. Hoe kan een audit referentiekader voor grootbanken eruit zien?
8
Werkwijze
Onderzoeksvraag 1: Wat betekent Social Media voor Nederlandse Grootbanken?
Om tot onderzoeken in hoeverre een effectief audit referentiekader voor Social Media, zal als eerst een verkenning van Social Media literatuur plaatsvinden. Het doel van deze deelvraag is te bekijken wat de gevolgen zijn van Social Media voor grootbanken. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.
Onderzoeksvraag 2: Welke management control systemen zijn geschikt om Social Media te beheersen?
Er zal een verkenning plaatsvinden van beschikbare management control modellen. Het resultaat is een beargumenteerde schifting welke management control theorieën geschikt zouden kunnen zijn voor het beheersen van Social Media.
Onderzoeksvraag 3: Hoe wordt in bestaande audit referentiekaders gekeken naar Social Media?
De bestaande referentiekaders voor Social Media van ISACA en het IIA voor Social Media worden geanalyseerd. Het IIA en het ISACA instituut worden mondiaal geaccepteerd en erkend door audit professionals. De Social Media referentiekaders van het IIA en ISACA behoren tot de geaccepteerde audit industrie norm en vertegenwoordigen hoge professionele audit standaarden. Andere soortgelijke Social Media audit referentiekaders zijn niet beschikbaar en/of kunnen niet als internationale maatstaf gebruikt worden. Daarom zullen het IIA en ISACA Social Media referentiekaders als benchmark dienen.
Het resultaat zal zijn een selectie van onderdelen voor het formuleren van het theoretische audit referentiekader voor Social Media voor grootbanken.
Onderzoeksvraag 4: Wat zijn de belangrijkste eisen aan het auditen van Social Media?
Het doel van deze vraag is om tot een theoretisch audit referentiekader voor Social Media voor grootbanken te komen.
Onderzoeksvraag 5: Hoe kan een audit referentiekader voor grootbanken eruit zien?
Het theoretische audit referentiekader zal voor gelegd ter validatie aan de Audit experts van Nederlandse grootbanken. Dit zullen semigestructureerde interviews zijn met als doel om het ontwikkelde audit referentiekader aan te scherpen en/of aan te passen.
Met hun feedback zal het resultaat zijn een gevalideerd referentiekader voor Social Media Audit voor Nederlandse grootbanken.
Hiernaast zal de visie van audit experts van Nederlandse grootbanken ten aanzien van het auditen van Social Media geraadpleegd worden voor aanscherping van het audit referentiekader.
Schematisch ziet werkwijze en onderzoeksopzet (incl. hoofdstuk indeling) er als volgt uit:
H2. Literatuur
Social Media
H3. Literatuur
Management
Control
H5. Theoretisch
referentiekader
Audit Social
Media
H4. Analyse
bestaande Audit
Social Media
referentiekaders
H6. Gevalideerd
referentiekader voor
Social Media Audit
9
Leeswijzer/Structuur scriptie
Hoofdstuk 2
Hoofdstuk 2 geeft antwoord op de volgende onderzoeksvraag: Wat betekent Social Media voor grootbanken.
In hoofdstuk 2 zal de meest relevante theorie met betrekking tot Social Media worden verkend. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.
Hoofdstuk 3
Hoofdstuk 3 geeft antwoord op de volgende onderzoeksvraag: Welke management control systemen zijn geschikt om Social Media te beheersen?
In hoofdstuk 3 zal de theorie met betrekking tot management control worden verkend. Het doel zal zijn om theorie(en) te vinden die aansluiten op de elementen van Social Media uit hoofdstuk 2. Aan het einde van hoofdstuk 3 zal een beargumenteerde schifting gemaakt zijn van management control theorieën, die van toepassing zijn op Social Media
Hoofdstuk 4
Hoofdstuk 4 geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?
De bestaande audit referentiekaders voor Social Media van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) worden geanalyseerd. Het resultaat zal zijn een selectie van onderdelen voor het formuleren van het theoretische audit referentiekader voor Social Media voor grootbanken.
Hoofdstuk 5
Hoofdstuk 5 en hoofdstuk 6 geven antwoord op de volgende deelvraag: Wat zijn de belangrijkste eisen aan het auditen van Social Media?
In hoofdstuk 5 zal een synthese zijn uit de eerdere hoofdstukken om te komen tot een theoretisch referentiekader voor de Social Media audit.
Hoofdstuk 6
In hoofdstuk 6 zal het theoretische audit referentiekader uit hoofdstuk 5 voorgelegd worden aan audit professionals uit de praktijk ter validatie. Via semigestructureerde interviews zal feedback op het theoretische audit referentiekader gevraagd worden aan audit experts van Rabobank, ABN AMRO, en SNS REAAL.
Het doel van deze expert feedback is om te komen tot een gevalideerd referentiekader voor Nederlandse grootbanken.
Hoofdstuk 7
In dit hoofdstuk wordt de hoofdvraag beantwoord: In hoeverre is een effectief referentiekader voor grootbanken voor Social Media te realiseren?
10
Hoofdstuk 2: Wat is Social Media? Hoofdstuk 2 geeft antwoord op de volgende onderzoeksvraag: Wat betekent Social Media voor grootbanken.
In hoofdstuk 2 zal de meest relevante theorie met betrekking tot Social Media worden verkend. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.
Definitie Social Media
ISACA (Kelson 2011) definieert Social Media als het gebruik van internet-gebaseerde applicaties ten behoeve van verspreiding van informatie en/of samenwerking op basis van gedeelde informatie. Kelson (2011) geeft aan dat het verschil tussen Social Media met traditionele advertenties en marketing kanalen het populistische karakter is. Ieder met toegang tot internet via mobiel, tablet of ander apparaat kan in bijna alle anonimiteit en zonder verantwoording, participeren in publieke of private informatie deling. Het algemene verband is dat de tools (mobiel, tablets, desktops) gemanaged worden door individuen in plaats van een professionele afdeling, zoals bij een traditioneel marketingkanaal. Social Media is een vrij nieuw fenomeen en populaire Social Media tools volgen elkaar in een razend tempo op (Kaplan and Haenlein 2010). Hoewel er ook andere dimensies zijn voor de indeling van Social Media (Kaplan and Haenlein 2010) staat centraal bij Vergili et al (2012) wat de gebruiker wilt bereiken met desbetreffende Social Media tooling. Social Media wordt door gebruikers voor verschillende doeleinden gebruikt. Figuur 1 geeft een classificatie weer van huidige veel gebruikte redenen voor het gebruik van Social Media.
Figuur 1: Classificatie van verschillende Sociale Technologieën (Vergili and Kaganer 2012)
Gebruikers schrijven teksten op blogs, delen filmpjes en foto’s op Youtube en Flickr en hebben online interactie met elkaar via Facebook, Linkedin en Twitter. Deze categorie van Social Media netwerken zijn de bekendste en de grootste, maar deze netwerken bestaan nog geen tien jaar (Boyd en Ellison 2008). Facebook ontstond op 4 februari 2004 en heeft inmiddels 1,1 miljard maandelijks
Doel Beschrijving Voorbeelden van Social Media
Identificeren/verbinden Door het gebruik en het
linken van profielen kunnen
gebruikers content delen,
aanpassen en toegang
krijgen tot content.
Facebook, Twitter, LinkedIn
Communicatie/discussie Het in staat stellen van
eenzijdig of veelzijdig
communicatie tussen
gebruikers in real-time of
afwijkende tijdzones
Skype, Webex, Facebook,
Whatsapp, Twitter, Blogs,
Snapchat
Maken en delen van
content
Creatie en modificatie van
publieke bestanden als
documenten, beelden en
videos.
Wikipedia, Youtube, Pinterest,
Flickr
Review/beoordelen Gebruikers delen hun
mening en ervaringen over
producten en diensten.
Tripadvisor, Booking.com, Yelp
Games Gebruikers spelen games
binnen het social portaal
Farmville, Angry Birds, World of
Warcraft, Second Life
11
actieve leden (www.facebook.com), terwijl Twitter zeven jaar na zijn ontstaan 280 miljoen actieve gebruikers heeft, die 340 miljoen tweets per dag versturen (www.twitter.com).
Scott & Jacka (2011) erkennen in Social Media een machtsverschuiving van organisaties naar de massa, aangezien Social Media de massa de mogelijkheid verschaft zich te uiten door het publiceren van inhoud. Hierin ligt ook het verschil met traditionele Public Relations. Public Relations gaat uit van een zendende functie, waarbij bijvoorbeeld via persberichten gecommuniceerd wordt. Deze eenzijdige communicatie staat haaks op een multi-zijdige communicatie tussen Social Media gebruikers. Gebruikers van Social Media bespreken bijvoorbeeld via Twitter met elkaar hun ongenoegen over een organisatie. De PR-functie van een organisatie neemt niet eens meer deel aan het gesprek.
Deze online sociale interactie heeft ervoor gezorgd dat organisaties zich ook in de virtuele ruimte begeven en, gevraagd en ongevraagd, reageren op tweets, blogs en posts van gebruikers (Dolen 2013). Gezien het jonge, maar zeer invloedrijke medium is het nog maar de vraag of deelnemen aan het online dialoog met consumenten door organisaties juist niet averechts werkt en hierdoor de consument organisaties juist zal buitensluiten (Scott en Jacka 2011). Social Media dient vooral gezien te worden als een communicatiemiddel, een manier om interactie en gesprekken te bevorderen (Kaplan & Haenlein, 2010; Scott & Jacka, 2011; Dolen, 2013).
De Sociale Media hebben primair als doel om mensen aan elkaar te koppelen, te laten praten en informatie uit te wisselen (Kaplan & Haenlein, 2010; Fournier & Avery, 2011; Dolen, 2013). De Social Media applicaties bedoeld om mensen met elkaar te communiceren, om virtueel te “socializen”. Het doel van Social Media voor grootbanken is dat Social Media bijdraagt aan bedrijfsdoelstellingen.
Social Media risico’s voor financiële instellingen
De Federal Financial Institutions Examination Council (FFIECC) is een officieel Amerikaans instituut dat verantwoordelijk is voor het ontwikkelen van uniforme reporting standaarden voor financiële instituten die onder federaal toezicht staan. De FFIECC stelt een aantal formele richtlijnen, waaraan Amerikaanse financiële instituten officieel dienen te voldoen. Hiernaast heeft het FFIECC een aantal press releases, waarin richtlijnen worden gepubliceerd zonder compliance vereisten. Het veranderende consumenten gedrag door Social Media heeft geresulteerd dat in 2013 in de Verenigde Staten door de Federal Financial Institutions Examination Council een richtlijn opgesteld is: Social Media: Consumer Compliance Risk Management Guidance (FFIECC 2013). Het doel van deze richtlijn is om financiële instituten te ondersteunen met het managen van compliance, legal, reputatie en operationele risico’s van Social Media. Kort samengevat; de richtlijn adviseert een financiële instelling een Social Media risico management programma voor. Hierin moet aandacht gegeven worden aan governance structuren, beleid en richtlijnen, Social Media uitbesteding richtlijnen, trainingsprogramma voor medewerkers, proces voor monitoren Social Media en inregeling van periodieke controles van audit en compliance. Deze richtlijn legt geen nieuwe vereisten op aan financiële instituten, zoals grootbanken. De richtlijn is eerder bedoeld om financiële instituten te helpen met het begrijpen en managen van potentiele Social Media risico’s (compliance, legal, operationeel en reputatie risico’s). De richtlijn voorziet in afwegingen die financiële instituten kunnen helpen tijdens risk assessments en bij het opstellen en evalueren van Social Media beleid en procedures (Federal Financial Institutions Examination Council 2013).
Tot op heden zijn er in de Europese Unie geen soortgelijke richtlijnen gepubliceerd. Echter, de geïdentificeerde risico’s van het FFIECC (2013) kunnen ook toepasbaar zijn op Social Media voor Nederlandse grootbanken. De Amerikaanse richtlijnen identificeren de volgende risico’s voor financiële instituten (FFIECC 2013):
12
Compliance en Legal risico’s
Producten: Wanneer je als bank producten (kredieten, spaardeposito’s, betalingsverkeer) gaat leveren via Social Media zal je aan huidige regelgeving t.a.v. deze product voering moeten voldoen.
Klant acceptatie: Een ander genoemd risico is het identificeren van klanten via de Social Media. Een virtueel profiel leent zich om je voor te doen als iemand anders. CAAML (Client Acceptance & Anti-Money Laudry) wetgeving schrijft voor dat financiële instituten procedures en controle maatregelen moet treffen om zich ervan te vergewissen, dat zij met de juiste klant in contact zijn.
Witwas praktijken via Social Media: witwaspraktijken in opkomende gebieden als virtuele werelden en via virtuele valuta. Via virtuele werelden is het mogelijk om cash uit te keren. Een bank dient deze vorm van witwasprakijken te monitoren.
Privacy regelgeving is zeer relevant voor Social Media. Banken verzamelen, of hebben toegang tot informatie over of van klanten. Een bank zal na moeten gaan of zij aan relevante privacy wetgeving voldoen, wanneer zij gegevens verzamelen en/of gegevens tonen via online profielen. Ook dient te worden nagegaan in hoeverre een bank via Social Media persoonlijke commerciële berichten mag zenden via Social Media naar haar klanten. Zelfs wanneer je aan de wet- en regelgeving voldoet, dient een bank te overwegen wat de gevolgen zijn van het gebruik van persoonlijke klant informatie op Social Media.
Reputatie risico’s
Activiteiten van banken op Twitter of Facebook kunnen leiden tot ontevreden klanten en/of negatieve publiciteit. Zelfs wanneer er aan alle wet- en regelgeving wordt voldaan, leidt dit tot reputatieschade. Een bank dient hier maatregelen te treffen om reputatieschade via haar Social Media activiteiten zoveel mogelijk te voorkomen.
Bescherming merk identiteit: het beschermen van het bank merk identiteit kan uitdagend zijn voor banken. Een bank zou relevant beleid geïmplementeerd moeten hebben om bij negatieve publiciteit adequaat en op een consistente manier te kunnen reageren. Hiernaast zal een bank moeten zorgdragen dat er beleid bestaat voor phising. Dit is het frauderend gebruik van een identiteit door derden om informatie te onttrekken van een bank.
Uitbesteding Social Media aan een derde partij: Banken kunnen ervoor kiezen hun Social Media activiteiten uit te besteden aan een derde partij of een aanwezigheid te creëren op Facebook, Twitter of een ander kanaal. Gelijk aan reguliere uitbestedingsprocessen zullen juiste due diligence onderzoeken plaatsvinden voorafgaand aan de uitbesteding. Hiernaast dienen duidelijke compliance afspraken gemaakt worden wie informatie namens de bank publiceert op de kanalen. Het risico is dat bij onverwacht gebruik van persoonlijke klantinformatie of veranderingen in beleid, de klant de bank beschuldigt van nalatigheid, terwijl dit de verantwoordelijkheid is van de derde partij.
Klachtenmanagement: hoewel banken de voordelen van het publieke karakter van Social Media kunnen benutten om klachten en vragen van klanten te beantwoorden, bestaan hier reputatie risico’s wanneer klachten en vragen niet tijdig of op een onjuiste manier geadresseerd worden.
Interne medewerkers: Banken dienen bewust te zijn dat persoonlijke Social Media communicatie van bank medewerkers door klanten als officiële bank communicatie gezien
13
kan worden. Bank medewerker communicatie via Social Media kan ook leiden tot compliance en/of operationeel risico, naast het reputatie risico voor een bank. Ter voorkoming van deze risico’s kan een bank beleid en training opstellen om Social Media risicobewustzijn onder de bank medewerkers te bevorderen.
Operationele risico’s
Operationeel risico is het risico van schade resulterend van inadequate processen, systemen en gebruikers. De oorzaak hiervan kan zowel interne als externe gebeurtenissen zijn. Operationeel risico omvat ook de risico’s van het gebruik van informatie technologie door financiële instituten (FFIECC 2013). ISACA geeft aan dat het voornaamste operationele risico van Social Media ligt in het gebruik van IT (ISACA 2010)
Een groot deel van de controle activiteiten ligt in de processen van IT. Daarom is het belangrijk om bij Social Media in de IT waarborgen aan te brengen voor vertrouwelijkheid, integriteit en beschikbaarheid.
Figuur 2 geeft een samenvatting van de Social Media risico’s voor financiële instituten volgens het FFIECC.
Figuur 2: Social Media risico’s voor financiële instituten (FFIECC 2013)
Social Media risico’s voor Nederlandse grootbanken
Welke risico’s zijn relevant voor Nederlandse grootbanken? Uit interviews blijkt in de praktijk dat bankproducten zoals persoonlijke leningen en deposito’s (nog) niet via Social Media worden afgesloten. Dit risico is dan ook niet relevant voor Nederlandse grootbanken. Betalingsverkeer gaat in Nederland ook via internet en via mobiele apps. Betalingsverkeer van Nederlandse banken gaat niet via Facebook of Twiter, maar via kanalen die in eigen beheer zijn van banken. Een bank dient voldoende interne controle maatregelen te treffen om aan wet- en regelgeving voor deze kanalen te voldoen. Het risico van betalingsverkeer via Social Media is ook niet van toepassing.
Voor klantidentificatie beantwoorden webcare teams van Nederlandse banken de algemene klantvraag via Social Media. Op het moment dat er transacties of persoonlijk advies geleverd moeten worden, dan wordt de klant gedirigeerd naar bank gereguleerde kanalen om effectieve klant acceptatie en identificatie uit te voeren. Het witwassen via Social Media blijft een risico waar mee rekening dient te worden gehouden. Er zijn vormen van virtuele werelden waar rekeningen aan gekoppeld zijn.
FFIECC: Social Media risico's voor financiële instituten
Compliance & Legal risico's:
1. Bankproducten via Social Media
2. Betalingsverkeer via Social Media
3. Klant acceptatie en witwaspraktijken via Social Media
4. Privacy wetgeving mbt klantgegevens
Reputatie risico's:
1. Bescherming bank merk identiteit
2. Uitbesteding Social Media aan derde partijen
3. Klachten & klantenservice management via Social Media
4. Bank medewerker gebruik van Social Media
Operationele risico's:
1. IT-risico's Social Media
14
Figuur 3 geeft een overzicht van de Social Media risico’s toegespitst op Nederlandse grootbanken. Deze figuur komt voort uit figuur 2 (FFIECC 2013). De risico’s uit figuur 2 zijn ook toepasbaar op Nederlandse grootbanken met uitzondering van Compliance & Legal risico’s t.a.v. bankproducten, betalingsverkeer en klantacceptatie via Social Media.
Social Media Risico's voor Nederlandse grootbanken
Compliance & Legal risico's: 1. Privacy wetgeving m.b.t. klantgegevens 2. Witwaspraktijken via Social Media
Reputatie risico's: 1. Bescherming bank merk identiteit 2. Uitbesteding Social Media aan derde partijen 3. Klachten & klantenservice management via Social Media 4. Bank medewerker gebruik van Social Media
Operationele risico's: Vertrouwelijkheid, integriteit en beschikbaarheid van Social Media IT-technologie
Figuur 3: Social Media risico’s voor Nederlandse grootbanken
Kritische succesfactoren Social Media
Wat betekent Social Media nu voor grootbanken? De literatuur spreekt over 3 kritische succesfactoren waardoor Social Media binnen organisaties kan bijdragen aan bedrijfsdoelstellingen (Kaplan and Haenlein 2010; Scott and Jacka 2011; Dolen, 2013):
Ten eerste zal een bank Social Media moeten monitoren. Een bank dient te leren wat een consument produceert en deel, wat ze consumeren en of ze zich online groeperen. Zo krijgt een bank inzicht in hoe een consument met de producten of dienstverlening van een bank omgaat. Hiernaast houdt je door middel van monitoren concurrenten als substituten van de bank in de gaten.
Ten tweede, zal een bank de verworven inzichten moeten vertalen in acties, zoals productinnovaties en het verbeteren van dienstverlening.
Ten derde, banken dienen hun organisatie op een dusdanige manier intern te organiseren dat zij voldoen aan de vereiste veranderingen die sociale media teweegbrengen. Alleen al monitoring vraagt om diverse capaciteiten die een bank niet altijd zelf beschikt, zoals softwareontwikkeling om te monitoren, tekst-mining om ongestructureerde tekst om te zetten in gestructureerde data, en analyse om inzichten uit de data te genereren (Dolen 2013). Het volume, de variatie en het tempo van informatietoevoer, maar ook privacy issues rondom monitoring maken dit proces nog complexer. Het gevolg is dat slechts 2% van de bedrijven zich in staat voelt om de juiste informatie op het juiste moment te kunnen verstrekken en om de juiste beslissing te kunnen nemen (Gartner, Coleman Parkes 2011).
Conclusie
Wat betekent Social Media voor grootbanken?
Het doel van het hoofdstuk was om elementen te identificeren die belangrijk zijn voor het Social Media audit referentiekader.
15
Deze elementen zijn op te delen in twee categorieën:
1. De risico’s van Social Media voor Nederlandse grootbanken: Social Media brengt voor grootbanken een aantal risico’s mee. Deze compliance-, reputatie- en operationele risico’s dienen geadresseerd te worden in een audit referentiekader.
2. Kritische succesfactoren voor succesvolle bijdrage van Social Media aan de bedrijfsdoelstellingen van een Nederlandse grootbank: om voor Social Media bij te dragen aan de doelstellingen van grootbanken dient aan 3 kritische succesfactoren te worden voldaan (zie figuur 3):
Figuur 4: Kritische succesfactoren Social Media
KSF
Een Social Media faciliterende interne organisatie
Effectief Social Media Monitoren
Vertaling van verworven inzichten naar nieuwe initiatieven
16
Hoofdstuk 3 Control Models Social Media Hoofdstuk 3 geeft antwoord op de volgende onderzoeksvraag: Welke management control systemen zijn geschikt om Social Media te beheersen?
In hoofdstuk 3 zal de theorie met betrekking tot management control worden verkend. Het doel zal zijn om control modellen te vinden die aansluiten op de elementen van Social Media uit hoofdstuk 2. Aan het einde van hoofdstuk 3 zal een beargumenteerde schifting gemaakt zijn van management control theorieën, die van toepassing zijn op Social Media.
Management Control
Management control is het doelbewust beïnvloeden van gedrag om bedrijfsdoelstellingen te behalen (Merchant en van der Stede 2007)Het gaat erom dat management de context van een werkomgeving op een dusdanige manier inricht, dat het gewenste gedrag door medewerkers wordt vertoond en hiermee bedrijfsdoelstellingen worden gehaald.
Management control adresseert 3 controle problemen (Merchant en van der Stede 2007):
1. Onvoldoende richting: een medewerker weet niet wat het gewenste resultaat moet zijn. 2. Onvoldoende motivatie: een medewerker voelt zich niet gedwongen om (tijdig) het
gewenste resultaat te leveren. 3. Onvoldoende kennis en kunde: een medewerker weet niet hoe hij/zij tot het gewenste
resultaat moet komen.
Er zijn een aantal oplossingen om deze problemen te adresseren. Je kunt de activiteit waar het controle probleem zich voordoet elimineren, automatiseren, centraliseren, risicodelen en beheersen. Het beheersen van controle probleem gebeurt door middel van management control systemen.
Een management control systeem is het verzamelen en gebruiken van informatie om het proces van planning en organisatorische plannings- en control beslissingen te coördineren en om richting te geven aan medewerker gedrag. Het doel van het systeem is om collectieve besluitvermogen binnen de organisatie te verbeteren (Horngren 2002).
Een management control systeem bestaat uit een verzameling van 4 soorten controls:
Action controls zijn direct gericht op beïnvloeding tot gewenst gedrag (bv werkinstructie en –voorschriften en beleid).
Result controls beïnvloeden gedrag indirect, namelijk door de medewerker aan te geven wat van hem/haar wordt verwacht.
Personnel controls omvatten alle maatregelen die er op gericht zijn dat medewerkers het gewenste gedrag ‘uit zichzelf’ vertonen.
Cultural controls zijn maatregelen om gedragsnormen van de organisatie (in bijvoorbeeld gemeenschappelijke waarden, tradities of ideologie) vorm te geven en om onderlinge beïnvloeding van gedrag door medewerkers te stimuleren.
Perfecte controle bestaat niet! Er ligt altijd een kosten/baten afweging aan ten grondslag. Er bestaan verschillende perspectieven op management control modellen. Deze perspectieven zijn over de tijd verder ontwikkeld. In bepaalde control modellen ligt de nadruk meer op action controls, terwijl in andere management control modellen cultural controls weer dominanter aanwezig zijn om gedrag aan te sturen. In figuur 4 zijn deze ontwikkeling in perspectieven samengevat (Quinn 1996).
17
Figuur 5: Ontwikkeling Control Modellen (Quinn 1996)
Rationeel doel
In deze categorie vallen de controlemodellen die de nadruk leggen op duidelijk richting om tot productief resultaat te komen. De nadruk in deze filosofie ligt op een rationele analyse en op duidelijke doelstellingen. Hoewel ook andere soorten controls van toepassing kunnen zijn wordt gedrag beïnvloed door de nadruk te leggen op result controls. Voorbeelden in deze categorie zijn controle modellen als Kwaliteit van Administratieve Dienstverlening (KAD) en de Business Score Card (BSC) (ten Have, ten Have en Stevens 2003). KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Via rationele analyse dient een organisatie/proces aangepast te worden zodat doel worden bereikt. Het BSC (financiële dimensie) heeft een duidelijke vooraf opgestelde doelstellingen. Een result control element in het BSC is het aanwijzen van causale relaties tussen klantperspectief en financieel resultaat. Het gedrag wordt beïnvloed door de financiële dimensie duidelijk te definiëren, waardoor een medewerker een klant beter gaat bedienen.
Hierbij dient opgemerkt te worden, dat het KAD en BSC/Strategy Maps modellen ook in de andere categorieën kunnen worden geplaatst. Dit komt omdat KAD en BSC ook kenmerken bezitten van de andere categorieën. Hiernaast kun je voor alle modellen twisten over de toekenning aan een categorie. Het gaat om het perspectief van de categorie en of dit toepasbaar als basis voor een referentiekader voor het auditen van Social Media.
Interne proces
Deze categorie wordt gekenmerkt door de focus op stabiliteit en routines. Dit leidt tot stabiele resultaten. Centraal staat de continuïteit van de organisatie/proces. COSO (ERM), KAD en de Plan-Do-Check-Act van Deming (Deming en Walton 1986) kun je aan deze categorie toekennen. De nadruk ligt hier op het verantwoordelijkheden vastleggen, metingen en documentatie. In COSO ERM bijvoorbeeld kan een testvraag zijn voor risk assessment of management (verantwoordelijkheid) zowel inherent- als rest risico overweegt en vastlegt. Hoewel ook andere controls van toepassing kunnen zijn, wordt gedrag beïnvloed door de nadruk te leggen op action controls. Voorbeelden van action controls zijn werk voorschriften en -beleid.
Rationeel doel Interne proces Human relations Open systemen
Criteria effectiviteit Productiviteit, winst Stabiliteit, continuïteitInzet, samenhang,
moreel
Aanpassingsvermogen,
externe ondersteuning
Doel-middelen-theorie
Duidelijke richting leidt
tot productieve
resultaten
Routines leiden tot
stabiliteit
Betrokkenheid leidt tot
inzet
Continue aanpassing en
innovatie leiden tot
verwerven van externe
middelen
Nadruk
Verduidelijking van
doelen, rationele analyse
en handelend optreden
Verantwoordelijkheden
vastleggen, metingen en
documentatie
Participatie, oplossen
van conflicten,
consensus bereiken
Politieke aanpassing,
creatieve probleem-
oplossing, innovatie,
mngmt van verandering
KlimaatRationele economie: de
eindresultatenHiërarchisch Teamgericht Innovatief, flexibel
Grond-leggers Taylor Fayol, WeberCarnegie, Barnard, Mayo
(Hawthorne)Mintzberg e.a.
Voorbeeld control
modelBSC/Strategy Maps, KAD
COSO ERM, KAD,
Deming, BSC/Strategy
Maps
Belbin team roles,
BSC/Strategy Maps,
Levers of control, 5
krachten model
BSC/Strategy maps, 5
krachten model, De
Caluwe, 8 phases of
change, COSO ERM
18
Human relations
Deze categorie is meer mensgericht dan de categorieën intern proces en rationeel doel. Het idee is dat betrokkenheid van de medewerkers zorgt voor inzet en hiermee doelstellingen behaald worden. Het gaat in deze categorie control modellen om consensus bereiken en het oplossen van conflicten. Control modellen als de Levers of Control, 5 krachten van Caluwe (ten Have, ten Have and Stevens 2003)) vallen in deze categorie. Hoewel ook andere controls van toepassing kunnen zijn ligt in deze categorie de nadruk op personnel controls en cultural controls om gedrag te beïnvloeden.
Als voorbeeld van een personnel control bij het control model Levers of Control (ten Have, ten Have and Stevens 2003) is dat suggesties van trainingen van de werkvloer komen. Deze control zorgt ervoor dat medewerkers gedrag “uit zichzelf” vertonen. Een voorbeeld van een cultural control in dit model is de overtuiging dat fouten maken nuttige leerervaringen zijn. Deze controls hebben als doel om gedrag te beïnvloeden om een teamgericht klimaat te creëren.
Open systemen
Deze categorie control modellen hebben als doel om het aanpassingsvermogen van een organisatie te maximaliseren. Het gaat hier om dat je je kunt aanpassen aan een externe omgeving. Controle modellen als management of change, 8 fases of change en BSC/Strategy Maps vallen in deze categorie (ten Have, ten Have en Stevens 2003). Hoewel ook andere controls van toepassing zijn, ligt in deze categorie de nadruk ook op personnel & cultural controls. Het verschil met de human relations categorie is dat bij open systemen de doelstelling niet zozeer het verhogen van de inzet, participatie en moreel van medewerkers is. Bij open systemen is het doel het aanpassen aan de externe omgeving door flexibel en innovatief op te stellen. In de 8 phases of change kan de personnel control het creëren van een gevoel van urgentie zijn. Op deze manier zorg je dat medewerkers gedrag “uit zichzelf” vertonen voor de toekomstige verandering. De cultural control kan het belonen van nieuw gedrag zijn in de gewenste eindsituatie van een verandering.
Control Modellen voor Social Media Audit
Welke controle modellen zijn nu toepasbaar op de elementen van Social Media voor Nederlandse grootbanken? Het doel van de Social Media is om effectief bij te dragen aan de bedrijfsdoelstellingen. De drie kritische succesfactoren voor een succesvolle bijdrage aan bedrijfsdoelstellingen van een Nederlandse grootbank zijn:
Een Social Media faciliterende interne organisatie
Effectief Social Media monitoren
Vertaling van verworven inzichten naar nieuwe initiatieven
Per kritische succesfactor zal nu een beargumenteerde keuze gemaakt worden voor het meest geschikte control model.
Een Social Media faciliterende interne organisatie
Een interne Social Media faciliterende organisatie dient als fundament voor het bereiken van doelstellingen van Social Media. Het doel van deze interne organisatie is om als fundament te dienen zodat Social Media monitoring en het verwerven van nieuwe inzichten gefaciliteerd kan worden. Deze interne organisatie bestaat uit een cultuur, doelstellingen, governance structuren, geformuleerde strategieën en effectieve processen.
Rationeel doel: een Social Media faciliterende interne organisatie kan de nadruk hebben liggen op verduidelijking van doelen. Een Social Media afdeling kan bijvoorbeeld als duidelijk doel hebben het werving en selectie van talent. Wanneer er Social Media campagnes gestart worden dienen deze
19
d.m.v. rationele analyse op resultaat te worden beoordeeld. In dit geval staat de interne organisatie in dienst van efficiënte processen en productiviteit. Het doel van deze interne organisatie is om Social Media monitoring en het verwerven van nieuwe inzichten te ondersteunen Deze categorie lijkt aan te sluiten om een Social Media faciliterende organisatie te beheersen.
Human relations: Een Social Media interne organisatie dient als fundament voor het bereiken van doelstellingen. De human relations categorie focust op participatie van medewerkers en het bereiken van consensus. In deze categorie gaat het om het teamverband, betrokkenheid en inzet. Dit kan te maken hebben met culturele eigenschappen van een Social Media afdeling, maar ook dat medewerkers “uit zichzelf” wenselijk gedrag gaan vertonen als het gaat om Social Media gebruik. Een interne Social Media faciliterende organisatie is meer dan alleen cultuur om tot consensus te komen. Het omvat ook het bepalen van doelstellingen, opzetten van governance structuren e.d. Human relations lijkt niet het juiste controle modellen te bevatten voor de beheersing van een interne faciliterende organisatie, omdat deze modellen de focus hebben op de beheersing van het optimaal functioneren van een team in plaats van op beheersen van de inrichting van een interne organisatie.
Open systemen: Een Social Media intern faciliterende organisatie gaat om gedegen governance structuren, geformuleerde strategieën, effectieve processen. Het doel is om een fundament te creëren, waardoor Social Media monitoring en verwerving van inzichten gefaciliteerd wordt. De modellen in de categorie open systemen hebben het doel van de beheersing van een continue aanpassing en/of verandering. De doelstelling van open systemen staat juist haaks op wat een fundament wilt creëren: stabiliteit. Het doel van een interne organisatie is om Social Media te faciliteren, niet om flexibel aan te passen aan een externe omgeving.
Intern proces: de controle modellen in deze categorie ligt de focus in de beheersing van stabiliteit en continuïteit. Een interne organisatie dient als fundament en de beheersing van dit fundament lijkt aan te sluiten bij de doelstellingen.
De categorieën rationeel doel en intern proces de control modellen bevatten voor het beheersen van de KSF een Social Media faciliterende organisatie. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM en de Deming cycle. KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Dit wordt meer gebruikt om processen te analyseren en lijkt minder geschikt voor de beheersing van de inrichting van een interne organisatie. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker. KAD is toegespitst op gegevensverwerkende processen, maar het beschermen van een bank merk of beleid bepalen hoe medewerkers met Social Media om moeten gaan is niet een gegevensverwerkend proces.
De BSC/Strategy maps is een model om via causale verbanden strategische doelen en visie te bereiken. Hoewel de “interne business proces” en “customer” dimensie ook toepasbaar zijn op de interne organisatie van Social Media gaat het in het BSC om een direct financieel doel. Een interne organisatie die Social Media faciliteert hoeft niet direct een financieel doel te ondersteunen.
De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. Hoewel de Deming cycle gebruikt kan worden om een interne omgeving te beheersen, adresseert de Deming cycle niet de interne omgeving (cultuur) van een Social Media faciliterende omgeving.
20
COSO ERM kan gebruikt worden om de interne organisatie te beheersen. De reden waarom voor COSO ERM wordt gekozen:
1. Interne omgeving: een Social Media faciliterende omgeving dient ook het risicobewust zijn van medewerkers t.a.v. Social Media te faciliteren.
2. Strategisch bereik: Social Media heeft als doel om bij te dragen aan bedrijfsdoelstellingen. COSO ERM gaat in op strategische doelstellingen en de afgeleide hiervan;
3. Doelformulering: Social Media voor verschillende doelen gebruikt worden. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.
4. Identificatie van interne en externe gebeurtenissen: Social Media binnen grootbanken heeft gevolgen voor zowel de interne organisatie (wat mag een medewerker wel/niet) als voor externe gebeurtenissen (hoe gaat een grootbank communiceren op Social Media). COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.
5. Risico-response: Negatieve publiciteit kan via Social Media snel escaleren. COSO ERM gaat in op het selecteren van de beste risico mitigerende factoren.
6. COSO IC: het succes van Social Media is gebaat bij effectieve en efficiënte processen en voor grootbanken is het belangrijk dat aan wet- en regelgeving wordt voldaan. COSO ERM is de uitbreiding van COSO IC. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.
Voor risico beheersing van de interne organisatie geef ik de voorkeur aan COSO ERM.
Effectief Social Media Monitoren
Effectief monitoren van Social Media is als grootbank luisteren naar online gesprekken tussen de bank en stakeholders, de concurrenten en de industrie. Hiernaast dient het online monitoren voor grootbanken ook voor reputatiemanagement. Het doel is het puur het verwerven van inzichten via applicaties die kunnen bijdragen aan bankdoelstellingen.
Rationeel doel: het gaat bij monitoren niet (direct) om bij te dragen aan de winst van de bank. Het gaat er juist om dat je als bank erachter komt welke gesprekken er online worden gevoerd, die voor jou van toepassing zijn. Aan de hand van het gemeten sentiment kun je door slimme analyses bekijken wat dit voor de bank betekent. Productiviteit door middel van rationele analyses lijkt aan te sluiten op de doelstellingen van monitoren. De modellen in de categorie “rationeel doel” zijn toepasbaar voor de beheersing van de KSF effectief Media monitoren.
Human relations: Effectief monitoren heeft als doel het effectief verwerven van inzichten via applicaties en ook heeft het niet als doel om inzet, moreel en betrokkenheid te creëren (human relations). De beheersing in de modellen in deze categorie zijn niet toepasbaar op deze KSF.
Open systemen: Effectief monitoren betreft het verwerven van inzichten. Op basis van deze inzichten zou je kunnen besluiten om een aanpassing in strategie door te voeren. Echter, bij de KSF effectief monitoren gaat het niet om de verandering te ondersteunen; het gaat puur om het verzamelen en het komen tot inzichten. Wat verder met deze inzichten wordt gedaan is bij deze KSF niet aan de orde. Het modellen van “open systemen” hebben als doel flexibiliteit, aanpassingsvermogen en verandering te beheersen. Effectief monitoren gaat niet om verandering. De modellen in deze categorie zijn niet toepasbaar op deze KSF.
Intern proces: de controle modellen in deze categorie ligt de focus in de beheersing van stabiliteit en continuïteit. Effectief monitoren gaat erom dat je via een aantal monitoring tools metingen verricht op Social Media. Hiervoor dienen routines en beleid opgesteld te worden op welke manier gemonitord en aan welke voorwaarden de monitoring dient te voldoen. Monitoren van Social Media kan ook leiden tot inzicht in het sentiment dat rond een grootbank en haar industrie heerst. Uit
21
interviews bleek dat periodieke rapportages van dit sentiment met hoger management worden gedeeld.
De modellen in deze categorie zijn toepasbaar op deze KSF.
De categorieën rationeel doel en intern proces de control modellen bevatten voor het beheersen van de KSF effectief monitoren. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM en de Deming cycle.
BSC/Strategy maps: het doel van effectief monitoren is het komen tot nieuwe inzichten voor de organisatie zelf. Bij BSC kun je de “interne business proces” en “customer” dimensie ook toepassen. Je kunt redeneren dat nieuwe inzichten de waarde is die door het business proces van monitoren voor een interne stakeholder wordt gecreëerd. BSC gaat niet in op risicovolle externe gebeurtenissen.
KAD: KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker.
Deming cycle: De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. De Deming cycle is een uitstekend model om Social Media monitoring te beheersen. De verworven inzichten van het monitoren kunnen gebruikt worden om de doelstellingen van Social Media monitoring weer aan te passen.
COSO ERM: COSO ERM kan als adequaat controle model gebruikt worden:
1. Doelformulering: voor Social Media monitoren zullen doelen gedefinieerd moeten worden. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.
2. Identificatie van interne en externe gebeurtenissen: via Social Media monitoren kunnen gebeurtenissen ontdekt worden die hoge prioriteit nodig hebben. Als je merkt dat er binnen 30 minuten 200 ge-retweet wordt dat spaargeld bij jouw bank niet veilig staat, dan is het zaak hier in te grijpen. COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.
3. Risico-response: ook voor Social Media monitoren dienen reacties op risico’s gedefinieerd te worden. In hoeverre kan er worden gereageerd op negatieve berichtgeving over een grootbank? COSO ERM gaat in op het selecteren van de beste risico reacties.
COSO IC: Social Media monitoren is een proces dat zelf ook geëvalueerd en gecontroleerd moet worden, wat leidt tot effectieve en efficiënte monitoring processen. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.Voor de risicobeheersing van effectief Social Media monitoren geef ik de voorkeur aan COSO ERM, omdat dit expliciet de identificatie van interne en externe gebeurtenissen adresseert. Reputatierisico is een groot risico voor grotbanken en wordt bij COSO ERM beheerst ook o.a. door het onderdeel risico-response.
Vertaling van verworven inzichten naar acties
Nieuwe bankproducten en verbeterde dienstverlening komen alleen tot stand als hier reden tot is. Deze reden kan zijn dat de huidige dienstverlening of productenpalet niet volledig voldoet aan de behoefte van de klant van de bank. Aan de hand van verworven inzichten via Social Media kunnen er nieuwe mogelijkheden verkend worden. Dit kan een aanzet zijn tot nieuwe Social Media initiatieven, zoals nieuwe campagnes. Als een grootbank bij een groot deel van haar volgers op twitter opmerkt, dat zij op wintersportvakantie gaan, dan kan dit aanleiding zijn om via twitter een kortingsactie op reisverzekeringen op te starten. Bij deze kortingsactie zou dan speciaal gewezen kunnen worden, dat
22
ski materiaal ook verzekerd is. Dit kan een voorbeeld zijn van een actie zijn wanneer de doelstelling is om Social Media in te zetten om product verkoop te ondersteunen.
Social Media kan ook wervingsdoeleinden ondersteunen. Een grootbank kan tot inzicht komt via Linkedin, dat er hoog verloop van personeel is bij een groot accountants kantoor. Met dit inzicht kan er een campagne gestart worden om accountants vacatures van een grootbank expliciet te plaatsen op de Linkedin-tijdlijn van (ex)medewerkers van dit accountants kantoor.
Het opzetten van nieuwe initiatieven zorgt ervoor dat Social Media steeds effectiever gaat bijdragen aan de bedrijfsdoelstellingen van een grootbank.
Rationeel doel: Naar mijn mening ligt de interne beheersing van het komen tot nieuwe inzichten niet in het bijdragen aan productiviteit zoals in de categorie rationeel doel. Een vooropgestelde richting of doel hoe het nieuwe initiatief eruit zal zien is juist onbekend. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
Human relations: Ook gaat het bij deze KSF niet over het scheppen van moreel, inzet en betrokkenheid van medewerkers. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
Intern proces: Stabiliteit en continuïteit van het proces is hier wel op van toepassing zijn. Belangrijke kaders zoals beleid, doelstellingen, documentatie zullen ook hier vormgegeven moeten worden. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
Open systemen: het gaat bij de vertaling van verworven inzichten naar acties om dat er aangepast wordt aan een externe omgeving. Het gaat hier om continu aanpassing, flexibiliteit en creatieve probleem oplossing. Bij deze KSF gaat het om flexibiliteit en innovatief zijn. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
De categorieën open systemen en intern proces bevatten de control modellen voor het beheersen van de KSF Vertaling van verworven inzichten naar acties. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM, Deming cycle, 5 krachten van Caluwe, 8 phases of change en het INK model.
KAD: KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker. Hiernaast is van tevoren niet een duidelijk doel te bepalen voor een nieuw initiatief. Het KAD model gaat in zijn analyse altijd wel uit van een vooropgesteld duidelijk doel van een proces. Tot een nieuw inzicht komen heeft niet een vooropgezet duidelijk doel. KAD lijkt niet als beheersmodel geschikt voor deze KSF.
Deming cycle: De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. Ook hier gaat met uit van een vooropgestelde concrete doelstelling, die vervolgens via de PDCA cyclus wordt aangepast. Het gaat juist bij deze KSF om het tot stand komen van het doel. De Deming cycle lijkt niet als control model voor deze KSF geschikt.
5 krachten model: In het 5 krachten model gaat het om de 5 krachten om een verandering te laten slagen: urgentie, ambitie, planning, interactie en leiderschap. Voor het vertalen van inzichten in nieuwe initiatieven kan er op weerstand gestuit worden. Dit model adresseert deze weerstand om tot een nieuwe situatie te komen. Echter, ook hier wordt een voorafgaande streefsituatie
23
gedefinieerd. Het gaat juist bij het opzetten van nieuwe actie in het bepalen van deze nieuwe actie; niet om het proces ernaar toe enkel te faciliteren. Dit model kan niet gebruikt worden voor deze KSF.
De Caluwe: De verander strategieën heeft 5 kleuren. Hierbij gaat het om dat mensen/dingen veranderen door verschillende strategieën (kleuren) toe te passen. Ook bij dit model ligt de focus erg op het “hoe” terwijl het vertalen van inzichten naar nieuwe acties juist gaat om het “wat”. Het is belangrijk bij deze KSF om te adresseren of de juiste nieuwe acties tot stand komen a.d.h.v. verworven inzichten, niet perse hoe deze tot stand komen. Dit model kan niet gebruikt worden voor deze KSF.
8 phases of change: Bij de 8 phases of change gaat het ook om hoe je een succesvolle verandering tot stand brengt. Ook hier wordt een nieuwe eind situatie geschetst met 8 fases van best-practices om tot deze eindsituatie te komen. De KSF vertalen van inzichten naar nieuwe acties gaat om het definiëren van die nieuwe eindsituatie. Dit model kan niet gebruikt worden voor deze KSF.
COSO ERM kan hier als basis gebruikt worden:
1. Doelformulering: Het creëren van nieuwe initiatieven is een continu proces. Er dienen nieuwe korte termijn kansen geïdentificeerd te worden die in lijn staan met de bank doelstellingen. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.
2. Identificatie van interne en externe gebeurtenissen: een nieuw initiatief kan gevolgen hebben voor een andere afdeling binnen een grootbank. Deze zou op de hoogte gesteld moeten worden. COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.
3. Risk assessment: Bij het formuleren van nieuwe initiatieven zouden de risico’s besproken moeten worden per nieuw initiatief. COSO ERM gaat in op risk-assessment.
4. Risico-response: Nieuwe initiatieven kunnen negatief gewaardeerd worden door de online gemeenschap en kan snel escaleren. COSO ERM gaat in op het selecteren van de beste risico mitigerende factoren.
5. COSO IC: het succes van Social Media is gebaat bij effectieve en efficiënte processen en voor grootbanken is het belangrijk dat aan wet- en regelgeving wordt voldaan. COSO ERM is de uitbreiding van COSO IC. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.
BSC/Strategy Maps: Het Business Scorecard behoort tot de categorie open systemen. In dit model zijn 4 perspectieven gedefinieerd, die causale verbanden met elkaar hebben. Het leer en groei vermogen perspectief van het Business Score Card model kan als controle model toegepast worden bij het creëren van nieuwe initiatieven. Bij het leer en groei perspectief gaat het om human capital, organizational capital en information capital. Human capital is de meerwaarde van de kennis en kunde van de medewerkers, organizational capital is de meerwaarde van organisatie structuren en information capital is de meerwaarde van informatie binnen een organisatie. Het gaat erom dat deze meerwaarde ingezet worden om tot leren en groei te komen. Deze 3 soorten kapitaal kunnen ingezet worden om nieuwe acties te definiëren. Voor het creëren van nieuwe initiatieven voor Social Media heb je kennis en kunde nodig van de medewerkers om tot nieuwe ideeën te komen. Hiernaast heeft een medewerker de monitoringsinformatie (information capital) nodig om tot deze nieuwe ideeën te komen. Het gaat erom hoe dit information capital wordt geïnterpreteerd. Hiernaast dient een medewerker niet belemmerd door organisatiestructuren in het bedenken en implementeren van nieuwe initiatieven.
Voor de risico beheersing van het vertalen van verworven inzichten in nieuwe initiatieven geef ik de voorkeur aan COSO ERM en het leer en groei perspectief van het BSC model.
24
Conclusie
Welke management control systemen zijn geschikt om Social Media te beheersen?
In dit hoofdstuk zijn per KSF van Social Media geschikte control modellen besproken. Allereerst is een schifting gemaakt op basis van categorie referentiemodellen. Vervolgens is per referentiemodel bekeken of deze geschikt is voor de KSF. Figuur 6 geeft een overzicht welke control modellen geschikt zouden zijn per KSF.
Figuur 6: kritische succesfactoren Social Media met controle model
Er kunnen meerdere control modellen toegepast worden op de verschillende KSF. Echter, de meest geschikte voor de KSF een Social Media faciliterende interne organisatie is COSO ERM. Voor de KSF effectief Social Media monitoren is COSO ERM. Voor de KSF vertaling van verworven inzichten naar acties zijn COSO ERM en BSC.
KSF Controle modellen
Een Social Media faciliterende interne organisatie Rationeel doel + Intern proces: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle
Effectief Social Media Monitoren Rationeel doel + Intern proces: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle
Vertaling van verworven inzichten naar acties Intern proces + Open systemen: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle, 5
krachten model, De Caluwe, 8 phases of change
25
Hoofdstuk 4 Bestaande Audit Referentiekaders ISCACA & IIA Hoofdstuk geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?
De bestaande audit referentiekaders voor Social Media van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) worden geanalyseerd.De twee referentie kaders zullen worden beoordeeld of deze aansluiten bij de KSF van Social Media. Uit deze twee Social Media audit referentiekaders zal een selectie gemaakt worden welke onderdelen mee kunnen worden genomen in het theoretische audit referentiekader voor Social Media voor grootbanken. Het IIA en het ISACA instituut worden mondiaal geaccepteerd en erkend door audit professionals. De Social Media referentiekaders van het IIA en ISACA behoren tot de geaccepteerde audit industrie norm en vertegenwoordigen hoge professionele audit standaarden. Andere soortgelijke Social Media audit referentiekaders zijn niet beschikbaar en/of kunnen niet als internationale maatstaf gebruikt worden. Daarom zullen het IIA en ISACA Social Media referentiekaders als benchmark dienen.
ISACA Social Media/Assurance Program
Het Information Systems Audit and Control Association (ISACA) heeft in 2011 het Social Media Audit/Assurance Program ontwikkeld met als doel IT audit en assurance professionals te helpen hun assurance doelstellingen te behalen. Het ISACA Audit programma is in lijn met de het ISACA COBIT framework (COBIT 4.1). COBIT is een raamwerk voor de governance van IT en ondersteunt managers om een balans te vinden tussen control vereisten, technische issues en bedrijfsrisico’s. In het Audit/Assurance programma wordt bij enkele teststappen verwezen naar de desbetreffende COBIT control objectives om uiteindelijk een Maturity assessment uit te voeren.
Hiernaast zijn in dit framework elementen van COSO Internal Control Framework opgenomen. Centrale elementen in dit model zijn Governance, Risk management en de controle van IT met betrekking tot Social Media.
Het doel van het ISACA Social Media audit programma is om de controle maatregelen met betrekking tot social media beleid en processen onafhankelijk te kunnen toetsen. De scope van het ISACA Social Media audit programma ligt op strategie en governance, personeel, procedures en technologie m.b.t. social media. Het ISACA audit programma heeft 4 hoofdonderdelen met subonderdelen. Dit raamwerk is afgeleid van ISACA's Business Model for Information Security (BMIS) (ISACA 2010) en omvat in hoofdlijnen:
1. Strategie en Governance – raamwerk voor (continu) risk management a. Risk management b. Ongoing risk assessment
2. Policy a. Bestaan van beleid, inhoudelijke beleid standaarden, interne communicatie b. Contractor Social Media policy: extern Social Media beleid.
3. Personeel – training en bewustzijn a. HR functie b. Training en bewustzijn c. Staffing
4. Social Media Processen a. Alignment met andere bedrijfsprocessen b. Merk bescherming c. Logische toegangsbeveiliging van bedrijfsdata via social media. d. Logische toegangsbeveiliging van Social Media applicaties.
5. Technology
26
a. IT infrastructuur b. Monitoren Social Media en hun effect op technologie.
IIA
Scott & Jacka (2011) hebben vanuit the Institute of Internal Auditors Research Foundation een Risk en Governance Guide geschreven met betrekking tot het auditen van Social Media. Zij geven aan dat er nog geen consensus bestaat over de definitie van Social Media. Scott & Jacka (2011) hanteren de definitie dat Social Media een set van internet-gebaseerde uitzend technologieën zijn, die zorgt voor democratisering van inhoud, waardoor personen de mogelijkheid krijgen om zich te ontwikkelen van een consument van inhoud, naar het publiceren van inhoud.
Scott & Jacka (2011) leggen de nadruk op het formuleren van een Social Media strategie en expliciet de toegevoegde waarde definiëren voor de onderneming. Social Media dient ingezet te worden om bedrijfsdoelstellingen te realiseren. De onderdelen uit het IIA Social Media referentiemodel zijn (Scott en Jacka 2011):
1. Social Media Governance and Oversight a. Executive oversight: Raad van Bestuur, Social Media Comité en senior management
betrokkenheid in Social Media oversight; b. Social Media charter, doel en doelstellingen;
2. Social Media Visie a. Visie sluit aan bij bedrijfsdoelstellingen en strategie; b. Alle kanalen/stakeholders/beoogde markten/beoogde relaties/beoogde
engagement zijn (h)erkend; 3. Social Media Strategy
a. Aansluiting bij bedrijfsdoelstellingen: (keuze voor) Strategische doelstellingen, kanalen, stakeholders, style, frequentie, consistentie van berichtgeving
b. Beoogde limitatie; c. Resource allocatie; d. Vendor management
4. Social Media Executie a. Rollen en verantwoordelijkheden, reporting lines, oversight, job & educatie
vaardigheden, metrics, supervisie binnen afdelingen, quality assurance. 5. Social Media Metrics
a. Meetinstrumenten om succes van Social Media initiatieven te meten 6. Monitoring van Social Media
a. Juiste monitoring systemen, plannen, richtlijnen voor gevoeligheden, geïdentificeerde monitoring onderwerpen, escalatie procedure, reactie tijden.
7. Social Media Training 8. Social Media Policy
a. Inhoud en communicatie van Social Media beleid als interne en externe richtlijn. 9. Regulatory and Compliance
a. Overzicht van relevante wet- en regelgeving m.b.t. Social Media. b. Resultaten en implementatie van uitgevoerde risk assessments op verschillende
niveaus m.b.t. wet- en regelgeving.
Hoewel Scott & Jacka (2011) dit niet expliciet aangeven in hun boek, lijken de onderdelen van het IIA model aan te sluiten op de onderdelen van COSO ERM. Onderstaand een aantal voorbeelden:
Er is aandacht voor de strategische aansluiting van onderdelen.
Interne omgeving: Senior management is aangesloten en is zorgdrager voor de cultuur.
27
Formuleren van doelstellingen: bij elk onderdeel is er aandacht voor het formuleren van doelstellingen.
Identificeren van gebeurtenissen: Vendor management wordt als een onderdeel gezien met een verhoogd risico.
Risico beoordeling: risk assessments worden bij verschillende onderdelen uitgevoerd en senior management wordt geïnformeerd over risico’s.
Reactie op risico: bij het monitoren zijn escalatie richtlijnen voor gevoeligheden ontwikkeld.
Beheersactiviteiten: policy, charter, gedefinieerde rollen en verantwoordelijkheden.
Informatie en communicatie: communicatie lijnen naar senior management zijn ingeregeld; wet- en regelgeving.
Bewaking: rapportage van bevindingen aan Raad van Bestuur en oversight comité.
Verschil en overeenkomsten ISACA en IIA
Het lijkt alsof het IIA referentiekader (9 onderdelen) meer omvat dan het ISACA (5 onderdelen). Figuur 7 geeft in het groen aan welke onderdelen in het ISACA en IIA referentiekaders overlappen. In het rood is aangegeven waar het ISACA en IIA verschillen.
Figuur 7: Verschil en overeenkomsten referentiekaders ISACA en IIA
Overeenkomsten
Over het algemeen zijn de onderdelen Governance, Strategy, Policy, Personeel & Processes ook vertegenwoordigd in het IIA model. De organisatie opzet wordt in beide modellen getoetst. Er is aandacht voor strategie, governance, beleidsonderdelen, training van personeel en belangrijke processen als reputatiemanagement.
Het IIA groepeert de onderdelen op een andere manier dan het ISACA. Het IIA hanteert een duidelijk top-down benadering. Naar mijn mening zijn bij het ISACA kader alle toets onderdelen wel aanwezig, maar lopen de onderwerpen door elkaar. De governance teststep bij ISACA is ook onderdeel van Social Media Processes, terwijl bij het Governance & Strategy onderdeel de focus sterk ligt op risk management. Bij Governance zou je meer toetsing van organisatieopzet verwachten. Als je kijkt naar de verschillende test stappen, dan wordt duidelijk dat per onderdeel de governance getoetst wordt en niet alleen bij Strategie en Governance.
Naar mijn mening is het IIA model logischer vormgegeven en is daardoor relatief makkelijker te volgen. Hoewel onderdelen overlappen, hebben het IIA en ISACA kader hun onderdelen soms anders ingevuld:
Risk management: Het ISACA model gaat goed in op risk management. Het definieert een duidelijke teststep voor risk assessment, maar ook voor wanneer er een risk re-assessment uitgevoerd dient te worden. Het IIA gaat in op dat risico’s gecommuniceerd moeten worden naar stakeholders, maar schrijven geen voorwaarde voor een risk re-assessment. Het ISACA kader vult deze voorwaarde wel in: bij verandering van Social Media technologie.
28
Staffing: ISACA toetst de mate van staffing om service levels op het juiste niveau te houden. Het IIA heeft deze test stap niet.
Externe Contractors: In het ISACA kader wordt ingegaan op het managen van externe contractors. Hierbij valt te denken aan bedrijven, waar een grootbank onderdelen van Social Media aan uitbesteed. Wanneer een contractor iets verkeerds doet, dan zal de grootbank reputatieschade lijden en niet de contractor. Het IIA adresseert dit onvoldoende.
Reputatie: Reputatiemanagement wordt in het ISACA model explicieter aandacht aan gegeven.
Monitoring: ISACA gaat in op dummy profiles. Dit zijn mensen die zich op Social Media voordoen als een iemand anders. Dit risico wordt niet heel expliciet in het IIA kader genoemd. Een dummy profile dat zich voordoet als een grootbank is een groot risico.
Verschillen
Het voornaamste operationele risico van Social Media ligt in het gebruik van IT technologie. Het IIA besteedt hier geen aandacht aan. De identificatie, monitoring en management van IT-risico’s ligt buiten scope van het IIA. Uitgangspunt van het IIA is dat sociologische en psychologische factoren het succes en daarmee ook de belangrijkste risico’s vormen van Social Media. Social Media is niet enkel een technologische tool, maar primair een communicatietool. De aanname van bij het IIA kader is dat de beheersing van IT-risico’s een noodzakelijk onderdeel is van Social Media, maar omvat niet anders dan de beheersing van IT-risico’s als IT-general controls, application controls, (IT-dependent) manual controls, en functiescheiding. Bestaande benaderingen vanuit een IT-risk assessment zouden adequaat zijn om deze vorm van internal control te ondervangen (Scott and Jacka 2011).
Een van de risico’s van Social Media kan zijn dat klant- of bank gevoelige data via Social Media onbedoeld gepubliceerd wordt. Ook zou het Twitter account kunnen worden overgenomen via een hack en zo klanten kunnen benadelen. Ook wil je dat de tooling voor monitoring niet zonder medeweten zogenaamde “key terms” wist/veranderd of dat zonder medeweten notificatie instellingen aangepast worden. Dit kan grote gevolgen hebben voor de reputatie van een grootbank en zorgt ervoor dat Social Media niet effectief kan zijn. In de IT zullen waarborgen geplaatst moeten worden voor vertrouwelijkheid, beschikbaarheid en integriteit.
Het technologie onderdeel van het ISACA kader is daarom een goede aanvulling op het IIA model. Vooral de logische toegangsbeveiliging van bedrijfsdata via Social Media en de logische toegangsbeveiliging van Social Media zelf zijn essentiële controle maatregelen.
Waar het ISACA referentiekader kan worden aangevuld is op social media metrics en regulatory & compliance.
Social Media Metrics: Het ISACA kader gaat niet in op hoe succes van social media initiatieven gemeten dienen te worden. Social Media wordt immers ingezet om bedrijfsdoelstellingen te realiseren. Bedrijfsdoelstellingen dienen in meetbare indicatoren voor Social Media omgezet te worden. Het IIA kader gaat in op de opzet, bestaan en werking van deze meetinstrumenten en heeft speciaal aandacht voor de juistheid en volledigheid.
Wet en –regelgeving: Het ISACA kader besteedt geen aandacht aan regulatory & compliance. Wellicht is de oorzaak hiervoor een focus op IT-beheersing. Voor grootbanken is dit echter van zeer groot belang.
Conclusie
Hoofdstuk geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?
29
In dit hoofdstuk zijn de bestaande audit referentiekaders voor Social Media van ISACA en het IIA voor Social Media geanalyseerd. Het doel was om onderdelen te vinden voor het formuleren van een audit referentiekader.
Beide referentiekaders kun je gebruiken voor een audit op Social Media. Het ISACA model is gebaseerd op COBIT en COSO IC. Het IIA model vertoont overeenkomsten met COSO ERM.
Het IIA kader is uitgebreider en heeft een logische opbouw. De strategy en governance onderdelen zijn sterk vertegenwoordigd, alsmede de focus op monitoren en wet- en regelgeving. Dit maakt het IIA kader sterk om als uitgangspunt te nemen voor het referentiekader van Social Media voor grootbanken. Echter, een groot gemis zijn controle maatregelen voor IT. Ik ben van mening dat veel mitigerende maatregelen in IT processen te ondervangen zijn. Deze Social Media IT processen moeten daarom ook onderdeel zijn van het referentiekader voor grootbanken.
Het ISACA referentiekader is sterk gefocust op de IT governance van Social Media. Dit is noodzakelijk, omdat IT een belangrijk component is in het succes en risico’s van Social Media. Voor het referentiemodel voor een Social Media audit voor grootbanken mis ik in het ISACA model een aantal essentiële onderdelen als het gebruik van de juiste meetinstrumenten en de aandacht voor wet- en regelgeving.
Hiernaast vind ik de opbouw van het IIA kader logischer, omdat bij het IIA kader in de Governance teststep ook daadwerkelijk governance getest wordt. Het IIA kader ligt ook meer in lijn met COSO ERM. COSO ERM was ook de keuze om de 3 kritische succesfactoren (interne organisatie van Social Media; effectief Social Media monitoring; vertaling verworven inzichten naar nieuwe initiatieven) te beheersen. Daarom zal het IIA model als basis genomen worden met noodzakelijke aanvullen uit het ISACA kader.
Het referentiemodel voor de social media audit voor grootbank zal uit de volgende onderdelen bestaan:
Onderdelen uit het IIA model:
1. Social Media Governance and Oversight 2. Social Media Visie 3. Social Media Strategy 4. Social Media Executie 5. Social Media Metrics 6. Monitoring van Social Media 7. Social Media Training 8. Social Media Policy 9. Regulatory and Compliance
Onderdeel uit het ISACA model:
10. IT-technologie (hieronder valt ook o.a. logische toegangsbeveiliging)
De eerste kritische succesfactor voor Social Media (een faciliterende interne organisatie voor Social Media) wordt behandeld met de onderdelen 1 t/m 5 en 7 t/m 9 uit het IIA model en onderdeel 10 ISACA model. De tweede kritische succesfactor (effectief Social Media monitoren) wordt behandeld door het onderdeel 6.
Echter, de derde kritische succes factor (verworven inzichten vertalen naar nieuwe initiatieven) wordt onvoldoende behandeld in zowel het IIA model als het ISACA model. In het boek van Scott & Jacka (2011) wordt wel ingegaan op learning, maar vervolgens in het referentiekader van het IIA zijn
30
hiervoor niet expliciet teststeps gedefinieerd. In het IIA model zijn er teststeps die voorschrijven een risico assessment uit te voeren bij nieuwe Social Media initiatieven, maar deze gaan niet in op de tot stand koming van deze nieuwe Social Media initiatieven. Ook in het ISACA model bevindt zich een teststep waarbij er “holistisch” naar de ontwikkelingen gekeken dient te worden. Naar mijn mening zijn de modellen van het IIA en ISACA goed te gebruiken als basis voor het theoretische referentiekader. Voor de KSF ,verworven inzichten vertalen naar acties, zal een nieuwe doel-risico-beheersmaatregel-teststap gedefinieerd te worden.
31
Hoofdstuk 5 Theoretisch Audit Referentiekader Social Media Hoofdstuk 5 en hoofdstuk 6 geven antwoord op de volgende deelvraag: Wat zijn de belangrijkste eisen voor het auditen van Social Media.
Hoofdstuk 5 zal een synthese zijn uit de eerdere hoofdstukken. Het doel is om een theoretisch audit referentiekader te ontwikkelen. In dit theoretisch audit referentiekader zijn onderdelen uit de referentiekaders van het IIA en ISACA toegevoegd. Het theoretisch referentiekader is in het Engels.
Kritische succes factoren als kapstok
De kritische succesfactoren voor het implementeren van Social Media zijn:
Een Social Media Faciliterende interne organisatie.
Effectief Social Media monitoren.
Vertaling van verworven inzichten naar acties.
Het referentiekader zal deze KSF’en als uitgangspunt nemen en hier aan de verschillende onderdelen
koppelen.
De opbouw van het referentiekader omvat onderdelen uit het IIA model en het ISACA model en is
opgebouwd als volgt (figuur 8):
Figuur 8: Kritische succesfactoren met onderdelen ISACA en IIA model
Een referentiemodel dient minimaal de volgende informatie te bevatten (Driessen and Molenkamp
2008): Processtap, doel (KSF), risico, beheersmaatregel. Het referentiemodel kan worden uitgebreid
met enkele kolommen (testdoelstelling, testaanpak, testresultaat, conclusies) waardoor een soort
werkprogramma of test plan ontstaat waarin kan worden vastgesteld hoe de werking van de
betreffende beheersingsmaatregelen is vastgesteld. Ik heb gekozen voor de volgende opbouw van
het theoretische referentiekader: KSF, onderdeel (processtap), doel, risico(s), beheersmaatregel,
teststap(pen). Zoals eerder aangegeven is de derde KSF, verworven inzichten vertalen naar nieuwe
initiatieven, onvoldoende geadresseerd in het IIA model en het ISACA model en zal een nieuwe doel-
risico-beheersmaatregel-teststap voor deze KSF ontwikkeld moeten worden.
32
Nieuwe Social Media Initiatieven - Doel
Het doel van nieuwe Social Media initiatieven ontplooien is dat inzichten van Social Media
monitoring worden gebruikt om nieuwe of verbeterde Social Media initiatieven te ontplooien.
Nieuwe Social Media Initiatieven - Risico
De risico’s zijn dat de grootbank niet inspeelt op relevante Social Media trends. Een tweede risico is
dat een grootbank zijn Social Media niet aanpast aan nieuw stakeholder gedrag. De gevolgen hiervan
zijn dat de huidige Social Media initiatieven niet bijdragen aan de doelstellingen van de bank omdat
de bank zich niet weet aan te passen aan veranderde omstandigheden en kansen gemist worden.
Nieuwe Social Media Initiatieven - Beheersmaatregel
In hoofdstuk 3 is beargumenteerd dat voor de beheersing van het derde KSF 2 control modellen
(COSO ERM + BSC Leer en groei) geschikt zijn. De vraag luidt op welke manier de beheersmaatregels
gedefinieerd moeten worden en vervolgens welke teststap vragen gesteld moeten worden.
Het antwoord kan verkregen worden door psychologie en sociale studies literatuur te bekijken. Uit
onderzoek is gebleken dat binnen organisaties het genereren van nieuwe inzichten onderworpen is
aan allerlei psychologische problemen zoals dominant logic1, representative heuristic2, confirmation
trap3, achoring4 (Bazerman & Moore, 2009; Prahalad & Krishnan, 2008; Prahalad & Bettis, 1996). Dit
zijn deze psychologische obstakels die in de weg staan van nieuwe inzichten.
Voor het beheersen van het proces van tot nieuwe inzichten komen, is het noodzakelijk om de
randvoorwaarden te scheppen als een beleid, rollen en verantwoordelijkheden, toezicht, procedures
e.d. Echter, de beheersing gaat ook om het adresseren van de psychologische obstakels. Het
wegnemen van deze psychologische obstakels is een belangrijke beheersmaatregel om effectief
nieuwe initiatieven te ontwikkelen.
Er zullen daarom ook 2 beheersmaatregels gedefinieerd worden in het theoretische referentiekader:
(1) Rollen en verantwoordelijkheden, toezicht, procedures, plannen en training voor nieuwe Social
Media initiatieven zijn duidelijk en gecommuniceerd. (2) Psychologische en sociale drempels voor
Social Media innovatie worden erkend en bediscussieerd.
Nieuwe Social Media Initiatieven – Teststeps
Scott & Jacka refereren in hun boek “Auditing Social Media” wel aan het leren van Social Media.
Echter, in hun referentiemodel (IIA) is geen onderdeel hieraan geweid. Toch biedt het hoofdstuk
(pag 54 & 55, Scott & Jacka, 2011) een aantal inzichten. Van deze inzichten zijn de volgende
teststeps afgeleid voor de beheersmaatregel “Rollen en verantwoordelijkheden, toezicht,
1 Dit is het fenomeen dat in het bijzonder succesvolle managers zich een aantal vuistregels voor het nemen van
beslissingen ontwikkelen, zonder de validiteit daarvan voor nieuwe situaties ter discussie te stellen en als gevolg van het zich onbewustzijn van die regels daardoor de onderneming in problemen kunnen brengen. 2 Dit is het fenomeen dat managers de waarde of kans van slagen van een beslissing laten afhangen van de vraag in hoeverre de inhoud van die beslissing lijkt op de beschikbare data in plaats van die waarde of kans objectief te bepalen. 3 Dit is het fenomeen dat in het afwegen van alternatieve beslissingen onbewust die informatie wordt geselecteerd die het alternatief met een intuïtieve of emotionele voorkeur bevestigt. 4 Dit is het fenomeen dat een discussie of soms zelfs een berekening, bijvoorbeeld voor een omzet, een rendement, een kostenbesparing, blijft ronddraaien rond een getal dat vroeg in de discussie ter tafel is gebracht.
33
procedures, plannen en training voor nieuwe Social Media initiatieven zijn duidelijk en
gecommuniceerd”:
Roles, responsibilities, procedures, plans and training for Social Media learning are clear,
available and communicated.
Determine if opportunities have been identified to impact business objectives in the short term.
Determine if in plans, programs for interpreting Social Media trends are communicated and
training is provided for Social Media interpretation and decision making.
Determine if key personnel in the organization is identified to help gain actionable insights from
monitoring activities.
Voor de control “Psychologische en sociale drempels voor Social Media innovatie worden erkend en
bediscussieerd” zijn de teststeps afgeleid uit het artikel “De organisatie van informatie van de
onderneming: een normatief kader” van J. Strikwerda uit 2011. Strikwerda (2011) beschrijft hier een
normatief kader om psychologische en sociale obstakels te adresseren, die invloed hebben op de
interpretatie van externe informatie (e.g. Social Media monitoringsinformatie).
Uit dit normatieve kader (Strikwerda 2011) zijn de volgende teststeps gedefinieerd:
Determine if Social Media trends are being interpreted correctly, and are converted in
decision making and action plans.
Determine if there is an openness towards new questions from stakeholders (Does a
consumer question lead to a new Social Media initiative).
Determine if through a social system (meetings, sharing of information) psychological
mechanisms, which might lead to incorrect interpretation of information, are being
corrected.
Determine if there is intellectual space, a psychological climate or mutual trust available to
explore more fundamental developments in the external environment of the bank and what
these could mean for the bank.
Alle onderdelen uit het IIA model zijn overgenomen met als toevoeging de toetsing van IT-
Technologie uit het ISACA model. Monitoring is apart toegevoegd bij de KSF effectief Social Media
monitoring. Op de volgende 3 pagina’s is het theoretische audit referentiekader te vinden(figuur 9):
34
Element Item Objective Risks Control Teststeps
Board of Directors are
actively involved in
Social Media oversight.
Determine if Board of Directors are:
1. Provided information on the risks and opportunities related to
social media.
2. Advised of the organization's strategy related to social media.
3. Appropriately involved in significant decisions related to social
media.
4. Updated, at least annually, on the status of social media initiatives.
5. Social media program management and evaluation are included in
routine management oversight processes.
Senior Executives are
actively involved in
Social Media oversight.
Determine if senior executives are:
1. Provided information on the risks and opportunities related to
social media.
2. Involved in decisions related to the organization's strategy related
to social media;
3. Appropriately updated on the status of individual projects and the
overall social media strategy;
4. Involved in assuring alignment of the social media strategy with
corporate strategies.
Social Media committee
charters, purpose,
objectives and related
documentation are
communicated.
Determine if:
1. At least one individual at the executive management level has been
assigned responsibility for the committee (committee should have
makeup of various departments).
2. The charter, purpose, and objectives have been appropriately
reviewed and approved by executive management.
3. Roles and responsiblities have been properly identified and
assigned.
4. Approval and escalation policies have been established and
followed.
An effective Social
Media committee is
established.
Determine if:
1. Whether the committee has included the appriopiate departments.
2. Whether the individual selected as committee chair has the
appropiate credentials.
3. Whether procedures are in place in the event a member is unable to
participate or must leave the committee.
4. What periodic reviews exist to ensure the committee makes
appropiate mid-course corrections.
5. Whether the strategy and plan for social media are in alignment
with corporate goals and objectives.
6. What steps have been taken to identify all social media initiatives
throughout the organization.
7. Whether the committee has appropiately reached out to risk and
compliance related functions such as legal, compliance, regulatory
affairs, risk or internal auditing.
Social Media Vison 1. To determine whether a social
media vison has been developed that
is complete, aligned with other bank
strategies, and appropriately
communicated.
1. No articulated vison is in place or is inadequate. The social media vison is
complete,
communicated and
aligned with bank
strategy and objectives.
Deterime if Social Media Vision include:
1. It is in alignment with the bank's strategy and objectives.
2. It appropriately addresses all known channels.
3. All stakeholders have been considered (not just customer service
and sales).
4. It includes reference to the message and image the bank wishes to
communicate.
5. The appropraite target markets, the desired relationships, the
desired conversational engagement, and how stakeholders will use
social media have all been included.
Review social media
strategy is aligned with
bank's objectives, goals
and the social media
vision.
1. They are in alignment with the bank's objectives, goals, and plans.
2. The strategy are in alignment with social media vision, including the
chosen channels, target markets, and communication styles.
Social Media strategy is
complete,
communicted, and clear
to all stakeholders.
Determine if Social Media strategy include:
1. Goals that are specific, measurable, achievable, relevant, and time
bound.
2. The Social Media channels that will be used.
3. How the stakeholders will be engaged, including the style,
frequency, and consistency of the messages.
4. The departments of individuals that will be responsible for the
various portions of the plan.
5. Applicable limitations on the plan (restricted channels, resource
contraints.
6. Allocation of resources necessary to achieve the objectives.
Reporting lines, policies,
procedures and
department oversight is
clear.
Review organization charts, policy and procedures to ensure:
1. Proper reporting relationships exist within the department.
2. Appropriate oversight exists within each department.
3. All applicable departments have been provided with the
organization's social media strategy, direction, and plans.
4. Roles and responsibilities have been defined for all individuals
working on social media projects.
5. Metrics have been established for each applicable department.
6. Appropriate quality assurance procedures have been established
over the work completed.
Social Media
professionals have the
appropriate level of
knowledge and
experience.
Review job descriptions to ensure:
1. The appropriate job skills have been identified.
2. Education requirements match the needs of the project.
3. Appropiate supervision and oversight has been established.
4. Individuals working on social media initiatives have the proper
experience and knowledge.
Management routinely
evaluates staffing levels
to assure adequate
service levels and
staffing resources.
1. Determine if staffing levels have been modified to reflect additional
social-media-related responsibilities.
2. Determine if staffing levels have been modified to reflect additional
social-media-related responsibilities.
3. Determine if there has been a marked increase in overtime or a
backlog of incomplete work due to social media projects.
1. To determine whether effective
oversight has been established for the
use of all social media, including social
media specifically developed by the
organisation.
1. No single group providing oversight on strategic and
tactical issues.
2. Not all relevant departments are involved.
3. No Guidelines for elevating issues.
4. No involvement of assurance partners.
5. No executive buy-in and oversight.
6. The wrong department is in charge.
7. Roles and responsibilities are not clearly established.
8. Objectives are not clear and are not constantly updated.
1. To determine whether appropriate
policies and procedures have been
implemented to ensure the succesful
execution of the social media strategy.
To determine whether the bank's
choice for deploying Social Media is
complete, accurate and in alignment
with the related strategies and
appropiately communicated.
1. No social media strategy is in place, which may lead not
reaching bank's social media objectives.
1. Procedures and policies are not executed;
2. The wrong personnel is assigned.
3. Staffing levels are adequate to support additional
responsibilities resulting from social media projects.
Effe
ctiv
e In
tern
al o
rgan
izat
ion
So
cial
Med
ia
Social Media Strategy
Social Media Governance and
Oversight
Social Media Strategy Execution
35
KSF Item Objective Risks Control Teststeps
Social Media Policies are
approved by the
applicable committee
and is communicated to
all stakeholders.
Determine if:
1. All applicable commitees have been involved in the establishement
of the policy.
2. All applicable departments (particularly legal and human resources)
have been involved in the establishment of the policy.
3. The policy has been properly reviewed and approved.
4. Training specific to the social media policy has been delivered.
5. The external social media policy has been published on all
organization sponsored social media.
6. The policies available on different organization-sponsored social
media are in alignment.
Social Media policies are
accurate, complete and
communicated to all
stakeholders.
Social Media policies ensure:
1. Alignment with other corporate policies (for example, code of
ethics, restrictions on proprietary information).
2. Acceptable social media practices.
3. The steps the organization will take for non-compliance.
4. The organization's right to monitor employees' activities.
5. What the organization will allow nonemployees to do on
organization-sponsored sites.
6. Guidelines for communication (e.g. adding value to the dialogue,
using a conversational tone, treating all with respect, etc.).
7. A statement of ownership of posted materials.
8. Limitations related to endorsement of products and services.
9. Select a sample of employees, and interview them on their
understanding of the social media policies.
10. The HR function has established and distributed defined
consequences for violation of social media policies.
2. The enterprise brand is protected
from negative publicity or adverse
reputational issues form third party
vendors.
2. A bank client might blame the bank for negligence, while
this is the responsibility of the thrid party vendor.
Third party vendors
support social media
projects.
Review any contracts with contractors to ensure:
1. Appropriate service-level agreements with third party vendors have
been established (response time, error correction).
2. Clear measures of succes have been determined.
3. Quality assurance procedures have been developed related to work
produced by the vendor.1. How the organization will monitor
activities.
5. Determine that clear policies are established and documented.
These policies need to describe to contractors acceptable information
that can be posted as part of the enterprise social media presence.
6. Determine that the HR function and contractor sponsors are
actively involved in the policy implementation.
7. Determine if the contractor acceptable use policies have been
updated to include social media.
Metrics To determine whether metrics have
been established to ensure succesful
implementation of recruitment,
customer service, identifying client
needs and sustainability objectives
and the use of social media.
1. Lack of valueless metrics;
2. Metrics are not monitored;
3. Metrics drive inappropriate behaviour.
Metrics are complete,
correct, aligned with
strategy, are monitored
and drive appropriate.
Review procedures, reports and action list to ensure:
1. Metrics have been established.
2. The metrics established are measurable.
3. The metrics have value to the department or organization.
4. Metrics align to the organization's strategy, goals, or objectives.
5. Metrics align to the social media strategy, goals or objectives.
6. Metrics include a definition of acceptable ranges, including an
indication when additional action may be required.
7. Responsibility for gathering metrics has been establised, including
gathering and reporting.
8. Appropriate action is taken when metrics are not within accpetable
ranges.
9. Review metrics results for potential issues. If identified, verify these
were appropriately elevated.
Social Media training
material is complete,
correct and periodically
evaluated.
Determine if:
1. All appropriate areas are covered, including the current state of
social media, opportunities and risks related to the use of social
media, the direction the organization is taken, and the social media
policy.
2. Specific training exists for the special needs of different areas
(board of directors vs. line personnel).
3. How the effectiveness of the training and awareness process is
evaluated and monitored.
Social Media training is
evaluated and adapted
to new circumstances.
1. The responsibility for social media acceptable practice training and
awareness has been assigned to a specific job function.
2. All social media training needs have been identified, both general
needs related to all personnel and specific needs for individual
employees.
3. Plans exist for updating training as necessary.
4. Plans exist to provide refresher courses on social media.
All personnel have gone
through all required
levels of training.
1. Training schedules have been established for all personnel,
including executive management and the board of directors.
2. Completion of training is documented.
Effe
ctiv
e In
tern
al o
rgan
izat
ion
So
cial
Med
ia1. No organizational wide Social Networking Policy is in place
may lead to an inconsistent communication.
1. To determine whether a social
media policy has been developed and
communicated which provides
(internally) direction related to
employees' use of all social media and
(externally) guidelines to external
stakeholders using the organization's
social media outlets.
Inadequate training leads to inconsistent behaviour on social
media.
Training
Social Media Policy
To determine whether appropriate
levels of training have been
established to ensure all personnel
have been provided sufficient
information regarding the
organization's approach, policies and
procedures related to social media.
36
Figuur 9: Theoretisch Audit referentiekader Social Media Nederlandse grootbanken
KSF Item Objective Risks Control Teststeps
Regulatory and Compliance To determine whether the Bank's
actions related to social media comply
with alle applicable federal and local
regulatory issues.
Regulatory en Compliance requirements are not considered
(e.g. privacy and client identification regulation).
Rules and regulation
regarding Social Media
is assessed.
1. Risk assessments conducted at all levels of the organization include
consideration of social media risks;
2. Results of risk assessments related to social media are
appropriately elevated to the responsible committee.
3. Organization-wide reviews of changes in laws and regulations
(CAAML) include consideration of social media.
4. Results of reviews over regulations and laws related to social media
are appropriately elevated to the responsible committee for ethical
decision making (privacy related items).
5. Risk assessments are reperformed when social media resources or
technologies change.
Anti-malware and anti-software is not up to date, which
might lead to confidential client data being stolen.
Antimalware and
antivirus software is in
use.
1. Determine that antivirus and antimalware applications are in place,
with appropriate configuration settings.
2. Verify that that appropriate controls for antimalware and social
media site limitations are also installed on mobile devices such as
smartphones.
Account takeover might lead to severe reputational issues. Incident response for
social media risks has
been included in the
information security
response plan.
Verify that the information security incident response plan addresses
social media risks, like account takeover.
Use of social media technology is
actively monitored, and its effect on
the IT architecture and technology are
regularly evaluated.
Not having the appropiate technological tools might lead to
not being able to participate in the online conversation.
Appropriate tools are
used to evaluate the
effectiveness of social
media usage and related
activities.
1. Evaluate the usage of technology for control and monitoring.
2. Determine if a third party monitors social media activities, including
the use of KPIs and proactive incident response.
3. Evaluate the usage of tools and reporting for control and
monitoring of social media use.
4. Evaluate involvement of all relevant stakeholders in review of
reports, including business leadership, risk management
professionals, and HR and legal representation.
Sensitive data might be disclosed without authorization. Information
shared/posted through
social media is included
in the data classification
program.
1. Obtain the data classification process.
2. Determine if social media, either generically or specifically (i.e.
Facebook, LinkedIn, Twitter, etc.), have been included in the data
classification policy.
3. Obtain a list of the criteria or specific information approved for
social media access and sharing.
4. Determine if this list is routinely reviewed and approved.
Social Media databases are accessed by unauthorized
persons.
Data accessible via
social media sites are
subjected to the
standard access
management
procedures and
approvals.
1. Determine if social media data access is managed using enterprise
access management procedures.
2. Select a sample of social-media-related data access requests.
3. Determine if appropriate authorizations were received prior to
access being granted.
4. Determine if the data access reauthorization process includes social
media.
5. Determine if the authorizations have been reviewed and approved
as prescribed in the reauthorization procedure.
1. To determine whether appropriate
monitoring systems have been
established over communication
related to social media.
1. The Social media conversation is not monitored;
2. Upprepared for unexpected responses or events.
Social Media is
effectively monitored.
1. Plans are in place to appropriately monitor social media, including
content developed by the organization.
2. Areas (keywords, hot topics, restricted issues) have been identified
and are included in all monitoring activities.
3. Review exist to identify appropriate monitoring tools (e.g. phising
activities).
4. Identified tools are consistenly used.
5. Plans have been established to handle situations requiring
increased scrutiny.
6. Guidelines exist for the handling of sensitive or problem issues.
7. Determine the process for escalating branding issues to the
appropriate management representative.
8. Responses to identified issues are handled as quickly as desired.
2. The enterprise brand is protected
from negative publicity or adverse
reputational issues.
Adverse posts/publicity is not or too lately dealt with to
avoid reputational damage to the bank.
Social media sites are
monitored for adverse
posts and publicity.
1. Determine if a brand protection firm or other monitoring
mechanism is engaged to locate, identify and report dummy profiles
set up on social media that may tarnish the entity or its brand image
or carry contradictory messages.
2. Determine how often the scans are executed.
3. Obtain the reports generated by the brand protection scans and
determine if an issue monitoring process is in place to review and
follow up on branding issues on a timely basis.
4. Identify incidents requiring the escalation of branding issues.
5. Determine the resolution of escalated branding incidents.
Roles and
responsibilities,
oversight, procedures,
plans and training voor
new Social Media
initiatives are clear and
communicated.
1. Roles, responsibilities, procedures, plans and training is clear,
available and communicated.
2. Determine if opportunities have been identified to impact business
objectives in the short term.
3. Determine if in plans, programs for interpreting Social Media trends
are communicated and training is provided for Social Media
interpretation and decision making.
4. Determine if key personnel in the organisation is identified to help
gain actionable insights from monitoring activities.
Psychological and social
boundaries to Social
Media innovation are
recognized and
discussed.
1. Determine if Social Media trends are being interpreted correctly,
and are converted in decision making and action plans.
2. Determine if there is an openness towards new questions from
stakeholders (Does a consumer question lead to a new Social Media
initiative).
3. Determine if through a social system (meetings, sharing of
information) psychological mechanisms, which might lead to incorrect
interpretation of information, are being corrected.
4. Determine if there is intellectual space, a psychological climate or
mutual trust available to explore more fundamental developments in
the external environment of the bank and what these could mean for
the bank.
New
Init
itat
ives
New product/service
development or improvement
Insights gained from Social Media
monitoring are used for bankproduct
innovations en bankservice
improvements.
Social Media initiatives do not contribute to the bank's
objective:
1. New Social Media opportunities are missed.
2.The bank does not adapt to the variation or changing
online stakeholder behavior.
Effe
ctiv
e So
cial
Med
ia M
on
ito
rin
gEf
fect
ive
Inte
rnal
org
aniz
atio
n S
oci
al M
edia
Monitoring
Technologie
Enterprise information is protected
from unauthorized access or leakage
through/by social media.
IT infrastructure supports risks
introduced by social media.
37
Hoofdstuk 6 Gevalideerd Audit Referentiekader Social Media In hoofdstuk 6 vindt de validatie plaats van het theoretische audit referentiekader uit hoofdstuk 5 door professionals uit de praktijk. Via semigestructureerd interviews zal feedback gevraagd worden aan audit experts van Rabobank, ABN AMRO en SNS REAAL.
De feedback van deze audit experts zal dit leiden tot een gevalideerd referentiekader voor Nederlandse grootbanken. Er is willekeurig gekozen voor ABN AMRO, SNS REAAL en Rabobank. De argumentatie is dat ik 75% van de grootbanken voldoende acht om validatie van het referentiekader te bewerkstelligen. Bij 75% van de grootbanken is dezelfde opzet voor interviews gebruikt. De meting is herhaalbaar en zouden grotendeels dezelfde uitkomsten bieden, omdat dit auditexperts zijn binnen dezelfde context van een grootbank. Ik schat in dat de resultaten van 75% van de grootbank indicatief is voor de rest van het grootbanklandschap, omdat Social Media binnen de grootbanken op een zelfde manier wordt benaderd en grootbanken dezelfde risico’s lopen.
Opzet interviews Het doel van het interview:
Om een gevalideerd audit referentiekader voor een Social Media audit voor grootbanken te verkrijgen. Deze validatie vindt plaats door expliciet te vragen of een onderdeel wel/niet tot het referentiekader moet horen.
Centrale vragen:
Met welke elementen van het theoretische referentiekader zijn de Social Media audit experts het mee eens/oneens?
Welke aanvullingen/verwijderingen kunnen ingevoerd worden in het theoretische referentiekader? Waarom?
De vorm van het interview:
Semigestructureerd: Voor de validatie van het referentiekader zal een vast patroon van vragen gesteld worden, waarbij de verschillende onderdelen van het referentiekader gevalideerd worden. Aan de hand van de antwoorden kunnen verdiepingsvragen gesteld worden.
ABN AMRO
John Bendermacher is de Chief Audit Executive van Group Audit ABN AMRO. Hij ziet Social Media als
een communicatiemiddel en met name voor marketing doeleinden. De kring van Social Media is
groter dan traditionele media. Hierdoor zijn kunnen zowel negatieve als positieve effecten groter
zijn dan bedoeld. Voor Social Media bij ABN AMRO is de belangrijkste mitigerende maatregel
duidelijke spelregels in de vorm van een beleid. Vervolgens gaat het om bewustzijn creëren.
Zijn conclusie t.a.v. de validatie van het audit referentiekader is, dat de onderdelen “Interne
organisatie” en “Effectief Monitoren” in voldoende mate aanwezig zijn en hij hier geen aanvullingen
op heeft. Ook het feit dat deze onderdelen uit het IIA en ISACA komen, sterkt zijn vertrouwen in de
volledigheid van het audit referentiekader. Hij geeft aan dat bij een Social Media audit dit
referentiekader gebruikt kan worden. Ook de nieuwe aanvulling “Nieuwe Initiatieven” ziet John
Bendermacher als een logische toevoeging. Hij heeft 2 aanvullingen op het model:
1. Hij ziet graag een “evaluation & reporting” onderdeel explicieter toegevoegd om de
reporting cycle volledig te maken. Dit heeft als doel om de Raad van Bestuur en senior
38
management van belangrijke monitoring informatie en een overzicht van nieuwe
initiatieven te voorzien.
2. Training: binnen een grootbank zijn verschillende generaties werkzaam, die allemaal
verschillend tegen (de risico’s van) Social Media aankijken. Voordat een medewerker een
Social Media training volgt, dient een self-assessment uitgevoerd te worden om de
behoefte van die specifieke medewerker te peilen. Vervolgens kan een geschikte Social
Media training worden gevolgd.
Rabobank
Rinus van der Struis is de Chief Audit Executive van de Rabobank Audit Group van de Rabobank.
Binnen Rabobank bestaan er e-learnings om om te gaan met Social Media en er is in een
management letter veel aandacht aan gedrag op Social Media besteed. Zijn mening over Social
Media is dat dit relatief onbeheersbaar is, aangezien de Social Media gesprekken in de publieke
ruimte plaatsvinden. Intern is het Social Media proces beheersbaar en dient het inherente risico
verlaagd te worden door voldoende mitigerende maatregelen toe te passen zoals in het
theoretische audit referentiekader. Social Media zal in de toekomst steeds groter, sneller en
belangrijker worden voor een grootbank. Hierdoor ziet hij het restrisico in de toekomst toenemen.
Hij is het eens met de gekozen onderdelen in het theoretische audit referentiekader. Hij vindt dat de
onderdelen “Interne organisatie” en “Effectief Monitoren” in voldoende mate aanwezig zijn en ziet
geen reden om zaken toe te voegen, dan wel te verwijderen. Ook het nieuwe onderdeel “Nieuwe
Initiatieven” ziet hij als logische toevoeging. Hij heeft de opmerking dat dit wel buiten de “comfort
zone” van een auditor kan zijn. Graag ontvangt hij het gevalideerde audit referentiekader voor hun
toekomstige audit op Social Media.
Als toevoeging ziet hij ook graag een expliciete terug koppeling naar het management. Hij geeft aan
dat zonder rapportage naar management het weinig zin heeft om een Social Media afdeling op te
zetten.
SNS REAAL
Tom van der Ven en Martijn Wesseling zijn respectievelijk Hoofd IT audit SNS Bank en operationeel
auditor SNS Bank. Martijn Wesseling heeft een operationele audit uitgevoerd naar
reputatiemanagement. In deze audit zat Social Media ook in scope. Vanuit zijn expertise kan Tom
van der Ven bepalen welke aanvullingen op het IT onderdeel kunnen worden gedaan.
Social Media is in hun ogen een van de middelen om de reputatie van SNS REAAL te managen. Via
automatische monitoring kunnen imago en reputatieschade snel hersteld worden. Zij zien in de
toekomst het inherente risico van Social Media voor SNS REAAL niet toenemen. Het belang van het
kanaal zal in de toekomst enkel groeien en
Ook Tom en Martijn zien dat de onderdelen “Interne organisatie” en “Effectief Monitoren” in
voldoende mate aanwezig zijn en hebben hier geen aanvullingen op. Tom geeft aan dat de toetsing
van specifieke IT-onderdelen voor Social Media voldoende aanwezig is in het model. Hun
opmerkingen bij het audit referentiekader:
39
Het onderdeel “Nieuwe Initiatieven” vinden zij, naast de andere onderdelen, het enige dat
echt specifiek is voor Social Media; de andere onderdelen zijn vrij algemeen. Mocht er een
audit naar duurzaamheid plaatsvinden dan zou je die eerste twee KSF teststappen bijna
helemaal kunnen overnemen.
Ze twijfelen of in de praktijk het onderdeel “Nieuwe Initiatieven” meegenomen zal worden
in een referentiekader wanneer een Social Media audit echt uitgevoerd zal worden. Dit
onderdeel gaat meer in op het strategische vraagstuk of een organisatie het
verbeterpotentieel realiseert en de kansen pakt. Het assurance belang van een auditor ligt
eerder in de onderdelen “Interne organisatie” en “Effectief Monitoren”. Na een uitgevoerde
audit op Social Media zal Internal Audit eerder aangekeken worden wanneer gevoelige bank
data via Social Media wordt gepubliceerd, dan wanneer er commerciële kansen gemist
worden.
Het onderdeel “Nieuwe initiatieven” is volgens Tom een ander type onderzoeksvraag. Bij
het formuleren van risico’s zie je bij de onderdelen “Interne organisatie” en “Effectief
Monitoren” hele concrete risico’s en bij het onderdeel “Nieuwe Initiatieven” is dit een
negatief geformuleerde kans.
Voor het onderdeel “Nieuwe Initiatieven” is het lastig om normen te bepalen.
Hoewel zij hun bedenkingen hebben of in de praktijk gebruik zal worden gemaakt van het onderdeel
“Nieuwe Initiatieven” door een audit professional, wordt aangegeven dat juist dit onderdeel van
toegevoegde waarde is voor de Social Media audit.
Conclusie
Door het theoretische audit referentiekader aan grootbank audit experts voor te leggen zijn de
onderdelen “Interne organisatie” en “Effectief Monitoren” gevalideerd. Bij het onderdeel ““Nieuwe
Initiatieven” hebben zowel ABN AMRO, Rabobank en SNS REAAL opmerkingen. Figuur 10 is een
samenvatting van de feedback resultaten van de gesprekken met audit experts van ABN AMRO,
Rabobank en SNS REAAL.
Figuur 10: Resultaten validatie theoretisch Social Media audit referentiekader
De belangrijkste toevoegingen van de validatie zijn:
Een expliciete terugkoppeling van monitoringsinformatie en nieuwe initiatieven naar Raad
van Bestuur of senior management. Er zullen in het gevalideerde referentiekader bij
“Effectief Monitoren” en “Nieuwe Initiatieven” teststeps worden toegevoegd die betrekking
hebben op informatieterugkoppeling naar Raad van Bestuur en senior management.
Element Onderdeel ABN AMRO Rabobank SNS REAAL
Social Media Governance and Oversight Eens Eens Eens
Social Media Vison Eens Eens Eens
Social Media Strategy Eens Eens Eens
Social Media Strategy Execution Eens Eens Eens
Social Media Policy Eens Eens Eens
Metrics Eens Eens Eens
Training Eens/Opmerkingen Eens Eens
Regulatory and Compliance Eens Eens Eens
Technologie Eens Eens Eens
Effective Social Media Monitoring Monitoring Eens Eens Eens
New improved service or products New product/service development or improvement Eens/Opmerkingen Eens/Opmerkingen Eens/Opmerkingen
Effective Internal organization Social
Media
40
Een toevoeging van een self-assessment voorafgaand aan een training. Bij het onderdeel
“training” zal een teststap toegevoegd worden m.b.t. een self-assessment voorafgaand aan
een Social Media training.
De toepassing van het onderdeel “Nieuwe Initiatieven” in de praktijk. ABN AMRO, Rabobank
en SNS REAAL geven aan dit onderdeel van toegevoegde waarde te vinden. SNS REAAL geeft
aan dat in de praktijk dit onderdeel uit de scope van een audit geplaatst kan worden.
Gesterkt door de validatie van de toegevoegde waarde, ben ik van mening dat het onderdeel
“Nieuwe Initiatieven” in het gevalideerde audit referentiekader thuishoort.
In het gevalideerde audit referentiekader (figuur 11) zijn de toevoegingen in het rood bijgevoegd.
Conclusie
Het gevalideerde referentiekader is opgesteld met de drie kritische succesfactoren van Social Media
als uitgangspunt. Het gevalideerde referentiekader is vrij uitgebreid. Alle risico’s met betrekking tot
Social Media is getracht een plek te geven in het gevalideerde referentiemodel. In de praktijk zal er
waarschijnlijk een keuze gemaakt worden uit de verschillende onderdelen om tot een
referentiekader te komen.
Voor een daadwerkelijke (operationele, compliance, reputatie, IT) audit kunnen de accenten anders
liggen. IT technologie zal hoogstwaarschijnlijk in een compliance audit niet worden getoetst. Per
type audit zou aan de hand van een andere risk-based benadering andere accenten gekozen worden
uit het gevalideerde referentiekader. Aan de hand van deze risk-based benadering kunnen
onderdelen uit het gevalideerde Social Media audit referentiekader gekozen worden.
Operationele audit
Bij een operationele audit ligt de focus op risico’s op verlies door inadequate of falende processen,
medewerkers en systemen (PWC 2008). Bij een pure operationele audit is de aanname dat IT niet tot
de scope van een operationele audit behoort. Een risk-based benadering zou dan leiden dat het
accent van de operationele audit komt te liggen op het auditen van processen (Social Media
monitoring, Social Media strategie executie, Social Media Metrics, Social Media nieuwe acties) en
medewerkers (Social Media policy, Social Media training). Echter, een operationele audit zonder IT
componenten lijkt uitgesloten.
Compliance audit
Bij een compliance audit ligt de focus op risico’s op verlies door het niet voldoen aan wet- en
regelgeving, beleid en procedures, ethische business standaarden en contracten en vrijwillige
strategische standaarden en best practices waar een organisatie zich aan heeft gecommitteerd (PWC
2008). Een risk-based benadering zou dan leiden dat het accent van compliance audit komt te liggen
op wet- en regelgeving (in het gevalideerde referentiekader zijn ook ethische kaders opgenomen),
Social Media policy, Social Media training van het gevalideerde audit referentiekader.
IT-Audit
Bij een IT-audit ligt de focus op risico’s op potentiele technologische fouten in de IT. In de
beoordeling zouden kunnen worden meegenomen proces capaciteit, toegangsbeveiliging, data
41
bescherming en cyber criminaliteit (PWC 2008). Een risk-based benadering zou dan leiden dat het
accent van IT-audit komt te liggen op het IT-technologie onderdeel van het gevalideerde audit
referentiekader.
Reputatie management audit
Bij een reputatie management audit ligt de focus voor Social Media op de volgende risico’s (IIA 2013):
Onderscheid het management ontvangen klachten via Social Media van Social Media
incidenten.
Zijn er klachten of incident scenario’s geïdentificeerd, die geëscaleerd moeten worden naar
legal, compliance, senior management of andere partijen.
De integriteit en redelijkheid van Social Media communicatie naar consumenten.
Een risk-based benadering zou dan leiden dat het accent van reputatie management-audit komt te
liggen op Social Media governance & oversight, Social Media strategie en Social Media monitoring,
van het gevalideerde audit referentiekader.
In de bovenstaande audits is puur bekeken waar het accent zou liggen bij verschillende audits. Ik kan
mij voorstellen dat bij alle soorten audits ook aandacht kan zijn voor de governance, visie, strategie
en andere onderdelen van het gevalideerde referentiemodel.
42
Element Item Objective Risks Control Teststeps
Board of Directors are
actively involved in
Social Media oversight.
Determine if Board of Directors are:
1. Provided information on the risks and opportunities related to
social media.
2. Advised of the organization's strategy related to social media.
3. Appropriately involved in significant decisions related to social
media.
4. Updated, at least annually, on the status of social media initiatives.
5. Social media program management and evaluation are included in
routine management oversight processes.
Senior Executives are
actively involved in
Social Media oversight.
Determine if senior executives are:
1. Provided information on the risks and opportunities related to
social media.
2. Involved in decisions related to the organization's strategy related
to social media;
3. Appropriately updated on the status of individual projects and the
overall social media strategy;
4. Involved in assuring alignment of the social media strategy with
corporate strategies.
Social Media committee
charters, purpose,
objectives and related
documentation are
communicated.
Determine if:
1. At least one individual at the executive management level has been
assigned responsibility for the committee (committee should have
makeup of various departments).
2. The charter, purpose, and objectives have been appropriately
reviewed and approved by executive management.
3. Roles and responsiblities have been properly identified and
assigned.
4. Approval and escalation policies have been established and
followed.
An effective Social
Media committee is
established.
Determine if:
1. Whether the committee has included the appriopiate departments.
2. Whether the individual selected as committee chair has the
appropiate credentials.
3. Whether procedures are in place in the event a member is unable to
participate or must leave the committee.
4. What periodic reviews exist to ensure the committee makes
appropiate mid-course corrections.
5. Whether the strategy and plan for social media are in alignment
with corporate goals and objectives.
6. What steps have been taken to identify all social media initiatives
throughout the organization.
7. Whether the committee has appropiately reached out to risk and
compliance related functions such as legal, compliance, regulatory
affairs, risk or internal auditing.
Social Media Vison 1. To determine whether a social
media vison has been developed that
is complete, aligned with other bank
strategies, and appropriately
communicated.
1. No articulated vison is in place or is inadequate. The social media vison is
complete,
communicated and
aligned with bank
strategy and objectives.
Deterime if Social Media Vision include:
1. It is in alignment with the bank's strategy and objectives.
2. It appropriately addresses all known channels.
3. All stakeholders have been considered (not just customer service
and sales).
4. It includes reference to the message and image the bank wishes to
communicate.
5. The appropraite target markets, the desired relationships, the
desired conversational engagement, and how stakeholders will use
social media have all been included.
Review social media
strategy is aligned with
bank's objectives, goals
and the social media
vision.
1. They are in alignment with the bank's objectives, goals, and plans.
2. The strategy are in alignment with social media vision, including the
chosen channels, target markets, and communication styles.
Social Media strategy is
complete,
communicted, and clear
to all stakeholders.
Determine if Social Media strategy include:
1. Goals that are specific, measurable, achievable, relevant, and time
bound.
2. The Social Media channels that will be used.
3. How the stakeholders will be engaged, including the style,
frequency, and consistency of the messages.
4. The departments of individuals that will be responsible for the
various portions of the plan.
5. Applicable limitations on the plan (restricted channels, resource
contraints.
6. Allocation of resources necessary to achieve the objectives.
Reporting lines, policies,
procedures and
department oversight is
clear.
Review organization charts, policy and procedures to ensure:
1. Proper reporting relationships exist within the department.
2. Appropriate oversight exists within each department.
3. All applicable departments have been provided with the
organization's social media strategy, direction, and plans.
4. Roles and responsibilities have been defined for all individuals
working on social media projects.
5. Metrics have been established for each applicable department.
6. Appropriate quality assurance procedures have been established
over the work completed.
Social Media
professionals have the
appropriate level of
knowledge and
experience.
Review job descriptions to ensure:
1. The appropriate job skills have been identified.
2. Education requirements match the needs of the project.
3. Appropiate supervision and oversight has been established.
4. Individuals working on social media initiatives have the proper
experience and knowledge.
Management routinely
evaluates staffing levels
to assure adequate
service levels and
staffing resources.
1. Determine if staffing levels have been modified to reflect additional
social-media-related responsibilities.
2. Determine if staffing levels have been modified to reflect additional
social-media-related responsibilities.
3. Determine if there has been a marked increase in overtime or a
backlog of incomplete work due to social media projects.
1. To determine whether effective
oversight has been established for the
use of all social media, including social
media specifically developed by the
organisation.
1. No single group providing oversight on strategic and
tactical issues.
2. Not all relevant departments are involved.
3. No Guidelines for elevating issues.
4. No involvement of assurance partners.
5. No executive buy-in and oversight.
6. The wrong department is in charge.
7. Roles and responsibilities are not clearly established.
8. Objectives are not clear and are not constantly updated.
1. To determine whether appropriate
policies and procedures have been
implemented to ensure the succesful
execution of the social media strategy.
To determine whether the bank's
choice for deploying Social Media is
complete, accurate and in alignment
with the related strategies and
appropiately communicated.
1. No social media strategy is in place, which may lead not
reaching bank's social media objectives.
1. Procedures and policies are not executed;
2. The wrong personnel is assigned.
3. Staffing levels are adequate to support additional
responsibilities resulting from social media projects.
Effe
ctiv
e In
tern
al o
rgan
izat
ion
So
cial
Med
ia
Social Media Strategy
Social Media Governance and
Oversight
Social Media Strategy Execution
43
KSF Item Objective Risks Control Teststeps
Reporting lines, policies,
procedures and
department oversight is
clear.
Review organization charts, policy and procedures to ensure:
1. Proper reporting relationships exist within the department.
2. Appropriate oversight exists within each department.
3. All applicable departments have been provided with the
organization's social media strategy, direction, and plans.
4. Roles and responsibilities have been defined for all individuals
working on social media projects.
5. Metrics have been established for each applicable department.
6. Appropriate quality assurance procedures have been established
over the work completed.
Social Media
professionals have the
appropriate level of
knowledge and
experience.
Review job descriptions to ensure:
1. The appropriate job skills have been identified.
2. Education requirements match the needs of the project.
3. Appropiate supervision and oversight has been established.
4. Individuals working on social media initiatives have the proper
experience and knowledge.
Management routinely
evaluates staffing levels
to assure adequate
service levels and
staffing resources.
1. Determine if staffing levels have been modified to reflect additional
social-media-related responsibilities.
2. Determine if staffing levels have been modified to reflect additional
social-media-related responsibilities.
3. Determine if there has been a marked increase in overtime or a
backlog of incomplete work due to social media projects.
Social Media Policies are
approved by the
applicable committee
and is communicated to
all stakeholders.
Determine if:
1. All applicable commitees have been involved in the establishement
of the policy.
2. All applicable departments (particularly legal and human resources)
have been involved in the establishment of the policy.
3. The policy has been properly reviewed and approved.
4. Training specific to the social media policy has been delivered.
5. The external social media policy has been published on all
organization sponsored social media.
6. The policies available on different organization-sponsored social
media are in alignment.
Social Media policies are
accurate, complete and
communicated to all
stakeholders.
Social Media policies ensure:
1. Alignment with other corporate policies (for example, code of
ethics, restrictions on proprietary information).
2. Acceptable social media practices.
3. The steps the organization will take for non-compliance.
4. The organization's right to monitor employees' activities.
5. What the organization will allow nonemployees to do on
organization-sponsored sites.
6. Guidelines for communication (e.g. adding value to the dialogue,
using a conversational tone, treating all with respect, etc.).
7. A statement of ownership of posted materials.
8. Limitations related to endorsement of products and services.
9. Select a sample of employees, and interview them on their
understanding of the social media policies.
10. The HR function has established and distributed defined
consequences for violation of social media policies.
2. The enterprise brand is protected
from negative publicity or adverse
reputational issues form third party
vendors.
2. A bank client might blame the bank for negligence, while
this is the responsibility of the thrid party vendor.
Third party vendors
support social media
projects.
Review any contracts with contractors to ensure:
1. Appropriate service-level agreements with third party vendors have
been established (response time, error correction).
2. Clear measures of succes have been determined.
3. Quality assurance procedures have been developed related to work
produced by the vendor.1. How the organization will monitor
activities.
5. Determine that clear policies are established and documented.
These policies need to describe to contractors acceptable information
that can be posted as part of the enterprise social media presence.
6. Determine that the HR function and contractor sponsors are
actively involved in the policy implementation.
7. Determine if the contractor acceptable use policies have been
updated to include social media.
Metrics To determine whether metrics have
been established to ensure succesful
implementation of recruitment,
customer service, identifying client
needs and sustainability objectives
and the use of social media.
1. Lack of valueless metrics;
2. Metrics are not monitored;
3. Metrics drive inappropriate behaviour.
Metrics are complete,
correct, aligned with
strategy, are monitored
and drive appropriate.
Review procedures, reports and action list to ensure:
1. Metrics have been established.
2. The metrics established are measurable.
3. The metrics have value to the department or organization.
4. Metrics align to the organization's strategy, goals, or objectives.
5. Metrics align to the social media strategy, goals or objectives.
6. Metrics include a definition of acceptable ranges, including an
indication when additional action may be required.
7. Responsibility for gathering metrics has been establised, including
gathering and reporting.
8. Appropriate action is taken when metrics are not within accpetable
ranges.
9. Review metrics results for potential issues. If identified, verify these
were appropriately elevated.
Social Media training
material is complete,
correct and periodically
evaluated.
Determine if:
1. All appropriate areas are covered, including the current state of
social media, opportunities and risks related to the use of social
media, self-assessments, the direction the organization is taken, and
the social media policy.
2. Specific training exists for the special needs of different areas
(board of directors vs. line personnel).
3. A Social Media self-assessement is performed per individual prior to
selecting a Social Media training.
3. How the effectiveness of the training and awareness process is
evaluated and monitored.
Social Media training is
evaluated and adapted
to new circumstances.
1. The responsibility for social media acceptable practice training and
awareness has been assigned to a specific job function.
2. All social media training needs have been identified, both general
needs related to all personnel and specific needs for individual
employees.
3. Plans exist for updating training as necessary.
4. Plans exist to provide refresher courses on social media.
All personnel have gone
through all required
levels of training.
1. Training schedules have been established for all personnel,
including executive management and the board of directors.
2. Completion of training is documented.
Inadequate training leads to inconsistent behaviour on social
media.
Training
Social Media Policy
1. To determine whether appropriate
policies and procedures have been
implemented to ensure the succesful
execution of the social media strategy.
To determine whether appropriate
levels of training have been
established to ensure all personnel
have been provided sufficient
information regarding the
organization's approach, policies and
procedures related to social media.
1. Procedures and policies are not executed;
2. The wrong personnel is assigned.
3. Staffing levels are adequate to support additional
responsibilities resulting from social media projects.
Effe
ctiv
e In
tern
al o
rgan
izat
ion
So
cial
Med
iaSocial Media Strategy Execution
1. No organizational wide Social Networking Policy is in place
may lead to an inconsistent communication.
1. To determine whether a social
media policy has been developed and
communicated which provides
(internally) direction related to
employees' use of all social media and
(externally) guidelines to external
stakeholders using the organization's
social media outlets.
44
Figuur 11: Gevalideerd Audit Referentiekader Social Media Nederlandse grootbanken
KSF Item Objective Risks Control Teststeps
Regulatory and Compliance To determine whether the Bank's
actions related to social media comply
with alle applicable federal and local
regulatory issues.
Regulatory en Compliance requirements are not considered
(e.g. privacy and client identification regulation).
Rules and regulation
regarding Social Media
is assessed.
1. Risk assessments conducted at all levels of the organization include
consideration of social media risks;
2. Results of risk assessments related to social media are
appropriately elevated to the responsible committee.
3. Organization-wide reviews of changes in laws and regulations
(CAAML) include consideration of social media.
4. Results of reviews over regulations and laws related to social media
are appropriately elevated to the responsible committee for ethical
decision making (privacy related items).
5. Risk assessments are reperformed when social media resources or
technologies change.
Anti-malware and anti-software is not up to date, which
might lead to confidential client data being stolen.
Antimalware and
antivirus software is in
use.
1. Determine that antivirus and antimalware applications are in place,
with appropriate configuration settings.
2. Verify that that appropriate controls for antimalware and social
media site limitations are also installed on mobile devices such as
smartphones.
Account takeover might lead to severe reputational issues. Incident response for
social media risks has
been included in the
information security
response plan.
Verify that the information security incident response plan addresses
social media risks, like account takeover.
Use of social media technology is
actively monitored, and its effect on
the IT architecture and technology are
regularly evaluated.
Not having the appropiate technological tools might lead to
not being able to participate in the online conversation.
Appropriate tools are
used to evaluate the
effectiveness of social
media usage and related
activities.
1. Evaluate the usage of technology for control and monitoring.
2. Determine if a third party monitors social media activities, including
the use of KPIs and proactive incident response.
3. Evaluate the usage of tools and reporting for control and
monitoring of social media use.
4. Evaluate involvement of all relevant stakeholders in review of
reports, including business leadership, risk management
professionals, and HR and legal representation.
Sensitive data might be disclosed without authorization. Information
shared/posted through
social media is included
in the data classification
program.
1. Obtain the data classification process.
2. Determine if social media, either generically or specifically (i.e.
Facebook, LinkedIn, Twitter, etc.), have been included in the data
classification policy.
3. Obtain a list of the criteria or specific information approved for
social media access and sharing.
4. Determine if this list is routinely reviewed and approved.
Social Media databases are accessed by unauthorized
persons.
Data accessible via
social media sites are
subjected to the
standard access
management
procedures and
approvals.
1. Determine if social media data access is managed using enterprise
access management procedures.
2. Select a sample of social-media-related data access requests.
3. Determine if appropriate authorizations were received prior to
access being granted.
4. Determine if the data access reauthorization process includes social
media.
5. Determine if the authorizations have been reviewed and approved
as prescribed in the reauthorization procedure.
1. To determine whether appropriate
monitoring systems have been
established over communication
related to social media.
1. The Social media conversation is not monitored;
2. Upprepared for unexpected responses or events.
Social Media is
effectively monitored.
1. Plans are in place to appropriately monitor social media, including
content developed by the organization.
2. Areas (keywords, hot topics, restricted issues) have been identified
and are included in all monitoring activities.
3. Review exist to identify appropriate monitoring tools (e.g. phising
activities).
4. Identified tools are consistenly used.
5. Plans have been established to handle situations requiring
increased scrutiny.
6. Guidelines exist for the handling of sensitive or problem issues.
7. Determine the process for escalating branding issues to the
appropriate management representative.
8. Responses to identified issues are handled as quickly as desired.
9. Determine if periodically Social Media monitoring reports are
communicated with Board of Directors and senior management.
2. The enterprise brand is protected
from negative publicity or adverse
reputational issues.
Adverse posts/publicity is not or too lately dealt with to
avoid reputational damage to the bank.
Social media sites are
monitored for adverse
posts and publicity.
1. Determine if a brand protection firm or other monitoring
mechanism is engaged to locate, identify and report dummy profiles
set up on social media that may tarnish the entity or its brand image
or carry contradictory messages.
2. Determine how often the scans are executed.
3. Obtain the reports generated by the brand protection scans and
determine if an issue monitoring process is in place to review and
follow up on branding issues on a timely basis.
4. Identify incidents requiring the escalation of branding issues.
5. Determine the resolution of escalated branding incidents.
Procedures, plans,
training, responsibilites
voor new Social Media
initiatives are clear.
1. Determine if opportunities have been identified to impact business
objectives in the short term.
2. Determine if in plans, programs for interpreting Social Media trends
are communicated and training is provided for Social Media
interpretation and decision making.
3. Determine if key personnel in the organisation are identified to help
gain actionable insights from monitoring activities.
4. Determine if periodically results of new Social Media initiatives are
communicated with Board of Directors and senior management.
Psychological and social
boundaries to Social
Media innovation are
recognized and
discussed.
1. Determine if Social Media trends are being interpreted correctly,
and are converted in decision making and action plans.
2. Determine if there is an openness towards new questions from
stakeholders (Does a consumer question lead to a new Social Media
initiative).
3. Determine if through a social system (meetings, sharing of
information) psychological mechanisms, which might lead to incorrect
interpretation of information, are being corrected.
4. Determine if there is intellectual space, a psychological climate or
mutual trust available to explore more fundamental developments in
the external environment of the bank and what these could mean for
the bank.
IT infrastructure supports risks
introduced by social media.
New
/ Im
pro
ved
ser
vice
or
pro
du
cts
New product/service
development or improvement
Insights gained from Social Media
monitoring are used for bankproduct
innovations en bankservice
improvements.
Social Media initiatives do not contribute to the bank's
objective:
1. New Social Media opportunities are missed.
2.The bank does not adapt to the variation or changing
online stakeholder behavior.
Effe
ctiv
e So
cial
Med
ia M
on
ito
rin
gEf
fect
ive
Inte
rnal
org
aniz
atio
n S
oci
al M
edia
Monitoring
Technologie
Enterprise information is protected
from unauthorized access or leakage
through/by social media.
45
Hoofdstuk 7: Conclusie
In dit hoofdstuk wordt de hoofdvraag beantwoord: In hoeverre is een effectief audit referentiekader voor Nederlandse grootbanken voor Social Media te realiseren?
In deze scriptie is onderzocht in hoeverre een effectief audit referentiekader voor grootbanken voor
Social Media te realiseren is. Vanuit de theorie van Social Media zijn drie kritische succesfactoren
gedefinieerd waar Social Media voor ondernemingen aan dient te voldoen om bij te dragen aan
bedrijfsdoelstellingen. Deze drie kritische succesfactoren zijn als kapstok gebruikt om het audit
referentiekader vorm te geven.
Vanuit de IIA en ISACA is dit audit referentiekader verder ingevuld en is een nieuw onderdeel
ontwikkeld op basis van psychologie, sociale en Social Media theorie. Dit theoretische audit
referentiekader is voorgelegd aan audit experts van 3 grootbanken voor validatie. Het resultaat was
een kleine aanpassing van het theoretische referentiekader om tot een gevalideerd audit
referentiekader voor grootbanken voor Social Media te komen.
Effectiviteit gaat om doeltreffendheid. Het auditreferentiekader is pas doeltreffend als het bijdraagt
aan de doelstellingen van internal audit. De definitie van internal audit (IIA Nederland): De internal
auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische,
gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en
governance te evalueren en te verbeteren.
Het gevalideerde audit referentiekader stelt de internal auditfunctie in staat om voor Social Media
voor grootbanken systematisch, gedisciplineerd de effectiviteit van processen van risico
management, beheersing en governance te evalueren en te verbeteren.
Hierdoor kan er zekerheid verschaft worden over de drie kritische succesfactoren van Social Media.
Wanneer een redelijke mate zekerheid wordt verschaft over de implementatie van deze drie
kritische succesfactoren, dan helpt internal audit een grootbank haar doelstellingen te realiseren.
Tijdens de validatie van het theoretische audit referentiekader begon de discussie vaak met de
doelstellingen die grootbanken hebben met Social Media. In alle gevallen werd een commerciële of
marketing-achtige doelstellingen geopperd. Het blijkt dus uit de literatuur dat dit juist averechts kan
werken voor een onderneming en ook voor een grootbank. Social Media direct als een commercieel
kanaal zien is wellicht nog te vroeg. Via Social Media effectief luisteren naar de bank haar
stakeholders is het belangrijkste dat een grootbank kan doen. Als grootbank dien je te weten welke
zaken er spelen. Daarom is de monitoringsfunctie van Social Media erg belangrijk.
Als ondertitel van de scriptie is gekozen daarom gekozen voor: The race to grow ears.
46
Bibliography ABN AMRO Bank . Managing Board Report Business & Strategy. Amsterdam: ABN AMRO Bank, 2014.
Beerthuyzen, M. "www.bijgespijkerd.nl." bijgespijkerd. 2009. http://www.bijgespijkerd.nl/social-
media/wat-we-kunnen-leren-van-de-dsb-sns-social-media-en-webcare (accessed 04 03,
2014).
Boyd, D. , and N. Ellison. "Social network sites: Definition, history, and scholarship." Journal of
Computer-Mediated Communications 13 (2008): 213-230.
Cha, S.E., and A.C. Edmondson. "When values backfire: Leadership, attribution, and disenchantment
in a values-driven organization." The Leadership Quarterly 17 (2006): 57-78.
Christakou, E., and G.M. Klimis. "Blogs and Social Media: The new word of Mouth and its Impact on
the Reputation of Banks and on their Profitability." In Handbook of Social Media, by M.
Freidrichsen and W> Muhl-Benninghaus, 715-735. Berlin: Springer-Verlag, 2013.
Collins, J.C., and J.I. Porras. Built to last: Succesful Habits of visionary companies. New York: Harper
Business, 1994.
Davenport, T.H. "Competing on analytics." Harvard Business Review 84, no. 1 (2006): 98-107.
Deming, W.E., and M. Walton. The Deming Management Method. New York: Dodd, 1986.
Dolen, M. van. "Zing, post, huil, tweet, lach, like en verwonder." Oratiereeks UvA. Amsterdam:
Vossiuspers UvA, 2013. 1-27.
Driessen, A.J.G., and A. Molenkamp. Internal Auditing een managementkundige benadering.
Deventer: Wolters Kluwer, 2008.
Federal Financial Institutions Examination Council. Financial Regulators Issue Final Guidance on
Social Media. December 11, 2013. https://www.ffiec.gov/press/pr121113.htm (accessed
August 12, 2014).
FFIECC. Social MEdia: Consumer Compliance Risk Management Guidance. Arlington: Federal
Financial Institutions Examination Council, 2013.
Fournier, S., and J. Avery. "The uninvited brand." Business Horizons 54 (2011): 193-207.
Frasier, S. www.charteredaccountants.com. December 22, 2011.
http://www.charteredaccountants.com.au/News-Media/Charter/Charter-articles/Audit-and-
assurance/2011-07-The-Risk-Based-Audit-Approach.aspx (accessed August 15, 2014).
Gartner, Coleman Parkes. "Unleash the power of big data." 2011.
Hoffman, D., and M. Fodor. "Can you measure the ROI of your social media marketing." Slaon
Management Review 52, no. 1 (2010): 41-49.
Horngren, C.T. Introduction to Management Accounting. Upper Saddle River: Prentice Hall, 2002.
47
IIA. www.theiia.org. January 01, 2013. http://www.theiia.org/fsa/2013-features/auditing-social-
media-risks-for-financial-institutions/?staticReset (accessed August 15, 2014).
ING Group . ING Group Annual Report 2013. Amsterdam: ING Group, 2014.
ISACA. Social Media: Business Benefits and Security, Governance and Assurance Perspectives.
Emerging Technologie White Paper, Rolling Meadows: ISACA, 2010.
Kaplan, A., and M. Haenlein. "Users of the World, unite! the Challenges and opportunities of social
media." Business Horizons 53, no. 1 (2010): 47-73.
Kaplan, R.S., and D.P. Norton. Strategy Maps: Converting intangible assets into tangible outcomes.
Boston, Mass: Harvard Business School Press, 2004.
Kelson, N. "Social Media Audit/Assurance Program." www.isaca.org. 2011.
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Social-
Media-Audit-Assurance-Program.aspx (accessed May 01, 2013).
Merchant, K.A., and W.A. van der Stede. Management control systems: performance measurement,
evaluation and incentives. Pearson Education, 2007.
Pfeffer, J., and R.I. Sutton. Hard facts, dangerous half truths and total nonsense: profiling form
evidence-based management. Boston, MA: Harvard Business School Press, 2006.
PWC. www.pwc.com. December 8, 2008. http://www.pwc.com/en_us/us/issues/enterprise-risk-
management/assets/risk_assessment_guide.pdf (accessed August 15, 2014).
Quinn, R.E. . Een kader voor managementvaardigheden. Schoonhoven: Academic Service, 1996.
Rabobank Group. Annual Report 2013 Rabobank Group. Amsterdam: Rabobank Group, 2014.
Rabobank. Robuuste garantieregeling. Utrecht: Rabobank, 2011.
Rico, S., B. Bradley, and M. Kiefer. Social Media: Business Benefits and Security, Governance and
Assurance Perspectives. Rolling Meadows, IL: ISACA, 2010.
Scott, P. R. , and J. M. Jacka. Auditing Social Media. Hoboken: John Wiley & Sons, 2011.
Strikwerda, J. "De organisatie van informatie van de onderneming: een normatief kader?" MAB 85
(juni 2011): 317-332.
Strikwerda, J. "Empowerment: hoe professionele ruimte te combineren met in-control zijn." Holland
Management Review 145 (2012): 32-40.
ten Have, S., W. ten Have, and F. Stevens. Key management models. Harlow: Pearson Education,
2003.
Vergili, J.A., and E. Kaganer. Impact of Social Media on the Financial Services Sector. Stuttgart: GFT
Technologies AG, 2012.