Auditing Social Media - scripties.uba.uva.nl

Auditing Social Media “The race to grow ears”

Rienk Rienks

Amsterdam, 5 september 2014

Begeleider: Willem van Loon

Universiteit van Amsterdam Business School

Executive Internal Auditing Program

2

Voorwoord

Voor u ligt het referaat waarmee ik mijn postdoctorale studie Executive Internal Auditing

Programme aan de Universiteit van Amsterdam afrond.

Dit voorwoord biedt mij de gelegenheid een aantal mensen te bedanken. Op de eerste plaats wil ik

mijn werkgever, ABN AMRO, bedanken voor de mogelijkheid om deze studie te volgen.

Ik wil prof. dr. Willemijn van Dolen (hoogleraar marketing Universiteit van Amsterdam), prof. dr. J.

Strikwerda (hoogleraar Strategy en Marketing Universiteit van Amsterdam), John Bendermacher

(Group Audit ABN AMRO), Rinus van der Struis (Audit Rabobank Group), Jenny van Stein (Channel

Manager Social Media ABN AMRO), Martijn Wesseling (Audit SNS REAAL) en Tom van der Ven (Head

IT Audit SNS Reaal) hartelijk danken voor hun medewerking aan de interviews.

Willem van Loon wil ik bedanken voor zijn begeleiding, de stimulerende suggesties om ook op

andere manieren onderzoek te doen en de steun in algemene zin. Ook ben ik dankbaar voor mijn

(ex)collega’s Dagmar van Steenbrugge, Eugene Aschebrock en Andre van der Meer voor hun tijd en

bijdrage.

Tot slot wil ik Seyed Jalaleddin Bani Hashemi, vriend en collega, bedanken voor zijn kritische blik en

goede suggesties.

Rienk Rienks

3

Contents Voorwoord ........................................................................................................................................ 2

Executive Summary ........................................................................................................................... 4

Hoofdstuk 1: Inleiding ....................................................................................................................... 6

Hoofdstuk 2: Wat is Social Media? ................................................................................................... 10

Hoofdstuk 3 Control Models Social Media ....................................................................................... 16

Hoofdstuk 4 Bestaande Audit Referentiekaders ISCACA & IIA .......................................................... 25

Hoofdstuk 5 Theoretisch Audit Referentiekader Social Media .......................................................... 31

Hoofdstuk 6 Gevalideerd Audit Referentiekader Social Media ......................................................... 37

Bibliography .................................................................................................................................... 46

4

Executive Summary Social Media was 10 jaar geleden nog redelijk onbekend. In 2014 is het niet meer weg te denken uit

onze samenleving. Via internet applicaties zoals Twitter, Facebook en Instagram kunnen gebruikers

van Social Media makkelijk inhoud publiceren op het internet. Via Social Media wordt er met elkaar,

maar ook over elkaar gesproken. Ook ondernemingen zien de mogelijkheden van Social Media als

nieuw kanaal om consumenten te benaderen. Echter, Social Media is anders dan traditionele

kanalen omdat het een dialoog faciliteert tussen ondernemingen en hun stakeholders en dit dialoog

vindt plaats in de publieke ruimte. Dit biedt kansen, maar er zijn zeker ook risico’s. Negatieve

berichtgeving kan ook escaleren. Ook Nederlandse grootbanken begeven zich op Social Media en

proberen de kansen van Social Media te grijpen. ING, ABN AMRO, Rabobank en SNS REAAL zijn

Nederlandse grootbanken. De Nederlandse grootbanken verzorgen samen het merendeel van de

kredietverlening en andere bankproducten aan Nederlandse huishoudens en bedrijven. Een

grootbank dient daarom ook de risico’s van Social Media te beheersen. Internal audit kan bijdragen

aan deze risico beheersing.

In deze scriptie is een onderzoek gedaan naar in hoeverre een effectief audit referentiekader voor

Social Media voor grootbanken realiseerbaar is.

Voor een succesvolle bijdrage van Social Media aan bedrijfsdoelstellingen zijn er drie kritische

succesfactoren waaraan een organisatie dient te voldoen:

1. Een effectieve interne organisatie om Social Media te faciliteren;

2. Effectief monitoren van Social Media;

3. Verworven inzichten uit Social Media omzetten in acties.

Deze kritische succesfactoren zijn gebruikt als kapstok in het formuleren van een theoretisch audit

referentiekader voor Social Media voor grootbanken.

De Social Media audit referentiekaders van de Information Systems Audit and Control Association

(ISACA) en het Institute of Internal Auditors (IIA) zijn gebruikt om het theoretische audit

referentiekader te voorzien van relevante doel-risico-beheersmaatregel-teststap onderdelen.

Uiteindelijk konden hiermee slechts twee van de drie kritische succesfactoren worden voorzien van

doel-risico-beheersmaatregel-teststap onderdelen.

Voor de derde kritische succesfactor kon geen beroep worden gedaan op zowel het referentiekader

van het IIA als dat van het ISACA. Voor de derde kritische succesfactor is op basis van psychologie- en

sociale studies literatuur een nieuwe doel-risico-beheersmaatregel-teststap geïntroduceerd.

De scope van het onderzoek is beperkt tot grootbanken, omdat het systeem risico door Social Media

versterkt kan worden. Ook zijn grootbanken relatief actiever op social media dan “klein” banken. Het

theoretische referentiekader is voorgelegd aan audit experts van Nederlandse grootbanken. Met

hun feedback is het audit referentiekader gevalideerd.

Het doel van het onderzoek was om een analyse te geven hoe een Social Media audit voor

grootbanken ingericht kan worden. De belangrijkste risico’s van Social Media voor grootbanken zijn

weten regelgeving risico’s, reputatie- en operationele risico’s. Deze risico’s zijn verwerkt in het

5

audit referentiekader en mitigerende maatregelen zijn hieraan toegevoegd. Het doel was uiteindelijk

om te onderzoeken in hoeverre een effectief referentiekader voor grootbanken realiseerbaar is.

De conclusie is dat een effectief audit referentiekader voor Social Media voor Nederlandse

grootbanken realiseerbaar is.Het is alleen effectief mits er voldaan wordt aan alle drie de kritische

succesfactoren voor een succesvolle bijdrage van Social Media aan bedrijfsdoelstellingen. Het

gevalideerde Social Media audit referentiekader bestaat daarmee uit onderdelen van het ISACA en

IIA referentiekaders met een nieuwe onderdeel.

In dit nieuwe onderdeel gaat het er om dat een grootbank nieuwe acties ontwikkelt aan de hand van

verworven inzichten. Zowel het IIA als ISACA besteden geen aandacht aan deze kritische

succesfactor voor Social Media.Met dit nieuwe onderdeel is het Social Media audit referentiekader

voor grootbanken hiermee een uitbreiding op de ISACA en IIA referentiekaders en is toegespitst op

grootbanken.

6

Hoofdstuk 1: Inleiding Social Media dwingt organisaties tot een hele andere manier van omgaan met klanten. Het belang van Social Media zal in de toekomst alleen maar toenemen. Het publiek bepaalt steeds meer wie er door mogen naar de ‘volgende ronde’ en wie niet. Haak aan op Social Media of haak af.

ING Bank had begin 2013 een probleem met saldi op de rekeningen van hun klanten. Het webcare team van de ING Bank heeft de saldoproblemen niet goed opgevangen. Klanten werden niet goed geïnformeerd over de oorzaak. De imagoschade is groot, mede door de niet tijdige reactie.

Het niet adequaat en tijdig reageren op Social Media events kunnen leiden tot reputatieschade voor ondernemingen. Bij het toenemende belang van Social Media zullen banken dit nieuwe fenomeen goed moeten analyseren. Sociale voelsprieten van een organisatie dienen juist ingezet te worden in een toenemende volatiele externe omgeving. Echter, is Social Media wel te benaderen vanuit de wel bekende management control benaderingen? Is het voldoende om een uitgewerkte Social Media strategie te hebben om deze tactisch te vertalen naar een Plan-Do-Check-Act (Deming and Walton 1986)?

Internal Audit kan van toegevoegde waarde zijn in de beheersing van de risico’s van Social Media. Vanuit een risk-based audit programma kunnen beheersmaatregelen worden getest. Echter de vraag rijst op welke wijze de toegevoegde waarde ingevuld wordt met betrekking tot Social Media. Twitter, Facebook, Linkedin zijn bekende voorbeelden van gevestigde Social Media waar men redelijk duidelijk een risico kan definiëren. Instagram, Foursquare, Pinterest en Flickr zijn voorbeelden van Social Media die relatief minder bekend zijn en de vraag is in welke mate deze door een bedrijf beheerst worden en dienen te worden. Hiernaast zijn voorgaande voorbeelden vooral westerse geïnitieerde Social Media. Jiepang, Renren, LAGbook and Sonico zijn Social Media platformen, die miljoenen volgers hebben in China, de Arabische wereld, Afrika en Zuid Amerika. In hoeverre kan een organisatie alles monitoren en nieuwe ontwikkelingen (snel) integreren in de bedrijfsvoering? Dient een bedrijf in de huidige tijd op een andere manier georganiseerd te worden om flexibeler te reageren op hevige externe ontwikkelingen?

Het feit is dat er een diversiteit aan Social Media bestaat en de ontwikkelingen elkaar razendsnel opvolgen. Hierdoor neemt de impact van Social Media toe op organisaties. Naar mijn mening ligt hier een rol voor internal audit weggelegd. De vraag luidt: hoe zorg je als organisatie ervoor dat je “in control” bent als het gaat om Social Media? Dit betekent niet alleen dat je effectief georganiseerd hoort te zijn bent om te reageren bij een (negatief) event, maar is de vraag: op welke wijze dient Social Media bij te dragen aan de bedrijfsdoelstellingen?

Probleemstelling en onderzoeksvragen

Doel

De kredietcrisis wordt grotendeels in de schoenen van de banken geschoven. Ze zouden met hun korte termijngedrag zoveel mogelijk producten (hebben) willen verkopen. Ook Nederlandse grootbanken zijn bezig met het herstellen van het vertrouwen van de Nederlandse burger in banken. Social Media is een relevante optie voor banken om mede bij te dragen aan dit herstel van vertrouwen. Daarom is het noodzakelijk dat een Nederlandse grootbank Social Media op een effectieve manier inzet. Internal audit kan een bijdrage leveren aan het effectief inzetten van Social Media waardoor dit bijdraagt aan doelstellingen van grootbanken.

De doelstelling van het onderzoek is om een analyse te geven hoe een Social Media audit voor grootbanken ingericht kan worden. Het doel is uiteindelijk om te onderzoeken in hoeverre een effectief referentiekader voor grootbanken realiseerbaar is.

7

Probleemstelling

Social Media dient een bijdrage te leveren aan de doelstellingen van een grootbank. Het probleem is dat een effectief referentiekader voor een Social Media audit voor grootbanken (nog) niet bestaat. Hiernaast is de vraag of een Social Media audit referentiekader voor grootbanken daadwerkelijk anders ingericht moet worden dan een Social Media audit referentiekader voor andere organisaties.

In hoeverre is een effectief audit referentiekader voor Nederlandse grootbanken voor Social Media te realiseren?

Scope

Grootbanken: Een systeembank en grootbank worden vaak in een adem genoemd, maar een harde definitie van een grootbank is niet te vinden. Volgens De Nederlandse Bank (De Nederlandse Bank 2014) heeft een individuele grootbank een omvang van meer dan 50% van het Nederlands bbp; voor ING en Rabobank is dit zelfs meer dan 100%. De Nederlandse grootbanken verzorgen samen het merendeel van de kredietverlening aan Nederlandse huishoudens (85%) en bedrijven (60%) (De Nederlandse Bank 2014). Het voornaamste verschil tussen een grootbank en “klein” banken ligt in het systeem risico. Een faillissement van een van de grootbanken (ING, Rabobank, ABN AMRO, SNS) kan niet worden opgevangen door de Nederlandse banksector zelf. Een faillissement van de overige banken zou een domino-effect teweeg brengen. De banksector en de Nederlandse overheid staan hierdoor garant voor het kapitaal van grootbanken. De grootbanken ING, Rabobank, ABN AMRO en SNS bank zijn ook systeemrelevant (De Nederlandse Bank 2014). Hoewel Nederlandse grootbanken en systeembanken in een adem genoemd worden, gaat het om de relevantie van scope van het onderzoek. Uit een interview met de channel manager Social Media ABN AMRO blijkt dat het managen van reputatie via Social Media veel relevanter is voor grote, bekende banken dan kleine banken in Nederland. Grootbanken hebben nu eenmaal meer klanten die zich op Social Media begeven. Een kleine bank heeft de keuze om in zijn nichemarkt andere communicatievormen te kiezen, terwijl een grootbank gedwongen wordt om met de massa in gesprek te gaan via Social Media. Social Media is een communicatiemiddel en de grootbanken hebben hiermee het grootste bereik. Negatieve berichtgeving via Social Media kan het systeemrisico vergroten. Reputatiemanagement via Social Media is voor grootbanken van belang om het gebrek aan vertrouwen in een grootbank niet te laten escaleren in een bankrun. Hiervoor dient een grootbank mitigerende maatregelen in te regelen. Een uitgangspunt voor deze scriptie is dat er door een (groot)bank gekozen is voor een actieve deelname aan Social Media. Het niet participeren aan Social Media kan een strategische beslissing zijn. Bij grootbanken lijkt er gekozen te zijn voor deze actieve deelname aan Social Media (Twitter: @Rabobank (volgers: 82.500 / tweets: 47.800) versus @NIBC_Bank (volgers: 125 / tweets: 124) en @Binckbank (volgers: 1.791 / tweets: 92)). Het resultaat van deze scriptie kan daarom ook toepasbaar zijn op “klein” banken met vergelijkbare actieve deelname aan Social Media.

Informatie Technologie: De beheersing van IT van Social Media ligt in de scope van dit onderzoek.

Onderzoeksvragen

1. Wat betekent Social Media voor Nederlandse Grootbanken? 2. Welke management control systemen zijn geschikt om Social Media te beheersen? 3. Hoe wordt in bestaande referentiekaders gekeken naar Social Media? 4. Wat zijn de belangrijkste eisen aan het auditen van Social Media? 5. Hoe kan een audit referentiekader voor grootbanken eruit zien?

8

Werkwijze

Onderzoeksvraag 1: Wat betekent Social Media voor Nederlandse Grootbanken?

Om tot onderzoeken in hoeverre een effectief audit referentiekader voor Social Media, zal als eerst een verkenning van Social Media literatuur plaatsvinden. Het doel van deze deelvraag is te bekijken wat de gevolgen zijn van Social Media voor grootbanken. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.

Onderzoeksvraag 2: Welke management control systemen zijn geschikt om Social Media te beheersen?

Er zal een verkenning plaatsvinden van beschikbare management control modellen. Het resultaat is een beargumenteerde schifting welke management control theorieën geschikt zouden kunnen zijn voor het beheersen van Social Media.

Onderzoeksvraag 3: Hoe wordt in bestaande audit referentiekaders gekeken naar Social Media?

De bestaande referentiekaders voor Social Media van ISACA en het IIA voor Social Media worden geanalyseerd. Het IIA en het ISACA instituut worden mondiaal geaccepteerd en erkend door audit professionals. De Social Media referentiekaders van het IIA en ISACA behoren tot de geaccepteerde audit industrie norm en vertegenwoordigen hoge professionele audit standaarden. Andere soortgelijke Social Media audit referentiekaders zijn niet beschikbaar en/of kunnen niet als internationale maatstaf gebruikt worden. Daarom zullen het IIA en ISACA Social Media referentiekaders als benchmark dienen.

Het resultaat zal zijn een selectie van onderdelen voor het formuleren van het theoretische audit referentiekader voor Social Media voor grootbanken.

Onderzoeksvraag 4: Wat zijn de belangrijkste eisen aan het auditen van Social Media?

Het doel van deze vraag is om tot een theoretisch audit referentiekader voor Social Media voor grootbanken te komen.

Onderzoeksvraag 5: Hoe kan een audit referentiekader voor grootbanken eruit zien?

Het theoretische audit referentiekader zal voor gelegd ter validatie aan de Audit experts van Nederlandse grootbanken. Dit zullen semigestructureerde interviews zijn met als doel om het ontwikkelde audit referentiekader aan te scherpen en/of aan te passen.

Met hun feedback zal het resultaat zijn een gevalideerd referentiekader voor Social Media Audit voor Nederlandse grootbanken.

Hiernaast zal de visie van audit experts van Nederlandse grootbanken ten aanzien van het auditen van Social Media geraadpleegd worden voor aanscherping van het audit referentiekader.

Schematisch ziet werkwijze en onderzoeksopzet (incl. hoofdstuk indeling) er als volgt uit:

H2. Literatuur

Social Media

H3. Literatuur

Management

Control

H5. Theoretisch

referentiekader

Audit Social

Media

H4. Analyse

bestaande Audit

Social Media

referentiekaders

H6. Gevalideerd

referentiekader voor

Social Media Audit

9

Leeswijzer/Structuur scriptie

Hoofdstuk 2

Hoofdstuk 2 geeft antwoord op de volgende onderzoeksvraag: Wat betekent Social Media voor grootbanken.

In hoofdstuk 2 zal de meest relevante theorie met betrekking tot Social Media worden verkend. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.

Hoofdstuk 3

Hoofdstuk 3 geeft antwoord op de volgende onderzoeksvraag: Welke management control systemen zijn geschikt om Social Media te beheersen?

In hoofdstuk 3 zal de theorie met betrekking tot management control worden verkend. Het doel zal zijn om theorie(en) te vinden die aansluiten op de elementen van Social Media uit hoofdstuk 2. Aan het einde van hoofdstuk 3 zal een beargumenteerde schifting gemaakt zijn van management control theorieën, die van toepassing zijn op Social Media

Hoofdstuk 4

Hoofdstuk 4 geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?

De bestaande audit referentiekaders voor Social Media van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) worden geanalyseerd. Het resultaat zal zijn een selectie van onderdelen voor het formuleren van het theoretische audit referentiekader voor Social Media voor grootbanken.

Hoofdstuk 5

Hoofdstuk 5 en hoofdstuk 6 geven antwoord op de volgende deelvraag: Wat zijn de belangrijkste eisen aan het auditen van Social Media?

In hoofdstuk 5 zal een synthese zijn uit de eerdere hoofdstukken om te komen tot een theoretisch referentiekader voor de Social Media audit.

Hoofdstuk 6

In hoofdstuk 6 zal het theoretische audit referentiekader uit hoofdstuk 5 voorgelegd worden aan audit professionals uit de praktijk ter validatie. Via semigestructureerde interviews zal feedback op het theoretische audit referentiekader gevraagd worden aan audit experts van Rabobank, ABN AMRO, en SNS REAAL.

Het doel van deze expert feedback is om te komen tot een gevalideerd referentiekader voor Nederlandse grootbanken.

Hoofdstuk 7

In dit hoofdstuk wordt de hoofdvraag beantwoord: In hoeverre is een effectief referentiekader voor grootbanken voor Social Media te realiseren?

10

Hoofdstuk 2: Wat is Social Media? Hoofdstuk 2 geeft antwoord op de volgende onderzoeksvraag: Wat betekent Social Media voor grootbanken.

In hoofdstuk 2 zal de meest relevante theorie met betrekking tot Social Media worden verkend. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.

Definitie Social Media

ISACA (Kelson 2011) definieert Social Media als het gebruik van internet-gebaseerde applicaties ten behoeve van verspreiding van informatie en/of samenwerking op basis van gedeelde informatie. Kelson (2011) geeft aan dat het verschil tussen Social Media met traditionele advertenties en marketing kanalen het populistische karakter is. Ieder met toegang tot internet via mobiel, tablet of ander apparaat kan in bijna alle anonimiteit en zonder verantwoording, participeren in publieke of private informatie deling. Het algemene verband is dat de tools (mobiel, tablets, desktops) gemanaged worden door individuen in plaats van een professionele afdeling, zoals bij een traditioneel marketingkanaal. Social Media is een vrij nieuw fenomeen en populaire Social Media tools volgen elkaar in een razend tempo op (Kaplan and Haenlein 2010). Hoewel er ook andere dimensies zijn voor de indeling van Social Media (Kaplan and Haenlein 2010) staat centraal bij Vergili et al (2012) wat de gebruiker wilt bereiken met desbetreffende Social Media tooling. Social Media wordt door gebruikers voor verschillende doeleinden gebruikt. Figuur 1 geeft een classificatie weer van huidige veel gebruikte redenen voor het gebruik van Social Media.

Figuur 1: Classificatie van verschillende Sociale Technologieën (Vergili and Kaganer 2012)

Gebruikers schrijven teksten op blogs, delen filmpjes en foto’s op Youtube en Flickr en hebben online interactie met elkaar via Facebook, Linkedin en Twitter. Deze categorie van Social Media netwerken zijn de bekendste en de grootste, maar deze netwerken bestaan nog geen tien jaar (Boyd en Ellison 2008). Facebook ontstond op 4 februari 2004 en heeft inmiddels 1,1 miljard maandelijks

Doel Beschrijving Voorbeelden van Social Media

Identificeren/verbinden Door het gebruik en het

linken van profielen kunnen

gebruikers content delen,

aanpassen en toegang

krijgen tot content.

Facebook, Twitter, LinkedIn

Communicatie/discussie Het in staat stellen van

eenzijdig of veelzijdig

communicatie tussen

gebruikers in real-time of

afwijkende tijdzones

Skype, Webex, Facebook,

Whatsapp, Twitter, Blogs,

Snapchat

Maken en delen van

content

Creatie en modificatie van

publieke bestanden als

documenten, beelden en

videos.

Wikipedia, Youtube, Pinterest,

Flickr

Review/beoordelen Gebruikers delen hun

mening en ervaringen over

producten en diensten.

Tripadvisor, Booking.com, Yelp

Games Gebruikers spelen games

binnen het social portaal

Farmville, Angry Birds, World of

Warcraft, Second Life

11

actieve leden (www.facebook.com), terwijl Twitter zeven jaar na zijn ontstaan 280 miljoen actieve gebruikers heeft, die 340 miljoen tweets per dag versturen (www.twitter.com).

Scott & Jacka (2011) erkennen in Social Media een machtsverschuiving van organisaties naar de massa, aangezien Social Media de massa de mogelijkheid verschaft zich te uiten door het publiceren van inhoud. Hierin ligt ook het verschil met traditionele Public Relations. Public Relations gaat uit van een zendende functie, waarbij bijvoorbeeld via persberichten gecommuniceerd wordt. Deze eenzijdige communicatie staat haaks op een multi-zijdige communicatie tussen Social Media gebruikers. Gebruikers van Social Media bespreken bijvoorbeeld via Twitter met elkaar hun ongenoegen over een organisatie. De PR-functie van een organisatie neemt niet eens meer deel aan het gesprek.

Deze online sociale interactie heeft ervoor gezorgd dat organisaties zich ook in de virtuele ruimte begeven en, gevraagd en ongevraagd, reageren op tweets, blogs en posts van gebruikers (Dolen 2013). Gezien het jonge, maar zeer invloedrijke medium is het nog maar de vraag of deelnemen aan het online dialoog met consumenten door organisaties juist niet averechts werkt en hierdoor de consument organisaties juist zal buitensluiten (Scott en Jacka 2011). Social Media dient vooral gezien te worden als een communicatiemiddel, een manier om interactie en gesprekken te bevorderen (Kaplan & Haenlein, 2010; Scott & Jacka, 2011; Dolen, 2013).

De Sociale Media hebben primair als doel om mensen aan elkaar te koppelen, te laten praten en informatie uit te wisselen (Kaplan & Haenlein, 2010; Fournier & Avery, 2011; Dolen, 2013). De Social Media applicaties bedoeld om mensen met elkaar te communiceren, om virtueel te “socializen”. Het doel van Social Media voor grootbanken is dat Social Media bijdraagt aan bedrijfsdoelstellingen.

Social Media risico’s voor financiële instellingen

De Federal Financial Institutions Examination Council (FFIECC) is een officieel Amerikaans instituut dat verantwoordelijk is voor het ontwikkelen van uniforme reporting standaarden voor financiële instituten die onder federaal toezicht staan. De FFIECC stelt een aantal formele richtlijnen, waaraan Amerikaanse financiële instituten officieel dienen te voldoen. Hiernaast heeft het FFIECC een aantal press releases, waarin richtlijnen worden gepubliceerd zonder compliance vereisten. Het veranderende consumenten gedrag door Social Media heeft geresulteerd dat in 2013 in de Verenigde Staten door de Federal Financial Institutions Examination Council een richtlijn opgesteld is: Social Media: Consumer Compliance Risk Management Guidance (FFIECC 2013). Het doel van deze richtlijn is om financiële instituten te ondersteunen met het managen van compliance, legal, reputatie en operationele risico’s van Social Media. Kort samengevat; de richtlijn adviseert een financiële instelling een Social Media risico management programma voor. Hierin moet aandacht gegeven worden aan governance structuren, beleid en richtlijnen, Social Media uitbesteding richtlijnen, trainingsprogramma voor medewerkers, proces voor monitoren Social Media en inregeling van periodieke controles van audit en compliance. Deze richtlijn legt geen nieuwe vereisten op aan financiële instituten, zoals grootbanken. De richtlijn is eerder bedoeld om financiële instituten te helpen met het begrijpen en managen van potentiele Social Media risico’s (compliance, legal, operationeel en reputatie risico’s). De richtlijn voorziet in afwegingen die financiële instituten kunnen helpen tijdens risk assessments en bij het opstellen en evalueren van Social Media beleid en procedures (Federal Financial Institutions Examination Council 2013).

Tot op heden zijn er in de Europese Unie geen soortgelijke richtlijnen gepubliceerd. Echter, de geïdentificeerde risico’s van het FFIECC (2013) kunnen ook toepasbaar zijn op Social Media voor Nederlandse grootbanken. De Amerikaanse richtlijnen identificeren de volgende risico’s voor financiële instituten (FFIECC 2013):

12

Compliance en Legal risico’s

Producten: Wanneer je als bank producten (kredieten, spaardeposito’s, betalingsverkeer) gaat leveren via Social Media zal je aan huidige regelgeving t.a.v. deze product voering moeten voldoen.

Klant acceptatie: Een ander genoemd risico is het identificeren van klanten via de Social Media. Een virtueel profiel leent zich om je voor te doen als iemand anders. CAAML (Client Acceptance & Anti-Money Laudry) wetgeving schrijft voor dat financiële instituten procedures en controle maatregelen moet treffen om zich ervan te vergewissen, dat zij met de juiste klant in contact zijn.

Witwas praktijken via Social Media: witwaspraktijken in opkomende gebieden als virtuele werelden en via virtuele valuta. Via virtuele werelden is het mogelijk om cash uit te keren. Een bank dient deze vorm van witwasprakijken te monitoren.

Privacy regelgeving is zeer relevant voor Social Media. Banken verzamelen, of hebben toegang tot informatie over of van klanten. Een bank zal na moeten gaan of zij aan relevante privacy wetgeving voldoen, wanneer zij gegevens verzamelen en/of gegevens tonen via online profielen. Ook dient te worden nagegaan in hoeverre een bank via Social Media persoonlijke commerciële berichten mag zenden via Social Media naar haar klanten. Zelfs wanneer je aan de weten regelgeving voldoet, dient een bank te overwegen wat de gevolgen zijn van het gebruik van persoonlijke klant informatie op Social Media.

Reputatie risico’s

Activiteiten van banken op Twitter of Facebook kunnen leiden tot ontevreden klanten en/of negatieve publiciteit. Zelfs wanneer er aan alle weten regelgeving wordt voldaan, leidt dit tot reputatieschade. Een bank dient hier maatregelen te treffen om reputatieschade via haar Social Media activiteiten zoveel mogelijk te voorkomen.

Bescherming merk identiteit: het beschermen van het bank merk identiteit kan uitdagend zijn voor banken. Een bank zou relevant beleid geïmplementeerd moeten hebben om bij negatieve publiciteit adequaat en op een consistente manier te kunnen reageren. Hiernaast zal een bank moeten zorgdragen dat er beleid bestaat voor phising. Dit is het frauderend gebruik van een identiteit door derden om informatie te onttrekken van een bank.

Uitbesteding Social Media aan een derde partij: Banken kunnen ervoor kiezen hun Social Media activiteiten uit te besteden aan een derde partij of een aanwezigheid te creëren op Facebook, Twitter of een ander kanaal. Gelijk aan reguliere uitbestedingsprocessen zullen juiste due diligence onderzoeken plaatsvinden voorafgaand aan de uitbesteding. Hiernaast dienen duidelijke compliance afspraken gemaakt worden wie informatie namens de bank publiceert op de kanalen. Het risico is dat bij onverwacht gebruik van persoonlijke klantinformatie of veranderingen in beleid, de klant de bank beschuldigt van nalatigheid, terwijl dit de verantwoordelijkheid is van de derde partij.

Klachtenmanagement: hoewel banken de voordelen van het publieke karakter van Social Media kunnen benutten om klachten en vragen van klanten te beantwoorden, bestaan hier reputatie risico’s wanneer klachten en vragen niet tijdig of op een onjuiste manier geadresseerd worden.

Interne medewerkers: Banken dienen bewust te zijn dat persoonlijke Social Media communicatie van bank medewerkers door klanten als officiële bank communicatie gezien

13

kan worden. Bank medewerker communicatie via Social Media kan ook leiden tot compliance en/of operationeel risico, naast het reputatie risico voor een bank. Ter voorkoming van deze risico’s kan een bank beleid en training opstellen om Social Media risicobewustzijn onder de bank medewerkers te bevorderen.

Operationele risico’s

Operationeel risico is het risico van schade resulterend van inadequate processen, systemen en gebruikers. De oorzaak hiervan kan zowel interne als externe gebeurtenissen zijn. Operationeel risico omvat ook de risico’s van het gebruik van informatie technologie door financiële instituten (FFIECC 2013). ISACA geeft aan dat het voornaamste operationele risico van Social Media ligt in het gebruik van IT (ISACA 2010)

Een groot deel van de controle activiteiten ligt in de processen van IT. Daarom is het belangrijk om bij Social Media in de IT waarborgen aan te brengen voor vertrouwelijkheid, integriteit en beschikbaarheid.

Figuur 2 geeft een samenvatting van de Social Media risico’s voor financiële instituten volgens het FFIECC.

Figuur 2: Social Media risico’s voor financiële instituten (FFIECC 2013)

Social Media risico’s voor Nederlandse grootbanken

Welke risico’s zijn relevant voor Nederlandse grootbanken? Uit interviews blijkt in de praktijk dat bankproducten zoals persoonlijke leningen en deposito’s (nog) niet via Social Media worden afgesloten. Dit risico is dan ook niet relevant voor Nederlandse grootbanken. Betalingsverkeer gaat in Nederland ook via internet en via mobiele apps. Betalingsverkeer van Nederlandse banken gaat niet via Facebook of Twiter, maar via kanalen die in eigen beheer zijn van banken. Een bank dient voldoende interne controle maatregelen te treffen om aan weten regelgeving voor deze kanalen te voldoen. Het risico van betalingsverkeer via Social Media is ook niet van toepassing.

Voor klantidentificatie beantwoorden webcare teams van Nederlandse banken de algemene klantvraag via Social Media. Op het moment dat er transacties of persoonlijk advies geleverd moeten worden, dan wordt de klant gedirigeerd naar bank gereguleerde kanalen om effectieve klant acceptatie en identificatie uit te voeren. Het witwassen via Social Media blijft een risico waar mee rekening dient te worden gehouden. Er zijn vormen van virtuele werelden waar rekeningen aan gekoppeld zijn.

FFIECC: Social Media risico's voor financiële instituten

Compliance & Legal risico's:

1. Bankproducten via Social Media

2. Betalingsverkeer via Social Media

3. Klant acceptatie en witwaspraktijken via Social Media

4. Privacy wetgeving mbt klantgegevens

Reputatie risico's:

1. Bescherming bank merk identiteit

2. Uitbesteding Social Media aan derde partijen

3. Klachten & klantenservice management via Social Media

4. Bank medewerker gebruik van Social Media

Operationele risico's:

1. IT-risico's Social Media

14

Figuur 3 geeft een overzicht van de Social Media risico’s toegespitst op Nederlandse grootbanken. Deze figuur komt voort uit figuur 2 (FFIECC 2013). De risico’s uit figuur 2 zijn ook toepasbaar op Nederlandse grootbanken met uitzondering van Compliance & Legal risico’s t.a.v. bankproducten, betalingsverkeer en klantacceptatie via Social Media.

Social Media Risico's voor Nederlandse grootbanken

Compliance & Legal risico's: 1. Privacy wetgeving m.b.t. klantgegevens 2. Witwaspraktijken via Social Media

Reputatie risico's: 1. Bescherming bank merk identiteit 2. Uitbesteding Social Media aan derde partijen 3. Klachten & klantenservice management via Social Media 4. Bank medewerker gebruik van Social Media

Operationele risico's: Vertrouwelijkheid, integriteit en beschikbaarheid van Social Media IT-technologie

Figuur 3: Social Media risico’s voor Nederlandse grootbanken

Kritische succesfactoren Social Media

Wat betekent Social Media nu voor grootbanken? De literatuur spreekt over 3 kritische succesfactoren waardoor Social Media binnen organisaties kan bijdragen aan bedrijfsdoelstellingen (Kaplan and Haenlein 2010; Scott and Jacka 2011; Dolen, 2013):

Ten eerste zal een bank Social Media moeten monitoren. Een bank dient te leren wat een consument produceert en deel, wat ze consumeren en of ze zich online groeperen. Zo krijgt een bank inzicht in hoe een consument met de producten of dienstverlening van een bank omgaat. Hiernaast houdt je door middel van monitoren concurrenten als substituten van de bank in de gaten.

Ten tweede, zal een bank de verworven inzichten moeten vertalen in acties, zoals productinnovaties en het verbeteren van dienstverlening.

Ten derde, banken dienen hun organisatie op een dusdanige manier intern te organiseren dat zij voldoen aan de vereiste veranderingen die sociale media teweegbrengen. Alleen al monitoring vraagt om diverse capaciteiten die een bank niet altijd zelf beschikt, zoals softwareontwikkeling om te monitoren, tekst-mining om ongestructureerde tekst om te zetten in gestructureerde data, en analyse om inzichten uit de data te genereren (Dolen 2013). Het volume, de variatie en het tempo van informatietoevoer, maar ook privacy issues rondom monitoring maken dit proces nog complexer. Het gevolg is dat slechts 2% van de bedrijven zich in staat voelt om de juiste informatie op het juiste moment te kunnen verstrekken en om de juiste beslissing te kunnen nemen (Gartner, Coleman Parkes 2011).

Conclusie

Wat betekent Social Media voor grootbanken?

Het doel van het hoofdstuk was om elementen te identificeren die belangrijk zijn voor het Social Media audit referentiekader.

15

Deze elementen zijn op te delen in twee categorieën:

1. De risico’s van Social Media voor Nederlandse grootbanken: Social Media brengt voor grootbanken een aantal risico’s mee. Deze compliance-, reputatie- en operationele risico’s dienen geadresseerd te worden in een audit referentiekader.

2. Kritische succesfactoren voor succesvolle bijdrage van Social Media aan de bedrijfsdoelstellingen van een Nederlandse grootbank: om voor Social Media bij te dragen aan de doelstellingen van grootbanken dient aan 3 kritische succesfactoren te worden voldaan (zie figuur 3):

Figuur 4: Kritische succesfactoren Social Media

KSF

Een Social Media faciliterende interne organisatie

Effectief Social Media Monitoren

Vertaling van verworven inzichten naar nieuwe initiatieven

16

Hoofdstuk 3 Control Models Social Media Hoofdstuk 3 geeft antwoord op de volgende onderzoeksvraag: Welke management control systemen zijn geschikt om Social Media te beheersen?

In hoofdstuk 3 zal de theorie met betrekking tot management control worden verkend. Het doel zal zijn om control modellen te vinden die aansluiten op de elementen van Social Media uit hoofdstuk 2. Aan het einde van hoofdstuk 3 zal een beargumenteerde schifting gemaakt zijn van management control theorieën, die van toepassing zijn op Social Media.

Management Control

Management control is het doelbewust beïnvloeden van gedrag om bedrijfsdoelstellingen te behalen (Merchant en van der Stede 2007)Het gaat erom dat management de context van een werkomgeving op een dusdanige manier inricht, dat het gewenste gedrag door medewerkers wordt vertoond en hiermee bedrijfsdoelstellingen worden gehaald.

Management control adresseert 3 controle problemen (Merchant en van der Stede 2007):

1. Onvoldoende richting: een medewerker weet niet wat het gewenste resultaat moet zijn. 2. Onvoldoende motivatie: een medewerker voelt zich niet gedwongen om (tijdig) het

gewenste resultaat te leveren. 3. Onvoldoende kennis en kunde: een medewerker weet niet hoe hij/zij tot het gewenste

resultaat moet komen.

Er zijn een aantal oplossingen om deze problemen te adresseren. Je kunt de activiteit waar het controle probleem zich voordoet elimineren, automatiseren, centraliseren, risicodelen en beheersen. Het beheersen van controle probleem gebeurt door middel van management control systemen.

Een management control systeem is het verzamelen en gebruiken van informatie om het proces van planning en organisatorische plannings- en control beslissingen te coördineren en om richting te geven aan medewerker gedrag. Het doel van het systeem is om collectieve besluitvermogen binnen de organisatie te verbeteren (Horngren 2002).

Een management control systeem bestaat uit een verzameling van 4 soorten controls:

Action controls zijn direct gericht op beïnvloeding tot gewenst gedrag (bv werkinstructie en –voorschriften en beleid).

Result controls beïnvloeden gedrag indirect, namelijk door de medewerker aan te geven wat van hem/haar wordt verwacht.

Personnel controls omvatten alle maatregelen die er op gericht zijn dat medewerkers het gewenste gedrag ‘uit zichzelf’ vertonen.

Cultural controls zijn maatregelen om gedragsnormen van de organisatie (in bijvoorbeeld gemeenschappelijke waarden, tradities of ideologie) vorm te geven en om onderlinge beïnvloeding van gedrag door medewerkers te stimuleren.

Perfecte controle bestaat niet! Er ligt altijd een kosten/baten afweging aan ten grondslag. Er bestaan verschillende perspectieven op management control modellen. Deze perspectieven zijn over de tijd verder ontwikkeld. In bepaalde control modellen ligt de nadruk meer op action controls, terwijl in andere management control modellen cultural controls weer dominanter aanwezig zijn om gedrag aan te sturen. In figuur 4 zijn deze ontwikkeling in perspectieven samengevat (Quinn 1996).

17

Figuur 5: Ontwikkeling Control Modellen (Quinn 1996)

Rationeel doel

In deze categorie vallen de controlemodellen die de nadruk leggen op duidelijk richting om tot productief resultaat te komen. De nadruk in deze filosofie ligt op een rationele analyse en op duidelijke doelstellingen. Hoewel ook andere soorten controls van toepassing kunnen zijn wordt gedrag beïnvloed door de nadruk te leggen op result controls. Voorbeelden in deze categorie zijn controle modellen als Kwaliteit van Administratieve Dienstverlening (KAD) en de Business Score Card (BSC) (ten Have, ten Have en Stevens 2003). KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Via rationele analyse dient een organisatie/proces aangepast te worden zodat doel worden bereikt. Het BSC (financiële dimensie) heeft een duidelijke vooraf opgestelde doelstellingen. Een result control element in het BSC is het aanwijzen van causale relaties tussen klantperspectief en financieel resultaat. Het gedrag wordt beïnvloed door de financiële dimensie duidelijk te definiëren, waardoor een medewerker een klant beter gaat bedienen.

Hierbij dient opgemerkt te worden, dat het KAD en BSC/Strategy Maps modellen ook in de andere categorieën kunnen worden geplaatst. Dit komt omdat KAD en BSC ook kenmerken bezitten van de andere categorieën. Hiernaast kun je voor alle modellen twisten over de toekenning aan een categorie. Het gaat om het perspectief van de categorie en of dit toepasbaar als basis voor een referentiekader voor het auditen van Social Media.

Interne proces

Deze categorie wordt gekenmerkt door de focus op stabiliteit en routines. Dit leidt tot stabiele resultaten. Centraal staat de continuïteit van de organisatie/proces. COSO (ERM), KAD en de Plan-Do-Check-Act van Deming (Deming en Walton 1986) kun je aan deze categorie toekennen. De nadruk ligt hier op het verantwoordelijkheden vastleggen, metingen en documentatie. In COSO ERM bijvoorbeeld kan een testvraag zijn voor risk assessment of management (verantwoordelijkheid) zowel inherent- als rest risico overweegt en vastlegt. Hoewel ook andere controls van toepassing kunnen zijn, wordt gedrag beïnvloed door de nadruk te leggen op action controls. Voorbeelden van action controls zijn werk voorschriften en -beleid.

Rationeel doel Interne proces Human relations Open systemen

Criteria effectiviteit Productiviteit, winst Stabiliteit, continuïteitInzet, samenhang,

moreel

Aanpassingsvermogen,

externe ondersteuning

Doel-middelen-theorie

Duidelijke richting leidt

tot productieve

resultaten

Routines leiden tot

stabiliteit

Betrokkenheid leidt tot

inzet

Continue aanpassing en

innovatie leiden tot

verwerven van externe

middelen

Nadruk

Verduidelijking van

doelen, rationele analyse

en handelend optreden

Verantwoordelijkheden

vastleggen, metingen en

documentatie

Participatie, oplossen

van conflicten,

consensus bereiken

Politieke aanpassing,

creatieve probleem-

oplossing, innovatie,

mngmt van verandering

KlimaatRationele economie: de

eindresultatenHiërarchisch Teamgericht Innovatief, flexibel

Grond-leggers Taylor Fayol, WeberCarnegie, Barnard, Mayo

(Hawthorne)Mintzberg e.a.

Voorbeeld control

modelBSC/Strategy Maps, KAD

COSO ERM, KAD,

Deming, BSC/Strategy

Maps

Belbin team roles,

BSC/Strategy Maps,

Levers of control, 5

krachten model

BSC/Strategy maps, 5

krachten model, De

Caluwe, 8 phases of

change, COSO ERM

18

Human relations

Deze categorie is meer mensgericht dan de categorieën intern proces en rationeel doel. Het idee is dat betrokkenheid van de medewerkers zorgt voor inzet en hiermee doelstellingen behaald worden. Het gaat in deze categorie control modellen om consensus bereiken en het oplossen van conflicten. Control modellen als de Levers of Control, 5 krachten van Caluwe (ten Have, ten Have and Stevens 2003)) vallen in deze categorie. Hoewel ook andere controls van toepassing kunnen zijn ligt in deze categorie de nadruk op personnel controls en cultural controls om gedrag te beïnvloeden.

Als voorbeeld van een personnel control bij het control model Levers of Control (ten Have, ten Have and Stevens 2003) is dat suggesties van trainingen van de werkvloer komen. Deze control zorgt ervoor dat medewerkers gedrag “uit zichzelf” vertonen. Een voorbeeld van een cultural control in dit model is de overtuiging dat fouten maken nuttige leerervaringen zijn. Deze controls hebben als doel om gedrag te beïnvloeden om een teamgericht klimaat te creëren.

Open systemen

Deze categorie control modellen hebben als doel om het aanpassingsvermogen van een organisatie te maximaliseren. Het gaat hier om dat je je kunt aanpassen aan een externe omgeving. Controle modellen als management of change, 8 fases of change en BSC/Strategy Maps vallen in deze categorie (ten Have, ten Have en Stevens 2003). Hoewel ook andere controls van toepassing zijn, ligt in deze categorie de nadruk ook op personnel & cultural controls. Het verschil met de human relations categorie is dat bij open systemen de doelstelling niet zozeer het verhogen van de inzet, participatie en moreel van medewerkers is. Bij open systemen is het doel het aanpassen aan de externe omgeving door flexibel en innovatief op te stellen. In de 8 phases of change kan de personnel control het creëren van een gevoel van urgentie zijn. Op deze manier zorg je dat medewerkers gedrag “uit zichzelf” vertonen voor de toekomstige verandering. De cultural control kan het belonen van nieuw gedrag zijn in de gewenste eindsituatie van een verandering.

Control Modellen voor Social Media Audit

Welke controle modellen zijn nu toepasbaar op de elementen van Social Media voor Nederlandse grootbanken? Het doel van de Social Media is om effectief bij te dragen aan de bedrijfsdoelstellingen. De drie kritische succesfactoren voor een succesvolle bijdrage aan bedrijfsdoelstellingen van een Nederlandse grootbank zijn:


Effectief Social Media monitoren

Vertaling van verworven inzichten naar nieuwe initiatieven

Per kritische succesfactor zal nu een beargumenteerde keuze gemaakt worden voor het meest geschikte control model.


Een interne Social Media faciliterende organisatie dient als fundament voor het bereiken van doelstellingen van Social Media. Het doel van deze interne organisatie is om als fundament te dienen zodat Social Media monitoring en het verwerven van nieuwe inzichten gefaciliteerd kan worden. Deze interne organisatie bestaat uit een cultuur, doelstellingen, governance structuren, geformuleerde strategieën en effectieve processen.

Rationeel doel: een Social Media faciliterende interne organisatie kan de nadruk hebben liggen op verduidelijking van doelen. Een Social Media afdeling kan bijvoorbeeld als duidelijk doel hebben het werving en selectie van talent. Wanneer er Social Media campagnes gestart worden dienen deze

19

d.m.v. rationele analyse op resultaat te worden beoordeeld. In dit geval staat de interne organisatie in dienst van efficiënte processen en productiviteit. Het doel van deze interne organisatie is om Social Media monitoring en het verwerven van nieuwe inzichten te ondersteunen Deze categorie lijkt aan te sluiten om een Social Media faciliterende organisatie te beheersen.

Human relations: Een Social Media interne organisatie dient als fundament voor het bereiken van doelstellingen. De human relations categorie focust op participatie van medewerkers en het bereiken van consensus. In deze categorie gaat het om het teamverband, betrokkenheid en inzet. Dit kan te maken hebben met culturele eigenschappen van een Social Media afdeling, maar ook dat medewerkers “uit zichzelf” wenselijk gedrag gaan vertonen als het gaat om Social Media gebruik. Een interne Social Media faciliterende organisatie is meer dan alleen cultuur om tot consensus te komen. Het omvat ook het bepalen van doelstellingen, opzetten van governance structuren e.d. Human relations lijkt niet het juiste controle modellen te bevatten voor de beheersing van een interne faciliterende organisatie, omdat deze modellen de focus hebben op de beheersing van het optimaal functioneren van een team in plaats van op beheersen van de inrichting van een interne organisatie.

Open systemen: Een Social Media intern faciliterende organisatie gaat om gedegen governance structuren, geformuleerde strategieën, effectieve processen. Het doel is om een fundament te creëren, waardoor Social Media monitoring en verwerving van inzichten gefaciliteerd wordt. De modellen in de categorie open systemen hebben het doel van de beheersing van een continue aanpassing en/of verandering. De doelstelling van open systemen staat juist haaks op wat een fundament wilt creëren: stabiliteit. Het doel van een interne organisatie is om Social Media te faciliteren, niet om flexibel aan te passen aan een externe omgeving.

Intern proces: de controle modellen in deze categorie ligt de focus in de beheersing van stabiliteit en continuïteit. Een interne organisatie dient als fundament en de beheersing van dit fundament lijkt aan te sluiten bij de doelstellingen.

De categorieën rationeel doel en intern proces de control modellen bevatten voor het beheersen van de KSF een Social Media faciliterende organisatie. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM en de Deming cycle. KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Dit wordt meer gebruikt om processen te analyseren en lijkt minder geschikt voor de beheersing van de inrichting van een interne organisatie. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker. KAD is toegespitst op gegevensverwerkende processen, maar het beschermen van een bank merk of beleid bepalen hoe medewerkers met Social Media om moeten gaan is niet een gegevensverwerkend proces.

De BSC/Strategy maps is een model om via causale verbanden strategische doelen en visie te bereiken. Hoewel de “interne business proces” en “customer” dimensie ook toepasbaar zijn op de interne organisatie van Social Media gaat het in het BSC om een direct financieel doel. Een interne organisatie die Social Media faciliteert hoeft niet direct een financieel doel te ondersteunen.

De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. Hoewel de Deming cycle gebruikt kan worden om een interne omgeving te beheersen, adresseert de Deming cycle niet de interne omgeving (cultuur) van een Social Media faciliterende omgeving.

20

COSO ERM kan gebruikt worden om de interne organisatie te beheersen. De reden waarom voor COSO ERM wordt gekozen:

1. Interne omgeving: een Social Media faciliterende omgeving dient ook het risicobewust zijn van medewerkers t.a.v. Social Media te faciliteren.

2. Strategisch bereik: Social Media heeft als doel om bij te dragen aan bedrijfsdoelstellingen. COSO ERM gaat in op strategische doelstellingen en de afgeleide hiervan;

3. Doelformulering: Social Media voor verschillende doelen gebruikt worden. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.

4. Identificatie van interne en externe gebeurtenissen: Social Media binnen grootbanken heeft gevolgen voor zowel de interne organisatie (wat mag een medewerker wel/niet) als voor externe gebeurtenissen (hoe gaat een grootbank communiceren op Social Media). COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.

5. Risico-response: Negatieve publiciteit kan via Social Media snel escaleren. COSO ERM gaat in op het selecteren van de beste risico mitigerende factoren.

6. COSO IC: het succes van Social Media is gebaat bij effectieve en efficiënte processen en voor grootbanken is het belangrijk dat aan weten regelgeving wordt voldaan. COSO ERM is de uitbreiding van COSO IC. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.

Voor risico beheersing van de interne organisatie geef ik de voorkeur aan COSO ERM.

Effectief Social Media Monitoren

Effectief monitoren van Social Media is als grootbank luisteren naar online gesprekken tussen de bank en stakeholders, de concurrenten en de industrie. Hiernaast dient het online monitoren voor grootbanken ook voor reputatiemanagement. Het doel is het puur het verwerven van inzichten via applicaties die kunnen bijdragen aan bankdoelstellingen.

Rationeel doel: het gaat bij monitoren niet (direct) om bij te dragen aan de winst van de bank. Het gaat er juist om dat je als bank erachter komt welke gesprekken er online worden gevoerd, die voor jou van toepassing zijn. Aan de hand van het gemeten sentiment kun je door slimme analyses bekijken wat dit voor de bank betekent. Productiviteit door middel van rationele analyses lijkt aan te sluiten op de doelstellingen van monitoren. De modellen in de categorie “rationeel doel” zijn toepasbaar voor de beheersing van de KSF effectief Media monitoren.

Human relations: Effectief monitoren heeft als doel het effectief verwerven van inzichten via applicaties en ook heeft het niet als doel om inzet, moreel en betrokkenheid te creëren (human relations). De beheersing in de modellen in deze categorie zijn niet toepasbaar op deze KSF.

Open systemen: Effectief monitoren betreft het verwerven van inzichten. Op basis van deze inzichten zou je kunnen besluiten om een aanpassing in strategie door te voeren. Echter, bij de KSF effectief monitoren gaat het niet om de verandering te ondersteunen; het gaat puur om het verzamelen en het komen tot inzichten. Wat verder met deze inzichten wordt gedaan is bij deze KSF niet aan de orde. Het modellen van “open systemen” hebben als doel flexibiliteit, aanpassingsvermogen en verandering te beheersen. Effectief monitoren gaat niet om verandering. De modellen in deze categorie zijn niet toepasbaar op deze KSF.

Intern proces: de controle modellen in deze categorie ligt de focus in de beheersing van stabiliteit en continuïteit. Effectief monitoren gaat erom dat je via een aantal monitoring tools metingen verricht op Social Media. Hiervoor dienen routines en beleid opgesteld te worden op welke manier gemonitord en aan welke voorwaarden de monitoring dient te voldoen. Monitoren van Social Media kan ook leiden tot inzicht in het sentiment dat rond een grootbank en haar industrie heerst. Uit

21

interviews bleek dat periodieke rapportages van dit sentiment met hoger management worden gedeeld.

De modellen in deze categorie zijn toepasbaar op deze KSF.

De categorieën rationeel doel en intern proces de control modellen bevatten voor het beheersen van de KSF effectief monitoren. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM en de Deming cycle.

BSC/Strategy maps: het doel van effectief monitoren is het komen tot nieuwe inzichten voor de organisatie zelf. Bij BSC kun je de “interne business proces” en “customer” dimensie ook toepassen. Je kunt redeneren dat nieuwe inzichten de waarde is die door het business proces van monitoren voor een interne stakeholder wordt gecreëerd. BSC gaat niet in op risicovolle externe gebeurtenissen.

KAD: KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker.

Deming cycle: De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. De Deming cycle is een uitstekend model om Social Media monitoring te beheersen. De verworven inzichten van het monitoren kunnen gebruikt worden om de doelstellingen van Social Media monitoring weer aan te passen.

COSO ERM: COSO ERM kan als adequaat controle model gebruikt worden:

1. Doelformulering: voor Social Media monitoren zullen doelen gedefinieerd moeten worden. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.

2. Identificatie van interne en externe gebeurtenissen: via Social Media monitoren kunnen gebeurtenissen ontdekt worden die hoge prioriteit nodig hebben. Als je merkt dat er binnen 30 minuten 200 ge-retweet wordt dat spaargeld bij jouw bank niet veilig staat, dan is het zaak hier in te grijpen. COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.

3. Risico-response: ook voor Social Media monitoren dienen reacties op risico’s gedefinieerd te worden. In hoeverre kan er worden gereageerd op negatieve berichtgeving over een grootbank? COSO ERM gaat in op het selecteren van de beste risico reacties.

COSO IC: Social Media monitoren is een proces dat zelf ook geëvalueerd en gecontroleerd moet worden, wat leidt tot effectieve en efficiënte monitoring processen. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.Voor de risicobeheersing van effectief Social Media monitoren geef ik de voorkeur aan COSO ERM, omdat dit expliciet de identificatie van interne en externe gebeurtenissen adresseert. Reputatierisico is een groot risico voor grotbanken en wordt bij COSO ERM beheerst ook o.a. door het onderdeel risico-response.

Vertaling van verworven inzichten naar acties

Nieuwe bankproducten en verbeterde dienstverlening komen alleen tot stand als hier reden tot is. Deze reden kan zijn dat de huidige dienstverlening of productenpalet niet volledig voldoet aan de behoefte van de klant van de bank. Aan de hand van verworven inzichten via Social Media kunnen er nieuwe mogelijkheden verkend worden. Dit kan een aanzet zijn tot nieuwe Social Media initiatieven, zoals nieuwe campagnes. Als een grootbank bij een groot deel van haar volgers op twitter opmerkt, dat zij op wintersportvakantie gaan, dan kan dit aanleiding zijn om via twitter een kortingsactie op reisverzekeringen op te starten. Bij deze kortingsactie zou dan speciaal gewezen kunnen worden, dat

22

ski materiaal ook verzekerd is. Dit kan een voorbeeld zijn van een actie zijn wanneer de doelstelling is om Social Media in te zetten om product verkoop te ondersteunen.

Social Media kan ook wervingsdoeleinden ondersteunen. Een grootbank kan tot inzicht komt via Linkedin, dat er hoog verloop van personeel is bij een groot accountants kantoor. Met dit inzicht kan er een campagne gestart worden om accountants vacatures van een grootbank expliciet te plaatsen op de Linkedin-tijdlijn van (ex)medewerkers van dit accountants kantoor.

Het opzetten van nieuwe initiatieven zorgt ervoor dat Social Media steeds effectiever gaat bijdragen aan de bedrijfsdoelstellingen van een grootbank.

Rationeel doel: Naar mijn mening ligt de interne beheersing van het komen tot nieuwe inzichten niet in het bijdragen aan productiviteit zoals in de categorie rationeel doel. Een vooropgestelde richting of doel hoe het nieuwe initiatief eruit zal zien is juist onbekend. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.

Human relations: Ook gaat het bij deze KSF niet over het scheppen van moreel, inzet en betrokkenheid van medewerkers. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.

Intern proces: Stabiliteit en continuïteit van het proces is hier wel op van toepassing zijn. Belangrijke kaders zoals beleid, doelstellingen, documentatie zullen ook hier vormgegeven moeten worden. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.

Open systemen: het gaat bij de vertaling van verworven inzichten naar acties om dat er aangepast wordt aan een externe omgeving. Het gaat hier om continu aanpassing, flexibiliteit en creatieve probleem oplossing. Bij deze KSF gaat het om flexibiliteit en innovatief zijn. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.

De categorieën open systemen en intern proces bevatten de control modellen voor het beheersen van de KSF Vertaling van verworven inzichten naar acties. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM, Deming cycle, 5 krachten van Caluwe, 8 phases of change en het INK model.

KAD: KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker. Hiernaast is van tevoren niet een duidelijk doel te bepalen voor een nieuw initiatief. Het KAD model gaat in zijn analyse altijd wel uit van een vooropgesteld duidelijk doel van een proces. Tot een nieuw inzicht komen heeft niet een vooropgezet duidelijk doel. KAD lijkt niet als beheersmodel geschikt voor deze KSF.

Deming cycle: De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. Ook hier gaat met uit van een vooropgestelde concrete doelstelling, die vervolgens via de PDCA cyclus wordt aangepast. Het gaat juist bij deze KSF om het tot stand komen van het doel. De Deming cycle lijkt niet als control model voor deze KSF geschikt.

5 krachten model: In het 5 krachten model gaat het om de 5 krachten om een verandering te laten slagen: urgentie, ambitie, planning, interactie en leiderschap. Voor het vertalen van inzichten in nieuwe initiatieven kan er op weerstand gestuit worden. Dit model adresseert deze weerstand om tot een nieuwe situatie te komen. Echter, ook hier wordt een voorafgaande streefsituatie

23

gedefinieerd. Het gaat juist bij het opzetten van nieuwe actie in het bepalen van deze nieuwe actie; niet om het proces ernaar toe enkel te faciliteren. Dit model kan niet gebruikt worden voor deze KSF.

De Caluwe: De verander strategieën heeft 5 kleuren. Hierbij gaat het om dat mensen/dingen veranderen door verschillende strategieën (kleuren) toe te passen. Ook bij dit model ligt de focus erg op het “hoe” terwijl het vertalen van inzichten naar nieuwe acties juist gaat om het “wat”. Het is belangrijk bij deze KSF om te adresseren of de juiste nieuwe acties tot stand komen a.d.h.v. verworven inzichten, niet perse hoe deze tot stand komen. Dit model kan niet gebruikt worden voor deze KSF.

8 phases of change: Bij de 8 phases of change gaat het ook om hoe je een succesvolle verandering tot stand brengt. Ook hier wordt een nieuwe eind situatie geschetst met 8 fases van best-practices om tot deze eindsituatie te komen. De KSF vertalen van inzichten naar nieuwe acties gaat om het definiëren van die nieuwe eindsituatie. Dit model kan niet gebruikt worden voor deze KSF.

COSO ERM kan hier als basis gebruikt worden:

1. Doelformulering: Het creëren van nieuwe initiatieven is een continu proces. Er dienen nieuwe korte termijn kansen geïdentificeerd te worden die in lijn staan met de bank doelstellingen. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.

2. Identificatie van interne en externe gebeurtenissen: een nieuw initiatief kan gevolgen hebben voor een andere afdeling binnen een grootbank. Deze zou op de hoogte gesteld moeten worden. COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.

3. Risk assessment: Bij het formuleren van nieuwe initiatieven zouden de risico’s besproken moeten worden per nieuw initiatief. COSO ERM gaat in op risk-assessment.

4. Risico-response: Nieuwe initiatieven kunnen negatief gewaardeerd worden door de online gemeenschap en kan snel escaleren. COSO ERM gaat in op het selecteren van de beste risico mitigerende factoren.

5. COSO IC: het succes van Social Media is gebaat bij effectieve en efficiënte processen en voor grootbanken is het belangrijk dat aan weten regelgeving wordt voldaan. COSO ERM is de uitbreiding van COSO IC. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.

BSC/Strategy Maps: Het Business Scorecard behoort tot de categorie open systemen. In dit model zijn 4 perspectieven gedefinieerd, die causale verbanden met elkaar hebben. Het leer en groei vermogen perspectief van het Business Score Card model kan als controle model toegepast worden bij het creëren van nieuwe initiatieven. Bij het leer en groei perspectief gaat het om human capital, organizational capital en information capital. Human capital is de meerwaarde van de kennis en kunde van de medewerkers, organizational capital is de meerwaarde van organisatie structuren en information capital is de meerwaarde van informatie binnen een organisatie. Het gaat erom dat deze meerwaarde ingezet worden om tot leren en groei te komen. Deze 3 soorten kapitaal kunnen ingezet worden om nieuwe acties te definiëren. Voor het creëren van nieuwe initiatieven voor Social Media heb je kennis en kunde nodig van de medewerkers om tot nieuwe ideeën te komen. Hiernaast heeft een medewerker de monitoringsinformatie (information capital) nodig om tot deze nieuwe ideeën te komen. Het gaat erom hoe dit information capital wordt geïnterpreteerd. Hiernaast dient een medewerker niet belemmerd door organisatiestructuren in het bedenken en implementeren van nieuwe initiatieven.

Voor de risico beheersing van het vertalen van verworven inzichten in nieuwe initiatieven geef ik de voorkeur aan COSO ERM en het leer en groei perspectief van het BSC model.

24

Conclusie

Welke management control systemen zijn geschikt om Social Media te beheersen?

In dit hoofdstuk zijn per KSF van Social Media geschikte control modellen besproken. Allereerst is een schifting gemaakt op basis van categorie referentiemodellen. Vervolgens is per referentiemodel bekeken of deze geschikt is voor de KSF. Figuur 6 geeft een overzicht welke control modellen geschikt zouden zijn per KSF.

Figuur 6: kritische succesfactoren Social Media met controle model

Er kunnen meerdere control modellen toegepast worden op de verschillende KSF. Echter, de meest geschikte voor de KSF een Social Media faciliterende interne organisatie is COSO ERM. Voor de KSF effectief Social Media monitoren is COSO ERM. Voor de KSF vertaling van verworven inzichten naar acties zijn COSO ERM en BSC.

KSF Controle modellen

Een Social Media faciliterende interne organisatie Rationeel doel + Intern proces: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle

Effectief Social Media Monitoren Rationeel doel + Intern proces: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle

Vertaling van verworven inzichten naar acties Intern proces + Open systemen: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle, 5

krachten model, De Caluwe, 8 phases of change

25

Hoofdstuk 4 Bestaande Audit Referentiekaders ISCACA & IIA Hoofdstuk geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?

De bestaande audit referentiekaders voor Social Media van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) worden geanalyseerd.De twee referentie kaders zullen worden beoordeeld of deze aansluiten bij de KSF van Social Media. Uit deze twee Social Media audit referentiekaders zal een selectie gemaakt worden welke onderdelen mee kunnen worden genomen in het theoretische audit referentiekader voor Social Media voor grootbanken. Het IIA en het ISACA instituut worden mondiaal geaccepteerd en erkend door audit professionals. De Social Media referentiekaders van het IIA en ISACA behoren tot de geaccepteerde audit industrie norm en vertegenwoordigen hoge professionele audit standaarden. Andere soortgelijke Social Media audit referentiekaders zijn niet beschikbaar en/of kunnen niet als internationale maatstaf gebruikt worden. Daarom zullen het IIA en ISACA Social Media referentiekaders als benchmark dienen.

ISACA Social Media/Assurance Program

Het Information Systems Audit and Control Association (ISACA) heeft in 2011 het Social Media Audit/Assurance Program ontwikkeld met als doel IT audit en assurance professionals te helpen hun assurance doelstellingen te behalen. Het ISACA Audit programma is in lijn met de het ISACA COBIT framework (COBIT 4.1). COBIT is een raamwerk voor de governance van IT en ondersteunt managers om een balans te vinden tussen control vereisten, technische issues en bedrijfsrisico’s. In het Audit/Assurance programma wordt bij enkele teststappen verwezen naar de desbetreffende COBIT control objectives om uiteindelijk een Maturity assessment uit te voeren.

Hiernaast zijn in dit framework elementen van COSO Internal Control Framework opgenomen. Centrale elementen in dit model zijn Governance, Risk management en de controle van IT met betrekking tot Social Media.

Het doel van het ISACA Social Media audit programma is om de controle maatregelen met betrekking tot social media beleid en processen onafhankelijk te kunnen toetsen. De scope van het ISACA Social Media audit programma ligt op strategie en governance, personeel, procedures en technologie m.b.t. social media. Het ISACA audit programma heeft 4 hoofdonderdelen met subonderdelen. Dit raamwerk is afgeleid van ISACA's Business Model for Information Security (BMIS) (ISACA 2010) en omvat in hoofdlijnen:

1. Strategie en Governance – raamwerk voor (continu) risk management a. Risk management b. Ongoing risk assessment

2. Policy a. Bestaan van beleid, inhoudelijke beleid standaarden, interne communicatie b. Contractor Social Media policy: extern Social Media beleid.

3. Personeel – training en bewustzijn a. HR functie b. Training en bewustzijn c. Staffing

4. Social Media Processen a. Alignment met andere bedrijfsprocessen b. Merk bescherming c. Logische toegangsbeveiliging van bedrijfsdata via social media. d. Logische toegangsbeveiliging van Social Media applicaties.

5. Technology

26

a. IT infrastructuur b. Monitoren Social Media en hun effect op technologie.

IIA

Scott & Jacka (2011) hebben vanuit the Institute of Internal Auditors Research Foundation een Risk en Governance Guide geschreven met betrekking tot het auditen van Social Media. Zij geven aan dat er nog geen consensus bestaat over de definitie van Social Media. Scott & Jacka (2011) hanteren de definitie dat Social Media een set van internet-gebaseerde uitzend technologieën zijn, die zorgt voor democratisering van inhoud, waardoor personen de mogelijkheid krijgen om zich te ontwikkelen van een consument van inhoud, naar het publiceren van inhoud.

Scott & Jacka (2011) leggen de nadruk op het formuleren van een Social Media strategie en expliciet de toegevoegde waarde definiëren voor de onderneming. Social Media dient ingezet te worden om bedrijfsdoelstellingen te realiseren. De onderdelen uit het IIA Social Media referentiemodel zijn (Scott en Jacka 2011):

1. Social Media Governance and Oversight a. Executive oversight: Raad van Bestuur, Social Media Comité en senior management

betrokkenheid in Social Media oversight; b. Social Media charter, doel en doelstellingen;

2. Social Media Visie a. Visie sluit aan bij bedrijfsdoelstellingen en strategie; b. Alle kanalen/stakeholders/beoogde markten/beoogde relaties/beoogde

engagement zijn (h)erkend; 3. Social Media Strategy

a. Aansluiting bij bedrijfsdoelstellingen: (keuze voor) Strategische doelstellingen, kanalen, stakeholders, style, frequentie, consistentie van berichtgeving

b. Beoogde limitatie; c. Resource allocatie; d. Vendor management

4. Social Media Executie a. Rollen en verantwoordelijkheden, reporting lines, oversight, job & educatie

vaardigheden, metrics, supervisie binnen afdelingen, quality assurance. 5. Social Media Metrics

a. Meetinstrumenten om succes van Social Media initiatieven te meten 6. Monitoring van Social Media

a. Juiste monitoring systemen, plannen, richtlijnen voor gevoeligheden, geïdentificeerde monitoring onderwerpen, escalatie procedure, reactie tijden.

7. Social Media Training 8. Social Media Policy

a. Inhoud en communicatie van Social Media beleid als interne en externe richtlijn. 9. Regulatory and Compliance

a. Overzicht van relevante weten regelgeving m.b.t. Social Media. b. Resultaten en implementatie van uitgevoerde risk assessments op verschillende

niveaus m.b.t. weten regelgeving.

Hoewel Scott & Jacka (2011) dit niet expliciet aangeven in hun boek, lijken de onderdelen van het IIA model aan te sluiten op de onderdelen van COSO ERM. Onderstaand een aantal voorbeelden:

Er is aandacht voor de strategische aansluiting van onderdelen.

Interne omgeving: Senior management is aangesloten en is zorgdrager voor de cultuur.

27

Formuleren van doelstellingen: bij elk onderdeel is er aandacht voor het formuleren van doelstellingen.

Identificeren van gebeurtenissen: Vendor management wordt als een onderdeel gezien met een verhoogd risico.

Risico beoordeling: risk assessments worden bij verschillende onderdelen uitgevoerd en senior management wordt geïnformeerd over risico’s.

Reactie op risico: bij het monitoren zijn escalatie richtlijnen voor gevoeligheden ontwikkeld.

Beheersactiviteiten: policy, charter, gedefinieerde rollen en verantwoordelijkheden.

Informatie en communicatie: communicatie lijnen naar senior management zijn ingeregeld; weten regelgeving.

Bewaking: rapportage van bevindingen aan Raad van Bestuur en oversight comité.

Verschil en overeenkomsten ISACA en IIA

Het lijkt alsof het IIA referentiekader (9 onderdelen) meer omvat dan het ISACA (5 onderdelen). Figuur 7 geeft in het groen aan welke onderdelen in het ISACA en IIA referentiekaders overlappen. In het rood is aangegeven waar het ISACA en IIA verschillen.

Figuur 7: Verschil en overeenkomsten referentiekaders ISACA en IIA

Overeenkomsten

Over het algemeen zijn de onderdelen Governance, Strategy, Policy, Personeel & Processes ook vertegenwoordigd in het IIA model. De organisatie opzet wordt in beide modellen getoetst. Er is aandacht voor strategie, governance, beleidsonderdelen, training van personeel en belangrijke processen als reputatiemanagement.

Het IIA groepeert de onderdelen op een andere manier dan het ISACA. Het IIA hanteert een duidelijk top-down benadering. Naar mijn mening zijn bij het ISACA kader alle toets onderdelen wel aanwezig, maar lopen de onderwerpen door elkaar. De governance teststep bij ISACA is ook onderdeel van Social Media Processes, terwijl bij het Governance & Strategy onderdeel de focus sterk ligt op risk management. Bij Governance zou je meer toetsing van organisatieopzet verwachten. Als je kijkt naar de verschillende test stappen, dan wordt duidelijk dat per onderdeel de governance getoetst wordt en niet alleen bij Strategie en Governance.

Naar mijn mening is het IIA model logischer vormgegeven en is daardoor relatief makkelijker te volgen. Hoewel onderdelen overlappen, hebben het IIA en ISACA kader hun onderdelen soms anders ingevuld:

Risk management: Het ISACA model gaat goed in op risk management. Het definieert een duidelijke teststep voor risk assessment, maar ook voor wanneer er een risk re-assessment uitgevoerd dient te worden. Het IIA gaat in op dat risico’s gecommuniceerd moeten worden naar stakeholders, maar schrijven geen voorwaarde voor een risk re-assessment. Het ISACA kader vult deze voorwaarde wel in: bij verandering van Social Media technologie.

28

Staffing: ISACA toetst de mate van staffing om service levels op het juiste niveau te houden. Het IIA heeft deze test stap niet.

Externe Contractors: In het ISACA kader wordt ingegaan op het managen van externe contractors. Hierbij valt te denken aan bedrijven, waar een grootbank onderdelen van Social Media aan uitbesteed. Wanneer een contractor iets verkeerds doet, dan zal de grootbank reputatieschade lijden en niet de contractor. Het IIA adresseert dit onvoldoende.

Reputatie: Reputatiemanagement wordt in het ISACA model explicieter aandacht aan gegeven.

Monitoring: ISACA gaat in op dummy profiles. Dit zijn mensen die zich op Social Media voordoen als een iemand anders. Dit risico wordt niet heel expliciet in het IIA kader genoemd. Een dummy profile dat zich voordoet als een grootbank is een groot risico.

Verschillen

Het voornaamste operationele risico van Social Media ligt in het gebruik van IT technologie. Het IIA besteedt hier geen aandacht aan. De identificatie, monitoring en management van IT-risico’s ligt buiten scope van het IIA. Uitgangspunt van het IIA is dat sociologische en psychologische factoren het succes en daarmee ook de belangrijkste risico’s vormen van Social Media. Social Media is niet enkel een technologische tool, maar primair een communicatietool. De aanname van bij het IIA kader is dat de beheersing van IT-risico’s een noodzakelijk onderdeel is van Social Media, maar omvat niet anders dan de beheersing van IT-risico’s als IT-general controls, application controls, (IT-dependent) manual controls, en functiescheiding. Bestaande benaderingen vanuit een IT-risk assessment zouden adequaat zijn om deze vorm van internal control te ondervangen (Scott and Jacka 2011).

Een van de risico’s van Social Media kan zijn dat klant- of bank gevoelige data via Social Media onbedoeld gepubliceerd wordt. Ook zou het Twitter account kunnen worden overgenomen via een hack en zo klanten kunnen benadelen. Ook wil je dat de tooling voor monitoring niet zonder medeweten zogenaamde “key terms” wist/veranderd of dat zonder medeweten notificatie instellingen aangepast worden. Dit kan grote gevolgen hebben voor de reputatie van een grootbank en zorgt ervoor dat Social Media niet effectief kan zijn. In de IT zullen waarborgen geplaatst moeten worden voor vertrouwelijkheid, beschikbaarheid en integriteit.

Het technologie onderdeel van het ISACA kader is daarom een goede aanvulling op het IIA model. Vooral de logische toegangsbeveiliging van bedrijfsdata via Social Media en de logische toegangsbeveiliging van Social Media zelf zijn essentiële controle maatregelen.

Waar het ISACA referentiekader kan worden aangevuld is op social media metrics en regulatory & compliance.

Social Media Metrics: Het ISACA kader gaat niet in op hoe succes van social media initiatieven gemeten dienen te worden. Social Media wordt immers ingezet om bedrijfsdoelstellingen te realiseren. Bedrijfsdoelstellingen dienen in meetbare indicatoren voor Social Media omgezet te worden. Het IIA kader gaat in op de opzet, bestaan en werking van deze meetinstrumenten en heeft speciaal aandacht voor de juistheid en volledigheid.

Wet en –regelgeving: Het ISACA kader besteedt geen aandacht aan regulatory & compliance. Wellicht is de oorzaak hiervoor een focus op IT-beheersing. Voor grootbanken is dit echter van zeer groot belang.

Conclusie

Hoofdstuk geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?

29

In dit hoofdstuk zijn de bestaande audit referentiekaders voor Social Media van ISACA en het IIA voor Social Media geanalyseerd. Het doel was om onderdelen te vinden voor het formuleren van een audit referentiekader.

Beide referentiekaders kun je gebruiken voor een audit op Social Media. Het ISACA model is gebaseerd op COBIT en COSO IC. Het IIA model vertoont overeenkomsten met COSO ERM.

Het IIA kader is uitgebreider en heeft een logische opbouw. De strategy en governance onderdelen zijn sterk vertegenwoordigd, alsmede de focus op monitoren en weten regelgeving. Dit maakt het IIA kader sterk om als uitgangspunt te nemen voor het referentiekader van Social Media voor grootbanken. Echter, een groot gemis zijn controle maatregelen voor IT. Ik ben van mening dat veel mitigerende maatregelen in IT processen te ondervangen zijn. Deze Social Media IT processen moeten daarom ook onderdeel zijn van het referentiekader voor grootbanken.

Het ISACA referentiekader is sterk gefocust op de IT governance van Social Media. Dit is noodzakelijk, omdat IT een belangrijk component is in het succes en risico’s van Social Media. Voor het referentiemodel voor een Social Media audit voor grootbanken mis ik in het ISACA model een aantal essentiële onderdelen als het gebruik van de juiste meetinstrumenten en de aandacht voor weten regelgeving.

Hiernaast vind ik de opbouw van het IIA kader logischer, omdat bij het IIA kader in de Governance teststep ook daadwerkelijk governance getest wordt. Het IIA kader ligt ook meer in lijn met COSO ERM. COSO ERM was ook de keuze om de 3 kritische succesfactoren (interne organisatie van Social Media; effectief Social Media monitoring; vertaling verworven inzichten naar nieuwe initiatieven) te beheersen. Daarom zal het IIA model als basis genomen worden met noodzakelijke aanvullen uit het ISACA kader.

Het referentiemodel voor de social media audit voor grootbank zal uit de volgende onderdelen bestaan:

Onderdelen uit het IIA model:

1. Social Media Governance and Oversight 2. Social Media Visie 3. Social Media Strategy 4. Social Media Executie 5. Social Media Metrics 6. Monitoring van Social Media 7. Social Media Training 8. Social Media Policy 9. Regulatory and Compliance

Onderdeel uit het ISACA model:

10. IT-technologie (hieronder valt ook o.a. logische toegangsbeveiliging)

De eerste kritische succesfactor voor Social Media (een faciliterende interne organisatie voor Social Media) wordt behandeld met de onderdelen 1 t/m 5 en 7 t/m 9 uit het IIA model en onderdeel 10 ISACA model. De tweede kritische succesfactor (effectief Social Media monitoren) wordt behandeld door het onderdeel 6.

Echter, de derde kritische succes factor (verworven inzichten vertalen naar nieuwe initiatieven) wordt onvoldoende behandeld in zowel het IIA model als het ISACA model. In het boek van Scott & Jacka (2011) wordt wel ingegaan op learning, maar vervolgens in het referentiekader van het IIA zijn

30

hiervoor niet expliciet teststeps gedefinieerd. In het IIA model zijn er teststeps die voorschrijven een risico assessment uit te voeren bij nieuwe Social Media initiatieven, maar deze gaan niet in op de tot stand koming van deze nieuwe Social Media initiatieven. Ook in het ISACA model bevindt zich een teststep waarbij er “holistisch” naar de ontwikkelingen gekeken dient te worden. Naar mijn mening zijn de modellen van het IIA en ISACA goed te gebruiken als basis voor het theoretische referentiekader. Voor de KSF ,verworven inzichten vertalen naar acties, zal een nieuwe doel-risico-beheersmaatregel-teststap gedefinieerd te worden.

31

Hoofdstuk 5 Theoretisch Audit Referentiekader Social Media Hoofdstuk 5 en hoofdstuk 6 geven antwoord op de volgende deelvraag: Wat zijn de belangrijkste eisen voor het auditen van Social Media.

Hoofdstuk 5 zal een synthese zijn uit de eerdere hoofdstukken. Het doel is om een theoretisch audit referentiekader te ontwikkelen. In dit theoretisch audit referentiekader zijn onderdelen uit de referentiekaders van het IIA en ISACA toegevoegd. Het theoretisch referentiekader is in het Engels.

Kritische succes factoren als kapstok

De kritische succesfactoren voor het implementeren van Social Media zijn:

Een Social Media Faciliterende interne organisatie.

Effectief Social Media monitoren.

Vertaling van verworven inzichten naar acties.

Het referentiekader zal deze KSF’en als uitgangspunt nemen en hier aan de verschillende onderdelen

koppelen.

De opbouw van het referentiekader omvat onderdelen uit het IIA model en het ISACA model en is

opgebouwd als volgt (figuur 8):

Figuur 8: Kritische succesfactoren met onderdelen ISACA en IIA model

Een referentiemodel dient minimaal de volgende informatie te bevatten (Driessen and Molenkamp

2008): Processtap, doel (KSF), risico, beheersmaatregel. Het referentiemodel kan worden uitgebreid

met enkele kolommen (testdoelstelling, testaanpak, testresultaat, conclusies) waardoor een soort

werkprogramma of test plan ontstaat waarin kan worden vastgesteld hoe de werking van de

betreffende beheersingsmaatregelen is vastgesteld. Ik heb gekozen voor de volgende opbouw van

het theoretische referentiekader: KSF, onderdeel (processtap), doel, risico(s), beheersmaatregel,

teststap(pen). Zoals eerder aangegeven is de derde KSF, verworven inzichten vertalen naar nieuwe

initiatieven, onvoldoende geadresseerd in het IIA model en het ISACA model en zal een nieuwe doel-

risico-beheersmaatregel-teststap voor deze KSF ontwikkeld moeten worden.

32

Nieuwe Social Media Initiatieven - Doel

Het doel van nieuwe Social Media initiatieven ontplooien is dat inzichten van Social Media

monitoring worden gebruikt om nieuwe of verbeterde Social Media initiatieven te ontplooien.

Nieuwe Social Media Initiatieven - Risico

De risico’s zijn dat de grootbank niet inspeelt op relevante Social Media trends. Een tweede risico is

dat een grootbank zijn Social Media niet aanpast aan nieuw stakeholder gedrag. De gevolgen hiervan

zijn dat de huidige Social Media initiatieven niet bijdragen aan de doelstellingen van de bank omdat

de bank zich niet weet aan te passen aan veranderde omstandigheden en kansen gemist worden.

Nieuwe Social Media Initiatieven - Beheersmaatregel

In hoofdstuk 3 is beargumenteerd dat voor de beheersing van het derde KSF 2 control modellen

(COSO ERM + BSC Leer en groei) geschikt zijn. De vraag luidt op welke manier de beheersmaatregels

gedefinieerd moeten worden en vervolgens welke teststap vragen gesteld moeten worden.

Het antwoord kan verkregen worden door psychologie en sociale studies literatuur te bekijken. Uit

onderzoek is gebleken dat binnen organisaties het genereren van nieuwe inzichten onderworpen is

aan allerlei psychologische problemen zoals dominant logic1, representative heuristic2, confirmation

trap3, achoring4 (Bazerman & Moore, 2009; Prahalad & Krishnan, 2008; Prahalad & Bettis, 1996). Dit

zijn deze psychologische obstakels die in de weg staan van nieuwe inzichten.

Voor het beheersen van het proces van tot nieuwe inzichten komen, is het noodzakelijk om de

randvoorwaarden te scheppen als een beleid, rollen en verantwoordelijkheden, toezicht, procedures

e.d. Echter, de beheersing gaat ook om het adresseren van de psychologische obstakels. Het

wegnemen van deze psychologische obstakels is een belangrijke beheersmaatregel om effectief

nieuwe initiatieven te ontwikkelen.

Er zullen daarom ook 2 beheersmaatregels gedefinieerd worden in het theoretische referentiekader:

(1) Rollen en verantwoordelijkheden, toezicht, procedures, plannen en training voor nieuwe Social

Media initiatieven zijn duidelijk en gecommuniceerd. (2) Psychologische en sociale drempels voor

Social Media innovatie worden erkend en bediscussieerd.

Nieuwe Social Media Initiatieven – Teststeps

Scott & Jacka refereren in hun boek “Auditing Social Media” wel aan het leren van Social Media.

Echter, in hun referentiemodel (IIA) is geen onderdeel hieraan geweid. Toch biedt het hoofdstuk

(pag 54 & 55, Scott & Jacka, 2011) een aantal inzichten. Van deze inzichten zijn de volgende

teststeps afgeleid voor de beheersmaatregel “Rollen en verantwoordelijkheden, toezicht,

1 Dit is het fenomeen dat in het bijzonder succesvolle managers zich een aantal vuistregels voor het nemen van

beslissingen ontwikkelen, zonder de validiteit daarvan voor nieuwe situaties ter discussie te stellen en als gevolg van het zich onbewustzijn van die regels daardoor de onderneming in problemen kunnen brengen. 2 Dit is het fenomeen dat managers de waarde of kans van slagen van een beslissing laten afhangen van de vraag in hoeverre de inhoud van die beslissing lijkt op de beschikbare data in plaats van die waarde of kans objectief te bepalen. 3 Dit is het fenomeen dat in het afwegen van alternatieve beslissingen onbewust die informatie wordt geselecteerd die het alternatief met een intuïtieve of emotionele voorkeur bevestigt. 4 Dit is het fenomeen dat een discussie of soms zelfs een berekening, bijvoorbeeld voor een omzet, een rendement, een kostenbesparing, blijft ronddraaien rond een getal dat vroeg in de discussie ter tafel is gebracht.

33

procedures, plannen en training voor nieuwe Social Media initiatieven zijn duidelijk en

gecommuniceerd”:

Roles, responsibilities, procedures, plans and training for Social Media learning are clear,

available and communicated.

Determine if opportunities have been identified to impact business objectives in the short term.

Determine if in plans, programs for interpreting Social Media trends are communicated and

training is provided for Social Media interpretation and decision making.

Determine if key personnel in the organization is identified to help gain actionable insights from

monitoring activities.

Voor de control “Psychologische en sociale drempels voor Social Media innovatie worden erkend en

bediscussieerd” zijn de teststeps afgeleid uit het artikel “De organisatie van informatie van de

onderneming: een normatief kader” van J. Strikwerda uit 2011. Strikwerda (2011) beschrijft hier een

normatief kader om psychologische en sociale obstakels te adresseren, die invloed hebben op de

interpretatie van externe informatie (e.g. Social Media monitoringsinformatie).

Uit dit normatieve kader (Strikwerda 2011) zijn de volgende teststeps gedefinieerd:

Determine if Social Media trends are being interpreted correctly, and are converted in

decision making and action plans.

Determine if there is an openness towards new questions from stakeholders (Does a

consumer question lead to a new Social Media initiative).

Determine if through a social system (meetings, sharing of information) psychological

mechanisms, which might lead to incorrect interpretation of information, are being

corrected.

Determine if there is intellectual space, a psychological climate or mutual trust available to

explore more fundamental developments in the external environment of the bank and what

these could mean for the bank.

Alle onderdelen uit het IIA model zijn overgenomen met als toevoeging de toetsing van IT-

Technologie uit het ISACA model. Monitoring is apart toegevoegd bij de KSF effectief Social Media

monitoring. Op de volgende 3 pagina’s is het theoretische audit referentiekader te vinden(figuur 9):

34

Element Item Objective Risks Control Teststeps

Board of Directors are

actively involved in

Social Media oversight.

Determine if Board of Directors are:

1. Provided information on the risks and opportunities related to

social media.

2. Advised of the organization's strategy related to social media.

3. Appropriately involved in significant decisions related to social

media.

4. Updated, at least annually, on the status of social media initiatives.

5. Social media program management and evaluation are included in

routine management oversight processes.

Senior Executives are



Determine if senior executives are:


social media.

2. Involved in decisions related to the organization's strategy related

to social media;

3. Appropriately updated on the status of individual projects and the

overall social media strategy;

4. Involved in assuring alignment of the social media strategy with

corporate strategies.

Social Media committee

charters, purpose,

objectives and related

documentation are

communicated.

Determine if:

1. At least one individual at the executive management level has been

assigned responsibility for the committee (committee should have

makeup of various departments).

2. The charter, purpose, and objectives have been appropriately

reviewed and approved by executive management.

3. Roles and responsiblities have been properly identified and

assigned.

4. Approval and escalation policies have been established and

followed.

An effective Social

Media committee is

established.

Determine if:

1. Whether the committee has included the appriopiate departments.

2. Whether the individual selected as committee chair has the

appropiate credentials.

3. Whether procedures are in place in the event a member is unable to

participate or must leave the committee.

4. What periodic reviews exist to ensure the committee makes

appropiate mid-course corrections.

5. Whether the strategy and plan for social media are in alignment

with corporate goals and objectives.

6. What steps have been taken to identify all social media initiatives

throughout the organization.

7. Whether the committee has appropiately reached out to risk and

compliance related functions such as legal, compliance, regulatory

affairs, risk or internal auditing.

Social Media Vison 1. To determine whether a social

media vison has been developed that

is complete, aligned with other bank

strategies, and appropriately

communicated.

1. No articulated vison is in place or is inadequate. The social media vison is

complete,

communicated and

aligned with bank

strategy and objectives.

Deterime if Social Media Vision include:

1. It is in alignment with the bank's strategy and objectives.

2. It appropriately addresses all known channels.

3. All stakeholders have been considered (not just customer service

and sales).

4. It includes reference to the message and image the bank wishes to

communicate.

5. The appropraite target markets, the desired relationships, the

desired conversational engagement, and how stakeholders will use

social media have all been included.

Review social media

strategy is aligned with

bank's objectives, goals

and the social media

vision.

1. They are in alignment with the bank's objectives, goals, and plans.

2. The strategy are in alignment with social media vision, including the

chosen channels, target markets, and communication styles.

Social Media strategy is

complete,

communicted, and clear

to all stakeholders.

Determine if Social Media strategy include:

1. Goals that are specific, measurable, achievable, relevant, and time

bound.

2. The Social Media channels that will be used.

3. How the stakeholders will be engaged, including the style,

frequency, and consistency of the messages.

4. The departments of individuals that will be responsible for the

various portions of the plan.

5. Applicable limitations on the plan (restricted channels, resource

contraints.

6. Allocation of resources necessary to achieve the objectives.

Reporting lines, policies,

procedures and

department oversight is

clear.

Review organization charts, policy and procedures to ensure:

1. Proper reporting relationships exist within the department.

2. Appropriate oversight exists within each department.

3. All applicable departments have been provided with the

organization's social media strategy, direction, and plans.

4. Roles and responsibilities have been defined for all individuals

working on social media projects.

5. Metrics have been established for each applicable department.

6. Appropriate quality assurance procedures have been established

over the work completed.

Social Media

professionals have the

appropriate level of

knowledge and

experience.

Review job descriptions to ensure:

1. The appropriate job skills have been identified.

2. Education requirements match the needs of the project.

3. Appropiate supervision and oversight has been established.

4. Individuals working on social media initiatives have the proper

experience and knowledge.

Management routinely

evaluates staffing levels

to assure adequate

service levels and

staffing resources.

1. Determine if staffing levels have been modified to reflect additional

social-media-related responsibilities.



3. Determine if there has been a marked increase in overtime or a

backlog of incomplete work due to social media projects.

1. To determine whether effective

oversight has been established for the

use of all social media, including social

media specifically developed by the

organisation.

1. No single group providing oversight on strategic and

tactical issues.

2. Not all relevant departments are involved.

3. No Guidelines for elevating issues.

4. No involvement of assurance partners.

5. No executive buy-in and oversight.

6. The wrong department is in charge.

7. Roles and responsibilities are not clearly established.

8. Objectives are not clear and are not constantly updated.

1. To determine whether appropriate

policies and procedures have been

implemented to ensure the succesful

execution of the social media strategy.

To determine whether the bank's

choice for deploying Social Media is

complete, accurate and in alignment

with the related strategies and

appropiately communicated.

1. No social media strategy is in place, which may lead not

reaching bank's social media objectives.

1. Procedures and policies are not executed;

2. The wrong personnel is assigned.

3. Staffing levels are adequate to support additional

responsibilities resulting from social media projects.

Effe

ctiv

e In

tern

al o

rgan

izat

ion

So

cial

Med

ia

Social Media Strategy

Social Media Governance and

Oversight

Social Media Strategy Execution

35

KSF Item Objective Risks Control Teststeps

Social Media Policies are

approved by the

applicable committee

and is communicated to

all stakeholders.

Determine if:

1. All applicable commitees have been involved in the establishement

of the policy.

2. All applicable departments (particularly legal and human resources)

have been involved in the establishment of the policy.

3. The policy has been properly reviewed and approved.

4. Training specific to the social media policy has been delivered.

5. The external social media policy has been published on all

organization sponsored social media.

6. The policies available on different organization-sponsored social

media are in alignment.

Social Media policies are

accurate, complete and

communicated to all

stakeholders.

Social Media policies ensure:

1. Alignment with other corporate policies (for example, code of

ethics, restrictions on proprietary information).

2. Acceptable social media practices.

3. The steps the organization will take for non-compliance.

4. The organization's right to monitor employees' activities.

5. What the organization will allow nonemployees to do on

organization-sponsored sites.

6. Guidelines for communication (e.g. adding value to the dialogue,

using a conversational tone, treating all with respect, etc.).

7. A statement of ownership of posted materials.

8. Limitations related to endorsement of products and services.

9. Select a sample of employees, and interview them on their

understanding of the social media policies.

10. The HR function has established and distributed defined

consequences for violation of social media policies.

2. The enterprise brand is protected

from negative publicity or adverse

reputational issues form third party

vendors.

2. A bank client might blame the bank for negligence, while

this is the responsibility of the thrid party vendor.

Third party vendors

support social media

projects.

Review any contracts with contractors to ensure:

1. Appropriate service-level agreements with third party vendors have

been established (response time, error correction).

2. Clear measures of succes have been determined.

3. Quality assurance procedures have been developed related to work

produced by the vendor.1. How the organization will monitor

activities.

5. Determine that clear policies are established and documented.

These policies need to describe to contractors acceptable information

that can be posted as part of the enterprise social media presence.

6. Determine that the HR function and contractor sponsors are

actively involved in the policy implementation.

7. Determine if the contractor acceptable use policies have been

updated to include social media.

Metrics To determine whether metrics have

been established to ensure succesful

implementation of recruitment,

customer service, identifying client

needs and sustainability objectives

and the use of social media.

1. Lack of valueless metrics;

2. Metrics are not monitored;

3. Metrics drive inappropriate behaviour.

Metrics are complete,

correct, aligned with

strategy, are monitored

and drive appropriate.

Review procedures, reports and action list to ensure:

1. Metrics have been established.

2. The metrics established are measurable.

3. The metrics have value to the department or organization.

4. Metrics align to the organization's strategy, goals, or objectives.

5. Metrics align to the social media strategy, goals or objectives.

6. Metrics include a definition of acceptable ranges, including an

indication when additional action may be required.

7. Responsibility for gathering metrics has been establised, including

gathering and reporting.

8. Appropriate action is taken when metrics are not within accpetable

ranges.

9. Review metrics results for potential issues. If identified, verify these

were appropriately elevated.

Social Media training

material is complete,

correct and periodically

evaluated.

Determine if:

1. All appropriate areas are covered, including the current state of

social media, opportunities and risks related to the use of social

media, the direction the organization is taken, and the social media

policy.

2. Specific training exists for the special needs of different areas

(board of directors vs. line personnel).

3. How the effectiveness of the training and awareness process is

evaluated and monitored.

Social Media training is

evaluated and adapted

to new circumstances.

1. The responsibility for social media acceptable practice training and

awareness has been assigned to a specific job function.

2. All social media training needs have been identified, both general

needs related to all personnel and specific needs for individual

employees.

3. Plans exist for updating training as necessary.

4. Plans exist to provide refresher courses on social media.

All personnel have gone

through all required

levels of training.

1. Training schedules have been established for all personnel,

including executive management and the board of directors.

2. Completion of training is documented.

Effe

ctiv

e In

tern

al o

rgan

izat

ion

So

cial

Med

ia1. No organizational wide Social Networking Policy is in place

may lead to an inconsistent communication.

1. To determine whether a social

media policy has been developed and

communicated which provides

(internally) direction related to

employees' use of all social media and

(externally) guidelines to external

stakeholders using the organization's

social media outlets.

Inadequate training leads to inconsistent behaviour on social

media.

Training

Social Media Policy

To determine whether appropriate

levels of training have been

established to ensure all personnel

have been provided sufficient

information regarding the

organization's approach, policies and

procedures related to social media.

36

Figuur 9: Theoretisch Audit referentiekader Social Media Nederlandse grootbanken


Regulatory and Compliance To determine whether the Bank's

actions related to social media comply

with alle applicable federal and local

regulatory issues.

Regulatory en Compliance requirements are not considered

(e.g. privacy and client identification regulation).

Rules and regulation

regarding Social Media

is assessed.

1. Risk assessments conducted at all levels of the organization include

consideration of social media risks;

2. Results of risk assessments related to social media are

appropriately elevated to the responsible committee.

3. Organization-wide reviews of changes in laws and regulations

(CAAML) include consideration of social media.

4. Results of reviews over regulations and laws related to social media

are appropriately elevated to the responsible committee for ethical

decision making (privacy related items).

5. Risk assessments are reperformed when social media resources or

technologies change.

Anti-malware and anti-software is not up to date, which

might lead to confidential client data being stolen.

Antimalware and

antivirus software is in

use.

1. Determine that antivirus and antimalware applications are in place,

with appropriate configuration settings.

2. Verify that that appropriate controls for antimalware and social

media site limitations are also installed on mobile devices such as

smartphones.

Account takeover might lead to severe reputational issues. Incident response for

social media risks has

been included in the

information security

response plan.

Verify that the information security incident response plan addresses

social media risks, like account takeover.

Use of social media technology is

actively monitored, and its effect on

the IT architecture and technology are

regularly evaluated.

Not having the appropiate technological tools might lead to

not being able to participate in the online conversation.

Appropriate tools are

used to evaluate the

effectiveness of social

media usage and related

activities.

1. Evaluate the usage of technology for control and monitoring.

2. Determine if a third party monitors social media activities, including

the use of KPIs and proactive incident response.

3. Evaluate the usage of tools and reporting for control and

monitoring of social media use.

4. Evaluate involvement of all relevant stakeholders in review of

reports, including business leadership, risk management

professionals, and HR and legal representation.

Sensitive data might be disclosed without authorization. Information

shared/posted through

social media is included

in the data classification

program.

1. Obtain the data classification process.

2. Determine if social media, either generically or specifically (i.e.

Facebook, LinkedIn, Twitter, etc.), have been included in the data

classification policy.

3. Obtain a list of the criteria or specific information approved for

social media access and sharing.

4. Determine if this list is routinely reviewed and approved.

Social Media databases are accessed by unauthorized

persons.

Data accessible via

social media sites are

subjected to the

standard access

management

procedures and

approvals.

1. Determine if social media data access is managed using enterprise

access management procedures.

2. Select a sample of social-media-related data access requests.

3. Determine if appropriate authorizations were received prior to

access being granted.

4. Determine if the data access reauthorization process includes social

media.

5. Determine if the authorizations have been reviewed and approved

as prescribed in the reauthorization procedure.


monitoring systems have been

established over communication

related to social media.

1. The Social media conversation is not monitored;

2. Upprepared for unexpected responses or events.

Social Media is

effectively monitored.

1. Plans are in place to appropriately monitor social media, including

content developed by the organization.

2. Areas (keywords, hot topics, restricted issues) have been identified

and are included in all monitoring activities.

3. Review exist to identify appropriate monitoring tools (e.g. phising

activities).

4. Identified tools are consistenly used.

5. Plans have been established to handle situations requiring

increased scrutiny.

6. Guidelines exist for the handling of sensitive or problem issues.

7. Determine the process for escalating branding issues to the

appropriate management representative.

8. Responses to identified issues are handled as quickly as desired.



reputational issues.

Adverse posts/publicity is not or too lately dealt with to

avoid reputational damage to the bank.

Social media sites are

monitored for adverse

posts and publicity.

1. Determine if a brand protection firm or other monitoring

mechanism is engaged to locate, identify and report dummy profiles

set up on social media that may tarnish the entity or its brand image

or carry contradictory messages.

2. Determine how often the scans are executed.

3. Obtain the reports generated by the brand protection scans and

determine if an issue monitoring process is in place to review and

follow up on branding issues on a timely basis.

4. Identify incidents requiring the escalation of branding issues.

5. Determine the resolution of escalated branding incidents.

Roles and

responsibilities,

oversight, procedures,

plans and training voor

new Social Media

initiatives are clear and

communicated.

1. Roles, responsibilities, procedures, plans and training is clear,

available and communicated.

2. Determine if opportunities have been identified to impact business

objectives in the short term.

3. Determine if in plans, programs for interpreting Social Media trends

are communicated and training is provided for Social Media

interpretation and decision making.

4. Determine if key personnel in the organisation is identified to help

gain actionable insights from monitoring activities.

Psychological and social

boundaries to Social

Media innovation are

recognized and

discussed.

1. Determine if Social Media trends are being interpreted correctly,

and are converted in decision making and action plans.

2. Determine if there is an openness towards new questions from

stakeholders (Does a consumer question lead to a new Social Media

initiative).

3. Determine if through a social system (meetings, sharing of

information) psychological mechanisms, which might lead to incorrect

interpretation of information, are being corrected.

4. Determine if there is intellectual space, a psychological climate or

mutual trust available to explore more fundamental developments in

the external environment of the bank and what these could mean for

the bank.

New

Init

itat

ives

New product/service

development or improvement

Insights gained from Social Media

monitoring are used for bankproduct

innovations en bankservice

improvements.

Social Media initiatives do not contribute to the bank's

objective:

1. New Social Media opportunities are missed.

2.The bank does not adapt to the variation or changing

online stakeholder behavior.

Effe

ctiv

e So

cial

Med

ia M

on

ito

rin

gEf

fect

ive

Inte

rnal

org

aniz

atio

n S

oci

al M

edia

Monitoring

Technologie

Enterprise information is protected

from unauthorized access or leakage

through/by social media.

IT infrastructure supports risks

introduced by social media.

37

Hoofdstuk 6 Gevalideerd Audit Referentiekader Social Media In hoofdstuk 6 vindt de validatie plaats van het theoretische audit referentiekader uit hoofdstuk 5 door professionals uit de praktijk. Via semigestructureerd interviews zal feedback gevraagd worden aan audit experts van Rabobank, ABN AMRO en SNS REAAL.

De feedback van deze audit experts zal dit leiden tot een gevalideerd referentiekader voor Nederlandse grootbanken. Er is willekeurig gekozen voor ABN AMRO, SNS REAAL en Rabobank. De argumentatie is dat ik 75% van de grootbanken voldoende acht om validatie van het referentiekader te bewerkstelligen. Bij 75% van de grootbanken is dezelfde opzet voor interviews gebruikt. De meting is herhaalbaar en zouden grotendeels dezelfde uitkomsten bieden, omdat dit auditexperts zijn binnen dezelfde context van een grootbank. Ik schat in dat de resultaten van 75% van de grootbank indicatief is voor de rest van het grootbanklandschap, omdat Social Media binnen de grootbanken op een zelfde manier wordt benaderd en grootbanken dezelfde risico’s lopen.

Opzet interviews Het doel van het interview:

Om een gevalideerd audit referentiekader voor een Social Media audit voor grootbanken te verkrijgen. Deze validatie vindt plaats door expliciet te vragen of een onderdeel wel/niet tot het referentiekader moet horen.

Centrale vragen:

Met welke elementen van het theoretische referentiekader zijn de Social Media audit experts het mee eens/oneens?

Welke aanvullingen/verwijderingen kunnen ingevoerd worden in het theoretische referentiekader? Waarom?

De vorm van het interview:

Semigestructureerd: Voor de validatie van het referentiekader zal een vast patroon van vragen gesteld worden, waarbij de verschillende onderdelen van het referentiekader gevalideerd worden. Aan de hand van de antwoorden kunnen verdiepingsvragen gesteld worden.

ABN AMRO

John Bendermacher is de Chief Audit Executive van Group Audit ABN AMRO. Hij ziet Social Media als

een communicatiemiddel en met name voor marketing doeleinden. De kring van Social Media is

groter dan traditionele media. Hierdoor zijn kunnen zowel negatieve als positieve effecten groter

zijn dan bedoeld. Voor Social Media bij ABN AMRO is de belangrijkste mitigerende maatregel

duidelijke spelregels in de vorm van een beleid. Vervolgens gaat het om bewustzijn creëren.

Zijn conclusie t.a.v. de validatie van het audit referentiekader is, dat de onderdelen “Interne

organisatie” en “Effectief Monitoren” in voldoende mate aanwezig zijn en hij hier geen aanvullingen

op heeft. Ook het feit dat deze onderdelen uit het IIA en ISACA komen, sterkt zijn vertrouwen in de

volledigheid van het audit referentiekader. Hij geeft aan dat bij een Social Media audit dit

referentiekader gebruikt kan worden. Ook de nieuwe aanvulling “Nieuwe Initiatieven” ziet John

Bendermacher als een logische toevoeging. Hij heeft 2 aanvullingen op het model:

1. Hij ziet graag een “evaluation & reporting” onderdeel explicieter toegevoegd om de

reporting cycle volledig te maken. Dit heeft als doel om de Raad van Bestuur en senior

38

management van belangrijke monitoring informatie en een overzicht van nieuwe

initiatieven te voorzien.

2. Training: binnen een grootbank zijn verschillende generaties werkzaam, die allemaal

verschillend tegen (de risico’s van) Social Media aankijken. Voordat een medewerker een

Social Media training volgt, dient een self-assessment uitgevoerd te worden om de

behoefte van die specifieke medewerker te peilen. Vervolgens kan een geschikte Social

Media training worden gevolgd.

Rabobank

Rinus van der Struis is de Chief Audit Executive van de Rabobank Audit Group van de Rabobank.

Binnen Rabobank bestaan er e-learnings om om te gaan met Social Media en er is in een

management letter veel aandacht aan gedrag op Social Media besteed. Zijn mening over Social

Media is dat dit relatief onbeheersbaar is, aangezien de Social Media gesprekken in de publieke

ruimte plaatsvinden. Intern is het Social Media proces beheersbaar en dient het inherente risico

verlaagd te worden door voldoende mitigerende maatregelen toe te passen zoals in het

theoretische audit referentiekader. Social Media zal in de toekomst steeds groter, sneller en

belangrijker worden voor een grootbank. Hierdoor ziet hij het restrisico in de toekomst toenemen.

Hij is het eens met de gekozen onderdelen in het theoretische audit referentiekader. Hij vindt dat de

onderdelen “Interne organisatie” en “Effectief Monitoren” in voldoende mate aanwezig zijn en ziet

geen reden om zaken toe te voegen, dan wel te verwijderen. Ook het nieuwe onderdeel “Nieuwe

Initiatieven” ziet hij als logische toevoeging. Hij heeft de opmerking dat dit wel buiten de “comfort

zone” van een auditor kan zijn. Graag ontvangt hij het gevalideerde audit referentiekader voor hun

toekomstige audit op Social Media.

Als toevoeging ziet hij ook graag een expliciete terug koppeling naar het management. Hij geeft aan

dat zonder rapportage naar management het weinig zin heeft om een Social Media afdeling op te

zetten.

SNS REAAL

Tom van der Ven en Martijn Wesseling zijn respectievelijk Hoofd IT audit SNS Bank en operationeel

auditor SNS Bank. Martijn Wesseling heeft een operationele audit uitgevoerd naar

reputatiemanagement. In deze audit zat Social Media ook in scope. Vanuit zijn expertise kan Tom

van der Ven bepalen welke aanvullingen op het IT onderdeel kunnen worden gedaan.

Social Media is in hun ogen een van de middelen om de reputatie van SNS REAAL te managen. Via

automatische monitoring kunnen imago en reputatieschade snel hersteld worden. Zij zien in de

toekomst het inherente risico van Social Media voor SNS REAAL niet toenemen. Het belang van het

kanaal zal in de toekomst enkel groeien en

Ook Tom en Martijn zien dat de onderdelen “Interne organisatie” en “Effectief Monitoren” in

voldoende mate aanwezig zijn en hebben hier geen aanvullingen op. Tom geeft aan dat de toetsing

van specifieke IT-onderdelen voor Social Media voldoende aanwezig is in het model. Hun

opmerkingen bij het audit referentiekader:

39

Het onderdeel “Nieuwe Initiatieven” vinden zij, naast de andere onderdelen, het enige dat

echt specifiek is voor Social Media; de andere onderdelen zijn vrij algemeen. Mocht er een

audit naar duurzaamheid plaatsvinden dan zou je die eerste twee KSF teststappen bijna

helemaal kunnen overnemen.

Ze twijfelen of in de praktijk het onderdeel “Nieuwe Initiatieven” meegenomen zal worden

in een referentiekader wanneer een Social Media audit echt uitgevoerd zal worden. Dit

onderdeel gaat meer in op het strategische vraagstuk of een organisatie het

verbeterpotentieel realiseert en de kansen pakt. Het assurance belang van een auditor ligt

eerder in de onderdelen “Interne organisatie” en “Effectief Monitoren”. Na een uitgevoerde

audit op Social Media zal Internal Audit eerder aangekeken worden wanneer gevoelige bank

data via Social Media wordt gepubliceerd, dan wanneer er commerciële kansen gemist

worden.

Het onderdeel “Nieuwe initiatieven” is volgens Tom een ander type onderzoeksvraag. Bij

het formuleren van risico’s zie je bij de onderdelen “Interne organisatie” en “Effectief

Monitoren” hele concrete risico’s en bij het onderdeel “Nieuwe Initiatieven” is dit een

negatief geformuleerde kans.

Voor het onderdeel “Nieuwe Initiatieven” is het lastig om normen te bepalen.

Hoewel zij hun bedenkingen hebben of in de praktijk gebruik zal worden gemaakt van het onderdeel

“Nieuwe Initiatieven” door een audit professional, wordt aangegeven dat juist dit onderdeel van

toegevoegde waarde is voor de Social Media audit.

Conclusie

Door het theoretische audit referentiekader aan grootbank audit experts voor te leggen zijn de

onderdelen “Interne organisatie” en “Effectief Monitoren” gevalideerd. Bij het onderdeel ““Nieuwe

Initiatieven” hebben zowel ABN AMRO, Rabobank en SNS REAAL opmerkingen. Figuur 10 is een

samenvatting van de feedback resultaten van de gesprekken met audit experts van ABN AMRO,

Rabobank en SNS REAAL.

Figuur 10: Resultaten validatie theoretisch Social Media audit referentiekader

De belangrijkste toevoegingen van de validatie zijn:

Een expliciete terugkoppeling van monitoringsinformatie en nieuwe initiatieven naar Raad

van Bestuur of senior management. Er zullen in het gevalideerde referentiekader bij

“Effectief Monitoren” en “Nieuwe Initiatieven” teststeps worden toegevoegd die betrekking

hebben op informatieterugkoppeling naar Raad van Bestuur en senior management.

Element Onderdeel ABN AMRO Rabobank SNS REAAL

Social Media Governance and Oversight Eens Eens Eens

Social Media Vison Eens Eens Eens

Social Media Strategy Eens Eens Eens

Social Media Strategy Execution Eens Eens Eens

Social Media Policy Eens Eens Eens

Metrics Eens Eens Eens

Training Eens/Opmerkingen Eens Eens

Regulatory and Compliance Eens Eens Eens

Technologie Eens Eens Eens

Effective Social Media Monitoring Monitoring Eens Eens Eens

New improved service or products New product/service development or improvement Eens/Opmerkingen Eens/Opmerkingen Eens/Opmerkingen

Effective Internal organization Social

Media

40

Een toevoeging van een self-assessment voorafgaand aan een training. Bij het onderdeel

“training” zal een teststap toegevoegd worden m.b.t. een self-assessment voorafgaand aan

een Social Media training.

De toepassing van het onderdeel “Nieuwe Initiatieven” in de praktijk. ABN AMRO, Rabobank

en SNS REAAL geven aan dit onderdeel van toegevoegde waarde te vinden. SNS REAAL geeft

aan dat in de praktijk dit onderdeel uit de scope van een audit geplaatst kan worden.

Gesterkt door de validatie van de toegevoegde waarde, ben ik van mening dat het onderdeel

“Nieuwe Initiatieven” in het gevalideerde audit referentiekader thuishoort.

In het gevalideerde audit referentiekader (figuur 11) zijn de toevoegingen in het rood bijgevoegd.

Conclusie

Het gevalideerde referentiekader is opgesteld met de drie kritische succesfactoren van Social Media

als uitgangspunt. Het gevalideerde referentiekader is vrij uitgebreid. Alle risico’s met betrekking tot

Social Media is getracht een plek te geven in het gevalideerde referentiemodel. In de praktijk zal er

waarschijnlijk een keuze gemaakt worden uit de verschillende onderdelen om tot een

referentiekader te komen.

Voor een daadwerkelijke (operationele, compliance, reputatie, IT) audit kunnen de accenten anders

liggen. IT technologie zal hoogstwaarschijnlijk in een compliance audit niet worden getoetst. Per

type audit zou aan de hand van een andere risk-based benadering andere accenten gekozen worden

uit het gevalideerde referentiekader. Aan de hand van deze risk-based benadering kunnen

onderdelen uit het gevalideerde Social Media audit referentiekader gekozen worden.

Operationele audit

Bij een operationele audit ligt de focus op risico’s op verlies door inadequate of falende processen,

medewerkers en systemen (PWC 2008). Bij een pure operationele audit is de aanname dat IT niet tot

de scope van een operationele audit behoort. Een risk-based benadering zou dan leiden dat het

accent van de operationele audit komt te liggen op het auditen van processen (Social Media

monitoring, Social Media strategie executie, Social Media Metrics, Social Media nieuwe acties) en

medewerkers (Social Media policy, Social Media training). Echter, een operationele audit zonder IT

componenten lijkt uitgesloten.

Compliance audit

Bij een compliance audit ligt de focus op risico’s op verlies door het niet voldoen aan weten

regelgeving, beleid en procedures, ethische business standaarden en contracten en vrijwillige

strategische standaarden en best practices waar een organisatie zich aan heeft gecommitteerd (PWC

2008). Een risk-based benadering zou dan leiden dat het accent van compliance audit komt te liggen

op weten regelgeving (in het gevalideerde referentiekader zijn ook ethische kaders opgenomen),

Social Media policy, Social Media training van het gevalideerde audit referentiekader.

IT-Audit

Bij een IT-audit ligt de focus op risico’s op potentiele technologische fouten in de IT. In de

beoordeling zouden kunnen worden meegenomen proces capaciteit, toegangsbeveiliging, data

41

bescherming en cyber criminaliteit (PWC 2008). Een risk-based benadering zou dan leiden dat het

accent van IT-audit komt te liggen op het IT-technologie onderdeel van het gevalideerde audit

referentiekader.

Reputatie management audit

Bij een reputatie management audit ligt de focus voor Social Media op de volgende risico’s (IIA 2013):

Onderscheid het management ontvangen klachten via Social Media van Social Media

incidenten.

Zijn er klachten of incident scenario’s geïdentificeerd, die geëscaleerd moeten worden naar

legal, compliance, senior management of andere partijen.

De integriteit en redelijkheid van Social Media communicatie naar consumenten.

Een risk-based benadering zou dan leiden dat het accent van reputatie management-audit komt te

liggen op Social Media governance & oversight, Social Media strategie en Social Media monitoring,

van het gevalideerde audit referentiekader.

In de bovenstaande audits is puur bekeken waar het accent zou liggen bij verschillende audits. Ik kan

mij voorstellen dat bij alle soorten audits ook aandacht kan zijn voor de governance, visie, strategie

en andere onderdelen van het gevalideerde referentiemodel.

42

Element Item Objective Risks Control Teststeps

Board of Directors are



Determine if Board of Directors are:


social media.

2. Advised of the organization's strategy related to social media.

3. Appropriately involved in significant decisions related to social

media.

4. Updated, at least annually, on the status of social media initiatives.

5. Social media program management and evaluation are included in

routine management oversight processes.

Senior Executives are



Determine if senior executives are:


social media.

2. Involved in decisions related to the organization's strategy related

to social media;

3. Appropriately updated on the status of individual projects and the

overall social media strategy;

4. Involved in assuring alignment of the social media strategy with

corporate strategies.

Social Media committee

charters, purpose,

objectives and related

documentation are

communicated.

Determine if:

1. At least one individual at the executive management level has been

assigned responsibility for the committee (committee should have

makeup of various departments).

2. The charter, purpose, and objectives have been appropriately

reviewed and approved by executive management.

3. Roles and responsiblities have been properly identified and

assigned.

4. Approval and escalation policies have been established and

followed.

An effective Social

Media committee is

established.

Determine if:

1. Whether the committee has included the appriopiate departments.

2. Whether the individual selected as committee chair has the

appropiate credentials.

3. Whether procedures are in place in the event a member is unable to

participate or must leave the committee.

4. What periodic reviews exist to ensure the committee makes

appropiate mid-course corrections.

5. Whether the strategy and plan for social media are in alignment

with corporate goals and objectives.

6. What steps have been taken to identify all social media initiatives

throughout the organization.

7. Whether the committee has appropiately reached out to risk and

compliance related functions such as legal, compliance, regulatory

affairs, risk or internal auditing.

Social Media Vison 1. To determine whether a social

media vison has been developed that

is complete, aligned with other bank

strategies, and appropriately

communicated.

1. No articulated vison is in place or is inadequate. The social media vison is

complete,

communicated and

aligned with bank

strategy and objectives.

Deterime if Social Media Vision include:

1. It is in alignment with the bank's strategy and objectives.

2. It appropriately addresses all known channels.

3. All stakeholders have been considered (not just customer service

and sales).

4. It includes reference to the message and image the bank wishes to

communicate.

5. The appropraite target markets, the desired relationships, the

desired conversational engagement, and how stakeholders will use

social media have all been included.

Review social media

strategy is aligned with

bank's objectives, goals

and the social media

vision.

1. They are in alignment with the bank's objectives, goals, and plans.

2. The strategy are in alignment with social media vision, including the

chosen channels, target markets, and communication styles.

Social Media strategy is

complete,

communicted, and clear

to all stakeholders.

Determine if Social Media strategy include:

1. Goals that are specific, measurable, achievable, relevant, and time

bound.

2. The Social Media channels that will be used.

3. How the stakeholders will be engaged, including the style,

frequency, and consistency of the messages.

4. The departments of individuals that will be responsible for the

various portions of the plan.

5. Applicable limitations on the plan (restricted channels, resource

contraints.

6. Allocation of resources necessary to achieve the objectives.


procedures and


clear.











Social Media



knowledge and

experience.









to assure adequate

service levels and

staffing resources.







1. To determine whether effective

oversight has been established for the

use of all social media, including social

media specifically developed by the

organisation.

1. No single group providing oversight on strategic and

tactical issues.

2. Not all relevant departments are involved.

3. No Guidelines for elevating issues.

4. No involvement of assurance partners.

5. No executive buy-in and oversight.

6. The wrong department is in charge.

7. Roles and responsibilities are not clearly established.

8. Objectives are not clear and are not constantly updated.





To determine whether the bank's

choice for deploying Social Media is

complete, accurate and in alignment

with the related strategies and

appropiately communicated.

1. No social media strategy is in place, which may lead not

reaching bank's social media objectives.





Effe

ctiv

e In

tern

al o

rgan

izat

ion

So

cial

Med

ia

Social Media Strategy

Social Media Governance and

Oversight

Social Media Strategy Execution

43



procedures and


clear.











Social Media



knowledge and

experience.









to assure adequate

service levels and

staffing resources.







Social Media Policies are

approved by the

applicable committee

and is communicated to

all stakeholders.

Determine if:

1. All applicable commitees have been involved in the establishement

of the policy.

2. All applicable departments (particularly legal and human resources)

have been involved in the establishment of the policy.

3. The policy has been properly reviewed and approved.

4. Training specific to the social media policy has been delivered.

5. The external social media policy has been published on all

organization sponsored social media.

6. The policies available on different organization-sponsored social

media are in alignment.

Social Media policies are

accurate, complete and

communicated to all

stakeholders.

Social Media policies ensure:

1. Alignment with other corporate policies (for example, code of

ethics, restrictions on proprietary information).

2. Acceptable social media practices.

3. The steps the organization will take for non-compliance.

4. The organization's right to monitor employees' activities.

5. What the organization will allow nonemployees to do on

organization-sponsored sites.

6. Guidelines for communication (e.g. adding value to the dialogue,

using a conversational tone, treating all with respect, etc.).

7. A statement of ownership of posted materials.

8. Limitations related to endorsement of products and services.

9. Select a sample of employees, and interview them on their

understanding of the social media policies.

10. The HR function has established and distributed defined

consequences for violation of social media policies.



reputational issues form third party

vendors.

2. A bank client might blame the bank for negligence, while

this is the responsibility of the thrid party vendor.

Third party vendors

support social media

projects.

Review any contracts with contractors to ensure:

1. Appropriate service-level agreements with third party vendors have

been established (response time, error correction).

2. Clear measures of succes have been determined.

3. Quality assurance procedures have been developed related to work

produced by the vendor.1. How the organization will monitor

activities.

5. Determine that clear policies are established and documented.

These policies need to describe to contractors acceptable information

that can be posted as part of the enterprise social media presence.

6. Determine that the HR function and contractor sponsors are

actively involved in the policy implementation.

7. Determine if the contractor acceptable use policies have been

updated to include social media.

Metrics To determine whether metrics have

been established to ensure succesful

implementation of recruitment,

customer service, identifying client

needs and sustainability objectives

and the use of social media.

1. Lack of valueless metrics;

2. Metrics are not monitored;

3. Metrics drive inappropriate behaviour.

Metrics are complete,

correct, aligned with

strategy, are monitored

and drive appropriate.

Review procedures, reports and action list to ensure:

1. Metrics have been established.

2. The metrics established are measurable.

3. The metrics have value to the department or organization.

4. Metrics align to the organization's strategy, goals, or objectives.

5. Metrics align to the social media strategy, goals or objectives.

6. Metrics include a definition of acceptable ranges, including an

indication when additional action may be required.

7. Responsibility for gathering metrics has been establised, including

gathering and reporting.

8. Appropriate action is taken when metrics are not within accpetable

ranges.

9. Review metrics results for potential issues. If identified, verify these

were appropriately elevated.

Social Media training

material is complete,

correct and periodically

evaluated.

Determine if:

1. All appropriate areas are covered, including the current state of

social media, opportunities and risks related to the use of social

media, self-assessments, the direction the organization is taken, and

the social media policy.

2. Specific training exists for the special needs of different areas

(board of directors vs. line personnel).

3. A Social Media self-assessement is performed per individual prior to

selecting a Social Media training.

3. How the effectiveness of the training and awareness process is

evaluated and monitored.

Social Media training is

evaluated and adapted

to new circumstances.

1. The responsibility for social media acceptable practice training and

awareness has been assigned to a specific job function.

2. All social media training needs have been identified, both general

needs related to all personnel and specific needs for individual

employees.

3. Plans exist for updating training as necessary.

4. Plans exist to provide refresher courses on social media.

All personnel have gone

through all required

levels of training.

1. Training schedules have been established for all personnel,

including executive management and the board of directors.

2. Completion of training is documented.

Inadequate training leads to inconsistent behaviour on social

media.

Training

Social Media Policy





To determine whether appropriate

levels of training have been

established to ensure all personnel

have been provided sufficient

information regarding the

organization's approach, policies and

procedures related to social media.





Effe

ctiv

e In

tern

al o

rgan

izat

ion

So

cial

Med

iaSocial Media Strategy Execution

1. No organizational wide Social Networking Policy is in place

may lead to an inconsistent communication.

1. To determine whether a social

media policy has been developed and

communicated which provides

(internally) direction related to

employees' use of all social media and

(externally) guidelines to external

stakeholders using the organization's

social media outlets.

44

Figuur 11: Gevalideerd Audit Referentiekader Social Media Nederlandse grootbanken


Regulatory and Compliance To determine whether the Bank's

actions related to social media comply

with alle applicable federal and local

regulatory issues.

Regulatory en Compliance requirements are not considered

(e.g. privacy and client identification regulation).

Rules and regulation

regarding Social Media

is assessed.

1. Risk assessments conducted at all levels of the organization include

consideration of social media risks;

2. Results of risk assessments related to social media are

appropriately elevated to the responsible committee.

3. Organization-wide reviews of changes in laws and regulations

(CAAML) include consideration of social media.

4. Results of reviews over regulations and laws related to social media

are appropriately elevated to the responsible committee for ethical

decision making (privacy related items).

5. Risk assessments are reperformed when social media resources or

technologies change.

Anti-malware and anti-software is not up to date, which

might lead to confidential client data being stolen.

Antimalware and

antivirus software is in

use.

1. Determine that antivirus and antimalware applications are in place,

with appropriate configuration settings.

2. Verify that that appropriate controls for antimalware and social

media site limitations are also installed on mobile devices such as

smartphones.

Account takeover might lead to severe reputational issues. Incident response for

social media risks has

been included in the

information security

response plan.

Verify that the information security incident response plan addresses

social media risks, like account takeover.

Use of social media technology is

actively monitored, and its effect on

the IT architecture and technology are

regularly evaluated.

Not having the appropiate technological tools might lead to

not being able to participate in the online conversation.

Appropriate tools are

used to evaluate the

effectiveness of social

media usage and related

activities.

1. Evaluate the usage of technology for control and monitoring.

2. Determine if a third party monitors social media activities, including

the use of KPIs and proactive incident response.

3. Evaluate the usage of tools and reporting for control and

monitoring of social media use.

4. Evaluate involvement of all relevant stakeholders in review of

reports, including business leadership, risk management

professionals, and HR and legal representation.

Sensitive data might be disclosed without authorization. Information

shared/posted through

social media is included

in the data classification

program.

1. Obtain the data classification process.

2. Determine if social media, either generically or specifically (i.e.

Facebook, LinkedIn, Twitter, etc.), have been included in the data

classification policy.

3. Obtain a list of the criteria or specific information approved for

social media access and sharing.

4. Determine if this list is routinely reviewed and approved.

Social Media databases are accessed by unauthorized

persons.

Data accessible via

social media sites are

subjected to the

standard access

management

procedures and

approvals.

1. Determine if social media data access is managed using enterprise

access management procedures.

2. Select a sample of social-media-related data access requests.

3. Determine if appropriate authorizations were received prior to

access being granted.

4. Determine if the data access reauthorization process includes social

media.

5. Determine if the authorizations have been reviewed and approved

as prescribed in the reauthorization procedure.


monitoring systems have been

established over communication

related to social media.

1. The Social media conversation is not monitored;

2. Upprepared for unexpected responses or events.

Social Media is

effectively monitored.

1. Plans are in place to appropriately monitor social media, including

content developed by the organization.

2. Areas (keywords, hot topics, restricted issues) have been identified

and are included in all monitoring activities.

3. Review exist to identify appropriate monitoring tools (e.g. phising

activities).

4. Identified tools are consistenly used.

5. Plans have been established to handle situations requiring

increased scrutiny.

6. Guidelines exist for the handling of sensitive or problem issues.

7. Determine the process for escalating branding issues to the

appropriate management representative.

8. Responses to identified issues are handled as quickly as desired.

9. Determine if periodically Social Media monitoring reports are

communicated with Board of Directors and senior management.



reputational issues.

Adverse posts/publicity is not or too lately dealt with to

avoid reputational damage to the bank.

Social media sites are

monitored for adverse

posts and publicity.

1. Determine if a brand protection firm or other monitoring

mechanism is engaged to locate, identify and report dummy profiles

set up on social media that may tarnish the entity or its brand image

or carry contradictory messages.

2. Determine how often the scans are executed.

3. Obtain the reports generated by the brand protection scans and

determine if an issue monitoring process is in place to review and

follow up on branding issues on a timely basis.

4. Identify incidents requiring the escalation of branding issues.

5. Determine the resolution of escalated branding incidents.

Procedures, plans,

training, responsibilites

voor new Social Media

initiatives are clear.

1. Determine if opportunities have been identified to impact business

objectives in the short term.

2. Determine if in plans, programs for interpreting Social Media trends

are communicated and training is provided for Social Media

interpretation and decision making.

3. Determine if key personnel in the organisation are identified to help

gain actionable insights from monitoring activities.

4. Determine if periodically results of new Social Media initiatives are

communicated with Board of Directors and senior management.

Psychological and social

boundaries to Social

Media innovation are

recognized and

discussed.

1. Determine if Social Media trends are being interpreted correctly,

and are converted in decision making and action plans.

2. Determine if there is an openness towards new questions from

stakeholders (Does a consumer question lead to a new Social Media

initiative).

3. Determine if through a social system (meetings, sharing of

information) psychological mechanisms, which might lead to incorrect

interpretation of information, are being corrected.

4. Determine if there is intellectual space, a psychological climate or

mutual trust available to explore more fundamental developments in

the external environment of the bank and what these could mean for

the bank.

IT infrastructure supports risks

introduced by social media.

New

/ Im

pro

ved

ser

vice

or

pro

du

cts

New product/service

development or improvement

Insights gained from Social Media

monitoring are used for bankproduct

innovations en bankservice

improvements.

Social Media initiatives do not contribute to the bank's

objective:

1. New Social Media opportunities are missed.

2.The bank does not adapt to the variation or changing

online stakeholder behavior.

Effe

ctiv

e So

cial

Med

ia M

on

ito

rin

gEf

fect

ive

Inte

rnal

org

aniz

atio

n S

oci

al M

edia

Monitoring

Technologie

Enterprise information is protected

from unauthorized access or leakage

through/by social media.

45

Hoofdstuk 7: Conclusie

In dit hoofdstuk wordt de hoofdvraag beantwoord: In hoeverre is een effectief audit referentiekader voor Nederlandse grootbanken voor Social Media te realiseren?

In deze scriptie is onderzocht in hoeverre een effectief audit referentiekader voor grootbanken voor

Social Media te realiseren is. Vanuit de theorie van Social Media zijn drie kritische succesfactoren

gedefinieerd waar Social Media voor ondernemingen aan dient te voldoen om bij te dragen aan

bedrijfsdoelstellingen. Deze drie kritische succesfactoren zijn als kapstok gebruikt om het audit

referentiekader vorm te geven.

Vanuit de IIA en ISACA is dit audit referentiekader verder ingevuld en is een nieuw onderdeel

ontwikkeld op basis van psychologie, sociale en Social Media theorie. Dit theoretische audit

referentiekader is voorgelegd aan audit experts van 3 grootbanken voor validatie. Het resultaat was

een kleine aanpassing van het theoretische referentiekader om tot een gevalideerd audit

referentiekader voor grootbanken voor Social Media te komen.

Effectiviteit gaat om doeltreffendheid. Het auditreferentiekader is pas doeltreffend als het bijdraagt

aan de doelstellingen van internal audit. De definitie van internal audit (IIA Nederland): De internal

auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische,

gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en

governance te evalueren en te verbeteren.

Het gevalideerde audit referentiekader stelt de internal auditfunctie in staat om voor Social Media

voor grootbanken systematisch, gedisciplineerd de effectiviteit van processen van risico

management, beheersing en governance te evalueren en te verbeteren.

Hierdoor kan er zekerheid verschaft worden over de drie kritische succesfactoren van Social Media.

Wanneer een redelijke mate zekerheid wordt verschaft over de implementatie van deze drie

kritische succesfactoren, dan helpt internal audit een grootbank haar doelstellingen te realiseren.

Tijdens de validatie van het theoretische audit referentiekader begon de discussie vaak met de

doelstellingen die grootbanken hebben met Social Media. In alle gevallen werd een commerciële of

marketing-achtige doelstellingen geopperd. Het blijkt dus uit de literatuur dat dit juist averechts kan

werken voor een onderneming en ook voor een grootbank. Social Media direct als een commercieel

kanaal zien is wellicht nog te vroeg. Via Social Media effectief luisteren naar de bank haar

stakeholders is het belangrijkste dat een grootbank kan doen. Als grootbank dien je te weten welke

zaken er spelen. Daarom is de monitoringsfunctie van Social Media erg belangrijk.

Als ondertitel van de scriptie is gekozen daarom gekozen voor: The race to grow ears.

46

Bibliography ABN AMRO Bank . Managing Board Report Business & Strategy. Amsterdam: ABN AMRO Bank, 2014.

Beerthuyzen, M. "www.bijgespijkerd.nl." bijgespijkerd. 2009. http://www.bijgespijkerd.nl/social-

media/wat-we-kunnen-leren-van-de-dsb-sns-social-media-en-webcare (accessed 04 03,

2014).

Boyd, D. , and N. Ellison. "Social network sites: Definition, history, and scholarship." Journal of

Computer-Mediated Communications 13 (2008): 213-230.

Cha, S.E., and A.C. Edmondson. "When values backfire: Leadership, attribution, and disenchantment

in a values-driven organization." The Leadership Quarterly 17 (2006): 57-78.

Christakou, E., and G.M. Klimis. "Blogs and Social Media: The new word of Mouth and its Impact on

the Reputation of Banks and on their Profitability." In Handbook of Social Media, by M.

Freidrichsen and W> Muhl-Benninghaus, 715-735. Berlin: Springer-Verlag, 2013.

Collins, J.C., and J.I. Porras. Built to last: Succesful Habits of visionary companies. New York: Harper

Business, 1994.

Davenport, T.H. "Competing on analytics." Harvard Business Review 84, no. 1 (2006): 98-107.

Deming, W.E., and M. Walton. The Deming Management Method. New York: Dodd, 1986.

Dolen, M. van. "Zing, post, huil, tweet, lach, like en verwonder." Oratiereeks UvA. Amsterdam:

Vossiuspers UvA, 2013. 1-27.

Driessen, A.J.G., and A. Molenkamp. Internal Auditing een managementkundige benadering.

Deventer: Wolters Kluwer, 2008.

Federal Financial Institutions Examination Council. Financial Regulators Issue Final Guidance on

Social Media. December 11, 2013. https://www.ffiec.gov/press/pr121113.htm (accessed

August 12, 2014).

FFIECC. Social MEdia: Consumer Compliance Risk Management Guidance. Arlington: Federal

Financial Institutions Examination Council, 2013.

Fournier, S., and J. Avery. "The uninvited brand." Business Horizons 54 (2011): 193-207.

Frasier, S. www.charteredaccountants.com. December 22, 2011.

http://www.charteredaccountants.com.au/News-Media/Charter/Charter-articles/Audit-and-

assurance/2011-07-The-Risk-Based-Audit-Approach.aspx (accessed August 15, 2014).

Gartner, Coleman Parkes. "Unleash the power of big data." 2011.

Hoffman, D., and M. Fodor. "Can you measure the ROI of your social media marketing." Slaon

Management Review 52, no. 1 (2010): 41-49.

Horngren, C.T. Introduction to Management Accounting. Upper Saddle River: Prentice Hall, 2002.

47

IIA. www.theiia.org. January 01, 2013. http://www.theiia.org/fsa/2013-features/auditing-social-

media-risks-for-financial-institutions/?staticReset (accessed August 15, 2014).

ING Group . ING Group Annual Report 2013. Amsterdam: ING Group, 2014.

ISACA. Social Media: Business Benefits and Security, Governance and Assurance Perspectives.

Emerging Technologie White Paper, Rolling Meadows: ISACA, 2010.

Kaplan, A., and M. Haenlein. "Users of the World, unite! the Challenges and opportunities of social

media." Business Horizons 53, no. 1 (2010): 47-73.

Kaplan, R.S., and D.P. Norton. Strategy Maps: Converting intangible assets into tangible outcomes.

Boston, Mass: Harvard Business School Press, 2004.

Kelson, N. "Social Media Audit/Assurance Program." www.isaca.org. 2011.

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Social-

Media-Audit-Assurance-Program.aspx (accessed May 01, 2013).

Merchant, K.A., and W.A. van der Stede. Management control systems: performance measurement,

evaluation and incentives. Pearson Education, 2007.

Pfeffer, J., and R.I. Sutton. Hard facts, dangerous half truths and total nonsense: profiling form

evidence-based management. Boston, MA: Harvard Business School Press, 2006.

PWC. www.pwc.com. December 8, 2008. http://www.pwc.com/en_us/us/issues/enterprise-risk-

management/assets/risk_assessment_guide.pdf (accessed August 15, 2014).

Quinn, R.E. . Een kader voor managementvaardigheden. Schoonhoven: Academic Service, 1996.

Rabobank Group. Annual Report 2013 Rabobank Group. Amsterdam: Rabobank Group, 2014.

Rabobank. Robuuste garantieregeling. Utrecht: Rabobank, 2011.

Rico, S., B. Bradley, and M. Kiefer. Social Media: Business Benefits and Security, Governance and

Assurance Perspectives. Rolling Meadows, IL: ISACA, 2010.

Scott, P. R. , and J. M. Jacka. Auditing Social Media. Hoboken: John Wiley & Sons, 2011.

Strikwerda, J. "De organisatie van informatie van de onderneming: een normatief kader?" MAB 85

(juni 2011): 317-332.

Strikwerda, J. "Empowerment: hoe professionele ruimte te combineren met in-control zijn." Holland

Management Review 145 (2012): 32-40.

ten Have, S., W. ten Have, and F. Stevens. Key management models. Harlow: Pearson Education,

2003.

Vergili, J.A., and E. Kaganer. Impact of Social Media on the Financial Services Sector. Stuttgart: GFT

Technologies AG, 2012.

Auditing Social Media - scripties.uba.uva.nl

Documents

Transcript of Auditing Social Media - scripties.uba.uva.nl