Auditing Social Media
“The race to grow ears”
Rienk Rienks
Amsterdam, 5 september 2014 Begeleider: Willem van Loon
Universiteit van Amsterdam Business School Executive Internal Auditing Program
2
Voorwoord
Voor u ligt het referaat waarmee ik mijn postdoctorale studie Executive Internal Auditing Programme aan de Universiteit van Amsterdam afrond.
Dit voorwoord biedt mij de gelegenheid een aantal mensen te bedanken. Op de eerste plaats wil ik mijn werkgever, ABN AMRO, bedanken voor de mogelijkheid om deze studie te volgen.
Ik wil prof. dr. Willemijn van Dolen (hoogleraar marketing Universiteit van Amsterdam), prof. dr. J. Strikwerda (hoogleraar Strategy en Marketing Universiteit van Amsterdam), John Bendermacher (Group Audit ABN AMRO), Rinus van der Struis (Audit Rabobank Group), Jenny van Stein (Channel Manager Social Media ABN AMRO), Martijn Wesseling (Audit SNS REAAL) en Tom van der Ven (Head IT Audit SNS Reaal) hartelijk danken voor hun medewerking aan de interviews.
Willem van Loon wil ik bedanken voor zijn begeleiding, de stimulerende suggesties om ook op andere manieren onderzoek te doen en de steun in algemene zin. Ook ben ik dankbaar voor mijn (ex)collega’s Dagmar van Steenbrugge, Eugene Aschebrock en Andre van der Meer voor hun tijd en bijdrage.
Tot slot wil ik Seyed Jalaleddin Bani Hashemi, vriend en collega, bedanken voor zijn kritische blik en goede suggesties.
3
Contents
Voorwoord ... 2
Executive Summary ... 4
Hoofdstuk 1: Inleiding ... 6
Hoofdstuk 2: Wat is Social Media? ... 10
Hoofdstuk 3 Control Models Social Media ... 16
Hoofdstuk 4 Bestaande Audit Referentiekaders ISCACA & IIA ... 25
Hoofdstuk 5 Theoretisch Audit Referentiekader Social Media ... 31
Hoofdstuk 6 Gevalideerd Audit Referentiekader Social Media ... 37
4
Executive Summary
Social Media was 10 jaar geleden nog redelijk onbekend. In 2014 is het niet meer weg te denken uit onze samenleving. Via internet applicaties zoals Twitter, Facebook en Instagram kunnen gebruikers van Social Media makkelijk inhoud publiceren op het internet. Via Social Media wordt er met elkaar, maar ook over elkaar gesproken. Ook ondernemingen zien de mogelijkheden van Social Media als nieuw kanaal om consumenten te benaderen. Echter, Social Media is anders dan traditionele kanalen omdat het een dialoog faciliteert tussen ondernemingen en hun stakeholders en dit dialoog vindt plaats in de publieke ruimte. Dit biedt kansen, maar er zijn zeker ook risico’s. Negatieve berichtgeving kan ook escaleren. Ook Nederlandse grootbanken begeven zich op Social Media en proberen de kansen van Social Media te grijpen. ING, ABN AMRO, Rabobank en SNS REAAL zijn Nederlandse grootbanken. De Nederlandse grootbanken verzorgen samen het merendeel van de kredietverlening en andere bankproducten aan Nederlandse huishoudens en bedrijven. Een
grootbank dient daarom ook de risico’s van Social Media te beheersen. Internal audit kan bijdragen aan deze risico beheersing.
In deze scriptie is een onderzoek gedaan naar in hoeverre een effectief audit referentiekader voor Social Media voor grootbanken realiseerbaar is.
Voor een succesvolle bijdrage van Social Media aan bedrijfsdoelstellingen zijn er drie kritische succesfactoren waaraan een organisatie dient te voldoen:
1. Een effectieve interne organisatie om Social Media te faciliteren; 2. Effectief monitoren van Social Media;
3. Verworven inzichten uit Social Media omzetten in acties.
Deze kritische succesfactoren zijn gebruikt als kapstok in het formuleren van een theoretisch audit referentiekader voor Social Media voor grootbanken.
De Social Media audit referentiekaders van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) zijn gebruikt om het theoretische audit
referentiekader te voorzien van relevante doel-risico-beheersmaatregel-teststap onderdelen. Uiteindelijk konden hiermee slechts twee van de drie kritische succesfactoren worden voorzien van doel-risico-beheersmaatregel-teststap onderdelen.
Voor de derde kritische succesfactor kon geen beroep worden gedaan op zowel het referentiekader van het IIA als dat van het ISACA. Voor de derde kritische succesfactor is op basis van psychologie- en sociale studies literatuur een nieuwe doel-risico-beheersmaatregel-teststap geïntroduceerd.
De scope van het onderzoek is beperkt tot grootbanken, omdat het systeem risico door Social Media versterkt kan worden. Ook zijn grootbanken relatief actiever op social media dan “klein” banken. Het theoretische referentiekader is voorgelegd aan audit experts van Nederlandse grootbanken. Met hun feedback is het audit referentiekader gevalideerd.
Het doel van het onderzoek was om een analyse te geven hoe een Social Media audit voor
grootbanken ingericht kan worden. De belangrijkste risico’s van Social Media voor grootbanken zijn wet- en regelgeving risico’s, reputatie- en operationele risico’s. Deze risico’s zijn verwerkt in het
5 audit referentiekader en mitigerende maatregelen zijn hieraan toegevoegd. Het doel was uiteindelijk om te onderzoeken in hoeverre een effectief referentiekader voor grootbanken realiseerbaar is. De conclusie is dat een effectief audit referentiekader voor Social Media voor Nederlandse grootbanken realiseerbaar is.Het is alleen effectief mits er voldaan wordt aan alle drie de kritische succesfactoren voor een succesvolle bijdrage van Social Media aan bedrijfsdoelstellingen. Het gevalideerde Social Media audit referentiekader bestaat daarmee uit onderdelen van het ISACA en IIA referentiekaders met een nieuwe onderdeel.
In dit nieuwe onderdeel gaat het er om dat een grootbank nieuwe acties ontwikkelt aan de hand van verworven inzichten. Zowel het IIA als ISACA besteden geen aandacht aan deze kritische
succesfactor voor Social Media.Met dit nieuwe onderdeel is het Social Media audit referentiekader voor grootbanken hiermee een uitbreiding op de ISACA en IIA referentiekaders en is toegespitst op grootbanken.
6
Hoofdstuk 1: Inleiding
Social Media dwingt organisaties tot een hele andere manier van omgaan met klanten. Het belang van Social Media zal in de toekomst alleen maar toenemen. Het publiek bepaalt steeds meer wie er door mogen naar de ‘volgende ronde’ en wie niet. Haak aan op Social Media of haak af.
ING Bank had begin 2013 een probleem met saldi op de rekeningen van hun klanten. Het webcare team van de ING Bank heeft de saldoproblemen niet goed opgevangen. Klanten werden niet goed geïnformeerd over de oorzaak. De imagoschade is groot, mede door de niet tijdige reactie.
Het niet adequaat en tijdig reageren op Social Media events kunnen leiden tot reputatieschade voor ondernemingen. Bij het toenemende belang van Social Media zullen banken dit nieuwe fenomeen goed moeten analyseren. Sociale voelsprieten van een organisatie dienen juist ingezet te worden in een toenemende volatiele externe omgeving. Echter, is Social Media wel te benaderen vanuit de wel bekende management control benaderingen? Is het voldoende om een uitgewerkte Social Media strategie te hebben om deze tactisch te vertalen naar een Plan-Do-Check-Act (Deming and Walton 1986)?
Internal Audit kan van toegevoegde waarde zijn in de beheersing van de risico’s van Social Media. Vanuit een risk-based audit programma kunnen beheersmaatregelen worden getest. Echter de vraag rijst op welke wijze de toegevoegde waarde ingevuld wordt met betrekking tot Social Media. Twitter, Facebook, Linkedin zijn bekende voorbeelden van gevestigde Social Media waar men redelijk
duidelijk een risico kan definiëren. Instagram, Foursquare, Pinterest en Flickr zijn voorbeelden van Social Media die relatief minder bekend zijn en de vraag is in welke mate deze door een bedrijf beheerst worden en dienen te worden. Hiernaast zijn voorgaande voorbeelden vooral westerse geïnitieerde Social Media. Jiepang, Renren, LAGbook and Sonico zijn Social Media platformen, die miljoenen volgers hebben in China, de Arabische wereld, Afrika en Zuid Amerika. In hoeverre kan een organisatie alles monitoren en nieuwe ontwikkelingen (snel) integreren in de bedrijfsvoering? Dient een bedrijf in de huidige tijd op een andere manier georganiseerd te worden om flexibeler te reageren op hevige externe ontwikkelingen?
Het feit is dat er een diversiteit aan Social Media bestaat en de ontwikkelingen elkaar razendsnel opvolgen. Hierdoor neemt de impact van Social Media toe op organisaties. Naar mijn mening ligt hier een rol voor internal audit weggelegd. De vraag luidt: hoe zorg je als organisatie ervoor dat je “in control” bent als het gaat om Social Media? Dit betekent niet alleen dat je effectief
georganiseerd hoort te zijn bent om te reageren bij een (negatief) event, maar is de vraag: op welke wijze dient Social Media bij te dragen aan de bedrijfsdoelstellingen?
Probleemstelling en onderzoeksvragen Doel
De kredietcrisis wordt grotendeels in de schoenen van de banken geschoven. Ze zouden met hun korte termijngedrag zoveel mogelijk producten (hebben) willen verkopen. Ook Nederlandse
grootbanken zijn bezig met het herstellen van het vertrouwen van de Nederlandse burger in banken. Social Media is een relevante optie voor banken om mede bij te dragen aan dit herstel van
vertrouwen. Daarom is het noodzakelijk dat een Nederlandse grootbank Social Media op een effectieve manier inzet. Internal audit kan een bijdrage leveren aan het effectief inzetten van Social Media waardoor dit bijdraagt aan doelstellingen van grootbanken.
De doelstelling van het onderzoek is om een analyse te geven hoe een Social Media audit voor grootbanken ingericht kan worden. Het doel is uiteindelijk om te onderzoeken in hoeverre een effectief referentiekader voor grootbanken realiseerbaar is.
7
Probleemstelling
Social Media dient een bijdrage te leveren aan de doelstellingen van een grootbank. Het probleem is dat een effectief referentiekader voor een Social Media audit voor grootbanken (nog) niet bestaat. Hiernaast is de vraag of een Social Media audit referentiekader voor grootbanken daadwerkelijk anders ingericht moet worden dan een Social Media audit referentiekader voor andere organisaties.
In hoeverre is een effectief audit referentiekader voor Nederlandse grootbanken voor Social Media te realiseren?
Scope
Grootbanken: Een systeembank en grootbank worden vaak in een adem genoemd, maar een harde definitie van een grootbank is niet te vinden. Volgens De Nederlandse Bank (De Nederlandse Bank 2014) heeft een individuele grootbank een omvang van meer dan 50% van het Nederlands bbp; voor ING en Rabobank is dit zelfs meer dan 100%. De Nederlandse grootbanken verzorgen samen het merendeel van de kredietverlening aan Nederlandse huishoudens (85%) en bedrijven (60%) (De Nederlandse Bank 2014). Het voornaamste verschil tussen een grootbank en “klein” banken ligt in het systeem risico. Een faillissement van een van de grootbanken (ING, Rabobank, ABN AMRO, SNS) kan niet worden opgevangen door de Nederlandse banksector zelf. Een faillissement van de overige banken zou een domino-effect teweeg brengen. De banksector en de Nederlandse overheid staan hierdoor garant voor het kapitaal van grootbanken. De grootbanken ING, Rabobank, ABN AMRO en SNS bank zijn ook systeemrelevant (De Nederlandse Bank 2014). Hoewel Nederlandse grootbanken en systeembanken in een adem genoemd worden, gaat het om de relevantie van scope van het onderzoek. Uit een interview met de channel manager Social Media ABN AMRO blijkt dat het managen van reputatie via Social Media veel relevanter is voor grote, bekende banken dan kleine banken in Nederland. Grootbanken hebben nu eenmaal meer klanten die zich op Social Media begeven. Een kleine bank heeft de keuze om in zijn
nichemarkt andere communicatievormen te kiezen, terwijl een grootbank gedwongen wordt om met de massa in gesprek te gaan via Social Media. Social Media is een
communicatiemiddel en de grootbanken hebben hiermee het grootste bereik. Negatieve berichtgeving via Social Media kan het systeemrisico vergroten. Reputatiemanagement via Social Media is voor grootbanken van belang om het gebrek aan vertrouwen in een
grootbank niet te laten escaleren in een bankrun. Hiervoor dient een grootbank mitigerende maatregelen in te regelen. Een uitgangspunt voor deze scriptie is dat er door een
(groot)bank gekozen is voor een actieve deelname aan Social Media. Het niet participeren aan Social Media kan een strategische beslissing zijn. Bij grootbanken lijkt er gekozen te zijn voor deze actieve deelname aan Social Media (Twitter: @Rabobank (volgers: 82.500 / tweets: 47.800) versus @NIBC_Bank (volgers: 125 / tweets: 124) en @Binckbank (volgers: 1.791 / tweets: 92)).
Het resultaat van deze scriptie kan daarom ook toepasbaar zijn op “klein” banken met vergelijkbare actieve deelname aan Social Media.
Informatie Technologie: De beheersing van IT van Social Media ligt in de scope van dit onderzoek.
Onderzoeksvragen
1. Wat betekent Social Media voor Nederlandse Grootbanken?
2. Welke management control systemen zijn geschikt om Social Media te beheersen? 3. Hoe wordt in bestaande referentiekaders gekeken naar Social Media?
4. Wat zijn de belangrijkste eisen aan het auditen van Social Media? 5. Hoe kan een audit referentiekader voor grootbanken eruit zien?
8
Werkwijze
Onderzoeksvraag 1: Wat betekent Social Media voor Nederlandse Grootbanken?
Om tot onderzoeken in hoeverre een effectief audit referentiekader voor Social Media, zal als eerst een verkenning van Social Media literatuur plaatsvinden. Het doel van deze deelvraag is te bekijken wat de gevolgen zijn van Social Media voor grootbanken. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden geïdentificeerd.
Onderzoeksvraag 2: Welke management control systemen zijn geschikt om Social Media te beheersen?
Er zal een verkenning plaatsvinden van beschikbare management control modellen. Het resultaat is een beargumenteerde schifting welke management control theorieën geschikt zouden kunnen zijn voor het beheersen van Social Media.
Onderzoeksvraag 3: Hoe wordt in bestaande audit referentiekaders gekeken naar Social Media? De bestaande referentiekaders voor Social Media van ISACA en het IIA voor Social Media worden geanalyseerd. Het IIA en het ISACA instituut worden mondiaal geaccepteerd en erkend door audit professionals. De Social Media referentiekaders van het IIA en ISACA behoren tot de geaccepteerde audit industrie norm en vertegenwoordigen hoge professionele audit standaarden. Andere
soortgelijke Social Media audit referentiekaders zijn niet beschikbaar en/of kunnen niet als internationale maatstaf gebruikt worden. Daarom zullen het IIA en ISACA Social Media referentiekaders als benchmark dienen.
Het resultaat zal zijn een selectie van onderdelen voor het formuleren van het theoretische audit referentiekader voor Social Media voor grootbanken.
Onderzoeksvraag 4: Wat zijn de belangrijkste eisen aan het auditen van Social Media?
Het doel van deze vraag is om tot een theoretisch audit referentiekader voor Social Media voor grootbanken te komen.
Onderzoeksvraag 5: Hoe kan een audit referentiekader voor grootbanken eruit zien?
Het theoretische audit referentiekader zal voor gelegd ter validatie aan de Audit experts van Nederlandse grootbanken. Dit zullen semigestructureerde interviews zijn met als doel om het ontwikkelde audit referentiekader aan te scherpen en/of aan te passen.
Met hun feedback zal het resultaat zijn een gevalideerd referentiekader voor Social Media Audit voor Nederlandse grootbanken.
Hiernaast zal de visie van audit experts van Nederlandse grootbanken ten aanzien van het auditen van Social Media geraadpleegd worden voor aanscherping van het audit referentiekader. Schematisch ziet werkwijze en onderzoeksopzet (incl. hoofdstuk indeling) er als volgt uit:
H2. Literatuur SocialMedia H3. Literatuur Management Control H5. Theoretisch referentiekader Audit Social Media H4. Analyse bestaande Audit Social Media referentiekaders H6. Gevalideerd referentiekader voor Social Media Audit
9
Leeswijzer/Structuur scriptie
Hoofdstuk 2
Hoofdstuk 2 geeft antwoord op de volgende onderzoeksvraag: Wat betekent Social Media voor grootbanken.
In hoofdstuk 2 zal de meest relevante theorie met betrekking tot Social Media worden verkend. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden
geïdentificeerd. Hoofdstuk 3
Hoofdstuk 3 geeft antwoord op de volgende onderzoeksvraag: Welke management control systemen zijn geschikt om Social Media te beheersen?
In hoofdstuk 3 zal de theorie met betrekking tot management control worden verkend. Het doel zal zijn om theorie(en) te vinden die aansluiten op de elementen van Social Media uit hoofdstuk 2. Aan het einde van hoofdstuk 3 zal een beargumenteerde schifting gemaakt zijn van management control theorieën, die van toepassing zijn op Social Media
Hoofdstuk 4
Hoofdstuk 4 geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?
De bestaande audit referentiekaders voor Social Media van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) worden geanalyseerd. Het resultaat zal zijn een selectie van onderdelen voor het formuleren van het theoretische audit referentiekader voor Social Media voor grootbanken.
Hoofdstuk 5
Hoofdstuk 5 en hoofdstuk 6 geven antwoord op de volgende deelvraag: Wat zijn de belangrijkste eisen aan het auditen van Social Media?
In hoofdstuk 5 zal een synthese zijn uit de eerdere hoofdstukken om te komen tot een theoretisch referentiekader voor de Social Media audit.
Hoofdstuk 6
In hoofdstuk 6 zal het theoretische audit referentiekader uit hoofdstuk 5 voorgelegd worden aan audit professionals uit de praktijk ter validatie. Via semigestructureerde interviews zal feedback op het theoretische audit referentiekader gevraagd worden aan audit experts van Rabobank, ABN AMRO, en SNS REAAL.
Het doel van deze expert feedback is om te komen tot een gevalideerd referentiekader voor Nederlandse grootbanken.
Hoofdstuk 7
In dit hoofdstuk wordt de hoofdvraag beantwoord: In hoeverre is een effectief referentiekader voor grootbanken voor Social Media te realiseren?
10
Hoofdstuk 2: Wat is Social Media?
Hoofdstuk 2 geeft antwoord op de volgende onderzoeksvraag: Wat betekent Social Media voor grootbanken.
In hoofdstuk 2 zal de meest relevante theorie met betrekking tot Social Media worden verkend. De belangrijkste elementen van Social Media voor het theoretische referentiekader worden
geïdentificeerd.
Definitie Social Media
ISACA (Kelson 2011) definieert Social Media als het gebruik van internet-gebaseerde applicaties ten behoeve van verspreiding van informatie en/of samenwerking op basis van gedeelde informatie. Kelson (2011) geeft aan dat het verschil tussen Social Media met traditionele advertenties en marketing kanalen het populistische karakter is. Ieder met toegang tot internet via mobiel, tablet of ander apparaat kan in bijna alle anonimiteit en zonder verantwoording, participeren in publieke of private informatie deling. Het algemene verband is dat de tools (mobiel, tablets, desktops)
gemanaged worden door individuen in plaats van een professionele afdeling, zoals bij een traditioneel marketingkanaal. Social Media is een vrij nieuw fenomeen en populaire Social Media tools volgen elkaar in een razend tempo op (Kaplan and Haenlein 2010). Hoewel er ook andere dimensies zijn voor de indeling van Social Media (Kaplan and Haenlein 2010) staat centraal bij Vergili et al (2012) wat de gebruiker wilt bereiken met desbetreffende Social Media tooling. Social Media wordt door gebruikers voor verschillende doeleinden gebruikt. Figuur 1 geeft een classificatie weer van huidige veel gebruikte redenen voor het gebruik van Social Media.
Figuur 1: Classificatie van verschillende Sociale Technologieën (Vergili and Kaganer 2012)
Gebruikers schrijven teksten op blogs, delen filmpjes en foto’s op Youtube en Flickr en hebben online interactie met elkaar via Facebook, Linkedin en Twitter. Deze categorie van Social Media netwerken zijn de bekendste en de grootste, maar deze netwerken bestaan nog geen tien jaar (Boyd en Ellison 2008). Facebook ontstond op 4 februari 2004 en heeft inmiddels 1,1 miljard maandelijks
Doel Beschrijving Voorbeelden van Social Media
Identificeren/verbinden Door het gebruik en het linken van profielen kunnen gebruikers content delen, aanpassen en toegang krijgen tot content.
Facebook, Twitter, LinkedIn
Communicatie/discussie Het in staat stellen van eenzijdig of veelzijdig communicatie tussen gebruikers in real-time of afwijkende tijdzones
Skype, Webex, Facebook, Whatsapp, Twitter, Blogs, Snapchat
Maken en delen van content
Creatie en modificatie van publieke bestanden als documenten, beelden en videos.
Wikipedia, Youtube, Pinterest, Flickr
Review/beoordelen Gebruikers delen hun
mening en ervaringen over producten en diensten.
Tripadvisor, Booking.com, Yelp
Games Gebruikers spelen games
binnen het social portaal
Farmville, Angry Birds, World of Warcraft, Second Life
11 actieve leden (www.facebook.com), terwijl Twitter zeven jaar na zijn ontstaan 280 miljoen actieve gebruikers heeft, die 340 miljoen tweets per dag versturen (www.twitter.com).
Scott & Jacka (2011) erkennen in Social Media een machtsverschuiving van organisaties naar de massa, aangezien Social Media de massa de mogelijkheid verschaft zich te uiten door het publiceren van inhoud. Hierin ligt ook het verschil met traditionele Public Relations. Public Relations gaat uit van een zendende functie, waarbij bijvoorbeeld via persberichten gecommuniceerd wordt. Deze
eenzijdige communicatie staat haaks op een multi-zijdige communicatie tussen Social Media gebruikers. Gebruikers van Social Media bespreken bijvoorbeeld via Twitter met elkaar hun
ongenoegen over een organisatie. De PR-functie van een organisatie neemt niet eens meer deel aan het gesprek.
Deze online sociale interactie heeft ervoor gezorgd dat organisaties zich ook in de virtuele ruimte begeven en, gevraagd en ongevraagd, reageren op tweets, blogs en posts van gebruikers (Dolen 2013). Gezien het jonge, maar zeer invloedrijke medium is het nog maar de vraag of deelnemen aan het online dialoog met consumenten door organisaties juist niet averechts werkt en hierdoor de consument organisaties juist zal buitensluiten (Scott en Jacka 2011). Social Media dient vooral gezien te worden als een communicatiemiddel, een manier om interactie en gesprekken te bevorderen (Kaplan & Haenlein, 2010; Scott & Jacka, 2011; Dolen, 2013).
De Sociale Media hebben primair als doel om mensen aan elkaar te koppelen, te laten praten en informatie uit te wisselen (Kaplan & Haenlein, 2010; Fournier & Avery, 2011; Dolen, 2013). De Social Media applicaties bedoeld om mensen met elkaar te communiceren, om virtueel te “socializen”. Het doel van Social Media voor grootbanken is dat Social Media bijdraagt aan bedrijfsdoelstellingen.
Social Media risico’s voor financiële instellingen
De Federal Financial Institutions Examination Council (FFIECC) is een officieel Amerikaans instituut dat verantwoordelijk is voor het ontwikkelen van uniforme reporting standaarden voor financiële instituten die onder federaal toezicht staan. De FFIECC stelt een aantal formele richtlijnen, waaraan Amerikaanse financiële instituten officieel dienen te voldoen. Hiernaast heeft het FFIECC een aantal press releases, waarin richtlijnen worden gepubliceerd zonder compliance vereisten. Het
veranderende consumenten gedrag door Social Media heeft geresulteerd dat in 2013 in de
Verenigde Staten door de Federal Financial Institutions Examination Council een richtlijn opgesteld is: Social Media: Consumer Compliance Risk Management Guidance (FFIECC 2013). Het doel van deze richtlijn is om financiële instituten te ondersteunen met het managen van compliance, legal, reputatie en operationele risico’s van Social Media. Kort samengevat; de richtlijn adviseert een financiële instelling een Social Media risico management programma voor. Hierin moet aandacht gegeven worden aan governance structuren, beleid en richtlijnen, Social Media uitbesteding richtlijnen, trainingsprogramma voor medewerkers, proces voor monitoren Social Media en inregeling van periodieke controles van audit en compliance. Deze richtlijn legt geen nieuwe
vereisten op aan financiële instituten, zoals grootbanken. De richtlijn is eerder bedoeld om financiële instituten te helpen met het begrijpen en managen van potentiele Social Media risico’s (compliance, legal, operationeel en reputatie risico’s). De richtlijn voorziet in afwegingen die financiële instituten kunnen helpen tijdens risk assessments en bij het opstellen en evalueren van Social Media beleid en procedures (Federal Financial Institutions Examination Council 2013).
Tot op heden zijn er in de Europese Unie geen soortgelijke richtlijnen gepubliceerd. Echter, de geïdentificeerde risico’s van het FFIECC (2013) kunnen ook toepasbaar zijn op Social Media voor Nederlandse grootbanken. De Amerikaanse richtlijnen identificeren de volgende risico’s voor financiële instituten (FFIECC 2013):
12 Compliance en Legal risico’s
Producten: Wanneer je als bank producten (kredieten, spaardeposito’s, betalingsverkeer) gaat leveren via Social Media zal je aan huidige regelgeving t.a.v. deze product voering moeten voldoen.
Klant acceptatie: Een ander genoemd risico is het identificeren van klanten via de Social Media. Een virtueel profiel leent zich om je voor te doen als iemand anders. CAAML (Client Acceptance & Anti-Money Laudry) wetgeving schrijft voor dat financiële instituten
procedures en controle maatregelen moet treffen om zich ervan te vergewissen, dat zij met de juiste klant in contact zijn.
Witwas praktijken via Social Media: witwaspraktijken in opkomende gebieden als virtuele werelden en via virtuele valuta. Via virtuele werelden is het mogelijk om cash uit te keren. Een bank dient deze vorm van witwasprakijken te monitoren.
Privacy regelgeving is zeer relevant voor Social Media. Banken verzamelen, of hebben toegang tot informatie over of van klanten. Een bank zal na moeten gaan of zij aan relevante privacy wetgeving voldoen, wanneer zij gegevens verzamelen en/of gegevens tonen via online profielen. Ook dient te worden nagegaan in hoeverre een bank via Social Media persoonlijke commerciële berichten mag zenden via Social Media naar haar klanten. Zelfs wanneer je aan de wet- en regelgeving voldoet, dient een bank te overwegen wat de gevolgen zijn van het gebruik van persoonlijke klant informatie op Social Media. Reputatie risico’s
Activiteiten van banken op Twitter of Facebook kunnen leiden tot ontevreden klanten en/of negatieve publiciteit. Zelfs wanneer er aan alle wet- en regelgeving wordt voldaan, leidt dit tot reputatieschade. Een bank dient hier maatregelen te treffen om reputatieschade via haar Social Media activiteiten zoveel mogelijk te voorkomen.
Bescherming merk identiteit: het beschermen van het bank merk identiteit kan uitdagend zijn voor banken. Een bank zou relevant beleid geïmplementeerd moeten hebben om bij negatieve publiciteit adequaat en op een consistente manier te kunnen reageren. Hiernaast zal een bank moeten zorgdragen dat er beleid bestaat voor phising. Dit is het frauderend gebruik van een identiteit door derden om informatie te onttrekken van een bank.
Uitbesteding Social Media aan een derde partij: Banken kunnen ervoor kiezen hun Social Media activiteiten uit te besteden aan een derde partij of een aanwezigheid te creëren op Facebook, Twitter of een ander kanaal. Gelijk aan reguliere uitbestedingsprocessen zullen juiste due diligence onderzoeken plaatsvinden voorafgaand aan de uitbesteding. Hiernaast dienen duidelijke compliance afspraken gemaakt worden wie informatie namens de bank publiceert op de kanalen. Het risico is dat bij onverwacht gebruik van persoonlijke klantinformatie of veranderingen in beleid, de klant de bank beschuldigt van nalatigheid, terwijl dit de verantwoordelijkheid is van de derde partij.
Klachtenmanagement: hoewel banken de voordelen van het publieke karakter van Social Media kunnen benutten om klachten en vragen van klanten te beantwoorden, bestaan hier reputatie risico’s wanneer klachten en vragen niet tijdig of op een onjuiste manier
geadresseerd worden.
Interne medewerkers: Banken dienen bewust te zijn dat persoonlijke Social Media
13 kan worden. Bank medewerker communicatie via Social Media kan ook leiden tot
compliance en/of operationeel risico, naast het reputatie risico voor een bank. Ter voorkoming van deze risico’s kan een bank beleid en training opstellen om Social Media risicobewustzijn onder de bank medewerkers te bevorderen.
Operationele risico’s
Operationeel risico is het risico van schade resulterend van inadequate processen, systemen en gebruikers. De oorzaak hiervan kan zowel interne als externe gebeurtenissen zijn. Operationeel risico omvat ook de risico’s van het gebruik van informatie technologie door financiële instituten (FFIECC 2013). ISACA geeft aan dat het voornaamste operationele risico van Social Media ligt in het gebruik van IT (ISACA 2010)
Een groot deel van de controle activiteiten ligt in de processen van IT. Daarom is het belangrijk om bij Social Media in de IT waarborgen aan te brengen voor vertrouwelijkheid, integriteit en
beschikbaarheid.
Figuur 2 geeft een samenvatting van de Social Media risico’s voor financiële instituten volgens het FFIECC.
Figuur 2: Social Media risico’s voor financiële instituten (FFIECC 2013)
Social Media risico’s voor Nederlandse grootbanken
Welke risico’s zijn relevant voor Nederlandse grootbanken? Uit interviews blijkt in de praktijk dat bankproducten zoals persoonlijke leningen en deposito’s (nog) niet via Social Media worden afgesloten. Dit risico is dan ook niet relevant voor Nederlandse grootbanken. Betalingsverkeer gaat in Nederland ook via internet en via mobiele apps. Betalingsverkeer van Nederlandse banken gaat niet via Facebook of Twiter, maar via kanalen die in eigen beheer zijn van banken. Een bank dient voldoende interne controle maatregelen te treffen om aan wet- en regelgeving voor deze kanalen te voldoen. Het risico van betalingsverkeer via Social Media is ook niet van toepassing.
Voor klantidentificatie beantwoorden webcare teams van Nederlandse banken de algemene
klantvraag via Social Media. Op het moment dat er transacties of persoonlijk advies geleverd moeten worden, dan wordt de klant gedirigeerd naar bank gereguleerde kanalen om effectieve klant
acceptatie en identificatie uit te voeren. Het witwassen via Social Media blijft een risico waar mee rekening dient te worden gehouden. Er zijn vormen van virtuele werelden waar rekeningen aan gekoppeld zijn.
FFIECC: Social Media risico's voor financiële instituten
Compliance & Legal risico's: 1. Bankproducten via Social Media 2. Betalingsverkeer via Social Media
3. Klant acceptatie en witwaspraktijken via Social Media 4. Privacy wetgeving mbt klantgegevens
Reputatie risico's:
1. Bescherming bank merk identiteit
2. Uitbesteding Social Media aan derde partijen
3. Klachten & klantenservice management via Social Media 4. Bank medewerker gebruik van Social Media
Operationele risico's: 1. IT-risico's Social Media
14 Figuur 3 geeft een overzicht van de Social Media risico’s toegespitst op Nederlandse grootbanken. Deze figuur komt voort uit figuur 2 (FFIECC 2013). De risico’s uit figuur 2 zijn ook toepasbaar op Nederlandse grootbanken met uitzondering van Compliance & Legal risico’s t.a.v. bankproducten, betalingsverkeer en klantacceptatie via Social Media.
Social Media Risico's voor Nederlandse grootbanken
Compliance & Legal risico's:
1. Privacy wetgeving m.b.t. klantgegevens 2. Witwaspraktijken via Social Media Reputatie risico's:
1. Bescherming bank merk identiteit
2. Uitbesteding Social Media aan derde partijen
3. Klachten & klantenservice management via Social Media 4. Bank medewerker gebruik van Social Media
Operationele risico's:
Vertrouwelijkheid, integriteit en beschikbaarheid van Social Media IT-technologie
Figuur 3: Social Media risico’s voor Nederlandse grootbanken
Kritische succesfactoren Social Media
Wat betekent Social Media nu voor grootbanken? De literatuur spreekt over 3 kritische
succesfactoren waardoor Social Media binnen organisaties kan bijdragen aan bedrijfsdoelstellingen (Kaplan and Haenlein 2010; Scott and Jacka 2011; Dolen, 2013):
Ten eerste zal een bank Social Media moeten monitoren. Een bank dient te leren wat een consument produceert en deel, wat ze consumeren en of ze zich online groeperen. Zo krijgt een bank inzicht in hoe een consument met de producten of dienstverlening van een bank omgaat. Hiernaast houdt je door middel van monitoren concurrenten als substituten van de bank in de gaten.
Ten tweede, zal een bank de verworven inzichten moeten vertalen in acties, zoals productinnovaties en het verbeteren van dienstverlening.
Ten derde, banken dienen hun organisatie op een dusdanige manier intern te organiseren dat zij voldoen aan de vereiste veranderingen die sociale media teweegbrengen. Alleen al monitoring vraagt om diverse capaciteiten die een bank niet altijd zelf beschikt, zoals softwareontwikkeling om te monitoren, tekst-mining om ongestructureerde tekst om te zetten in gestructureerde data, en analyse om inzichten uit de data te genereren (Dolen 2013). Het volume, de variatie en het tempo van informatietoevoer, maar ook privacy issues rondom monitoring maken dit proces nog complexer. Het gevolg is dat slechts 2% van de bedrijven zich in staat voelt om de juiste informatie op het juiste moment te kunnen verstrekken en om de juiste beslissing te kunnen nemen (Gartner, Coleman Parkes 2011).
Conclusie
Wat betekent Social Media voor grootbanken?
Het doel van het hoofdstuk was om elementen te identificeren die belangrijk zijn voor het Social Media audit referentiekader.
15 Deze elementen zijn op te delen in twee categorieën:
1. De risico’s van Social Media voor Nederlandse grootbanken: Social Media brengt voor grootbanken een aantal risico’s mee. Deze compliance-, reputatie- en operationele risico’s dienen geadresseerd te worden in een audit referentiekader.
2. Kritische succesfactoren voor succesvolle bijdrage van Social Media aan de
bedrijfsdoelstellingen van een Nederlandse grootbank: om voor Social Media bij te dragen aan de doelstellingen van grootbanken dient aan 3 kritische succesfactoren te worden voldaan (zie figuur 3):
Figuur 4: Kritische succesfactoren Social Media KSF
Een Social Media faciliterende interne organisatie Effectief Social Media Monitoren
16
Hoofdstuk 3 Control Models Social Media
Hoofdstuk 3 geeft antwoord op de volgende onderzoeksvraag: Welke management control systemen zijn geschikt om Social Media te beheersen?
In hoofdstuk 3 zal de theorie met betrekking tot management control worden verkend. Het doel zal zijn om control modellen te vinden die aansluiten op de elementen van Social Media uit hoofdstuk 2. Aan het einde van hoofdstuk 3 zal een beargumenteerde schifting gemaakt zijn van management control theorieën, die van toepassing zijn op Social Media.
Management Control
Management control is het doelbewust beïnvloeden van gedrag om bedrijfsdoelstellingen te behalen (Merchant en van der Stede 2007)Het gaat erom dat management de context van een werkomgeving op een dusdanige manier inricht, dat het gewenste gedrag door medewerkers wordt vertoond en hiermee bedrijfsdoelstellingen worden gehaald.
Management control adresseert 3 controle problemen (Merchant en van der Stede 2007): 1. Onvoldoende richting: een medewerker weet niet wat het gewenste resultaat moet zijn. 2. Onvoldoende motivatie: een medewerker voelt zich niet gedwongen om (tijdig) het
gewenste resultaat te leveren.
3. Onvoldoende kennis en kunde: een medewerker weet niet hoe hij/zij tot het gewenste resultaat moet komen.
Er zijn een aantal oplossingen om deze problemen te adresseren. Je kunt de activiteit waar het controle probleem zich voordoet elimineren, automatiseren, centraliseren, risicodelen en beheersen. Het beheersen van controle probleem gebeurt door middel van management control systemen. Een management control systeem is het verzamelen en gebruiken van informatie om het proces van planning en organisatorische plannings- en control beslissingen te coördineren en om richting te geven aan medewerker gedrag. Het doel van het systeem is om collectieve besluitvermogen binnen de organisatie te verbeteren (Horngren 2002).
Een management control systeem bestaat uit een verzameling van 4 soorten controls:
Action controls zijn direct gericht op beïnvloeding tot gewenst gedrag (bv werkinstructie en – voorschriften en beleid).
Result controls beïnvloeden gedrag indirect, namelijk door de medewerker aan te geven wat van hem/haar wordt verwacht.
Personnel controls omvatten alle maatregelen die er op gericht zijn dat medewerkers het gewenste gedrag ‘uit zichzelf’ vertonen.
Cultural controls zijn maatregelen om gedragsnormen van de organisatie (in bijvoorbeeld gemeenschappelijke waarden, tradities of ideologie) vorm te geven en om onderlinge beïnvloeding van gedrag door medewerkers te stimuleren.
Perfecte controle bestaat niet! Er ligt altijd een kosten/baten afweging aan ten grondslag. Er bestaan verschillende perspectieven op management control modellen. Deze perspectieven zijn over de tijd verder ontwikkeld. In bepaalde control modellen ligt de nadruk meer op action controls, terwijl in andere management control modellen cultural controls weer dominanter aanwezig zijn om gedrag aan te sturen. In figuur 4 zijn deze ontwikkeling in perspectieven samengevat (Quinn 1996).
17
Figuur 5: Ontwikkeling Control Modellen (Quinn 1996)
Rationeel doel
In deze categorie vallen de controlemodellen die de nadruk leggen op duidelijk richting om tot productief resultaat te komen. De nadruk in deze filosofie ligt op een rationele analyse en op duidelijke doelstellingen. Hoewel ook andere soorten controls van toepassing kunnen zijn wordt gedrag beïnvloed door de nadruk te leggen op result controls. Voorbeelden in deze categorie zijn controle modellen als Kwaliteit van Administratieve Dienstverlening (KAD) en de Business Score Card (BSC) (ten Have, ten Have en Stevens 2003). KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Via rationele analyse dient een
organisatie/proces aangepast te worden zodat doel worden bereikt. Het BSC (financiële dimensie) heeft een duidelijke vooraf opgestelde doelstellingen. Een result control element in het BSC is het aanwijzen van causale relaties tussen klantperspectief en financieel resultaat. Het gedrag wordt beïnvloed door de financiële dimensie duidelijk te definiëren, waardoor een medewerker een klant beter gaat bedienen.
Hierbij dient opgemerkt te worden, dat het KAD en BSC/Strategy Maps modellen ook in de andere categorieën kunnen worden geplaatst. Dit komt omdat KAD en BSC ook kenmerken bezitten van de andere categorieën. Hiernaast kun je voor alle modellen twisten over de toekenning aan een categorie. Het gaat om het perspectief van de categorie en of dit toepasbaar als basis voor een referentiekader voor het auditen van Social Media.
Interne proces
Deze categorie wordt gekenmerkt door de focus op stabiliteit en routines. Dit leidt tot stabiele resultaten. Centraal staat de continuïteit van de organisatie/proces. COSO (ERM), KAD en de Plan-Do-Check-Act van Deming (Deming en Walton 1986) kun je aan deze categorie toekennen. De nadruk ligt hier op het verantwoordelijkheden vastleggen, metingen en documentatie. In COSO ERM bijvoorbeeld kan een testvraag zijn voor risk assessment of management (verantwoordelijkheid) zowel inherent- als rest risico overweegt en vastlegt. Hoewel ook andere controls van toepassing kunnen zijn, wordt gedrag beïnvloed door de nadruk te leggen op action controls. Voorbeelden van action controls zijn werk voorschriften en -beleid.
Rationeel doel Interne proces Human relations Open systemen Criteria effectiviteit Productiviteit, winst Stabiliteit, continuïteit Inzet, samenhang,
moreel
Aanpassingsvermogen, externe ondersteuning
Doel-middelen-theorie
Duidelijke richting leidt tot productieve
resultaten
Routines leiden tot stabiliteit
Betrokkenheid leidt tot inzet
Continue aanpassing en innovatie leiden tot verwerven van externe
middelen
Nadruk
Verduidelijking van doelen, rationele analyse
en handelend optreden Verantwoordelijkheden vastleggen, metingen en documentatie Participatie, oplossen van conflicten, consensus bereiken Politieke aanpassing, creatieve probleem-oplossing, innovatie, mngmt van verandering
Klimaat Rationele economie: de
eindresultaten Hiërarchisch Teamgericht Innovatief, flexibel
Grond-leggers Taylor Fayol, Weber Carnegie, Barnard, Mayo
(Hawthorne) Mintzberg e.a.
Voorbeeld control
model BSC/Strategy Maps, KAD
COSO ERM, KAD, Deming, BSC/Strategy
Maps
Belbin team roles, BSC/Strategy Maps, Levers of control, 5 krachten model BSC/Strategy maps, 5 krachten model, De Caluwe, 8 phases of change, COSO ERM
18
Human relations
Deze categorie is meer mensgericht dan de categorieën intern proces en rationeel doel. Het idee is dat betrokkenheid van de medewerkers zorgt voor inzet en hiermee doelstellingen behaald worden. Het gaat in deze categorie control modellen om consensus bereiken en het oplossen van conflicten. Control modellen als de Levers of Control, 5 krachten van Caluwe (ten Have, ten Have and Stevens 2003)) vallen in deze categorie. Hoewel ook andere controls van toepassing kunnen zijn ligt in deze categorie de nadruk op personnel controls en cultural controls om gedrag te beïnvloeden.
Als voorbeeld van een personnel control bij het control model Levers of Control (ten Have, ten Have and Stevens 2003) is dat suggesties van trainingen van de werkvloer komen. Deze control zorgt ervoor dat medewerkers gedrag “uit zichzelf” vertonen. Een voorbeeld van een cultural control in dit model is de overtuiging dat fouten maken nuttige leerervaringen zijn. Deze controls hebben als doel om gedrag te beïnvloeden om een teamgericht klimaat te creëren.
Open systemen
Deze categorie control modellen hebben als doel om het aanpassingsvermogen van een organisatie te maximaliseren. Het gaat hier om dat je je kunt aanpassen aan een externe omgeving. Controle modellen als management of change, 8 fases of change en BSC/Strategy Maps vallen in deze
categorie (ten Have, ten Have en Stevens 2003). Hoewel ook andere controls van toepassing zijn, ligt in deze categorie de nadruk ook op personnel & cultural controls. Het verschil met de human
relations categorie is dat bij open systemen de doelstelling niet zozeer het verhogen van de inzet, participatie en moreel van medewerkers is. Bij open systemen is het doel het aanpassen aan de externe omgeving door flexibel en innovatief op te stellen. In de 8 phases of change kan de personnel control het creëren van een gevoel van urgentie zijn. Op deze manier zorg je dat medewerkers gedrag “uit zichzelf” vertonen voor de toekomstige verandering. De cultural control kan het belonen van nieuw gedrag zijn in de gewenste eindsituatie van een verandering.
Control Modellen voor Social Media Audit
Welke controle modellen zijn nu toepasbaar op de elementen van Social Media voor Nederlandse grootbanken? Het doel van de Social Media is om effectief bij te dragen aan de bedrijfsdoelstellingen. De drie kritische succesfactoren voor een succesvolle bijdrage aan bedrijfsdoelstellingen van een Nederlandse grootbank zijn:
Een Social Media faciliterende interne organisatie
Effectief Social Media monitoren
Vertaling van verworven inzichten naar nieuwe initiatieven
Per kritische succesfactor zal nu een beargumenteerde keuze gemaakt worden voor het meest geschikte control model.
Een Social Media faciliterende interne organisatie
Een interne Social Media faciliterende organisatie dient als fundament voor het bereiken van
doelstellingen van Social Media. Het doel van deze interne organisatie is om als fundament te dienen zodat Social Media monitoring en het verwerven van nieuwe inzichten gefaciliteerd kan worden. Deze interne organisatie bestaat uit een cultuur, doelstellingen, governance structuren,
geformuleerde strategieën en effectieve processen.
Rationeel doel: een Social Media faciliterende interne organisatie kan de nadruk hebben liggen op verduidelijking van doelen. Een Social Media afdeling kan bijvoorbeeld als duidelijk doel hebben het werving en selectie van talent. Wanneer er Social Media campagnes gestart worden dienen deze
19 d.m.v. rationele analyse op resultaat te worden beoordeeld. In dit geval staat de interne organisatie in dienst van efficiënte processen en productiviteit. Het doel van deze interne organisatie is om Social Media monitoring en het verwerven van nieuwe inzichten te ondersteunen Deze categorie lijkt aan te sluiten om een Social Media faciliterende organisatie te beheersen.
Human relations: Een Social Media interne organisatie dient als fundament voor het bereiken van doelstellingen. De human relations categorie focust op participatie van medewerkers en het bereiken van consensus. In deze categorie gaat het om het teamverband, betrokkenheid en inzet. Dit kan te maken hebben met culturele eigenschappen van een Social Media afdeling, maar ook dat medewerkers “uit zichzelf” wenselijk gedrag gaan vertonen als het gaat om Social Media gebruik. Een interne Social Media faciliterende organisatie is meer dan alleen cultuur om tot consensus te komen. Het omvat ook het bepalen van doelstellingen, opzetten van governance structuren e.d. Human relations lijkt niet het juiste controle modellen te bevatten voor de beheersing van een interne faciliterende organisatie, omdat deze modellen de focus hebben op de beheersing van het optimaal functioneren van een team in plaats van op beheersen van de inrichting van een interne organisatie.
Open systemen: Een Social Media intern faciliterende organisatie gaat om gedegen governance structuren, geformuleerde strategieën, effectieve processen. Het doel is om een fundament te creëren, waardoor Social Media monitoring en verwerving van inzichten gefaciliteerd wordt. De modellen in de categorie open systemen hebben het doel van de beheersing van een continue aanpassing en/of verandering. De doelstelling van open systemen staat juist haaks op wat een fundament wilt creëren: stabiliteit. Het doel van een interne organisatie is om Social Media te faciliteren, niet om flexibel aan te passen aan een externe omgeving.
Intern proces: de controle modellen in deze categorie ligt de focus in de beheersing van stabiliteit en continuïteit. Een interne organisatie dient als fundament en de beheersing van dit fundament lijkt aan te sluiten bij de doelstellingen.
De categorieën rationeel doel en intern proces de control modellen bevatten voor het beheersen van de KSF een Social Media faciliterende organisatie. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM en de Deming cycle. KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Dit wordt meer gebruikt om processen te analyseren en lijkt minder geschikt voor de beheersing van de inrichting van een interne organisatie. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker. KAD is toegespitst op gegevensverwerkende processen, maar het beschermen van een bank merk of beleid bepalen hoe medewerkers met Social Media om moeten gaan is niet een gegevensverwerkend proces.
De BSC/Strategy maps is een model om via causale verbanden strategische doelen en visie te bereiken. Hoewel de “interne business proces” en “customer” dimensie ook toepasbaar zijn op de interne organisatie van Social Media gaat het in het BSC om een direct financieel doel. Een interne organisatie die Social Media faciliteert hoeft niet direct een financieel doel te ondersteunen. De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. Hoewel de Deming cycle gebruikt kan worden om een interne omgeving te beheersen, adresseert de Deming cycle niet de interne omgeving (cultuur) van een Social Media faciliterende omgeving.
20 COSO ERM kan gebruikt worden om de interne organisatie te beheersen. De reden waarom voor COSO ERM wordt gekozen:
1. Interne omgeving: een Social Media faciliterende omgeving dient ook het risicobewust zijn van medewerkers t.a.v. Social Media te faciliteren.
2. Strategisch bereik: Social Media heeft als doel om bij te dragen aan bedrijfsdoelstellingen. COSO ERM gaat in op strategische doelstellingen en de afgeleide hiervan;
3. Doelformulering: Social Media voor verschillende doelen gebruikt worden. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.
4. Identificatie van interne en externe gebeurtenissen: Social Media binnen grootbanken heeft gevolgen voor zowel de interne organisatie (wat mag een medewerker wel/niet) als voor externe gebeurtenissen (hoe gaat een grootbank communiceren op Social Media). COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.
5. Risico-response: Negatieve publiciteit kan via Social Media snel escaleren. COSO ERM gaat in op het selecteren van de beste risico mitigerende factoren.
6. COSO IC: het succes van Social Media is gebaat bij effectieve en efficiënte processen en voor grootbanken is het belangrijk dat aan wet- en regelgeving wordt voldaan. COSO ERM is de uitbreiding van COSO IC. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM. Voor risico beheersing van de interne organisatie geef ik de voorkeur aan COSO ERM.
Effectief Social Media Monitoren
Effectief monitoren van Social Media is als grootbank luisteren naar online gesprekken tussen de bank en stakeholders, de concurrenten en de industrie. Hiernaast dient het online monitoren voor grootbanken ook voor reputatiemanagement. Het doel is het puur het verwerven van inzichten via applicaties die kunnen bijdragen aan bankdoelstellingen.
Rationeel doel: het gaat bij monitoren niet (direct) om bij te dragen aan de winst van de bank. Het gaat er juist om dat je als bank erachter komt welke gesprekken er online worden gevoerd, die voor jou van toepassing zijn. Aan de hand van het gemeten sentiment kun je door slimme analyses bekijken wat dit voor de bank betekent. Productiviteit door middel van rationele analyses lijkt aan te sluiten op de doelstellingen van monitoren. De modellen in de categorie “rationeel doel” zijn
toepasbaar voor de beheersing van de KSF effectief Media monitoren.
Human relations: Effectief monitoren heeft als doel het effectief verwerven van inzichten via applicaties en ook heeft het niet als doel om inzet, moreel en betrokkenheid te creëren (human relations). De beheersing in de modellen in deze categorie zijn niet toepasbaar op deze KSF. Open systemen: Effectief monitoren betreft het verwerven van inzichten. Op basis van deze inzichten zou je kunnen besluiten om een aanpassing in strategie door te voeren. Echter, bij de KSF effectief monitoren gaat het niet om de verandering te ondersteunen; het gaat puur om het
verzamelen en het komen tot inzichten. Wat verder met deze inzichten wordt gedaan is bij deze KSF niet aan de orde. Het modellen van “open systemen” hebben als doel flexibiliteit,
aanpassingsvermogen en verandering te beheersen. Effectief monitoren gaat niet om verandering. De modellen in deze categorie zijn niet toepasbaar op deze KSF.
Intern proces: de controle modellen in deze categorie ligt de focus in de beheersing van stabiliteit en continuïteit. Effectief monitoren gaat erom dat je via een aantal monitoring tools metingen verricht op Social Media. Hiervoor dienen routines en beleid opgesteld te worden op welke manier
gemonitord en aan welke voorwaarden de monitoring dient te voldoen. Monitoren van Social Media kan ook leiden tot inzicht in het sentiment dat rond een grootbank en haar industrie heerst. Uit
21 interviews bleek dat periodieke rapportages van dit sentiment met hoger management worden gedeeld.
De modellen in deze categorie zijn toepasbaar op deze KSF.
De categorieën rationeel doel en intern proces de control modellen bevatten voor het beheersen van de KSF effectief monitoren. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM en de Deming cycle.
BSC/Strategy maps: het doel van effectief monitoren is het komen tot nieuwe inzichten voor de organisatie zelf. Bij BSC kun je de “interne business proces” en “customer” dimensie ook toepassen. Je kunt redeneren dat nieuwe inzichten de waarde is die door het business proces van monitoren voor een interne stakeholder wordt gecreëerd. BSC gaat niet in op risicovolle externe
gebeurtenissen.
KAD: KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker.
Deming cycle: De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. De Deming cycle is een uitstekend model om Social Media monitoring te beheersen. De verworven inzichten van het monitoren kunnen gebruikt worden om de doelstellingen van Social Media monitoring weer aan te passen.
COSO ERM: COSO ERM kan als adequaat controle model gebruikt worden:
1. Doelformulering: voor Social Media monitoren zullen doelen gedefinieerd moeten worden. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.
2. Identificatie van interne en externe gebeurtenissen: via Social Media monitoren kunnen gebeurtenissen ontdekt worden die hoge prioriteit nodig hebben. Als je merkt dat er binnen 30 minuten 200 ge-retweet wordt dat spaargeld bij jouw bank niet veilig staat, dan is het zaak hier in te grijpen. COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.
3. Risico-response: ook voor Social Media monitoren dienen reacties op risico’s gedefinieerd te worden. In hoeverre kan er worden gereageerd op negatieve berichtgeving over een grootbank? COSO ERM gaat in op het selecteren van de beste risico reacties.
COSO IC: Social Media monitoren is een proces dat zelf ook geëvalueerd en gecontroleerd moet worden, wat leidt tot effectieve en efficiënte monitoring processen. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.Voor de risicobeheersing van effectief Social Media monitoren geef ik de voorkeur aan COSO ERM, omdat dit expliciet de identificatie van interne en externe gebeurtenissen adresseert. Reputatierisico is een groot risico voor grotbanken en wordt bij COSO ERM beheerst ook o.a. door het onderdeel risico-response.
Vertaling van verworven inzichten naar acties
Nieuwe bankproducten en verbeterde dienstverlening komen alleen tot stand als hier reden tot is. Deze reden kan zijn dat de huidige dienstverlening of productenpalet niet volledig voldoet aan de behoefte van de klant van de bank. Aan de hand van verworven inzichten via Social Media kunnen er nieuwe mogelijkheden verkend worden. Dit kan een aanzet zijn tot nieuwe Social Media initiatieven, zoals nieuwe campagnes. Als een grootbank bij een groot deel van haar volgers op twitter opmerkt, dat zij op wintersportvakantie gaan, dan kan dit aanleiding zijn om via twitter een kortingsactie op reisverzekeringen op te starten. Bij deze kortingsactie zou dan speciaal gewezen kunnen worden, dat
22 ski materiaal ook verzekerd is. Dit kan een voorbeeld zijn van een actie zijn wanneer de doelstelling is om Social Media in te zetten om product verkoop te ondersteunen.
Social Media kan ook wervingsdoeleinden ondersteunen. Een grootbank kan tot inzicht komt via Linkedin, dat er hoog verloop van personeel is bij een groot accountants kantoor. Met dit inzicht kan er een campagne gestart worden om accountants vacatures van een grootbank expliciet te plaatsen op de Linkedin-tijdlijn van (ex)medewerkers van dit accountants kantoor.
Het opzetten van nieuwe initiatieven zorgt ervoor dat Social Media steeds effectiever gaat bijdragen aan de bedrijfsdoelstellingen van een grootbank.
Rationeel doel: Naar mijn mening ligt de interne beheersing van het komen tot nieuwe inzichten niet in het bijdragen aan productiviteit zoals in de categorie rationeel doel. Een vooropgestelde richting of doel hoe het nieuwe initiatief eruit zal zien is juist onbekend. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
Human relations: Ook gaat het bij deze KSF niet over het scheppen van moreel, inzet en betrokkenheid van medewerkers. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
Intern proces: Stabiliteit en continuïteit van het proces is hier wel op van toepassing zijn.
Belangrijke kaders zoals beleid, doelstellingen, documentatie zullen ook hier vormgegeven moeten worden. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
Open systemen: het gaat bij de vertaling van verworven inzichten naar acties om dat er aangepast wordt aan een externe omgeving. Het gaat hier om continu aanpassing, flexibiliteit en creatieve probleem oplossing. Bij deze KSF gaat het om flexibiliteit en innovatief zijn. De modellen in deze categorie zijn niet toepasbaar op de KSF vertaling van verworven inzichten naar acties.
De categorieën open systemen en intern proces bevatten de control modellen voor het beheersen van de KSF Vertaling van verworven inzichten naar acties. De controle modellen waaruit gekozen kan worden zijn BSC/Strategy Maps, KAD, COSO ERM, Deming cycle, 5 krachten van Caluwe, 8 phases of change en het INK model.
KAD: KAD is een normatief analyse- en ontwerp model voor de inrichting en beheersing van een organisatie/proces. Ook gaat KAD niet in op specifieke risicovolle kenmerken van Social Media als het reageren op negatieve publiciteit of de gevolgen voor een interne medewerker. Hiernaast is van tevoren niet een duidelijk doel te bepalen voor een nieuw initiatief. Het KAD model gaat in zijn analyse altijd wel uit van een vooropgesteld duidelijk doel van een proces. Tot een nieuw inzicht komen heeft niet een vooropgezet duidelijk doel. KAD lijkt niet als beheersmodel geschikt voor deze KSF.
Deming cycle: De Deming cycle is een sturend model, waarbij door een stapsgewijs door een cycle van plan-do-check-act nieuwe activiteiten ontplooid worden om zo tot doelstellingen te komen. Ook hier gaat met uit van een vooropgestelde concrete doelstelling, die vervolgens via de PDCA cyclus wordt aangepast. Het gaat juist bij deze KSF om het tot stand komen van het doel. De Deming cycle lijkt niet als control model voor deze KSF geschikt.
5 krachten model: In het 5 krachten model gaat het om de 5 krachten om een verandering te laten slagen: urgentie, ambitie, planning, interactie en leiderschap. Voor het vertalen van inzichten in nieuwe initiatieven kan er op weerstand gestuit worden. Dit model adresseert deze weerstand om tot een nieuwe situatie te komen. Echter, ook hier wordt een voorafgaande streefsituatie
23 gedefinieerd. Het gaat juist bij het opzetten van nieuwe actie in het bepalen van deze nieuwe actie; niet om het proces ernaar toe enkel te faciliteren. Dit model kan niet gebruikt worden voor deze KSF. De Caluwe: De verander strategieën heeft 5 kleuren. Hierbij gaat het om dat mensen/dingen
veranderen door verschillende strategieën (kleuren) toe te passen. Ook bij dit model ligt de focus erg op het “hoe” terwijl het vertalen van inzichten naar nieuwe acties juist gaat om het “wat”. Het is belangrijk bij deze KSF om te adresseren of de juiste nieuwe acties tot stand komen a.d.h.v.
verworven inzichten, niet perse hoe deze tot stand komen. Dit model kan niet gebruikt worden voor deze KSF.
8 phases of change: Bij de 8 phases of change gaat het ook om hoe je een succesvolle verandering tot stand brengt. Ook hier wordt een nieuwe eind situatie geschetst met 8 fases van best-practices om tot deze eindsituatie te komen. De KSF vertalen van inzichten naar nieuwe acties gaat om het definiëren van die nieuwe eindsituatie. Dit model kan niet gebruikt worden voor deze KSF. COSO ERM kan hier als basis gebruikt worden:
1. Doelformulering: Het creëren van nieuwe initiatieven is een continu proces. Er dienen nieuwe korte termijn kansen geïdentificeerd te worden die in lijn staan met de bank doelstellingen. COSO ERM gaat in op selecteren, vaststellen en meetbaar maken van deze doelen.
2. Identificatie van interne en externe gebeurtenissen: een nieuw initiatief kan gevolgen hebben voor een andere afdeling binnen een grootbank. Deze zou op de hoogte gesteld moeten worden. COSO ERM gaat in op interne en externe gebeurtenissen die van invloed kunnen zijn op realisatie van doelstellingen.
3. Risk assessment: Bij het formuleren van nieuwe initiatieven zouden de risico’s besproken moeten worden per nieuw initiatief. COSO ERM gaat in op risk-assessment.
4. Risico-response: Nieuwe initiatieven kunnen negatief gewaardeerd worden door de online gemeenschap en kan snel escaleren. COSO ERM gaat in op het selecteren van de beste risico mitigerende factoren.
5. COSO IC: het succes van Social Media is gebaat bij effectieve en efficiënte processen en voor grootbanken is het belangrijk dat aan wet- en regelgeving wordt voldaan. COSO ERM is de uitbreiding van COSO IC. De control doelstellingen van COSO IC zijn verwerkt in COSO ERM.
BSC/Strategy Maps: Het Business Scorecard behoort tot de categorie open systemen. In dit model zijn 4 perspectieven gedefinieerd, die causale verbanden met elkaar hebben. Het leer en groei vermogen perspectief van het Business Score Card model kan als controle model toegepast worden bij het creëren van nieuwe initiatieven. Bij het leer en groei perspectief gaat het om human capital, organizational capital en information capital. Human capital is de meerwaarde van de kennis en kunde van de medewerkers, organizational capital is de meerwaarde van organisatie structuren en information capital is de meerwaarde van informatie binnen een organisatie. Het gaat erom dat deze meerwaarde ingezet worden om tot leren en groei te komen. Deze 3 soorten kapitaal kunnen ingezet worden om nieuwe acties te definiëren. Voor het creëren van nieuwe initiatieven voor Social Media heb je kennis en kunde nodig van de medewerkers om tot nieuwe ideeën te komen.
Hiernaast heeft een medewerker de monitoringsinformatie (information capital) nodig om tot deze nieuwe ideeën te komen. Het gaat erom hoe dit information capital wordt geïnterpreteerd.
Hiernaast dient een medewerker niet belemmerd door organisatiestructuren in het bedenken en implementeren van nieuwe initiatieven.
Voor de risico beheersing van het vertalen van verworven inzichten in nieuwe initiatieven geef ik de voorkeur aan COSO ERM en het leer en groei perspectief van het BSC model.
24
Conclusie
Welke management control systemen zijn geschikt om Social Media te beheersen?
In dit hoofdstuk zijn per KSF van Social Media geschikte control modellen besproken. Allereerst is een schifting gemaakt op basis van categorie referentiemodellen. Vervolgens is per referentiemodel bekeken of deze geschikt is voor de KSF. Figuur 6 geeft een overzicht welke control modellen geschikt zouden zijn per KSF.
Figuur 6: kritische succesfactoren Social Media met controle model
Er kunnen meerdere control modellen toegepast worden op de verschillende KSF. Echter, de meest geschikte voor de KSF een Social Media faciliterende interne organisatie is COSO ERM. Voor de KSF effectief Social Media monitoren is COSO ERM. Voor de KSF vertaling van verworven inzichten naar acties zijn COSO ERM en BSC.
KSF Controle modellen
Een Social Media faciliterende interne organisatie Rationeel doel + Intern proces: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle Effectief Social Media Monitoren Rationeel doel + Intern proces: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle Vertaling van verworven inzichten naar acties Intern proces + Open systemen: COSO ERM, KAD, BSC/Strategy Maps, Deming cycle, 5
25
Hoofdstuk 4 Bestaande Audit Referentiekaders ISCACA & IIA
Hoofdstuk geeft antwoord op de volgende onderzoeksvraag: Hoe wordt in bestaande referentiekaders gekeken naar Social Media?
De bestaande audit referentiekaders voor Social Media van de Information Systems Audit and Control Association (ISACA) en het Institute of Internal Auditors (IIA) worden geanalyseerd.De twee referentie kaders zullen worden beoordeeld of deze aansluiten bij de KSF van Social Media. Uit deze twee Social Media audit referentiekaders zal een selectie gemaakt worden welke onderdelen mee kunnen worden genomen in het theoretische audit referentiekader voor Social Media voor grootbanken. Het IIA en het ISACA instituut worden mondiaal geaccepteerd en erkend door audit professionals. De Social Media referentiekaders van het IIA en ISACA behoren tot de geaccepteerde audit industrie norm en vertegenwoordigen hoge professionele audit standaarden. Andere
soortgelijke Social Media audit referentiekaders zijn niet beschikbaar en/of kunnen niet als internationale maatstaf gebruikt worden. Daarom zullen het IIA en ISACA Social Media referentiekaders als benchmark dienen.
ISACA Social Media/Assurance Program
Het Information Systems Audit and Control Association (ISACA) heeft in 2011 het Social Media Audit/Assurance Program ontwikkeld met als doel IT audit en assurance professionals te helpen hun assurance doelstellingen te behalen. Het ISACA Audit programma is in lijn met de het ISACA COBIT framework (COBIT 4.1). COBIT is een raamwerk voor de governance van IT en ondersteunt managers om een balans te vinden tussen control vereisten, technische issues en bedrijfsrisico’s. In het
Audit/Assurance programma wordt bij enkele teststappen verwezen naar de desbetreffende COBIT control objectives om uiteindelijk een Maturity assessment uit te voeren.
Hiernaast zijn in dit framework elementen van COSO Internal Control Framework opgenomen. Centrale elementen in dit model zijn Governance, Risk management en de controle van IT met betrekking tot Social Media.
Het doel van het ISACA Social Media audit programma is om de controle maatregelen met
betrekking tot social media beleid en processen onafhankelijk te kunnen toetsen. De scope van het ISACA Social Media audit programma ligt op strategie en governance, personeel, procedures en technologie m.b.t. social media. Het ISACA audit programma heeft 4 hoofdonderdelen met
subonderdelen. Dit raamwerk is afgeleid van ISACA's Business Model for Information Security (BMIS) (ISACA 2010) en omvat in hoofdlijnen:
1. Strategie en Governance – raamwerk voor (continu) risk management a. Risk management
b. Ongoing risk assessment 2. Policy
a. Bestaan van beleid, inhoudelijke beleid standaarden, interne communicatie b. Contractor Social Media policy: extern Social Media beleid.
3. Personeel – training en bewustzijn a. HR functie
b. Training en bewustzijn c. Staffing
4. Social Media Processen
a. Alignment met andere bedrijfsprocessen b. Merk bescherming
c. Logische toegangsbeveiliging van bedrijfsdata via social media. d. Logische toegangsbeveiliging van Social Media applicaties. 5. Technology
26 a. IT infrastructuur
b. Monitoren Social Media en hun effect op technologie.
IIA
Scott & Jacka (2011) hebben vanuit the Institute of Internal Auditors Research Foundation een Risk en Governance Guide geschreven met betrekking tot het auditen van Social Media. Zij geven aan dat er nog geen consensus bestaat over de definitie van Social Media. Scott & Jacka (2011) hanteren de definitie dat Social Media een set van internet-gebaseerde uitzend technologieën zijn, die zorgt voor democratisering van inhoud, waardoor personen de mogelijkheid krijgen om zich te ontwikkelen van een consument van inhoud, naar het publiceren van inhoud.
Scott & Jacka (2011) leggen de nadruk op het formuleren van een Social Media strategie en expliciet de toegevoegde waarde definiëren voor de onderneming. Social Media dient ingezet te worden om bedrijfsdoelstellingen te realiseren. De onderdelen uit het IIA Social Media referentiemodel zijn (Scott en Jacka 2011):
1. Social Media Governance and Oversight
a. Executive oversight: Raad van Bestuur, Social Media Comité en senior management betrokkenheid in Social Media oversight;
b. Social Media charter, doel en doelstellingen; 2. Social Media Visie
a. Visie sluit aan bij bedrijfsdoelstellingen en strategie;
b. Alle kanalen/stakeholders/beoogde markten/beoogde relaties/beoogde engagement zijn (h)erkend;
3. Social Media Strategy
a. Aansluiting bij bedrijfsdoelstellingen: (keuze voor) Strategische doelstellingen, kanalen, stakeholders, style, frequentie, consistentie van berichtgeving b. Beoogde limitatie;
c. Resource allocatie; d. Vendor management 4. Social Media Executie
a. Rollen en verantwoordelijkheden, reporting lines, oversight, job & educatie vaardigheden, metrics, supervisie binnen afdelingen, quality assurance. 5. Social Media Metrics
a. Meetinstrumenten om succes van Social Media initiatieven te meten 6. Monitoring van Social Media
a. Juiste monitoring systemen, plannen, richtlijnen voor gevoeligheden,
geïdentificeerde monitoring onderwerpen, escalatie procedure, reactie tijden. 7. Social Media Training
8. Social Media Policy
a. Inhoud en communicatie van Social Media beleid als interne en externe richtlijn. 9. Regulatory and Compliance
a. Overzicht van relevante wet- en regelgeving m.b.t. Social Media.
b. Resultaten en implementatie van uitgevoerde risk assessments op verschillende niveaus m.b.t. wet- en regelgeving.
Hoewel Scott & Jacka (2011) dit niet expliciet aangeven in hun boek, lijken de onderdelen van het IIA model aan te sluiten op de onderdelen van COSO ERM. Onderstaand een aantal voorbeelden:
Er is aandacht voor de strategische aansluiting van onderdelen.
