Home Magazine

Van beoordelingskader naar digitaliserings-versneller:

18 juni, 2026
de ervaringen met het digitaliseringsframework
Auteurs: Jean-Jacques Bistervels en Onno Rommen.

Digitalisering is voor veel organisaties al lang geen keuze meer maar een randvoorwaarde om wendbaar, schaalbaar en toekomstbestendig te blijven. Tegelijkertijd blijkt in de praktijk dat digitalisering zelden uitsluitend een technologievraagstuk is. Juist de samenhang tussen strategie, governance, processen, data, mensen en technologie bepaalt of digitale ambities daadwerkelijk gerealiseerd worden. Dat inzicht vormde de basis voor het Digitaliseringsframework [1], dat door de Internal Audit Functie van Achmea is ontwikkeld en samen met IIA Nederland en NOREA is doorontwikkeld tot een praktijkgericht hulpmiddel voor auditors. De auditdienst van Bovemij heeft dit framework vervolgens gepilot binnen een van de groepsonderdelen.
Het framework
Het Digitaliseringsframework is ontwikkeld om obstakels en succesfactoren van digitalisering zichtbaar te maken. In een eerder artikel in NOREA-magazine is het al eens besproken [2]. Het framework is opgebouwd uit de drie hoofdcomponenten Governance & Sturing, Change & Run en Fundament. Binnen deze componenten komen onderwerpen samen zoals strategie, governance, processen, mensen en vaardigheden, data, architectuur, cybersecurity en technologie. Juist de onderlinge samenhang tussen deze elementen bepaalt in hoeverre digitale ambities realiseerbaar zijn. Daarmee biedt het framework handvatten voor advisering en kaders voor beheerste en toekomstbestendige digitalisering. Het framework bestaat uit drie hoofdcomponenten elk opgebouwd uit een of meerdere subcomponenten:
  • Governance & sturing: gericht op visie, strategie, prioritering, besluitvorming en het vermogen van een organisatie om digitalisering expliciet te besturen.
  • Change & run: kijkt naar de inrichting van verandering in de praktijk, zoals organisatieverandering, procesinrichting, vaardigheden en de vraag of digitale verandering daadwerkelijk landt in de operatie.
  • Fundament: omvat de randvoorwaarden die duurzame digitalisering mogelijk maken, zoals data, architectuur, technologie, cybersecurity en compliance.
De subcomponenten zijn verder uitgewerkt in elementen, elk met concrete aandachtspunten, interviewvragen, te interviewen rollen, voorbeeldtoetsen en best practices. Het framework wordt risicogebaseerd toegepast waarbij per audit een selectie van relevante elementen wordt gemaakt, afhankelijk van scope en onderzoeksobject. Daarmee is het een zeer praktisch model voor internal auditors die verder willen kijken dan alleen projectbeheersing of IT-controls en helpt om digitalisering in samenhang te beoordelen.

Binnen een snelgroeiend groepsonderdeel van Bovemij, dat zich voorbereidde op een zogenaamde ‘carve-out’, kreeg het framework een concrete en actuele toepassing. De adviesopdracht van Internal Audit stond in het teken van de vervanging van een bedrijfskritisch kernsysteem, de bredere digitalisering van klantbedieningsprocessen en de aanstaande carve-out, waarna het betreffende onderdeel zelfstandig moet kunnen functioneren. Deze combinatie van ontwikkelingen maakte de casus bij uitstek geschikt om het framework in de praktijk op toe te passen. De centrale vraag was daarbij niet alleen of afzonderlijke digitaliseringsinitiatieven succesvol worden gerealiseerd maar vooral of het bedrijfsonderdeel voldoende in staat is om haar digitale kernfuncties zelfstandig, beheerst en toekomstbestendig in te richten. Juist in een organisatie die zich in een scale-upfase bevindt, groeit, en te maken krijgt met toenemende eisen van onder meer klanten, toezichthouders en ketenpartners, is dat geen theoretische exercitie maar een strategische noodzaak.
De door auditors gehanteerde aanpak
De kracht van het Digitaliseringsframework zit niet alleen in de inhoud maar ook in de manier waarop auditors het kunnen inzetten. De aanpak laat zien dat een dergelijk framework vooral waarde toevoegt wanneer het proportioneel wordt toegepast. De auditors kozen niet voor een allesomvattende toets op alle circa 130 aandachtspunten maar voor een gerichte subset die aansloot bij de vraagstelling, de fase van de organisatie en de concrete aanleiding van het onderzoek. Daarmee bleef het onderzoek scherp en bestuurlijk relevant, zonder de integraliteit uit het oog te verliezen.

De aanpak kende grofweg vier stappen:
  • Onderzoeksvraag concretiseren: niet alleen welke ontwikkelpunten er waren rond de vervanging van het bedrijfskritische kernsysteem maar ook in hoeverre de organisatie na de carve-out zelfstandig de benodigde IT-, governance-, compliance-, risk-, data- en cybersecurityfuncties kan organiseren.
  • Scope bepalen: binnen de scope vielen onder meer de digitale ambities van het groepsonderdeel, governance en besluitvorming rond digitale transities, samenwerking tussen business en IT, en de mate waarin risico’s, voortgang en sturing in samenhang werden beheerst.
  • Buiten scope afbakenen: onder andere een technische evaluatie van code, infrastructuur of architectuurdetails en een volledige doorlichting van het totale digitaliseringsportfolio.
  • Selecteren relevante elementen van het framework: door een proportionele subset van het framework te gebruiken bleef het onderzoek scherp, uitvoerbaar en relevant voor management en directie.
In het veldwerk combineerden de auditors meerdere onderzoekstechnieken. Documentanalyse vormde de basis. Governance- en sturingsdocumentatie, projectinformatie rond de vervanging van het kernsysteem, risico-overzichten, voortgangsrapportages en andere relevante stukken werden gebruikt om de formele inrichting en vastgelegde keuzes te begrijpen. Daarnaast zorgden interviews met sleutelrollen binnen het bedrijfsonderdeel en de ondersteunende IT organisatie vanuit de groep voor duiding en verdieping. Daarbij werden onder meer directie, finance, project- en complianceverantwoordelijken, vertegenwoordigers vanuit risk en IT betrokkenen gesproken. Zo ontstond niet alleen een beeld van wat ‘op papier’ was vastgelegd maar ook van hoe digitalisering daadwerkelijk werd beleefd, bestuurd en uitgevoerd.

Aanvullend op het Digitaliseringsframework zijn de uitkomsten gestructureerd aan de hand van een generiek IT-governance volwassenheidsmodel. Dit model maakt geen vast onderdeel uit van het Digitaliseringsframework maar is in de pilot bewust toegevoegd als analysemethodiek om de uitkomsten in een ontwikkelperspectief te plaatsen. Daartoe werd per thema het geïnventariseerde niveau afgezet tegen het door management gewenste ambitieniveau. De gehanteerde schaal van het volwassenheidsmodel liep van ad hoc, initieel via herhaalbaar en gestandaardiseerd naar beheerst en optimaliserend. Daarmee werd het gesprek niet beperkt tot losse bevindingen maar verschoven naar een ontwikkelperspectief: waar staat de organisatie nu, waar wil het naartoe en welke stappen zijn nodig om die ontwikkeling realistisch te maken? Juist die vertaalslag van observaties naar ontwikkelopgaven gaf het onderzoek een adviserend karakter en maakte het mogelijk om de uitkomsten toekomstgericht te bespreken, passend bij de adviesgerichte aard van de pilot en de doelstelling van het framework. Deze combinatie werkte goed in de praktijk en sloot aan bij de doelstelling van het framework.
Resultaten: waar het framework scherpte bracht
De pilot maakte voor de directie zichtbaar dat de digitale ambitie duidelijk aanwezig is maar dat de organisatorische en sturingsmatige randvoorwaarden nog niet overal op hetzelfde ontwikkelniveau zitten. Het algemene beeld was dat de organisatie zich bevindt rond een basisniveau van volwassenheid, terwijl de ambitie op meerdere onderdelen nadrukkelijk hoger ligt. Het adviesrapport duidde dit als een ontwikkelopgave: de organisatie wil doorgroeien naar een meer gestandaardiseerde en beheerst ingerichte digitalisering maar daarvoor moeten fundament, governance en verandervermogen verder worden versterkt.

Doordat het framework niet alleen naar technologie keek maar ook naar governance, mensen en processen, bracht het onderzoek ontwikkelpunten naar voren die in een traditionele IT-audit minder zichtbaar zijn geweest. Dat beeld wijst op een organisatie waarin veel kennis en voortgang nog sterk leunen op individuen, waarin end-to-end sturing nog in ontwikkeling is en waarin het digitale fundament nog niet volledig meegroeit met de ambities. Tegelijkertijd liet het onderzoek ook zien dat op onderdelen al een basis aanwezig is. Zo zijn er duidelijke ambities, is het belang van digitalisering bestuurlijk onderkend en zijn op diverse terreinen al eerste structuren zichtbaar. Juist die combinatie van ambitie en gedeeltelijk ingerichte randvoorwaarden maakt de situatie herkenbaar voor veel organisaties in transitie.

Op het terrein van visie en strategie bleek dat digitalisering wel degelijk onderdeel is van de koers maar nog beperkt expliciet en meetbaar is verankerd in een samenhangende KPI-structuur. Voor governance gold dat besluitvorming deels via het groepsonderdeel, deels via de groep en deels ad hoc verliep, waardoor eigenaarschap, prioritering en consistentie nog scherper konden worden ingericht. Bij organisatieverandering en processen werd duidelijk dat digitalisering nog niet overal gepaard ging met een even ver doorgevoerd end-to-end ontwerp van processen, rollen en verantwoordelijkheden. Ook de menselijke kant vroeg nadrukkelijk aandacht: competenties, capaciteit en strategisch personeelsmanagement zijn randvoorwaardelijk als een organisatie wil dat digitalisering niet alleen op papier maar ook in de dagelijkse praktijk succesvol is.

De toepassing van het framework maakte bovendien zichtbaar dat het fundament voor verdere digitalisering versneld versterkt moet worden. Dat gold voor data-governance, waar eigenaarschap, kerngegevens en datakwaliteitsmonitoring nog verder vorm konden krijgen maar ook voor technologie en architectuur. Beschrijvingen van architectuurprincipes, samenhang en wijzigingsprocessen boden nog ruimte voor verdere formalisering. Voor cybersecurity en compliance was het beeld vergelijkbaar: maatregelen zijn aanwezig maar de carve-out vraagt dat de organisatie deze verantwoordelijkheid steeds meer zelfstandig, over de gehele keten en aantoonbaar inricht. Daarmee werd duidelijk dat digitalisering niet alleen een vraag is van tempo en innovatie maar evenzeer van beheersing, continuïteit en ‘license to operate’ onder de AFM vergunning.

Deze eerste pilot met het framework heeft voor de IAF van Bovemij enkele aanknopingspunten opgeleverd voor verdere doorontwikkeling. Ten eerste is het framework inhoudelijk breed en rijk maar ontbreekt een expliciete koppeling met risico’s. Het opnemen van typische risico’s per subcomponent kan bijdragen aan een sterkere verankering in de auditpraktijk en een betere traceerbaarheid van bevindingen. Daarnaast brengt de breedte van het framework het risico met zich mee van overkill en verschillen in toepassing tussen auditors. Een logische aanscherping zou daarom kunnen liggen in het introduceren van een meer uniforme selectielogica waarmee auditors op consistente wijze bepalen welke onderdelen in een specifiek onderzoek worden meegenomen. Tot slot is het in deze pilot toegepaste volwassenheidsmodel een externe aanvulling op het framework. Een expliciete koppeling van volwassenheidsniveaus aan de verschillende subcomponenten, afgezet tegen de door het management geformuleerde ambitie, kan een waardevolle uitbreiding vormen. Dit sluit bovendien goed aan bij de toenemende adviesgerichte toepassing van internal auditing.
Conclusie
De pilot laat zien dat het Digitaliseringsframework auditors helpt om digitalisering op een andere manier bespreekbaar te maken met het management. Niet als los IT-thema en ook niet uitsluitend als verzameling risico’s maar als samenhangend verander- en besturingsvraagstuk. Juist daarin schuilt de meerwaarde. Het framework bood de auditoren een gemeenschappelijke taal om strategie, governance, processen, data, technologie en compliance in één beeld te verbinden. Daardoor ontstond een gesprek dat verder ging dan losse tekortkomingen en zich richtte op de vraag wat nodig is om digitale ambities daadwerkelijk waar te maken. De voorwaarden voor een succesvolle toepassing bleken in de praktijk beperkt van aard maar wel essentieel. Het betrof met name de beschikbaarheid van relevante stakeholders en documentatie, evenals een open en transparante houding ten aanzien van de digitaliseringsvraagstukken. Juist deze elementen zijn bepalend om een realistisch beeld te verkrijgen van de mate waarin digitalisering in de organisatie wordt vormgegeven.

Voor het onderzochte groepsonderdeel betekende dit dat niet alleen zichtbaar werd waar de belangrijkste gaps liggen maar ook welke richting logisch is voor verdere professionalisering: het concretiseren van de digitaliseringsstrategie, het explicieter inrichten van governance, het versterken van het fundament en het mee laten groeien van processen, mensen en risicobeheersing. Daarmee bevestigt deze casus een bredere les voor het auditvak zoals ook besproken in de podcast [3]. Auditors kunnen met het Digitaliseringsframework niet alleen terugkijken of toetsen maar juist ook vooruitkijken en het gesprek faciliteren over het versnellen van beheerste digitalisering. In die zin is het framework niet alleen een beoordelingsinstrument maar ook een enabler voor betere gesprekken, scherpere keuzes en meer toekomstgerichte internal audit.

Bronnen:
  1. Practice Guide Digitalisering en Internal Audit – IIA Nederland & NOREA | IIA Nederland
  2. NOREA | Van innovatieremmer naar digitalisering-enabler
  3. Podcast; het digitaliseringsframework
Disclaimer: Bij het schrijven van dit artikel is gebruikgemaakt van een AI-tool ter ondersteuning bij taal- en structuurverbetering.
Jean-Jacques Bistervels
Jean-Jacques Bistervels is hoofdredacteur van NOREA-magazine. Na zijn studie Technische Bedrijfskunde aan de TUE is hij zijn carrière bij Ernst & Young gestart als IT-auditor. Hij heeft daarna ruim zeven jaar gewerkt binnen de farmaceutische sector, gevolgd door om en nabij vijftien jaar in de financiële sector bij met name banken en verzekeraars. En kort nog even in de wereld van gemeenten en media & educatieve bedrijven vertoefd. Hij is momenteel werkzaam als hoofd Interne Audit bij Bovemij.
Onno Rommen
Onno Rommen is Senior IT-auditor bij Bovemij. Hij houdt zich bezig met IT-governance, informatiebeveiliging, digitale weerbaarheid en de audit van complexe IT-veranderingen binnen de financiële sector. Daarnaast heeft hij bijzondere interesse in cybersecurity en technologische ontwikkelingen.