← Terug

De IT in audIT

IT-Audit: een enorm actueel onderwerp waar steeds meer belangstelling voor is. Om een duidelijker beeld te krijgen van het beroep en werkzaamheden van een IT-auditor, is deze keer Jeroen Kuper (IT-adviseur en docent aan de RUG) geïnterviewd.

Allereerst, zou u uzelf voor kunnen stellen?
“Ik ben Jeroen Kuper en woon met mijn vrouw en twee kinderen in Assen. Sinds twee jaar ben ik docent aan de Rijksuniversiteit Groningen, waar ik iedere vrijdag te vinden ben. Voordat ik hier kwam werken heb ik ook gastcolleges mogen geven op het gebied van IT-beheersing voor de vakgroep Accountancy. Op maandag tot en met donderdag ben ik werkzaam voor KoutersVanderMeer als IT-adviseur. Ik adviseer en help bedrijven bij het maken van IT-gerelateerde keuzes, zoals beveiliging van systemen, het implementeren van beveiligingsmaatregelen… ga zo maar door! Voor mij is geen enkele week, nee dag, hetzelfde. Het werk is erg gevarieerd. De ene keer zit je bij een productiebedrijf in Friesland en dan weer bij een vermogensbeheerder in Rotterdam.”

Hoe bent u terechtgekomen in dit vakgebied?
“Ik ben op een vrij rare manier in het vakgebied gerold. Eerst ben ik begonnen met de studie informatiemanagement aan de Hogeschool van Amsterdam. Daarna ben ik hier in Groningen terecht gekomen voor de master Technische Bedrijfskunde. Tijdens een career week ben ik in aanraking gekomen met EY waar ik in 2005 begonnen ben met werken. Als je begint met werken ben je echter nog geen IT-auditor, eerst moet je nog een opleiding gaan volgen. In Nederland kan dit in verschillende steden. Ik ben deze opleiding aan de VU gaan volgen in Amsterdam, waar ik in 2009 mijn scriptie heb afgerond en de RE-titel heb gekregen. Met deze titel ben je geregistreerd Register EDP-auditor, de oude term voor IT-auditor.”

Hoe combineert u uw werk als docent aan de universiteit met uw werk als IT-auditor?
“De combinatie van één dag docent, vier dagen IT-adviseur is prima te doen. De werkzaamheden die ik de eerste vier dagen van de week uitvoer, sluiten heel goed aan op de dingen die studenten moeten weten. Ik kan bepaalde theorieën vanuit de praktijk verduidelijken. Het is natuurlijk leuk dat iets op een bepaalde manier in de boeken staat, maar in de praktijk komt daar veel meer bij kijken. Zo heb je te maken met klanten, die enerzijds je opdrachtgever zijn, maar anderzijds vaak ook object van onderzoek. Als je een audit uitvoert, geeft je vaak een oordeel over de mate van IT-beheersing bij je klant. De klant is niet altijd even gelukkig met de uitkomsten van de audit, wat regelmatig leidt tot de nodige spanning. Dit soort voorbeelden uit mijn eigen praktijk, vullen de theorie naar mijn mening heel goed aan.

Wat doet u graag in uw vrije tijd?
“Doordeweeks begin ik om vijf uur ’s ochtends en leg ik het werk neer om vijf uur ’s middags. Ook in het weekend wordt er niet gewerkt. De tijd die ik dan heb, breng ik graag door met mijn gezin. Als het lukt, probeer ik twee keer per week te sporten. Ik ga dan graag spinnen, een rondje mountainbiken of hardlopen met de achterbuurjongen. Ook vind ik het leuk om wat te lezen binnen mijn interesse in technologische innovaties. Over onderwerpen zoals ‘Internet of Things’ en privacy en security blijf ik graag op de hoogte.”

Wat houdt het werk van een IT-auditor precies in?
“Het werk van een IT-auditor valt niet uit te drukken in een paar woorden, want de ene IT-auditor doet dagelijks volstrekt andere dingen dan de andere. Kort samengevat gaat IT-auditen vaak over het onderzoeken en beoordelen van IT-objecten en de beheersing daarvan. Daarbinnen kan je veel verschillende kanten op. Je hebt auditors die alleen het certificeren van software doen, anderen doen beveiligingsonderzoeken, wat veel technischer is, en sommigen richten zich vooral op wetgeving omtrent privacy, zoals de AVG. Het vakgebied varieert dus sterk. Wat mij betreft is er wel een sterke overeenkomst binnen het IT-audit vakgebied: veel IT-auditors zijn vooral goed in het opschrijven wat er allemaal niet goed is. Ik zou het persoonlijk een verbetering vinden als de beroepsgroep specifieker is in het adviseren over de oplossing, zeker in het mkb.”

Welke vaardigheden moet een doorsnee IT-auditor bezitten?
“In mijn ogen zijn er drie belangrijke vaardigheden die je als IT-auditor moet bezitten. Als eerst is een goed analytisch vermogen op het gebied van risico’s nodig. Je moet goed in staat zijn te doorgronden waar de risico’s zitten. Een andere belangrijke vaardigheid is dat je comfortabel moet zijn op het gebied van (informatie) technologie. Het meest belangrijke is denk ik wel dat je goede soft-skills moet hebben. Aangezien je vaak adviezen geeft over complexe onderwerpen, waar niet iedereen het gelijk mee eens is, moet je jezelf goed onder woorden kunnen brengen en je mannetje/vrouwtje kunnen staan in discussies.”

Wat vindt u het leukste aan uw beroep?
“Het leukste vind ik wel dat je vaak te maken hebt met actuele zaken. De technologische ontwikkelingen, zoals automatisering en robotisering, volgen elkaar razendsnel op. Verder heeft het vak van auditor wat mij betreft iets boeiends, namelijk: enerzijds ben je vaak een noodzakelijk kwaad voor organisaties, maar anderzijds kan je heel waardevol zijn voor organisaties. Als je je bevindingen hebt gerapporteerd en je brengt daar advies over uit, leidt dit regelmatig tot frictie, omdat de bevindingen en adviezen niet voor alle betrokkenen even goed uitkomen. Ik zie het als mijn opdracht om mijn rapportagestijl en woordgebruik zo te kiezen dat het voldoende ‘jeukt’ op de plek waar verandering moet optreden, zodat betrokkenen in beweging komen en de noodzakelijke verbeteringen worden ingezet. Als je je adviezen te algemeen houdt om iedereen te vriend te houden, zal er niets veranderen en doe je je werk eigenlijk voor niets. Als IT-auditor ben je onafhankelijk, objectief en ter zake kundig en op die manier moet je een oordeel geven. De woorden die je kiest in het rapport bepalen of er wel of geen veranderingen zullen plaatsvinden.”

En wat het minst leuke?
“Om eerlijk te zijn, kan ik geen minder leuke dingen aan het beroep noemen. Het is nou eenmaal een heel breed beroep en gezien de technologische veranderingen heeft het zeker toekomst. Als ik dan toch iets moet noemen, vind ik het minder leuk dat je veel onderweg bent. Mijn klanten zitten verspreid door heel Nederland. Ik breng voor m’n werk jaarlijks 60.000 kilometer door in de auto.”

Wat is voor u de grootste uitdaging aan het werk?
“De grootste uitdaging is niet specifiek IT-audit-gericht. Naast het lesgeven en adviseren, geef ik ook veel lezingen en cyber-risk awareness-sessies bij bedrijven. Ik probeer daarbij op een interactieve manier, bedrijven bewuster te maken van de IT-risico’s die er schuilen. Iedere sessie is verschillend, qua groepsgrootte, bedrijf of variatie in de groep. De uitdaging zit hem vooral in het meekrijgen van de hele groep. Soms heb je een wat ‘saaiere en passieve’ groep die je wel een leuke interactieve dag wil geven, dus zo'n groep probeer ik dan ook mee te krijgen. Dat is niet altijd even makkelijk!”

Hoe ziet u de toekomst van de IT-auditor?
“Gezien de snelle technologische veranderingen denk ik zeker dat de IT-auditor toekomst heeft. Controles en dergelijke activiteiten die achteraf plaatsvinden, zijn echter vrij goed te automatiseren. Dat betekent dat de IT-auditor wat meer aan de voorkant van het proces zal gaan zitten, bijvoorbeeld door preventieve beheersmaatregelen te helpen opstellen en te implementeren. Ook worden er steeds meer data-analyses uitgevoerd met behulp van algoritmes. Bij het definiëren en implementeren van deze algoritmen kan een IT-auditor ondersteunen. Ik denk dus zeker dat de werkzaamheden van de IT-auditor toekomst hebben. Om in te spelen op de toekomst, vind ik persoonlijk dat er tijdens de opleiding meer vakken moeten worden gegeven op het gebied van IT. In de master zit nu al een nieuw vak die alle IT-facetten raakt, alleen is dit ene vak wat mij betreft nog niet genoeg. Het is een goed begin, maar we zijn er nog niet.”

Merkt u als IT-auditor iets van de nieuwe privacywetgeving, de AVG?
“Jazeker, iedereen heeft het erover en vindt er iets van. Op zich is het niet zo heel nieuw. Privacywetgeving hebben we immers al jaren in Nederland, maar dan onder andere namen. Sinds de invoer van de AVG is er binnen ons land niet heel veel veranderd, maar bedrijven moeten nu vooral kunnen rapporteren en verantwoorden over hoe zij omgaan met data. Voor de IT-auditor zorgt de vernieuwde wet wel voor extra werk. Om als bedrijf ‘AVG-compliant’ te raken zijn er tien stappen die gevolgd moeten worden. Veel van die stappen zijn juridisch van aard, maar een aantal stappen heeft ook nadrukkelijk raakvlakken aan IT-systemen en IT-beheerprocessen. Daarbinnen moeten organisaties technische en organisatorische maatregelen treffen. IT-auditors kunnen heel goed ondersteunen bij het beoordelen en adviseren over de mate waarin getroffen maatregelen in voldoende mate adequaat zijn.”

Wat zou u de studenten nog mee willen geven?
“Besteed meer aandacht aan IT terwijl je studeert. Het onderwerp is erg relevant en we hebben er dagelijks mee te maken. We doen heel erg ons best om IT een prominente plek te geven binnen de accountancy-opleiding, maar we zijn nog niet waar we willen zijn. Ik adviseer studenten daarom aanvullend te kijken naar onderwerpen als ‘predictive analytics’, programmeertalen als Python, of geavanceerd gebruik van Excel. De gemiddelde accountancy student is al bang voor een draaitabel in Excel…”

Benieuwd wat PM voor jou kan betekenen? Word lid!

Lid worden (€1,-)