Stel, je bent auditor bij een onderneming, of adviseur bij een gemeente. Op een dag stelt iemand de vraag: ‘Hoe zit het eigenlijk met de betrouwbaarheid van onze IT-systemen?’. Vervolgens draaien alle hoofden jouw kant op. Wat is nu je volgende stap?
Het antwoord is IT-auditing, ofwel: het beoordelen van de kwaliteit van IT-systemen. Maar zo simpel als de vraag is, zo complex kan het in de praktijk zijn om daar antwoord op te geven. Waar let je op? Welke gevaren liggen er in jouw IT-omgeving op de loer? Hoe herken je die? En, nog belangrijker: hoe zet je je bevindingen om in adequate acties?
Volgens IT-auditor Winfried Nanninga is er een grote behoefte aan postbachelor-opgeleide IT-auditors. Aan specialisten met IT-vaardigheden die een brug kunnen bouwen tussen IT aan de ene kant en praktische bedrijfsvoering aan de andere. Goed opgeleide IT-auditors kunnen complexe vraagstukken het hoofd bieden en zetten zichzelf ook nog eens actief op de kaart als dé professional van morgen.
Waarom zijn IT-audits onmisbaar in iedere organisatie?
“Simpel. Zet alle computers in je organisatie maar eens uit en kijk wat je mist. Nou, dat is veel, kan ik je zeggen. Zonder IT staat alles stil. Het is dus belangrijk dat je IT-systemen veilig en betrouwbaar moeten zijn, en dat de beveiliging van de IT in orde moeten zijn. Onder andere dat, beoordeel je in een IT-audit.”
Wat moet een IT-auditor allemaal kunnen?
“Een goede IT-auditor kan meer dan alleen IT-systemen in een organisatie beoordelen. Hij geeft sturing aan de ontwikkelingen op IT-gebied en kan naast beoordelen ook participeren en adviseren. Hij kan zijn management, directie of een overkoepelende stuurgroep bijpraten en overtuigen. Hij bewaart het overzicht, komt snel tot een onderbouwd standpunt en zet ook in een complexe IT-omgeving op het juiste moment de juiste stappen.”
Wat zijn aandachtsgebieden van een IT-auditor?
“Bij IT-auditing onderscheiden we drie kwaliteitsdomeinen. Beveiliging en exclusiviteit is het eerste: zijn je systemen beschermd tegen ongenode gasten? Hebben alleen de juiste mensen toegang hebben tot de juiste systemen en -privacy en gevoelige- gegevens? Het tweede domein is continuïteit. Blijven je systemen in de lucht bij calamiteiten? Het derde domein gaat over integriteit. Is de informatie die in de systemen wordt gebruikt inhoudelijk wel juist en volledig?”
Vroeger werden audits toch vooral gedaan door accountants?
“Klopt, maar de tijd dat een accountant alleen naar de financiële aspecten kijkt is voorbij. Het IT-aspect is te dominant en te complex geworden. Daarom zie ik een grote rol weggelegd voor IT-auditors, zowel extern als intern. Doordat IT een steeds meer een integraal onderdeel van de hele bedrijfsvoering aan het worden is, is groei ook steeds meer gedifferentieerd: bij verzekeraars, banken, overheden, ministeries, consultancybedrijven, opleidingsinstituten, woningbouwcorporaties: overal is behoefte aan mensen die zich bezighouden met de kwaliteit en het beleid rondom IT-processen.”
Het vak van IT-auditor is dus complexer geworden?
“Zeker. Door de voortdurende ontwikkelingen op IT-gebied, maar ook door uitgebreider toezicht en ingewikkeldere wetgeving. Daarom is een goede opleiding ook zo belangrijk. Met een goede opleiding ben je bewapend tegen IT-vraagstukken, kun je intern adviseren en gericht IT-beleid maken. Op academisch niveau zijn er verschillende opleidingen, maar vooral op postbachelor niveau is er nog een groot gat. Gelukkig biedt Avans+ met zijn IT-audit opleiding een goed en compleet achtdaags traject aan, maar wat mij betreft kan het altijd diepgaander.”
Wie zijn vooral gebaat bij deze opleiding IT-auditor of opleiding IT-security?
“Wat ik constateer, is dat drie groepen mensen er geweldig voordeel mee kunnen doen. Ten eerste de mensen met een financial of operational audit-achtergrond. Zij kunnen meer diepgang brengen in hun kennis van IT-systemen. De rasechte IT’ers daarentegen, kunnen zich weer meer in een ondersteunende rol tegenover de IT-auditor ontwikkelen. De grootste kansen liggen er echter voor medewerkers in het staf- en governancedomein. Zij kunnen dankzij een goede opleiding dé linking pin worden tussen IT-afdelingen, de bedrijfsvoering en ook de -externe- auditors en toezichthouders. Zeker nu bijvoorbeeld overheden zo gefocust zijn op digitale privacy en beveiliging is dit een actueler dan ooit.”
Over Winfried Nanninga
Winfried Nanninga is jurist en onafhankelijk register-IT-auditor. Hij is als docent verbonden aan Avans+, waar hij diverse opleidingen verzorgt. Daarnaast is Nanninga partner van BKBO (Bureau voor Kwaliteitsborging bij de Overheid), lid van het bestuur van NOREA (beroepsvereniging voor IT-auditors) en directeur van een adviesbureau (Nanninga & Partners). Ook schrijft hij regelmatig artikelen over IT-auditing en aanverwante onderwerpen.
Wil je IT-auditing in de praktijk gaan toepassen, maar heb je nog niet genoeg audit en IT vaardigheden? Bekijk dan onze opleiding IT-auditing.