IT & Operations

‘Cyber security is een hoofdthema in IT Auditing’

16 april 2018
Tias_Rob_5298

Al jarenlang is IT-Auditing een van de beste opleidingen van TIAS. Binnenkort wordt er een nieuw element aan toegevoegd: keuze uit twee specialisatietrajecten. ‘Die gaan in op twee hele actuele thema’s binnen het vakgebied, namelijk cyber security en data analytics,’ vertelt de Academic Director van IT Auditing, prof. dr. Rob Fijneman. Een interview.

Wat is het belang van een goed opgeleide IT Auditor?

‘Ik redeneer altijd vanuit de klant. Er is veel onzekerheid bij bestuurders, toezichthouders en managers over technologie. Technologie rolt steeds maar in een hoog tempo de organisatie in, wat continue veranderingen betekent. Bestuurders hebben grote moeite om te bepalen of ze de juiste technologie gebruiken, de juiste investeringsbeslissingen nemen en of ze de veiligheidsrisico’s goed inschatten. Al die onzekerheden zijn de expertise van de IT Auditor. Hij of zij geeft antwoord op dit soort vragen. Formeel gezien staat auditing voor een oordeel over of bijvoorbeeld de privacy goed is geregeld en of de investering goed is uitgevoerd. Maar een IT Auditor kan op dit vlak ook adviseren en objectief en onafhankelijk het management helpen bij het oplossen van dit soort vraagstukken.’  

Waarom zou ik juist kiezen voor de opleiding IT Auditing bij TIAS?

‘Het brengt je een combinatie van theorie en praktijk. De relevante theoretische concepten onder auditing en technologiekeuzes krijg je aangereikt. Bij TIAS zijn ze ingepakt in casuïstiek en praktijktoepassing. Meer dan elders zitten we continu in de toepassing van het geleerde en de vaardigheden die je nodig hebt om effectief te zijn als IT Auditor. Kennis en vaardigheden ontwikkel je verder tijdens de dialoog, terwijl stakeholdermanagement ervoor zorgt dat de boodschap ook begrepen wordt. TIAS ziet sterk toe op die aanpak. Een voorbeeld is een IT opdracht in de praktijk waarbij je een actueel probleem oplost voor het management. In geënsceneerde situaties leer je om alles toe te passen wat je nodigt hebt. De hele lifecycle komt aan bod tijdens de slotopdracht, van onderzoeken tot en met presenteren, en dat is anders dan alleen een theoretische masterscriptie opleveren. Toch voldoet de opleiding aan alle eisen, maar dan continu in een praktijkvertaling.

De accenten die we nu gaan toevoegen zijn twee specialisatietrajecten. Die gaan in op twee actuele thema’s in het vakgebied. De eerste is cyber securtiy. Dit bestaat uit 36 dagdelen over wat cyber security is in de dagelijkse toepassing van de IT auditor. Hetzelfde gaan we doen voor data analytics, het tweede specialisatietraject. Dan kom je in het samenspel van data science, IT auditing en data governance. Het grote vraagstuk is hoe je de enorme hoeveelheid aan gegevens kunt inzetten in je processen. Wat is de kwaliteit van de data, wie is eigenaar van de data en wie verklaart of de algoritmes goed zijn? Dat is IT auditing.

Hoe ontwikkelt een IT Auditor zich? Wat is het beginpunt als hij hier binnenstapt en waar komt hij op uit?

‘Het beginpunt is dat de deelnemers binnenkomen met technische bagage van een vooropleiding die in accountancy zit of van IT management of technische bedrijfskunde. Daarbij hebben ze enige werkervaring. Wat ze meestal niet hebben is methodologische onderbouwing van het vakgebied. We reiken structuur aan: wat is IT auditing? Waar zit dat in? En hoe doe je dat? Op het eindpunt snappen ze alle aanpakken en kunnen ze klantvragen beantwoorden met de juiste methodologie. Daarnaast worden de deelnemers gesprekspartner in de opleiding voor de verschillende opdrachtgevers van IT auditing. We verbreden dat, zodat ze kunnen werken met de financieel directeur, met een CIO en met een riskmanager. Daar moeten ze hun weg in leren kennen, met vaardigheden die daarbij horen. Van start- tot eindpunt is dus een wereld van verschil.’

Wat is de belangrijkste ontwikkeling die op dit moment plaatsvindt op het gebied van IT Auditing en hoe speelt TIAS daarop in?

‘Zeer belangrijke problematiek nu is veiligheid. Cyber security is een hoofdthema op alle agenda’s van topbestuurders. Dat zit goed verankerd in het programma, maar we gaan het verder uitdiepen. Het is erg belangrijk om goede antwoorden te vinden op technologie. Technologie heeft namelijk inherente zwakheden. Daar moeten we antwoorden op vinden, dat is een traject waarop we doorpakken. Met de huidige technologie van data analytics lijkt het alsof je technologisch alles kunt verifiëren. Nu kun je de hele dag een bedrijf monitoren op alles wat ze doen. Alleen de vraag is of dat zinvol en betaalbaar is en wat voor type uitspraken je dan kunt doen. Risktechnisch gezien kun je nooit zeggen dat iets 100% goed is. Daar zit een aarzeling. Ook bij de toezichthouders zit een aarzeling: klopt de techniek wel, is het goed genoeg om 100% zekerheid te kunnen geven? Dat verklaart precies waarom we de twee specialisatietrajecten ingaan.’

Hoe ziet het vak van IT Auditor er over pakweg tien of twintig jaar uit? Verschilt dat veel met nu?

‘Het vak zelf gaat ook gedigitaliseerd worden. We gaan technologieën toepassen die het handwerk van vandaag gaan vervangen. De verwachting is dat bij accountancy 80 tot 90 procent wordt vervangen door technologie. De rol van IT auditors zal verschuiven naar het controleren of alles wel klopt, zoals de technologie en de algoritmes. Daarnaast denk ik dat de IT auditor meer moet gaan interpreteren of de technieken wel werken. Dus niet alleen terug- maar ook vooruitkijken, zodat gezegd kan worden wat er morgen of overmorgen gaat gebeuren. Verder denk ik dat er meer diepgaande technologiekennis in het beroep gaat komen. De IT auditor is nu nog teveel een informatieauditor en te weinig een technologieauditor. Het eerste blijft van belang, het tweede is cruciaal. We dienen meer technologie te leren om die rol te kunnen pakken.’

Wat is jouw persoonlijke inbreng bij de opleiding IT Auditing?

‘Mijn aandachtsgebied is altijd geweest IT Governance, dus op bestuurlijk niveau. Hoe moet je technologie optimaal inzetten en de juiste bestuurlijke verantwoording nemen op dit vraagstuk? Daar ben ik steeds meer naartoe bewogen. Ik vind het een grote uitdaging om dat goed neer te zetten omdat je dan IT auditing op topniveau neerzet in plaats van in de catacomben. Mijn rol is steeds meer geworden: wat zijn de kernvraagstukken waar het bestuur en de toezichthouder zich druk om moeten maken? Daarnaast: hoe kom je tot een optimale dialoog met de opdrachtgever voor je überhaupt begint te auditen: waarom is dit probleem nu actueel voor de opdrachtgever? Wat is zijn probleem? Voordat je er allemaal oplossingen in stopt. Minder de detailmethodologieën en meer dit soort rollen en de dialoog: hoe werkt dit? En wat is effectief en minder effectief? Uiteindelijk ben ik verantwoordelijk voor de inhoud en bouwen we een curriculum dat voldoet aan de interne en externe eisen.’

TIAS is de school for business and society. Hoe komt dat terug in het programma?

‘We zijn bezig met maatschappelijk gezien erg relevante thema’s zoals vraagstukken over privacy en veiligheid. Er worden enorm veel data van individuen gebruikt en misbruikt. Daar denk ik dat die relatie naar maatschappelijke vraagstukken het sterkste ligt. We proberen in ons programma daarover te spreken. Vanuit de politiek wordt nagedacht over privacy als grondrecht zodat door technologie de rechten van een individu niet worden. Wellicht moet je gaan remmen op de technologische mogelijkheden. Vanuit de privacygedachte is dat een superrelevant thema.’

Executive Master of IT Auditing

Deze tijd vraagt om bekwame IT-Auditing professionals met diepgaande kennis op het gebied van cyber security, business processing, data analytics en auditing vaardigheden. De Executive Master IT-Auditing sluit aan op deze ontwikkelingen door academische kennis te vertalen naar praktijkgerichte cases die aansluiten bij de verantwoordelijkheden die een IT-auditor heeft.

LEES MEER OVER DEZE OPLEIDING