Comprehensive audit onmisbaar in dynamisch IT-veld

In het steeds complexere IT-veld is comprehensive auditing onmisbaar, meent ir. Pieter Schoehuijs, Group CIO bij Capgemini. Hij is docent in het blok Comprehensive IT-Auditing, het sluitstuk van de Executive Master of IT Auditing. Hij legt uit hoe een comprehensive audit waarde toevoegt.

Wat is comprehensive auditing?
Een comprehensive audit is veel meer dan alleen een tag die aangeeft dat alles goed werkt. Je kijkt naar de gehele samenhang en de context waarin iets gedaan wordt, in plaats van naar een specifiek aspect. In je oordeel neem je ook de structuur van de organisatie, de kennis en kunde van mensen en de invloeden van buitenaf mee. Het is eerder een managementview dan puur een technische view. Daarmee sluit je natuurlijk veel beter aan bij de waardecreatie van het bedrijf.

Wat is het belang van comprehensive auditing?
Het IT-gebied wordt de laatste jaren steeds dynamischer. Vroeger waren systemen groter en duurden projecten vaak één of meerdere jaren. Je kon project- of systeemaudits doen, IT general controls auditen, je kon frameworks zoals COBIT gebruiken. Tot op bepaalde hoogte bestaat dat allemaal nog steeds, het is een sterk fundament.

Maar op dat fundament wordt steeds sneller en diverser gebouwd. We maken gebruik van cloudoplossingen, infrastructuren en platforms as a service. Dat doen we niet bij één leverancier maar bij meerdere partijen. Ook softwarewordt gewoon geconsumeerd uit de cloud. Een deel van de IT is dus op een heel flexibele manier uitbesteed, steeds vaker naar offshore landen als India. In plaats van meerjarige projecten hebben we lean development DevOps, waarbij in korte sprintjes van een paar weken iedere keer een nieuwe versie wordt opgeleverd.

Al die zaken maken het zeker niet makkelijker vanuit CIO- en bestuurdersperspectief. In dat veld is comprehensive auditing precies wat je moet doen. Want als je nu het HR-systeem of een bepaald project gaat auditen, dan ziet dat er heel anders uit dan tien jaar geleden.

De IT-auditor krijgt een grotere strategische rol?
Absoluut. Ieder groot project binnen een bedrijf heeft tegenwoordig een IT component. Ook als CIO sta ik vaker in de boardroom en word ik vaker uitgenodigd om aan niet-IT-trajecten deel te nemen. De IT-auditor moet wel met de ontwikkelingen meegaan. Je moet je niet blind staren op een component of aspect, maar de vertaalslag kunnen maken naar de vraag: wat is het bedrijfsbelang? Daar helpt comprehensive audit bij.

Kunt u een voorbeeld geven?
Bij een bedrijf dat als financiële holding gerund wordt, past een heel andere governance, IT-organisatie, IT-landschap en risk management dan in een meer geïntegreerd bedrijf. In de praktijk zie je dan ook dat bedrijven daar heel verschillend mee omgaan. Ze kiezen er echt voor om iets bijvoorbeeld heel licht of juist heel zwaar uit te voeren. En dat is niet inherent goed of slecht, maar een keuze die hopelijk bij dat bedrijf past. Dat is erg contextafhankelijk.

Wat zijn de eigenschappen van een goede comprehensive auditor?
Je moet willen zoeken naar de breedte en een oprechte interesse hebben in de bedrijfsprocessen. Wat probeert het bedrijf te bereiken, waarvoor bestaat het bedrijf, wat zijn ze aan het doen, hoe werkt dat en hoe ondersteunt IT die bedrijfsprocessen? Kijken naar IT door een bedrijfsbril, als niet-IT’er. Daar horen sterke communicatieve vaardigheden bij. Je moet veel praten met mensen van buiten de IT-organisatie, zoals medewerkers van de inkoop en andere business units.

Wat wilt u de nieuwe lichting IT-auditors meegeven?
In de IT-auditing zijn we gewend aan checklists en modellen. En die hebben we ook nodig hoor. Maar kom niet met een standaard checklistje aan als je ergens een audit doet. Loop met een leeg papier ergens op af en stel eens een paar domme vragen. Waarom doen we dit, wat is daar het belang van, en hoe verandert dat in de loop der tijd, wat vindt een ander belangrijk? Op dat conceptuele denken moet de nadruk liggen. Comprehensive auditing is een manier om de complete set van methodes te beschouwen en te kijken: wanneer pas je nou wat toe, en hoe. Het is de strik om de gereedschapskist.

Executive Master of IT Auditing

Pieter Schoehuijs is Group CIO bij Capgemini en docent in de module Comprehensive IT-Auditing van de Executive Master of IT Auditing. Met deze opleiding versterkt u uw IT-kennis en ontwikkelt u een unieke combinatie van technische en communicatieve vaardigheden.

Lees meer over deze master