De officiële definitie van IT-auditing luidt: ‘de onafhankelijke en deskundige beoordeling van kwaliteitsaspecten van informatiesystemen’. Eigenlijk is het gewoon een kwestie van meten. En meten is weten. (Of is weten meten? Wie iets wil weten, moet af en toe meten. Maar wie iets meet, hoeft nog niets te weten. Het is: weten is meten. Zeker weten.)
Hoe meer we weten, hoe meer we het gevoel hebben dat we alles onder controle hebben. Dat is een prettig gevoel. We scheppen graag wat orde in de chaos. Of doen althans pogingen daartoe. Beheersing heeft vaak iets te maken met terugkoppeling. Als het te koud wordt in huis, slaat de thermostaat van de centrale verwarming aan. Daardoor blijft het lekker warm. Als je te hard rijd, word je geflitst. Daardoor houd je je redelijk aan de maximumsnelheid. Beheersen is meten, vergelijken, bijsturen. Wijkt de meting af van een bepaalde drempelwaarde, dan moet er wat gas bij, of moet de pedaaldruk juist worden verlaagd. Meten, vergelijken en bijsturen is in veel bedrijfstakken de gewoonste zaak van de wereld. Voor informatietechnologie geldt hetzelfde: weten is meten. En voor meten heb je de edp-auditor. Die onderzoekt een informatiesysteem en vergelijkt wat hij ziet met een bepaalde norm. Hij is daarbij vooral geïnteresseerd in risico’s en in de maatregelen die getroffen zijn om die risico’s te beheersen. Is de afwijking te groot, dan rapporteert hij dat aan zijn opdrachtgever. Die moet maar zien of hij bijstuurt.
De naam edp-auditing is pas veranderd in IT-auditing, omdat bijna niemand meer wist wat edp betekende (‘electronic data processing’). Tegenwoordig zijn er een paar honderd IT-auditors in Nederland. Ze hebben hun eigen beroepsorganisatie, opleiding, methoden en jargon. Kortom, een wereld op zich. Nederland loopt in die wereld redelijk voorop. Onze IT-auditors worden ingeschakeld door managers over de hele wereld.
Groot probleem voor de IT-auditor is de snelheid waarmee zijn controleobject zich ontwikkelt. Dat betekent dat hij zijn normen elk jaar moet aanpassen aan nieuwe producten, inzichten en omstandigheden. Natuurlijk is er altijd veel kritiek op de IT-auditor. Het is niet leuk om op je vingers gekeken te worden, vooral niet door iemand die steeds andere normen hanteert. Maar daar kan de IT-auditor weinig aan doen. Hij moet ook met zijn tijd mee. Een ander verwijt is dat IT-auditors te weinig ‘feeling’ met de praktijk hebben. Dat was vroeger misschien zo, maar nu niet meer. Veel IT-auditors hebben zelf een IT-achtergrond. Ze weten uit ervaring hoe moeilijk het vaak is om een systeem te bouwen of een IT-omgeving in de lucht te houden.
Het leuke van IT-auditing is dat je veel verschillende situaties meemaakt en bijzondere mensen leert kennen. Maar na een paar audits krijg je zin om zelf de handen uit de mouwen te steken. Er zijn mensen die vinden dat oordelen en adviseren niet samengaan. Ik ben het daar niet mee eens, en veel van mijn klanten ook niet. Hoewel… Natuurlijk kun je geen onafhankelijk oordeel geven over een project of systeem waar je zelf ook je steentje aan bijgedragen hebt. Maar er is geen wet die verbiedt dat je je klanten helpt bij het oplossen van hun problemen. In de praktijk zijn de meeste IT-auditors een groot deel van hun tijd bezig met advieswerk of projectmanagement. Dat is beter voor de klant en beter voor de auditor. Af en toe een wedstrijd fluiten is leuk, maar zelf in het veld staan is leuker.
Als afsluiting even een kleine correctie: Ter introductie van mijn nieuwe column werd vermeld dat ik les geef in Accountancy en Recht. Dat is niet het geval. Ik geef les bij de vakgroep Accountacy en Recht aan de Universiteit van Amsterdam in het vak IT-auditing.