Bij de meeste IT-organisaties is de IT-auditor een graag geziene gast. Met scherpzinnige vragen inspireert hij managers en medewerkers tot steeds hogere prestaties. Zijn lijfspreuk, controleren is beter dan vertrouwen, wordt in brede kring onderschreven. Als de IT-auditor langskomt, is het feest.
Alle deuren gaan wijd open, gejuich stijgt op, systeemprogrammeurs barsten in gezang uit. Er is verse koffie en met een beetje geluk ook warme appeltaart. Als de IT-auditor weer weggaat blijft de stemming opperbest. Zijn praktische aanbevelingen en ijzersterke adviezen maken het werk een stuk leuker en gemakkelijker, waardoor de integrale kwaliteit van de totale IT-dienstverlening tot ongekende hoogte kan stijgen. U ziet, de toegevoegde waarde van een goede IT-auditor is enorm. Het is des te merkwaardiger dat in sommige kringen soms negatieve geluiden over onze begroepsgroep te vernemen zijn. De klachten schijnen betrekking te hebben op zowel de kwantiteit als de kwaliteit van het gebodene.
Neem de kwantiteit. Een goede vriend, manager bij een grotere onderneming die ook IT-diensten levert aan derden, verzucht wel eens dat hij meer tijd kwijt is aan externe auditors dan aan zijn eigen personeel. De statistieken liegen er niet om. Hij krijgt bezoek van de interne accountantsdienst, van de externe accountant, van de externe accountant van zijn grootste externe klant, van zijn toezichthouder, van de externe accountant van zijn toezichthouder, van de security-afdeling van de moederorganisatie, van een bureau dat bezig is met ISO-certificering en af en toe van een ‘due diligence’-team. Al die controleurs maken onafhankelijk van elkaar afspraken met zijn toch al overbelaste team, vragen dezelfde documentatie op en stellen allemaal dezelfde vragen.
Hij heeft het probleem opgelost door een functionaris aan te stellen die een groot deel van zijn tijd besteedt aan het coördineren van externe audits. Ongelooflijk, maar waar. (Je zou die functie natuurlijk ook kunnen uitbesteden. Gat in de markt: Autsource bv. Gespecialiseerd in het te woord staan van auditors. Ervaren professionals met moderne tools, handboeken en procesbeschrijvingen die elke vraag efficiënt en deskundig kunnen pareren. Gevestigd op de Antillen. Een beursgang is niet uitgesloten.) Maar even serieus. De vraag is of het op de IT-werkvloer niet te druk wordt met controleurs. Die vraag is zonder meer gerechtvaardigd. Ook de toegevoegde waarde van de IT-auditor kent bepaalde grenzen.
Dan de kwaliteit. Dezelfde IT-manager, met jaren ervaring, mag graag mopperen dat pas afgestudeerde economen hem met een checklist in de hand komen vertellen hoe hij zijn afdeling moet runnen. Ik kan hem geen ongelijk geven. Aan de andere kant komt het vaak genoeg voor dat juist die pas afgestudeerde econoom met zijn frisse blik snel in de gaten heeft wat er mis is en ook niet te beroerd is om dat helder op te schrijven.
Vaak gaat het niet om de kwaliteit van het oordeel, maar om het beeld dat de beoordeelde van die kwaliteit heeft. Dat beeld is nogal eens vertekend. Bijvoorbeeld omdat de beoordeelde niet blij is met zijn onvoldoende en de auditor daarvan de schuld geeft. Of omdat hij zich verslikt in het nogal aparte jargon dat de auditor gebruikt. Auditors hebben het altijd over dingen als de opzet, het bestaan en de werking van maatregelen. Het zijn termen die afkomstig zijn uit de accountantswereld. Opzet betekent dat alles netjes gedocumenteerd is. Bestaan betekent dat alles conform de documentatie aanwezig is. Werking betekent dat alles werkt zoals het zou moeten werken. Het gaat uiteindelijk natuurlijk om de werking, maar voor auditors is de opzet net zo belangrijk. En daarmee kom je bij het doorlichten van een IT-organisatie vaak in de problemen. Veel voorkomende situatie: systemen staan rustig te zoemen, gebruikers zijn dik tevreden en op de beveiliging is weinig tot niets aan te merken. Helaas staat er geen letter documentatie op papier. In zo’n geval geven de meeste auditors een onvoldoende. De IT-manager is het daar natuurlijk niet mee eens. Alles werkt toch zoals het zou moeten werken? Dat is waar, maar auditors willen de stukken er nu eenmaal graag bij hebben. Dat is wel begrijpelijk als je bedenkt dat die documentatie eigenlijk het enige tastbare bewijsmateriaal is dat je als auditor aan je dossier kunt toevoegen. En dat dossier is weer belangrijk als je verantwoording over je onderzoek moet afleggen, bijvoorbeeld aan een tuchtraad.
Opzet, bestaan en werking. Werking zonder opzet bestaat, zeker in de IT, maar een beetje auditor neemt hier geen genoegen mee. Natuurlijk draait het in de meeste organisaties niet om opzet, bestaan en werking maar om heel andere dingen, zoals opstaan, werk en bezetting. Een goede reden om nog eens kritisch naar externe auditors te kijken. Doen ze hun werk wel efficiënt genoeg? En leveren ze genoeg toegevoegde waarde om die verse koffie met appeltaart te rechtvaardigen? Is het antwoord op deze vragen nee, spreek ze er dan gerust op aan. In het begin vinden ze dat niet leuk, maar uiteindelijk zullen ze u er dankbaar voor zijn.
Edo Roos Lindgreen, partner bij KPMG Information Risk Management, en docent IT & Auditing aan de Universiteit van Amsterdam