De meeste Information Management studenten herkennen het maar al te goed: continu uit moeten leggen wat de studie precies inhoudt en wat voor werk daarop kan volgen. Gelukkig kan je als IM-student vele richtingen op. Eén richting daarvan is IT-audit. IM-studente Veerle Jessen licht dit nader toe, na het opdoen van wat praktijkervaring bij accountantsorganisatie BDO.

Laten we eerst ingaan op ‘audit’ in het algemeen. Het doel van een audit is het geven van aanvullende zekerheid aan het management van een organisatie over de mate waarin de bedrijfsvoering wordt beheerst en over de toereikendheid van de risicosystemen. Dit omvat ook de bijbehorende rapportages, alsmede de daarbij behorende advisering. Een auditor kan zowel intern als extern zijn functie vervullen, mits hij/zij een onafhankelijke, objectieve waarnemer blijft.

Er zijn verschillende soorten audits, maar dit artikel focust op IT-audit. IT-audit is een vaag begrip voor de meeste mensen. Een vaak genoemde omschrijving van IT-audit is als volgt: “IT-auditing is het vakgebied dat zich bezighoudt met de automatisering van de organisatie en de organisatie van de automatisering”. We houden ons onder andere bezig met het beoordelen of de integriteit en vertrouwelijkheid van de gegevens en de beschikbaarheid van de IT-systemen afdoende zijn gewaarborgd. Het is echter geen schande als je nog nooit van het begrip IT-audit gehoord hebt. Vroeger stond het vakgebied namelijk bekend als EDP-Auditing (ofwel: het beoordelen van de Electronic Data Processing). Voorheen lag de focus dan ook op de systeemontwikkelafdelingen en het rekencentrum. Door de toenemende automatiseringsgraad van de hedendaagse technologieën richt het vakgebied zich nu meer op de relatie tussen bedrijfsprocessen en ICT, wat de naamsverandering naar IT-auditing verklaart.                  

IT-audit houdt zich dus bezig met de beoordeling en de advisering over objecten van onderzoek in en rond ICT. Veelal wordt er samengewerkt met accountants, omdat de meeste administratieve processen doorgaans binnen geautomatiseerde informatiesystemen plaatsvinden. Hierdoor is het vaak niet mogelijk om voldoende zekerheid te verkrijgen omtrent de getrouwheid van financiële verslagen. Daar komt de IT-Auditor bij kijken; hij/zij beoordeelt de informatiesystemen op integriteit en vertrouwelijkheid. Pas dan kan de accountant een juist verslag uitbrengen over de organisatie. Zekerheid over de kwaliteit van IT is niet alleen van belang voor de continuïteit en kwaliteit van vitale bedrijfsprocessen; door de hoge eisen die tegenwoordig gesteld worden, is het ook belangrijk voor transparantie, IT-governance (goed ondernemingsbestuur) en compliance (voldoen aan wet- en regelgeving). Naast het uitvoeren van concrete IT audit werkzaamheden hou je je ook bezig met het evalueren van gekozen methodes en het rapporteren en rekenschap geven over de resultaten.

Wanneer je een erkende universitaire opleiding tot IT-auditor voltooid hebt en minstens drie jaar praktijkervaring hebt opgedaan, behoor je tot de Register EDP-auditors (RE’s). Een RE kan meer dan zekerheid over de IT bieden; een RE kan ook meedenken en adviseren over alle informatietechnologie in een organisatie.

Je bent als IT-auditor dus bezig met processen en systemen, maar ook met mensen, en dat maakt het vak zo interessant. Wanneer je een klant toegewezen krijgt, vraag je hem/haar om wat stukken aan te leveren (e.g. informatie over de back-ups, de wachtwoordinstellingen, etc.). Daarna ga je op bezoek bij de klant voor een interview, waar je vaak een rondleiding door het desbetreffende bedrijf krijgt. Zo krijg je veel verschillende soorten bedrijven van binnen te zien. Mijn eerste klant betrof een audiovisueel bedrijf, waar ik veel snufjes en foefjes met gigantische schermen te zien kreeg. Doordat je van te voren al stukken aangeleverd hebt gekregen, kun je tijdens het interview specifieke vragen stellen. Je moet ook altijd even langs de serverruimte gaan als die lokaal staat, om te kijken of hier de nodige maatregelen zijn getroffen (brandblusser, temperatuur regeling, afgesloten ruimte, etc.) Vervolgens werk je je bevindingen uit in een rapport, en dat koppel je terug aan de accountant. In de eerste periode dat je werkzaam bent als IT-auditor doe je dit natuurlijk altijd met een ervaren IT-auditor samen; je gaat niet alleen naar een klant. Een IT-auditor is veel bezig met het uitwerken van rapporten, maar daarentegen ziet hij/zij ook veel verschillende bedrijven en werkt hij/zij met een hoop verschillende mensen samen, wat het een veelzijdig vak maakt. Wil je meer weten over IT-audit? Kijk dan eens op deze link.

Artikel door Redactie

Bestaande uit studenten aan Tilburg University