Magazine 01 oktober 2013

IT-audit 2025: vijf bepalende trends

De IT-audit-opleiding van Tias Nimbas Business School presenteert bij zijn 25-jarig bestaan een onderzoek naar de toekomst van het vak op basis van gesprekken met vijftien deskundigen. Een samenvatting van de vijf belangrijkste ontwikkelingen.

Dit artikel is verschenen in Accountant nr. 10, 2013

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Robert Fijneman

1 Radicale transparantie

Data is het nieuwe goud, de hoeveelheid groeit exponentieel en wordt een steeds belangrijker brandstof voor bedrijven en overheden. Op het eerste gezicht kan dat alleen maar goed nieuws betekenen voor IT-audit. Deze beroepsgroep is immers elke dag in de weer met (de kwaliteit van) die data. Het dubbeltje kan echter in de wat verdere toekomst ook de andere kant op vallen. Want in een wereld waarin vrijwel alle data vrij toegankelijk is krijgt de burger steeds meer macht en komt een organisatie er niet meer mee weg om onjuiste informatie naar buiten te brengen. Mogelijk ontstaat er dan een vorm van zelfreinigend vermogen waarin onjuiste informatie ‘vanzelf’ wordt gecorrigeerd. Dat zou zonder twijfel verstrekkende gevolgen hebben voor het werkveld van de (IT-)auditor.

2 Shared value

Burgers eisen steeds meer dat bedrijven geen schade aan de wereld doen en er juist wat goeds aan toevoegen. Winstmaximalisatie blijft een belangrijke driver. Maar bedrijven moeten daarvoor wel de maatschappelijke legitimatie krijgen, geheel volgens het Shared Value-concept van Porter. Daarbij moeten ze laten zien hoe ze de wereld schoner, veiliger, groener, gemakkelijker of gezonder kunnen maken. Hoe draagt de IT-auditor daar straks aan bij? Het lijkt in elk geval zeker dat zijn huidige producten en diensten geen adequaat antwoord bieden op deze ontwikkeling, al was het alleen al omdat deze zich haast per definitie richten op een afgebakend object en/of afgebakende periode in het verleden. De maatschappij heeft echter alleen iets aan zekerheid over datakwaliteit als deze op het moment zelf beschikbaar is. In wat voor vorm dan ook. In de gesprekken is de vergelijking gemaakt met een F16-piloot. Deze wil kunnen bouwen op de data over een tank die hij kilometers verderop voor zich ziet. Daarbij heeft hij niets aan begrippen als ‘materialiteit’ of ‘beperkte mate van zekerheid’, hij wil gewoon zeker weten of het om een vijandelijke tank gaat. IT-audit zal dan ook veel meer ‘in het moment’ zekerheid moeten bieden over de kwaliteit van data. Dat vergt heel andere technieken, vanuit aanpalende vakgebieden (zoals wiskunde) en sectoren (zoals defensie).

3 Earned trust

We ontlenen vertrouwen niet langer aan instituten maar aan individuen die we zelf vertrouwen. Veel instituten vechten hier nu nog tegen en willen het gebrek aan vertrouwen deels oplossen met wet- en regelgeving. Met matig succes, juist omdat de instituties geen vertrouwen meer krijgen. Als het vak ook over tien jaar nog een rol wil spelen in het verschaffen van zekerheid, moet de marketing verbeteren en moet de blik naar buiten. Want vertrouwen krijg je niet omdat je tot een instituut behoort maar omdat je met kennis van zaken handelt en dat duidelijk laat zien. Nu kent het grote publiek de IT-auditor niet of nauwelijks. Die noodzaak tot marketing vraagt ook andere competenties. Dit betekent niet alleen het nodige voor de individuele beroepsbeoefenaren, maar ook voor de opleidingen, beroepsgroep en werkgevers van IT-auditors.

4 Altijd in ‘beta’

Snel inspelen op nieuwe mogelijkheden in een onvoorspelbare wereld wordt steeds belangrijker. We denken niet langer in grote strategische langetermijnplannen maar eerder in concepten als trial and error, prototyping en extreme flexibiliteit. De meningen over de rol van IT-audit in zo'n wereld lopen uiteen.

Sommige geïnterviewden zien een toekomst waarin IT-audit een volwaardige playing captain is binnen organisaties. Nog steeds mislukken veel projecten en de succesratio zou omhoog kunnen door de inzet van de IT-auditor. Deze kijkt dan met de bril van beheersing, weet zich ondersteund door moderne middelen en kan assurance geven bij de opzet van een strategisch initiatief.

Anderen waarschuwen juist voor zo'n rol als playing captain, omdat assurance niet moet worden vermengd met advies. Wie onderdeel wordt van het proces kan niet meer frank en vrij oordelen. In dat verband wordt ook opgemerkt dat auditors nu vrijwel alleen maar rode vlaggen laten zien, als ze risico's of onvolkomenheden zien. Maar ze tonen vrijwel nooit een groene vlag als ze menen dat het goed is. Dat moeten ze meer gaan doen.

5 Een en/en-wereld

Er komen steeds minder generalisten die het complexe geheel nog goed kunnen overzien: de generatie managers van rond de veertig die nu zo zachtjes aan op belangrijke posten komt is vaak heel specialistisch opgevoed.

Dit speelt ook voor de IT-audit. De specialisatie is in elk geval zeer herkenbaar voor IT-auditors die in het domein van security werkzaam zijn, en geldt ook op andere deelterreinen. Naast specialisten zijn ook steeds meer goede generalisten nodig die specialisten aan elkaar kunnen verbinden. Aan auditors die bij hun opdrachtgevers niet denken in discrete eenheden, maar in ketens. Momenteel gaat de rapportage van de IT-auditor vooral uitgebreid in op wat niet onder de opdracht valt, om daarmee de professionele verantwoordelijkheid scherp af te bakenen. Dat wordt niet begrepen door partijen buiten de wereld van de IT-audit. Deze willen zekerheid over datakwaliteit en denken daarbij niet in discrete eenheden maar in ketens. Juist daarvoor is een generalistische blik nodig.

Roze bril

Wie de roze bril opzet ziet op basis van het voorgaande een fantastisch toekomstpotentieel voor IT-audit in een wereld waarin data een steeds grotere rol speelt. Om dat potentieel te benutten is echter verandering nodig in de mindset en de competenties. Dat vraagt ook om een ander opleidingsmodel.

Noot
Rob Fijneman RA is academic director Executive Master of IT-auditing en partner bij KPMG Advisory NV.