Interview met Abbas Shahim

Pleitbezorger voor wetenschappelijk onderzoek op het gebied van IT Assurance & Audit

14 november 2014
In dit artikel:

Abbas Shahim is voor een aantal van ons zeker geen onbekende. Voor één dag per week is hij Associate Professor and Director of Studies bij de opleiding IT Audit, Compliance & Advisory (ITACA) aan de Vrije Universiteit (VU) te Amsterdam. Hij maakt deel uit van het opleidingsbestuur en is medeverantwoordelijk voor de bedrijfsvoering, het curriculum en het wetenschappelijk gehalte van de ITACA-opleiding. Hij is ook partner bij Atos Consulting, het voormalige KPMG Consulting. Daar is hij lid van het managementteam en verantwoordelijk voor de Information Security & Risk Management praktijk in Nederland en voor een van de vijf strategische thema’s: ‘Security’, in Benelux en the Nordics.

Een man die de (advies)praktijk kent en de ambitie heeft om het researchklimaat op het gebied van IT Assurance & Audit in Nederland op een hoger plan te brengen. Hoe gaat hij dat bereiken en wat is zijn visie op de ontwikkeling van ons beroep en de rol van IT-auditors?

Je bent verbonden aan de VU en je hebt een drukke baan … Hoe doe je dat allemaal?

‘Formeel ben ik één dag per week bij de VU en vier dagen bij Atos. Maar dat loopt natuurlijk door elkaar en ik ben bezig met mijn passie en daardoor ervaar ik het niet als heel veel. Het is mooi om te zien als mijn werk ergens toe leidt.’

Dat doet het zeker. Aanleiding voor dit interview is jouw betrokkenheid bij de oprichting van het onderzoeksinstituut IT Assurance & Audit aan de VU en de verbinding van dat instituut met de International Federation for Information Processing (IFIP). Wat is IFIP en hoe is het georganiseerd?

‘Vanuit de VU vinden we het heel belangrijk om het academisch gehalte van de opleiding op masterniveau te krijgen. We hebben in 2012 besloten om het instituut IT Assurance & Audit op te richten. Maar de VU hecht erg aan internationalisering en daarom hebben we verbinding gezocht met een organisatie waardoor we het internationale karakter van ons onderzoeksinstituut beter op de kaart konden zetten. We zijn bij IFIP uit gekomen en de verbinding met die organisatie is in september 2013 formeel tot stand gebracht.’

Over IFIP

IFIP is een leidende, multinationale en apolitieke organisatie op het gebied van informatieverwerking, erkend door de Verenigde Naties. IFIP is in 1960 opgericht nadat het eerste World Computer Congress in 1959 in Parijs was gehouden. Een paar getallen: er zijn 3500 wetenschappers aan verbonden uit 56 verschillende landen, uit alle vijf continenten. IFIP is georganiseerd in dertien zogeheten ‘Technical Committees (TC)’. Ieder TC vertegenwoordigt een thema met betrekking tot informatieverwerking, bijvoorbeeld mens-computerinteractie, informatiesystemen en computertechnologie, et cetera. Een TC kent een aantal ‘Working Groups (WGs)’. Een WG richt zich op een specifiek topic in relatie tot het thema van het TC waarvan zij deel uitmaakt.

Zie http://www.ifip.org/.

‘Om door IFIP geaccepteerd te worden, hebben we eerst een plan gemaakt waarin we hebben vastgelegd wat het doel is van onze WG. In de zomer van 2013 heb ik het plan gepresenteerd aan het MT van IFIP en in september 2013 hebben we formele goedkeuring gekregen. Sinds die tijd bestaan we ook officieel als WG11.5 onder TC11. Binnen TC11 vonden wij IT Assurance & Audit een van de betere plekken om onszelf op de kaart te zetten. Het is door IFIP goed ontvangen omdat Audit & Assurance voor hen nog een witte vlek was. In het domein van Security & Privacy (TC11) krijgen auditors een steeds prominentere rol en daardoor is er een goede match van de WG met dit TC. Ik ben voorzitter van WG 11.5 en lid van het MT van TC11. En we hebben professor Wim van Grembergen gevraagd om als vicevoorzitter op te treden.’

Ik ben bezig met mijn passie

‘Tot de leden van de WG horen enkele Nederlanders die in RE-land geen onbekenden zijn: Ronald Paans, Hans Verkruijsse en Eddy Vaassen. IFIP onderkent dat audit stevige wortels heeft in Nederland maar hecht er waarde aan als je een internationale WG kunt creëren. Inmiddels heeft onze WG dan ook een redelijk internationaal karakter gekregen met wetenschappers uit Oostenrijk, België, Canada, Denemarken, Duitsland, India, Japan, Luxemburg, Nieuw Zeeland, Amerika en Zwitserland. Vanzelfsprekend blijven we zoeken naar leden uit het buitenland die onderzoek willen uitvoeren op ons vakgebied. Het is mooi als je wetenschappers of practitioners, mensen uit de praktijk, die (semi)wetenschappelijke ideeën hebben en ook modellen willen uitwerken, binnen de WG kunt krijgen.’

 

Hoe ga je meer bekendheid geven aan het onderzoeksinstituut?

‘Als WG hebben we vorig jaar op de VU in Amsterdam een tweedaags initiatieseminar georganiseerd dat door wetenschappers en IT-auditors werd bezocht. We hebben uitgelegd wie we zijn en wat we gaan doen. Een delegatie van het NOREA-bestuur was daar ook aanwezig. Komend jaar zullen we weer een seminar organiseren dat naar verwachting in Duitsland wordt gehouden.’

Wat wil je bereiken met het onderzoeksinstituut?

‘Er wordt weinig onderzoek gedaan in ons vakgebied, althans niet op semiwetenschappelijk en wetenschappelijk niveau. Daar willen we een leidende rol in nemen.’

‘Dat we als onderzoeksinstituut van de VU gelieerd zijn aan IFIP betekent internationale erkenning en positie in een gerenommeerde denktank. Daarnaast zeggen we tegen het beroep: “wij doen onderzoek”. Zaken die wij publiceren zijn gebaseerd op onderzoek, op feiten. We hanteren een werkwijze in de vorm van een Activity Model (zie figuur 1). Per jaar bepalen wij de thema’s die we willen onderzoeken, rekening houdend met onze researchagenda. Daarvoor initiëren wij onderzoek, eventueel in samenwerking met andere universiteiten. In het interuniversitair overleg met de IT-auditopleidingen zijn de ambities van ITACA op het gebied van wetenschappelijk onderzoek gedeeld met de andere opleidingen. Het is een gemeenschappelijk belang om fundamenteel onderzoek te integreren met het opleidingscurriculum. Ook zoekt de VU naar samenwerking met andere universiteiten, zodra er raakvlakken zijn met risk, security en/of assurance, want dat zijn belangrijke thema’s. Zo is er contact met Jan van den Berg, die eind vorig jaar is benoemd als hoogleraar Cybersecurity in Delft. Met de Universiteit Utrecht doen we gezamenlijke onderzoeksactiviteiten op het gebied van Security Operations Centre en de impact van Data Protection Regulation. De uitkomsten daarvan zullen worden gepubliceerd.’

 

‘Met ons onderzoekinstituut en de binnen IFIP opgerichte WG willen wij een platform bieden waarmee we het IT Assurance & Audit-vakgebied een stap verder hopen te brengen. Het reeds genoemde Activity Model hebben we opgesteld ten behoeve van de monitoring en aansturing van onze WG, teneinde een bijdrage te kunnen leveren aan ons vakgebied.’

Wat merken IT-auditors in Nederland van IFIP en de activiteiten van het onderzoeksinstituut?

We merken dat inhoud mensen drijft

‘IFIP is onder meer actief op vakgebieden die dicht tegen het IT-auditberoep aanleunen. Jaarlijks wordt de IFIP Information Security & Privacy Conference georganiseerd, waaraan wetenschappers uit verschillende landen deelnemen. Zij participeren in uiteenlopende sessies en workshops, en presenteren hun artikelen indien deze door de reviewcommissie akkoord zijn bevonden. Iedere conferentie resulteert in een boek dat in samenwerking met uitgeverij Springer wordt uitgebracht waarin uitsluitend de goedgekeurde artikelen worden opgenomen.’

‘IT-auditors in Nederland kunnen natuurlijk onder andere onze publicaties gebruiken om inzicht te krijgen in verschillende topics waar zij dagelijks mee te maken hebben. Ze kunnen onderzoeksideeën aandragen, participeren in onze researchagenda of kunnen zelfs promoveren. Ook kunnen ze deelnemen aan werkgroepen of seminars. Voor zover bekend bij ons zijn wij op dit moment het enige onderzoeksinstituut IT Assurance & Audit in Europa.’

 

Maken studenten al gebruik van de mogelijkheid die er nu is om onderzoek te doen en een promotietraject in te gaan?

‘We merken interesse. We hebben zes promovendi die al zijn begonnen en hebben nu vier mensen die in de voorbereidingsfase zitten om een promotietraject te starten. We willen ook graag mensen enthousiasmeren hun scriptie te schrijven over de onderwerpen in onze focusgebieden. We merken dat inhoud mensen drijft.’

Wat doen jullie om al deze kennis te ontsluiten voor de praktiserende RE’s?

‘Onderzoeken monden uit in een onderzoeksrapport. Op basis daarvan schrijven we een artikel dat we in een wetenschappelijk tijdschrift publiceren en een white paper dat gratis gedownload kan worden. We hebben inmiddels enkele onderzoeken uitgevoerd op het gebied van Governance, Risk & Compliance, Cyber Risk Governance, IT Assurance Needs en Transformatie van IT-auditorganisaties in IT-advisory. En de publicaties hiervan zijn beschikbaar. Op de website van de VU komt een aparte ruimte voor ons onderzoeksinstituut waarin staat wie we zijn, hoe onze researchtopics eruitzien en wat te downloaden publicaties zijn. Verder denk ik dat we ergens een link met de website van NOREA moeten realiseren of vice versa.’

Wat is wat jou betreft een onderwerp dat fundamenteel onderzocht zou moeten worden?

‘Discussies in de WG leiden haast vanzelf tot onderwerpen die de aandacht verdienen. We hebben recentelijk gesproken over de nieuwste ontwikkelingen en met elkaar vastgesteld dat we misschien toch iets meer met trust moeten doen. We denken nu na over wat het betekent als we dat gaan onderzoeken en welke vraagstukken, relevant voor ons vakgebied, je dan zou moeten onderzoeken. Dan heb ik het met name over IT-trust en niet zozeer over de business trust. Voordat je bij grote IT-trajecten met klanten over assurance praat, wordt eerst de vraag gesteld: “why should I trust you?” Als er trust is, gaat het proces meestal verder en komen er contractonderhandelingen en dan is er pas sprake van assurance. De discussie hierover kwam op gang door de vraag of je assurance nodig hebt om ergens vertrouwen in te hebben of dat je eerst trust nodig hebt en dan assurance om die te bevestigen. Dit zijn de vraagstukken die aan bestuurstafels spelen. Ik merk in de praktijk dat topmanagers die écht over de dagelijkse activiteiten van de organisatie gaan, zoals COO’s, meer en meer trust en assurance tegelijkertijd aan de orde stellen en in relatie met elkaar brengen die samen, zoals zij het zeggen, een “warm gevoel” moeten geven. We gaan dus goed nadenken over fundamenteel onderzoek naar dit interessante vraagstuk, de rol van de IT-auditor hierbij en de bruikbaarheid van de bestaande producten.’

Is het curriculum van de huidige IT-auditopleidingen toekomstbestendig?

‘Er zijn specifieke modules toegevoegd over IT-Advisory, Compliance en IT-Governance. We hebben contact met opdrachtgevers en afnemers, juist om steeds feedback te krijgen voor wat betreft de behoefte uit de praktijk. Uit het door ons uitgevoerde onderzoek naar de transformatie van IT-auditorganisaties in IT-advisory is gebleken dat de RE als adviseur wordt geacht inhoudelijke aanbevelingen en adviezen te geven omtrent drie hoofdgebieden. Het eerste gebied is IT-Risk, en dat is breder dan alleen security. Het tweede gebied is IT-Governance, waaronder IT-kosten en business alignment. Het derde gebied is business sustainability, de duurzaamheid van de onderneming.’

‘Zet deze drie hoofdactiviteiten naast de klassieke RE-werkzaamheden, zoals technical auditing en beoordeling van processen en informatiesystemen, en je hebt een relevante en toekomstbestendige aanvulling op het curriculum.’

Heeft de RE-titel nog meerwaarde ten opzichte van andere security-specialisten?

‘Door de enorme ontwikkeling richting digitalisering en het intensieve gebruik van de Cloud wordt de behoefte aan assurance steeds groter. Managers worden overvallen door een gevoel van ongrijpbaarheid. Hun vitale bedrijfsprocessen spelen zich af in een “totale black box”, een virtuele wereld die zich onttrekt aan hun invloed en controle. Ik zie daarom een toenemende vraag naar cybersecurity-specialisten die verder gaat dan de klassieke informatiebeveiliging. Aandachtsgebieden zijn crime, resilience, risk en governance.’

‘Naast de RE’s zien we steeds meer specialisten met professionele IT-certificaten zoals CISA, CISM, CISSP, et cetera. Toch zie ik duidelijk de meerwaarde van RE’s. Een gemiddelde securityspecialist denkt meestal in termen van al dan niet harde infrastructuur en technische maatregelen of oplossingen. Security echter, moet de verbinding kunnen maken met de bedrijfsrisico’s. Die aandacht heeft een RE veel nadrukkelijker meegekregen in zijn opleiding. RE’s kunnen beter security minded denken en daardoor risico’s en dreigingen onderkennen. Daarnaast zijn ze beter getraind in documentatievorming en dossiervoering en bezitten ze de juiste audit attitude, wat inhoudt dat ze zich rekenschap geven van de noodzakelijke mate van objectiviteit en vertrouwelijkheid die sommige opdrachten nu eenmaal met zich meebrengen. RE’s zijn ook beter getraind en gewend om een gedegen schriftelijke rapportage te vervaardigen en te communiceren met het management.’

‘IT-ers denken heel sterk langs de as van de functionaliteit, waarbij ze het beheersingsaspect vaak uit het oog verliezen. Voor een gemiddelde IT-er staat compliance gelijk aan functional requirements en toepassingen, terwijl de grote kunst is om je te verdiepen in de context en impact. Een functiescheiding wordt aangebracht voor een specifieke doelstelling en voor het onderkennen van die doelstelling is de RE beter toegerust. Hij beheerst de vaardigheid om te kijken met onder meer een focus op process controls.’

Heeft de technologische ontwikkeling ook invloed op de assurance-producten?

‘Trends en ontwikkelingen (zie kader), ook Digital Transformation, DT, genoemd, veroorzaken een grotere vraag naar assurance door auditors. De financial auditors in de Verenigde Staten, de AICPA, hebben dat ook onderkend en hebben daarvoor al een speciale kwalificatie ontwikkeld, te weten: Certified Information Technology Professional (CITP).

Trends en ontwikkelingen

In de trendrapportages, zoals die van Gartner, worden de volgende bepalende ontwikkelingen gesignaleerd:

  • Big Data wordt steeds belangrijker – ‘data analytics’ hoor je ook steeds vaker met betrekking tot financial audit.
  • De grote beweging naar de Cloud.
  • Smart Mobility – gebruikmaken van technologie door informatie met nieuwe mobiele toepassingen te verbinden teneinde het zogeheten “customer-centric thinking” mogelijk te maken.
  • Social Collaboration – nieuwe samenwerkingsvormen binnen en tussen organisaties door middel van sociale netwerken.

Deze kwalificatie stelt de financial auditors beter in staat om een brug te slaan tussen business en technologie. CPA’s wordt aanbevolen om deze kwalificatie te verwerven, met name zij die Information Management & Technology Assurance-diensten aanbieden. De belangrijkste aandachtsgebieden daarbij zijn: Risk Assessment, Fraud Considerations, Internal Control and IT General Controls, Evaluate, Test and Report, Information Management and Business Intelligence.’

‘Daarbij valt direct de overeenkomst op met het curriculum van de Nederlandse IT-auditopleiding. Met meer aandacht voor forensics en digital evidence vergt het in elk geval geen rigoureuze aanpassing om te kunnen stellen dat we feitelijk voor deze competentie kunnen opleiden en aansluiten bij de toenemende behoefte aan assurance-providers op IT-gebied als gevolg van de digitalisering.’

‘Als je de assurance producten gebruikt binnen de context waarvoor ze bedoeld zijn, dan is er niks mis mee. Wat je in de praktijk echter ziet, is dat ze uit de context worden gerukt. Een ISAE 3402-assurancerapport bijvoorbeeld is bedoeld voor het management van de gebruikersorganisatie en haar accountant in geval er sprake is van uitbesteding van de voor de financiële verslaglegging relevante processen aan een serviceorganisatie. Buiten deze gedefinieerde context kunnen de definitie van assurance, de rapportagevorm en de afnemer anders zijn. Uit gesprekken en workshops met klanten blijkt onder meer dat ze ook nog andere assurancebehoefte hebben, waarin objectief en onafhankelijk dient te worden voorzien via rapportages die meer gedetailleerde en inhoudelijke informatie bevatten, bijvoorbeeld over aspecten van Threat Management. Je kunt onder andere op basis van fact finding onderzoek doen om te voorzien in deze specifieke assurancebehoefte, de vorm en inhoud van de bijbehorende rapportage hiermee in lijn brengen, en afstemmen op de afnemer voor wie deze schriftelijke vastlegging is bestemd. In elk geval kan het meer maatwerk vergen.’

Is er een nieuwe assurance-taal denkbaar waarmee IT-auditors zich in dit opzicht kunnen profileren?

‘De mogelijke verandering ligt in de kritiekpunten op de huidige assurance-producten. Die kritiek is dat de huidige assurance over het verleden gaat, dat ze moeilijk interpreteerbaar is en dat de frequentie eens per jaar is.’

Wij willen een platform bieden waarmee we het IT Assurance & Audit- vakgebied een stap verder hopen te brengen

‘Steeds vaker horen we praten over forward looking assurance. Hierbij wordt gesuggereerd om gebruik te maken van de Key Performance Indicators. De traditionele KPIs gaan echter over de prestatie van een proces en niet zozeer over de beheersing hiervan. Daarom wordt inmiddels ook gesproken over de zogeheten Key Assurance Indicators. Deze worden zodanig gedefinieerd dat ze basisgegevens verschaffen waaraan assurance kan worden ontleend. Deze informatie kan betrekking hebben op bijvoorbeeld de beheersmatige aspecten van het change management proces zoals het autoriseren van de applicatiewijzigingen. De kunst is natuurlijk om hier indicatoren voor te definiëren die herhaaldelijk kunnen worden gebruikt om assurance-gerelateerde informatie te verschaffen in de taal van de betreffende klant. Deze afnemer wordt dus vaker geïnformeerd en wordt in staat gesteld om vooruit te kijken en de eventuele toekomstige issues in verband met change management beter in te schatten. Hierdoor kan tijdig worden geacteerd om het een en ander conform de eisen en wensen bij of aan te sturen, zodat zeker wordt gesteld dat de beheersmatige aspecten van dat essentiële proces in orde komen. In de praktijk merken we dat klanten interesse hebben om meer te weten te komen over deze werkwijze, waarvoor vanzelfsprekend nog nader onderzoek nodig is.’

Drs. Th. (Thea) M. J. Gerritse RE en Drs. W. (Wilfried) J.A. Olthof

Thea Gerritse begon haar loopbaan als IT-auditor in 1988 bij EDP AUDIT POOL en is op dit moment auditmanager bij de Auditdienst Rijk. In die functie is zij vooral betrokken bij vraaggestuurde onderzoeken naar grote automatiseringsprojecten bij de Belastingdienst. Wilfried Olthof is directeur van NOREA.