Interview met Jeroen Biekart

Uitdragen strategie en bekendheid van het RE-beroep

3 mei 2017
PDF
In dit artikel:

Bij de start van zijn voorzitterschap heeft Jeroen Biekart begin 2014 een interview gegeven in de IT-Auditor. Tijd voor een update vanwege z’n voorgestelde herbenoeming. We spreken met hem bij NOREA.

De voorgenomen fusie met ISACA is niet doorgegaan. Wat is de stand van zaken op het samenwerkingsvlak, ook met bijvoorbeeld andere partijen?

‘Met de voorzitter van ISACA Nederland, Fred Steenwinkel, vindt periodiek overleg plaats. De focus ligt nu op mogelijkheden tot samenwerking, want blijven kijken naar het verleden heeft niet zoveel nut. In vroeger tijden organiseerde ISACA round tables, die goed liepen, maar door de grote aantallen deelnemers dreigde dit succesvolle initiatief onbetaalbaar te worden. Fred stelde voor om op dat vlak iets samen te organiseren en daar ook gezamenlijk invulling aan te geven. Daar zijn we op ingesprongen en sinds een jaar of twee organiseren we de round tables samen. En we vullen ook samen de agenda in. Voor NOREA-leden is het daarmee ook toegankelijk. Dat is succesvol gebleken.’

‘Behalve met ISACA hebben we ook veel gemeen met het PvIB. Vanuit NOREA hebben we aangeboden om op het gebied van kennisgroepen samen te werken. ISACA en het PvIB kennen dat fenomeen niet. We hebben aan de respectievelijke besturen het aanbod gedaan om aan de kennisgroepen mee te doen. Jessica Conquet (PvIB) en Fred Steenwinkel (ISACA) waren er in elk geval positief over en hebben het voorstel recentelijk voorgelegd in hun vergaderingen. We hebben daar nog geen antwoord op gekregen, maar ik hoop dat het voorstel positief is ontvangen. We zijn dus als bestuursleden met elkaar aan het verkennen op welke vlakken we nog meer met elkaar kunnen samenwerken. Door de bestaande samenwerking uit te bouwen tot bredere samenwerking en bijvoorbeeld samen congressen te organiseren.’

We gaan ons meer profileren met duidelijke communicatieboodschappen

‘Daarmee zijn best wel een aantal bruggen geslagen. In ieder geval ligt hier een basis voor verdere samenwerking. Het is van belang dat de leden het nut van samenwerking inzien. Je kunt als bestuur nog zoveel willen, maar de leden moeten er het belang van inzien. Er zijn nog een heleboel leden die niet weten dat je naar de round tables toe kan. Daar zouden we misschien wat meer ruchtbaarheid aan moeten geven.’

‘Met NBA hebben we al jaren een goede samenwerking. Met Jacques Urlus is een goede verstandhouding en we overleggen regelmatig met hem. Hij is aangetrokken als beleidsadviseur ICT en Accountancy om een aantal IT-onderwerpen voor NBA uit te werken. Daarnaast zijn er met de NBA nog wat andere initiatieven. Denk aan de oplevering van het studierapport ‘Financial audit, an integrated IT audit approach’. Inmiddels is de kennisgroep IT & Financial Audit volop bezig specifieke onderwerpen verder uit te werken in samenwerking met NBA.’

De Commissie Visie 2020 doet een tweetal aanbevelingen. De eerste aanbeveling is: creëer een brede, hoog gekwalificeerde, op IT-governance gerichte beroepsgroep met daarbinnen een op IT-assurance gerichte groep professionals. De tweede aanbeveling van de commissie is om via een groeimodel samenwerking te bereiken tussen de verschillende disciplines en professionals die zich met IT-governance bezighouden.

Nog drie jaar te gaan en het is 2020. Hoe ver zijn we met de Visie 2020 en strategie?

‘In de afgelopen ledenvergaderingen hebben we ruim plaats gemaakt voor strategie en scenario’s en de afwegingen daarin met de leden besproken. Afstemming met commissies en de Raad van Beroepsethiek heeft plaatsgevonden en de laatste hand wordt gelegd aan het strategiedocument. Voor een gemiddeld lid is het best lastig om allemaal bij te houden wat er allemaal gebeurt. Niet iedereen komt naar een ledenvergadering en niet iedereen leest de notulen en presentaties die we op de website publiceren. In de jaarverslagen staat ook te lezen wat er allemaal heeft plaatsgevonden. Als bestuur ben je geneigd ervanuit te gaan dat de leden altijd van alles op de hoogte zijn, maar dat is natuurlijk niet zo. Niet alle leden zijn in de gelegenheid om op de voet te volgen wat het bestuur allemaal doet.’

‘Met de twee aanbevelingen (zie tekstkader) zijn we bezig. In de eerste plaats zijn we met het PVIB en ISACA in gesprek om te kijken of we in de toekomst wellicht een beroepskoepel of koepelorganisatie kunnen oprichten, die staat voor een bepaalde basiskwaliteit die herkenbaar is voor de buitenwereld, en waarin ieder zijn eigen kennis of specialisme inbrengt. Hierbij streef je een gemeenschappelijk doel na, waar je mee naar buiten treedt, terwijl toch alle partijen hun eigen identiteit kunnen behouden. Dat is iets wat het PvIB en ISACA op zich wel aanspreekt, maar waarbij ze aangeven dat het behoud van identiteit ook wel belangrijk is. Dat geldt overigens ook voor NOREA. Een verschil tussen NOREA en het PvIB zal wel blijven bestaan: NOREA heeft bijvoorbeeld een register waar een IT-auditor kan worden ingeschreven als RE. Dat is bij het PvIB niet het geval, al zie je dat opleidingen en de vastlegging van beroepsprofielen de afgelopen tijd veel aandacht hebben gehad. Bij ISACA is sprake van een hybride situatie. Je kunt lid worden, maar op het moment dat je een van de examens hebt gehaald waardoor je de bijbehorende titel hebt, kun je ook in het register opgenomen worden.’

‘Een ander speerpunt betreft het vergroten van het aantal leden van NOREA. Een van de manieren om ervoor te zorgen dat er meer leden komen, is zorgen dat er meer mensen naar de opleidingen gaan. De bekendheid vergroten van de opleidingen en het beroepsperspectief is daarbij noodzakelijk. Het geven van presentaties bij masteropleidingen is belangrijk, ook bij masteropleidingen zoals economie, informatica, bestuurlijke informatica en technische studies.’

‘Een andere ontwikkeling die we zien, is dat een bepaalde groep de IT-auditopleiding wel volgt maar moeite heeft om zich te kwalificeren voor de praktijkervaring. Er is ook een groep studenten die de theoretische basis voldoende vindt en niet de intentie heeft om zich te kwalificeren voor RE. Voor beide groepen gaan we onderzoeken wat de dienstverlening vanuit NOREA zou kunnen zijn om ze toch te kunnen binden aan NOREA. We zijn al begonnen met de studentenvereniging van de VU, VUrORE, en we gaan dat ook met TIAS en de Erasmus doen.’

‘Het vergroten van de bekendheid over wat een IT-auditor kan en doet, is een essentieel onderwerp uit de Visie 2020. Communicatie is hierbij erg belangrijk, maar ook marketing. Dit jaar zullen we in de publiciteit de aandacht vestigen op de Europese Privacy Verordening. Als hier de rol van de IT-auditor duidelijk naar voren komt, is dat goed voor onze naamsbekendheid.’

‘Verder wordt ingezet op het beter faciliteren van de vaktechnische ontwikkelingen. Er zijn verschillende kennisgroepen die een mooi trackrecord hebben opgebouwd. Die gaan we faciliteren met een Wiki-achtig platform, mits de kosten ervan realistisch zijn. Hierdoor kunnen we sneller en gemakkelijker op geselecteerde onderwerpen kennis delen.’

Er zijn de afgelopen jaren een aantal producten ontwikkeld en publicaties verschenen:

  • Publieke Managementletter Beheersing Keteninformatisering Zorgsector
  • Handreiking Service organisatie Control (SOC) Rapporten
  • Algemene Beheersing van IT-diensten (Studierapport NOREA/PvIB)
  • Handreiking (Update) ZekeRE-Zorg 1: ‘DBC’s op weg naar Transparantie’ (DOT)
  • Cybersecurity Assessment (methode/vragenlijst Kennisgroep Cybersecurity)
  • Privacy Impact Assessment (versie 1.2 met aanpassingen in kader meldplicht datalekken

Communicatie was en is een hot issue. Zou het niet handiger zijn om sneller te reageren op ontwikkelingen in de buitenwereld en meer onderzoek te doen, door bijvoorbeeld meer betaalde functies binnen NOREA?

‘Veruit de meeste activiteiten worden uitgevoerd door vrijwilligers binnen NOREA. Maar een paar personen verrichten betaald werk. Het snel kunnen reageren op ontwikkelingen is hierdoor niet goed mogelijk.’

‘Als bestuur denken we wel aan het vergoten van impact op de buitenwereld. Er worden af en toe persberichten en artikelen aangeboden aan bijvoorbeeld het FD, Automatiseringgids (huidige naam: AG Connect) of Computable, maar deze worden vaak niet geplaatst. Als reden wordt gegeven dat de nieuwswaarde niet hoog genoeg is. Vergeet niet dat wij als beroepsgroep niet zomaar  kunnen publiceren uit het oogpunt van privacy of vertrouwelijkheid van klanten. We moeten nog een modus zien te vinden hoe dat eventueel wel zou kunnen gaan werken. Het zou misschien mooi zijn als we bijvoorbeeld een column zouden kunnen hebben in een voor ons relevant blad.’

En nu we het toch over communicatie hebben: zou het niet mooi zijn dat de website van NOREA eens vernieuwd wordt? En er een beveiligde omgeving voor de webshop komt?

‘Een vernieuwde NOREA-website is per 1 februari 2017 in de lucht. Deze is gebaseerd op de eigentijdse uitgangspunten voor beveiliging en responsive design. Ook zijn de webshop en het cursusportal daarop aanzienlijk verbeterd.’

Aan de kennisgroepen ontlenen we de expertise en capaciteit voor onze uitingen in de markt

Hoe gaat het met de zzp IT-auditors en hoe is NOREA omgegaan met deze groeiende groep?

‘Sinds anderhalf jaar is Winfried Nanninga de linking pin naar de zzp’ers. Hij heeft het op zich genomen om de groep zzp’ers periodiek bij elkaar te krijgen. Regelmatig worden round tables en netwerkbijeenkomsten georganiseerd, die nu een keer of vier zijn geweest. Deze bijeenkomsten worden redelijk bezocht en iedere keer staat een ander onderwerp centraal. Je kunt deze bijeenkomsten het beste zien als een soort kennisplatform, met vooral een sociale component. We proberen de bijeenkomsten ruim van te voren in te plannen en een aantrekkelijk programma te bieden. Verder is het een podium voor een stem van de zzp’er. Er kunnen PE-punten behaald worden, maar dat mag naar mijn mening niet de belangrijkste motivatie zijn om deel te nemen. We schatten dat de groep zzp’ers uit ongeveer honderd personen bestaat, er is geen aanleiding om te denken dat deze groep groeiende is.’

Kun je reactie geven op de stellingen die op de IT-Auditorsdag op 25 september 2013 aan bod kwamen?

Stelling: IT-audit als professie bestaat niet meer in 2020.

‘Niet mee eens, dat bestaat nog wel degelijk.’

Stelling: De IT-auditor treedt in 2020 op als dirigent/regisseur of als specialist.

‘Beide, dat is juist de kracht van een IT-auditor. Je hebt IT-auditors die sterk gespecialiseerd zijn in bepaalde takken van onze sport, waarmee ze dus specialist zijn. Je hebt ook IT-auditors die binnen ons vakgebied meer dirigent/regisseur zijn. Het management van veel organisaties ziet de IT-auditor als specialist, omdat hij verstand heeft van een bepaald vakgebied, namelijk ICT. Als je bijvoorbeeld als IT-auditor bij ING, Unilever of Philips binnenkomt, ben je per definitie een specialist. Bij opdrachten die gericht zijn op ICT-bedrijven wordt de IT-auditor vaak weer als generalist gezien, omdat binnen de branche de echte ICT-specialisten werken. Het is dus maar wie er naar ons kijkt.’

Stelling: Het werkterrein van de IT-auditor blijft in Nederland?

‘Nee, maar dat is het nu ook al niet het geval. Er zijn ook buitenlandse auditors werkzaam in Nederland en daar zijn ook kwalificaties voor, denk aan ISACA. Daarbij denk ik dat de IT-auditors in het externe beroep, maar ook in het interne beroep die veelal bij wat grotere organisaties werken, hun werkterrein niet beperken tot Nederland. Ik denk dat er geen enkel beursgenoteerd bedrijf bestaat dat alleen voor Nederland werkt. De bekendheid van de kwalificatie RE is in het buitenland wel een aandachtspunt. Hier kan NOREA nog wel wat aan verbeteren.’

Stelling: Privacy is in 2020 nog steeds belangrijk.

Privacy zal belangrijk blijven, maar het ligt eraan op welk onderdeel. De grens zal steeds verlegd worden. Hoeveel gemak krijgt een consument terug voor het inleveren van privacy? Ik vind het bijvoorbeeld plezierig dat ik de bonusaanbiedingen van de supermarkt in mijn mail krijg. Je kunt er ook voor kiezen om hier geen gebruik van te maken. Zo is dat met een heleboel dingen. Je kunt er voor kiezen om wel of niet van bepaalde diensten gebruik te maken tegen inlevering van privacy. Een aantal jaren geleden stond iedereen op de achterste benen toen een bank advertentiediensten wilde gaan aanbieden op basis van betalingsgedrag van haar klanten. Over het algemeen lever je voor gratis diensten een stuk privacy in over bijvoorbeeld je koopgedrag. De vraag is dan: “Waar ligt de grens als het gaat om “omkoopbaarheid”?” Die grens verschuift, het zou een interessant onderzoek zijn!’

Stelling: De IT-auditor moet zich meer richten op de toekomst in plaats van het verleden.

‘Eens. Assurance over toekomst wil men graag, maar dat is onmogelijk. Dat is hetzelfde als aan je beleggingsadviseur vragen wat de beurs morgen gaat doen. Assurance over de toekomst is een onzinnige vraag. Natuurlijk moet iedereen zich op de toekomst richten, maar de actualiteit, real-time informatie, zal het maximale zijn. Bijvoorbeeld door dashboards, waarmee externe klanten kunnen vaststellen hoe beheersing en assurance over diensten er op dat moment voor staan. Het werkterrein van de IT-auditor gaat verschuiven naar de kwesties wat de normenkaders zijn en in welk systeem wordt bijgehouden dat aan die normen is voldaan. De IT-auditor staat dan voor de vraag of het dashboard dat een cliënt te zien krijgt wel betrouwbaar is. Hiermee gaat de IT-auditor dichter op de actualiteit zitten, maar voorspellen in de toekomst, dat gaat niet gebeuren.’

Stelling: De veranderende wereld verlangt andere vaardigheden van de IT-auditor?

‘Ongetwijfeld. Kijk naar big data en data-analyse, die doen steeds meer hun intrede. Je mag veronderstellen dat een IT-auditor zich daar ook een beetje in verdiept. Tien jaar geleden maakte niemand zich druk over “mobiel verkeer”. Tegenwoordig wel, want de meeste dashboards worden op een iPad aangeboden. Dit heeft de IT-auditor zich ook eigen moeten maken.

Robotica is ook een vorm waar we rekening mee moeten houden, dit is nu nog een witte vlek. Automatisering wordt steeds meer aangeboden in apparatuur. De gemiddelde IT-auditor weet hier niet zoveel van. Dat gaat wel veranderen denk ik. Denk bijvoorbeeld aan auto’s die zelfsturend gaan worden. In de zorgsector is van NEN 27001 een vertaling gemaakt naar de NEN 7510. Daar hebben we als NOREA in samenwerking met allerlei andere zorgpartijen toezichtscriteria voor opgesteld. Een niet onbelangrijk onderdeel daarvan is de “robotica”, alle technische automatisering, de zorgapparatuur, de meetapparatuur. We gaan er nu vaak maar vanuit dat een infuuspomp zijn werk goed doet.’

‘Eerder spraken we erover dat een IT-auditor zowel een generalist als een specialist kan zijn. Het zal belangrijk blijven dat een IT-auditor deskundig is en zijn kennis bijhoudt. Net als aansturing van andere specialisten en het in begrijpelijke taal vertellen over beheersing van IT en oplossingen.’

En ter afsluiting: Als je in jouw glazen bol kijkt. Wat zie je dat je met ons moet delen?

‘In december hebben we in de ledenvergadering een toelichting gegeven op de strategische doelstellingen en de wijze waarop we hierover gaan communiceren. Dit betreft om te beginnen meer bekendheid geven aan het IT-auditberoep, de RE en het vakgebied. Verder gaan we voldoende groei realiseren en nieuwe doelgroepen aanspreken. Ook gaan we kennisontwikkeling bevorderen in overeenstemming met IT-trends en -ontwikkelingen.’

‘Dit betekent dat we ons meer en met duidelijke communicatieboodschappen gaan profileren op basis van publiciteitscampagnes rond specifieke thema’s zoals privacy, cybersecurity, big data, internet of things et cetera.  En niet alleen benoemen wat er allemaal verkeerd zou kunnen gaan en welke risico’s er zijn, maar vooral ook kansen en oplossingen aandragen waar organisaties mee geholpen zijn’.

‘Behalve voor marketing en communicatie is daarbij ook een belangrijke rol weggelegd voor de kennisgroepen, want vooral daaraan ontlenen we de expertise en capaciteit voor onze uitingen in de markt. De afgelopen jaren zien we een behoorlijke toename van enthousiaste leden die deelnemen aan de kennisgroepen. Dat is waar we het voor doen en we gaan ervoor om die continuïteit voor onze leden de komende jaren verder te versterken.’

Henri Raaphorst en Carline Jeninga-Hollemans

Voor Henri Raaphorst is het leidende thema voor het werk ‘Bouwen aan vertrouwen’. Vertrouwen binnen zijn team, in de relatie met de klant/collega’s en vertrouwen in de IV/ICT, die van toenemend belang is voor de taken van de Nederlandse Krijgsmacht. Carline Hollemans (1979) begon na haar studie Facility Management met een traineeship bij PTT Post (nu PostNL). Hierna heeft zij een paar jaar als Projectmanager bij Deloitte gewerkt in de interne ICT-organisatie, om vervolgens bij MN aan de slag te gaan als ICT-procesbeheerder en ICT-stafadviseur. In die periode is zij gestart met de RE-studie aan de Erasmus Universiteit. Om daadwerkelijk invulling te kunnen geven aan het IT-audit vakgebied, is zij in dienst getreden bij Mazars Management Consultants als IT-auditor.