Een terugblik in vogelvlucht

Dertig jaar IT- auditing aan de VU

VUrORE, de vereniging van studenten en alumni van de IT-auditopleiding aan de Vrije Universiteit Amsterdam, organiseerde 13 september 2016 weer haar jaarlijkse symposium op de universiteitscampus. Onder de titel Compliance & Assurance, Back to the Future stond dit event deze keer in het teken van het dertigjarig bestaan van de IT-auditopleiding aan deze universiteit. In dit artikel geven wij een globale impressie van het symposium en schetsen we in vogelvlucht de ontwikkeling die de opleiding heeft doorgemaakt. We besluiten het artikel met een oproep aan de IT-auditopleidingen in Nederland en onze beroepsorganisatie NOREA.

Impressie van het symposium

In de rol van dagvoorzitter opent Ronald Paans dit speciale symposium. Hij neemt het ‘Back to the Future’ uit de titel van het symposium letterlijk, want zijn lezing begint in de tijd van de Egyptenaren. Na een flitscollege over de evolutie van de informatieverwerking in de afgelopen paar duizend jaar, geeft hij het woord aan Edo Roos Lindgreen (KPMG). Edo heeft direct de aandacht van de aanwezigen met een aantal treffende anekdotes over de huidige Programme Board, die bestaat uit Ronald Paans en Abbas Shahim van de Masteropleiding IT Audit, Compliance & Advisory (ITACA). Zo schetst Edo trefzeker het voor Ronald Paans karakteristieke optreden. ‘Ik heb het al zo vaak meegemaakt’, vertelt hij, ‘ook al zaten we met een raad van bestuur aan tafel, dat Ronald wanneer het echt serieus begint te worden opstaat, zijn jasje uittrekt, de mouwen van zijn overhemd opstroopt – en vanaf dát moment heeft hij ieders aandacht, hoe hoog ook in de boom’.

Vervolgens spreken Marcel Bongers en Luc van Zutphen, de oprichters van de opleiding en daarmee de initiatiefnemers van het vakgebied, de zaal toe. Ze schetsen ons vakgebied als een terrein dat de afgelopen dertig jaar naar volwassenheid is toegegroeid.

Het ijs is gebroken, de toon gezet en het wordt tijd voor de meer inhoudelijke bijdragen. Arthur de Groot (Deloitte), initiatiefnemer van het Institute for Financial Crime (IFFC), bijt het spits af. Hij bespreekt de eerste digitale fraudes in Nederland en vervolgens ook meer recente cybercrime-voorbeelden.

De ochtendpauze benutten de symposiumdeelnemers om oude herinneringen met elkaar op te halen en ook om met elkaar van gedachten te wisselen over de huidige stand van zaken van het beroep.

Na de pauze bespreekt Peter Eimers (PwC) de huidige trend van toenemende digitalisering en de verdere integratie tussen het vakgebied van IT-auditors en dat van accountants. Hierbij belicht Peter ook onze nieuwe kopstudie voor RA’s, het Executive Programme in Digital Auditing. Dit is een samenwerkingsverband tussen het Postgraduate Accountancy Programme en het IT-Audit, Compliance & Advisory Programme (beide deel van de VU Postgraduate School en de Faculteit der Economische Wetenschappen en Bedrijfskunde).

De volgende spreker is Aart van der Vlist (CIO UWV). Aart weet met een aantal stellingen de zaal flink in beweging te krijgen. Zo gooit hij de knuppel in het hoenderhok met de stelling ‘NOREA trekt de IT-Auditor binnen een jaar uit de identiteitscrisis of heft zichzelf op’. Na een stevige en tegelijkertijd constructieve discussie met de zaal is het tijd voor de lunch.

Daarna volgt Ronald Prins (Fox-IT) met zijn verhaal over cybersecurity. Hij doet hierbij onder meer de stellige uitspraak dat de overheid achterloopt op de actualiteit in de digitale wereld en daarom hoognodig in beweging moet komen op het gebied van cybersecurity.

Eddy Vaassen (Tilburg University, Post-Master Accountancy Programme) sluit het ochtendgedeelte af met een presentatie over recente ontwikkelingen zoals big data en blockchain.

Na een korte koffiepauze is het woord achtereenvolgens aan Kor Mollema, emeritus hoogleraar aan de Erasmus School of Accounting and Assurance, en Jeroen Biekart, voorzitter van NOREA. Kor en Jeroen kijken beiden terug op hun ervaringen bij de IT-auditopleidingen en spreken hun waardering uit voor de staf van de opleiding aan de Vrije Universiteit.1

Tot slot ontvangt Ronald Paans het door VUrORE samengestelde jubileumboek ‘30 Jaar IT-Auditing aan de VU’ uit handen van Jeroen Biekart.

Vervolgens start Tom Vreeburg (EY) aan het begin van het middagprogramma zijn presentatie met een aantal vragen aan de zaal. ‘Hoe lang bestaat het openbare internet? Van wanneer dateert de eerste elektronische computer? Wanneer introduceerde IBM de eerste pc?’ Met deze vragen heeft hij vanaf het begin de volledige aandacht van de gehele zaal en wordt het een levendige, interactieve sessie.

Daarna nemen Stef Zelen en Stef Schinagl namens het bestuur van VUrORE het woord. Stef Zelen gaat terug naar de oorsprong van de IT-auditopleiding aan de VU en neemt het publiek mee in zijn zoektocht naar de geschiedenis van de opleiding. Vervolgens blikt Stef Schinagl terug op de afgelopen dag. Hierbij schetst hij de volgende conclusies uit de stemmen die de deelnemers via hun smartphone tijdens het seminar hadden uitgebracht op een reeks stellingen:

  • Het vakgebied IT-audit is broodnodig toe aan vernieuwing. Forse veranderingen zijn noodzakelijk, en wel met spoed – een proces van geleidelijke aanpassingen is niet voldoende.
  • De belangrijkste verandering is dat de IT-auditor zich (nog) verder moet specialiseren. Specialisatie is wat we nu vooral nodig hebben: eerder dat, dan verbreding. In welke richting of richtingen waarin we de verbreding moeten zoeken, daarover lopen de meningen uiteen.
  • Het is vooral de feitelijke verandering bij de beoefenaren van het vak die nodig is, formaliseren via NOREA komt later wel.

Aan het eind van het programma sluit Ronald Paans de dag af. Daarna wordt het symposium afgesloten met een hapje en een drankje.

Dertig jaar opleiding in vogelvlucht

Voor deze vogelvluchtschets spraken we met Paul Harmzen, Ronald Paans en Abbas Shahim, drie pioniers van de opleiding.

Onze eerste gesprekspartner was Paul Harmzen. Paul is al vanaf het begin betrokken bij de opleiding. Hij begeleidt onder meer scripties bij de opleiding. Daarnaast is hij partner bij Control Solutions International.

Wat bracht jullie er eigenlijk toe om een nieuwe beroepsgroep in de wereld te zetten?

Paul: ‘De basis ligt in de zestiger jaren van de vorige eeuw. Consultants, adviseurs en interne accountants gaven technisch en functioneel advies bij de inzet van automatisering, toen nog ‘Electronic Data Processing’ (EDP) geheten. Het bedrijfsleven in Nederland werd in die periode in toenemende mate geconfronteerd met regelgeving van bijvoorbeeld toezichthouders. Die regelgeving was bedoeld om organisaties in staat te stellen gebruik te maken van de mogelijkheden van de toenemende automatisering, en tegelijkertijd de risico’s ervan systematisch te mitigeren. Accountants begonnen na te denken over controle van de automatisering en, het omgekeerde, automatisering van de controle. Begin jaren zeventig groeide dit uit en ontstonden binnen de accountantskantoren specialistische afdelingen EDP-auditing. Doel was de accountants vaardigheden bij te brengen om in het kader van de jaarrekeningcontrole ook de risico’s van automatisering in beschouwing te nemen. Die doelstelling werd toen echter niet bereikt, doordat de stap te ambitieus was – de kennisachterstand van accountants was eenvoudigweg te groot.’

‘De constatering was dat er kennelijk meer bij kwam kijken. Eind jaren zeventig vormde dat voor een groep vooruit kijkende accountants de aanleiding om te bezien hoe zij een nieuw beroep in de steigers konden zetten. Zij gingen na hoe het nieuwe beroep van EDP-auditor bestaansrecht kon verwerven en welke voorwaarden nodig waren om de beroepsgroep “smoel”, een herkenbare identiteit, te geven. Van de accountants leenden we het uitgangspunt dat het nieuwe beroep gebaseerd moest zijn op een combinatie van kennis, ervaring, opleiding en uniforme standaarden. De uiteindelijk in 1986 opgerichte EDP-auditopleiding aan de VU werd gevoed vanuit disciplines die daar toen het best bij aansloten: bedrijfsadviseurs, technisch specialisten en accountants.’

We spraken vervolgens ook met Ronald Paans. Ronald, een van de stuwende krachten van het eerste uur achter de opleiding, is lid van het huidige bestuur (Programme Board). Tien jaar geleden heeft hij het IT-audit- en consultancybureau Noordbeek B.V. opgericht.

Wie waren de hoofdrolspelers in de beginperiode?

Ronald: ‘Professor Luc van Zutphen RA, die in de jaren tachtig de accountancyopleiding aan de Vrije Universiteit leidde, typeerde toen al de automatisering als een blijvende uitdaging voor accountants. Hij speelde in op de behoefte van het bedrijfsleven om de mogelijkheden van de automatisering te benutten. Van Zutphen benaderde vervolgens Margaret van Biene-Hershey, Marcel Bongers en Hans de Lange, en vroeg hen een proefopleiding EDP-auditing op poten te zetten. De hoogleraren Hans en Margaret vulden elkaar aan. Margaret was een interne auditor met van huis uit een exacte achtergrond. Zij maakte complexe IT-omgevingen overzichtelijk door die weer te geven in matrixen. Hans was een externe auditor met een achtergrond als registeraccountant. Deze twee hoogleraren werden in hun werk ondersteund door een team van enthousiaste docenten uit de praktijk, zowel auditors als IT’ers. Na het succes van het eerste jaar werd de proefopleiding omgezet naar een reguliere postinitiële opleiding met een eigen Programme Board met als leden Hans de Lange, Margaret van Biene-Hershey, Ronald Paans en Marcel Bongers.’

Hoe pakten jullie die proefopleiding aan?

‘We rekruteerden zo’n vijfentwintig studenten uit de accountantskantoren, de ICT-branche en de overheid. De eerste lichting bestond uit zowel technisch georiënteerde als beheergerichte studenten. Ze hadden over het algemeen al een zeer respectabele carrière doorlopen en wierpen zich graag op als proefkonijn voor dit nieuwe initiatief. Welbeschouwd waren dit helemaal geen studenten in de zin van leergierige nieuwelingen. Het waren ervaren professionals die al actief waren op het vakgebied EDP-auditing in wording, die sterk gemotiveerd waren om door kennisuitwisseling gezamenlijk tot een meer uniforme benadering van hun beroepsuitoefening te komen.’

‘De proefopleiding speelde daar op in. Zo hanteerden we dat pilotjaar welbewust geen vaststaand collegerooster als draaiboek voor het hele studiejaar. De hoofdlijnen van de te vormen opleiding hadden we natuurlijk wel vastgesteld, maar we lieten de groep studenten actief bijdragen aan de ontwikkeling van het onderwijsprogramma. De docenten namen bijvoorbeeld hun discussies met de studenten van de ene week mee bij de voorbereiding van hun colleges voor de daaropvolgende week. Het onderwijsprogramma werd zo al doende ontwikkeld. Wat docenten en studenten deelden, was hun belangstelling voor het op een beheerste manier benutten van de mogelijkheden van de automatiseringstechnologie. Die gedeelde belangstelling was wederzijds bijzonder stimulerend.’

Welke kwaliteitscriteria hanteerden jullie in die beginperiode?

‘Ik splits de kwaliteitscriteria uit in de kwaliteitscriteria die de auditor aanlegt als hij een object onderzoekt en de kwaliteitscriteria waaraan de auditors zelf moeten voldoen. Wat het auditobject betreft, lag aanvankelijk de focus op betrouwbaarheid van de gegevensverwerking. Na levendige discussies gingen ook effectiviteit en vooral ook efficiency van de automatisering deel uitmaken van het palet van kwaliteitscriteria voor EDP-audits. Het werk van de commissie-Franken vormde vervolgens de aanleiding om ook het begrip exclusiviteit als kwaliteitscriterium toe te voegen.’

‘Wat de kwaliteitscriteria voor de op te leiden EDP-auditors betreft, zagen we de noodzaak om de studenten naast technische kennis ook controlekennis bij te brengen en ze vooral ook een controle-attitude te laten verwerven. Daarom werd aan niet-accountants de eis gesteld dat ze basiskennis hadden van administratieve organisatie en de grondslagen van de accountantscontrole. Het resultaat van die discussie vormt tot op de dag van vandaag nog altijd de argumentatie om die basiskennis in het eerste collegejaar te ontwikkelen. Dat collegejaar was en is gewijd aan bestuurlijke informatieverzorging, algemene principes van auditing en de hoofdlijnen van de beroepsuitoefening. Op dit punt is onze opleiding uniek gestart … en door de jaren heen ook uniek gebléven.’

Hoe zou je in enkele zinnen de huidige opleiding willen beschrijven?

‘We verzorgen een brede IT-opleiding. Vanuit het oogpunt van oordeelsvorming en advisering bestuderen onze studenten strategische, tactische en operationele vraagstukken op (inter)organisatorisch, procesmatig en technisch vlak. Het brede karakter van de opleiding geeft de studenten een goed beeld van de complexe samenhang tussen bedrijfseconomie, IT en accountancy en de implicaties daarvan voor een methodische onderzoeksaanpak, oordeelsvorming en advisering. Gelijke tred houdend met de evolutie van het vakgebied, is de opleiding in de loop der tijd uitgebreid met meer aandacht voor wet- en regelgeving, de moderne eisen voor IT-compliance en risicobeheersing, en adviesvaardigheden van de IT-auditor op het gebied van IT en IT security.’

Geef studenten een sleutelrol bij de doorontwikkeling van ons vakgebied

NVAO2 heeft de opleiding geaccrediteerd. Welke meerwaarde heeft dat?

‘De meerwaarde zit in de bevestiging dat wij een wetenschappelijke opleiding verzorgen. Accrediteringsorganisatie NVAO heeft onze opleiding erkend als Masteropleiding. Dit geeft ons de bevoegdheid om onze afgestudeerden de titel MSc in IT-auditing te verlenen. MSc is een officieel erkende en algemeen bekende academische titel met een onmiskenbare maatschappelijke meerwaarde, die uitdraagt dat onze opleiding een wetenschappelijk karakter heeft.’

We spraken ten slotte met Abbas Shahim. Abbas maakt als Director of Studies naast Ronald Paans deel uit van de huidige Programme Board van de opleiding. Hij doet de intake van studenten, begeleidt scripties, stuurt het onderzoekinstituut aan en organiseert de internationale samenwerking in IFIP-verband.3 Daarnaast is hij als Senior Partner werkzaam bij Atos Consulting, waar hij verantwoordelijk is voor de internationale GRC-praktijk.

Terugkijkend op de afgelopen dertig jaar, waarin zit anno 2016 het vernieuwende van de opleiding en waartoe worden de studenten tegenwoordig opgeleid?

Abbas: ‘Het vernieuwende van de opleiding is de zwaardere nadruk op Information Assurance. Daar bedoel ik mee het redeneren vanuit de informatiestromen, rekening houdend met de organisatieomgeving en met de missie die de organisatie in die omgeving vervult. Deze aanpak bouwt voort op de klassieke Business Process Analysis (BPA) die de IT-auditors in de tachtiger en negentiger jaren van de vorige eeuw hanteerden. Het grote verschil met de benadering uit die tijd is dat Information Assurance veel meer rekening houdt met de moderne integrale IT, die zich heeft genesteld in alle haarvaten van onze samenleving. De klassieke aandacht voor processen van BPA combineren we nu met gelijke aandacht voor het element informatie. Daarbij richten we ons op de drie domeinen waar informatie een rol speelt in de huidige integrale toepassing van IT, te weten: financial, human en things.’

‘Daarnaast geven we de colleges steeds meer vorm vanuit onderzoeksmethodologie. Daar bedoel ik mee dat we de studenten stimuleren om zich te verdiepen in casuïstiek en daarover schriftelijk te rapporteren en om er mondelinge presentaties over te geven. Zo ontwikkelen we zowel onderzoeksvaardigheden als communicatieve vaardigheden. We doen dit omdat een IT-auditor én in staat moet zijn om tot een gedegen oordeel met een deugdelijke grondslag te komen én de stakeholders en opdrachtgevers moet kunnen overtuigen van de waarde van dat oordeel en van de deugdelijkheid van de audit.’

‘Onze opleiding wil IT-auditors opleiden die processen kunnen doorgronden en die zelf in staat zijn nieuwe auditmethoden te ontwikkelen voor nieuwe situaties. Dat is door de snelle evolutie en proliferatie van IT een conditio sine qua non geworden. Hierbij geldt eens te meer het bekende gezegde “stilstand is achteruitgang”. Een IT-auditor moet snel kunnen schakelen en vlot kunnen inspelen op de snelle ontwikkelingen die we vandaag de dag zien. We leiden studenten dan ook op tot IT-auditors die in staat zijn multi- en interdisciplinaire vraagstukken in een IT-auditberoepspraktijk zelfstandig te analyseren, op academische wijze te onderzoeken om ze vervolgens zelf op te lossen dan wel daarvoor oplossingen voor te stellen, en daarover helder en overtuigend te rapporteren. Daarmee leiden we onze studenten op tot relevante en serieus te nemen gesprekspartners van het C-level, de beslissers in organisaties.’

Tot slot

In een kleine dertig jaar tijd is het beroep van IT-auditor geweldig veranderd. Alleen al de naamswijziging van ons vakgebied verraadt een enorme horizonverruiming. De term ‘EDP’ in ‘EDP-auditing’ uit de beginperiode verwees naar elektronische gegevensverwerking, waarbij de nadruk lag op geautomatiseerde administraties in de backoffices van organisaties. Het aanmerkelijk ruimere ‘IT’ verwijst naar een breed scala aan technologieën en toepassingsgebieden, variërend van ‘klassieke’ automatisering tot Blockchain en The Internet of Things. En met niet alleen oog voor de backoffices, maar vooral ook voor de frontoffices. De breedte van het huidige vakgebied maakt dat een individuele auditor niet langer op alle denkbare deelgebieden deskundig kan zijn. Specialisatie is daarom een essentieel onderdeel van onze individuele ontwikkelingstrajecten geworden. Het zijn deze specialisaties binnen het vakgebied van IT-auditing die elke IT-auditor uniek maakt. Elk van ons heeft zijn of haar opleidings- en ervaringsachtergrond, zijn of haar eigen “verhaal” en unique selling point. Ook heeft elke student die in de afgelopen dertig jaar onze IT-auditopleiding gevolgd heeft, vanuit zijn of haar achtergrond bijgedragen aan de ontwikkeling van ons vakgebied. Zij deden dat in de vorm van richting zoekende discussies, innovatieve scripties en vernieuwende inzichten. Juist dit is wat wij als bestuur van VUrORE willen bevorderen.

Gegeven het samenvallen van de geboorte van het vakgebied IT-auditing met de start van de opleiding aan de Vrije Universiteit Amsterdam, nemen we de vrijheid om de volgende oproep te doen aan de IT-auditopleidingen in Nederland en onze beroepsorganisatie NOREA.

Betrek de studenten IT-auditing actief in de actuele discussies over ons vakgebied. Geef ze als de toekomstige beroepsbeoefenaars een sleutelrol bij de doorontwikkeling van ons vakgebied. Wij denken dat dit past bij de nieuwe manier van werken in de huidige tijd. Een van de elementen hiervan is verbinding. Verbinding tussen aloude, beproefde methoden en nieuwe, meer experimentele methoden. Verbinding ook, tussen beroepsbeoefenaren met uiteenlopende specialisaties. Een tweede element is het principe ‘samen sterk’. Laten we een samen optrekkende beroepsgroep zijn en niet zozeer een losse verzameling individuele beroepsbeoefenaren. Derde en laatste element is verbetering. Laten we samen werken aan de continue verbetering van ons vakgebied. Voor ons als bestuur van VUrOre is het motto voor de komende jaren dan ook: Verbinden, Versterken en Verbeteren (kortweg: ‘V3’)

Noten

  1. Frank Merkus, de eerste voorzitter van VUrORE (het toenmalige ORE), die ook als een van de sprekers op het programma was vermeld, was helaas verhinderd.
  2. De Nederlands-Vlaamse Accreditatieorganisatie (NVAO) is als onafhankelijke, binationale accreditatieorganisatie in 2005 bij verdrag opgericht door de Nederlandse en Vlaamse overheid. Doel is om een deskundig en objectief oordeel te geven over de kwaliteit van het hoger onderwijs in Nederland en Vlaanderen. Zie: https://www.nvao.net/over-nvao.
  3. IFIP is een leidende, multinationale en niet politieke organisatie op het gebied van IT, erkend door de Verenigde Naties.
    Zie http://www.ifip.org/.

Geef een reactie