Dag uit het leven van Frank Engel

IT-audit support in het Verre Oosten

14 maart 2016
In dit artikel:

06.00 uur

Mijn telefoon wekt me. Het wordt weer een hele fijne dag hier in oktober in Maleisië, tenminste als de haize wat minder is geworden. Deze smog, veroorzaakt door het verbranden van oerwoud op Sumatra (het Indonesische eiland dat hier niet zo ver vandaan ligt), is dit jaar nog hardnekkiger en ongezonder dan vorige jaren. Ik kijk uit mijn raam. Mijn Kuala Lumpur-hotelkamer heeft normaal een goed uitzicht op het belangrijke verkeersknooppunt voor de deur, maar vandaag dus niet. Deze twee weken ben ik aan het werk in ons kantoor in Cyberjaya, een stad ongeveer 50 kilometer van Kuala Lumpur waar alle IT-multinationals zitten. We zijn bezig met de tweede ronde van de jaarlijkse wereldwijde IT-audit van onze dienstverlening aan een van onze grootste klanten.

Beijing

07.15 uur

Bij de ontbijtzaal in het hotel is Ken, de manager van dienst, al druk paperassen aan het doornemen op zijn computer, ondertussen iedere hotelgast vriendelijk begroetend. Zoals in de meeste hotels is ook hier het ontbijt in buffet style. Pam, mijn Amerikaanse coördinator van Audit Support, schuift ondertussen ook aan, zodat we nog even de laatste wetenswaardigheden van gisteren en de verwachte uitdagingen voor de audit van vandaag kunnen doornemen.

08.00 uur

Snel de waterflessen voor vandaag mee, twee halve liters. Dat is nodig, want anders droog je uit en val je om. Even wachten in de lobby, waar ik kort een woordje wissel met onze voormalige minibus-chauffeur Yusuf. Ik stap naar buiten en de reguliere tropische warmte is nog niet erg voelbaar, ook weer als gevolg van de haize. De limousine staat gelukkig al klaar (mooie regeling om bij het kantoor in Cyberjaya te komen, sinds onze minibus met mensen van Ericsson niet meer rijdt). Enige nadeel is dat de chauffeurs niet altijd de handigste routes van en naar de stad weten. Deze keer gaat het goed: onze beruchte rotonde de stad uit is zo rustig dat we vrijwel geen vertraging hebben en via de tolweg na ongeveer veertig minuten bij ons bijgebouw arriveren.

09.00 uur

De collega’s druppelen binnen, net als de teams van onze externe auditor EY. Even een kort praatje maken met de lead auditors (kunnen deze Duitsers ook weer even een beetje in hun eigen taal praten) om na te gaan of er zaken zijn die directe opvolging nodig hebben, of dat het Audit-schema moet worden aangepast.

09.30 uur

Ik spoed mij naar de kamer waar EY Team 2 zit om het T-Systems Database-team aan de tand te voelen. Voornamelijk als toehoorder merk ik dat onze database-mensen het weer goed voor elkaar hebben en, zoals altijd, ook goed voorbereid zijn – maar dat mag ook wel met zulke ervaren krachten en na alle voorbereidingssessies die we hebben opgezet. Het onderwerp is access management en account reviews. Dit is de tweede ronde, zodat het een relatief eenvoudige sessie is voor zowel auditor als auditee: het gaat alleen over operating effectiveness en wijzigingen in de processen of procedures. Omdat ik deze relatief eenvoudige en korte sessie wel verwacht had, heb ik samen met ons Processen-team voor 10.30 uur een kick-off van een interne audit gepland met uitleg aan belanghebbenden en mijn eigen teamleden in Maleisië (Emilia en Anjulah). Kort gezegd gaan we alle processen rond service level rapportage doorlopen en de resultaten terugkoppelen aan het Processen-team en alle bijbehorende stakeholders. Hiermee kunnen we discussies met de klant misschien voor zijn en kunnen we ook helpen bepalen of al die zaken die gerapporteerd worden eigenlijk wel de moeite waard zijn om te rapporten (added value voor de klant?).

12.00 uur

Lunchtijd breekt aan en het kantoor loopt snel leeg. Iedereen in Maleisië gaat tussen de middag uit eten. En dat kan makkelijk: aan de overkant van de hoofdstraat zijn meer dan dertig restaurants te vinden, met voor elk wat wils. Eten is een van de belangrijkste gespreksonderwerpen in Maleisië – het weer is doorgaans namelijk lange tijd hetzelfde: heet en droog of heet en nat. Maar wij westerlingen besluiten vandaag voor een eenvoudige sandwich bij O’Briens te gaan, met wat drinken erbij. Na de onvermijdelijke Starbucks-koffie, gaan we via het hoofdgebouw terug naar ons bijgebouw.

13.00 uur

Nu ben ik zelf aan de beurt vanwege mijn tijdelijke rol als Document Manager. Dit ‘tijdelijk’ is nu al een paar jaar en komt vooral tot uitdrukking tijdens deze jaarlijkse audit en het aanpassen van de bijbehorende procesdocumentatie. Elke keer is het weer een uitdaging om de auditor te overtuigen dat hij toch echt het beste zelf de population list voor zijn sampling kan samenstellen. Dit omdat hij als enige bij een overzicht van alle wereldwijd opgevraagde documenten kan komen, naast de documenten die hij nu specifiek van mij wil hebben. Deze auditor kent mij ondertussen een beetje en na twintig minuten sta ik weer buiten.

13.45 uur

Omdat een nieuwe service in de audit is opgenomen, neem ik snel de status door met onze Security Manager. We bespreken vooral de documentatie. Na een snelle geruststelling verhuis ik naar een andere verdieping voor een kort gesprek met HR Maleisië om te proberen door ‘koffie te drinken’ iets voor mijn teamleden te bewerkstelligen en vooral de processen hier beter te leren begrijpen. Als je in Cyberjaya bent ligt het ‘koffiedrink’-gehalte toch al erg hoog: oude relaties worden aangehaald en nieuwe gestart. Vervolgens ga ik op zoek naar onze een-na-hoogste man en onze hoogste vrouw voor respectievelijk ‘een Nederlands gesprek’ over onze services en een kennismaking. Helaas zijn beiden niet aanwezig door internationale verplichtingen elders. Met collega Lay Ling houd ik daarna een koffiesessie over allerlei security-gerelateerde onderwerpen.

15.00 uur

Europa is intussen online gekomen en de nieuwe mails stromen binnen, net als het aantal pingetjes van mensen die iets willen weten of vragen, of nieuwsgierig zijn naar de stand van zaken bij de audit. Een van hen is de manager van Security en Compliance. Hij is vooral benieuwd naar de stand van zaken in de nieuwe service-gebieden. Ondanks de gevorderde rapportage kan ik nog geen compleet beeld schetsen van de resultaten in het landschap van services. Hiervoor zal hij nog anderhalve week geduld moeten hebben.

16.00 uur

De dagelijkse updatesessie met EY vindt plaats: welke informatie moet morgen worden aangeleverd, wat is al te laat en waar lopen de zaken soepel. Liggen we nog steeds op schema? Nee, we lopen wat achter. Dit betekent dat straks de laatste week van de audit weer druk beloofd te worden met veel achter mensen aan moeten sjouwen en veel discussie met onze vrienden van de audit.

17.30 uur

We worden weer opgehaald en deze keer weet onze chauffeur niet de juiste filevrije route te vinden. Dus brengen wij, in het zicht van ons hotel driehonderd meter verderop, nog vijfenveertig minuten in de auto door, tot de lokale verkeersagent besluit om plaats te maken voor het verkeerslicht.

19.00 uur

De wekelijkse een-op-een met mijn Nederlandse Security Consultant Krzysztof (uit Polen) vindt natuurlijk ook doorgang.

20.00 uur

Op weg naar een goed restaurant met echte steak. Meestal gaan we richting The Pavillion omdat daar veel keuze is. Zo ook nu.

23.00 uur

De laatste call van de dag: de wekelijkse management meeting waarbij de teams van Security Incidents, Risk, Findings en ik namens Audit en Compliance de week doornemen en de vooruitzichten bespreken.

Dan is de dag eindelijk voorbij.

Of toch niet?

01.00 – 04.00 uur

Het tijdsverschil slaat toe …

W.F. (Frank) Engel RE MBA

Frank is begonnen als systems engineer bij het reserveringssysteem van KLM, waar hij tien jaar werkzaam was. Na alle ins en outs van deze omgeving te hebben bekeken, maakte hij de overstap naar het vakgebied IT-auditing om bij respectievelijk EY en KPMG in vijftien jaar op te klimmen naar senior manager-niveau. Hierbij had hij de mogelijkheid om voor vele IT-serviceproviders en financiële organisaties opdrachten te doen. Nu is hij al weer vier jaar actief als manager Audit and Compliance bij T-Systems International voor IT-dienstverlening aan een van hun grootste klanten.