Dag uit het leven van

Carlo Bavius

11 maart 2020 Carlo Bavius
PDF
In dit artikel:

Donderdag 10 oktober

07.29 uur

Rijdend naar de salesmeeting in ons kantoor van ARC People in Hilversum, breng ik mijzelf mijmerend terug naar precies 1,5 jaar geleden. Destijds begon ik bij ARC People om de audit business verder uit te bouwen. Mijn doel: internal auditdiensten aanbieden door gebruik te maken van het netwerk van interim professionals van ARC People. Wat een mooie periode is het tot nu toe! Ik ben ondertussen chief audit executive (CAE) a.i. bij drie mooie organisaties en we hebben een stuk of tien audits die tegelijkertijd lopen bij meerdere klanten. Hier stopt het niet. Gelukkig maar. In de sales meeting bespreken we twee nieuwe producten die we gaan aanbieden: software license audits en CAE-intervisie. Ook bespreken we de support die we leveren aan een accountantskantoor voor de busy season. Opvallend, dat die RA’s allemaal zitten te springen om RE’s.

Niet zo lang geleden (nou ja, 27 jaar terug) plaatste ik netwerkkaarten in promiscuous mode om netwerkverkeer te sniffen. Nu zit ik aan tafel bij CEO’s om internal auditfuncties op te zetten. Toch mooi, dat een IT ‘techie’ na zoveel jaar kan meepraten over zoveel verschillende onderwerpen.

10.30 uur

Ik meld me aan bij de receptie van mijn eerste klant van vandaag. De CFO haalt me persoonlijk op en daar is goede reden toe. Een foutieve betaling van een miljoen euro heeft vragen opgeleverd over het purchase-to-pay auditrapport dat ik twee weken geleden heb gepresenteerd. De auditcommissie vraagt zich af of Internal Audit de betreffende controls heeft onderzocht. Uiteraard zijn deze controls getoetst. Het resulteerde zelfs in een audit finding. Leuk dat er controls gedefinieerd zijn, maar wanneer personeel op vakantie gaat moet je de controls wel blijven uitvoeren. Dit gesprek was een pittig moment voor mij. Gelukkig merk ik door ervaring dat tegenwoordig het gesprek voeren op bestuurs- en commissarisniveau steeds makkelijker wordt. Ondanks (of misschien wel dankzij) het feit dat ik niet financieel geschoold ben. Eerlijk gezegd heb ik nooit gemerkt dat ik enige financiële kennis mis. Iemand zei ooit dat bedrijven niet zonder financiën kunnen. Zonder IT doen ze tegenwoordig ook niet veel.

10.45 uur

De riskmanager sluit zich aan bij mijn gesprek met de CFO. We bespreken de risicoanalyse van het bestuur. Dit wordt het uitgangspunt van de audit universe en het auditjaarplan 2020. Altijd leuk om daarbij dingen te roepen waar de eerste en tweede lijn niet aan gedacht hebben. Volgend jaar iets doen aan social media-risico’s? Wellicht die follow-up audit op P2P naar voren halen? En denkt de CFO dat de AVG dan eindelijk geïmplementeerd is? Hoewel het bestuur heeft gevraagd om de audit wat uit te stellen, is de AVG-wetgeving in mei 2020 al ruim twee jaar van kracht. Een diepe zucht van de CFO maakt duidelijk dat compliance soms geen pretje is, maar wel noodzaak.

Ik stel voor om er een nulmeting van te maken, geheid dat er wat actiepunten uit rollen, maar dat houdt de relevantie er wel in. Niet leuk, maar wel nodig. Ik ben in ieder geval blij dat ik geen CFO ben.

12.15 uur

Na een snelle, maar gezonde lunch weer in de auto richting Rotterdam. Gelukkig kan ik de tijd in de auto goed gebruiken. Dit keer bel ik met een zzp’er over een SAP-audit die we gaan uitvoeren. Als bureau moet ARC People compliant zijn aan de relevante beroepsstandaarden. Het gesprek gaat over de IIA-standaarden en de NOREA-vereisten. Dit wordt geen standaardaudit met een kant-en-klaar normenkader; we pakken het risk-based aan. Gelukkig zijn RE’s van nature creatief en gewend aan maatwerk audits. Geen dikke boekwerken die voorschrijven wat, hoe en wanneer je iets moet doen. De dame aan de andere kant van de lijn snapt mij helemaal en zoals wel vaker ben ik blij met de professionaliteit van de IT-auditors die we in Nederland hebben rondlopen.

Wat als je ‘uit het IT audit beroep gegroeid’ bent? Hoe ziet je dag eruit? Is er leven na IT audit?

13.38 uur

‘Dankzij’ een kleine file op de Ring van Rotterdam kom ik te laat op mijn volgende afspraak. Ze zijn alvast begonnen met de kick-off meeting voor een audit naar assetmanagement. De controller in de kamer is het ondertussen wel gewend; vandaag wordt niet gesproken over waarderingsvraagstukken en impairments (afboeken van waarde). Er komen geen posten uit de jaarrekening voorbij. Dit gaat over de ‘real deal’ zoals ze dat hier noemen. De parels van dit bedrijf. Deze moeten goed onderhouden worden, dat snapt iedereen. Kosten gaan voor de baten uit.

De discussie gaat over de vraag of we de ISO55001-norm voor assetmanagement moeten hanteren. Men heeft namelijk geen ambitie om ISO-gecertificeerd te worden. We besluiten om samen met de directie te bepalen welke onderdelen van 55001 relevant zijn voor deze organisatie. Uiteindelijk zullen we de audit vast wel full scope uitvoeren. Maar wel risk-based uiteraard, door prioriteiten aan te brengen en key controls te selecteren houden we focus en brengen we relevantie aan. Niet vergeten om deze relevantie en de risicoanalyse goed in het auditplan te beschrijven, vertel ik het team. We willen graag IIA-compliant internal audits uitvoeren en volgend jaar staat de door vereiste externe kwaliteitstoets tegen de IIA- en NOREA-standaarden gepland. Nooit bezuinigen op kwaliteit, vind ik zelf.

16.00 uur

De rit naar huis was relaxed, even 20 minuten naar Radio 10 geluisterd. Nu snel mijn ‘thuiskantoor’ in.

Dit keer review ik een fraudeonderzoek. De betreffende auditor is een ‘eenpitter’ internal auditor. Hij vraagt van mij na iedere auditfase een kwaliteitsreview.

Ik heb wat kleine opmerkingen en via Sharepoint deel ik die met de auditor. Ik verwacht dat hij ze snel verwerkt en vanavond met een conceptrapport komt.

16.45 uur

Even LinkedIn checken op mijn telefoon terwijl ik naar beneden loop voor een Cola Zero. Het is uitgestorven in huis en vandaag is het mijn taak is om te koken. Helaas voor het gezin, maar dat wordt wat later eten. Ik moet eerst met een van onze recruiters bellen over een zoekopdracht. Het gaat om een interimrol van hoofd internal audit voor een universitair medisch centrum. We hebben de perfecte kandidaat gevonden en hij is ook per direct beschikbaar. Dat wordt snel schakelen dus. Dit keer heeft de kandidaat geen IT-achtergrond maar gezien de co-sourcingrelatie die we hebben met het UMC kunnen we snel die IT-kennis aanvullen. Dit hebben we al vaker gedaan.

17.50 uur

Onze 14-jarige zoon klaagt dat hij honger heeft. Dat is het sein om naar de supermarkt te lopen. Onderweg kijk ik op de LinkedIn-app en zie dat mijn post over onze nieuwe CAE-intervisiedienstverlening 990 keer is bekeken. Het wonder van IT. Mooi dat dit allemaal kan. En wat gaat de IT-ontwikkeling snel. Misschien een idee om hier aandacht aan te besteden tijdens mijn college Inleiding IT Auditing, dat ik geef voor de RO-opleiding aan de Erasmus Universiteit. Audit at the speed of IT risk? Nee, die titel kan beter. Nog wat aan sleutelen.

Eerst maar even koken.

Geen categorie

C.J. (Carlo) Bavius | RE RO CRISC CRMA bij ARC People

Carlo is sinds 2017 verbonden aan ARC People. Hij richt zich op dienstverlening aan organisaties op het vlak van Internal Audit.