Van de NOREA

Vijf vragen aan Jan de Heer

1. Wie is Jan de Heer en welke expertise heb je?

Ik ben 61 jaar, getrouwd en heb een zoon. Van huis uit ben ik wiskundige – ooit gestart bij de toenmalige Hogeschool Delft. Na vele omzwervingen in automatiseringsfuncties ben ik terechtgekomen bij KPN. Daar werk ik sinds 1997, de laatste jaren als (senior) Business Consultant (New Security Business Development). Maar ik heb ook vele jaren gewerkt bij KPN Audit en heb het concept ‘(generiek) Assurance model vanuit de ICT Provider’ helpen vormgeven. Zaken als Supplier Auditing hebben mij verder geïnspireerd tot het concept ‘op eigen kracht in control’. Bij NOREA ben ik ook met veel professioneel genoegen actief in diverse werkgroepen en in het verleden ook in een bestuursfunctie, in de rol van linking pin vaktechnische ontwikkelingen. Ik zing in een koor (tenor), ben ik graag in de natuur en ben dol op lange afstandswandelingen: Pieterpad, Drenthepad et cetera. Ook fiets ik graag.

2. Met welke taakopdracht ben je aangesteld?

Bij NOREA ben ik sinds 1 augustus 2016 Projectmanager Kwaliteit en Vaktechnische Communicatie. De projectopdracht van het bestuur maakt mij verantwoordelijk voor de vakinhoudelijke ondersteuning van het kwaliteitsonderzoek. Daarnaast heb ik een taak om het juiste gebruik van de assurancestandaarden te bevorderen. Ook ondersteun ik projecten en activiteiten van werk- en kennisgroepen van NOREA, zoals de kennisgroepen Privacy Audits en Cyber Security.

3. Wat ga je bereiken in NOREA?

Iets preciezer: wat wil ik bereiken? Waar het omgaat is ambitie; of ik die kan realiseren is afhankelijk van veel zaken. Met vaktechnische passie ga ik er vol in – ik wil een vonk doen overslaan naar de beoefenaars van ons mooie IT-auditvak.

In relatie tot het kwaliteitssysteem van de IT-auditorganisaties en de daaraan verbonden RE’s, wil ik bereiken dat het concept ‘op eigen kracht in control’ draagkracht krijgt en realiteit wordt. Dit houdt in dat iedere RE dan wel IT-auditentiteit proactief zelf aantoont in control te zijn. Door collegiale toetsing wordt dit nader onderzocht, dat wil zeggen elkaar ‘challengen’ en werken vanuit een aanpak die niet alleen gericht is op beoordeling van kwaliteit, maar vooral ook op verbetering daarvan. Dat geeft de betrokken IT-auditors energie en geeft het lopende (CKO-)kwaliteitsonderzoek meer glans! Natuurlijk blijven scherpe vaktechnische assurancerichtlijnen en dergelijke nodig. Maar eerst moet aantoonbaar het kwaliteitssysteem op orde zijn bij de IT audit-organisaties en RE’s. Daarna kun je specifiek inzoomen op de assurance-aanpak.

Via kennisgroepen wil ik een aantal vaktechnische vernieuwingen aanjagen. Bijvoorbeeld risk driven scoping: hoe bepaal je de critical ICT Assets in een organisatie? Ik denk ook aan Real Time In Control. Daarmee werk je aan assurance-optimalisatie, bijvoorbeeld door SOC SIEM-concepten en cyber securityconcepten op de critical ICT-assets. Een andere vernieuwing waar ik aan wil werken is privacybeheersing. Ik denk aan een geïntegreerde benadering waarin ook security wordt behandeld, top down en risk based, met ondersteuning van de Wet meldplicht datalekken. En last but not least: kennisuitwisseling tussen RE’s maximaal stimuleren – samen sterker.

4. Welke veranderingen moeten de IT-auditors ondergaan om klaar te zijn voor de toekomst?

De IT-auditors moeten sneller meebewegen met de razendsnelle ICT-ontwikkelingen. Denk hierbij bijvoorbeeld aan IoT (Internet Of Things) en Cyber Security. Mooi voorbeeld is dat real time in control als concept bij de IT-auditors nog in de kinderschoenen staat terwijl bijvoorbeeld de luchtvaart en de procesindustrie al jaren met dit soort concepten werken.

Ook de marketing-kant van het vak mag NOREA best wat pittiger neerzetten: meer in het nieuws is een winner.

Verder is vaktechnisch samenwerken met andere disciplines een randvoorwaarde voor succes. Een recente positieve ontwikkeling is dat relevante, actuele thema’s aan de orde komen op de IT- auditorsdagen. Denk aan Privacy, Block Chain, Assurance en Big Data.

5. Zijn IT-auditors generalisten of specialisten?

Interessante vraag. Laat ik eerst mijn uitgangspunten noemen. Allereerst behoort een IT-auditor een vakman te zijn in een aantal ICT-gerelateerde disciplines. Vervolgens moet hij of zij deskundig zijn en ervaring hebben in IT-auditing. Dus eerst kennis van ICT en daarna IT-auditing. De gedragscomponent is ook van groot belang. Daarbij gaat het mij er vooral om dat een IT-auditor de rug recht houdt en zich daadwerkelijk onpartijdig en onafhankelijk opstelt. Ook moet een IT-auditor zorgvuldig, gestructureerd en gedisciplineerd werken. Terug naar de vraag: generalist of specialist? Volgens mij is het antwoord: zowel generalist als specialist. Een IT-auditor moet immers oordelen of adviezen geven over zaken waar vaak specialistische deskundigheid bij komt kijken. Dat vereist specialisten. Maar tegelijkertijd moet een IT-auditor ook zaken in de juiste context kunnen brengen, afstand kunnen nemen, kunnen uitzoomen (abstraheren) en in samenhang brengen. Dat vraagt om generalisten. Door de toename van de ICT-invloed in de maatschappij neemt wel het aantal specialismen exponentieel toe. Dat brengt de noodzaak met zich mee van ‘interdisciplinair’ samenwerken, samenwerking tussen IT-auditors met uiteenlopende specialismen dus. Ik zou zeggen dat het aantal pure generalisten aan het afnemen is …

Gepost op: binnen Geen categorie.

Geef een reactie