Column

Waan van de dag

14 december 2018 Xavier Landbrug
PDF
In dit artikel:

‘Je gaat het pas zien als je het doorhebt.’ Een helaas te vroeg gestorven , allesweter, maar bovenal onnavolgbare voetballer en later trainer sprak ooit deze wijsheid.

En als je pas gaande de wedstrijd doorkrijgt wat er gebeurt, komt dat inzicht net te laat om nog te kunnen winnen. Voor de IT-auditor geldt iets soortgelijks. In een wereld die wordt geleid door de waan van de dag – elke week een nieuwe hype, met enkele blijvertjes naast de meerderheid van eendagsvliegen – dreig je als IT-auditor voortdurend achter de feiten aan te hollen. De buzzwords van de afgelopen jaren zullen weinigen vreemd in de oren klinken: Agile, Artificial Intelligence, Big Data, Blockchain, Cloud Computing, Data Analytics, Lean, et cetera. Net als het veel gehoorde ‘antwoord’ op die hypes: ‘daar moeten we echt iets mee’. Maar wat dat ‘iets’ dan is, is vaak de vraag. Laat staan het ‘waarom’ en de ‘hoe’. Dat is in de praktijk vaak een hele beproeving. De business wil zo snel mogelijk ‘op de voorbijrazende trein springen’, om een andere voetbaltrainer te quoten. De IT-afdeling denkt hier vaak anders over. Die is gebonden aan processen, protocollen en standaarden. Voor ons als auditor erg prettig want de controle vergemakkelijkend, maar voor de business een nachtmerrie want vertragend. Bang dat het te lang duurt en de boot gemist wordt gaat die dan maar op eigen houtje aan de gang. En de niet populaire onderwerpen als ‘security’ en ‘voldoen aan wet- en regelgeving’ raken dan al snel uit beeld of komen onderaan de lijst met requirements te staan (‘…daar kijken we later wel naar’). User access management? Belangrijk, maar een mooi dashboard om de uitkomsten van de data analyse te kunnen laten zien is toch urgenter. De business kiest in zijn wijsheid voor nuttigheid boven veiligheid, even uit het oog verliezend hoe nuttig veiligheid kan zijn. En als we dan als auditor aangehaakt worden, is het vaak te laat. Wij auditors vinden allerhande vergezochte en minder vergezochte risico’s. Dit kost vervolgens weer veel moeite en (dus) geld om dit bij te sturen.

Ben ik dan als IT-auditor gedoemd om elke keer weer aan de zijlijn te blijven staan om te wachten tot mijn ‘vervelende’, ‘vertragende’ opmerkingen aan de beurt zijn? Of kan ik als auditor al vanaf het begin de business helpen essentiële zaken door te hebben en dus tijdig te zien? Ik twijfel nog. Als ik ervoor zorg dat ik al meteen bij de business aan tafel kan schuiven kan ik aan de voorkant al advies geven. Zo zorg ik ervoor dat essentiële zaken vanuit auditperspectief niet worden vergeten. Aan de andere kant moet ik ook niet te veel op de stoel van de business en de bestuurders gaan zitten, of degene zijn die ‘in de weg staat van innovatie’. En wat ik al helemaal niet wil, is dat mijn mening kan worden opgevat als een goedkeuring. Mocht ik me dan later in de rol van auditor tot pittige opmerkingen genoodzaakt zien, zou dit als een boemerang op me terugslaan.

Ik ben er nog niet uit en sta open voor suggesties. Welke lezer heeft het al door en kan mij helpen het ook te gaan zien?

Geen categorie

X.A.G (Xavier) Landbrug MSc RE CIA | Internal Auditor bij Vattenfall

Xavier (1980) is afgestudeerd in Econometrics & Operations Research. Hij voert operational- en IT-audits uit in alle geledingen van het Zweedse energiebedrijf Vattenfall, zowel nationaal als internationaal (onder andere Duitsland en Zweden). Hij werkte na afronding van zijn studie als IT Consultant bij Accenture. Vervolgens stapte hij over naar ingenieursbureau NACO DHV, waar hij actief was op het gebied van de validatie van ontwikkelingsmodellen en data-analyse voor nieuwbouw of uitbreiding van luchthavens in met name Azië, Europa en het Midden-Oosten. Daarna ging hij aan de slag bij Deloitte, met een focus op data-analyse binnen het assurance-domein.