Bas Vermaat (Senior Manager IT Audit) en Raymond de Keijzer (Director IT Audit) hebben hun sporen verdiend in de IT Audit. Een prachtige én uitdagende wereld, volgens beide RSM-collega’s. Maar wat maakt het werk dan zo uitdagend als IT Auditor? En hoe mooi is het vak? Bas en Raymond enthousiast aan het woord over niet alleen hun werk, maar ook over hun drijfveren in het vak IT Audit.

Het werkveld van een IT Auditor heeft in deze eeuw een vlucht genomen. Van een relatief onbekende functie is het inmiddels een onmisbare baan geworden. Merken jullie dat er soms nog vooroordelen zijn rondom het werk van een IT Auditor? 

Bas, lachend: “Er wordt wel eens gedacht dat we systeembeheerders zijn, ‘want we zijn handig met computers’.”

Raymond: “We hebben een sterke affiniteit met computers; we weten hoe ze werken en hoe data samenkomt, maar we weten niet alles. We zijn breed georiënteerd op IT-vlak, maar het is een utopie om kennis te beschikken over alle softwarepakketten.

Bas: “Het is ook wel grappig, want wanneer je zegt ‘ik werk in de IT’, dan denken mensen gelijk aan computers. Maar je moet wel weten waar ‘IT’ voor staat en dat is ‘Information Technology’ en dat is zoveel breder dan alleen de computer. Informatie kan uit zoveel verschillende bronnen komen, dit gaat verder dan alleen de techniek.”

Raymond: "Vaak wordt gedacht dat de IT Audit een formaliteit is, door een werkprogramma in te vullen. Dat is het zeker niet alleen. Je moet ook begrijpen hoe processen lopen, waar informatie vandaan komt en hoe en waar dat wordt opgeslagen. Als je je hier echt in verdiept, kan je als IT Auditor toegevoegde waarde leveren door verbeteringen te signaleren en deze te delen met de klant. Verbeteringen kunnen bijvoorbeeld liggen op het gebied van interne beheersing of efficiency. Soms zie je als IT Auditor een risico, waar de klant zich op dat moment niet bewust van is.”

Wat typeert een IT Auditor?

Raymond: “Wij moeten natuurlijk goed kunnen communiceren om de juiste informatie op te halen. Als je met een IT’er bij de klant spreekt, gaat dit vaak op een andere wijze dan als je spreekt met een medewerker met een financiële achtergrond. Dat komt ook in alles terug. Wij spreken weleens over het schaap met de vijf poten.”

Bas: “Door de jaren heen is de rol van een IT’er ook echt veranderd binnen een organisatie. Je zult veel meer bewust moeten zijn van hoe een bedrijf daadwerkelijk in elkaar steekt. Je ziet dan ook dat steeds meer bedrijven IT-professionals combineren met professionals uit de business die bereid zijn om mee te werken aan het doorvoeren van veranderingen. Dat dwingt een IT’er om meer als een ‘businesspersoon’ te denken en andersom. Dat is echt een fundamentele verandering.”

Welke kansen zijn er voor een IT Auditor binnen RSM, zowel nationaal als internationaal?

Bas: “Als je bij RSM begint als IT Auditor, dan word je natuurlijk geïntroduceerd in het vak. Al snel kom je in contact met verschillende aspecten van IT Auditing. Vanuit onze opdrachten word je betrokken bij onder meer nulmetingen en ISO- en adviestrajecten. Als je dan kijkt naar de kansen, dan is het vak zodanig in ontwikkeling dat je veel kanten op kunt. Dan denk ik ook aan opdrachten in samenwerking met RSM UK/ RSM US op het gebied van informatiebeveiliging, internal control of SOX.”

Raymond: “Als je bij ons start, krijg je eerst het brede palet van IT Audit en naarmate je verder gevorderd bent, kun je je specialiseren. Wij streven naar een team met verschillende specialismen, zonder het generieke karakter uit het oog te verliezen. Dit maakt het voor junioren makkelijk om bij verschillende projecten aan te haken en de gewenste begeleiding te krijgen.”

Met welke uitdagingen krijg je te maken in de praktijk?

Raymond: “In september tot en met december lopen de interimcontroles vanuit de accountancyafdeling. Daar worden wij op ingezet om met name de IT-paragraaf voor het dossier voor onze rekening te nemen. Theoretisch zou het zo moeten zijn dat we buiten die periode onze eigen opdrachten hebben, maar dat loopt nu nog door elkaar. Zo hebben we op dit moment twee mooie opdrachten vanuit RSM International die ook in deze periode lopen en die komen straks in het voorjaar weer terug.”

Bas: “De uitdaging als IT Auditor is om de ontwikkelingen op zowel technologisch gebied als wet- en regelgeving te kunnen volgen. Dit moet vervolgens worden vertaald naar voor de klant relevante vraagstukken. De volgende stap is het in gezamenlijkheid zoeken naar oplossingen voor deze vraagstukken. Bijvoorbeeld de laatste jaren zien wij de trend om IT te outsourcen. De kwaliteit van externe IT-dienstverleners is dan een risicofactor. Wij zien dat organisaties hierop vaak onvoldoende anticiperen.”

Waar staat RSM IT Audit over vijf jaar?

Raymond: “Wat we al in Amerika zien, is dat steeds meer vanuit risicoperspectief wordt gedacht. Organisaties moeten hun eigen risicoprofiel in kaart hebben gebracht en daarover verantwoording afleggen. Ook nieuwe wet- en regelgeving in Nederland stelt dat bestuurders interne beheersing op dit punt op orde dienen te hebben. Bij het ontbreken van passende beheersing kunnen bestuurders aansprakelijk worden gesteld. Ik verwacht dat wij de komende jaren hiervoor veel werkzaamheden zullen verrichten, aangezien IT een steeds belangrijkere rol binnen een organisatie gaat vervullen”.

Bas: “Steeds meer organisaties verschuiven hun IT-omgeving naar de cloud, zoals Microsoft Office 365, Google Workspace en Amazon Webservices. Daarmee zijn zij steeds meer afhankelijk van de kwaliteit van hun IT-dienstverlener. Je verwacht dat de komende jaren steeds meer aandacht uitgaat naar de wijze waarop IT-dienstverleners zich verantwoorden voor hun kwaliteit. Onze werkzaamheden bestaan naar verwachting in de toekomst over het interpreteren van de geleverde kwaliteit van dienstverlening en de rol die de gebruiker daar zelf in heeft. Dit ziet onder meer toe op de processen contractbeheer, service level management en service level reporting bij de klant.”  

Waarmee maakt RSM het verschil, zowel als werkgever als naar klanten toe?

Raymond: “RSM is een platte organisatie. Daarmee bedoel ik: RSM is een open en toegankelijke organisatie. Alles is bespreekbaar, zowel op zakelijk maar zeker ook op persoonlijk vlak. Dat maakt het in mijn ogen een hele prettige werkgever. Ook als ik kijk naar iedereen die bij ons gestart is: ondanks dat we allemaal over de verschillende vestigingen heen werken, voelt iedereen zich direct thuis. Dat is heel positief. Iedereen heeft al snel zijn of haar plek gecreëerd binnen RSM. Ik denk dat wij die laagdrempeligheid ook uitstralen bij onze klanten.”

Bas: “Misschien is laagdrempelig wel ‘key’ in dit verhaal. Benaderbaarheid is denk ik wel het juiste woord.”

Hoe belangrijk is die benaderbaarheid voor RSM?

Bas: “Het sluit mooi aan bij de Business Principles van RSM. Onze betrokkenheid uit zich in ‘echtheid’. Want ik denk dat als je als organisatie anders bent ten opzichte van je klant - in vergelijking met hoe je ’op de werkvloer acteert - dan ben je niet echt. Echtheid leidt ertoe, dat je de klant sneller meekrijgt en meer toegevoegde waarde levert."

Raymond: “Je ziet aan de langdurige samenwerking met onze klanten dat die echtheid ook wordt gewaardeerd. Het is eerder een regel dan uitzondering dat klanten zich jarenlang aan RSM verbinden. Dat is niet voor niks en voor onze een mooie vorm van waardering.”

Wat zorgt ervoor dat jullie dit werk ook in de toekomst leuk blijven vinden?

Raymond: “Geen dag is hetzelfde. De dynamiek die wij hebben als team en als afdeling, dat is wat ik juist zo leuk vind. En dat maakt ook de uitdaging in ons werk. Dit komt tot uiting in ons klantenbestand. We hebben klanten met een uiteenlopende mate van automatisering en grote verschillen in de volwassenheid van de organisatie.”

Bas: “Praktisch gezien is dat de afwisseling die je daarin hebt en de flexibiliteit die je zou moeten hebben. Gelukkig past dit binnen de cultuur van RSM. In ons vak denk je heel veel na. Nadenken doe je in praktische, in analytische én creatieve zin. Die drie denkwijzen moet je snappen en pas je naar gelang de situatie toe. Bijvoorbeeld, een data-analyse is niet alleen analytisch denken, maar ook de vertaalslag maken naar de praktijk. De combinatie van die twee denkwijzen maak je compleet door te zoeken naar een oplossing voor je vraagstuk (creativiteit).”

Raymond: “Ons vak staat simpelweg niet stil; het is altijd in beweging! Vandaag, maar zeker ook in de toekomst.”