Audit…het is mensenwerk We spreken met Arno Nuijten op de Erasmus universiteit in rotterdam, waar hij betrokken is bij opleiding en onderzoek. Vanaf de vijfde verdieping hebben wij een riant uizicht over de stad en de rivier. het is een warme zomerdag als we met een kop koffie en een bekertje water van wal steken. TOBIAS HOUWERT EN THOMAS WIJSMAN
Kun je om te beginnen iets vertellen over je rol bij de opleiding? ‘Rond 2000 heeft Gert van der Pijl mij gevraagd om het vak Inrichting en Beheersing van IT (IBIT) op te zetten. In de jaren daarop heb ik het vak van dertien weken samen met Gert gedoceerd, maar nu treed ik niet meer op als docent voor dit vak. Op dit moment ben ik voornamelijk betrokken bij de opleiding IT Audit, waar ik afstudeerders begeleid bij hun referaat. Het gaat vaak over het communiceren van IT-risico’s, een onderwerp dat mij buitengewoon interesseert. Je moet daarbij denken aan bijvoorbeeld psychologische factoren die van invloed kunnen zijn op
Je bent bezig met een promotieonderzoek. heeft dit werk daar een relatie mee? ‘Jazeker, die relatie is er. Ik ben eigenlijk al wat langer bezig met het opzetten van een promotieonderzoek. Ik ben geïnteresseerd in irrationele beslissingen die mensen nemen als je ze iets vertelt over IT-risico’s, bijvoorbeeld over virussen of over het gevaar dat je gegevens kwijtraakt en dus voor back-ups moet zorgen. Dan zie je dat mensen soms geneigd zijn om dat te volgen, maar in andere gevallen juist weer niet. Met Gert van der Pijl als promotor ga ik een promotietraject in dat gericht is op “escalerende” IT-projecten. Projecten dus, waarbij het van kwaad tot erger wordt. Ver-
interview
INTErVIEW MET ArNo NuIJTEN
‘Ik vind het leuk om experimenten te doen over hoe mensen risico’s inschatten’ de manier waarop IT-auditors of de auditee risico’s inschatten. Daarnaast heb ik bij de Erasmus Universiteit een rol bij vakken die gegeven worden voor de masteropleiding Informatica en Economie. Deze vakken zijn gerelateerd aan inrichting en beheersing van de IT in de zin van CobiT, maar behandelen ook thema's zoals het informeren over risico’s en het nemen van beslissingen over risico’s. Voor deze masteropleiding begeleid ik studenten die scripties maken over boeiende onderwerpen. Bijvoorbeeld over beslissingen die genomen worden rondom slechtlopende IT-projecten en de vraag waarom sommige van die ITprojecten domweg blijven doorlopen. Wij bekijken welke mechanismen ervoor zorgen dat mensen telkens beslissen om met het project door te gaan, ondanks dat alle seinen op rood staan. Over dit onderwerp bestaat een hele interessante onderzoeksstroom.’
gelijk het met iemand die in een casino voortdurend verliest en die toch blijft doorspelen in plaats van naar huis te gaan. Naar dergelijke escalatieverschijnselen is veel onderzoek gedaan, ook bij projecten. Daar zit bijvoorbeeld in dat naarmate mensen meer verloren hebben − in ons voorbeeld, naarmate ze langer in het casino hebben gezeten en hun verlies steeds verder is opgelopen − ze nog meer moeite hebben om te stoppen. Ze denken dan: “ik heb nu toch verloren, ik ga nú winnen”. Dat soort mechanismen zie je ook in projecten. Vaak hoor je dan dat ze al zoveel geld aan het project hebben uitgegeven dat het niet meer te stoppen is. Dan ontstaat een soort gokgedrag. Er zijn ook andere mechanismen in die onderzoekstroom, waarbij je bijvoorbeeld ziet dat projectleiders zeggen dat het project voor 90 procent is afgerond: “we zijn er bijna” en dus is het niet meer te stoppen. Bij deze projecten zie je vaak dat ze langere tijd op 90 procent blijven
de IT-Auditor nummer 3 | 2010
IT Auditor3.indd 5
5 07/09/10 5:32 PM
interview hangen en nooit de eindstreep halen. Het gaat om dat soort mechanismen, die mensen toch een beetje een kant opduwen om bezig te blijven, terwijl alle seinen op rood staan. Samen wordt dat het onderzoeksgebied van escalatie van IT-projecten genoemd. Daar is vanuit de “escalatietheorie” al heel veel onderzoek naar gedaan. Waar ik vooral mee bezig ben is de rol van de internal auditor die langs de zijlijn staat
6
van zo’n project. We hebben een projecteigenaar en wat maakt dan dat die projecteigenaar doof is voor al die commentaren van die auditor en wat voor factoren spelen daar dan een rol? Deze vragen zijn onderdeel van mijn onderzoeksvraag, mijn promotietraject. Het leuke daarvan is dat ik in het kader van mijn promotieonderzoek de mogelijkheid heb gekregen vanuit de Erasmus School of Accounting & Assurance (ESAA) mee te doen aan de uit-
wisselingsprogramma’s binnen het ESAAnetwerk. Ik ben nu in de gelegenheid om een keer per kwartaal naar een buitenlandse universiteit te gaan. Zo ben ik bijvoorbeeld naar de City University in Londen gegaan om te spreken met collega-onderzoekers van het Departement of Internal Auditing & IT Auditing en om onderzoek te doen. Zo’n bezoek van twee weken leidt tot interessante nieuwe inzichten. Binnenkort ga ik naar de Universiteit van Pisa in
de IT-Auditor nummer 3 | 2010
IT Auditor3.indd 6
07/09/10 5:32 PM
stijlen bepalen niet alleen de manier waarop wij ons werk aanpakken maar beïnvloeden ook in hoge mate onze waarneming en communicatie. Een voorkeursstijl kan bijvoorbeeld zijn dat iemand vooral let op dingen die niet goed gaan. Een andere stijl is dat je vooral oog hebt voor kansen. In het op deze manier benoemen van stijlen ligt geen waardeoordeel besloten. Het zijn simpelweg bepaalde voorkeursstijlen waar mensen zich prettig bij voelen, en die niet “goed” of “slecht” zijn. Voorkeursstijlen hoeven overigens ook niet in elke situatie hetzelfde te zijn. MPA wordt vaak gebruikt om stijlen van mensen in kaart te brengen tijdens individuele coachingstrajecten of groepstrainingen. De coach kan dan samen met jou bepalen, gegeven de context waarin je je bevindt (werk, privé), wat voor voorkeursstijl je gebruikt. Samen kijk je dan naar de problemen waar je tegen aanloopt of de manier waarop die voorkeursstijl je in een gegeven situatie kan helpen. Voor ons vakgebied is MPA ook relevant. Interessant is
de audit – dat de auditor geneigd zal zijn de manager af te remmen. En dat is soms lastig: die manager wil aan de slag en heeft absoluut geen zin om te gaan zitten wachten op een auditor die eerst nog zijn rapport helemaal moet afronden. Een ander voorbeeld heeft te maken met de mate van detail. De een vind het prettig om eerst de hoofdlijnen boven water te krijgen en dan pas de diepte in te gaan, terwijl iemand anders juist direct in de details schiet en later pas de hoofdlijnen uit zijn onderzoek haalt. En er is het verschil tussen de auditief ingestelde mens, die praat en schrijft in woorden over wat hij vindt, en de visueel ingestelde persoon, die graag plaatjes heeft. Ik denk dat de meeste auditors heel auditief zijn ingesteld, (lachend, red.) dat zit al bijna in het woord. Die zijn van schrijven en lezen en praten, van vertellen en overtuigen. Architecten en informatiemanagers zijn typisch visueel ingestelde mensen. Die beginnen niet met schrijven, nee, die gaan meteen plaatjes tekenen, schema’s, pijlen en kleu-
‘Auditors zijn van het schrijven, lezen en praten, van vertellen en overtuigen’
Italië, waar ik met Internal Audit onderzoekers kan spreken en een gastcollege mag geven over mijn onderzoek’. Je bent een veelzijdig mens. Vertel eens iets over je interesse voor Meta Profiel Analyse? ‘Meta Profiel Analyse (MPA) heeft te maken met voorkeursstijlen van mensen bij dingen die ze doen, bijvoorbeeld hun manier van werken of hoe ze thuis zijn. Die voorkeurs-
bijvoorbeeld dat voorkeursstijlen ook een rol spelen bij de interactie tussen auditors en managers. Die twee kunnen immers heel verschillende of juist dezelfde voorkeursstijl hebben, wat het verschil kan maken of een boodschap goed landt of juist helemaal niet overkomt. Laat ik een paar voorbeelden geven. Iemand die sterk proactief is, herken je aan de woorden die hij gebruikt: “niet lullen maar poetsen” bijvoorbeeld. Zo iemand zit met opgestroopte mouwen en wil direct beginnen. Hier tegenover staat de reactieve stijl. Deze mensen zeggen bijvoorbeeld: “eerst denken dan doen” of “ga nou niet direct rennen, maar denk eerst even na over welke kant we op gaan rennen”. Auditors hebben vaak de wat reactieve houding, zonder dat dit nu goed of fout is. Dan zul je zien dat als je een manager tegenover je hebt die heel proactief is − die zit al in de startblokken en wil direct aan de slag met de eerste resultaten van
ren. En dat kan dan botsen met iemand die heel auditief is ingesteld. Die zit niet te wachten op allerlei schema’s, dat spreekt hem niet aan. Het gaat mij er vooral om dit soort stijlen te herkennen, hoe je ermee omgaat, komt dan vanzelf wel. Eerst moet je een stijl herkennen. Er bestaat een tool om voorkeursstijlen in kaart te brengen, maar je kunt het vaak ook gewoon al horen in het spraakgebruik. Denk aan het voorbeeld dat ik daarnet gaf: “Niet lullen maar poetsen”. Nogmaals, een stijl is niet goed of fout, maar als je een stijl herkent bij de ander, dan kun je bijvoorbeeld begrijpen waarom het soms zo lastig communiceren is met een bepaalde manager. Moet je dan je gedrag helemaal richten naar de stijl van de ander? Dat weet ik nog zo net niet. Ik weet nog niet zeker of je moet proberen om jouw manier van communiceren precies af te stemmen op toevallig die ene manager die tegenover je
de IT-Auditor nummer 3 | 2010
IT Auditor3.indd 7
7 07/09/10 5:33 PM
zit. De volgende keer zit er bij wijze van spreken weer een andere manager. En je auditrapport heeft ook al geen eenduidige doelgroep. Dat schrijf je niet alleen voor die ene persoon, want het rapport gaat misschien ook naar zijn baas en naar mensen die ermee moeten gaan werken.’
krijg, dan ga ik het niet zomaar uitvoeren, maar dan ga ik het eerst van allerlei kanten bekijken en er iets van vinden”. Wij trappen vaak in de val dat we het idee hebben dat we objectief waarnemen en dit soort benaderingen kan je helpen om je eigen bias in beeld te krijgen.
‘Ik pak nog één voorbeeldje, omdat ik dat zelf zo leuk vind. Dat is dat mensen heel procedureel kunnen zijn of heel optioneel. Dat is ook weer een voorkeursstijl. Als je een tv koopt of een telefoon, dan zit daar een boekje bij. Iemand die procedureel is ingesteld, wil graag op een gestructureerde manier kijken hoe zo'n ding werkt. Optionele mensen pakken het toestel uit en beginnen op allerlei knopjes te drukken. En pas als ze er helemaal niet uitkomen pakken ze misschien ook eens het boekje erbij. Dat is de optionele stijl. Mensen die procedureel zijn ingesteld, dat zijn mensen die zich lekker voelen in een bepaalde systematiek van stappen. Bijvoorbeeld een controleprogramma, of een
Als we dit betrekken op de IT-auditopleiding, dan vind ik dat het noodzakelijk is om dit soort verschijnselen in de opleiding bespreekbaar te maken. Gert van der Pijl is daarmee zo'n jaar of tien geleden begonnen bij de opleiding in Rotterdam en dat gaf zo links en rechts nogal wat heftige reacties. Daarbij waren er grofweg twee kampen. Het ene kamp vloog op als gestoken door een wesp: hoe kan het nu zijn dat IT-auditors en operational auditors met allerlei vervormingen aan het waarnemen zijn, we hadden toch net met z'n allen afgesproken dat we objectieve rapporten schrijven! Het andere kamp vond het allemaal nogal vanzelfsprekend. Maar ik vind het goed om je bewust te zijn van dit soort mechanis-
‘Auditing is nu eenmaal niet zo klinisch en objectief. Je hebt met mensen te maken’ plan van aanpak. Dan weet je waar je bent en wat de volgende stap is. Optionele mensen moeten daar niets van hebben. Die zijn er goed in om iets van allerlei kanten te bekijken, en ze vinden dat ook prettig. En dat moet dan niet via allerlei stapjes gaan, want dat belemmert de vrijheid van het eigen ontdekkingsproces. Het grappige is, eerst dacht ik: die auditors, die zijn natuurlijk heel procedureel ingesteld. Nu heb ik zo'n MPA afgenomen bij een stuk of tien internal IT-auditors en bij een gelijk aantal managers. Dat is natuurlijk wel een hele kleine steekproef, maar opvallend was dat de meeste auditors ontzéttend niet-procedureel zijn en juist een héél sterk optionele voorkeursstijl bezitten. En dat betekent dus dat ze bijzonder goed zijn in het analyseren van iets, bijvoorbeeld projecten, of organisatieonderdelen, of beveiliging. En de grap is: geef die mensen een controleprogramma, en wat gaan ze doen? Ze gaan het niet uitvoeren, néé ze gaan het analyseren! Want hun stijl is: “als ik iets
8
men want je hebt er nu eenmaal mee te maken. En dan snap je ook veel beter waar je mee bezig bent. Het is allemaal niet zo klinisch en objectief, je hebt nu eenmaal met mensen te maken. Als je dan kijkt hoe je ermee om zou kunnen gaan in je beroepspraktijk, dan zou je bijvoorbeeld kunnen denken aan het organiseren van countervailing powers: zorg voor teams die bestaan uit leden die uiteenlopende voorkeuren hebben, die elkaar dus tegengas geven. Dan ben je misschien met zijn allen zo objectief mogelijk. Of koppel juist supersuperjuniors aan ervaren senioronderzoekers. En dan niet om kennis in éénrichtingsverkeer over te dragen, maar ook omdat juniors allerlei vragen kunnen stellen. Zo kan de junior vragen stellen over situaties waar de ervaren auditor al zó vaak mee te maken heeft gehad dat het probleem hem al niet eens meer opvalt en hij bijvoorbeeld niet ziet, of niet snapt, dat een situatie net even anders is als andere situaties die hij al zoveel keren heeft meegemaakt, snap je?
Langzamerhand beginnen deze thema's een vaste plaats te krijgen in onze opleiding en ik zie het bijvoorbeeld ook terug in onderwerpen van onze afstudeerders.’ Je bent ook zzp’er. Waarom heb je die keuze gemaakt? ‘Ik ben in 1996 voor mezelf begonnen, nadat ik een aantal jaren als IT-auditor en IT-auditmanager bij de Rabobank had gewerkt. Ik had een aantal grote projecten bekeken, en dan komt er een moment dat ze tegen je zeggen: “goh, je moet eens aan de andere kant van de tafel komen zitten”. Toen heb ik een aantal managementfuncties gehad binnen Rabo Facet, tot middenmanagementniveau. Ik ging me afvragen of ik dat wel leuk genoeg vond. Je komt dan in de organisatiepolitieke spelletjes terecht van touwtrekken, en dan gaat het minder om de inhoud. Verder had ik ook veel reistijd. Ik wilde niet altijd maar thuiskomen als mijn zoontje van twee al lag te slapen. En ik wilde hem ook wel eens naar zwemles kunnen brengen. Dat geheel maakte dat ik toen besloten heb om voor mezelf te beginnen. Dat hoefde niet per se als IT-auditor te zijn. Mijn drijfveer was vooral om meer vrijheid en afwisseling te hebben. Afwisseling tussen werk en gezinsleven, maar ook in de zin van de ene keer een audit doen en de andere keer advieswerk. En de vrijheid om ook te kunnen zeggen: ik kom hier helpen als projectleider of als interimmanager. En het afwisselen in lesgeven en onderzoek doen.’ ‘Het is fijn is om als zelfstandige aan de slag te gaan, maar hoe bewaak je dan aspecten die wij als beroepsgroep zo belangrijk vinden? Denk aan onafhankelijkheid, objectiviteit, deugdelijke grondslag, - due professional care - dingen die te maken hebben met je geloofwaardigheid en je zuiverheid van opereren. En ja, als eenmanszaakje ben je daarin extra kwetsbaar. Dan is het extra noodzakelijk dat je echt zuiver opereert en daarmee een goede verstandhouding in stand houdt en geloofwaardig blijft voor partijen die je willen inhuren. Dus als ik dat zou laten “afbrokkelen”, zeg maar, dan heeft dat niet alleen consequenties voor een vaag begrip als onafhankelijkheid of geloofwaardigheid, maar dan werkt het door in
de IT-Auditor nummer 3 | 2010
IT Auditor3.indd 8
07/09/10 5:33 PM
de zin dat ze mij gewoon niet meer zouden inhuren. Voor mij als zzp’er is het daarom nog veel belangrijker om zuiver te opereren dan voor de gemiddelde auditor in loondienst het geval is, want het heeft directe consequenties voor mijn toekomstperspectief. Maar dan nog, kun je in je eentje het hele spelveld wel overzien? Als je met een aantal anderen binnen een internal auditafdeling werkt, dan houd je elkaar wel scherp en is er ook kwaliteitsborging. In je eentje ben je dus kwetsbaarder. Opdrachten doe je natuurlijk vaak binnen internal auditafdelingen, dus dat reinigende mechanisme zit er dan toch wel in. Toch zijn er momenten dat je als zzp’er geïsoleerd moet opereren, en dan wordt het wel een beetje link. Ik ben bijvoorbeeld een aantal malen gevraagd om als onafhankelijke deskundige in een rechtszaak op te treden. En ja, dan wordt je afbreukrisico en de kans dat je dingen verkeerd doet wel een beetje eng. Dan heb je bijvoorbeeld een rechtszaak met een claim van tien miljoen. En ze willen dan niet een van de grote kantoren inhuren, want die zijn misschien betrokken geweest, en dan vragen ze mij als “eenmanszaakje” om daar even te vertellen hoe het zit. Dat kan dus invloed hebben op die miljoenenclaim. Wat ik dan deed, was nadrukkelijk de collegialiteit zoeken bij een aantal goede klanten van me (hoofden en vaktechniek bij internal audit afdelingen). Zo van: luister, dit is mijn situatie. Ik werk ook voor jullie, maar dit is iets waar ik nu mee te maken heb, en wat zouden jullie doen? Waar moet ik op letten? Zo probeer ik dus mijn klantennetwerk in te zetten om ook een beetje te sparren. Dat betekent dat je je dus kwetsbaar op moet durven stellen richting je klanten. En dat betekent eigenlijk dat je je klanten in zekere zin ook een beetje als collega's gaat zien. En zo ervaar ik dat ook, zeker bij internal auditafdelingen. Laat ik het zo zeggen: als zzp’er ervaar ik het zo dat ik meer collega's heb dan wanneer ik in vaste dienst bij een bedrijf werk.’
vaak het internet af, eerst naar een ontwerp en dan naar componenten die ergens nog in een legerdump liggen, met buizen uit onderzeeboten uit 1933 − nieuw in verpakking, die kun je zo kopen! Vervolgens soldeer ik het spul aan elkaar en dan doet-ie het. Of niet. Knutselen vind ik sowieso heel erg leuk. Het feit dat de kwaliteit van afzonderlijke componenten sterk bepalend is voor de kwaliteit van het geheel intrigeert me. Ik vind het ook leuk om te experimenteren: als ik een component een beetje varieer, wat gebeurt er dan? Dat uitzoekwerk spreekt mij bijzonder aan. En vooral het simpele, het hele elementaire ervan. Het is te snappen bovendien. Maar de sfeer eromheen vind ik ook erg leuk − een beetje cult. Oude platenspelers, vinyl. En als je naar zo’n buizenradio luistert, ze hebben een akelig goede kwaliteit!’ Tot slot, wat is de relatie hiervan met ITaudit? ‘Het gaat om het analyseren van de samenhang van dingen. Het belang van de kwaliteit van onderdelen, het belang van specificaties, het belang van meten.’ Na deze woorden nemen we afscheid van Arno. Hij is een enthousiaste verteller en wil graag zijn ideeën delen. We hadden dan ook nog uren door kunnen gaan, maar dan zou het interview niet meer in de IT-Auditor gepast hebben. ■
Nog één laatste vraag, over een heel ander onderwerp, namelijk een van je hobby’s. Wat heb jij met buizenradio’s? ‘Buizenradio’s zijn analoog en low-tech. Het is aanschouwelijk, het is puzzelen. Ik struin
de IT-Auditor nummer 3 | 2010
IT Auditor3.indd 9
9 07/09/10 5:33 PM