De multi-inzetbaarheid van de RE
B
Het is een logische conclusie dat na een tijd van recessie en weinig beweEuropees onderzoek dat aankondigde dat in 2010 ging op de arbeidsmarkt een groot 59 procent van de werknemers zich had voorgeno- aantal werknemers van baan wil wisselen. Het is aannemelijk dat in de men van baan te wisselen. Een interessante vraag massa van 59 procent [HAYG10] zich ook een aantal RE’s bevindt. Een is dan: welke carrièremogelijkheden heeft de RE heeft waardevolle kennis die vaak Register EDP-auditor (RE) als hij buiten het auditals specialistisch van aard wordt gezien. In dit artikel wordt antwoord vakgebied werkzaam wil zijn? gegeven op de vraag hoe multi-inzetbaar de RE is voor andere typen functies, gelet op competenties. Hiervoor PREM MANCHAM, BART VAN STAVEREN EN ERWIN VETH is onderzocht welke functies daadwerkelijk worden vervuld door RE’s die buiten het auditvakgebied werkzaam zijn. Het doel van dit artikel is om enerzijds zicht te geven op mogelijke vervolgfuncties en anderzijds te belichten welke competenties, kennis en ervaring van de RE een voordeel (of nadeel) zijn bij het invullen van een andere functie. Begin 2010 publiceerde de Hay Group een West-
Allereerst wordt in dit artikel uiteengezet welke competenties de RE inzet als hij/zij werkzaam is binnen het ITauditvakgebied. Vervolgens wordt geanalyseerd welke competenties goed inzetbaar zijn in andere functies. Daarna worden de resultaten weergegeven van een praktijkonderzoek dat de auteurs hebben uitgevoerd naar de functies die RE’s in business vervullen. Daarbij wordt het functiegebied ‘informatiemanagement’ nader toegelicht aan de hand van een praktijkvoorbeeld en persoonlijke ervarin-
gen van de auteurs die zelf RE’s in business zijn. Het artikel wordt afgerond met conclusies, die getrokken zijn op basis van de uitgevoerde analyse van RE-competenties, het uitgevoerde praktijkonderzoek en het uitgelichte praktijkvoorbeeld op het gebied van informatiemanagement. RE’S IN BUSINESS De term ‘in business’ betekent dat de RE niet meer werkzaam is binnen het auditvakgebied, maar juist daarbuiten: in de business. Uit cijfers van de NOREA [NORE06-1] blijkt dat in 2006 11 procent van de RE’s in business actief was. In 2007 was dit percentage [NORE07] slechts 3,9 procent. In de jaren 2008 en 2009 steeg het in business percentage sterk naar respectievelijk 26 procent [NORE08] en 30 procent [NORE09]. De verklaring voor de sterke stijging is tweeledig: ten eerste nam het aantal RE’s in business daadwerkelijk toe. Ten tweede werd door de NOREA vanaf 2008 een nauwkeurigere berekening van het aantal RE’s in business gehanteerd dan in de jaren 2006 en 2007, waardoor het percentage hoger uitviel. In 2010 zet de trend zich door: uit eigen onderzoek is gebleken dat het percentage in augustus 2010 34 procent is. Dat betekent dat in 2010 op een totale populatie van 1433 RE’s meer dan 500 IT-auditors al de stap hebben gemaakt naar een functie de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 29
29 09/11/10 7:08 PM
RE's werkzaam in audit & in business 100 in business audit 80
%
60
40
20
0 2006
2007
2008 Jaar
2009
2010
Figuur 1: Trend RE’s werkzaam in audit versus in business buiten het auditvakgebied. Dit is een significante trend die nadere bestudering rechtvaardigt. In figuur 1 is de trend weergegeven. WERKZAAMHEDEN EN COMPETENTIES Een RE die werkzaam is in het vakgebied IT-auditing houdt zich bezig met het beoordelen van of adviseren over de kwaliteit van (onderdelen van) de informatievoorziening. Dit doet hij in een omgeving waar gebruik wordt gemaakt van informatietechnologie [FIJN05]. Op basis van die activiteiten ligt het voor de hand dat de belangrijkste competenties van de IT-auditor liggen op het gebied van oordeelsvorming en advies binnen een IT-omgeving. In de volgende paragraaf wordt nader ingegaan op die competenties. Algemene gedragscompetenties De RE dient een aantal duidelijke gedragscompetenties te hebben die terug worden gevonden in zijn functieprofiel. Deze gedragscompetenties zijn algemeen van aard en zijn ook toepasbaar op andere typen auditors, zoals operational of financial auditors. Hieronder volgt een korte omschrijving van de vijf belangrijkste competenties die worden gevraagd voor IT-audit functies [o.a. DRIE04].
30
Probleemanalyse De RE dient IT-objecten of problemen op het gebied van IT effectief en met gebruik van alle relevante informatie te analyseren. Het is van belang dat de RE in staat is om gegevens en aannames kritisch en zorgvuldig te controleren en te beoordelen. Daarnaast is het essentieel om hoofdzaken van bijzaken te kunnen scheiden en verbanden te kunnen leggen. Op basis van een systematische analyse moet de RE op objectieve wijze een conclusie/oordeel kunnen vormen. Overtuigingskracht De RE dient in staat te zijn met respect verschillen in standpunten en argumenten te expliciteren, af te wegen en door zijn eigen gedrag de argumenten op één lijn te brengen. De RE bezit de vaardigheid om met ideeën en meningen naar voren te komen en te zorgen voor een onderbouwing met argumenten. Hierbij moet hij kunnen overtuigen en beïnvloeden, waarbij hij streeft naar overeenstemming over en draagvlak voor het resultaat. Communicatie (mondeling en schriftelijk) De RE dient vaardig te zijn op het gebied van taalgebruik en zich aan te kunnen passen aan de ontvanger.
Rapportages dienen concreet en nauwkeurig te zijn met een logische, heldere structuur en een passende stijl. Het is ook van belang dat de formulering kort en bondig is met correcte spelling en grammatica. Bij presentaties zorgt de RE ervoor dat informatie op een aantrekkelijke en boeiende wijze wordt verstrekt, afgestemd op de ontvanger. Integriteit De RE dient rekening te houden met de geldende sociale en ethische normen ten aanzien van gevoelige informatie, contact met anderen en posities en belangen. De RE dient eerlijk, oprecht en betrouwbaar te opereren en belang te hechten aan moraliteit. Onafhankelijkheid De RE dient onafhankelijk te opereren en op basis van feiten een eigen oordeel te vormen. De RE zorgt ervoor dat hij objectief blijft en dat zijn oordeel niet wordt beïnvloed door een vooroordeel, belangentegenstelling of een ongepaste beïnvloeding door een derde. Overige competenties die vaak in verband worden gebracht met IT-audit functies zijn: sensitiviteit, luisteren, adviseren, samenwerken, accuratesse en lerend vermogen. Een aantal van die competenties die hierboven is behandeld, heeft zijn weerslag gevonden in de NOREA Code of Ethics. De NOREA-gedragsregels hebben namelijk betrekking op: integriteit, objectiviteit, deskundigheid en zorgvuldigheid, geheimhouding en professioneel gedrag [NORE06-2]. Vaktechnische competenties en kennis Naast de generieke gedragscompetenties zijn er vaktechnische competenties die voor de RE gelden. Deze liggen voornamelijk op het gebied van organisatiekunde, managementkunde en informatietechnologie [DRIE04]. Op dat laatste gebied moet de RE kennis hebben van: IT-normenkaders, IT-strategie, IT-architectuur, IT-processen, IT-infrastructuur, IT-applica-
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 30
09/11/10 7:08 PM
ties, IT-security en kwaliteitsmodellen als ITIL en Cobit. Typen RE’s Als gevolg van het wel of niet bezitten van specifieke vaktechnische competenties zijn er in beginsel twee typen RE’s te onderscheiden. Ten eerste de ‘harde techneut’ met een technische achtergrond. Deze RE is in staat om de beveiliging te beoordelen van netwerken, middleware, servers en mainframes, maar kan bijvoorbeeld ook een mening vormen over een aspect als softwarekwaliteit. Daarnaast is er de procesmatige RE die vaak geen technische, maar eerder een bedrijfskundige of accountancy achtergrond heeft. Hij is sterk in het beoordelen van IT-processen, zoals autorisatiebeheer en change management. Maar hij kan ook de application controls in een operationeel proces goed beoordelen en is geschikt voor het uitvoeren van operational audits. Naast bovenstaande onderverdeling is een andere onderverdeling mogelijk in typen RE’s. Zo is er een onderscheid tussen de enkelvoudige RE en de RE RA. De enkelvoudige RE is de specialistische IT-auditor die daarnaast wellicht een CISA en/of CISSP-opleiding heeft, maar geen substantiële opleidingen heeft in een van de andere postdoctorale (audit) disciplines. Deze groep heeft veelal een achtergrond op het gebied van informatica of bestuurlijke informatiekunde, al kan dit ook op andere gebieden liggen. De enkelvoudige RE’s vormen momenteel een substantieel deel van de instroom van het NOREA-ledenbestand. De RE RA heeft ook een RA-titel, een titel die per definitie inhoudt dat de auditor financiële kennis bezit, in staat is financial audits uit te voeren en vaak actief is (geweest) in de accountancy. Deze groep heeft in de regel een bedrijfseconomische achtergrond. De RE RA-groep vormde kort na de oprichting van de NOREA 50 procent van het totale ledenbestand en neemt sindsdien sterk af tot momenteel circa 27 procent. Als de mogelijke carrière-
paden worden bestudeerd van een RE, is het onderscheid tussen enkelvoudige RE’s en RE RA’s van belang, omdat de laatste groep doorgaans bredere financiële kennis heeft, terwijl een enkelvoudige RE vaak op het gebied van organisatiekunde of informatica breder geschoold is. Dit leidt ertoe dat de paden die carrièretechnisch bewandeld kunnen worden voor enkelvoudige RE’s in de praktijk meestal anders zijn dan die voor RE RA’s. Nu zicht is verkregen op de belangrijkste RE-competenties, wordt in de volgende paragraaf behandeld welke voor- en nadelen deze competenties met zich meebrengen voor een carrière buiten het auditvakgebied. Voordelen van RE-competenties Interne Audit Diensten (IAD’s) en accountantskantoren worden steeds vaker gezien als ‘kweekvijver’ voor talent [KOOP08, DRIE04]. Het uitvoeren van auditwerkzaamheden en het zich eigen maken van de benodigde auditcompetenties worden beschouwd als een goede springplank naar een managementfunctie. Externe auditors (werkzaam vanuit een accountantskantoor of adviesbureau) doen veel ervaring op door bij allerlei bedrijven verschillende typen audits uit te voeren. Ook IAD’s hebben tegenwoordig een bredere scope dan voorheen en richten zich niet alleen op financial audits, maar steeds meer op operational en ITaudits. De interne auditors worden dus vaak op meerdere gebieden ingezet waardoor ze zich ook breed kunnen ontwikkelen. Bovendien leert de auditor (intern en extern) in korte tijd de essentie van de bedrijfsvoering kennen en de grootste risico’s die daarmee samenhangen. De auditor zit snel bij het management en de directie aan tafel en leert om adequaat te oordelen en te adviseren. De RE kan bovendien de relatie leggen tussen (IT-)processen en bedrijfsdoelstellingen. Het procesmatig kunnen denken is een belangrijke sterkte.
Daarnaast maakt de RE in korte tijd kennis met de belangrijkste normen en waarden van de organisatie(s) waar hij of zij actief is. Indien daar gedragscompetenties aan worden toegevoegd als beïnvloeden, overtuigen en omgaan met weerstand, kan dat een stevige basis zijn voor een management- of directiefunctie. De vaktechnische IT-gerelateerde competenties zijn logischerwijs voordelig voor werkzaamheden in een IT-lijnfunctie, al dan niet op managementniveau. Informatietechnologie en de beheersing ervan wordt ook steeds belangrijker, waardoor het meer raakvlakken vertoont met andere functies. Nadelen van RE-competenties Het bezitten van bepaalde competenties kan ook nadelen met zich meebrengen. Mede omdat het bezitten van een competentie soms automatisch betekent dat een andere competentie niet of in mindere mate aanwezig is. Een IT-auditor die bijvoorbeeld zeer nauwkeurig en rechtlijnig is op basis van toetsingsnormen, blinkt niet uit in flexibiliteit. Een IT-auditor is sterk in controlewerkzaamheden en beheersing, dat gaat vaak ten koste van de creatieve competenties en het ad hoc kunnen werken met weinig structuur. Een ander nadeel van een auditachtergrond ligt in het stoffige imago van auditors. Auditors worden soms nog gezien als politiemensen, controleurs of vervelende meekijkers. Het kan nadelig zijn als dit imago blijft hangen in een nieuwe functie. Verder wordt de RE ook gezien als een echte specialist, terwijl dit niet zo hoeft te zijn. Verder is de tijd dat een RE daadwerkelijk als RE werkzaam is, doorgaans betrekkelijk kort. Dit omdat zijn kwaliteiten en competenties snel door zijn omgeving worden onderkend. Hierdoor wordt hij vervolgens vaak benaderd door andere bedrijfsonderdelen voor functies in de business. Dat kan vanuit organisatieperspectief ook als een nadeel worden gezien, aangede IT-Auditor nummer 4 | 2010
IT Auditor4.indd 31
31 09/11/10 7:08 PM
zien het dan moeilijk is om de capaciteit en kennis en kunde van de ITauditors in de organisatie op peil te houden. Voor de RE zelf is het uiteraard een voordeel als zijn competenties snel worden erkend. PRAKTIJKONDERZOEK In de vorige paragrafen is vastgesteld wat de belangrijkste competenties zijn van de RE en welke voor- en nadelen dat mogelijk met zich kan meebrengen. Het meest voor de hand liggende carrièrepad van een IT-auditor is een verticaal pad binnen het auditvakgebied. Dat leidt bijvoorbeeld tot een senior IT-auditfunctie of hoofd ITaudit. Maar in 2010 is 34 procent van de RE’s in business werkzaam en dus niet meer bij een interne of externe auditafdeling actief. Dat vraagt om nader onderzoek naar welke functies dan worden vervuld in business. Onderzoeksmethode Op basis van het volledige bestand van RE’s die in het Register van de NOREA zijn opgenomen (stand augustus 2010), hebben de auteurs onderzoek gedaan naar de functies die daadwerkelijk worden vervuld door RE’s. Van het bestand dat uit 1433 RE’s bestaat, is ruim de helft (749 RE’s) geanalyseerd. Op basis van die analyse zijn percentages bepaald per functiegebied (zie tabel 1). Indien uit een functieomschrijving niet exact duidelijk was welke functie werd bekleed, is die RE buiten beschouwing gelaten (63 RE’s). Daarnaast is ook de verhouding onderzocht tussen de enkelvoudige RE’s in business en de RE RA’s in business. De resultaten van dat onderzoek worden in de volgende paragraaf beschreven. Resultaten enkelvoudige RE’s versus RE RA’s Het is logisch te verwachten dat de in business functies voornamelijk worden vervuld door RE RA’s, omdat zij breder zijn opgeleid en hierdoor makkelijker inzetbaar zijn. In het onderzoek is echter vastgesteld dat de groep van meer dan 500 RE’s in busi-
32
In business functies door RE’s vervuld
%
1. Consultancy/advies (intern en extern)
22%
2. Algemene directie- of management functie
18%
3. Financiële administratie & controlling (incl. CFO)
15%
4. Risicomanagement & compliance (intern)
9%
5. IT-security (intern)
8%
6. Projectleiding/projectmanagement
8%
7. IT-management
6%
8. Informatiemanagement (incl. CIO)
4%
9. AO/IC
3%
10. Onderwijs
1%
Overige medewerkers in business
6%
Totale populatie van RE’s die in business werkzaam zijn (ruim 500 RE’s)
100%
Tabel 1: In business functies die door RE’s worden vervuld ness bestaat uit 39 procent RE RA’s en dat de overige 61 procent bestaat uit de enkelvoudige RE’s. Dit betekent dat niet alleen de breed geschoolde RE RA’s de overstap maken naar in business functies, maar juist ook een groot aantal van de enkelvoudige RE’s. Aangezien de RE RA’s 27 procent van het ledenbestand vormen en 39 procent van de RE’s in business, kan worden gesteld dat de bredere inzetbaarheid van de RE RA’s ten opzichte van de enkelvoudige RE’s slechts in kleine mate aanwezig is. Uit het resultaat dat 61 procent van de RE’s in business enkelvoudige RE’s zijn, blijkt dat ook hun competenties goed inzetbaar zijn. Nader onderzoek zou gedaan moeten worden naar de motieven van RE’s om het auditvakgebied te verlaten en een carrière in business te starten. Resultaten in business functies In het onderzoek is vastgesteld welke functies RE’s in business vervullen en welke functies het meest worden vervuld. In tabel 1 zijn de resultaten weergegeven. In de volgende paragrafen wordt bij de top zeven functiegebieden een korte analyse van de resultaten gegeven aan de hand van de auditcompetenties. Vervolgens wordt in een praktijkvoorbeeld de nummer acht in
de tabel nader toegelicht: informatiemanagement. Dit wordt gedaan omdat het opvallend is dat er weinig RE’s actief zijn op dit gebied, terwijl dit vakgebied juist erg goed aansluit op de competenties van een RE. Consultancy Het is niet verwonderlijk dat de toppositie van in business-functies ligt op het gebied van consultancy en advies. IT-auditors besteden in hun auditfunctie een deel van hun tijd aan advies. Het gaat hierbij niet alleen om advies dat direct gerelateerd is aan de uitvoering van de audit (‘de natuurlijke adviesfunctie’), maar ook om afzonderlijke adviesopdrachten. In moderne definities van IT-auditing komt het adviesaspect ook steeds terug [IIA08, FIJN05, SAWY05]. De resultaten duiden erop dat de ITauditor zich de adviescompetenties steeds meer eigen maakt, waardoor de overstap naar een consultancy- of adviesfunctie een kleine stap is. Consultants die bij accountantsbureaus werken, zijn hierbij overigens niet meegerekend. Wanneer de vijf kerncompetenties in acht worden genomen, kan worden geconcludeerd dat ze naadloos aansluiten op het consultancy vakgebied. Alle kerncompetenties komen uitermate van pas bij het adviseren van management en directie. In het bijzonder zijn het de
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 32
09/11/10 7:08 PM
competenties probleemanalyse, communicatie en overtuigingskracht die de auditor erg goed van pas komen in zijn nieuwe rol. Management en directie De tweede positie ligt ook voor de hand vanuit het ‘kweekvijver’ perspectief. Deze positie wordt bezet door algemene directie- of managementfuncties. Met algemene wordt bedoeld: geen IT-management-/ITdirectiefunctie, maar bijvoorbeeld Hoofd Bedrijfsvoering of Algemeen Directeur. Een RE wordt vaak gezien als een echte specialist. Het beoordelen van IT-objecten is immers een specifieke vaardigheid. Deze resultaten lijken er echter op te wijzen dat het wel meevalt met het specialistische karakter van de RE. Het blijkt dat de springplank van audit naar een management- of directiefunctie in de praktijk regelmatig voorkomt. Financiën De derde positie wordt ingenomen door functies op het gebied van financiële administratie & controlling. Hierbij moet direct worden vermeld dat deze groep van in business RE’s voor 65 procent bestaat uit RE’s die ook een RA-titel bezitten. Het is duidelijk dat deze groep voornamelijk hun vaktechnische RA-kennis inzet om in business een functie te vervullen op financieel gebied. Risk Functies op het gebied van risicomanagement & compliance (intern) zijn functies in de lijn die zich bezig houden met IT-risk of met risicomanagement in bredere zin. In dat laatste geval kan de RE zijn kennis op het gebied van IT-risk inzetten, maar moet hij zijn kennis ook verbreden naar operational risk en compliance. Bij risk-afdelingen worden in veel gevallen bijzondere onderzoeken of risk assessments uitgevoerd, waarbij de IT-auditor uiteraard zijn vaktechnische auditkennis goed kan inzetten.
IT Ook bij functies op het gebied van IT-security en IT-management maakt de RE gebruik van zijn vaktechnische kennis, maar dan specifiek op het gebied van IT. Het ligt voor de hand dat het veelal de ‘harde technische’ RE’s betreft die deze stap maken en die grote affiniteit en vaardigheden bezitten op het technische IT-aspect. De security officer is mogelijk de functie die het meest verwant is aan en het beste aansluit op het auditvakgebied. De vaktechnische vaardigheden én de gedragscompetenties van de RE zijn daar goed inzetbaar. De nadruk ligt bij security-functies wel in mindere mate op onafhankelijkheid en rapportagevaardigheden. Maar aangezien de functies zo dicht bij elkaar liggen, is het in beginsel verwonderlijk dat slechts 8 procent van de RE’s in business die functie vervult. Aan de andere kant moet juist in deze verwantschap de verklaring worden gezocht: RE’s zien het mogelijk niet als een stap vooruit of überhaupt als een wezenlijke verandering om als IT-security officer aan de slag te gaan. Een andere verklaring voor het lage IT-security percentage kan zijn dat het onderscheid tussen functies op het gebied van IT-security en risicomanagement soms lastig en arbitrair is. Het lage(re) aantal medewerkers in IT-security (informatiebeveiliging) wordt mogelijk veroorzaakt doordat voor die functies is gekozen voor eigentijdse functiebenamingen zoals risicomanagement en compliance. Projectmanagement Een opvallende constatering is dat 8 procent van de RE’s de overstap maakt naar een rol van projectleider of projectmanager. Bij deze functie wordt een groot beroep gedaan op gedragscompetenties die niet volledig aansluiten op de gedragscompetenties van de IT-auditor. Een projectleider is immers zelf verantwoordelijk voor het implementeren van een verandering samen met zijn project-
leden, terwijl dat bij audits juist niet zo is. De projectleider/manager dient daarom in meerdere mate dan de auditor een echte teamplayer te zijn en een leidinggevende, motiverende rol te kunnen aannemen, waarbij ook flexibiliteit een grote rol speelt. Daar liggen uitdagingen voor de RE. Ook qua vaktechnische kennis is er slechts een beperkt raakvlak. RE’s voeren bijvoorbeeld zelf audits uit op projectbasis, waarbij vaak in teams van twee of drie auditors de opdracht wordt uitgevoerd, maar dit is niet vergelijkbaar met een implementatieof veranderproject. Daarnaast beoordelen of reviewen sommige RE’s ITprojecten en ontwikkelen ze dus kennis op het gebied van projecten en de beheersing ervan. Toch is een overstap naar projectleiding of projectmanagement een stap waarbij de auditor wezenlijk andere gedrags- en vaktechnische competenties moet gebruiken. Het is dus een relatief grote stap. Nu de belangrijkste resultaten zijn besproken, wordt in de volgende paragraaf dieper ingegaan op één specifiek functiegebied: informatiemanagement. Dit gebeurt aan de hand van een praktijkvoorbeeld en persoonlijke ervaringen van de auteurs. UITGELICHT: INFORMATIEMANAGEMENT Slechts 4 procent van de RE’s in business vervult een functie op het gebied van informatiemanagement. Dat is een relatief laag percentage, terwijl werkzaam zijn binnen het vakgebied van informatiemanagement voor RE’s zeer interessant kan zijn, ook gelet op de benodigde competenties (zie tekstkaders). Het praktijkvoorbeeld dat hieronder verder is uitgewerkt, is ontleend aan de situatie bij de werkgever van twee van de auteurs (pensioenuitvoerder APG) en richt zich voornamelijk op de functie van Chief Information Officer (CIO). Bij APG wordt informatiemanagement op corporate-niveau aangestuurd door de CIO. De CIOde IT-Auditor nummer 4 | 2010
IT Auditor4.indd 33
33 09/11/10 7:08 PM
functie is in de meeste organisaties relatief nieuw en de exacte inhoud van die functie is veelal diffuus voor menigeen. Dit zijn redenen om deze functie uit te lichten en nader te bespreken. De CIO-functie bij APG Van oudsher worden de CIO’s in organisaties gepositioneerd binnen de IT-Supply organisatie. Veel CIO’s zijn dan ook de ‘IT-baas’, ofwel de leverancier van de IT-voorzieningen. In die hoedanigheid opereren ze niet zozeer als een Chief Information Officer, maar meer als een Chief IT Officer. De CIOfunctie ‘nieuwe stijl’ is geïntroduceerd binnen pensioenuitvoerder APG sinds september 2009. Daar is gekozen voor een ander besturingsmodel. De IT-functie is gesplitst in IT-Regie, IT-Demand en IT-Supply. (zie figuur 2) IT-Regie wordt ingevuld door het Corporate Information Office: het CIO onder leiding van de Chief Information Officer. Het CIO binnen APG heeft een onafhankelijke positie binnen de organisatie en ressorteert onder de Raad van Bestuur. IT-Demand betreft de gebruikersorganisatie die verant-
Corporate Information Office
woordelijk is voor het stellen van de juiste IT-vragen in termen van functionaliteit. IT-Supply bestaat uit de IT-organisatie die verantwoordelijk is voor het leveren van IT-diensten. Deze drie kernfuncties houden zich bezig met de volgende vragen: t *53FHJFGVODUJFEPFOXFEFHPFEF dingen (waarom)? t *5%FNBOE XFMLF *5EJFOTUFO willen wij (wat)? t *54VQQMZ XFMLF *5EJFOTUFO moeten worden geleverd op welke wijze (hoe)? De IT-Regiefunctie wordt door het CIO vanuit een businessperspectief ingevuld. De medewerkers van het CIO moeten dus optreden als partner in business en als partner in development, met als doel de informatiehuishouding structureel te verbeteren. Dit moeten ze vanuit een strategisch perspectief doen. CIOmedewerkers schrijven kaders en beleid voor IT-Demand en IT-Supply om zo richting te geven aan de inrichting van de informatiehuishouding binnen APG. Nu op hoofdlijnen duidelijk is hoe de CIO-functie bij APG eruit ziet en welke werkzaamheden de medewerClusters - Business - IT performance - Technology
kers verrichten, worden de persoonlijke ervaringen van twee RE’s die daar werkzaam zijn weergegeven in onderstaande kaders. Daarnaast schetst een CIO-medewerker van het UWV zijn visie op de competenties die benodigd zijn om een rol binnen het vakgebied informatiemanagement te vervullen.
Drs. P.J. Mancham RE RA (CIO APG) ‘Het hebben van een RE-achtergrond is zeer waardevol in mijn nieuwe functie, omdat je standaard in de bagage een aantal zaken meeneemt: bewustzijn van het belang van IT voor de organisatie als geheel, in combinatie met beheerste IT-omgevingen, affiniteit met processen en systemen, kennis van risk management processen, bekendheid met IT-governance en IT-management vraagstukken. Die kennis is niet zozeer specialistisch, maar juist vrij breed. Het hebben van brede kennis is ook weer een gevaar. Je moet oppassen dat je niet teveel weer als auditor optreedt bij besluitvormingsprocessen. Het is in de CIO-functie ontzettend belangrijk om gevoel te hebben voor besluitvormingsprocessen, zonder daarbij concessies te doen op kwaliteit. Ik moet in mijn nieuwe functie dan ook zorgen dat relatief meer tijd gestoken wordt in het proces dan het uiteindelijke product (IT-beleidsdocument) dat je oplevert. Vanuit het CIO realiseer ik me ook hoe belangrijk de verhouding tussen de IAD en het CIO moet zijn. Ik ben als CIO erg geïnteresseerd in de mening van de IT-auditor. De RE moet zichtbaar zijn voor de CIO en moet zich verdiepen in de CIO-agenda. Het is goed om een relatie op te bouwen en regelmatig bij te praten.
Regie functie
IT Governance
Waarom
Run
Run
Vraagfunctie
Aanbodfuntie Change
Demand
Wat
Change Hoe
IT supply
Drs. E. Veth RE (Sr. Risk Manager ING & voormalig Information Officer APG) ‘De overstap van de IAD bij APG naar het CIO was een interessante stap. Een aantal RE-competenties was erg bruikbaar, zoals analytisch vermogen en het vermogen om concrete rapportages/beleidstukken te schrijven. IT-beleid schrijven is een kunst op zich: het moet niet te abstract zijn (dan is het te weinig richtinggevend), maar ook niet te gedetailleerd (dan hebben de bedrijfseenheden geen ruimte meer om het beleid naar eigen inzicht te operationaliseren). Om dat te kunnen, moet je zeer goede
Figuur 2: De IT- functie bij APG
34
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 34
09/11/10 7:08 PM
schriftelijke vaardigheden hebben. Beleid maken betekent veel afstemmen om te zorgen dat het beleid inhoudelijk sterk wordt, maar vooral ook dat het gedragen wordt in de organisatie (Demand en Supply). Bij auditrapportages stemde ik de bevindingen af, maar in het uiteindelijke oordeel was ik vrij. Daar hoefde de auditee het niet per se mee eens te zijn. Maar bij IT-beleid is het nog belangrijker om degene die het beleid moet uitvoeren te kunnen overtuigen. Die competentie moet dus erg sterk ontwikkeld zijn. Tevens is het aanvoelen van het politieke speelveld en het kunnen beïnvloeden ervan een vereiste die in mijn nieuwe rol bij het CIO meer van belang was dan bij de IAD. Vaktechnisch gezien was harde IT-kennis ook een grotere vereiste dan bij auditwerkzaamheden waar een procesmatige blik op IT vaak volstond.
Drs. B. van Staveren RE (werkzaam bij het CIO Office UWV) ‘De huidige opleidingen tot IT-auditor adresseren het hele werkveld van IT. Alle beheersaspecten komen aan de orde, van het ontwikkelen van nieuwe oplossingen tot het beheer van de technische infrastructuur. Deze brede, maar vaak weinig diepgaande kennis, maakt de IT-auditor voor wat betreft kennis bij uitstek geschikt voor een managementfunctie in een IT-organisatie. Er zijn echter meer competenties nodig om een goede IT-manager te zijn. Het betreft voor een deel vaardigheden die een IT-auditor niet direct nodig heeft in zijn werkzaamheden als auditor. Niet iedere IT-auditor is daarom geschikt voor een senior managementfunctie in de IT-lijnorganisatie. Een andere mogelijkheid voor een logische vervolgstap in de carrière is naar mijn mening die van IT-consultant of beleidsadviseur voor het CIO. De hiervoor benodigde competenties liggen dichter bij de vaardigheden die bij een goede IT-auditor passen. Wat van belang is om te slagen in een dergelijke functie is een grote mate van senioriteit. Zeker in de latere jaren van de professionele carrière, wanneer deze senioriteit door ervaring en leeftijd is ontstaan, kan dit, naar eigen ervaring, een prima stap zijn.’
CONCLUSIES De RE is goed inzetbaar in andere functies buiten het auditvakgebied. Dat blijkt uit zijn competenties die breder van aard zijn dan soms wordt gedacht. Het blijkt ook uit de praktijk: de RE is in allerlei verschillende functies actief en het aantal RE’s in business neemt steeds verder toe. Vooral consultancy-/adviesfuncties en algemene management- of directiefuncties zijn in trek. Niet alleen de RE RA’s maken vervolgstappen buiten het auditvakgebied, maar ook de enkelvoudige RE’s. Doorstroom naar functies in een ander vakgebied buiten audit is in beginsel gezond voor de organisatie en de ontwikkeling van de werknemer. Het is de uitdaging voor de RE om zijn nieuwe rol goed in te vullen door de juiste competenties in te zetten en andere achter zich te laten. Nog weinig RE’s gaan aan de slag op het gebied van informatiemanagement, terwijl dat erg interessant kan zijn. ■
Literatuur [DRIE04] Driessen, A.J.G., Molenkamp A., Operational Auditing; Een managementkundige benadering van internal auditing, Kluwer, 2004. [FIJN 05] Fijneman, R., Lindgreen, E. R., Veltman, P. (red.), Grondslagen IT-auditing, Sdu Uitgevers bv, 2005. [HAYG10] Massale personeelsuittocht dreigt in 2010, http://www.haygroup.com/nl/Press/Details. aspx?ID=27462. [IIA08] IIA Nederland, De internal auditor in Nederland, postion paper update 2008, Instituut van Internal Auditors Nederland, 2008. [KOOP08] IAD Kweekvijver; de Accountant, april 2008, NIVRA. [NORE06-1] Jaarboek 2006/2007; NOREA de beroepsorganisatie van IT-auditors, NOREA, 2006. [NORE06-2] Reglement Gedragscode ('Code of Ethics'), NOREA, 2006. [NORE07] Jaarboek 2007/2008; NOREA de beroepsorganisatie van IT-auditors, NOREA, 2007. [NORE08] RE-Gids 2008/2009; NOREA de beroepsorganisatie van IT-auditors, NOREA, 2008. [NORE09] RE-Gids 2009/2010; NOREA de beroepsorganisatie van IT-auditors, NOREA, 2009. [SAWY05] Sawyer, L.B., Dittenhofer, M.A., Scheiner, J.H., Sawyer’s internal auditing; The practice of modern internal auditing, Institute of Internal Auditors, 2005.
Drs. E. Veth RE heeft na zijn functie als Audit Manager IT bij Risk & Audit Services van Cordares, gewerkt bij het Corporate Information Office van APG. Op 1 oktober 2010 is hij gestart bij ING. Hij maakt onderdeel uit van de NOREA Werkgroep Adviesdiensten.
Drs. P.J. Mancham RE RA is Chief Information Officer van APG. Daarvoor was hij als Head of Risk & Audit Services van Cordares verantwoordelijk voor de Internal Audit-functie en Risk Control-functie. Hij heeft 21 jaar werkervaring waarvan 16 jaar op het gebied van audit (financial & IT) bij KPMG en Deloitte. Hij is lid van het NOREA Bestuur en lid van het Verantwoordingsorgaan van het Cordares PersoneelsPensioenFonds. Daarnaast is hij als docent verbonden aan de Stichting Pensioen Opleidingen (SPO) en aan Nyenrode waar hij colleges geeft over pensioenen en IT.
Drs B.J. van Staveren RE is senior beleidsadviseur bij het CIO Office van UWV en lid van de Vaktechnische Commissie van de NOREA.
de IT-Auditor nummer 4 | 2010
IT Auditor4.indd 35
35 09/11/10 7:08 PM