For the English version, click here! Afgelopen maand gingen wij in gesprek met Jordi Kerckhaert, oud voorzitter van Asset-SBIT en inmiddels twee jaar werkzaam bij KPMG als IT consultant, en Wout van Kessel, 14 jaar werkzaam bij KPMG en inmiddels partner en tevens ook betrokken bij de IT audit opleiding van TIAS en Post-Master Accountancy aan Tilburg University. In dit interview vertellen Jordi en Wout kort meer over de werkzaamheden van een IT auditor, hoe IT auditing door de jaren heen is ontwikkeld en hoe nieuwe innovaties veranderingen binnenin het vakgebied teweeg kunnen brengen. Hoe ziet een gemiddelde werkweek er over het algemeen uit? Jordi: dat is wel een lastige vraag om te beantwoorden. Het voordeel en het leuke eraan om bij KPMG te werken is dat je meerdere klanten hebt. Om een werkweek te beschrijven is moeilijk te beantwoorden, omdat het er heel erg aan ligt aan met welke verschillende klanten je bezig bent. We hebben een relatief druk seizoen van ongeveer september tot ongeveer februari. Als ik naar mijzelf kijk heb ik ongeveer twee tot drie grote klanten gedaan, dan zit je te denken aan meer dan 250 tot 300 uur. Daarnaast heb ik ook nog een aantal kleinere klanten. Dus het is heel afhankelijk met welke klanten je werkt. Met grotere klanten werk je in een aantal waves, hierin heb je een stuk voorbereiding zoals planning en het bepalen van de scope. Vaak plannen we een aantal interviews met de klant in, en vragen we op voorhand bewijslast op die we vervolgens tijdens de interviews met de klant doornemen. Afhankelijk van wat daar uitkomt kunnen er wat extra interviews worden gepland. Gedurende de hele rit zorg je ook dat je project management op orde blijft en dat de communicatie goed blijft. Tijdens een IT audit is het daarbij ook belangrijk dat wij goed communiceren met onze audit collega’s. Gedurende dat traject zorg je verder ook dat alles netjes wordt gedocumenteerd. Als ik een interview week heb ben ik veel met dezelfde klant bezig, op een intensief niveau met veel interactie, maar dat heb je niet elke week. Als ik dan kort even terugspoel heb ik bijvoorbeeld op maandag thuisgewerkt voor een klant. Dinsdag ben ik een hele dag naar Rotterdam geweest naar een klant waar ik een adviesklus uitvoer. Op zo’n dag zit je dan veel in meetings met verschillende stakeholders en werk je tussendoor wat zaken uit. Op de woensdag zit ik dan weer op kantoor in Eindhoven waar ik een focusblok had ingepland voor mezelf voor een kleinere opdracht. Daarnaast had ik ook een feedbackgesprek gepland met een collega, waar je elkaar dus feedback geeft over hoe we het afgelopen jaar hebben gepresteerd, en of er eventueel tips en tops zijn. Donderdag hadden we nog een kick-off van een nieuwe klant in de ochtend, en op vrijdag zit ik dan nog op TIAS waar ik de post-master IT-auditing volg. Kunnen jullie uitleggen wat IT audit in de breedte inhoudt? Jordi: ‘Traditionele’ accountants doen een controle over de jaarrekening. Vroeger gingen de controles vanuit papier en archiefmappen. Met de jaren heen hebben deze controles steeds meer te maken met verschillende applicaties en systemen die impact hebben op de financiële jaarrekening. Dat heeft ervoor gezorgd dat ons vak uiteindelijk is ontstaan. Als het ware moeten wij ervoor zorgen dat onze accountant collega’s kunnen steunen op de systemen waar zij de financiële data uit halen voor hun controles. Wout: Wij geven dus zekerheid over de effectieve en betrouwbare werking van IT systemen en processen. Daarnaast kunnen wij klanten ook advies bieden met betrekking tot IT systemen en alles wat daar om heen zit. “Aan het harde IT betalingsverkeer is niet veel anders, alleen de schil eromheen is substantieel veranderd.” Hoe verschilt een audit in het heden hoofdzakelijk het meest met een audit van 10 jaar geleden? Wout: Hierbij moet wel een kleine kanttekening worden gemaakt, het antwoord verschilt namelijk per segment. Als je bijvoorbeeld kijkt naar de financiële sector is het harde IT betalingsverkeer niet substantieel veranderd, dat draait namelijk nog op mainframes of oudere IT omgevingen. Echter is de schil eromheen substantieel veranderd; als je bijvoorbeeld kijkt naar grotere organisaties als multinationals zie je dat zij hun IT infrastructuur zijn gaan centraliseren. Zo’n ontwikkeling van een organisatie kan je als auditor volgen. Dit betekent dat je niet een centrale audit kan uitvoeren wanneer een klant slechts op lokaal niveau is georganiseerd. Echter door deze ontwikkeling zijn de audits gaan transformeren. Door centralisatie en beschikbaarheid van IT middelen zijn we veel meer digitaal gaan auditen. 10 jaar geleden, wellicht beetje vertekend omdat we in Eindhoven toen al heel ver waren met data analyse, konden we dus bij bijvoorbeeld Philips en DSM centraal de procesgang toetsen. Zo hadden we inzage op het wereldwijde inkoopproces; de order was digitaal, de goederenontvangst is digitaal, de facturen ook. Hierdoor kon je dus het gehele proces integraal toetsen. Dat betekent dus dat je door middel van data analyse redelijke mate van zekerheid kan geven over enerzijds de procesgang, maar we kunnen anderzijds ook de afwijkingen identificeren. Zo kunnen we dus bijvoorbeeld een component auditor in de Filipijnen er van op de hoogte stellen dat 300 facturen niet conform het standaard proces zijn verwerkt. Dus met de opkomst van data analyse, process mining, en feitelijk nieuwe audit technieken kun je op grote populaties een veel hogere maat van zekerheid geven. 100% zal nooit lukken, dat durft geen enkele accountant af te tekenen. Echter kom je op deze manier wel heel dicht tot dat punt. Verwacht je dat deze ontwikkeling en transformatie van het vakgebied alleen maar zal versnellen als we rekening houden met nieuwe innovaties als bijvoorbeeld Artificial Intelligence en Deep Learning? Wout: Dat kan zeker een rol spelen, al moet ik wel zeggen dat veel klanten daar in hun financiële administratie niet mee bezig zijn. Als je ziet hoe RPA wordt ingezet, wordt dat vaak gedaan met betrekking tot inkoopfacturen. Feitelijk is dat niks anders dan een application control op een geautomatiseerd