De Auditdienst Rijk (ADR) werkt voor opdrachtgevers in het hele land. Menno Boonstra, 1 van de 120 IT-auditors, werkt voor 3 grote opdrachtgevers in het Noorden van Nederland: de Dienst Uitvoering Onderwijs (DUO), het Centraal Justitieel Incassobureau (CJIB) en het Overheidsdatacenter Noord (ODC-Noord). Hij duikt in de infrastructuur van organisaties zodat IT-processen en systemen veilig en betrouwbaar zijn en blijven.
Verbeterslagen maken
IT-auditors doen onafhankelijk onderzoek naar informatiesystemen. Zij controleren systemen op het gebied van onder andere security, betrouwbaarheid en continuïteit. Menno: ´Ik werk veel en intensief samen met mijn collega auditors en accountants. Ons gezamenlijke doel is altijd om organisaties te helpen om verbeterslagen te maken. Voordat we ons onderzoek starten, maken we een plan van aanpak. Om welk systeem gaat het? Hoe ziet de onderliggende infrastructuur er uit? Wat is de functie? Die samenwerking is zo essentieel omdat we helder willen hebben wat de scope is van ons onderzoek. We gaan in gesprek met klanten over de afwijkingen die we in systemen tegenkomen en wat de risico´s daarvan zijn. Wij onderzoeken en constateren en blijven daarbij altijd objectief en onafhankelijk.´
De opdrachten
‘Als de ADR bevindingen doet waaruit blijkt dat systemen niet goed beheerst worden, kan dit impact hebben op de accountantscontrole’. Vertelt Menno. ‘Voor de wettelijke taak doen we jaarlijks onderzoek naar onder andere autorisatiebeheer en informatiebeveiliging. Daarnaast doen we ook andersoortige opdrachten. Als binnen een organisatie een nieuw systeem is geïmplementeerd of als er een groot data-migratietraject loopt bijvoorbeeld, worden wij gevraagd om te controleren of de processen goed zijn ingericht. Ik vind het heel mooi om te zien dat de ADR niet alleen maar als controle-organisatie wordt gezien. We helpen en ondersteunen en dragen zo bij aan een goed functionerende Rijksoverheid.’
Betrouwbaarheid van gegevensverwerking
Menno werkt veel voor de Dienst Uitvoering Onderwijs (DUO). DUO is een echte IT-organisatie. Bijna alle processen zijn geautomatiseerd. Denk aan het aanvragen en uitbetalen van studiefinanciering. Of aan de geautomatiseerde klantsystemen die DUO-medewerkers gebruiken. Menno: ´Ik zit zelf meer op de general IT-controls. Dat zijn de algemene IT-maatregelen van de organisatie. Het kijken naar een toekenningsysteem van DUO is belangrijk om bijvoorbeeld te voorkomen dat studenten die nog thuis wonen geen uitwonende beurs ontvangen. Ik controleer dan de inrichting van de onderliggende IT infrastructuur en beheerprocessen van het systeem. Klopt alles? En wat is de impact van een afwijking op de betrouwbaarheid van de geautomatiseerde gegevensverwerking?´
Steeds technischer
Door de continue veranderingen in het IT-landschap moet je als IT-auditor echt wel kennis van IT hebben, vindt Menno. ´Ik heb zelf bedrijfskunde gestudeerd en startte bij de ADR als IT-audittrainee. Die periode heb ik heel veel geleerd over zowel auditing als IT. Een mooie opstart om echt goed te worden in het IT-auditvak. Veel van mijn collega´s zijn technisch. Ze hebben een achtergrond in artificial intelligence of technische bestuurskunde. Die veelzijdigheid van kennis is super interessant. We hebben regelmatig kennissessies en blijven zo met elkaar goed op de hoogte van de laatste ontwikkelingen in ons vakgebied. Laatst ging er een sessie over hoe je data-analyse kunt inzetten binnen jouw controle. Een interessant thema voor veel collega´s binnen de ADR. Je ziet dan hoe gaaf het is om elkaar te ontmoeten en van en met elkaar te leren. Voorlopig ben ik ook nog niet klaar bij de ADR.’
Werken bij Auditdienst Rijk