IT-auditen is een vak apart

Er zijn vele redenen waarom een organisatie
over kan gaan tot een IT-audit.  Ik noem er
een aantal.  Bij overnames of samengaan van
bedrijven is het belangrijk te weten voor
hoeveel geld de software in de boeken moet
staan.  Dat moet je uitvissen gebaseerd op
feiten liefst middels een audit.  En: zitten
er lijken in de kast die die waarde kunnen
beinvloeden?  Via een audit kom je erachter.

Een andere reden is om te weten te komen wat
de risico's zijn bij het investeren in
IT-intensieve projecten.  Dat is belangrijk
voor beurs genoteerde bedrijven die onder
jurisdictie van de Sarbanes Oxley Act vallen.
Je moet de investeerder correct, compleet, en
tijdig inlichten over alle zaken die de
beursnotering sterk kunnen laten fluctueren.
En IT plus de enorme operationele problemen
die het kan veroorzaken is dan een heuse
kandidaat.

Een belangrijk concreet voorbeeld is de Tweede
Kamer die de Algemene Rekenkamer gevraagd heeft
om de mogelijke IT-verspilling in kaart te
brengen.  Het gaat mogelijk om erg veel geld,
en het is onacceptabel om geen inzicht te hebben
in de omvang van deze inefficientie.  We weten
inmiddels dat het de Rekenkamer niet gelukt is
dit te volbrengen.  Wat daarmee pregnant
duidelijk is geworden is dat IT-auditen een
vak apart is.  Dat kun je niet zomaar overlaten
aan willekeurige auditoren.

Een ander voorbeeld waarom je zou willen auditen
is om te weten of het aanwezige IT-landschap
je in de komende tijd van dienst gaat zijn met
de dageljikse operationele werking van de
organisatie.  En of bij innovaties het IT-complex
kan aanhaken en de vernieuwing toekomstvast
kan blijven ondersteunen.  We zagen dat onlangs
bij de Protestantse Kerk Nederland die met hun
ledenadministratie worstelt.  Er was gekozen
voor vernieuwing op grond van allerlei adviezen,
maar dat bleek toch helemaal verkeerd uit te
pakken, en dus miljoenen weg.

Nog een voorbeeld:  je wilt weten of ICT
negatieve effecten heeft op de requirements
van een groter systeem waar het deel van
uitmaakt.  Dat kan zijn een auto, een vliegtuig,
een stormvloedkering, een meldkamer, een
MRI-scanner, een pillendraaimachine, verfmengers,
etc.  Die eisen varieren van voldoen aan
CO-emissie richtlijnen, of veiligheid zoals
gaat die airbag wel open?  Bij bepaalde modellen
van Daimler Chrysler zorgde een fout in de
software er in 2006 voor dat de aandrijving
kon blokkeren bij snelheden boven de 40 mijl
per uur.  Dus je hoopt wel dat die airbag dan
open gaat.  Sluit die kering wel als het moet?
Komen alle meldingen wel binnen?  Zijn patienten
veilig in die scanner?  Zitten er geen afwijkingen
in de receptuur van de pillen?  Zijn de
kleurafwijkingen binnen de marges?  Is er wel
druk op de waterleiding als de brand uitgebroken
is? En zo kun je door blijven gaan.

Als je die voorbeelden op een rijtje ziet zou
je toch verwachten dat IT-auditen routinematig
gebeurt en dat iedereen snapt dat je daar
specialisten voor nodig hebt.  Sommige IT is
gereguleerd omdat de sector  waar het deel van
uitmaakt dat al was.  Neem bijvoorbeeld de
medische hoek.  Daar is veel gereguleerd,
geprotocoliseerd, en dus staan IT-gerelateerde
medische zaken ook onder een audit regime.  Of
denk aan de militaire industrie, waar zaken
onder militaire standaards gemaakt worden.  Of
denk aan Safety Integrity Levels (SIL).  Als
een helicopter SIL 4 gecertificeerd moet worden,
wil je dat uiteraard middels een audit zeker
weten.

Buiten de overduidelijke voorbeelden zie ik
het IT-auditen momenteel op een ad hoc manier
gebeuren, en bovendien niet altijd even goed.
Een van de oorzaken is dat opdrachtgevers niet
bekend zijn met het idee van IT-auditing.  Als
men voor grote besluiten staat zoals wel of
niet doorgaan met een bestaand systeem, zie je
dat men niet altijd de juiste raadgevers heeft.
Je moet de timmerman niet vragen of je een huis
van hout of steen moet maken.  Die zal kiezen
voor watie kent, of waarie het meest aan kan
(ver)timmeren.  Je kunt daarin ook weer te ver
gaan.  Sommige timmerlieden hebben zulk uitbebreid
en scherp gereedschap dat het weer zonde is
als dat niet ingezet kan of mag worden.

Bij IT-auditen komt veel om de hoek kijken.
Diepe kennis is nodig om bestaande systemen te
ontsluiten gegeven de vraag die er ligt.  Maar
ook indicatoren kunnen analyseren die om de
systemen heen zitten, zoals log-files van
systeemcomplexen, gegevensbestanden die
onderhouden worden door een IT-portfolio,
management informatie over het voortbrengingsproces
van de software, of incident rapportages.
En omdat er niet of nauwelijks echt gemeten
wordt aan software, is ook het synthetiseren
van informatie uit beperkte gegevens een
belangrijk onderdeel van IT-auditen.  Daarnaast
is het benchmarken van grote waarde.  Wat is
normaal?  Wat niet?  Waar zit de ander?

In een maatschappij waar we volkomen afhankelijk
zijn geworden van het naar behoren werken van
nullen, enen en Siliciumkristallen kan het niet
al te lang meer duren eer het de gewoonste zaak
van de wereld wordt om cruciale IT-functies te
auditen.  Wat betreft de financien zijn we al
lang en breed op dat punt, omdat alles om geld
draait.  Echter het vliegwiel daarvoor is toch
IT.  Of dat de zaak draaiende houdt is het
bestaansrecht van de IT-audit.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam.  Hij
schrijft regelmatig een column in AG II.  Hij is
te bereiken via email:  x@cs.vu.nl.  Deze tekst is
copyright SDU.  Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.