De noodzakelijke transitie van IT-auditing

Interview met Paul van Kessel De noodzakelijke transitie van IT-auditing Paul van Kessel (1958) is sinds 2006 wereldwijd verantwoordelijk voor de (IT-) Risk Assurance en Advisory Services van EY. Zijn rol is momenteel Global Managing Partner Cybersecurity Services. Deze bijzondere positie en zijn ervaring vormen voor ons de aanleiding om hem te interviewen, benieuwd als we zijn naar zijn observaties aangaande de inzet en relevantie van IT-auditprofessionals in Nederland maar ook wereldwijd. ’Wat mij in het bijzonder opvalt is het denken in vastomlijnde hokjes dat in het Nederlandse domein nog steeds rondom de afzonderlijke disciplines en hun beroepsorganisaties heerst. Nergens ter wereld zie je zoveel publicaties of toekomstverkenningen met titels als ‘The future of IT-auditing’; ‘The future of operational auditing’, et cetera. NOREA is 25 jaar geleden opgericht. Vanaf de zijlijn heb ik de totstandkoming van NOREA meegemaakt. De personen die daar destijds het initiatief toe hebben genomen waren voornamelijk accountants en consultants die zich gingen richten op de audit met behulp van IT. Data-analyses werden ondersteund en uitgevoerd met behulp van computers (CAATs, Computer Assisted Audit Techniques). We maakten als het ware de data toegankelijk voor accountants die dat zelf niet konden. Die specialisatie voorzag toen in een grote behoefte en het IT-audit vak heeft zich sindsdien als een afzonderlijke discipline doorontwikkeld en verbreed. NOREA en de IT-auditopleidingen van de universiteiten hebben daaraan een belangrijke bijdrage geleverd.’  Er zijn twee soorten bedrijven, bedrijven die al gehackt zijn en bedrijven die dat nog niet weten… ’De core competence van de IT-auditor heeft te maken met control(s). Als ik naar het beroep kijk, dan is een IT-auditor niet primair...