ARC (vak)praat met... Anita van der Leeuw, Senior Manager IT Audit & Risk

Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met (eind)verantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? Deze maand praten we met onze eigen collega Anita van der Leeuw, Senior Manager IT Audit & Risk, over de ontwikkelingen en uitdagingen in het vakgebied.

In 2007 ben ik bij PwC Accountants begonnen in het SOx (Sarbanes-Oxley) traineeship. Vanuit daar ben ik op een natuurlijke manier doorgestroomd naar het IT audit vakgebied.  In de afgelopen 14 jaar heb ik heel breed kennis en ervaring opgedaan in dit vakgebied. Ik heb externe audits uitgevoerd waar ik teams aanstuurde variërend van 3 tot 10 minder ervaren medewerkers. Deze audits bestonden uit IT audits als onderdeel van de jaarrekening controle maar ook uit Third Party Assurance en overige verklaringen (SOC, ISAE3402, COS3000, AUP). Naast de externe audits heb ik een breed pallet aan overige opdrachten uitgevoerd, zoals interne audits, risico assessments, DigiD assessments en cyber security onderzoeken. Op het gebied van risicomanagement heb ik klanten geholpen met het mitigeren van IT risico’s en het opstellen van interne controle raamwerken. Mijn klanten varieerden in verschillende branches en grootte, waarbij de nadruk lag op grote multinationals. 

Omdat ik bedrijven graag écht verder wil helpen – in plaats van hoofdzakelijk controleren – heb ik de overstap gemaakt naar ARC People. Ik sta nog steeds volledig achter deze overstap, want bij mijn huidige opdrachtgever heb ik nu al mooie resultaten neergezet om de interne beheersing volwassener te maken door middel van een audit. Van de gesprekken die ik voer binnen deze audit leren zowel de opdrachtgever als ik ontzettend veel. Mijn rol is nu meer gericht op het adviseren van organisaties waardoor we concrete verbeterstappen kunnen maken.  

Naar mijn mening is de belangrijkste taak van een IT auditor om met management mee te denken over IT (en bredere) risico’s zodat management passende maatregelen kan nemen.  Een belangrijk onderdeel is dat de IT auditor hierbij ook goed op de hoogte is van de recente ontwikkelingen. In mijn advies neem ik deze daarom ook altijd mee. Dit kunnen bijvoorbeeld onderwerpen zijn zoals ransomware, cyber security en Internet Of Things. Door actuele ontwikkelingen en observaties te belichten houd ik het management scherp en kritisch. Soms ontwikkelen deze observaties zich zelfs tot een aparte audit.

Het vakgebied van IT audit is continu in ontwikkeling. Op dit moment is de IT audit verklaring door beroepsvereniging NOREA een belangrijk topic, maar het is nog onduidelijk wanneer dit geïmplementeerd gaat worden. Verder speelt er veel op het gebied van cyber security, ransomeware en continuous monitoring, maar ook data-analyse, robotisering en AI zijn enorm actueel. Doordat ARC People actief is bij verschillende klanten in allerlei branches, kom ik veel in aanraking met deze ontwikkelingen. Als organisatie zijn wij gespecialiseerd in audit, risk en compliance en iedereen is dag-in-dag-uit bezig met het vakgebied. Mijn collega’s en ik werken nauw samen en delen onze kennis met elkaar, zodat iedereen up-to-date is van de laatste ontwikkelingen en innovaties.

Er is momenteel een groot tekort aan goede professionals. De vraag naar gespecialiseerde IT auditors, cyber security experts en specialisten op het gebied van data-analyse is ontzettend groot en goede professionals zijn schaars. Ik zie ook dat veel Big4 auditors het vakgebied verlaten en dat er onvoldoende nieuwe aanwas is. Gelukkig zijn er veel initiatieven om het vak aantrekkelijker te maken voor starters. Binnen het ARC Talent Program begeleid ik trainees door hen te coachen en enthousiast te maken voor het technische gedeelte van het vakgebied. Ik geef zelf trainingen, maar we organiseren ook veel inhoudelijke activiteiten zoals masterclasses en sessies met gastsprekers om de trainees actief te betrekken bij alles wat het vak te bieden heeft. 

Naar mijn mening zouden audit en risk management altijd samen moeten gaan. IT audits kunnen beter en effectiever uitgevoerd worden door kennis van risk management toe te voegen, maar andersom is deze samenwerking er uiteraard ook. Door audits uit te voeren leer je de pijnpunten in de processen te herkennen waarmee je een organisatie vervolgens kan helpen om deze op te lossen en kansen te benutten. Via risicomanagement help je organisaties om de risico’s zoveel mogelijk te mitigeren door controlemaatregelen in te richten. Door deze vakgebieden te combineren kun je beter bijdragen aan het implementeren van interne beheersmaatregelen en aan een robuuste interne controle. Dit helpt op zijn beurt weer om gemakkelijker door externe audits te komen. Het gaat beide hand-in-hand.

Wat maken deze vakgebieden interessant en leuk voor jou?Ik haal veel energie uit de gesprekken die ik voer met klanten, leveranciers en opdracht teams. Door oprechte interesse te tonen ontstaan er waardevolle gesprekken en uitkomsten. Het vakgebied is uitdagend en volop in ontwikkeling. Het is belangrijk om continu op de hoogte blijven van ontwikkelingen in het vakgebied en veranderingen in de regelgeving. Al zolang ik me kan herinneren houd ik ervan om nieuwe kennis op te doen. Dit vakgebied stimuleert mij om mij continu te blijven ontwikkelen, zowel op professioneel vlak als op het gebied van mijn persoonlijke ontwikkeling.