Help, een it-audit!

We leven in een tijdperk van controleurs. Vaak voelen betrokkenen zich gepakt als de it-auditor zijn rapport afscheidt en de deur achter zich dicht trekt.  De bevindingen komen vooral hard aan, als de it-organisatie zich vooraf nauwelijks rekenschap heeft gegeven van omvang en draagwijdte van de doorlichting.
Hoe bereid je je wel goed voor? Allereerst: benader de audit als een kans in plaats van een bedreiging. Dat vraagt een proactieve aanpak. Zorg dat de personen die de auditors opvangen zich goed kunnen voorbereiden. Zo vermijd je dat de audit uitloopt op onterechte, haastige conclusies, of op aanbevelingen waar de onderneming niets mee kan.
Je moet dus weten waar auditors op letten. Veel van hun aanbevelingen hebben betrekking op gebrek aan interne controle, gevolgd door tips voor procesverbetering.
Ook belangrijk: zorg dat de verantwoordelijke it-ers tijd hebben voor de auditors. Het beste is het om een vaste contactpersoon aan te wijzen die het audit-proces op de voet volgt. Deze kan de auditors wijzen op de impact van bepaalde conclusies of aaanbevelingen voor de organisatie . Hij  kan de auditors uittekenen wat de kosten en baten van bepaalde scenario's zijn. Dit is kortom het stadium waarin aanbevelingen die een negatief effect hebben op de organisatie, nog op basis van argumenten kunnen worden gecounterd. Meedenken dus!
Vooraf moet er ook heel wat gebeuren. Ga na of de werkprocessen en de interne controles in het domein dat aan de audit onderworpen wordt, de toets der kritiek kunnen doorstaan. Zo niet,  stel een lijstje met verbeterpunten op en overleg dat - op het geschikte moment - aan de auditoren.
En het houdt natuurlijk niet op als de auditors hun hielen hebben gelicht: de it-manager moet op regelmatige basis de temperatuur van zijn organisatie meten. Daartoe moeten de nodige projecten worden opgestart. Heel wat it-managers kiezen voor een referentiekader zoals dat ook door veel auditoren wordt gehanteerd, zoals ISO 27001 of Cobit. Dat heeft het voordeel dat ze dan dezelfde taal spreken als hun gesprekspartners, en dat de reële omvang van de audit voor iedereen duidelijk is.
Natuurlijk is het geen doel op zich om ervoor te zorgen dat een audit tot zo weinig mogelijk vaststellingen leidt. Maar wie zelf werkt aan de verbetering van zijn processen, blijft de regisseur van zijn eigen film.

Georges Ataya is hoogleraar aan de Solvay Business School en vicepresident van het IT Governance Institute