Een kritische vriend in een walhalla van IT-applicaties

Ali komt in 2020 bij Rabobank werken vanuit het publieke domein. “Ik zat aan de limiet van mijn kennisniveau, ik deed alsmaar hetzelfde. Ik had behoefte aan meer diepgang en verbreding in mijn werk. Sinds 2016 ben ik vegan geworden en probeer daarmee bij te dragen aan een eerlijker en duurzame wereld. Vanuit die overtuiging spreekt de missie van Rabobank mij enorm aan, Growing a Better World Together. Ik heb gesolliciteerd en vooraf goed mijn onderzoek gedaan. Zo heb ik de jaarrekening gelezen en ik heb wat mensen uit mijn studie gesproken die bij Rabobank werken. Tijdens de sollicitatiegesprekken kwam de hoge mate van professionaliteit al snel naar voren. En nu ik hier werk kan ik dat echt beamen, de professionele manier waarop wij als auditors hier ons werk kunnen doen, dat heb ik nog niet eerder meegemaakt in mijn loopbaan.”

Waar spreekt die professionaliteit in auditing uit?

Ali neemt eerst een stap terug in zijn uitleg: “Kijk, wat wij feitelijk doen, is het beoordelen van een proces. Wij kijken naar de risico’s binnen een proces. Daar bestaan beheersmaatregelen. Wij toetsen of die beheersmaatregelen afdoende de risico’s afdekken. We houden op die manier de organisatie een spiegel voor en geven verbetervoorstellen. En meer is het niet. Maar het mooie is, wij hebben binnen Rabobank een organisatiebreed risico- en control framework, genaamd Archer. Wij als audit registreren eveneens al onze audits in Archer en wijzen voor iedere bevinding een eigenaar en significantie toe. De significantie bepaalt binnen welke vastgestelde periode de eigenaar de bevinding moet oplossen. Als die oplossing er niet komt, dan kunnen wij dat via de applicatie en periodieke management gesprekken escaleren naar een hoger niveau. Tot aan de Groepsdirectie. Alle risico’s en controls van de organisatie zitten in één applicatie en hebben allemaal een eigenaar; dat toont een hoge mate van professionaliteit aan. Dat ben ik nog nergens anders tegengekomen.

Is dat een onderdeel van de cultuur binnen Rabobank?

Ali vervolgt, “Ik heb in mijn loopbaan meegemaakt dat wanneer bepaalde bevindingen op een te laag managementniveau blijven hangen, er niets mee gedaan wordt. Bij Rabobank zie je dat alles heel gestructureerd wordt vastgelegd in Archer.”
“Tegelijkertijd is de cultuur binnen de bank heel open en vriendelijk. Informeel. Tijdens mijn sollicitatiegesprek had ik een stropdas om. Ik had een heel zakelijk gesprek verwacht. Mijn toekomstige collega’s aan de andere kant van de tafel, die waren netjes gekleed, maar geen stropdas. Zo zakelijk hoefde het dus allemaal niet. Het gesprek was ook heel gemoedelijk. Het gaf mij nog meer de bevestiging dat ik hier deel van wilde uitmaken. Toen ik eenmaal startte merkte ik dezelfde prettige sfeer in de gesprekken met auditees. Rabobank is echt een fijne omgeving om als auditor te werken”

Hoe is jouw werk als IT Auditor binnen Rabobank?

“Er is nog zoveel wat ik kan leren binnen de bank als IT Auditor, ik zit hier echt in een walhalla als je kijkt naar het applicatielandschap en de IT-architectuur van de organisatie. Ik denk dat ik hier over 10 jaar nog steeds afwisselende audits kan uitvoeren.”
“Ons IT-landschap is enorm complex. We hebben operating systems van Windows tot en met diverse smaken Linux, maar ook oudere mainframes. Als IT-auditors kijken we naar de diverse lagen van de architectuur en de risico’s en beheersmaatregelen daarbinnen. De onderzoeken variëren van audits naar diverse applicaties, het netwerk, cryptografie, informatiebeveiliging en nog heel veel interessante onderwerpen En er verandert zoveel in dit landschap. Ook wij stappen over op cloud-omgevingen en hebben te maken met onderwerpen als cyber security. Op deze domeinen moet ik mijn kennis bijhouden. Als IT Auditor heb je de taak om je continu te blijven ontwikkelen. Zo ben ik nu bezig om mijn certificering te halen voor Certified Cloud Security Professional.”

Dat gebeurt vanuit een opleidingsbudget voor IT Auditors?

“Rabobank biedt daar diverse mogelijkheden in. Samen met je leidinggevende leg je vast op welke gebieden jij je wilt ontwikkelen. Je krijgt de ruimte om zelf je keuzes te maken. We krijgen jaarlijks een persoonlijk opleidingsbudget dat je kunt besteden aan een opleiding waarmee jij je in je vakgebied wilt ontwikkelen. Het is ook mogelijk dit budget op te sparen voor duurdere opleidingen. We organiseren intern trainingssessies en we hebben een summer school. We geven elkaar dan trainingen over onze eigen vakgebieden. Ik ben nu bezig met Cloud Security, maar je kunt net zo goed je verder ontwikkelen in bijvoorbeeld data analytics of cultuur en gedrag.”

Cultuur en gedrag? Voor IT-audits?

“Zeker! Wij vinden dat cultuur en gedrag belangrijk is voor de beheersing van je IT-omgeving. We geven tijdens audits aandacht aan de cultuuraspecten van een afdeling. Zo kijken we of er misschien een cultuuraspect is dat aan de grondslag ligt van bepaalde bevindingen. Een cultuuraspect is bijvoorbeeld dat iemand de processen en richtlijnen als onduidelijk ervaart. Als we vervolgens bevindingen hebben op de uitvoering van dat proces, dan kun je in je advies aangeven om de richtlijnen duidelijker te communiceren.“

Ali vertelt over zijn bevindingen in datacenters. Een plek waar hij vaak is te vinden. “Stel dat ik bij een datacenter ben en ik zie een bepaalde deur open staat die eigenlijk niet open zou moeten staan. Ik kan er voor kiezen dat te melden in mijn bevindingen: de deur staat ongeoorloofd open. Of ik loop naar de deur, kijk wat er aan de hand is en geef een praktisch advies aan de auditee. Zorg dat je het slot vervangt, maak de scharnieren in orde. Dan weet hij meteen wat hij moet doen om het probleem op te lossen. Het zijn kleine dingen maar ze zorgen wel voor de toegevoegde waarde.”

Communicatievaardigheden voor de auditor

“Het is één van de skills die je als auditor moet hebben: het goede gesprek kunnen voeren. We kijken bij iemand in de keuken, we vertellen of er iets wel of niet goed gaat. Als je zwart/wit communiceert, kan dat clashen. Belangrijk zijn je overtuigingskracht, communicatieve vaardigheden en oordeelsvorming. Daarbij moet je objectief blijven. Dat is makkelijker gezegd dan gedaan, want er zijn grijze gebieden. Hoe ga je met bepaalde omstandigheden om? Daar komt je professionaliteit bij kijken.“

De auditor als kritische vriend

“Mijn belangrijkste drijfveer is dat ik de kritische vriend ben van mijn auditees. Zo lever ik toegevoegde waarde voor anderen. Als ik zie dat we samen iets kunnen verbeteren, dan wordt de bank daar gewoon beter van. We maken elkaar beter en daar krijg ik juist energie van, dat ik een bijdrage kan leveren aan onze organisatie, de visie en missie.”

Op bezoek bij Amazon en Google

“Als IT Auditor bij Rabobank heb je de mogelijkheid om in het buitenland audits uit te voeren. Dat gebeurt in het najaar vanuit het CCAG, Collaborative Cloud Audit Group. Een samenwerkingsverband van diverse Europese banken en verzekeraars. De leden stellen auditors beschikbaar om een audit te doen bij Google, Amazon en Microsoft. Deze kans ga je nergens anders krijgen. Het is eigenlijk de ultieme droom van een IT Auditor. Ik mag in de keuken van Amazon kijken en een IT-audit uitvoeren op de diverse IT-beheerprocessen zoals bijvoorbeeld hun Identity and Access Management. Dan zit je echt op wereldcupniveau.”

Ali is er zeker van na 2,5 jaar als IT Auditor: “Als je echte uitdaging zoekt met enorme variëteit aan werkzaamheden, verbreding en diepgang, dan zit je echt wel bij de juiste werkgever, bij Rabobank.”