Kiezen voor IT auditing?

Beste Tweakers,

Ik overweeg de IT auditing kant op te gaan. Zelf weet ik wel wat van het vakgebied (wat ik uit de gesprekken heb begrepen en zo, dus ook weer niet heel veel), maar ik twijfel nog over een aantal zaken en vroeg me af of andere tweakers mij wellicht kunnen adviseren:

- Hoe groot of klein is het IT audit gebied? Ik hoor dat er vrij weinig IT auditors zijn (nog geen 1000 met een postdoc) in Nederland. Wat betekent dat voor eventuele overstap mogelijkheden naar wat meer algemenere management banen? Zit je vast aan de grote vier kantoren (of enkel grote multinationals), of is het makkelijk om over te stappen naar andere branches of zelfs beroepsrichting (denk aan IT manager of iets dergelijks)? Heeft iemand hier eventuele ervaringen mee? Want opzich lijkt het me interessant, maar ik weet niet of ik dat perse over 10 a 15 jaar ook wil doen.

- Hoe zijn de carrieremogelijkheden? Hoe makkelijk of moeilijk groei je door binnen het veld? Hoe is het carriereverloop ten opzichte van andere IT richting (aangezien het wel een niche is, is het wellicht omhoog te klimmen?)?

- Ik kan ook niet zoveel salarisinformatie vinden. Hoe ontwikkelt het salaris zich in de loop der tijd? Hoeveel verdien je na een eventuele postdoc meer dan ervoor? Iemand die zijn pad wellicht wil delen?

- Hoe analytisch is het beroep precies? Is het wel uitdagend, of is het vrij formalistisch toepassen van regels? Hoe verhouden die twee zich?

Ik heb hier helaas niet veel informatie over kunnen vinden, wel een topic uit 2006 maar daarin werd niet ingedaan op dit soort vragen, dus vandaar dat ik een nieuw topic aanmaak.

Ik zou het erg op prijs stellen als Tweakers met kennis bij kunnen helpen bij het beantwoorden van deze vragen

Alvast bedankt!

P.S. Het betreft IT audits op het gebied van processen en systemen, t.b.v. dingen als jaarverslagen, veiligheidsbeleid enz.

[ Voor 10% gewijzigd door Anoniem: 611386 op 19-09-2014 03:27 . Reden: Verduidelijking; privacy ]

Bedankt voor de reacties, excuses voor mijn onduidelijkheid. Het betreffen voornamelijk werkzaamheden die betrekking hebben op het auditten van bedrijfsprocessen (RE/EDP) en systemen (maar dan niet in de code kijken), waarbij voor een groot deel van de werkzaamheden bestaat uit het nagaan van processen ten behoeve de verslaggeving (financiele cijfers). Ik heb begrepen dat het later mogelijk is ook om naar audits te doen op security gebied enz.maar voornamelijk dus procesmatige aspecten.

[ Voor 4% gewijzigd door Anoniem: 611386 op 17-09-2014 19:47 ]

Het is een van die grote accountskantoren (tegenwoordig doen ze veel meer dan accounting), maar mijn potentiele werkgever is inderdaad die vier die petervanakelyen noemt.

Awsom schreef op woensdag 17 september 2014 @ 22:03:
Wat voor opleiding gedaan en hoe sluit dit aan op het beroep? Komt dit overeen en lijkt het werk je leuk of ben je hier 'per toeval' bij terecht gekomen?

Bedankt voor je reactie. Heb diverse WO opleidingen gedaan en afgemaakt, maar rond nu (als master) een combi af van bedrijfskunde en IT. Ik was alleen niet zo bekend met het IT auditten, dus ik weet er helaas niet zoveel van, maar ben alle assesment wel goed doorgekomen (er wordt eigenlijk vooral naar intelligentie gekeken, maar ben er vrij goed doorgekeken). Het lijkt me opzich wel leuk, maar ik weet niet hoe dat over een veel langere periode zal zijn, omdat ik nooit in dat veld heb gewerkt (ook niet qua bijbaan of iets dergelijks). Ik vroeg me daarom af hoe makkelijk of moeilijk het is om dan over te stappen naar een gerelateerde tak.

DukeBox schreef op woensdag 17 september 2014 @ 22:10:
Sinds het Ahold schandaal is een audit verplicht bij de grotere ondernemingen.. heb er zelf al bij diverse toko's meerdere meegemaakt. Het is denk ik sterk afhankelijk aan welke kant je komt te zitten... de uitvoerende of de 'bedenkende'. De mensen op de vloer doen niets anders dan kant en klare scriptjes uitvoeren op de bekende applicaties en komen met diverse checklisten en wat 'open' vragen.

Bedankt voor je reactie. Ik geloof dat je begint in het uitvoerende, maar na je 1e of 2e jaar zit je in het adviserende/bedenkende voor zover ik na heb kunnen gaan. Ik hoef me echter niet bezig te houden met de klusjes als scripts uitdraaien (daar zijn andere mensen dan voor verantwoordelijk, klant of een interne dienst).

DukeBox schreef op woensdag 17 september 2014 @ 22:10:
Ikzelf heb altijd het gevoel dat ze nèt niet het juiste vragen en de vergaarde data ook niet de info bevat waar je echt wat mee kunt. Uiteraard is het voor de audit het beste om alle 'gaten' te melden om in het rapport op te nemen (zodat je er aan kunt gaan werken) maar persoonlijk geef ik mezelf altijd de tijd tot de volgende audit om deze eerst zelf te dichten (uiteraard in overleg met mijn directe collega's en/of manager).

Die onthoud ik als ik later auditor word

DukeBox schreef op woensdag 17 september 2014 @ 22:10:
Deze audit's van de '4' zijn over het algemeen alleen om financieel risico in kaart te brengen, niet om technische/security issues naar boven te brengen.

Ik begreep dat andere takken binnen de auditting wel mogelijk zijn, maar zal nog wel even nagaan hoe het zit met die mogelijkheden. Was daarom ook benieuwd of andere Tweakers daarmee ervaring hadden (of zelfs overstapmogelijkheden naar "algemene"/beleidsachtige takken van IT management zoals policy maken).

John Woo schreef op donderdag 18 september 2014 @ 07:48:
[...]

Geen idee hoe groot het IT audit gebied is maar volgens Wikipedia zijn er ongeveer 1250 mensen met een RE titel. Daarbuiten zijn er ook heel veel IT auditors die niet geregistreerd zijn maar wel IT audits uitvoeren waaronder ikzelf.

Zelf werk ik bij 1 van de big four. Een overstap naar het bedrijfsleven is makkelijk, je wordt wekelijks benaderd door recuiters / headhunters.

P.S. Het is geen postdoc maar een postgraduate oid. Er zijn ook mensen met een HBO of minder die zijn begonnen met de RE opleiding.


[...]

Bedankt voor je reactie. Fijn om van iemand te horen van iemand die in dat veld werkt.
Ook fijn om te horen dat er ook andere mogelijkheden zijn. Ken je ook mensen die uit de discipline zijn gestapt en zich dus meer op beleidsmatige terreinen hebben laten zien (dus niet alleen op audit gericht, maar meer algemene strategie)? Lijkt me dat de overstap op zich wel mogelijk is?

John Woo schreef op donderdag 18 september 2014 @ 07:48:
De carrieremogelijkheden zijn in principe wel goed maar het hangt mede af van jezelf, je omgeving en geluk. Binnen de big four heb je een piramide model, hoewel dat niet altijd in de praktijk tot uiting komt. Er is dus een weg omhoog.


[...]

Qua salaris zit je binnen de big four rond 2500 euro als startsalaris. Het gaat de laatste jaren minder snel omhoog als je denkt, komt door economische crisis. Sommige krijgen 100 euro erbij, andere weer 200 of meer, afhankelijk van je prestaties en evt promotie.

Ah, ok, maar 100 of 200 erbij is als jong bent niet zo heel veel. Dat valt wel een beetje tegen qua groei dan.

John Woo schreef op donderdag 18 september 2014 @ 07:48:
Het is geen rocket science. Voor een groot gedeelte is het toepassen van een raamwerk. Wellicht kan je iets over je achtergrond vertellen en waarin je zelf de uitdaging zoekt? Ik ken veel mensen die werken in hetgeen wat jij "processen en systemen, t.b.v. dingen als jaarverslagen, veiligheidsbeleid enz." noemt. Over het algemeen vinden zij dat niet heel uitdagend. Echter, de fun zit hem vaak in de meer advies opdrachten.

Mijn achtergrond is nogal breed, zowel qua opleidingen als eerdere werkervaring. Ik hou zelf niet van monotoon werk en wil wel graag carriere maken. Ik heb wel begrijpen dat je snel van audits naar advisering gaat. Dank je voor input. Ik moet er nog goed over nadenken, daarom zijn alle ervaringen zeer welkom

R3M1 schreef op donderdag 18 september 2014 @ 10:37:
Staar je niet dood op de RE, het is een titel die alleen in NL gebruikt wordt - veel al worden internationale certificaten als CISA, CISSP etc. herkend en erkend.

Wat je goed moet onderscheiden is dat een IT Auditor niet noodzakelijker wijs een IT Security specialist is.

Bedankt voor de reactie.
Dat begrijp ik, security diende ook meer als voorbeeld. Ik wilde kijken welke mogelijkheden er nog meer voor de hand liggen, behalve alleen voor de verslaggeving. RE is enkel in NEderland inderdaad erkend, maar goed, volgens mij is dat wel een heel serieuze titel (net als RA), maar inderdaad er zijn nog heel wat andere takken van auditting.

[ Voor 14% gewijzigd door Anoniem: 611386 op 18-09-2014 11:31 ]

Bedankt voor je reactie

John Woo schreef op vrijdag 19 september 2014 @ 02:51:
De IT audit opleiding in Tilburg is inmiddels een master opleiding geworden. Je bent dan MSc IT auditing. Wellicht is dat internationaal herkenbaarder dan RE.

Ik las dat je denkt dat je snel van audit naar advies gaat. Ergens anders in je posts lees ik dat je meer de kant van algemene strategie op wilt. Het komt bij mij over dat je liever advies wilt geven dan audit. Denk goed na wat voor persoon je bent en wat goed bij je past.

Dat is inderdaad waar ik nog niet precies over uit ben. Het hoeft niet algemene strategie te worden perse (dus niet over marketing, hrm, algemene voorwaarden enz.), maar meer "algemeen" (excuses voor deze term, kon even geen passende term bedenken) IT advies. Daarom vroeg ik mij af welke overstapmogelijkheden daartussen zitten.

John Woo schreef op vrijdag 19 september 2014 @ 02:51:
Wat betreft advies is er advies en advies. Je hebt advies op een strategisch niveau waarin bedrijven als McKenzie, BCG en BooZ bekend om zijn en advies op implementatie niveau zoals CapGemini, CMG en de big four. Er wordt minder strategisch advies gegeven bij de big four als je denkt. Het verschil tussen strategisch en implementatie zit hem vooral dat je op strategisch niveau bijvoorbeeld vragen beantwoordt als:
- welke markt moeten we als bedrijf op
- hoe vergroten we onze marktaandeel

terwijl implementatie advies meer op audit lijkt:
- digitalisering van facturen ipv met de hand inkloppen
- definieren van rollen binnen systemen

Dank voor je reactie. Hoewel ik graag voor de strategie kantoren als BCG en McKinsey zou willen werken, zie ik mezelf daar niet in de nabije toekomst. Heb op het vwo geen superresultaten gehaald, hoewel ik zeeer goed op assesments scoor, kijken ze voor een groot deel ook naar je VWO- en bachelorcijfers (wat mijn vwo betreft, wel keurige cijfers hoor, maar niet de topcijfers zoals 9 en 10 voor wiskunde B en natuurkunde enz., destijds interesseerde t me niet zo (eigenlijk helemaal niet) en deed ik echt vrijwel niets, nooit huiswerk enz).
Ik vind die implementatievraagstukken ook erg interessant wat dat betreft schrikt dat mij persoonlijk niet erg af

John Woo schreef op vrijdag 19 september 2014 @ 02:51:
het verschil tussen advies en audit op de afdeling waar veel audits worden uitgevoerd is vrij dun. Bij beiden wordt vaak een norm gehanteerd. Bij een audit zal je dan een oordeel geven met bevindingen terwijl de uitkomst van een advies een gap analyse is met aanbevelingen.

Als ik het zo lees klinkt het wel iets als wat ik leuk vind. Dat heeft mij destijds ook getrokken tot deze richting. Maar ik wist niet precies hoe ik dit moest interpreteren. Op zich vind ik beide terreinen wel leuk, het analyseren van dingen vind ik leuk, maar ook het vinden van oplossingen. Als ik het zo lees zou het wellicht wel een interessante optie kunnen zijn. Wel iets waar ik nog even over na ga denken.

John Woo schreef op vrijdag 19 september 2014 @ 04:06:
over het algemeen is it audit voor financiele verslaggeving binnen de big four een soort van seizoensarbeid. Dat seizoen duurt ongeveer 4 maanden en doe je vooral dus de it audits. Daarbuiten is het meer advies werk, dwz fit-gap analyses enz. Inderdaad zaken analyseren, komen met verbetervoorstellen, in kaart brengen van risico's en ga maar door.

heb je bij alle vier gesolliciteerd of bij een van de vier?

Ah, ok, het klinkt dan mogelijk wel iets voor mij. Bedankt voor het delen van deze informatie. Dan wordt de keuze weer ietsjes makkelijker

Nee, ik heb op een aantal uiteenlopende dingen gesolliciteerd, ook buiten deze vier (en niet bij alle vier)

Juancho schreef op maandag 22 september 2014 @ 15:29:
Ik heb ook gewerkt als IT Auditor en je kunt het idd, zoals hierboven al staat, zien als seizoenswerk. Je hebt een paar maanden dat je volle bak bezig met met de ondersteuning van Accounts. In mijn geval het uitvoeren van audits op financiele bedrijfsapplicaties (met datanalyses) en de betrouwbaarheid van de hele technische IT infrastructuur.

Maar we hadden daarnaast ook een aantal maanden per jaar dat we echt puur adviserend bezig waren. Pakketselectie trajecten, analyses van bestaande applicaties en betrokken zijn bij uitbreiding hiervan. Het benaderen van nieuwe klanten, offertes schrijven, wat kleinere opdrachten bij klanten etc.

Ik vond het best leuk omdat je juist met veel onderwerpen bezig was. Ik was zelf actief binnen het MKB wat het ook vrij persoonlijk maakte bij klanten. Je spreekt zoveel mensen. ik denk dat dat bij een grote multinational wat beperkter is.

Hoe dan ook leuke functie, is volgens mij genoeg werk in omdat er nu eenmaal strikte eisen zijn waar organisaties zich aan moeten houden. Wel moet je van cijfers houden, financiële interesse hebben. Ik ben nu werkzaam als implementatie consultant bij een grote multinational en dat is gewoon totaal ander werk binnen de IT.

Dank voor je reactie. Had deze nog niet gezien. Mag ik vragen wat er bij jou voor zorgde dat je switchte en dat ander werk bent gaan doen? Hoe verliep je overgang?

_vision schreef op dinsdag 23 september 2014 @ 15:21:
[...]
Overigens zou ik CMG (nu CGI) niet in één adem met de Big Four noemen, zowel qua werk als arbeidsvoorwaarden niet. Capgemini eerder, maar maar dan met name Cap Consulting.

Bedoel je dat in de positieve of negatieve zin, m.a.w. is het werk bij de big4 of cap leuker/uitdagend of juist minder interesant. En zelfde qua arbeidsvoorwaarden, is het beter of slechter bij partijen als CGI of winnen de big4 op dat terrein weer.

Overigens interessant om te zien dat het allemaal in elkaar schuift, ik kan dan vermoedelijk wat makkelijker overstappen (uiteraard hoeft dat niet direct van big4 naar BCG, maar wel naar wel intern binnen de big4 dus).

_vision, Juancho, heel erg bedankt voor jullie reacties. Erg interessant inzichten.