Vijf vragen aan Edwin Hummel
29 januari, 2025
In mijn derde studiejaar kreeg ik een gastcollege van een IT-auditor die werkte bij een grote Nederlandse bank. Zijn passie voor het vak sprak me enorm aan.
Wie is Edwin Hummel en welke expertise heb je?
Ik ben Edwin Hummel en ik woon met mijn vriendin en onze 13-jarige dochter in de Hoekse Waard. Ik hou van sporten en ben daarom ook regelmatig aan het hardlopen, tennissen of schaatsen.
Tijdens mijn middelbare schooltijd had ik geen duidelijk beeld van wat ik wilde worden. Omdat ik programmeren destijds leuk vond, besloot ik Bedrijfskundige Informatica te studeren in Rotterdam. Toch wist ik ook tijdens mijn studie niet precies welke richting ik op wilde. Veel medestudenten kozen voor een carrière als softwareontwikkelaar of consultant, maar voor mij voelde dat niet als de juiste match.
In mijn derde studiejaar kreeg ik een gastcollege van een IT-auditor die werkte bij een grote Nederlandse bank. Zijn passie voor het vak sprak me enorm aan. Na de les stapte ik op hem af, en niet veel later kon ik bij hem stagelopen als IT-auditmedewerker. Die stage beviel zo goed dat ik na mijn afstuderen als IT-auditor bij de Rijksoverheid aan de slag ging.
Inmiddels werk ik daar al ruim twintig jaar in diverse rollen en functies. De overheid kent een grote verscheidenheid aan organisaties met unieke processen en culturen, wat mijn werk altijd afwisselend maakt. De combinatie van werken met processen, systemen en data die echt van belang zijn, zorgt ervoor dat ik er altijd ben gebleven. Momenteel coördineer ik bij de Auditdienst Rijk (ADR) alle rijksbrede IT-audits, waaronder die op het gebied van informatiebeveiliging, privacy, AI en algoritmes, en cloudtoepassingen.
Naast mijn werk bij de ADR ben ik promovendus aan de Radboud Universiteit. Mijn onderzoek richt zich op de rol van intuïtie bij auditors: maken zij gebruik van intuïtie, en zo ja, heeft dat een positief of negatief effect op hun oordeelsvorming? Ik hoop mijn onderzoek dit jaar af te ronden.
Hoe mensen – en auditors in het bijzonder – beslissingen nemen en tot oordelen komen, heeft me altijd gefascineerd. Denk bijvoorbeeld aan de biases waar auditors gevoelig voor kunnen zijn. Hierover geef ik regelmatig trainingen en colleges. Daarnaast begeleid ik studenten aan de Universiteit Nyenrode bij het schrijven van hun masterscriptie en ben ik actief als examinator.
Waarom ben je actief geworden binnen NOREA?
Zoals uit het voorgaande misschien al blijkt, draag ik het vakgebied een warm hart toe. Toen Bart de Jongh aangaf zijn bestuurstaken neer te leggen vanwege een nieuwe functie, zag ik dit als een mooie kans om op mijn eigen manier bij te dragen aan deze prachtige beroepsorganisatie. De ontwikkelingen binnen het vakgebied gaan razendsnel en ik vind het inspirerend om mee te denken over de koers die we als NOREA hierin varen.
Wat hoop je te bereiken als bestuurslid?
We leven in een tijd waarin het belang van IT alleen maar toeneemt. Tegelijkertijd zien we een groeiende stroom aan zowel internationale als nationale wet- en regelgeving. Bestuurders moeten steeds vaker aantoonbaar ‘in control’ zijn op het gebied van IT – niet alleen om te voldoen aan regelgeving, maar vooral om de steeds complexere IT-risico’s effectief te beheersen. De IT-auditor speelt hierin al een belangrijke rol, maar die rol zou naar mijn mening nog veel groter kunnen én moeten zijn.
Het is inmiddels de norm om de financiële cijfers jaarlijks door een accountant te laten controleren. Op dezelfde manier zou het vanzelfsprekend moeten zijn om de IT-omgeving periodiek te laten doorlichten door een IT-auditor. Dit kan op verschillende manieren worden bereikt. Het NRI-initiatief is daarvan al een mooi voorbeeld, maar ook door actiever in te spelen op nieuwe wet- en regelgeving en de praktische implementatie ervan. De IT-auditor zou hierin een prominentere rol moeten krijgen.
Daarnaast is het essentieel om de bekendheid en toegevoegde waarde van het beroep verder te vergroten bij bestuurders. Door hen te laten ervaren waarom een IT-auditor onmisbaar is in een organisatie en hoe deze bijdraagt aan beter risicobeheer.
Ik hoop in mijn rol als bestuurslid een bijdrage te leveren aan de verdere positionering en bekendheid van de IT-auditor en het belang ervan voor organisaties.
Welke veranderingen zijn nodig om ook in de toekomst als beroepsorganisatie relevant te blijven?
Naast de eerdergenoemde punten moeten we als beroepsorganisatie ervoor zorgen dat we onze leden continu voorzien van de juiste kennis en bijbehorende hulpmiddelen om hun werk goed te kunnen blijven uitvoeren. Dit betekent dat we de ontwikkelingen in ons vakgebied nauwlettend moeten volgen, vooruit moeten kijken en tijdig moeten anticiperen op veranderingen. Gelukkig doen we hier al veel aan, bijvoorbeeld via de verschillende kennisgroepen en door initiatieven zoals podcasts over relevante onderwerpen.
Toch gaan de ontwikkelingen steeds sneller en om relevant te blijven, moeten we meegaan in deze versnelling. Dit vraagt om een andere manier van samenwerken, bijvoorbeeld door het ontwikkelen van (kennis)producten in korte sprints of via hackathons. Daarnaast is het belangrijk dat we verder kijken dan ons eigen vakgebied. Er is al veel waardevolle kennis beschikbaar, bijvoorbeeld binnen universiteiten, die we beter kunnen benutten en integreren in onze aanpak.
Een ander aspect dat bijdraagt aan onze relevantie, is het delen van trendanalyses met zowel onze leden als hun stakeholders, zoals bestuurders. Inzicht in welke bevindingen en bijbehorende risico’s de afgelopen periode sterk zijn toegenomen, kan organisaties helpen proactief maatregelen te treffen. Door dergelijke kennis te delen, vergroten we niet alleen onze toegevoegde waarde, maar verstevigen we ook onze positie als belangrijke gesprekspartner in het IT-landschap.
Zijn IT-auditors generalisten of specialisten?
Zowel generalisten als specialisten zijn onmisbaar binnen het vakgebied van de IT-audit. Generalisten hebben een brede blik en kunnen IT-risico’s vertalen naar begrijpelijke taal voor verschillende stakeholders, zoals bestuurders en accountants. Zij overzien het grotere geheel en zorgen ervoor dat IT in de juiste context wordt geplaatst binnen de organisatie.
Aan de andere kant zijn specialisten essentieel vanwege hun diepgaande kennis van specifieke onderwerpen of systemen. Zij kunnen complexe vraagstukken tot in detail analyseren en oplossingen aandragen die bijdragen aan een solide IT-beheersing.
Daarnaast zijn er aanverwante vakgebieden die nauw aansluiten bij het werk van IT-auditors, maar nog niet formeel verbonden zijn met NOREA. Denk bijvoorbeeld aan professionals die zich bezighouden met de ethische inzet van AI of ethische hackers die diepgaande technische controles uitvoeren. Het zou een mooie ontwikkeling zijn als we als beroepsgroep nog nauwer samenwerken met deze specialisten.
