Kennisdeling
‘Jan van der Poel was een van de sprekers tijdens een door ons georganiseerde thema bijeenkomst over Risk Management,' vertelt Rainer Steger, partner IT Audit & Risk Management van Berk. ‘Deze bijeenkomsten zijn een mooie gelegenheden om niet alleen te halen bij klanten, maar ook te brengen. Kennisdeling vinden wij namelijk van groot belang en vormt de basis van onze dienstverlening.'

‘Onze werkwijze is erop gericht om de probleemstelling en oplossingsrichting vooraf zo goed mogelijk te visualiseren, waarbij wij de illusion of control natuurlijk vermijden', legt Rainer uit. 'De klant weet dan precies waar hij aan toe is en welke stappen worden ondernomen. In het proces dat daarna volgt, maken wij gebruik van een aantal (deels door onszelf ontworpen) tools. Tools overigens die wij ook ter beschikking stellen aan de klant. Want wij streven er naar onze kennis en expertise overdraagbaar te maken. Daarom doen we ook vaak joint audits, dus samen met medewerkers van onze opdrachtgevers. IT audit leer je niet alleen uit de boeken, maar met name in de praktijk!'

Round Tabel Risk Management
‘IT Audit & Risk Management staat sinds het uitbreken van de financiële crisis sterk in de belangstelling', vervolgt Rainer het gesprek. Vanuit dit vakspecialisme vonden wij het een goede zaak om samen met klanten, relaties en deskundigen, waaronder prof. dr Eddy Vaassen en prof. dr Jan van de Poel, te discussiëren over de lessen die we hieruit kunnen trekken. Bovendien was het een uitgelezen mogelijkheid om bij monde van Ted Verkade, directeur Vaktechniek en bestuurslid Berk, onze visie te geven op Risk Based Auditing.

Berk gelooft ook bij financial auditing sterk in risicogerichte controle. Wij trainen onze medewerkers om slim te controleren en alleen de focus leggen op de echte risicogebieden. Ten opzichte van 10 jaar geleden een hele andere benadering, maar het voorkomt dat we in de val trappen van de illusion of control.

Wilt u meer weten over onze bevindingen download dan het verslag van de Round Table Risk Management. Maar het kan ook zijn dat u wilt meediscussiëren in een volgende bijeenkomst. Ik zie uw reactie graag tegemoet via mijn e-mailadres: rsteger@berk.nl .´

‘Onze aanpak slaat enorm aan getuige de groei van de afdeling IT Audit & Risk Management. In twee jaar tijd zijn we van vier naar veertien man gegroeid en het eind is absoluut nog niet in zicht', opent Rainer Steger enthousiast het gesprek. ‘Peilers onder dit succes zijn de kleinschaligheid van de organisatie en onze werkwijze. De omvang van het team maakt een zeer persoonlijke en betrokken benadering van onze klanten mogelijk. We weten van elkaar wat er bij de klant speelt en kunnen daar goed op anticiperen.'

Werkwijze
‘Onze werkwijze is erop gericht om de probleemstelling en oplossingsrichting vooraf zo goed mogelijk te visualiseren', legt Rainer uit. ‘De klant weet dan precies waar hij aan toe is en welke stappen worden ondernomen. In het proces dat daarna volgt, maken wij gebruik van een aantal door onszelf ontworpen tools. Tools overigens die wij ook ter beschikking stellen aan de klant. Want wij streven erna onze kennis en expertise overdraagbaar te maken. Daarom doen we ook vaak joint audits. IT audit leer je niet alleen uit de boeken, maar met name in de praktijk! Tenslotte zijn onze rapportages altijd voorzien van pragmatische adviezen.'

Berk bedient ruim 10.000 klanten in Nederland. Rainer: ‘Wij richten onze aandacht echter primair op de financiële dienstverlening. Banken, verzekeraars en pensioenfondsen zijn onze belangrijkste klanten, die wij bedienen vanuit een aantal invalshoeken: autorisatie, data-analyse, security, SAS70 en de ondersteuning van de Interne Auditafdeling.'

Tools
‘De omgeving waarin wij werken is zo complex geworden dat het voor een IT-auditor onmogelijk is om nog zonder tools z'n werk te doen', vindt Rainer. ‘Zo hebben wij bijvoorbeeld een softwareprogramma ontwikkeld waarmee we in staat zijn diep de systemen in te duiken om een heldere autorisatiematrix op te leveren. Met behulp hiervan kunnen wij op relatief eenvoudige wijze beoordelen hoe de functiescheiding binnen de geautomatiseerde omgeving is geregeld. Voor een financieel systeem waar een paar honderd mensen toegang toe hebben, pikken wij zo de gevaarlijke functievermengingen eruit.'

Security
‘Nog te vaak komt het voor dat organisaties verzuimen de beveiliging van hun infrastructuur te laten testen', waarschuwt Rainer. ‘Zo waren wij laatst bij een bedrijf waar bleek dat een vrij onschuldige poort in de firewall open stond. In combinatie met een slechte wachtwoordbeveiliging zaten wij vanaf het internet zo op de server. Ook dit soort onderzoeken kun je niet uitvoeren zonder de juiste tools. Bovendien maakt deze manier van werken het mogelijk om tegen relatief lage kosten periodiek audits uit te voeren.'

Berk Accountants en Belastingadviseurs
Berk telt 16 kantoren verspreid over Nederland, ruim 900 personeelsleden en meer dan 10.000 cliënten, voornamelijk afkomstig uit het MKB+-segment. In Nederland bekleedt het kantoor de zevende plaats op de ranglijst, wereldwijd de achtste positie. Berk is gelieerd aan Baker Tilly International.

Rainer Steger
Studeerde Bedrijfseconomie met afstudeerrichting Accountancy aan de Universiteit van Maastricht. Hij heeft ruim 12 jaar bij een Big Four kantoor gewerkt en in die tijd zijn Registeraccountant en Register EDP-auditor opleiding afgerond. Hij heeft veel ervaring opgedaan inzake integrated audits en daarbij met name binnen de financiële sector. Hij is als extern deskundige aan de Universiteit van Tilburg, Erasmus School of Accounting and Assurance en Vrije Universiteit van Amsterdam verbonden. Rainer is getrouwd en heeft 2 kinderen.

Wil je meer weten over Berk IT Audit & Risk Management en of over haar visie / aanpak van audits, kijk dan op www.berk.nl.