“Digitalisering gaat zorgen voor volstrekt andere inzet van IT-auditing”
Nu bedrijven steeds afhankelijker worden van de technologie, de visie van bestuurders verandert en het traditionele verschil tussen ‘business’ en IT steeds meer vervaagt, zal ook de inzet van IT-auditing aanzienlijk veranderen.
“Organisaties zijn in toenemende mate IT-fabrieken aan het worden”, constateren Abbas Shahim, partner bij Atos Consulting en Rob Fijneman, Head of Advisory bij KPMG.
Shahim: “IT is de échte business geworden en de afhankelijkheid van IT voor de continuïteit van organisaties is aanzienlijk. Deze digitale beweging betekent dat IT-risico’s businessrisico’s zijn geworden. En dit vraagt om een totaal andere risicobenadering en een totaal andere inzet van IT-auditing. Kijk alleen al naar de schade die Facebook heeft opgelopen omdat het bedrijf in belangrijk mate afhankelijk is van IT.”
‘Digital native’ worden
Beperkte IT-auditing zich traditioneel tot een beoordeling van de IT-omgeving van bedrijven en organisaties, met de digitalisering treedt volgens Fijneman een compleet nieuw tijdperk in.
Fijneman: “De wereld om ons heen is aan het digitaliseren en de impact van de digitale transformatie is groot. De veranderingen dringen geruisloos door tot de kern van veel bedrijven en organisaties in uiteenlopende sectoren. Deze IT-gedreven revolutie zorgt er niet alleen voor dat slimmere toepassingen worden ontwikkeld om kosten te besparen, maar draagt vooral bij aan de hervorming van de markt waarin organisaties opereren.
In deze as-a-service digitale markt is de concurrentie zeer groot, waardoor organisaties gedwongen worden om hun opvatting over en de manier van zakendoen bijna volledig te herzien. Zij worden verplicht om ‘digital native’ te worden en hun ‘digital presence’ te waarborgen, waardoor zij hun overlevingskans kunnen vergroten. Deze verplichting gaat niet alleen over het bouwen van websites en mobiele apps. De impact gaat veel verder. Het begint met een shift in de denkwijze die de oude wereld met traditionele verdienmodellen loslaat en aanmoedigt om deuren te zien die opengaan naar een veelbelovende wereld met digitale businessmodellen. In het hart van deze geavanceerde werkelijkheid staat IT.”
Stand-alone IT-audit volstaat niet langer
IT-auditing belandt volgens Shahim en Fijneman dus in een nieuwe fase. Shahim: “Het beoordelen van de digitalisering en de digitale businessmodellen waarin IT centraal staat, vraagt om een volstrekt andere aanpak, om een business auditing in plaats van een stand-alone IT-audit aanpak. De focus van IT-auditing verschuift dan ook naar de beoordeling van de digitale businessmodellen. Een verschuiving die vraagt om een andere werkwijze en andere vaardigheden. Dit betekent bijvoorbeeld dat rapportering over afwijkingen met beperkte en in jaren geleden vastgestelde sample sizes niet meer van deze tijd is. En analyses van de aan IT gerelateerde risico’s met laag, medium of hoog indicatie of het gebruik van stoplichten zonder een duidelijke businesscontext hebben weinig waarde meer.”
Datzelfde geldt volgens Fijneman voor een review van een managementsysteem en de hiermee geassocieerde documentatie. Fijneman: “Als ik zie dat steeds meer organisaties werken met grote hoeveelheden datasets, dan vraagt dit om onderlinge samenhang en beheersing. In dit kader is het goed denkbaar dat binnen de organisatie een data voogd wordt geïntroduceerd. De waarde van de gegevens is dan bepaald, de integriteit van deze businessasset is gewaarborgd en een verantwoording hierover kan op ieder moment worden afgelegd. Het gevolg van deze aanpak is dat ieder IT-auditing gerelateerd onderzoek, ongeacht het doel, de scope en de aard, op een natuurlijke manier in relatie worden gebracht met de huidige, moderne verdienmodellen. En dat duidelijk wordt welke aspecten het succes hiervan negatief kunnen beïnvloeden.”