De huidige digitalisering zorgt op een groot aantal terreinen voor disruptie. Bedrijven ontwerpen en implementeren nieuwe creatieve strategieën en zetten moderne veelzijdige platformen in om digital leadership te tonen. Ondernemingen willen anders dan voorheen met klanten in contact treden. Zij willen de beleving van klanten positief beïnvloeden en op deze manier zakendoen. Deze it-gedreven veranderingen gaan in het algemeen uit van een as-a-service benadering. Het gevolg hiervan is dat business en it steeds meer naar elkaar toegroeien en uiteindelijk in elkaar opgaan.
De harde scheidingslijn die tot voor kort bestond tussen de separate werelden business en it, verdwijnt. En dat geldt ook voor de wijze waarop business en it moeten worden beheerst en zekerheid moet worden verschaft. In een tijdperk waarin cyberrisico’s bovendien steeds reëler zijn, volstaat een statische en geïsoleerde beheersing van it en zekerheidsverschaffing over it dan ook niet meer. Hier ligt een belangrijke uitdaging voor de it-auditor.
Macht verschuift naar consument
In de business-to-consumer omgeving is de macht die traditioneel bij de ‘business’ lag aan het verschuiven naar de consument. Een consument die steeds veeleisender wordt en steeds minder loyaal is. Een consument die bovendien waar en wanneer nodig mobiel toegang wil hebben tot gepersonaliseerde content, eenvoudig eigen keuzes wil maken en op basis van op maat beschikbaar gestelde informatie digitale handelingen wil verrichten. Mede door het toenemende belang van digital business is het op dit moment een noodzaak om de traditionele focus op producten te verleggen naar diensten. Deze focus heeft zich inmiddels ontwikkeld tot een voorwaarde om succesvol zaken te kunnen doen. Er is in toenemende mate behoefte aan meer schaalbare, goedkopere, snellere en simpelere digitale diensten waarvoor uitsluitend per gebruik wordt betaald en waarvan de governance bij de betrokken leveranciers ligt.
Organisaties ondergaan dus een steeds verdergaande transformatie om als digital service provider te kunnen acteren. Zij streven naar een disruptie in eigen sector om nieuwe kansen volop te benutten en te kunnen groeien. Bij dit businessmodel, waarbij it steeds centraler staat, past een frisse blik op beheersing en zekerheidsverschaffing en dient afstand te worden genomen van raamwerken en richtlijnen. De huidige professionalisering van de it-beheersing op basis van Cobit is zeker waardevol, maar wordt in het algemeen ook gezien als een rigide aanpak. Bovendien is de invoering vaak complex en wordt de implementatie veelal niet volledig afgerond. Een Soc 2-rapport omtrent de veiligheid van een cloud service is zeker nuttig gegeven de expliciete controledoelstellingen en -normen. De vraag is alleen of met deze minimale set de zorgen worden geadresseerd als het gaat om assurance over een topic dat tot één van de grootste uitdagingen van digitalisering behoort. Zorgen die vooral worden veroorzaakt door het dynamische karakter van security en het tempo van de technologische ontwikkelingen. Het wordt dus steeds duidelijker dat de huidige manier van it-beheersing en -assurance onvoldoende dekking biedt aan de snel veranderende digitale wereld.
Relevant blijven
In dit nieuwe landschap is het aan de it-auditor om leiding te geven aan een andere opzet en benadering van de beheersing en assurance van it. Een benadering die het huidige silo-denken doorbreekt, agile en dynamisch is, integratie en inbedding waarborgt, de inzet van tooling en permanente monitoring voorschrijft en zekerheid verschaft op basis van de digitale behoefte van de onderneming. Deze benadering vraagt om een proactieve it-auditor die andere middelen inzet dan de bestaande producten en diensten om toegevoegde digitale waarde te kunnen leveren. Dit houdt onder meer in dat de it-auditor zich in toenemende mate verdiept in nieuwe verdienmodellen die it-wise zijn opgezet, de digitale technologie hanteert als het fundament van de beheersing en assurance gerelateerde activiteiten en niet als afterthought en de it inzet om it-audits uit voeren. Daarnaast verricht hij op basis van de behoefte aan beheersing en assurance werkzaamheden in plaats van op basis van raamwerken en standaarden. Dat betekent dat hij zich niet achter de regels verschuilt en op een wijze rapporteert die ook voor het management interpreteerbaar is.
Dit betekent dat de it-auditor zijn kennis en inzichten aanzienlijk zal moeten verbeteren en uitbreiden. Traditioneel is een audit aanpak gebaseerd op het toetsen tegen vooraf vastgestelde normen. Er is in de loop der jaren veel energie gestoken in het tot stand brengen van toetsingsnormen en standaarden. Cobit is inmiddels een veelgebruikt toetsingskader. De huidige transformaties met technologie vragen van de it-auditor echter dat hij voortdurend meekijkt, dat hij naast de technische controles ook aandacht geeft aan de menselijke aspecten en de interacties tussen mensen (de soft controls) en dat hij zich bezig houdt met het dynamisch ontwikkelen van normen. Bij de start van it-transformaties is immers veelal nog niet duidelijk wat het eindproduct zal gaan worden. Op deze manier stoomt het beroep zich klaar op de toekomst en is de it-auditor in staat om ook in de toekomst relevant te blijven. Duidelijk is dat er nog veel moet gebeuren.
Abbas Shahim, partner bij Atos Consulting, en Rob Fijneman, hoofd Advisory bij KPMG
