Nieuws 01 mei 2018

'Digitalisering gaat zorgen voor andere inzet IT-auditing'

De huidige digitalisering gaat zorgen voor een volstrekt andere inzet van IT-auditing, omdat IT steeds vaker de kern vormt van bedrijfsmodellen.

Dat stellen KPMG en Atos Consulting. Volgens Abbas Shahim, partner bij Atos Consulting en Rob Fijneman, Head of Advisory bij KPMG, zijn organisaties in toenemende mate "IT-fabrieken" aan het worden. Shahim: "IT is de échte business geworden en de afhankelijkheid van IT voor de continuïteit van organisaties is aanzienlijk. Deze digitale beweging betekent dat IT-risico’s businessrisico’s zijn geworden. En dit vraagt om een totaal andere risicobenadering en een totaal andere inzet van IT-auditing. Kijk alleen al naar de schade die Facebook heeft opgelopen omdat het bedrijf in belangrijk mate afhankelijk is van IT."

‘Digital native’

Beperkte IT-auditing zich traditioneel tot een beoordeling van de IT-omgeving van bedrijven en organisaties, met de digitalisering treedt volgens Fijneman een compleet nieuw tijdperk in. Fijneman: "De veranderingen dringen geruisloos door tot de kern van veel bedrijven en organisaties in uiteenlopende sectoren. […'] Zij worden verplicht om digital native te worden en hun digital presence te waarborgen, waardoor zij hun overlevingskans kunnen vergroten."

IT-auditing belandt volgens Shahim en Fijneman daardoor in een nieuwe fase. Shahim: "Het beoordelen van de digitalisering en de digitale businessmodellen waarin IT centraal staat, vraagt om een volstrekt andere aanpak, om een business auditing in plaats van een stand-alone IT-audit aanpak. De focus van IT-auditing verschuift dan ook naar de beoordeling van de digitale businessmodellen."

Andere vaardigheden

Daarvoor zijn volgens Shahim een andere werkwijze en andere vaardigheden nodig. "Dit betekent bijvoorbeeld dat rapportering over afwijkingen met beperkte en in jaren geleden vastgestelde sample sizes niet meer van deze tijd is. En analyses van de aan IT gerelateerde risico’s met laag, medium of hoog indicatie of het gebruik van stoplichten zonder een duidelijke businesscontext hebben weinig waarde meer."

Datzelfde geldt volgens Fijneman voor een review van een managementsysteem en de hiermee geassocieerde documentatie. Fijneman: "Als ik zie dat steeds meer organisaties werken met grote hoeveelheden datasets, dan vraagt dit om onderlinge samenhang en beheersing. In dit kader is het goed denkbaar dat binnen de organisatie een 'datavoogd' wordt geïntroduceerd. De waarde van de gegevens is dan bepaald, de integriteit van deze businessasset is gewaarborgd en een verantwoording hierover kan op ieder moment worden afgelegd. Het gevolg van deze aanpak is dat ieder IT-auditing gerelateerd onderzoek, ongeacht het doel, de scope en de aard, op een natuurlijke manier in relatie kan worden gebracht met de huidige, moderne verdienmodellen. En dat duidelijk wordt welke aspecten het succes hiervan negatief kunnen beïnvloeden."