Nieuws 14 augustus 2018

KPMG: 'Digitale tijdperk vraagt om actievere IT-auditor'

Bedrijfsprocessen en IT groeien steeds meer naar elkaar toe, waardoor een geïsoleerde beheersing van IT niet meer volstaat. Daarom wordt de rol van de IT-auditor steeds belangrijker.

Dat zeggen Rob Fijneman, head of advisory bij KPMG, en Abbas Shahim, partner bij Atos Consulting. Business en IT groeien volgens Fijneman en Shahim steeds meer naar elkaar toe en gaan uiteindelijk in elkaar op. Fijneman: "De harde scheidingslijn die tot voor kort bestond tussen deze twee separate werelden verdwijnt dus. En dat geldt ook voor de wijze waarop business en IT moeten worden beheerst en zekerheid moet worden verschaft. In het digitale tijdperk waarin de harde grens tussen business en IT aan het vervagen is en cyberrisico’s steeds reëler zijn, volstaat een statische en geïsoleerde beheersing van IT en zekerheidsverschaffing over IT dan ook niet meer. Hier ligt een belangrijke uitdaging voor de IT-auditor."

Mede door het toenemende belang van digital business is het op dit moment volgens Shahim een noodzaak om de traditionele focus op producten te verleggen naar diensten: "Deze focus heeft zich inmiddels ontwikkeld tot een voorwaarde om succesvol zaken te kunnen doen. Er is in toenemende mate behoefte aan meer schaalbare, goedkopere, snellere en simpelere digitale diensten waarvoor uitsluitend per gebruik wordt betaald en waarvan de governance bij de betrokken leveranciers ligt."

Transformatie

Organisaties ondergaan dus volgens een steeds verdergaande transformatie om als digital service provider te kunnen acteren. Fijneman: "Zij streven naar een disruptie in eigen sector om nieuwe kansen volop te benutten en te kunnen groeien. Bij dit businessmodel waarbij IT steeds centraler staat, past een frisse blik op beheersing en zekerheidsverschaffing en afstand wordt genomen van raamwerken en richtlijnen. De huidige professionalisering van de IT-beheersing op basis van COBIT is zeker waardevol, maar wordt in het algemeen ook gezien als een rigide aanpak. Bovendien is de invoering vaak complex en wordt de implementatie veelal niet volledig afgerond. Een SOC 2-rapport omtrent de veiligheid van een cloud service is zeker nuttig gegeven de expliciete controledoelstellingen en -normen."

De vraag is alleen of met deze "minimale set" de zorgen worden geadresseerd als het gaat om assurance over een topic dat tot een van de grootste uitdagingen van digitalisering behoort. "Zorgen die vooral worden veroorzaakt door het dynamische karakter van security en het tempo van de technologische ontwikkelingen. Het wordt dus steeds duidelijker dat de huidige manier van IT-beheersing en IT-assurance onvoldoende dekking biedt aan de snel veranderende digitale wereld.”

Relevant blijven

In dit veranderende landschap is het volgens KPMG aan de IT-auditor om leiding te geven aan een andere opzet en benadering van de beheersing en assurance van IT. Shahim: "Een benadering die het huidige silo-denken doorbreekt, agile en dynamisch is, integratie en inbedding waarborgt, de inzet van tooling en permanente monitoring voorschrijft en zekerheid verschaft op basis van de digitale behoefte van de onderneming. Deze benadering vraagt om een proactieve IT-auditor die andere middelen inzet dan de bestaande producten en diensten en toegevoegde digitale waarde te kunnen leveren. Op deze manier stoomt het beroep zich voor op de toekomst en is de IT-auditor in staat om ook in de toekomst relevant te blijven."