Bedrijven zijn steeds meer afhankelijk van hun ict. Bij ict-problemen zijn er vaak direct gevolgen voor de bedrijfsvoering. Dat vraagt om een andere vorm van het benaderen van risico’s en de inzet van it-auditing. Dat stellen Abbas Shahim, partner bij Atos Consulting en Rob Fijneman, hoofdverantwoordelijke van de adviestak bij KPMG.
‘Organisaties zijn in toenemende mate it-fabrieken aan het worden’, constateren Shahim en Fijneman, ‘Ít is de échte business geworden en de afhankelijkheid van it voor de continuïteit van organisaties is aanzienlijk. Deze digitale beweging betekent dat it-risico’s businessrisico’s zijn geworden. En dit vraagt om een totaal andere risicobenadering en een totaal andere inzet van it-auditing’, stellen ze in een gezamenlijk persbericht.
Nu de van oorsprong gescheiden werelden van business en it steeds meer samensmelten en it het belangrijkste middel wordt voor de bedrijfsvoering zien zij dat bedrijven worstelen met de inrichting van hun it-auditing: ‘Beperkte it-auditing zich traditioneel tot een beoordeling van de it-omgeving van bedrijven en organisaties, met de digitalisering treedt een compleet nieuw tijdperk in’, aldus Fijneman. ‘De wereld om ons heen is aan het digitaliseren en de impact van de digitale transformatie is groot. De veranderingen dringen geruisloos door tot de kern van veel bedrijven en organisaties in uiteenlopende sectoren. Deze it-gedreven revolutie zorgt er niet alleen voor dat slimmere toepassingen worden ontwikkeld om kosten te besparen, maar draagt vooral bij aan de hervorming van de markt waarin organisaties opereren.’
Hij wijst op de digitale markt waarin alles een dienst wordt, en waar de concurrentie zeer groot is. Daardoor worden organisaties gedwongen om hun opvatting over en de manier van zakendoen bijna volledig te herzien. ‘Zij worden verplicht om ‘digital native’ te worden en hun ‘digital presence’ te waarborgen, waardoor zij hun overlevingskans kunnen vergroten. Deze verplichting gaat niet alleen over het bouwen van websites en mobiele apps. De impact gaat veel verder. Het begint met een shift in de denkwijze die de oude wereld met traditionele verdienmodellen loslaat en aanmoedigt om deuren te zien die opengaan naar een veelbelovende wereld met digitale businessmodellen. In het hart van deze geavanceerde werkelijkheid staat it.
Nieuwe fase
It-auditing belandt volgens Shahim en Fijneman dus in een nieuwe fase. Shahim: ‘Het beoordelen van de digitalisering en de digitale businessmodellen waarin it centraal staat, vraagt om een volstrekt andere aanpak, om een business auditing in plaats van een stand-alone it-audit aanpak. De focus van it-auditing verschuift dan ook naar de beoordeling van de digitale businessmodellen. Een verschuiving die vraagt om een andere werkwijze en andere vaardigheden.’
Dat betekent volgens het duo bijvoorbeeld dat rapportering over afwijkingen met beperkte en in jaren geleden vastgestelde ‘sample sizes’ niet meer van deze tijd is. ‘Analyses van de aan it gerelateerde risico’s met laag, medium of hoog indicatie of het gebruik van stoplichten zonder een duidelijke businesscontext hebben weinig waarde meer.’
Documentatie
Datzelfde geldt volgens Fijneman voor een review van een managementsysteem en de documentatie die daar van oudsher bij komt kijken. Fijneman: “Als ik zie dat steeds meer organisaties werken met grote hoeveelheden datasets, dan vraagt dit om onderlinge samenhang en beheersing. In dit kader is het goed denkbaar dat binnen de organisatie een ‘data voogd’ wordt geïntroduceerd.
Volgens de KPMG’er is de waarde van de gegevens dan bepaald en de integriteit van die businessasset gewaarborgd en een verantwoording hierover kan op ieder moment worden afgelegd. Het gevolg van deze aanpak is volgens Fijneman dat ieder it-auditing gerelateerd onderzoek, ongeacht het doel, de scope en de aard, op een natuurlijke manier in relatie worden gebracht met de huidige, moderne verdienmodellen. En dat duidelijk wordt welke aspecten het succes hiervan negatief kunnen beïnvloeden.