De huidige digitalisering zorgt op een groot aantal terreinen voor disruptie. Bedrijven ontwerpen en implementeren nieuwe creatieve strategieën en zetten moderne veelzijdige platformen in om digital leadership te tonen.
“Ondernemingen willen anders dan voorheen met klanten in contact treden”, zegt Rob Fijneman, Head of Advisory bij KPMG. Fijneman: “Zij willen de beleving van klanten positief beïnvloeden en op deze manier zakendoen. Deze IT-gedreven veranderingen gaan in het algemeen uit van een as-a-service benadering. Het gevolg hiervan is dat business en IT steeds meer naar elkaar toegroeien en uiteindelijk in elkaar opgaan. De harde scheidingslijn die tot voor kort bestond tussen deze twee separate werelden verdwijnt dus. En dat geldt ook voor de wijze waarop business en IT moeten worden beheerst en zekerheid moet worden verschaft.
In het digitale tijdperk waarin de harde grens tussen business en IT aan het vervagen is en cyberrisico’s steeds reëler zijn, volstaat een statische en geïsoleerde beheersing van IT en zekerheidsverschaffing over IT dan ook niet meer. Hier ligt een belangrijke uitdaging voor de IT-auditor.”
Macht verschuift naar consument
In de business-to-consumer omgeving is de macht die traditioneel bij de ‘business’ lag aan het verschuiven naar de consument. “Een consument die steeds veeleisender wordt en steeds minder loyaal is”, constateert Abbas Shahim, partner bij Atos Consulting. Shahim: “Een consument die bovendien waar en wanneer nodig mobiel toegang wil hebben tot gepersonaliseerde content, eenvoudig eigen keuzes wil maken en op basis van op maat beschikbaar gestelde informatie digitale handelingen wil verrichten.
Mede door het toenemende belang van digital business is het op dit moment een noodzaak om de traditionele focus op producten te verleggen naar diensten. Deze focus heeft zich inmiddels ontwikkeld tot een voorwaarde om succesvol zaken te kunnen doen. Er is in toenemende mate behoefte aan meer schaalbare, goedkopere, snellere en simpelere digitale diensten waarvoor uitsluitend per gebruik wordt betaald en waarvan de governance bij de betrokken leveranciers ligt.”
Frisse blik op beheersing en zekerheidsverschaffing
Organisaties ondergaan dus een steeds verdergaande transformatie om als digital service provider te kunnen acteren. Fijneman: “Zij streven naar een disruptie in eigen sector om nieuwe kansen volop te benutten en te kunnen groeien. Bij dit businessmodel waarbij IT steeds centraler staat, past een frisse blik op beheersing en zekerheidsverschaffing en wordt afstand genomen van raamwerken en richtlijnen. De huidige professionalisering van de IT-beheersing op basis van COBIT is zeker waardevol, maar wordt in het algemeen ook gezien als een rigide aanpak. Bovendien is de invoering vaak complex en wordt de implementatie veelal niet volledig afgerond.
Een SOC 2-rapport omtrent de veiligheid van een cloud service is zeker nuttig gegeven de expliciete controledoelstellingen en -normen. De vraag is alleen of met deze minimale set de zorgen worden geadresseerd als het gaat om assurance over een topic dat tot één van de grootste uitdagingen van digitalisering behoort. Zorgen die vooral worden veroorzaakt door het dynamische karakter van security en het tempo van de technologische ontwikkelingen. Het wordt dus steeds duidelijker dat de huidige manier van IT-beheersing en IT-assurance onvoldoende dekking biedt aan de snel veranderende digitale wereld.”
Ook in de toekomst relevant blijven
In dit veranderende landschap is het aan de IT-auditor om leiding te geven aan een andere opzet en benadering van de beheersing en assurance van IT. Shahim: “Een benadering die het huidige silo-denken doorbreekt, agile en dynamisch is, integratie en inbedding waarborgt, de inzet van tooling en permanente monitoring voorschrijft en zekerheid verschaft op basis van de digitale behoefte van de onderneming.
Deze benadering vraagt om een proactieve IT-auditor die andere middelen inzet dan de bestaande producten en diensten om toegevoegde digitale waarde te kunnen leveren. Op deze manier stoomt het beroep zich voor op de toekomst en is de IT-auditor in staat om ook in de toekomst relevant te blijven.”
Bron: KPMG
