Atos en KPMG partners: IT-auditing wordt steeds meer business auditing
Het IT-auditing vakgebied staat klaar voor ingrijpende veranderingen als gevolg van digitalisering. Terwijl bedrijven steeds afhankelijker worden van technologie, de visie van bestuurders verandert en het traditionele verschil tussen ‘business’ en IT steeds meer vervaagt, zal ook de inzet van IT-audit aanzienlijk veranderen. Dat stellen Rob Fijneman, Head of Advisory bij KPMG, en Abbas Shahim, partner bij Atos Consulting.
“Organisaties zijn in toenemende mate IT-fabrieken aan het worden”, zegt Fijneman, die sinds 2014 leiding geeft aan de consultancytak van Big Four kantoor KPMG. Dit geldt voor het bredere landschap, hoewel deze beweging binnen sommige sectoren vanzelfsprekend sneller plaatsvindt dan in anderen. De ontwikkelingen in de bankensector worden hiervoor vaak aangehaald: waren IT-professionals in 2007 nog maar goed voor 12% van alle medewerkers, in 2016 lag dit percentage op een kwart. Bij retailers, telecombedrijven en de industrie is deze trend even goed zichtbaar.
Shahim, die vanuit Nederland leidinggeeft aan de wereldwijde Governance, Risk & Compliance praktijk van Atos Consulting, vult aan: “IT is de échte business geworden en de afhankelijkheid van IT voor de continuïteit van organisaties is aanzienlijk.” Vandaag de dag is IT niet enkel een ‘enabler’ van businessplannen, maar ook uitgegroeid tot een onderscheidend element van dienstverlening, klantenservice en efficiency. Ook speelt digitalisering een essentiële rol in het najagen van de innovatieagenda.
Fijneman spreekt van een IT-gedreven revolutie. “Organisaties worden gedwongen om hun opvatting over en de manier van zakendoen bijna volledig te herzien. Zij worden verplicht om ‘digital native’ te worden en hun ‘digital presence’ te waarborgen, waardoor zij hun overlevingskans kunnen vergroten. Het begint met een shift in de denkwijze die de oude wereld met traditionele verdienmodellen loslaat en aanmoedigt om deuren te zien die opengaan naar een veelbelovende wereld met digitale businessmodellen. In het hart van deze geavanceerde werkelijkheid staat IT.”
In het verlengde hiervan geldt dat IT hierdoor vanuit intern managementperspectief ook meer aandacht nodig heeft van bestuurders. Risicomanagement is zo’n voorbeeld, vertelt Fijneman. “IT-risico’s zijn businessrisico’s geworden en dit vraagt om een totaal andere risicobenadering en een totaal andere inzet van IT-auditing. Kijk alleen al naar de schade die Facebook heeft opgelopen omdat het bedrijf in belangrijk mate afhankelijk is van IT.”
IT-auditing is het vak dat controles uitvoert op hoe de IT-systemen de bedrijfsprocessen en IT-risk controles ondersteunen. Wanneer systemen niet doen wat ze moeten doen, en een organisatie daardoor gevaar loopt, dan is het aan IT-auditing om dit te constateren alvorens dit leidt tot een ineffectief proces of in het ergste geval reputatieschade.
IT-audit gaat digitaal
Volgens Fijneman en Shahim, die elkaar kennen van hun gezamenlijke tijd bij KPMG (Shahim werkte twaalf jaar voor het kantoor voordat hij in 2008 de overstap maakte naar Atos Consulting), zorgt digitalisering voor een aanzienlijke verandering in het IT-auditing vak. Beperkte IT-auditing zich traditioneel tot een beoordeling van de IT-omgeving, zo moet in het nieuwe normaal veel dichter tegen de business aan gewerkt worden. “Het beoordelen van de digitalisering en de digitale businessmodellen waarin IT centraal staat, vraagt om een volstrekt andere aanpak, om een business auditing in plaats van een stand-alone IT-audit aanpak. De focus van IT-auditing verschuift dan ook naar de beoordeling van de digitale businessmodellen”, aldus Shahim.
Deze verschuiving vraagt om een andere werkwijze en andere vaardigheden. Shahim wijst als voorbeeld op reporting: “Analyses van de aan IT gerelateerde risico’s met laag, medium of hoog indicatie of het gebruik van stoplichten zonder een duidelijke businesscontext hebben weinig waarde meer.” Een ander voorbeeld is data-analyse. In het licht van het toenemende belang van data – door analisten wordt data aangemerkt als het nieuwe goud voor commerciële prestaties – zouden IT-auditors meer onderlinge samenhang en beheersing moeten nastreven in samenwerking met de businessowners. Digitalisering gaat zorgen voor volstrekt andere inzet van IT-auditing.”
Fijneman: “In dit kader is het goed denkbaar dat binnen de organisatie een datavoogd wordt geïntroduceerd. De waarde van de gegevens is dan bepaald, de integriteit van deze businessasset is gewaarborgd en een verantwoording hierover kan op ieder moment worden afgelegd.”
Het betoog van de twee partners wordt kracht bijgezet door recent internationaal onderzoek uitgevoerd door Protiviti. In een enquête uitgezet onder meer dan 900 interne audit professionals, concludeerden de onderzoekers dat voor interne auditfuncties erkend wordt dat er een kloof bestaat, en dat daarom steeds meer geïnvesteerd wordt in data analytics en digitalisering. Een ander onderzoek, uitgevoerd in de Verenigde Staten, gaat zelfs een stap verder: data analytics wordt gezien als een ‘disruptor’ voor internal audit.
Fijneman en Shahim besluiten: “IT-auditing gerelateerd onderzoek, ongeacht het doel, de scope en de aard, zal veel meer op een natuurlijke manier in relatie moeten worden gebracht met de huidige, moderne verdienmodellen. Digitalisering gaat zorgen voor volstrekt andere inzet van IT-auditing.”
