IT-governance is een complex maar kritisch element voor het halen van de maximale waarde uit IT. De mogelijkheden op het gebied van IT veranderen bijna dagelijks. Waar we tien jaar geleden op onze thuis-pc kennismaakten met Facebook en Gmail om informatie te delen, halen we vandaag met een BYOD-tablet onze documenten uit de cloud. De nieuwe generatie hoeft geen techneut of programmeur te zijn om data om te vormen naar bruikbare informatie. Informatie is ‘at hand’ beschikbaar en kan (vrijwel ongeacht de hoeveelheid data) naar gewenst inzicht worden geanalyseerd. Deze verandering in paradigma verplaatst zich ook naar de werkvloer, waar eindgebruikers een sleutelrol spelen in het halen van de maximale waarde uit IT. Nieuwe in-memory processing tools en reporting apps geven de business nieuwe mogelijkheden om data naar eigen inzicht te verwerken.
Deze nieuwe technologische ontwikkelingen hebben consequenties voor de inrichting van de IT-organisatie. IT is niet meer enkel het exclusieve domein van de IT-afdeling. Het huidige traditionele demand-supplymodel lijkt hiermee aan het eind van zijn levenscyclus te komen. Niet alleen de IT-organisatie, maar ook bestuurders en commissarissen zijn zoekende naar antwoorden op vragen bij al deze veranderingen op het gebied van IT. Niet alleen moeten zij de huidige strategieën en operatingmodellen hierop aanpassen, ook komen er nieuwe IT-risico’s om de hoek kijken.
Interne beheersing van IT-risico’s is een belangrijk onderdeel van IT-governance. Door onder meer de groei van IT en IT-risico’s binnen organisaties en de verlaging van de cost-of-control bestaat steeds meer de behoefte aan meer zekerheid over de interne beheersing van IT-risico’s. Data-analyse en soft controls worden de afgelopen jaren vaak genoemd als nieuwe technieken waarmee organisaties meer zekerheid kunnen verkrijgen. Hoewel deze technieken op zich niet nieuw zijn, zijn er nog altijd volop ontwikkelingen gaande om deze technieken in de audit- en procesverbetertrajecten verder te integreren. De nieuwe inzichten die hiermee verkregen worden, helpen organisaties om zichzelf nog beter te maken, maar schuiven ook nog wel eens niet eerder geïdentificeerde IT-risico’s naar voren. Issues die ogenschijnlijk klein lijken, kunnen aan de hand van data-analyse en/of soft controls op juiste waarde worden geschat.
Enerzijds zien we dagelijkse veranderingen op het gebied van IT en anderzijds hebben we behoefte aan meer zekerheid over interne beheersing: het ligt natuurlijk voor de hand om hiermee een link te leggen naar de IT-ontwikkelingen op het gebied van interne beheersing. Door gebruik van GRC-tooling is informatie ‘at hand’ beschikbaar en kan informatie met persoonlijke dashboards naar eigen inzicht worden aangepast. Hiermee is de verschuiving van audit- en riskspecialisten naar eindgebruikers in gang gezet, waardoor eindgebruikers inzicht krijgen in de voor hen relevante IT-risico’s. Een mooie stip aan de horizon, maar daar zijn we nog niet. Waar we volgend jaar staan? Wie zal het zeggen? Maar laten we vooral de mooie IT-ontwikkelingen op de voet blijven volgen!
Sander Kuilman