Interne audit krijgt sleutelrol bij digitale soevereiniteit en cloudrisico’s

De auteurs beschrijven hoe organisaties steeds afhankelijker worden van een klein aantal internationale cloud- en AI-aanbieders. Extraterritoriale wetgeving, geopolitieke spanningen, exportrestricties en afhankelijkheid van hyperscalers creëren nieuwe risico’s voor continuïteit, autonomie en compliance. Traditionele benaderingen van cloud governance schieten daarbij tekort. Daarom introduceren de auteurs een geïntegreerd raamwerk rond vijf pijlers: datasoevereiniteit, technologische en supply-chainsoevereiniteit, operationele autonomie, geopolitieke onafhankelijkheid en AI-/standaardsoevereiniteit. Voor interne accountants betekent dit een forse verbreding van hun werkterrein. Niet alleen technische controles, maar ook governance, contracten, AI-afhankelijkheden en strategische risicoafwegingen vallen steeds nadrukkelijker binnen de assurancefunctie. 

De interne auditfunctie krijgt volgens het model een rol in alle fasen van de sovereignty lifecycle. Van het toetsen van strategische besluitvorming en risicobereidheid tot het beoordelen van cloudcontracten, technische beheersmaatregelen en operationele onafhankelijkheid. Daarnaast moeten interne accountants kritisch kijken naar zogenoemde “sovereignty washing”: situaties waarin leveranciers of organisaties suggereren dat een cloudomgeving soeverein is, terwijl feitelijke afhankelijkheden van buitenlandse wetgeving, controlemechanismen of proprietary platforms blijven bestaan. De auteurs benadrukken daarom dat interne auditors sovereignty claims niet als feit moeten accepteren, maar actief moeten toetsen op juridische, technische en operationele onafhankelijkheid. Daarmee verschuift de rol van Internal Audit steeds meer van traditionele compliancecontrole naar strategische assurance op digitale autonomie en weerbaarheid.

Dis is een samenvatting van het volledige artikel op isaca.nl