Beantwoording centrale vraagstelling

Doelstelling van dit onderzoek was om aan te geven waar een SaaS exit strategie aan moet voldoen. Een SaaS exit strategie kent een bepaald doel, het doel is gerelateerd aan de applicatie en het belang van die applicatie. Het doel is om het gebruik van een SaaS-applicatie te kunnen stoppen zonder dat dit nadelige gevolgen voor andere (bedrijfs-)processen binnen de organisatie. Er kunnen risico’s spelen die het doel van de SaaS exit strategie kunnen ondermijnen. Op basis van bureauonderzoek en een casestudy is gekomen tot een lijst met risico’s die spelen bij een SaaS exit. Voor deze risico’s dienen maatregelen opgenomen te zijn in de SaaS exit strategie. Op basis van bureauonderzoek en een casestudy is gekomen tot een lijst met mitigerende maatregelen.

Om het conceptueel referentiemodel te evalueren is dit als case middels een casestudy voorgelegd aan een aantal selectief gekozen experts uit de praktijk. De risico’s, de maatregelen en het model zijn gevalideerd en na het doorvoeren van een aantal wijzigingen is gekomen tot een referentiemodel dat gebruikt kan worden voor het bepalen van de adequaatheid van een SaaS exit strategie. Hierbij dient er wel rekening mee gehouden te worden dat zowel het opstellen van een SaaS exit strategie als het bepalen van de adequaatheid daarvan maatwerk is, en van geval tot geval zal verschillen. Uit de casestudy blijkt dat de belangrijkste aspecten ondervangen zijn in het model. Met het model zoals opgenomen in bijlage 5 en de resultaten van de casestudy is er antwoord gegeven op de centrale vraagstelling: ‘Welk referentiemodel kan de IT-auditor gebruiken voor het

bepalen van de adequaatheid van een SaaS exit strategie?’.

Voor de IT-auditor is dit onderzoek en met name het referentiemodel op meerdere manieren te gebruiken:

• De IT-auditor kan een oordeel vormen over het proces om te komen tot een juiste bepaling van het belang van de applicatie voor het bedrijfsproces en daarmee uiteindelijk voor de organisatie.

• De IT-auditor kan vaststellen of er een Risk Appetite Statement (RAS) is waar de risico’s van een SaaS exit tegen afgewogen kunnen worden.

• En vervolgens kan de IT-auditor een oordeel vormen over de in de SaaS exit strategie geïdentificeerde risico’s. Het overzicht uit het referentiemodel kan dienen als een checklist voor risico’s die in ieder geval meegenomen zouden moeten zijn in de risicoanalyse.

• De risico’s kunnen dan weer de basis vormen voor de analyse van de in de SaaS exit strategie opgenomen mitigerende maatregelen. Waarbij aan de hand van de scores in het referentiemodel een indicatie is of de risico’s in voldoende mate gemitigeerd zijn ten opzichte van de RAS. Dit is maatwerk en vraagt professional judgement, maar het referentiemodel is een vertrekpunt en faciliteert een discussie hierover met de auditee.

44

• De IT-auditor zal ook kunnen vaststellen of er meerdere scenario’s geïdentificeerd en beschreven zijn, waar verschillende specifieke SaaS exit strategieën voor bepaald zijn. • Ook over de governance zal de IT-auditor een oordeel kunnen vormen. Enerzijds over de

totstandkoming en goedkeuring van de SaaS exit strategieën, maar anderzijds ook over de monitoringactiviteiten in de interne processen van de organisatie, die essentieel zijn om de exit strategie op het juiste moment tot uitvoer te kunnen brengen. Dit kan immers heel snel moeten gebeuren.

• Daarnaast geeft dit onderzoek de IT-auditor meer inhoudelijk inzicht in de risico’s en de mitigerende maatregelen van een SaaS exit strategie. Het referentiemodel is daarbij, per definitie, een versimpelde en beknopte weergave van de werkelijkheid. Het referentiemodel vereenvoudigt daarentegen wel het begrip van de verschillende aspecten aan een SaaS exit strategie.

Het model kan gebruikt worden voor de bepaling van de adequaatheid van een SaaS exit strategie door de IT-auditor. Daarnaast kan het gebruikt worden voor het opstellen van SaaS exit strategie. DNB en ISACA geven aan dat het van belang is om een SaaS exit strategie te hebben, dit onderzoek en dit model geven daar meer invulling aan. Terugkijkend naar de aanleiding van dit onderzoek denk ik dan ook dat dit model bijdraagt het vergroten van het begrip en het risicobewustzijn bij verantwoordelijkheden en gebruikers van SaaS-diensten, maar zeker dus ook IT-auditors kan helpen bij het bepalen van de adequaatheid van een SaaS exit strategie en het proces dat doorlopen is om tot een dergelijke SaaS exit strategie te komen. Ook kan er een indicatie gekregen worden met betrekking tot de mitigerende maatregelen en dan met name in hoeverre deze effectief zijn. Verrassend genoeg zijn er nog nauwelijks ervaringen met SaaS exit strategieën, wat natuurlijk een beperking is voor het valideren van het onderzoek. De beperkte ervaring die er is, leent zich voor het doen van een casestudy naar die specifieke SaaS exit. Doordat er sinds enkele jaren meer gebruik gemaakt worden van SaaS-diensten (in ieder geval binnen de financiële dienstverlening), is het mijn verwachting dat naarmate het gebruik van de dienst en ook de beschikbaarheid van volwaardige alternatieve SaaS-diensten groter wordt, er ook steeds meer SaaS exits plaats zullen vinden. Dan pas zal de daadwerkelijke effectiviteit van het model ten volle beproefd kunnen gaan worden. Wellicht dat dan blijkt dat risico’s die nu op een te hoog of te laag niveau beschreven zijn, wellicht heel anders in de praktijk uitwerken.

45

9

Aanbeveling voor verder onderzoek en persoonlijke

reflectie

9.1 Inleiding

Dit hoofdstuk bevat de aanbevelingen voor verder onderzoek op basis van bevindingen tijdens dit onderzoek en daarnaast de persoonlijke reflecties op de totstandkoming van deze scriptie.