menu

DevOps onder de loep: een Control Framework voor de IT-Auditor

28 januari, 2026

Auteur: Sandeep Gangaram Panday

De snelle transitie naar digitale bedrijfsvoering dwingt organisaties DevOps te omarmen om sneller waarde te leveren. Voor de Register IT-Auditor (RE) roept deze werkwijze fundamentele vragen op over interne beheersing bij zelfsturende teams en continue releases. Dit studierapport van NOREA voorziet RE’s in een technisch/uitvoeringsgericht control framework om de IT-risico’s van DevOps te mitigeren en de volwassenheid van de controls te beoordelen. De verschuiving vereist een systeemgerichte auditbenadering, waarbij de geautomatiseerde Delivery Pipeline het hart vormt van de nieuwe beheersing.

Wat is DevOps en het verschil met traditionele methoden

De traditionele watervalmethode definieert projectactiviteiten in lineair-sequentiële fasen, waarbij elke fase afhankelijk is van de opleveringen van de vorige. Kenmerkend is de rigide planning, de strikte scheiding van teams per fase, de behoefte aan uitgebreide documentatie en de formele overdracht naar de IT-operatie na oplevering.

Agile werd geïntroduceerd als reactie op de inefficiënties van de watervalmethode. Het is een set van principes, vastgelegd in het Agile Manifesto, gericht op het sneller ontwikkelen van waardevolle software in korte, iteratieve cycli. De focus ligt op interactie, communicatie en het beperken van formele artefacten. Echter, bij veel Agile-implementaties blijven de ontwikkel- en operatieteams nog gescheiden.

DevOps is de logische volgende stap in deze evolutie. Het wordt gedefinieerd als de vereniging van, op zijn minst, softwareontwikkelings- en IT-operatieactiviteiten. DevOps is een filosofie en een manier van werken die maximale samenwerking en een hoge mate van automatisering nastreeft. Het doel is de doorlooptijd (lead time) drastisch te reduceren van weken of maanden naar minuten, terwijl consistentie en control gewaarborgd blijven.

De drie kernprincipes van DevOps vullen de Agile-principes aan en structureren de waardestroom:

Flow: Het automatiseren van de Delivery Pipeline (build, testing, integratie, deployment) om een snelle, continue stroom van de business naar development en operations mogelijk te maken.
Feedback: Continu functionele monitoring om problemen snel te identificeren en terug te koppelen.
Learning: Het voortdurend leren van incidenten en fouten, bijvoorbeeld door middel van ‘blameless post-mortems’.

De zakelijke noodzaak en de culturele uitdaging

Organisaties omarmen DevOps om een concurrentievoordeel te behalen in de digitale economie. Door het continue verbeteren van IT-ondersteunde capaciteiten is het streven een hogere opleverkwaliteit, lagere kosten en een vermindering van risico’s. De transitie is echter complex en kent aanzienlijke uitdagingen, die ook de aandachtspunten voor de auditor zijn. Dit ziin de hoofduitdagingen die zijn geconstateerd uit onze ervaringen in de praktijk sinds de oorspronkelijke publicatie van het DevOps Control Framework in 2019:

Culturele volwassenheid: De menselijke factor is blijft een beperking in het vergroten van de beoogde agility. Het cultiveren van de juiste cultuur en mindset, gericht op samenwerking tussen de voorheen gescheiden teams, is een cruciale randvoorwaarde.
Beperkte Volwassenheid: Het vereiste niveau van consistentie en automatisering van alle key controls is nog niet bereikt door de meeste DevOps-teams. Veel DevOps teams hebben behalen een deel van deze controls.
Gebrek aan Uniformiteit: Er is geen universele DevOps-aanpak, waardoor elke implementatie uniek is. Dit vereist dat de auditor de specifieke context goed inschat en het control framework op maat selecteert.

Technische implementatie van DevOps in de praktijk

De praktische toepassing van DevOps staat in het teken van het realiseren van de ‘Flow’ door de geautomatiseerde Delivery Pipeline. Enkele kernpraktijken die deze automatisering mogelijk maken, zijn:

Version Control System (VCS): Essentieel voor ontwikkelaars om gezamenlijk aan code te werken vanuit een plek.
Infrastructure as Code (IaC): Het beheren en/of uitrollen van infrastructuur (containers, servers, omgevingen) via code en automatisering. IaC-scripts worden ook beheerd in het VCS, wat zorgt voor een herhaalbare en auditeerbare methode voor de creatie van infrastructuurcomponenten.
Continuous Integration (CI): Ontwikkelaars integreren dagelijks code in de gedeelde repository, waarna een geautomatiseerde build problemen vroegtijdig opspoort.
Continuous Delivery (CD): Zorgt ervoor dat elke geteste versie van de code te allen tijde gereleased kan worden ('maintaining code in a deployable state').
Continuous Deployment: De meest geavanceerde vorm, waarbij de uitrol naar productie na elke wijziging automatisch wordt uitgevoerd, na het behalen de noodzakelijke kwaliteitscontroles.

De hoge mate van automatisering heeft directe gevolgen voor de auditdocumentatie: de broncode, geregistreerd in het VCS met alle stappen, activiteiten, wijzigingen, wie en wanneer, wordt de nieuwe (audit)documentatie. De rol van documentatie verschuift van imperatief naar informatief. Naarmate DevOps-teams volwassener worden, verschuift de focus bovendien van teamvrijheid naar normalisatie en standaardisatie van tools en services, vaak door de vorming van Shared Services of Platform teams.

Noodzaak en vormgeving van het onderzoek

De kern van dit onderzoek is de constatering dat DevOps een andere auditbenadering vereist. De klassieke, procedureel gebaseerde audits (gebaseerd op inspectie van steekproeven en geformaliseerde documenten) zijn niet effectief of efficiënt in een geautomatiseerde DevOps-omgeving. De probleemstelling van de auteurs richt zich op de vraag hoe de bestaande control frameworks passen bij de nieuwe werkwijze en hoe de IT-auditor hier zekerheid over kan verschaffen.

Een auditbenadering voor DevOps moet aan de volgende eisen voldoen:

Maatwerk: De unieke implementatie van DevOps vereist dat het control framework voorzichtig wordt geselecteerd en aangepast aan de specifieke context. In de praktijk noemen we dit het opstellen van hybride frameworks (deels DevOps en deels Waterfall controls).
Systeemgericht: Waar mogelijk moet de auditor overgaan op een systeemgerichte auditbenadering op basis van de testprocedure Reperformance (het testen van één gebeurtenis in plaats van een steekproef). Dit is zowel effectiever (hogere zekerheid) als efficiënter.
Focus op Automatisering: De benadering moet profiteren van de automatisering door VCS, IaC en CI/CD werkwijzen, aangezien deze de basis vormen voor de beheersing.

Het onderzoek is vormgegeven door:

Het opbouwen van het control framework op basis van bestaande literatuur, (onderzoeks)rapporten en best-practice modellen over Agile en DevOps.
Het alignen van het framework met COBIT 2019 (met name BAI02, BAI03, BAI06) en het security control framework van de Secure Software Alliance (SSA).
Het betrekken van de ervaringen van de auteurs met het auditen van projecten met verschillende methodologieën.

De resultaten: Het DevOps Control Framework

Het belangrijkste resultaat van het onderzoek is het gepresenteerde control framework en de aanbevolen auditbenadering, die uit drie stappen bestaat:

Bepalen van de Gebruikte Methodologie: Inzicht krijgen in welke DevOps-typologie of principes worden toegepast, is cruciaal voor de selectie van de juiste controls.
Culturele Volwassenheidsbeoordeling: Culturele aspecten zijn net zo belangrijk als technische controls.
Control Assessment: Het beoordelen van het op maat gemaakte control framework. Dit framework richt zich specifiek op Change Management binnen de DevOps-omgeving en is opgesteld als een volwassenheidsmodel dat zich richt op de Delivery Pipeline.

Aantonen van compliance in hooggereguleerde omgevingen

Het onderzoek onderbouwt dat DevOps-principes succesvol kunnen worden toegepast in sterk gereguleerde omgevingen. De beheersing van compliance wordt aangetoond door de mate van automatisering en traceerbaarheid die de Delivery Pipeline en de VCS bieden:

Traceerbaar Change Management: Het VCS registreert alle wijzigingen (wie, wat, wanneer) en de broncode is de formele, auditeerbare documentatie.
Beveiliging door IaC: Infrastructure as Code (IaC) geeft gemakkelijk inzicht in de gebruikte security baselines voor het uitrollen van infrastructuurcomponenten. Dit vergemakkelijkt de audit van de configuratiebeheerprocessen.
Geautomatiseerde Beveiligingscontroles: Code-, kwetsbaarheids- en afhankelijkheidsscans worden automatisch op elke wijziging uitgevoerd.
Standaardisatie: De normalisatie en standaardisatie van de omgeving, vaak door Shared Services of Platform teams, resulteert in consistent en betrouwbaar geautomatiseerde controls.

Deze automatisering effent de weg voor de systeemgerichte audit, waarbij de auditor de opzet en werking van controls kan aantonen met de Reperformance-testprocedure, wat een hoger niveau van assurance oplevert.

Praktische effectiviteit en onzekerheden

De bewijslast voor de effectiviteit van de DevOps-principes, en indirect het control framework, ligt in de gerealiseerde voordelen: het verhogen van de opleverkwaliteit, het verkrijgen van efficiëntie door Shared Services teams en het succesvol implementeren van de principes in hooggereguleerde omgevingen. De principes stellen de organisatie en de auditor in staat om effectiever en efficiënter te auditen. Het onderzoek identificeert echter een belangrijke onzekerheid en beperking in de praktijk, die de directe toepasbaarheid van het framework beperkt:

Onzekerheid over Volwassenheid: De meest effectieve auditbenadering (de systeemgerichte audit) vereist dat het niveau van automatisering van alle key controls consistent en volwassen is gedurende het jaar.
Geen Voltooid Stadium: Dit hoge volwassenheidsniveau is nog niet bereikt door de meeste Agile en DevOps teams. Organisaties bevinden zich in een continu leerproces om de automatisering geleidelijk te verhogen.

Dit impliceert dat een systeemgerichte audit op basis van reperformance niet direct volledig toepasbaar is. Voor organisaties die nog niet de vereiste volwassenheid daarvoor hebben, wordt de toepassing van de FEAT-testbenadering (Full population & Exception Analysis Testing) aanbevolen als overgangsmethode, totdat aan de criteria voor een systeemgerichte audit wordt voldaan.

FEAT als alternatieve test aanpak

Het door dit studierapport ontwikkelde control framework is toepasbaar op zowel Agile, DevOps als hybride werkwijzen. Het is echter essentieel dat de IT-auditor vaststelt of een control volledig geautomatiseerd is, of dat deze (deels) afhankelijk is van handmatige activiteiten. Hoewel de meeste controls het potentieel hebben voor een systeemgerichte auditbenadering, is het onwaarschijnlijk dat de meeste teams al het vereiste volwassenheidsniveau bereiken om dit direct mogelijk te maken.

Als overgangsmethode wordt de Full population & Exception Analysis Testing (FEAT)-aanpak voorgesteld, totdat aan de voorwaarden voor een systeemgerichte audit wordt voldaan. In tegenstelling tot steekproefsgewijze tests, baseert FEAT zich op de volledige populatie van alle gebeurtenissen binnen de Delivery Pipeline.

De FEAT-methode bestaat uit het definiëren van een risicogebaseerd overzicht van key controls, het creëren van een betrouwbare populatielijst van alle gerelateerde gebeurtenissen, en het vastleggen van een duidelijke success/fail-controlemantiek. Deze logica wordt vervolgens geautomatiseerd getoetst op de volledige populatie. Na uitvoering volgt een analyse van alle uitzonderingen (exceptions), leidend tot een eindoordeel over de effectiviteit van de control.

Deze aanpak biedt 100% inzicht in de effectiviteit van de key controls en de resterende risico’s. Het creëren van deze transparantie is de belangrijkste drijfveer om vertrouwen in de softwareleveringsprocessen van de teams te bereiken. De geïdentificeerde observaties dienen als input voor het continu verbeteren van de controls, wat aansluit bij de continuous improvement-principes van Agile.

Disclaimer: Bij het opstellen van dit artikel – als afgeleide van het studierapport – is gebruikgemaakt van een AI-tool (Gemini van Google). De inhoud is door de auteur handmatig gecontroleerd en definitief opgesteld.