TOEZICHT OP IT. De veranderende wereld van de commissaris

TOEZICHT OP IT De veranderende wereld van de commissaris

2 | Toezicht op IT

Toezicht op IT | 3

VOORWOORD

INHOUD SAMENVATTING

01 02 03 04

4

ONDERZOEKSVERANTWOORDING

6

BELANG EN UITDAGINGEN

8

KENNIS EN ERVARING

RVC-VERGADERING

12

18

05 06 07

INFORMATIEVOORZIENING EN -BEHOEFTE

24

DE VERANDERENDE ROL VAN DE COMMISSARIS

28

ONZE AANBEVELINGEN

30

OVER DE AUTEURS

37

LITERATUUR

38

CONTACT

40

WAT IS IT?

Onder IT wordt in dit onderzoek verstaan het totale complex van mensen en middelen die zorg dragen voor de informatievoorziening, dus alle apparatuur en infrastructuur (zoals computercapaciteit, rekencentra, datacommunicatie, infrastructuur), alle software (zoals eigen ontwik-keling, standaardpakketten, software as a service) en alle mensen (IT-afdeling, gebruikers die intensief betrokken zijn bij de informatievoorziening en externe leveranciers). Onder beheersing van IT wordt verstaan het sturen op alle relevante kwaliteitsaspecten zoals integriteit, beveiliging, continuïteit, efficiëntie en effectiviteit.

© 2015 KPMG Advisory N.V.

In het afgelopen decennium is de rol van informatietechnologie (IT) binnen vrijwel alle organisaties substantieel veranderd. Een aantal jaren geleden was deze rol nog beperkt tot de ondersteuning van het primaire proces en de backoffice. Op dit moment is IT echter een drijvende kracht achter de strategie van veel ondernemingen en een aanjager van innovatie. De gevolgen van niet-functionerende IT – bijvoorbeeld door onvoldoende beveiliging – leiden tot discontinuïteit van een organisatie en de kosten van IT zijn in veel organisaties zeer hoog.

Jan Hommen Voorzitter Raad van Bestuur KPMG N.V.

In dit onderzoek is specifiek gekeken naar de financiële sector (FS). In deze sector kenmerkt IT zich door een uitdagende combinatie van oude systeemoplossingen (‘legacy’ systemen) en moderne web-based betaal- en andere systemen. Verdienmodellen van bestaande diensten en -producten raken snel achterhaald. Het samenspel tussen het management en de Raad van Commissarissen is ook op IT gebied belangrijk. Hierbij gaat het onder meer om de innovatiekracht van IT, het risicobeheer, de investeringen en de IT-kosten.

Rob Fijneman Lid Raad van Bestuur KPMG N.V., Verantwoordelijk voor Advisory Hoogleraar IT auditing Universiteit van Tilburg

Het belang van inzicht in en toezicht op IT wordt onderkend in een aantal recente studies, zoals het Global Risk Report 2015 van het World Economic Forum. In dit rapport zijn cyber attacks, datafraude en datakwaliteit in de top van wereldwijde risico’s opgenomen.


De doelstelling van dit onderzoek is om aanbevelingen te doen aan de FS commissaris over de wijze waarop de verantwoordelijkheid van de RvC op het gebied van IT het beste kan worden ingevuld. KPMG is als accountant en adviseur prominent actief in FS en ziet het ook als haar taak om bij te dragen aan ontwikkelingen in deze sector. In dit geval via een onderzoek uitgevoerd door prof. Rob Fijneman, Marten La Haye en Stefan Jacobs. Deze publicatie is tot stand gekomen op basis van interviews met betrokkenen in FS gecombineerd met literatuuronderzoek, een afstudeer der van de Universiteit van Eindhoven en de expertise binnen KPMG. Maart 2015

4 | Toezicht op IT

Toezicht op IT | 5

SAMENVATTING De rol van IT binnen vrijwel alle organisaties is substantieel veranderd; van ondersteuning van het primaire proces en de backoffice naar een drijvende kracht achter de strategie van veel ondernemingen. Het is de taak van het management om de kansen van IT te benutten en de risico’s van IT te beheersen. De taak van de RvC is om hierop toezicht te houden en de RvB bij te staan met advies. In het afgelopen halfjaar heeft KPMG onderzoek gedaan naar de wijze waarop de RvC binnen FS zijn taak op het gebied van IT vervult. Het doel van het onderzoek was om aanbevelingen te doen voor de wijze waarop deze verantwoordelijkheid het best kan worden ingevuld. Hiervoor hebben wij circa 50 commissarissen en leden van de RvB van de grootste banken en verzekeraars in Nederland geïnterviewd. Deze groep schat vrijwel unaniem zowel de impact van IT op de strategie van de organisatie, het belang van de beschikbaarheid van de IT-systemen als het belang van IT om concurrentievoordeel te realiseren hoog tot zeer hoog in.

Ook als we naar de kosten kijken, blijkt de impact van IT: uit het onderzoek komt naar voren dat IT gemiddeld rond de 20% van de totale kosten van de organisatie voor haar rekening neemt. De grootste IT-uitdaging binnen FS is het verbeteren of vervangen van de meestal redelijk oude en moeilijk te onderhouden IT-systemen. Andere grote uitdagingen zijn het verbeteren van het contact met de klant door IT, innovatie met IT, security en data analytics. Een belangrijke constatering in het onderzoek is dat 92% van de geïnterviewden van mening is dat de IT-kennis van de gemiddelde commissaris in FS onvoldoende is. Deze conclusie wordt onderbouwd door analyse van op internet beschikbare data waaruit blijkt dat 81% van de commissarissen binnen FS niet over IT-expertise beschikt. In de vergadering van de RvC wordt gemiddeld 10-15% van de tijd aan IT besteed. Ongeveer de helft van de ondervraagden geeft aan de tijdsbesteding aan IT te laag te vinden. Als redenen hiervoor worden genoemd onvoldoende affiniteit met het onderwerp en een drukke agenda vol met andere onderwerpen, waaronder met name compliance. De meest besproken onderwerpen in de RvC-vergadering zijn strategie en IT (als onderdeel van de jaarlijkse strategieverga dering) en security.


In de meeste RvC’s worden ook de voortgang van de grote IT-projecten en de datakwaliteit besproken. Beschikbaarheid en kwaliteit van de IT-systemen en de kwaliteit van de IT-organisatie worden in ongeveer de helft van de RvC’s besproken. Een benchmark van de IT-kosten wordt in 29% van de RvC’s besproken. Ongeveer een derde van de ondervraagden geeft aan dat de informatie die zij krijgen op IT-gebied voor de RvC-vergadering verbeterd moet worden, ongeveer een derde krijgt geen goede voortgangsrapportage van de grote/strategische IT-projecten en 60% heeft geen goed inzicht in de IT-kosten. We kunnen constateren dat er een discrepantie bestaat tussen enerzijds het belang van IT dat als zeer groot wordt gezien en anderzijds de gemiddelde IT-kennis van de commissaris binnen FS, de wijze waarop IT wordt besproken tijdens de RvC-vergadering en de informatie op IT-gebied waarover de commissaris beschikt. Op basis van de uitkomsten van het onderzoek, literatuuronderzoek en expertise van KPMG komen wij tot de volgende aanbevelingen:

Zorg voor een goede basiskennis op het gebied van IT binnen de RvC Benoem minstens één lid in de RvC dat diepgaande IT-ervaring heeft Zorg voor goede informatie op IT-gebied Zet IT gestructureerd op de agenda van de RvC en de subcommittees Geef veel aandacht aan de mogelijkheden van IT bij strategieontwikkeling Bewaak de IT-competentie in de organisatie


6 | Toezicht op IT

Toezicht op IT | 7

ONDERZOEKSVERANTWOORDING In dit onderzoek hebben wij de commissarissen van de 50 grootste organisaties binnen de Nederlandse financiële sector (banken en verzekeraars, inclusief ziektekostenverzekeraars) benaderd om deel te nemen aan een interview op basis van een gestructureerde vragenlijst. In totaal hebben 43 commissarissen van de in totaal 239 commissarissen (18%) van deze 50 organisaties aan het onderzoek deelgenomen. Deze 43 commissarissen vertegenwoordigen 9 van de top 10 banken, eveneens 9 van de top 10 verzekeraars in Nederland en meer dan de helft van de 50 grootste organisaties binnen FS in Nederland. Hiermee kan dit onderzoek gezien worden als een goede afspiegeling van alle commissarissen in FS. Van de 43 commissarissen was 67% man en 33% vrouw.

• de vergadering van de RvC: welke onderwerpen staan er op de agenda, hoe vindt de voorbereiding plaats, op welke manier worden de onderwerpen in de vergadering besproken, hoeveel tijd wordt hieraan besteed, etc.; • over welke informatie beschikt de RvC en wat is nodig; • welke aanbevelingen kunnen er gedaan worden.

Deze 43 commissarissen zijn geïnter viewd op basis van een gestructureerde vragenlijst met 50 vragen. Naast de beantwoording van deze vragen is ook gevraagd om toelichting te geven op de antwoorden. Ook is een aantal open vragen gesteld.


01

De vragenlijst besloeg de volgende categorieën: • het belang en de uitdagingen van IT voor FS; • kennis en ervaring van de commissaris op de verschillende deelgebieden van IT;


Naast deze 43 commissarissen zijn eveneens 8 RvB-leden met een eindverantwoordelijkheid voor IT geïnterviewd. Hierdoor is beter inzicht verkregen in de visie van de RvB op de gewenste rol van de RvC op het gebied van IT. Interviews hebben plaatsgevonden met de RvB van 4 van de top 10 banken en van 4 van de top 10 verzekeraars. Over het profiel van de commissaris binnen FS, en meer specifiek over de benodigde IT-competentie, zijn inter views gehouden met 2 gerenommeerde Executive Search-bureaus die veelvuldig betrokken zijn bij de werving van commissarissen in FS.

8 | Toezicht op IT

Toezicht op IT | 9

BELANG EN UITDAGINGEN TWEE ASPECTEN AAN IT

Defensief IT moet goed voor elkaar zijn (voor de gebruiker/ klant snel, betrouwbaar, zero touch, beschikbaar, goede privacy en security).

Zowel de impact van IT op de strategie van de organisatie, het belang van de beschikbaarheid van de IT-systemen als het belang van IT om concurrentievoordeel te realiseren wordt hoog tot zeer hoog ingeschat.


02

Banken en verzekeraars zijn voor een groot deel IT-bedrijven; IT is noodzakelijk voor het goed functioneren van ieder bedrijfsproces. Met name voor de retailklanten is de beschikbaarheid van de IT-systemen cruciaal. De minste verstoring wordt al als zeer hinderlijk ervaren. Langere verstoringen zijn serieuze bedreigingen voor de continuï teit van de onderneming. Ook voor de zakelijke klanten is continuïteit van groot belang, alhoewel iets minder dan voor de retailklanten.

Het belang van IT om concurrentie voordeel te realiseren wordt iets kleiner ingeschat dan bij de andere twee vragen, omdat naast IT ook andere aspecten, zoals direct klant contact, belangrijk zijn. Zeker in de zakelijke markt.


Strategisch IT gebruiken als drijvende kracht achter innovatie (het aanbieden van nieuwe diensten/producten, de klant meer informatie geven met behulp van data intelligence en het kunnen voorspellen van het gedrag van de klant).

10 | Toezicht op IT

Toezicht op IT | 11

Grootste IT-uitdagingen Fig. 1 Impact van IT op de strategie van de onderneming

Fig. 2 Belang van beschikbaarheid van de IT-systemen 2%

3% 5%

23%

Zeer klein Klein Middelmatig Groot Zeer groot

In het onderzoek is aan de geïnterviewden gevraagd wat de grootste IT-uitdagingen zijn voor de organisatie waar zij commissaris zijn.

2% 3% 13%

Zeer klein

69%

Fig. 3 Belang van IT om concurrentievoordeel te realiseren

Zeer klein

Innovation met ICT 13%

Zeer klein

Klein

36% Klein

Klein

Middelmatig

Middelmatig

MiddelmatigCustomer

Groot

Groot

Groot

Zeer groot 85%

Zeer groot

De impact van IT is ook goed te zien in het kostenniveau van IT. Uit het onderzoek blijkt dat de gemiddelde kosten van IT circa 20% van de totale kosten van de organisatie bedragen, variërend van circa 15% tot circa 25%. In een groot aantal interviews is naar voren gekomen dat er met betrekking tot de IT-kosten twee zorgen zijn: zijn de operationele kosten (de ‘run’-kosten) wel marktconform en laag genoeg, en wordt er wel voldoende geïnvesteerd om een goede concurrentiepositie te


46%

verwerven of te behouden (de ‘change’kosten). Dit toont aan dat er in FS nog een migratie gaande is van legacysystemen naar nieuwe state-of-the-art IT-systemen. Zoals later zal blijken, is deze migratie in combinatie met een sterke focus op compliance en het vermijden van risico’s een worsteling. De uitkomsten van de interviews met RvB-leden zijn in lijn met de uitkomsten van de interviews met de commis sarissen.

interface

17%

14%

29%

Legacy

12% Security

Zeer groot

Verreweg de grootste uitdaging ligt in het verbeteren van de kwaliteit van de bestaande systemen die meestal redelijk oud, complex en moeilijk te onderhouden en aan te passen zijn en waarvan de datasystemen veelal ongestructureerd zijn. Deze zoge naamde ‘legacy’-systemen zijn veelal ontstaan door maatwerkontwikkelingen aan het eind van de vorige eeuw of al eerder; ze zijn vaak gecompliceerd doordat veel systemen door middel van interfaces aan elkaar vastgeknoopt zijn. Veel commissarissen geven aan legacy een complex en moeilijk te doorgronden onderwerp te vinden. De IT-afdeling maakt veelal mooie plannen ter verbetering, maar zowel de plannen als de realisatie zijn moeilijk voor de gemiddelde commissaris te beoordelen. ‘Legacy’ wordt ook wel de ‘sluipmoordenaar’ binnen IT genoemd. Er niet aan werken is geen optie, omdat dat de innovatie door IT in de weg staat en een groot risico is voor de continuïteit van

de onderneming. Een oplossing voor legacy vinden is zeer kostbaar; het is meestal een meerjarentraject en kent ook vele risico’s. Twee andere veel genoemde uitdagingen – het verbeteren van de customer interface en innovatie met IT – liggen in elkaars verlengde. Onderwerpen die hierbij genoemd worden zijn: mobile banking, digitaal distributiekanaal en verbeteren ‘My Site’ internetportal. Veel commissarissen geven aan dat de ‘time to market’ van dit soort ontwikkelingen een punt van zorg is en dat in het verleden niet-tijdige innovatie ertoe heeft geleid dat de organisatie achterliep op de concurrentie. Een uitdaging die in het afgelopen jaar veel aandacht heeft gekregen is security, mede omdat er nogal wat incidenten op dit gebied hebben plaatsgevonden. Veel commissarissen


hebben in het afgelopen jaar door educatie kennis hierover verworven (zie hoofdstuk 3). Dit onderwerp lijkt hierdoor beter toegankelijk voor de commissaris. Toch blijft het onderwerp een continu aandachtspunt. Er worden immers nieuwe bedreigingen gevonden waarvoor weer aanvullende security maatregelen getroffen moeten worden. Data analytics, ofwel het intelligent analyseren van grote hoeveelheden data, wordt gezien als een strategisch onderwerp. Hiermee kan de klant worden voorzien van gedetailleerde informatie om zijn beslissingen en koopproces te ondersteunen en kan het gedrag van klanten beter voorspeld worden.

12 | Toezicht op IT

Toezicht op IT | 13

KENNIS EN ERVARING Eén van de vragen uit het onderzoek was: wat vindt u van de IT-kennis van de gemiddelde commissaris binnen FS? 92% van de geïnterviewden geeft aan deze kennis onvoldoende te vinden, slechts 8% had hier geen mening over. Als redenen voor deze achterblijvende kennis worden aangegeven de gemid delde leeftijd van de commissaris, de snelle veranderingen die plaatvinden op het gebied van IT en het gebrek aan affiniteit met dit onderwerp. Op basis van op internet beschikbare data zijn gegevens verzameld over alle commissarissen van de 50 grootste instellingen in FS op de volgende gebieden:

Uit dit onderzoek blijkt dat 81% van de 239 commissarissen bij de 50 grootste FS-instellingen niet over IT-expertise beschikt. Van de 19% die wel IT-expertise hebben heeft 2% een IT-opleiding, 7% heeft een technische opleiding (waardoor verwacht mag worden dat deze groep IT-expertise heeft), 3% heeft een IT-functie vervuld en bij 7% zijn IT-competenties gevonden. Fig. 4 IT-competenties commissarissen FS

8%

• Hoeveel commissarissen hebben een IT-opleiding gevolgd (of een opleiding waarvan IT een belangrijk onderdeel was)? • Hoeveel commissarissen hebben in hun carrière een IT-functie vervuld? • Hoeveel commissarissen hebben in hun leven een C-level functie (CEO/CFO/COO) vervuld?


03

Voldoende

8%

Weet niet Voldoende Onvoldoende Weet niet Onvoldoende 92% 92%

Fig. 5 IT-competenties 2%

2%

7%

7%

3%

7%

3%

7%

IT opleiding IT opleiding Technische opleiding Technische opleiding IT functie vervuld IT functie vervuld IT competenties gevonden IT competenties gevonden Geen IT competenties gevonden Geen IT competenties gevonden

81% 81%


14 | Toezicht op IT

Toezicht op IT | 15

AANBEVELINGEN

Fig. 6 C-level functies

Fig. 7 IT-kennis commissarissen uit het onderzoek 3%

5% 18%

Geen

17%

48%

Goed

32% CEO

Voldoende

CFO

Onvoldoende

COO

Slecht

30% 47%

3%

Geen

18%

In het onderzoek vroegen wij de commissarissen en de leden van de RvB naar hun mening over vier mogelijke aanbevelingen op het gebied van kennis en ervaring betreffende IT.

Goed

32% CEO

Voldoende

CFO

Onvoldoende

COO

Slecht

Alle leden van een RvC binnen FS moeten een goed basisniveau van kennis hebben op het gebied van IT

47%

Van de 81% die niet over IT-expertise beschikt heeft 52% een C-level functie vervuld, waarvan 30% als CEO, 17% als CFO en 5% als COO. Van leden van deze groep mag verwacht worden dat zij vanuit deze functie (in meer of mindere mate) IT-expertise hebben opgebouwd.

Aan de geïnterviewde commissarissen is gevraagd hun eigen kennis op het gebied van IT te waarderen. 65% van deze groep geeft aan zijn kennis als voldoende of goed te beoordelen, wat hoog is in vergelijking tot het beeld van de kennis van de commissarissen in het algemeen. Mogelijk hebben de commissarissen met meer affiniteit voor IT besloten aan het onderzoek mee te doen. Dit wordt ondersteund door het feit dat een aantal commissarissen hebben aangegeven niet mee te willen werken, omdat ze geen relevante kennis hebben.


50% van de geïnterviewde commis sarissen heeft in het afgelopen jaar geen permanente educatie gevolgd op het gebied van IT; de andere 50% heeft gemiddeld twee dagdelen permanente educatie op IT-gebied gevolgd. Het meest voorkomende onderwerp van deze educatie was security. Meerdere commissarissen geven aan dat het moeilijk is om de juiste educatie op het gebied van IT te vinden; de aangeboden educatie is of te oppervlakkig (sessies van een paar uur over een breed aantal onder werpen) of te technisch en daardoor ongeschikt voor de commissaris.

IT

JA 71% MEERDERHEID 17% MINDERHEID 12% GEEN 0%

De overgrote meerderheid is van mening dat alle leden een goede basiskennis van IT moeten hebben. Volgens een aantal commissarissen is IT net zo belangrijk als Finance. Volgens sommigen is het niet haalbaar dat alle leden deze kennis bezitten, gezien hun achtergrond en affiniteit. Maar zij zijn wel van mening dat een meerderheid in de RvC over deze kennis moet beschikken. 12% geeft aan dat het voldoende is als deze kennis bij een beperkt aantal leden in de RvC aanwezig is.

Een goede basiskennis houdt in: de voor de vergadering van de RvB aangeleverde stukken op IT-gebied goed kunnen interpreteren, inzicht hebben in de risico’s, weten hoe deze risico’s gemitigeerd kunnen worden, de juiste vragen kunnen stellen en de antwoorden op deze vragen goed kunnen beoordelen.


16 | Toezicht op IT

Toezicht op IT | 17

Minimaal één lid van de RvC moet diepgaande ervaring hebben op het gebied van IT

JA 98% NEE 2% Over deze aanbeveling bestaat grote consensus: 98% geeft aan dat dit een noodzaak is binnen FS. Opmerkingen die hierbij gemaakt worden zijn: het zouden er in een grotere raad minimaal twee moeten zijn; het IT-veld is zo complex dat de ervaring ook verdeeld mag zijn over meerdere personen. De belangrijkste eisen die de commissarissen en de geïnterviewde Executive Search-bureaus aan het profiel stellen zijn: • brede bestuurlijke ervaring; • moet de brug kunnen slaan tussen IT en de business; • moet door zijn ervaring een natuurlijke counterpart zijn voor het RvB-lid dat IT in zijn portefeuille heeft; • hoeft geen technisch specialist te zijn; • heeft bij voorkeur sectorkennis. Aanbeveling 1 en 2 kunnen het beste gecombineerd worden; alleen aanbeveling 2 volgen heeft het risico dat alle IT-zaken aan dit ene lid worden overgelaten. Dit is ongewenst, omdat IT is een integrale verantwoordelijkheid van de RvC is.

Waar onvoldoende ervaring in de RvC aanwezig is, dient externe expertise te worden ingeschakeld

JA 68%

JA 63% SAMEN MET DE RVB 23%

NEE 32%

NEE 15%

63% van de ondervraagden geeft aan dat ze van mening zijn dat het inschakelen van externe expertise aan te bevelen is als er onvoldoende ervaring in de RvC aanwezig is. Wel wordt hierbij aangetekend dat dit voor IT eigenlijk ongewenst is. Het thema is zo belangrijk dat de RvC ervoor moet zorgen dat hij/zij op dit gebied zelf over voldoende kennis en ervaring beschikt. Door menigeen in deze groep wordt aangegeven dat het belangrijk is om externe expertise onafhankelijk van de RvB in te schakelen (uiteraard wel melden), omdat daarmee een objectief oordeel kan worden verkregen. Bijna een kwart van de ondervraagden is van mening dat inschakeling van externe expertise de verantwoordelijkheid is van RvB en RvC samen, in één gezamenlijke opdracht. Inwinnen van externe expertise zonder daarbij de RvB te betrekken wordt gezien als een motie van wantrouwen die de vertrouwensrelatie met de RvB ondermijnt. 15% is van mening dat het inschakelen van externe expertise alleen gebruikt moet worden als er sprake is van ‘niet in control zijn’. Het is dan het allerlaatste hulpmiddel waarnaar gegrepen moet worden. In dit kader is het opmerkelijk dat in het afgelopen jaar slechts door 17% van de Raden van Commissarissen externe expertise op het gebied van IT is ingeschakeld.


De RvC moet betrokken worden bij de benoeming van de CIO/IT-manager

Hoewel de benoeming van de CIO (of IT-manager) formeel tot de verantwoordelijkheid van de RvB behoort, vindt twee derde van de ondervraagden dat de RvC actief betrokken moet zijn bij de benoeming van de directe laag onder de RvB, en ook bij de benoeming van de CIO. Hierbij komt aan de orde dat de RvC vier aspecten moet bewaken: 1. de kennis en ervaring in de RvB op IT-gebied; 2. de kwaliteit van de managementlaag direct onder de RvB, dus ook de CIO; 3. de kennis en ervaring in de IT-organisatie; 4. het opvolgingspotentieel op IT-gebied, ofwel is er voldoende kwaliteit in de organisatie aanwezig om eventuele vacatures in te vullen. Enkele commissarissen geven hierbij aan dat in hun organisatie recentelijk naar een nieuwe invulling van een COO-profiel in de RvB is gezocht; kennis en ervaring op het gebied van IT was daarbij een belangrijk criterium. Op de vraag of de desbetreffende commissaris goed inzicht heeft in de IT-competenties in de RvB antwoordt 88% van de geïnterviewden positief, terwijl 12% aangeeft daar onvoldoende inzicht in te hebben. Van de 88% die goed inzicht heeft in de IT-competenties in de RvB kwalificeert 78% deze competenties als voldoende; 22% beschouwt deze als onvoldoende.


18 | Toezicht op IT

Toezicht op IT | 19

RvC-VERGADERING In 37% van de RvC-vergaderingen wordt 10-15% van de tijd aan IT besteed. IT staat impliciet vrijwel altijd op de agenda van de vergadering, omdat ieder project een IT-component heeft en er ook vrijwel iedere vergadering een aantal incidenten besproken worden die sterk samenhangen met IT (uitval van systemen, security issues, etc.). In 20% van de vergaderingen wordt 10% of minder tijd besteed aan IT, in 45% ligt de tijdsbesteding boven de 15% of hoger. Iets meer dan de helft van de ondervraagden geeft aan de tijdsbesteding aan IT onvoldoende te vinden. Redenen die worden genoemd zijn: onvoldoende affiniteit met het onderwerp, volle agenda met andere belangrijke onderwerpen, te veel tijdsbesteding aan compliance.

Fig. 8 % tijd besteed aan IT tijdens RvC-vergadering

15%

Fig. 9 Tijdbesteding aan IT tijdens RvC-vergadering voldoende?

20%

<10% 10-15%

10%

15-20% 52% 20-25% 20%


04

15%

20%

<10%

Ja 48%

10-15% 52%

10%

15-20% 20-25% 20%

37%

>25%

37%

>25%


Nee

Ja 48%

Nee

20 | Toezicht op IT

Toezicht op IT | 21

Onderwerpen op de RvC-agenda

83%

83%

73%

71%

68%

66%

Strategie en IT

Security, cybercrime, privacy

Voortgang grote IT-projecten

Datakwaliteit & data analytics

(Out)sourcing, cloud, etc.

Beschikbaarheid van de IT-systemen

De voortgang van de grote IT-projecten wordt in de meeste gevallen besproken. Wel moet opgemerkt worden dat veel commissarissen aangeven dat deze bespreking vaak vrij oppervlakkig is en dat de problemen achter de voortgang moeilijk voor de commissaris te doorgronden zijn. Ook wordt herhaal delijk opgemerkt dat IT-projecten regelmatig de neiging hebben om uit te lopen zonder dat de reden hiervoor duidelijk is.

Mede door de Asset Quality Review en andere, in het kader van compliance, noodzakelijke rapportages staat datakwaliteit met regelmaat op de agenda. Zie ook kwaliteit van de IT-systemen.

Als onderdeel van mogelijke kostenreductieprogramma’s zijn de onderwerpen (out)sourcing, en cloud, aan de orde geweest.

Dit onderwerp staat vrijwel uitsluitend op de agenda als gevolg van incidenten. Zie ook kwaliteit van de IT-systemen.

56%

56%

29%

Kwaliteit van de IT-systemen

Kwaliteit van de IT-organisatie

IT-kosten & benchmark

De kwaliteit van de IT-systemen is de basis voor de beschikbaarheid en voor de datakwaliteit. De vaak oude ‘legacy’systemen kennen – omdat ze bestaan uit een bundeling van allerlei losse IT-systemen – zeer complexe data structuren waarin identieke data vaak op meerdere plaatsen voorkomen. Hierdoor wordt het uitermate complex om goede managementinformatie op te leveren en is de kans op vervuiling van de databestanden groot. Tegelijkertijd is het vervangen/verbeteren van oude software ingewikkeld; nieuwe/ verbeterde software kent veel beschik baarheidsrisico’s bij ingebruikname.

Dit onderwerp staat in het algemeen niet als apart onderwerp op de agenda, maar als onderdeel van een algemene ‘vlootschouw’ en de bespreking van de kwaliteiten van het management direct onder de RvB. Een aantal commissarissen geeft aan dat zij het moeilijk vinden om de kwaliteiten van de CIO en de IT-organisatie in te schatten.

In minder dan een derde van de vergaderingen van de RvC wordt een vergelijking van de IT-kosten met de IT-kosten van een ‘peer group’ besproken. Er lijkt consensus over te bestaan dat dit onderwerp wel jaarlijks op de agenda zou moeten staan.

Vrijwel iedere RvC bespreekt één keer per jaar de strategie, meestal in een aparte, langere vergadering. Hierbij komt ook vrijwel altijd IT aan de orde. Het merendeel van de ondervraagden geeft aan dat hierbij de discussie over de strategie leidend is, en dat de impact die de strategie op IT heeft hiervan een afgeleide is. In een beperkt aantal gevallen wordt structureel gekeken naar de technologische ontwikkelingen en de mogelijkheden tot innovatie die de technologie biedt.

Security, cybercrime en privacy hebben in het afgelopen jaar op de meeste agenda’s van de vergadering van de RvC gestaan, vaak als gevolg van incidenten in de eigen organisatie of bij de concurrentie.



Een kanttekening hierbij is dat iedere RvC een Audit & Risk Committee heeft (of een aparte Audit Committee en een aparte Risk Committee) waarin IT normaliter uitgebreider wordt bespro ken dan in de vergadering van de RvC.

22 | Toezicht op IT

Toezicht op IT | 23

AANBEVELINGEN

De commissarissen en de leden van de RvB zijn naar hun mening gevraagd over vier aanbevelingen met betrekking tot de inhoud van de RvC-vergadering.

1x

per jaar

Bespreek minstens één keer per jaar de impact van IT-ontwikkelingen op de strategie

1x

per jaar

JA 97% NEE 3%

Bespreek minstens één keer per kwartaal inhoudelijk de voortgang van de grote IT-investeringen

Plan minstens één keer per jaar een vergadering waarin IT integraal wordt besproken

Uit het onderzoek blijkt dat vrijwel altijd één keer per jaar de strategie met de commissarissen wordt besproken. Meestal gebeurt dit in een aparte vergade ring, waarvoor vaak meer tijd wordt uitgetrokken. IT komt in deze bespreking altijd aan de orde. Bij doorvragen over dit onderwerp blijkt dat in veel gevallen IT wordt gezien als een afgeleide van de strategie, ofwel bij het vaststellen van de strategie wordt naar de implicaties op het gebied van IT gekeken (en uiteraard ook naar implicaties op andere gebieden). In een beperkt aantal gevallen wordt naar IT gekeken als drijvende kracht voor de strategie. 97% van de commissarissen geeft aan dat het belangrijk is om voorafgaand aan de jaarlijkse strategische discussie de mogelijkheden die IT biedt om de strategie te vernieuwen uitgebreid in kaart te brengen en te gebruiken als input voor de strategiediscussie. Een aantal ondervraagden suggereert dat het, gezien de snelheid waarmee IT de business verandert, mogelijk niet voldoende is om de IT-ontwikkelingen slechts één keer per jaar te bespreken.


4x

per jaar

JA 76% NEE 24%

JA 74% NEE 26%

Uit de antwoorden op onderwerpen die geagendeerd worden voor de vergadering van de RvC blijkt dat IT vaak een ‘secundair’ onderwerp is. Het komt aan de orde als onderdeel van een (strategisch) project of als er incidenten zijn, bijvoorbeeld als gevolg van problemen in de beschik baarheid van de IT-systemen of van security issues. 76% van de geïnterviewden vindt dat het aan te bevelen is om één keer per jaar IT als separaat punt op de agenda te zetten en dan alle aspecten van IT te bespreken. Deze bespreking zal in het algemeen leiden tot een lijst van actiepunten, waarvan de voortgang vervolgens in de kwartaalrapportage dient terug te komen.

74% van de ondervraagden geeft aan dat het belangrijk is dat één keer per kwartaal de voortgang van de grote IT-projecten inhoudelijk wordt besproken. Op dit moment krijgen commissarissen in ongeveer een derde van de gevallen geen informatie over de voortgang van deze projecten en wordt de voortgang ook niet besproken tijdens de vergadering. Aan te bevelen is om (onder meer) voor de voortgangs rapportage van grote IT-projecten een goed dashboard (bijvoorbeeld in de vorm van een ‘stoplichtrapportage’) te gebruiken met daarin de belangrijkste parameters en een verschillenanalyse ten opzichte van vorige rapportages. Met deze informatie kan de voortgang van de grote IT-projecten efficiënt behandeld worden in de vergadering.


24 | Toezicht op IT

Toezicht op IT | 25

INFORMATIEVOORZIENING EN -BEHOEFTE Uit het onderzoek blijkt dat de commis sarissen in bijna twee derde van de interviews aangeven dat de schriftelijke informatie op IT-gebied die zij krijgen ter voorbereiding van een IT-agendapunt goed is. Volgens 18% kan de informatie verbeterd worden en 21% geeft aan dat de informatie onvoldoende is. Als redenen voor deze onvoldoende informatie worden genoemd: te veel op hoofdlijnen, te technisch en veel te veel details. Kennelijk ligt er een uitdaging om een goede balans te vinden tussen de diepgang van de informatie en een zodanige

Fig. 10 Kwaliteit informatie

21%

beschrijving van de technische problematiek dat deze door niettechnische specialisten doorgrond kan worden. Ruim twee derde van de commissaris sen krijgt een goede voortgangs rapportage van de grote/strategische IT-projecten. Verschillen ten opzichte van de verwachte voortgang kunnen op basis van deze rapportage in de vergadering besproken worden. Op de vraag of deze rapportage noodzakelijk is wordt door 97% van de commissarissen positief geantwoord.

Bijna 60% van de commissarissen geeft aan dat er geen rapportage is die goed inzicht geeft in de kosten van IT, terwijl 92% aangeeft dat het belangrijk is om dit inzicht te hebben. Ook hier zijn dus aanzienlijke verbeteringen mogelijk.

Fig. 11 Rapportage grote IT-projecten

Fig. 12 Rapportage IT-kosten

Goed31%

Ja

Redelijk

Nee 41%

Onvoldoende 18%

Er is hier dus nog ruimte voor verbe tering. Een aantal commissarissen geeft aan dat het niet alleen belangrijk is om een goede voortgangsrapportage te hebben, maar dat het ook belangrijk is om buiten de vergadering periodiek met de projectmanager van een groot IT-project te overleggen om meer inzicht te krijgen in dat project.

59%

62% 69%

05 21%

18%


Goed31%

Ja

Redelijk

Nee 59%

41%

Onvoldoende 62%

69%


Ja Nee

Ja Nee

26 | Toezicht op IT

Aanbevelingen Fig. 14 Overleg met RvB en CIO

Fig. 13 Dashboard met relevante IT-parameters

18% 24%

Nee

Geen30% 32%

Ja, beperkt inzicht Ja, goed inzicht 63%

61%

21%

18%

62% 18%

Geen

Ja, beperkt inzicht

32%

Ja,49% goed inzicht 21%

Volgens de geïnterviewden zouden 20% in goede informatie de IT-kosten minimaal moeten worden uitgesplitst in: • operationele kosten (gesplitst in 18%en externe kosten); 62% interne • projectkosten voor de verbetering van de kwaliteit van bestaande systemen en infrastructuur; • projectkosten innovatie. Daarnaast zou het goed zijn om deze kosten te benchmarken in een ‘peer group’. Tot slot blijkt uit het onderzoek dat ongeveer een kwart van de ondervraag den periodiek een dashboard krijgt dat goed inzicht geeft in de relevante IT-parameters; 13% heeft wel een dashboard, maar vindt dat dit op IT-gebied verbeterd kan worden en bijna twee derde geeft aan dat er geen dashboard is met IT-parameters. Aan de commissarissen is gevraagd in hoeverre zij buiten de vergadering overleg hebben met het RvB-lid dat IT in zijn portefeuille heeft en met de CIO. Ongeveer een derde van de groep geeft aan buiten de RvC-vergadering niet met de RvB of de CIO te overleggen en zich

Door RvB en CIO samen

39% IT risks analyse

30%

Jaarrekening

Door RvB en CIO samen

39%

RvB

Uitgebreid

RvB en CIO

IT risks analyse

in het algemeen te beperken tot de informatie die wordt aangereikt voor 52% de RvC-vergadering. 20% bespreekt de verschillende IT-onderwerpen met de RvB.

2. Naast de onder 1. genoemde activitei ten ook aanvullende rapportage over specifiek gevraagde gebieden zoals grote projecten en kwaliteit van IT-systemen.

Ongeveer de helft van de groep geeft aan dat ze ‘actief’ informatie halen in de organisatie, door IT met de RvB te overleggen en met de CIO (in sommige gevallen ook met IT-audit of met de projectleider van een groot project). De reden hiervoor is dat zij het belangrijk vinden om het verhaal achter de stukken/ presentaties te kennen om een goede inschatting te kunnen maken van de kansen en de risico’s. Wel is het hierbij van belang om transparant te zijn naar de RvB en te melden met wie overlegd wordt.

3. Volledige rapportage van IT-risico’s, zoals kwaliteit van de IT-systemen, security, IT-projecten, kwaliteit van de IT-organisatie en de mate waarin IT in staat is de strategie te onder steunen. Een grote meerderheid is van mening dat de rol van de accountant en de IT-auditor verder moet gaan dan de werkzaamheden en rapportage die wettelijk verplicht zijn bij de jaarrekeningcontrole.

Ook is tijdens het onderzoek gevraagd naar de gewenste rapportage van de accountant en de IT- auditor met betrekking tot IT. Hierbij is onderscheid gemaakt naar een paar niveaus:

Ongeveer de helft geeft aan dat zij graag additionele informatie willen hebben van de IT-auditor over specifieke IT-aspecten, zoals een beoordeling van de grote IT-projecten en meer diepgaande beoordeling van de security.

1. Rapportage in lijn met de wettelijke verplichting bij de jaarrekeningcontrole en gericht op betrouwbaarheid van informatie (algemene en applicatie specifieke IT-controls).

30% van de ondervraagden wil graag dat de IT-auditor jaarlijks een brede risicoanalyse uitvoert op alle aspecte inclusief kwaliteit en toekomstbesten digheid van de IT-systemen, security,


nader te bespreken

Door RvB lid

52%

20%

Nee

AANBEVELINGEN

Jaarrekening Uitgebreid

RvB RvB en CIO

49%

13%

Fig. 16 Toelichting IT bij RvC-vergadering

Fig. 15 Rol accountant en IT-auditor bij IT

Toezicht op IT | 27

61%

Door RvB lid

grote IT-projecten, kwaliteit van de IT-organisatie, IT-belemmeringen om de strategie te realiseren, etc. Bij het opstellen van deze risicoanalyse werkt de (externe) IT-auditor uiteraard samen met de afdeling Internal Audit. Met name de onafhankelijkheid van deze rapportage door de (externe) IT-auditor wordt door de commissaris sen als belangrijk gezien. In bijna 40% van de vergaderingen van de RvC wordt een IT-onderwerp toegelicht door het RvB-lid dat IT in zijn portefeuille heeft, in ruim 60% wordt de CIO uitgenodigd in de vergadering van de RvC om samen met het desbetreffende RvB-lid toelichting te geven en vragen te beantwoorden. Deze groep vindt het waardevol om de CIO uit te nodigen voor de bespreking in de vergadering van de RvC. Hierdoor krijgt de RvC de informatie uit de eerste hand, ontstaat een goed beeld van de kwaliteiten van de CIO en wordt de onderlinge relatie tussen de CIO en het desbetreffende RvB-lid duidelijker.

Samenvattend hebben de commissarissen en de leden van de RvB de volgende aanbevelingen voor een zo goed mogelijke informatievoorziening aan de commissaris: • Verlang dat de stukken ter voorbereiding van een IT-onderwerp in de vergadering van de RvC ruimschoots voor de vergadering beschikbaar zijn en voldoende diepgang en kwaliteit hebben om op basis van deze stukken tot een goede beoordeling te komen. • Vraag een goede rapportage over de voortgang van grote IT-projecten/ -investeringen, een goede rapportage over IT-kosten (gesplitst in categorieën zoals ‘change’ en ‘run’), een goede incidentenrapportage en een dashboard met de relevante IT KPI’s. • Overleg met regelmaat over IT-onderwerpen met de verantwoordelijke in de RvB buiten de vergadering. • Stel voor de vergadering ‘toelichtende’ vragen aan de desbetreffende verantwoordelijke in de organisatie (praat met de CIO, de projectmanager van een groot project, de risk manager, eventueel met een externe leverancier, etc.). • Vraag aan de externe accountant om een jaarlijkse IT-beoordeling te geven (opgesteld door IT- auditors) op alle aspecten van IT. • Vraag de verantwoordelijke manager (naast de RvB-verantwoordelijke) de inhoudelijke aspecten van IT tijdens de vergadering toe te lichten.


28 | Toezicht op IT

Toezicht op IT | 29

DE VERANDERENDE ROL VAN DE COMMISSARIS Hoewel dit niet direct onderwerp van onderzoek was, komt in zeer veel interviews naar voren dat de rol van de commissaris in de afgelopen jaren significant veranderd is. Dit komt niet door de ‘formele’ regelgeving, want deze is onveranderd gebleven, maar door toenemende verwachtingen van de maatschappij en door de grote ‘change’-agenda (fusies, overnames, splitsingen, beursgang, grote innovaties, toenemende regelgeving, etc.). In de kern is duidelijk dat ook commissarissen de aansprakelijkheid voor de kwaliteit van hun toezicht directer voelen en zich daarover explicieter moeten kunnen verant woorden.

De volgende trends:

De huidige commissaris is veel actiever in het verzamelen van informatie. Waar vroeger de stukken voor de vergadering van de RvC voldoende waren, is er nu een trend dat de commissaris zelf (in overleg met de RvB) zijn oor te luisteren legt op andere plaatsen in de organisatie, werkbezoeken organiseert en soms ook met externe leveranciers spreekt.

Ook is de huidige commissaris veel kritischer naar de RvB, vraagt meer diepgaande informatie, bespreekt de belangrijke onder werpen ook tussen de vergade ringen door met de RvB en vraagt desgewenst om extern advies.


06

De samenstelling van de RvC wordt meer divers. Waar traditioneel met name de sectorkennis en de financiële kennis in de Raad verankerd moesten zijn, komen er meer ‘thema-commissarissen’, die naast een brede bestuurlijke ervaring ook specialistische ervaring hebben, bijvoorbeeld met IT. 6% 22%

De tijdsbesteding van de 28% saris is sterk toegenomen. commis Voor de geïnterviewde groep lag de gemiddelde tijdsbesteding op 1,25 dag per week voor één commissariaat. 33% 11%


Uit het Nationaal Commissarissen Onderzoek 2014 blijkt dat de gemiddelde tijdsbesteding van een commissaris 0,5 dag per week bedraagt. Bij de commis sarissen bij de grote organisaties in FS uit dit onderzoek ligt deze tijdsbesteding aanzienlijk hoger, namelijk 1,25 dag per week. 22% besteedt circa een halve dag per week aan zijn commissariaat, 33% besteedt 1 dag per week en 45% 1,5 dag per week of meer. Hierbij moet aangetekend worden dat de tijdsbe steding voor een commissaris bij een grote bank gemiddeld hoger ligt dan bij een verzekeringsmaatschappij.

Fig. 17 Tijdsbesteding commissaris 6% 22%

0,5 d

1 d/w

28%

1,5 d

2 d/w 11%

0,5 d/w 1 d/w 1,5 d/w 2 d/w >2 d/w

33%

>2 d

30 | Toezicht op IT

Toezicht op IT | 31

ONZE AANBEVELINGEN Uit het onderzoek kan worden afgeleid dat er een duidelijk discrepantie is tussen enerzijds het belang van IT dat als zeer hoog wordt beoordeeld en anderzijds de gemiddelde IT-kennis van de commissaris binnen FS, de wijze waarop IT wordt besproken tijdens de RvC-vergadering en de informatie op IT-gebied waarover de commissaris beschikt. Op basis van de uitkomsten van het onderzoek, inzichten opgedaan bij de Universiteit van Tilburg op het gebied van IT-audit en informatiemanagement, literatuur onderzoek en expertise van KPMG zijn de aanbevelingen verder uitgewerkt.

Aanbeveling 1

Zorg voor een goede basiskennis op het gebied van IT binnen de RvC Het is aan te bevelen dat alle leden (of minimaal de overgrote meerderheid van de leden) van de RvC een goede basiskennis hebben (heeft) op het gebied van IT. Een goede basiskennis houdt in dat de commissaris de hoofdlijnen van de voor de RvC belangrijkste IT-onderwerpen (zie onder aanbeveling 2) conceptueel goed begrijpt, goed inzicht heeft in de risico’s bij het desbetreffende onderwerp, weet wat de meest gangbare aanpak is om deze risico’s te mitigeren, de bij dit onderwerp passende vragen kan stellen en de antwoorden hierop op hoofdlijnen kan beoordelen.

Als mogelijkheden om deze kennis te verwerven worden genoemd:

volgen van een specifieke opleiding;

gesprekken met de CIO of andere IT-professionals;

volgen van seminars;

gesprekken met collega-commissarissen met ervaring op dit gebied;

voorlichting door externe leveranciers;

informatie via internet/boeken/artikelen.

Iedere commissaris zou, naast bovengenoemde basiskennis, periodiek voor bijscholing op IT-gebied moeten zorgen. Ten slotte dient tijdens de zelfevaluatie van de RvC het competentieprofiel op IT-kennis en ervaring goed getoetst te worden.



32 | Toezicht op IT

Toezicht op IT | 33

Aanbeveling 3

Aanbeveling 2

Benoem minstens één lid in de RvC dat diepgaande IT-ervaring heeft (lived the problem) Gezien het belang van IT voor FS is het aan te bevelen dat er in iedere RvC minstens één lid is dat diepgaande ervaring heeft met IT. Onder diepgaande ervaring wordt verstaan dat de desbetreffende commissaris ‘met zijn voeten in de modder’ moet hebben gestaan en daardoor weet wat de belangrijkste valkuilen zijn. Hierbij moet de commissaris ervaring hebben met een breed scala aan IT-onderwerpen, te weten:

impact van technologische ontwikkelingen (mobile, social media, digitalisering, etc.) op de strategie;

kwaliteit van IT-systemen (legacy, infrastructuur, standaardsoftware, etc.);

beschikbaarheid van IT-systemen;

datakwaliteit & data analytics;

projectmanagement van grote IT-projecten;

security, cybercrime, privacy;

(out)sourcing, cloud;

kwaliteit van de IT-organisatie;

IT-kosten & benchmark.

Het profiel van dit RvB-lid kent twee belangrijke aspecten: de commissaris moet enerzijds een ervaren bestuurder zijn en anderzijds moet hij de hierboven beschreven ervaring op IT-gebied hebben. Door deze ervaring is deze commissaris in staat om een brug te slaan tussen de business en IT. Bij voorkeur heeft deze commissaris sectorexpertise. Het is goed om te beseffen dat aanbeveling 1 (goede basiskennis) en aanbeveling 2 (één lid diepgaande kennis) sterk met elkaar samenhangen. Als uitsluitend aanbeveling 2 wordt geïmplementeerd, bestaat het risico dat alle IT-zaken aan dit ene lid worden overgelaten, wat gezien het belang van IT ongewenst is. IT is immers een integrale verantwoordelijkheid van de RvC. Als uitsluitend aanbe veling 1 wordt geïmplementeerd, mist de discussie tussen de RvB en de RvC de diepgang die zo nodig is voor dit belangrijke onderwerp.

Fig. 18 Combinatie van basiskennis en diepgaande expertise

Gezien het grote aantal IT-onderwerpen is het ook goed denkbaar dat deze ervaring verdeeld is over twee leden van de RvC.

Goede basiskennis op het gebeid van IT

Deze ‘ICT-commissaris’ is de natuurlijke sparringpartner voor de IT-verantwoordelijke in de RvB, is ook lid van het Audit & Risk Committee voor IT-aspecten en heeft ook de rol om zijn oor te luisteren te leggen in de organisatie als het gaat om zaken op IT-gebied (overleg met de CIO, projectmanager van grote projecten, etc.).


Diepgaande IT-ervaring

Zorg voor goede informatie op IT-gebied Voor het goed functioneren van de commissarissen tijdens de vergadering van de RvC is het van groot belang dat de commissarissen beschikken over adequate informatie. Er dient een goede rapportage te zijn over de kosten van IT. Deze moet minimaal gesplitst zijn in de kosten voor de IT-operatie (‘run’-kosten), bij voorkeur gesplitst in verschillende categorieën, en de kosten voor innovatie (‘change’-kosten), ook deze bij voorkeur gesplitst in verschillende categorieën. De operationele kosten moeten zo laag mogelijk zijn en dienen zo mogelijk gebenchmarkt te worden met de vergelijkbare kosten van de ‘peer group’.De ‘change’-kosten zijn die IT-kosten die uitgegeven moeten worden om ook in de toekomst een goede of desgewenst sterkere concurrentiepositie in de markt te verwerven. Waar bij de operationele kosten de vraag gesteld kan worden of de kosten wel competitief zijn, is de vraag bij de ‘change’-kosten of de organisatie wel genoeg investeert om de strategie te realiseren. Vaak genoeg sneuvelen één of meer strategische projecten in een kostenreductieprogramma. Later blijkt dan dat de organisatie achterloopt in innovatie, waardoor haar marktpositie is verslechterd. Als resultante van de strategische discussie is een IT-projectenplan opgesteld. Het is aan te bevelen de grote investeringen/projecten uit dit projectenplan separaat door de RvC te laten goedkeuren. Dit geeft daarna een basis om deze strategische projecten per kwartaal te volgen. Hiervoor dient er een adequate voortgangsrapportage van deze projecten te zijn die goed inzicht geeft in de voortgang en eventuele problemen. Een ‘stoplichtrapportage’ met trends ten opzichte van de laatste rapportage kan hierbij behulpzaam zijn. Als achtergrondinformatie is het ook goed om inzicht te hebben in het trackrecord van de organisatie op het gebied van grote projecten.

Worden deze meestal binnen planning en budget afgerond? Lopen ze meestal uit? Het is aan te bevelen om in de kwartaalrapportage een managementinformatieoverzicht te vragen van alle relevante parameters op IT-gebied en de ontwikkelingen in de IT-risico’s. Mits goed opgebouwd, hoeft deze informatie niet omvangrijk te zijn. Naast al deze informatie op papier (of elektronisch) is het verstandig om in de organisatie te zoeken naar de informatie achter de papieren/elektronische dossiers. Bespreek de informatie met de verantwoordelijke in de RvB, met de CIO, met de projectmanager van een groot/ strategisch project, etc. Deze gesprekken leiden meestal tot veel beter inzicht in wat de werkelijke problemen zijn. Daarnaast geeft het een goed beeld van de kwaliteiten van de verschillende sleutelspelers in de IT-organisatie. In sommige gevallen kan het ook een goed idee zijn om met externe leveranciers te spreken; zij hebben vaak goed inzicht in de organisatie en zijn bereid hun informatie minder gefilterd te communiceren. Verder is het aan te bevelen gebruik te maken van de expertise van de IT-auditor en deze regelmatig te betrekken in de discussies, door bijvoorbeeld de IT-auditor uit te nodigen voor de besprekingen over IT in het Audit & Risk Committee. Het is mogelijk om de IT-auditor te vragen een ‘second opinion’ te geven over onderwerpen als security, kwaliteit van de IT-systemen, datakwaliteit, internal controls, voortgang van de IT-projecten, kosten van IT in vergelijking tot de concurrentie, strategische investeringen in IT, etc. En als al deze informatie onvoldoende is om een goed overwogen besluit te nemen, vraag dan extern advies, bij voorkeur in goed overleg met de RvB.


34 | Toezicht op IT

Toezicht op IT | 35

Aanbeveling 4

Zet IT gestructureerd op de agenda van de RvC en de subcommittees Omdat IT impliciet iedere keer aan de orde komt tijdens een vergadering van de RvC – bijvoorbeeld door de behandeling van een strategisch project waarbij IT een belangrijke rol speelt of vanwege een incident met de beschikbaarheid van de IT-systemen – is er een gevaar dat het onderwerp IT niet specifiek op de agenda gezet wordt.

security, cybercrime, privacy;

(out)sourcing, cloud;

kwaliteit van de IT-organisatie;

IT-kosten & benchmark.

In FS, waar IT een strategische rol speelt, is het aan te bevelen om minstens één keer per jaar IT als apart onderwerp op de agenda te zetten. Gezien de omvang van het onderwerp zal dit waarschijnlijk een gehele vergadering beslaan.

Uit deze vergadering zullen ongetwijfeld een aantal actiepunten volgen, die dan weer in de kwartaalrappor tages kunnen terugkomen. Daarnaast is het eveneens aan te bevelen om in een meer gedetailleerde vorm IT op de agenda te zetten van iedere vergadering van het Audit & Risk Committee, waarbij vanuit Risk Management wordt gekeken naar de voortgang van het jaarlijkse IT-projectenplan, de voortgang op de actiepunten volgend uit de jaarlijkse bespreking over IT en de eventuele incidenten met betrekking tot beschikbaarheid, privacy, security, etc.

De volgende onderwerpen moeten in voldoende diepgang besproken worden:

impact van technologische ontwikkelingen (mobile, social media, digitalisering, etc.) op de strategie;

kwaliteit van IT-systemen (legacy, infrastructuur, standaardsoftware, etc.);

beschikbaarheid van IT-systemen;

datakwaliteit & data analytics;

projectmanagement van grote IT-projecten;

Aanbeveling 5 Geef veel aandacht aan de mogelijkheden van IT bij het ontwikkelen van de strategie Traditioneel wordt een nieuwe strategie vastgesteld en wordt daarna een plan gemaakt waarin is opgenomen wat de consequenties zijn van de strategie voor onder meer IT. In de huidige, snel veranderende wereld waarbij technologie de drijvende kracht is achter innovaties werkt dit niet meer. Door snelle technologische ontwikkelingen kunnen er ‘ineens’ andere spelers in het concurrentieveld bijkomen en kan hierdoor de continuïteit van het bestaande business model onder druk komen te staan.

om concurrentievoordeel te realiseren. Dit kan door de start-ups in de sector goed te volgen (deze zijn vaak IT-gedreven), een goede analyse te maken van de ontwik kelingen bij de concurrentie, een aantal jonge mensen te laten brainstormen over hoe de organisatie er over vijf jaar uit moet zien, disruptieve technologieën in kaart te brengen en te discussiëren over de impact daarvan, topmensen uit de innovatieve hoek mee te laten denken over de toekomstige organisatie, etc.

Bij het ontwikkelen van de strategie van de onderneming is het van groot belang dat duidelijk is welke innovaties en ontwikkelingen er zijn op IT-gebied, wat er op dit gebied bij de concurrentie gebeurt en welke mogelijkheden IT biedt

De gedefinieerde langetermijnstrategie dient vertaald te worden in een jaarplan, waaruit weer een IT-jaarplan wordt afgeleid (het IT-projectenplan) dat meetbare mijlpalen en resultaten kent en gemonitord kan worden.

Als er een apart Audit Committee en een apart Risk Committee zijn, dienen er goede afspraken gemaakt te worden over welke onderwerpen in welke commissie besproken worden. Vervolgens dient per kwartaal door het Audit & Risk Committee een rapportage te worden opgesteld die wordt geagendeerd in de RvB-vergadering.



36 | Toezicht op IT

Toezicht op IT | 37

OVER DE AUTEURS Aanbeveling 6

Bewaak de IT-competentie in de organisatie Ook op IT-gebied is het van essentieel belang om mensen met de juiste kwaliteiten op de juiste plek in de organisatie te hebben. Daarom is het voor de commissaris van groot belang om goed inzicht te hebben in de kwaliteit van de IT-competentie in de organisatie.Dit begint bij de competen ties op IT-gebied binnen de RvB. Uit het onderzoek blijkt dat in de afgelopen periode veel is gezocht naar invulling van de COO-positie met een goede IT-competentie in de RvB.

informatie en gedurende de presentaties en toelichting tijdens de vergadering van de RvC. Actieve betrokkenheid van de RvC bij de benoeming van een nieuwe CIO/IT-manager is aan te bevelen, ondanks dat dit formeel de taak is van de RvB. Hierbij dient de commissaris zich ook bewust te zijn van de veranderende rol van de CIO. Deze rol verschuift van het managen van de bestaande infrastructuur naar het managen van de innovaties binnen de organisatie.

Met de benoeming van een aantal nieuwe COO’s bij de grote organisaties in FS is een aanzienlijke verbetering van de IT-competentie binnen de RvB gerealiseerd. Dat maakt het ook gewenst om op RvC-niveau een goede counterpart voor deze COO te hebben, zie hiervoor aanbeveling 2. Ook de kwaliteit van de CIO/IT-manager is van groot belang. De commissaris kan een goed beeld krijgen van zijn kwali teiten in de gesprekken ter aanvulling van de schriftelijke

Als laatste speelt de kwaliteit van de IT-organisatie een belangrijke rol. Het is aan te bevelen de kwaliteit van de IT-organisatie mee te nemen als separaat onderwerp tijdens de jaarlijkse brede evaluatie van IT. Daarbij dient ook het opvolgingspotentieel op IT-gebied, dat wil zeggen de vraag of er voldoende kwaliteit in de organisatie aanwezig is om eventuele vacatures in te vullen, meegenomen te worden.

Rob Fijneman Rob Fijneman (1964) trad in 1986 in dienst van KPMG. Zijn basisopleiding is informatiemanagement aangevuld met postmasters in Accountancy en IT-auditing. Fijneman is partner sinds 1997 en heeft in de periode 1999 tot 2009 diverse managementrollen vervuld binnen IT Advisory en Risk Consulting. Hij is voornamelijk actief in de Corporate Clients-markt, zowel als lead partner als IT-sparringpartner. Hij is sinds 2014 Head of Advisory in de Raad van Bestuur van KPMG Nederland. Fijneman is sinds 2004 hoogleraar IT-auditing aan Tilburg University en Academic director aan Tias School of Business and Society.


Marten La Haye Marten La Haye (1954) is na tien jaar gewerkt te hebben bij Cap Gemini in 1991 in dienst getreden bij KPMG. Hij heeft diverse rollen vervuld op het gebied van IT-advisory, zoals IT-projectmanagement, implemen tatie van standaardsoftware zoals SAP, Oracle e.d., IT-strategie en IT-organisatie. Vanaf 1999 was hij eerst COO/CFO van KPMG Consulting. Vervolgens, na de verkoop van KPMG Consulting aan Atos Origin, was hij in de periode 2002-2005 CEO van Atos Consulting. In 2006 keerde hij terug naar KPMG in de functie van Head of Consulting Nederland. Vanaf 2008 tot 2014 was hij COO van KPMG Consulting Europe. In deze functie was hij onder meer verantwoordelijk voor grote internationale projecten. Sinds 2014 is hij commissaris en adviseur.


Stefan Jacobs Stefan Jacobs is als afstudeerder van de Technische Universiteit Eindhoven bij dit onderzoek betrokken. In februari 2015 is hij afgestudeerd op dit onderzoek, waarna hij als junior adviseur is gestart bij KPMG IT Advisory.

38 | Toezicht op IT

Toezicht op IT | 39

LITERATUUR

Bart, C. and O. Turel (2010). “IT and the Board of Directors: An Empirical Investigation into the “Governance Questions” Canadian Board Members Ask about IT.” Journal of Information Systems 24(2): 147-172.

Grembergen, W. V. and S. D. Haes (2009). Enterprise Governance of Information Technology: Achieving Strategic Alignment and Value. New York, Springer Science.

Bassellier, G., I. Benbasat and B. H. Reich (2003). “The Influence of Business Managers’ IT Competence on Championing IT.” Information Systems Research 14(4): 317-336.

Jewer, J. and K. N. McKay (2012). “Antecedents and Consequences of Board IT Governance: Institutional and Strategic Choice Perspectives.” Journal of the Association for Information Systems.

Bassellier, G., B. H. Reich and I. Benbasat (2001). “Information technology competence of business managers: A definition and research model.” Journal of Management Information Systems 17(4): 159-182.

Nolan, R. and F. W. McFarlan (2005). “Information Technology and the board of directors.” Harvard Business Review.

CICA (2004). 20 questions directors should ask about IT. Toronto, OT, CICA: 1-16. De Haes, S. and W. Van Grembergen (2009). “An Exploratory Study into IT Governance Implementations and its Impact on Business/IT Alignment.” Information Systems Management 26(2): 123-137.

Turel, O. and C. Bart (2014). “Board-level IT governance and organizational performance.” European Journal of Information Systems 23(2): 223-239. Wilmott, P. (2013). The do-or-die Questions board should ask about technology. London, McKinsey. Prof. dr. Mijntje Lückerath-Rovers en Prof. dr. Auke de Bos RA (2014). Nationaal Commissarissen Onderzoek, TIAS School for Business and Society.



Contact

Edwin Herrie Voorzitter marktgroep Financial Services Partner KPMG Advisory Tel. +31 (0)20 656 7696 [email protected] Peti de Wit Voorzitter Audit Financial Services Partner KPMG Accountants Tel. +31 (20) 656 7382 [email protected] Rob Fijneman Lid van de Raad van Bestuur Partner KPMG Advisory Tel. +31 (0)20 656 7450 [email protected]

© 2015 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG, het logo en ‘cutting through complexity’ zijn geregistreerde merken van KPMG International. De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie.

TOEZICHT OP IT. De veranderende wereld van de commissaris

Recommend Documents