Managementsamenvatting

Managementsamenvatting Beursvennootschappen worden in verschillende landen geconfronteerd met ‘codes’ voor corporate governance. Hierbij kan gedacht worden aan de Nederlandse Code voor Corporate Governance van de commissie Tabaksblat en de Amerikaanse Sarbanes-Oxley Act 2002. Hierin worden onder meer eisen gesteld aan de beheersing van de bedrijfsprocessen zodat de betrouwbaarheid van verantwoordingen gewaarborgd wordt. De ondernemingsleiding moet aantoonbaar maken dat zij de bedrijfsprocessen beheerst. In toenemende mate zien we dat deze discussie over corporate goverance wordt doorgetrokken naar niet-beursgenoteerde vennootschappen en non-profit-organisaties. De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door: • de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; • de beheersing van IT-veranderingstrajecten; • de beheersing van de IT-infrastructuur, waarop de systemen draaien; • de beheersing van IT-risico’s. Een heldere visie op de inzet van informatietechnologie binnen een organisatie, een goede aansturing en beheersing van de IT-inspanningen, het afleggen van verantwoording hierover en het uitoefenen van toezicht hierop vormen de basis van IT-Governance. In de praktijk geven organisaties op uiteenlopende wijze invulling aan IT-Governance. IT-Governance heeft vergaande impact op de rol, de werkzaamheden en de opleiding van IT-auditors. De IT-auditor kan voor organisaties een bijdrage leveren aan de beheersing van de informatievoorziening. Dit kan vanuit een adviserende, controlerende, faciliterende en/of certificerende rol. Activiteiten waaraan gedacht kan worden zijn het ondersteunen bij het inrichten van een IT-Governancestructuur en het onderzoeken van de beheersing van de informatievoorziening om (externe) verantwoording af te kunnen leggen. Een en ander is een belangrijke voorwaarde voor het succes van een onderneming.

NOREA | IT-Governance Een verkenning

1

2

Inhoudsopgave 1

Inleiding

2 2.1 2.2 2.3 2.4

Begripsvorming Corporate Governance IT-Governance IT-Governance modellen Conclusie en samenvatting

7 7 9 9 12

3 3.1 3.2 3.3 3.4 3.5 3.6 3.6.1 3.6.2 3.7 3.8 3.9

Casus KPN Inleiding Positionering van ICT Het IT-Governance framework van KPN Verantwoordelijkheden en scope IT-management IT-axioma’s en IT-grondregels Doelarchitectuur KPN Domeinen Service Backbone IT-Sourcing Strategy Demand en Supply Rol IT-audit

15 15 15 16 17 18 19 20 20 20 21 22

4 4.1 4.2 4.2.1 4.2.2 4.3 4.4 4.5

Casus Fortis Inleiding Verschijningsvormen IT-Governance IT-Governance als sturingsinstrument IT-Governance als leidraad voor een Control and Risk Self Assessment Evaluatie verschijningsvormen IT-Governance Rol IT-audit Deelconclusie en samenvatting

23 23 23 23 25 26 27 27


5

3

5 5.1 5.2 5.3 5.4 5.5 5.6 5.7

Casus Akzo Nobel Inleiding Organisatie van de Informatievoorziening Informatiebeveiliging binnen Akzo Nobel IT-audit functie binnen Akzo Nobel Impact Sarbanes-Oxley Act 2002 Impact op uitbesteding van IT-diensten Deelconclusie en samenvatting

29 29 29 31 32 33 35 36

6 6.1 6.1.1 6.1.2 6.1.3 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.3

De rol van de IT-auditor IT-Governance nieuw? Nee! De beheersing van de informatievoorziening Afleggen van externe verantwoording Uitoefenen van toezicht op de beheersing van de informatievoorziening IT-Governance nieuw? Ja! Audit van IT-Governance raamwerk Context Compliance met interne en externe wet- en regelgeving Adviserende rol Uitdagingen op het gebied van IT-Governance

37 37 37 37 38 38 38 39 39 40 40

7

Literatuuroverzicht

43

4

1

Inleiding NOREA, de beroepsorganisatie van IT-auditors, heeft een kennisgroep IT-Governance samengesteld. De doelstelling is om het begrip IT-Governance onder de aandacht te brengen en toe te lichten binnen de beroepsgroep van IT-auditors. Daarnaast willen we voor het maatschappelijk verkeer de rol die de ITauditor kan vervullen ten aanzien van IT-Governance benadrukken. In deze verkenning wordt door de kennisgroep een aantal praktijksituaties toegelicht en worden de betekenis en consequenties van het IT-Governance begrip voor het IT-auditvak verkend. In hoofdstuk 2 “Begripsvorming” worden de begrippen Corporate Governance en IT-Governance toegelicht. Er is gekozen om door samenvattingen van verschillende studies naar en modellen van Corporate Governance en IT-Governance de IT-auditor een handreiking te geven voor de verschillende begrippen. De NOREA heeft bewust besloten geen nieuw model of haar eigen visie op het begrip IT-Governance neer te leggen maar een synthese uit te voeren van de reeds bestaande modellen en begrippen. De hoofdstukken drie, vier en vijf bevatten aan de hand van een drietal praktijkcases voorbeelden van een mogelijke toepassing en implementatie van IT-Governance en de rol van de IT-auditor binnen het ITGovernancemodel. Vervolgens wordt in het laatste hoofdstuk nader ingegaan op de betekenis van ITGovernance voor het werk van de IT-auditor. Afgesloten wordt in datzelfde hoofdstuk met de belangrijkste uitdagingen ten aanzien van IT-Governance voor de IT-auditor.

Juni 2004, De Kennisgroep IT-Governance Drs. H.T. van Bers RE A. de Blok RE RA CISA MIM Ir. J.A.M. Donkers RE P. Harmzen RE RA Ir. J.W. de Heer RE P.A.J. van der Knaap RE RA Ir. K.M. Lof RE


5

6

2

Begripsvorming

2.1

Corporate Governance De essentie van Corporate Governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt. Hierbij gaat het om de wijze waarop de ondernemingsleiding bij de besturing van de organisatie rekening houdt met andere dan haar eigen belangen, zoals belangen van aandeelhouders, werknemers en de samenleving als geheel. Kort gezegd gaat het erom wat goed bestuur inhoudt, hoe daarop adequaat kan worden toegezien en hoe daarover verantwoording kan worden afgelegd aan de belanghebbenden (stakeholders). De organisatieleiding moet in de meeste gevallen richting de belanghebbenden aantoonbaar kunnen maken dat zij de bedrijfsprocessen beheerst. Recente boekhoudschandalen zoals Enron, Ahold en Parmalat hebben Corporate Governance opnieuw onder de aandacht gebracht. Deze schandalen hebben geleid tot een herleving van de discussie over de taken en verantwoordelijkheden van de verschillende rollen bij het toezicht op beursgenoteerde ondernemingen en tot de ontwikkeling van nieuwe regelgeving op dit gebied. De commissie Tabaksblat heeft recentelijk een code voor Corporate Governance gepubliceerd. In grote lijnen zullen de aanbevelingen in wetgeving worden verankerd. In 2002 is Sarbanes-Oxley wetgeving ontwikkeld die van toepassing is op alle ondernemingen die aan de Amerikaanse beurzen genoteerd zijn. Corporate Governance is al sinds het begin van de jaren ‘90 in de belangstelling gekomen. Faillissementen van enkele grote ondernemingen hebben in de Verenigde Staten en Engeland geleid tot een discussie over de wijze waarop besluitvorming in de top van een onderneming plaats dient te vinden. Sindsdien zijn er diverse rapportages en studies geweest naar Corporate Governance. Deze studies zijn veelal opgestart door de individuele landen als een reactie op de faillissementen van grote ondernemingen in die landen. De belangrijkste studies tot voor kort waren: 1 The Financial Aspects of Corporate Governance, UK 1992 (Cadbury-rapport); 2 Internal Control-Integrated Framework, US 1992/1994 (COSO-rapport); 3 Guidance on Control, Canada 1995 (CoCo-rapport); 4 Corporate Governance in Nederland: de veertig aanbevelingen, Nederland 25 juni 1997 (Commissie Corporate Governance - Commissie Peters); 5 Committee on Corporate Governance, UK januari 1998; 6 KonTraG-wet 1 mei 1998 Duitsland;


7

7 Guidance for Directors on the Combined Code, UK 1999 (Turnbull-rapport); 8 Combined Code on Corporate Governance, London Stock Exchange, 1998 (O/S). De verschillende studies hebben elk hun eigen aandachtspunten. De rapporten COSO, CoCo en Turnbull hebben betrekking op interne beheersing. De Commissie Corporate Governance en KonTraG zijn meer gericht op het afleggen van externe verantwoording. De rapporten Cadbury en Committee on Corporate Governance hebben betrekking op zowel interne beheersing als het afleggen van externe verantwoording. Hoewel het aandachtsgebied van deze studies de beursgenoteerde vennootschappen zijn, krijgt het begrip Corporate Governance zijn doorwerking richting niet-beursgenoteerde vennootschappen en non-profitorganisaties. Een duidelijk onderscheid kan worden gemaakt naar de “principle based”-benadering op basis van een aantal algemene randvoorwaarden en best practices en de “rule based”-benadering op basis van regulering, wetgeving en harde eisen. Bij de interne beheersing en het afleggen van externe verantwoording moeten organisaties naast de algemene wet- en regelgeving ook rekening houden met branchespecifieke voorschriften, zoals de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Basel II richtlijnen. In beide gevallen gaat het om voorschriften voor de bancaire sector, waar de dienstverlening voor een groot gedeelte op maatschappelijk vertrouwen gebaseerd is. De Basel II richtlijnen zijn opgesteld door het Basel-comité. Hierin zijn de monetaire toezichthouders van de tien belangrijkste industriële landen vertegenwoordigd. De richtlijnen zijn daardoor een de facto standaard voor alle toezichthouders van internationaal opererende financiële instellingen. Een voorbeeld van andere branchespecifieke voorschriften zijn de FDA voorschriften voor de farmaceutische industrie. Standaarden krijgen door globalisering meer een internationaal karakter. Verder worden aan de kwaliteit van de interne beheersing en de verantwoording daarover steeds meer positieve dan wel negatieve sancties verbonden. Een positieve sanctie is bijvoorbeeld een vermindering van solvabiliteitseisen bij banken en in de toekomst ook bij verzekeraars wanneer risico’s aantoonbaar worden beheerst. Een negatieve sanctie is onder andere een importverbod van de Verenigde Staten voor producten die niet aan de FDA voorschriften voldoen.

8

2.2

IT-Governance Informatievoorziening ondersteunt een organisatie bij het realiseren van haar doelstellingen. De toepassing van informatietechnologie stelt een organisatie in staat producten efficiënter en effectiever te produceren, innovatiever te zijn en processen beter te beheersen. De IT-functie kan zich verheugen in een toenemende belangstelling van het management van een organisatie. De verwachtingen van een organisatie ten aanzien van de kwaliteit van informatievoorziening, functionaliteit, gebruikersgemak en snelheid van oplevering van nieuwe systemen zijn sterk toegenomen. Daarnaast vragen de snelheid van veranderingen op het gebied van informatie- en communicatietechnologie en de snelheid van veranderingen binnen organisaties om een adequate beheersing van de IT-risico’s. De grote(re) afhankelijkheid van de informatiesystemen voor kritische bedrijfsprocessen vraagt om IT-beheerprocessen die nauwgezet zijn afgestemd op de organisatie. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is verder een kritische succesfactor voor ondersteuning en realisatie van de interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Eisen moeten worden gesteld aan de beheersing van de IT-processen en het afleggen van verantwoording door het voor IT verantwoordelijke management. IT-Governance gaat over het besturen, beheersen, uitvoeren, verantwoording afleggen over en het toezicht op de informatie-voorziening binnen een organisatie. In een reactie op Tabaksblat dringt de NOREA aan op onder meer een ‘IT-commissaris’, die toeziet dat IT-risico’s adequaat worden beheerst. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Uiteindelijk zullen veel organisaties er niet aan ontkomen om, bijvoorbeeld via hun jaarverslagen, verantwoording af te leggen over IT-Governance aan alle belanghebbenden.

2.3

IT-Governance modellen In de afgelopen jaren hebben verschillende partijen in artikelen en studies invulling willen geven aan het begrip IT-Governance. Uit bestudering van deze documenten blijkt dat het begrip IT-Governance op verschillende manieren is uitgewerkt. De overeenkomst tussen de verschillende modellen is dat ITGovernance wordt gezien als het zodanig efficiënt en effectief organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de businesswensen en daarover rekenschap aflegt.


9

De volgende verschillen kunnen tussen de modellen geconstateerd worden: ■ Het COBIT model [1] van ISACA en het IT-Governance Institute beschrijft in belangrijke mate de ITprocessen en de Control Objectives van deze IT-processen. Het betreft hoofdzakelijk processen die binnen de IT-organisatie plaatsvinden; Het COBIT-framework biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen. In de derde versie van COBIT is het COBIT-model verder uitgewerkt tot een IT-Governance model. Het leveren van toegevoegde waarde voor de business wordt hoofdzakelijk bepaald door de aansluiting van IT op de business. Het beheersen van risico’s wordt gerealiseerd door het helder beleggen van taken en verantwoordelijkheden voor IT binnen de organisatie. Het adequaat beheersen van de middelen en het meten dat de verwachte resultaten gehaald worden, zijn ondersteunend aan het leveren van de toegevoegde waarde en het beheersen van de risico’s. (zie figuur 1). IT-Governance [4] wordt door ISACA en het IT-Governance Institute als volgt gedefinieerd: IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.

Figuur 1

10

■ Gartner [2] beschrijft in belangrijke mate de aandachtsgebieden waarover besluiten genomen dienen te worden, zoals de visie op en uitgangspunten voor het gebruik en toepassing van IT binnen de organisatie, de IT-infrastructuur, de IT-architectuur, business behoeften en IT-prioriteiten. Verder onderscheidt men de beslissingsnemers/besturingsmodellen variërend van centraal tot decentraal en de verschillende mechanismen als organisatievormen en hulpmiddelen om de besluitvorming voor de aandachtsgebieden gestalte te geven. In tegenstelling tot COBIT wordt niet gesproken over de uit te voeren processen. ■ Andere modellen, zoals van de verschillende accountantskantoren, bevatten elementen van zowel COBIT als Gartner. IT-Governance en IT-management worden duidelijk ten opzichte van elkaar gepositioneerd. Governance gaat over spelregels, vaststellen van het kader waarbinnen anderen opereren, beleid en aansturing, wat duidelijk aansluit bij het gedachtegoed van Gartner. IT-management is gericht op de uitvoering, besluitvorming en verantwoording van IT-activiteiten binnen de gestelde kaders. Hierbij worden de door COBIT onderscheiden IT-processen duidelijk geraakt. De toevoeging die deze modellen hebben op COBIT en Gartner is dat er gesproken wordt over organisatievormen van de IT-organisatie en over corporate standaarden. Om genoemde overeenkomsten en verschillen duidelijk te kunnen maken hebben we een illustratie (figuur 2) toegevoegd. IT-management heeft vooral betrekking op het omkaderde gedeelte. IT-management is gericht op de besluitvorming, uitvoering en verantwoording van IT-activiteiten binnen de IT-organisatie, waarbij we een onderscheid maken tussen ontwikkelactiviteiten en activiteiten in het kader van exploitatie en beheer. Procesmodellen als ITIL, Prince2 en CMM zijn beschikbaar om de organisatie van de ITactiviteiten en IT-processen te optimaliseren. IT-Governance heeft vooral betrekking op het niet omkaderde gedeelte, waar op basis van bedrijfs- en interne controledoelstellingen (setting objectives) de business in overleg met de IT-organisatie bepaalt welke IT-producten en -diensten door de IT-organisatie moeten worden geleverd en welke randvoorwaarden daarbij worden gehanteerd (strategic alignment). De IT-organisatie brengt producten en diensten voort en legt hierover verantwoording af (performance delivery). De business toetst of de geleverde producten en diensten voldoende bijdragen aan de bedrijfs- en interne controledoelstellingen en past indien nodig de eisen ten aanzien van de IT-organisatie aan. Over het geheel dient in toenemende mate externe verantwoording (external reporting) te worden afgelegd aan de stakeholders, terwijl IT-Governance ook in het toezicht (zowel door een externe toezichthouder als door de Raad van Commissarissen/Raad van Toezicht) aan de orde dient te komen.


11

Figuur 2

2.4

Conclusie en samenvatting De uitgangspunten van Corporate Governance, vertalend naar wat dit betekent voor IT-Governance in een organisatie komen we tot de volgende drie aandachtsgebieden: ■ de beheersing van de informatievoorziening binnen een organisatie. Het gaat hierbij om het besturen, beheersen en uitvoeren van de informatievoorziening. Het betreft: ■ besluitvorming en verantwoording intern omtrent IT; ■ corporate standaarden ten aanzien van IT; ■ verschijningsvormen van de IT-organisatie; ■ de IT-processen; ■ de IT-veranderingstrajecten; ■ de IT-infrastructuur waarop de systemen draaien.

12

■ het afleggen van verantwoording over de beheersing van IT naar buiten toe. Corporate Governance en IT-Governance zijn onlosmakelijk met elkaar verbonden. Gezien het belang van IT voor de bedrijfsvoering en het voortbestaan van organisaties, past bij een verantwoording over de beheersing ook een verantwoording over de beheersing van IT. In toenemende mate zullen veel organisaties er niet aan ontkomen bijvoorbeeld via hun jaarverslag verantwoording af te leggen over IT-Governance aan alle belanghebbenen. ■ het uitoefenen van toezicht op de IT-beheersing. Hierin onderkennen we twee elementen; enerzijds het uitoefenen van toezicht door een Raad van Commissarissen of Raad van Toezicht binnen een organisatie. In een reactie op Tabaksblat heeft de NOREA aangedrongen op onder meer een ‘IT-commissaris’ die toezicht houdt dat de IT-risico’s adequaat worden beheerst. Anderzijds het toezicht dat door toezichthouders wordt uitgeoefend. IT vormt een integraal onderdeel van de strategie van een organisatie. De kwaliteit van de geautomatiseerde informatievoorziening is een kritische succesfactor voor ondersteuning en realisatie van de bedrijfsdoelstellingen en interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Een correct opgezet en werkend IT-Governancemodel is noodzakelijk om te kunnen voldoen aan wettelijke voorschriften zoals bedrijfstakspecifieke richtlijnen als de Regeling Organisatie en Beheersing van De Nederlandsche Bank en de Sarbanes-Oxley Act 2002. Een aantoonbaar goede beheersing van bedrijfsrisico’s en dus ook van de IT-risico’s wordt niet alleen beloond met meer publiek vertrouwen, maar in de financiële sector zelfs met minder hoge solvabiliteitseisen, wat een positieve impact kan hebben op de bedrijfsresultaten.


13

14

3

Casus KPN

3.1

Inleiding Voor KPN is een adequate invulling van de IT-functie van levensbelang. Door optimaal gebruik te maken van de ontwikkelingen op het gebied van Informatie en Communicatie Technologie (ICT) kunnen tijdig de door de markt gewenste IT-producten ontwikkeld worden. KPN bouwt als telecommunicatiebedrijf mee aan de informatiesamenleving. Het doel van KPN is permanente innovatie van IT-producten en -diensten en uitvoering van operational excellence. Deze ambitieuze doelstelling vergt op alle niveaus binnen KPN doelgericht werken en vooral samenwerken. Wil KPN ook in de toekomst een belangrijke en vooraanstaande rol blijven spelen in de telecommunicatie en IT-wereld dan is een adequate beheersing van en sturing op het IT-werkveld een van de belangrijkste kritische succesfactoren. IT-Governance, als onderdeel van KPN Corporate Governance, speelt hierin een essentiële rol.

3.2

Positionering van ICT ICT kent binnen KPN globaal 3 toepassingen: 1 “Netwerk productiemiddelen” (schakelapparatuur, routers, hubs, telefooncentrales) ook wel TI genoemd (ofwel de “C” van ICT). Deze tak van sport is met name gepositioneerd binnen het Vaste Net; 2 IT-product/dienst georiënteerd (i-mode, voicemail, etc.); 3 IT-bedrijfsproces georiënteerd (zoals Billing, CRM, incl. applicaties/systemen en bedrijfsnetwerken). In de Informatie en Communicatie Technologie (ICT) vervagen steeds meer de grenzen tussen de IT en de TI; steeds meer is een samenhangende beheersing gewenst over de bovengenoemde toepassingen 1, 2 en 3. Vooralsnog is de focus voor IT-Governance binnen KPN met name gericht op de beheersing van applicaties ter ondersteuning van de KPN bedrijfsprocessen.


15

3.3

Het IT-Governance framework van KPN Het IT–Governance framework van KPN is gebaseerd op het framework dat wordt gehanteerd door Rik Maes [3]. In figuur 3 worden de verschillende objecten aangegeven welke gerelateerd zijn aan het ITGovernance framework. Figuur 3

Korte toelichting van bovenstaande framework. Verticaal zijn achtereenvolgens 3 hoofdgroepen aangegeven: Business, Information Systems en Information Technology. De Business / organisatie heeft behoefte aan informatie voor de planning en control van haar producten/diensten, activiteiten en resources. Deze informatie wordt in hoge mate geleverd door inzet van IT-middelen (applicaties, systemen en bedrijfsnetwerken). Horizontaal kunnen de hoofdgroepen Business, Information Systems en Information Technology verder gedetailleerd worden in Strategic (richten), Structure (inrichten) en Implementation (verrichten). Zo levert dit

16

een 3 bij 3 matrix op. Een belangrijke rol speelt hierbij de CIO (zie ook volgende paragraaf) welke zijn focus heeft op de deelvakken binnen de blauwe cirkel. De essentie van het IT-Governance framework is dat alle negen vlakken in control moeten zijn. In ■ ■ ■

de volgende paragrafen wordt ingegaan op deelaspecten van IT-Governance: Verantwoordelijkheden en scope IT-management: wie is waar voor verantwoordelijk in de IT-beheersing; IT-axioma’s en IT-grondregels: kaderzettende en richtinggevende IT-regelgeving; Doelarchitectuur KPN: kader waarbinnen processen, applicaties en gegevens kunnen worden gepositioneerd en worden beheerst; ■ IT Sourcing Strategy: wat is Core business – en wat is Non-core business; ■ Demand en Supply: het vraagstuk van de beheersing van de IT vragende partij in samenhang met de IT leverende partij; ■ Rol IT-audit: aandachtsgebieden voor IT-audit bij IT-Governance.

3.4

Verantwoordelijkheden en scope IT-management Onderstaande figuur geeft de kernspelers weer in relatie tot IT-Governance. Figuur 4


17

Toelichting op figuur 4: ■ RvB: integraal verantwoordelijk voor IT; ■ CIO1 rapporteert aan portefeuille houder binnen RvB; ■ CIO adviseert RvB. ■ CIO is operationeel verantwoordelijk voor implementatie van het overall beleid: ■ Uitvoerend voor Corporate projecten; ■ Opdrachtgever voor incrementeel verbeterplan. ■ DIO2 is operationeel verantwoordelijk voor implementatie van het divisiebeleid: ■ Uitvoeren voor divisie projecten; ■ Enforcement vastgesteld beleid. ■ Besturing via de lijn IT-aspecten: CIO-DIO): ■ IT-middelen; ■ IT CAPEX en OPEX; ■ Projectcontrol en –monitoring. Tot slot enkele succesfactoren voor de CIO: ■ De CIO moet de brug slaan tussen de Business belangen en de IT-organisatie. De CIO moet ‘business wise’ kunnen denken. De organisatievisie moet naar effectief IT-beleid worden doorvertaald; ■ Niet alleen regels formuleren, ook wegnemen van obstakels; scheppen van randvoorwaarden; toezien op de business besluitvorming (wat is de IT-impact etc.).

3.5

IT-axioma’s en IT-grondregels Binnen KPN wordt vanuit de CIO op strategisch niveau een beperkt aantal IT-axioma’s voorgesteld. Het doel van deze IT-axioma’s is de besturing van het IT-werkveld te verbeteren zodat de kosten omlaag gaan, de price/performance verbetert en de business een betere sturing heeft op de geboden IT-functionaliteit. Deze IT-axiomaregels zijn bekrachtigd door de RvB. Op tactisch niveau worden deze IT-axioma’s uitgewerkt in zgn. IT-grondregels. Het operationele niveau moet door de bedrijfsonderdelen zelf worden ingevuld. Hierbij kan ieder bedrijfsonderdeel (BO) zelf aanvullende keuzes maken en accenten leggen, gegeven de doelstellingen. De volgende IT-axioma’s zijn van kracht: 1 Gebruik van internationale standaarden en referenties heeft de voorkeur boven ontwikkeling van eigen standaarden en referenties; 2 Het gebruik van standaard software heeft de voorkeur boven eigen ontwikkeling;

1 2

18

CIO: Chief Information Officer DIO: Divisie Information Officer

3 BO’s richten procesketens en bedrijfsprocessen in op basis van door RvB vastgestelde procesreferentie (uitgewerkt in grondregels); 4 De IT ondersteunt ontkoppeling in lijn met processen; een applicatie dient de grenzen van een bedrijfsproces niet te overschrijden of ontkoppelpunten te bieden op die grenzen; 5 BO’s stemmen grensoverschrijdende procesketens af aan de hand van de afgesproken procesreferentie; 6 BO’s maken, ten behoeve van op elkaar aansluitende processen, afspraken over data (corporate) en data management (uitgewerkt in grondregels); 7 BO’s leggen alle applicaties vast in de IT Repository (uitgewerkt in gebruiksregels); 8 BO’s maken gebruik van de door RvB vastgestelde gemeenschappelijke IT-diensten. (uitgewerkt in gebruiksregels); 9 BO’s passen door RvB vastgestelde IT-managementmethodieken toe (uitgewerkt in gebruiksregels).

3.6

Doelarchitectuur KPN Op basis van de overall business doelstellingen, is de KPN IT-doelarchitectuur ontwikkeld welke is gebaseerd op 7 domeinen (afgeleid van het E-Tom3 model en overeenkomend met bedrijfsfuncties) en een Service Backbone (zie figuur 5). Figuur 5

3

E-TOM: Referentiemodel voor Telecom Operators


19

Doelstelling van de doelarchitectuur is te dienen als een framework, waarin applicaties, processen en gegevensverzamelingen kunnen worden gepositioneerd. Relaties worden zo zichtbaar en een basis voor besturing en dus ook IT-Governance wordt zo gelegd. 3.6.1

Domeinen De domeinen (Sales, Fullfillment, Billing, Operations, Purchasing, Marketing en Enterprise Management) vormen een functioneel referentiekader om te komen tot een betere service georiënteerde IT-huishouding. De domeinstructuur geeft een zodanige afbakening van gebieden dat zoveel mogelijk standaard software oplossingen kunnen worden toegepast.

3.6.2

Service Backbone Veel applicaties wisselen onderling informatie uit via zgn. “Point to Point”-verbindingen. In de toekomst zullen de domeinen (en gerelateerde applicaties) hun informatie gaan uitwisselen via een Service Backbone (“bus”). De doelstelling die hiermee wordt nagestreefd is het verkorten van time to market bij diensten introducties (door afhankelijkheidsreducties). Tevens wordt hiermee de consistentie in het gebruik van gegevens in de bedrijfsprocessen vergroot, wat weer leidt tot een grotere klanttevredenheid. Daarnaast creëert de Service Bacbone de randvoorwaarden voor het koppelen/ontkoppelen van applicaties en processen wat tot gevolg heeft een applicatie rationalisatie (maximale samenhang en minimale koppeling) beter mogelijk te maken.

3.7

IT-Sourcing Strategy Belangrijk uitgangspunt is dat IT-operations en -supply geen core business is voor KPN. ■ Soms (als uitzondering) bij KPN houden in geval dat de key technology in het begin van haar life cycle is, of wanneer duidelijk concurrentievoordeel is te behalen. In de regel geldt voor IT-generieke zaken: ■ In de regel uitbesteden: dus contract management is essentieel ! KPN gerelateerd: ■ ICT KPN architectuur altijd bij KPN; ■ Regie en acceptatie altijd bij KPN; ■ Functioneel Ontwerp: bij KPN; soms gedeeltelijk uit te besteden; ■ Technisch Ontwerp: in de regel uitbesteden; ■ Bouw: in de regel uitbesteden; ■ Systeemtest: uitbesteden.

20

Preferred Suppliers: ■ Selectie van Supplier vindt plaats door samenspel van CIO/ DIO’s en CPO4 ; ■ Vaststelling van Preferred Suppliers door RvB.

3.8

Demand en Supply In het kader van IT-Governance is het belangrijk het volgende onderscheid te maken: ■ IT-demand is de besturing van de vraag naar IT-diensten, bepaald door de gewenste ondersteuning van business processen; ■ IT-supply is de levering van IT-diensten op basis van de eisen en specificaties van IT-demand. In overleg tussen KPN business, CIO en DIO’s en CPO wordt bepaald hoe de “knip” tussen Demand en Supply moet liggen. In figuur 6 is één en ander geïllustreerd: Figuur 6

4

CPO: Chief Purchase Officer


21

3.9

Rol IT-audit Een mix van IT-audit werkvelden is aanwezig; deze kunnen worden afgebeeld op het hieronder gegeven framework van Rik Maes [3]. Gestreefd wordt dat de verschillende audits zich richten op “zo vroeg mogelijk aan tafel” bij de business; dit houdt in dat veelal sprake is van pre-implementation audits. Verder vindt prioritering plaats van audits door de audits te relateren aan risicogebieden. Altijd wordt eerst aandacht besteed aan de besturing / governance van het audit object alvorens inhoudelijk naar het object wordt gekeken. Figuur 7

Het uitvoeren van audits gerelateerd aan IT-Governance vraagstukken vormt een ultieme uitdaging voor de IT-auditor en biedt de mogelijkheid een nog grotere toegevoegde waarde te bieden.

22

4

Casus Fortis

4.1

Inleiding De financiële dienstverlening, is steeds meer een kennis- en informatie-intensieve bedrijfstak geworden. De informatie- en communicatietechnologie is van strategische betekenis voor Fortis om haar leidende rol op Bancassurance gebied te kunnen behouden. In een sectorrapport ‘Bancassurance Study’ van JP Morgan Investment Banking en Monitor Group Managing Consultants worden IT-systemen genoemd als één van de vijf essentiële bouwstenen die tot de beste resultaten leiden. Een effectieve en efficiënte informatievoorziening is daarbij een kritische succesfactor. Essentieel is dat de sturing op de IT-functie zodanig georganiseerd is, dat de activiteiten van die IT-functie volledig in dienst staan van de strategische, commerciële en operationele activiteiten. IT-Governance vervult hierbij een belangrijke rol. Op verschillende managementniveaus binnen Fortis is IT-Governance in diverse verschijningsvormen duidelijk aanwezig. Twee van die verschijningsvormen zullen in paragraaf 4.2 aan de orde komen. De eerste betreft IT-Governance als sturingsinstrument voor de uitoefening van de IT-functie. De tweede vorm is IT-Governance als leidraad voor de uitvoering van een Control Risk Self Assessment (CRSA) door een ITorganisatie. In paragraaf 4.3 zal de relatie tussen beide verschijningsvormen en de deelgebieden van ITGovernance behandeld worden. Op de rol die voor IT-audit is weggelegd wordt in paragraaf 4.4 nader ingegaan. In de samenvatting in paragraaf 4.5 passeren de belangrijkste zaken in het kort nog eens de revue.

4.2

Verschijningsvormen IT-Governance

4.2.1

IT-Governance als sturingsinstrument Als de IT-activiteiten bij een specifieke organisatie zijn ondergebracht is het vastleggen van een aantal afspraken tussen de IT-organisatie en haar opdrachtgevers onontkoombaar voor de sturing op de uitvoering van de IT-functie. IT-Governance is binnen Fortis daarvoor onder meer als leidraad gebruikt.


23

In een IT-Governance beleidsdocument dat in dit kader is opgesteld vindt men onder andere: ■ “De IT-leveringsprincipes die op hoofdlijnen aangeven op welke wijze de IT-organisatie haar diensten aan haar opdrachtgevers zal aanbieden.” In dit onderdeel bakent Fortis de taken, verantwoordelijkheden en bevoegdheden van de betrokken partijen af om doelstellingen van de business en de IT-organisatie op elkaar aan te sluiten (zie figuur 8, pijlnr. 1). ■ “Een convenant”, waarin aangegeven staat wie in welke situatie waarvoor verantwoordelijk is en welke regels, richtlijnen over en weer gehanteerd worden bij de invulling van de verantwoordelijkheden. Hierin krijgen de randvoorwaarden voor de wijze waarop invulling moet worden gegeven aan de ITdienstverlening (figuur 8, pijlnr. 2 en 3) en de manier waarop verantwoording wordt afgelegd over de uitvoering van de IT-activiteiten (figuur 8, pijlnr. 4) gestalte. De opdrachtgevers willen zo maximale invloed uitoefenen en inzicht hebben in projecten en diensten op IT-gebied inclusief bijbehorende ITrisico’s. ■ “De communicatiestructuur” om gezamenlijk prestaties te evalueren en sturing te geven aan de ITactiviteiten en de beheersing daarvan door duidelijke afspraken inzake de communicatie en besluitvorming. In dat kader worden eerder gemaakte afspraken eventueel herzien. (figuur 8, pijlnr. 4 en 1). Door expliciete accordering van het MT van de moedermaatschappij zijn de afspraken van kracht en daarmee expliciet leidend voor de onderlinge relatie en dienstverlening tussen de bedrijfsonderdelen en de IT-organisatie. Figuur 8 IT-Governance als sturingsinstrument

24

4.2.2

IT-Governance als leidraad voor een Control and Risk Self Assessment Bij een Control and Risk Self Assessment (CRSA) beoordeelt het betrokken management van een business line of departement in hoeverre bedrijfsprocessen doelmatig zijn en risico’s in voldoende mate zijn afgedekt. Beheersmaatregelen om de risico’s het hoofd te bieden evalueert men. Restrisico’s brengt men in kaart. Vastgesteld wordt welke restrisico’s aanvaardbaar zijn en welke niet. In dat laatste geval wordt een actielijst opgesteld om de risico’s in het vervolg te vermijden of de nadelige gevolgen ervan te minimaliseren. Een IT-organisatie binnen Fortis heeft een CRSA uitgevoerd. Deze IT-organisatie kon als gevolg van integratie- en transformatieontwikkelingen niet terugvallen op één bestaande structuur voor de besturing en beheersing van IT-activiteiten. De oorspronkelijk te herkennen structuren per land liepen hiervoor te veel uiteen. Rekening houdend met de verschillende structuren werd bij de CRSA het COBIT-model inzake ITGovernance als hulpmiddel gebruikt om op een gestructureerde wijze de exercitie te doorlopen. Het feit dat IT-Governance volledig gericht is op de aansturing en beheersing van IT-activiteiten onderscheidt dit raamwerk positief ten opzichte van alternatieven die meer van algemene aard zijn. Uitgaande van de vier deelgebieden i.e. IT Alignment, IT Value Delivery, IT Risk Management en IT Performance management, werden per afzonderlijk deelgebied doelstellingen gedefinieerd, bedreigingen geanalyseerd, beheersmaatregelen geëvalueerd en restrisico’s in kaart gebracht. (zie ook figuur 9 voor een schematische weergave). Figuur 9 IT-Governance als leidraad bij CRSA


25

4.3

Evaluatie verschijningsvormen IT-Governance In beide verschijningsvormen heeft IT-Governance de mogelijkheid geboden om op een gestructureerde wijze om te gaan met de sturing en beheersing van IT-activiteiten door de IT-organisatie. In het tweede geval houdt de IT-organisatie zichzelf met IT-Governance als onderwerp een spiegel voor door middel van de Control and Risk Self Assesment exercitie. Wat dat betekent voor de vier deelgebieden van IT-Governance wordt in onderstaand schema aangegeven. Verschijningsvorm IT-Governance

Beleidskader

Leidraad CRSA

Business Alignement

Afbakening taken en verantwoordelijkheden in relatie tot business en IT-doelstellingen o.a. informatie- en automatiseringsplannen. Verwachte producten en diensten, inclusief geldende randvoorwaarden.

Aansluiting van eigen doelstellingen IT-organisatie met de businessdoelstellingen van Fortis

Value delivery

26

Risk Management

Afspraken in verband met beheersing projectrisico’s en productrisico’s.

IT Performance

Afspraken in verband met verantwoording en evaluatie van prestaties.

Tegenover elkaar afzetten van door Fortis verwachte en door IT-organisatie geboden toegevoegde waarde op producten en dienstenniveau. Inventarisatie oorzaak verschillen. Toetsing IT Security Management in het licht van met de klant gemaakte afspraken in verband met beheersing projecten productrisico’s. Vaststellen of men intern en richting de klant voldoende management informatie kan genereren om de prestaties op IT-gebied te kunnen evalueren en zaken bij kan sturen.

4.4

Rol IT-audit IT-audit van Fortis Audit Services vervult bij het nader invullen van IT-Governance door middel van beleidskaders en de explicitering daarvan in security baselines e.d. een adviserende rol. Tussen het MT van betrokken bedrijfsonderdelen en de IT-organisatie gemaakte afspraken in het kader van IT-Governance, bijvoorbeeld in de vorm van security baselines, zijn normstellend bij de uitvoering van IT-audit activiteiten. In een toetsende rol stelt IT-audit onder meer vast in hoeverre afspraken worden nagekomen. Een voorbeeld hiervan is de beoordeling of aan security baselines wordt voldaan. Bij de CRSA heeft IT-audit een faciliterende rol vervuld. Het COBIT-model inzake IT-Governance (ISACA) kwam hieruit als bruikbare leidraad naar voren.

4.5

Deelconclusie en samenvatting IT-Governance stelt Fortis in staat haar IT-activiteiten te besturen en beheersen. Twee voorbeelden daarvan kwamen aan de orde. IT-Governance in een beleidsondersteunde rol in de vorm van concrete afspraken tussen een IT-organisatie en haar afnemers. IT-Governance als leidraad bij een Control and Risk Assessment van een IT-organisatie. IT-Governance heeft invloed op de uitoefening van de taken van IT-audit als hulpmiddel bij het vervullen van een adviserende rol en bij het uitoefenen van een toetsende functie, omdat afspraken in het kader van ITGovernance normstellend zijn voor de besturing en beheersing van IT-activiteiten.


27

28

5

Casus Akzo Nobel

5.1

Inleiding Akzo Nobel levert wereldwijd producten voor de gezondheidszorg (Pharma groep), verven en lakken (Coatings Groep) en chemische producten (Chemicals groep). Akzo Nobel kent meer dan 1000 locale entiteiten variërend van kleine verkoopkantoren tot en met grote productielocaties. De onderneming telt ongeveer 64.300 medewerkers in meer dan 80 landen. Over 2003 bedroeg de geconsolideerde omzet EUR 13 miljard.

5.2

Organisatie van de Informatievoorziening De activiteiten van Akzo Nobel binnen de drie groepen Pharma, Coatings en Chemicals zijn ondergebracht in Business Units (BU), die een grote mate van vrijheid van handelen hebben binnen het strategische kader van de onderneming. Op corporate niveau zijn diverse stafdiensten actief waaronder Corporate Information Management (CIM) en Internal Auditing Services (AUD). IT in Akzo Nobel brings value to the company through a set of investments in IT applications in business projects and processes, managed by business an IT people together.

De basis voor IT-Governance binnen Akzo Nobel is terug te vinden in de Corporate Directives. Dit zijn richtlijnen die door de Board of Management (BoM) zijn uitgevaardigd. Hierin staan onder meer de basisregels ten aanzien van de organisatie rondom Information Management (IM) and Information Services (IS). De IT-strategie en de IT-organisatie van Akzo Nobel zijn gebaseerd op de basisgedachte dat de verantwoordelijkheid voor IT altijd bij de Business Unit ligt. Coördinatie vindt plaats via de Information Management Council (IMC). Figuur 10 geeft de verschillende rollen weer.


29

Figuur 10

De IMC bestaat uit de Group Information Officers (GIO), aangevuld met Information Management vertegenwoordigers uit de verschillende BU’s, de BU Information Managers (BIM). De IMC wordt daarnaast ondersteund door specialisten binnen CIM, onder meer op het gebied van informatiebeveiliging en IT infrastructuur. De Corporate Information Officer (CIO) zit de IMC voor. Het lid van de Board of Management, verantwoordelijk voor IT, neemt deel aan de vergaderingen van de IMC. Taak van de IMC is het opstellen en onderhouden van de Akzo Nobel IT Policy die door elke BU nageleefd dient te worden. Dit betekent het volgende: 1 IT richtlijnen (instructions) die door de CIM worden voorbereid, worden aan de IMC ter goedkeuring voorgelegd. Hierbij kan onder meer gedacht worden aan richtlijnen op het gebied van de ITinfrastructuur en informatiebeveiliging; 2 Deze richtlijnen worden door de CIO, namens de Board of Management, uitgevaardigd naar de BU’s; 3 De CIO ( en CIM) houdt toezicht op de kwaliteit van IT gerelateerde processen binnen Akzo Nobel; 4 De volgende specialismen zijn in ieder geval binnen CIM beschikbaar: ■ Information Security; ■ IT Infrastructure en Office Tools; ■ Vendor Management ten aanzien van IT. Hiervoor zijn Corporate Officers benoemd, die deze kennisgebieden verder coördineren binnen Akzo Nobel.

30

Van elke BU wordt verwacht dat zij zich houdt aan de genoemde richtlijnen. De business information manager is verantwoordelijk voor het monitoren van deze richtlijnen op lokaal niveau. Tevens moet het management in de jaarlijkse Letter of Representation (LoR) verklaren dat zij zich gehouden heeft aan deze richtlijnen. Overigens kan het BU management ten behoeve van de activiteiten binnen de BU aanvullende (beveiligings-) richtlijnen opstellen. Een BU bepaalt zelf welke ERP-systemen gebruikt mogen worden en in hoeverre deze in eigen beheer worden genomen dan wel worden uitbesteed. De laatste jaren is een tendens binnen Akzo Nobel waarneembaar, waarbij meer BU-uniforme systemen bij de BU-werkmaatschappijen gebruikt wordt gemaakt. Deze worden zowel in grotere interne als externe rekencentra beheerd.

5.3

Informatiebeveiliging binnen Akzo Nobel The objective of IT security is to ensure effective protection of the quality – in terms of confidentiality, integrity and availability – of business, related information and data processing against internal/external threats

Informatiebeveiliging wordt gezien als een van de kerntaken van Information Management. Coördinatie vindt plaats via het Akzo Nobel Security Councel (ANSC), die verantwoording aflegt aan de IMC. Het ANSC is onder meer verantwoordelijk voor de opzet en ondersteuning van het information security framework, zoals hieronder is weergegeven. Figuur 11


31

De basis voor de Information Security Policy is BS7799. Deze policy is onder meer verder uitgewerkt naar concrete security instructions (o.a. basic security levels voor W2K, UNIX, SAP). Alhoewel de AUD geen primaire rol heeft in het vaststellen of de BU de corporate richtlijnen opvolgt, vormen deze baselines mede input voor de normen die de AUD hanteert bij het beoordelen van de security tijdens de verschillende audits. Recentelijk is in de security policy een verwijzing opgenomen naar de gestelde eisen in het kader van de Sarbanes-Oxley wetgeving (SOX). Jaarlijks dienen self assessment checklists door de locale IT Manager te worden ingevuld en aan de BU Information Manager te worden gerapporteerd. De uitkomsten worden gebruikt bij de verantwoording in de eerder genoemde LoR. In de nabije toekomst zal gebruik worden gemaakt van een aparte SOXrapporteringstool binnen Akzo Nobel, waarin voor de general IT controls een aparte cycle is gedefinieerd (zie ook paragraaf 5.5). De invulling van de LoR wordt standaard door de AUD beoordeeld tijdens de audits.

5.4

IT-audit functie binnen Akzo Nobel De taak van de AUD is het uitvoeren van periodieke operational audits ten behoeve van de Raad van Bestuur en BU Management. Deze audits richten zich vooral op de effectiviteit, efficiency en betrouwbaarheid van het stelsel van interne controle (de business controls). Tevens wordt verwacht dat de AUD adviezen in haar rapporten geeft ter verbetering van de beheersing van de onderzochte bedrijfsprocessen. De financial audit is de verantwoordelijkheid van de externe accountant, waarbij laatstgenoemde bij haar werkzaamheden mede gebruik maakt van de uitkomsten van de audits van de AUD. IT-audits worden beschouwd als een vorm van een operational audit. Binnen de AUD is de IT-auditgroep één van de audit competence centers. De competence centers onderhouden nauwe contacten met de verschillende disciplines binnen Akzo Nobel, voor IT-audit is dat Information Management (CIO en BIM). De jaarlijkse auditplanning wordt mede bepaald door de BU-auditors, die nauwe contacten onderhouden met BU-management. De operational audits worden uitgevoerd door de diverse AUD-kantoren, waarbij de audit competence centers de gevraagde deskundigheid leveren dan wel zelfstandig audits kunnen uitvoeren.

32

Figuur 12

Voor het Sarbanes-Oxley (SOX) tijdperk richtten de IT-auditors zich vooral op de complexere IT-omgevingen (general IT controls) en de global IT-systemen (application controls) binnen de BUs. Daarnaast ondersteunden zij de operational auditors bij de uitvoering van de audits in de wat minder complexe omgevingen. De IT-audits waren vooral compliance gericht, waarbij het eerder genoemde information security framework als toetsingskader werd gebruikt. De invoering van Risk Management binnen geheel Akzo Nobel in 2002 betekent dat ook de beheersing van IT-risico’s standaard wordt meegenomen in de ITaudits. De planning werd bepaald door een 3-5 jaren cyclus aangevuld met specifieke ontwikkelingen binnen de BU’s (bijvoorbeeld invoering van nieuwe ERP-systemen, outsourcing, organisatiewijzigingen, nieuwe bedrijven e.d).

5.5

Impact Sarbanes-Oxley Act 2002 Daar Akzo Nobel aan de New York Stock Exchange is genoteerd, dient zij te voldoen aan de SarbanesOxley Act 2002. Zonder inhoudelijk verder op deze wet in te gaan, is het duidelijk dat een zwaar accent wordt gelegd op het adequaat inrichten van de interne controle maatregelen in en rondom de financiële verslaglegging en de verantwoording die daarover moet worden afgelegd. Daar de betrouwbaarheid van


33

de financiële rapportages mede wordt bepaald door de betrouwbare werking van applicaties en de onderliggende platformen, is het duidelijk, dat ook de IT controls extra aandacht dienen te krijgen. Binnen SOX wordt er vanuit gegaan dat iedere onderneming een algemeen aanvaardbaar stelsel van interne controle heeft geïmplementeerd. Hierbij wordt vooral verwezen naar het COSO model. Akzo heeft dit verder uitgewerkt naar de verschillende business cycles (inkoop, verkoop, productie etc). Het ITGovernance Institute heeft op basis van COBIT een SOX IT-Controls framework gepubliceerd. Akzo Nobel heeft dit framework als basis gebruikt voor het opstellen van een aparte general IT controls cycle. De relevante application controls zijn bij de betreffende business cycles opgenomen. De IT-audit competence center heeft tijdens het selecteren van de relevante control objectives en het bepalen van de test activiteiten vooral een adviserende gehad. Ook bij de uitrol is zij nauw betrokken als vraagbaak. Figuur 13

In het SOX project is benadrukt dat het management verantwoordelijk is voor het implementeren en uitvoeren van de interne controle maatregelen. Het ‘Trust me, Tell me, Show me and Proof me’ principe moet hierbij in acht worden genomen. Akzo Nobel maakt bij de uitrol en naleving van SOX gebruik van een centraal rapporteringstool. In deze tool moet worden aangeven op welke wijze invulling is gegeven aan de voorgedefinieerde control

34

objectives per cycle. Hierbij is onderscheid gemaakt naar transaction controls en monitoring controls. Uiteindelijk moet het management in de tool verklaren of men ‘in control’ is dan wel welke leemtes er nog zijn. Zeer waarschijnlijk zal de IT-manager in de meeste gevallen namens de general manager en de controller de IT-controls cycle invullen, waarbij de BU Information Manager in het bijzonder een toezichthoudende rol zal hebben. AUD heeft in dit gehele proces vooral een kwaliteitstoetsende rol. Zij zal onder meer steekproefsgewijs de uitkomsten van de SOX rapportages beoordelen. Het moge duidelijk zijn dat SOX ook gevolgen gaat hebben voor de planning en scoping van de IT-audits. Niet alleen omdat meer accent wordt gelegd op het stelsel van interne controle maatregelen, maar vooral ook door de zwaardere verantwoordelijkheid van het management met betrekking tot de betrouwbaarheid van de financiële rapportage. Ook de taken van de auditor krijgen extra aandacht als gevolg van SOX, de Public Company Accounting Oversight Board (PCAOB) heeft hierover al het nodige gepubliceerd. Op dit moment vindt binnen Akzo Nobel een herpositionering plaats van de scope van IT-audits. Belangrijk element hierin is dat binnen SOX gebruik is gemaakt van COBIT. Voorheen werd gebruik gemaakt van uiteenlopende normenkaders binnen Akzo Nobel. Derhalve zal het IT audit competence center COBIT verder aangrijpen voor het bepalen van de scope en uitvoering van de audits na invoering SOX. Voorheen lag eerst het accent van de IT-audits vooral op de operationele laag van de IT (IT Operations, IT Security, IT Continuity planning). Dat zal, mede door de toenemende aandacht voor Corporate Governance, meer gaan verschuiven naar IT Policy and Management. Tevens zal System Development, in de vorm van project audits en het beoordelen van de opzet van een interne controle framework, een aparte plaats krijgen in de planning. Uiteraard zal een audit van de ‘traditionele’ general IT-controls nog steeds moeten plaatsvinden, daar zij immers de basis vormen voor een betrouwbare gegevensverwerking. Echter door SOX en het feit dat het management nu zelf de vereiste assurance moet geven, kan de IT-auditexpertise op een andere wijze worden ingezet: meer gericht op de hoge risico gebieden en vooral ook op de beheersing van IT (ITGovernance). Een belangrijke randvoorwaarde voor het uitvoeren van IT-Governance audits is het hebben van een duidelijk normenkader. Voor de audits in de operationele omgeving is deze beschikbaar, voor de gebieden daarboven (System Development en IT Policy and Management) is deze nog volop in ontwikkeling.

5.6

Impact op uitbesteding van IT-diensten Gezien de eerder genoemde BU structuur met haar eigen verantwoordelijkheden, is er ook sprake van een gediversifieerd IT-landschap, inclusief uitbesteding van IT-services in allerlei variaties (van helpdesk tot en met het fysiek huisvesten van de servers). In de meeste gevallen is in het uitbestedingscontract een ‘right to


35

audit’ opgenomen en in een aantal gevallen is hiervan ook gebruikt gemaakt. SOX vraagt om een nog strakkere regievoering rondom IT-uitbesteding (er vanuit gaande dat er een directe relatie bestaat met de financiële verslaglegging). Third Party Mededeling (SAS70 type I en II) lijken een oplossing te zijn om SOXcompliant te zijn. Belangrijk is dat het management zijn systeemomgeving herkent in de TPM. Tevens dient de verklaring voorzien te zijn van het overeengekomen normenkader (SOX IT Control objectives eventueel aangevuld met de eisen vanuit het information security framework). Op dit moment wordt binnen Akzo Nobel gekeken naar variaties op een SAS70 onderzoek, daar een veelheid van uitbestedingsvarianten aanwezig is. Gedacht wordt onder meer aan de structuur waarbij de IT-dienstverlener aangeeft op welke wijze hij invulling geeft aan de IT Controls objectives zoals die door Akzo Nobel zijn aangereikt. Tevens zal aan het management van de IT-dienstverlener een officiële verklaring worden gevraagd, dat de organisatie zich de gehele periode heeft gehouden aan deze objectives. Het IT-audit competence center heeft hierin een reviewende rol, waarin zij op basis van steekproeven, deelwaarnemingen e.d. zelfstandig vaststelt in hoeverre deze verklaring juist is.

5.7

Deelconclusie en samenvatting De invoering van SOX (inclusief COBIT) binnen Akzo Nobel betekent voor het IT-audit competence center binnen de AUD een herpositionering van haar taken. IT-Governance staat hoog op de agenda van het management, waarbij nadrukkelijk ook naar IT-audit wordt gekeken voor enerzijds een adviserende rol (IT Policies), en anderzijds een toetsende rol. De IT-auditor zal steeds meer een bijdrage moeten gaan leveren in de afweging in hoeverre IT een effectieve en efficiënte bijdrage levert aan de bedrijfsdoelstellingen. Een niet eenvoudige opgave door het ontbreken van harde normstellingen. COBIT biedt een eerste stap in deze richting, maar verder onderzoek en ook afstemming met de BU’s in deze is noodzakelijk.

36

6

De rol van de IT-auditor De werkzaamheden van de IT-auditor hebben in beginsel betrekking op het onderzoek naar de kwaliteit van de beheersing van IT-risico’s. De aandacht voor corporate governance en daarmee ook voor ITGovernance zal naar verwachting de behoefte aan IT-auditonderzoeken doen toenemen. De vraag is: in hoeverre verandert de rol van de IT-auditor of dienen de werkzaamheden van de IT-auditor te veranderen als gevolg van de aandacht voor IT-Governance.

6.1

IT-Governance nieuw? Nee! De ■ ■ ■

volgende aandachtsgebieden van IT-Governance kunnen worden onderscheiden: De beheersing van de informatievoorziening binnen een organisatie. Het afleggen van externe verantwoording over de beheersing van de informatievoorziening. Het uitoefenen van toezicht op de beheersing van de informatievoorziening.

De IT-auditor vervult reeds een rol binnen deze aandachtsgebieden. De aandacht voor IT-Governance kan voor de IT-auditor een toename en/of accentverschuiving ten aanzien van de huidige auditwerkzaamheden impliceren. Belangrijk is dat het management van de organisatie zijn weg weet te vinden naar de IT-auditor. 6.1.1

De beheersing van de informatievoorziening De IT-auditor vervult met zijn IT-auditwerkzaamheden al een rol in het beheersen van de IT-risico’s, door de kwaliteit van beheersing inzichtelijk te maken, zodat het management eventueel aanvullende maatregelen kan treffen. Hierbij kan gedacht worden aan audits naar beveiliging en continuïteit van systemen en technische infrastructuren. Maar ook aan audits van de kwaliteit van systeemontwikkelingsorganisaties of audits van projecten.

6.1.2

Afleggen van externe verantwoording In toenemende mate is een IT-auditor ook betrokken bij het afleggen van verantwoording over de beheersing van de informatievoorziening. Veelal vindt dit nu nog plaats in situaties van uitbesteding. Er wordt dan een Third Party Mededeling verstrekt door een IT-auditor over de kwaliteit van de informatievoorziening bij een IT-serviceprovider ten behoeve van één of meerdere afnemers. Het is te verwachten dat het management ook dergelijke verklaringen wenst te ontvangen over de beheersing van de informatievoorziening door interne IT-organisaties. Een nieuw aspect zal zijn dat organisaties ook via jaarverslag externe verantwoording willen afleggen over de beheersing van de informatievoorziening.


37

6.1.3

Uitoefenen van toezicht op de beheersing van de informatievoorziening Interne en externe IT auditors vervullen reeds een belangrijke rol binnen organisaties ten aanzien van het uitoefenen van toezicht op de beheersing van de informatievoorziening. Ten aanzien van het uitoefenen van toezicht onderkennen we twee elementen. Enerzijds het uitoefenen van toezicht door externe toezichthouders. Deze rol wordt bijvoorbeeld reeds ingevuld door (IT-)auditors van De Nederlandsche Bank die bij financiële instellingen de naleving van de Regeling Organisatie en Beheersing vaststellen. Anderzijds is toezicht door een Raad van Commissarissen of een Raad van Toezicht en in het geval van SOX het Audit Committee binnen een organisatie mogelijk. In de reactie op Tabaksblat heeft de NOREA aangedrongen op onder meer een ‘IT-commissaris’ die toezicht houdt dat de IT-risico’s adequaat worden beheerst. Deze rol is nog beperkt ingevuld. De IT-auditor zou deze commissaris kunnen ondersteunen door adviezen en onderzoeken.

6.2

IT-Governance nieuw? Ja! Alhoewel er naar verwachting meer vraag zal zijn naar de reguliere IT-auditwerkzaamheden, heeft de aandacht voor IT-Governance ook gevolgen voor de bestaande IT-auditwerkomgeving en creëert het naar verwachting nieuwe werkzaamheden. Hierna zijn enkele mogelijke gevolgen voor het IT-auditwerk toegelicht. Het betreft de issues: ■ Het auditen van het IT-Governance raamwerk in een organisatie. ■ Grotere impact van de context op auditaanpak en rapportage. ■ Compliance met wet- en regelgeving. ■ Adviserende rol.

6.2.1

38

Audit van IT-Governance raamwerk Het auditen van het ingerichte IT-Governance raamwerk moet tot het takenpakket van de IT-auditor gaan behoren. Om een goed beeld te kunnen krijgen van de beheersing van de informatievoorziening binnen een organisatie, dient niet alleen gekeken te worden naar de beheersing van specifieke technische aspecten, maar ook naar de gehele aansturing. Dit zijn IT-auditonderzoeken naar effectiviteit en efficiëntie van de aansturing van de informatievoorziening. Hier zijn nog geen heldere en eenduidige normen voor beschikbaar. Deze werkzaamheden zijn wel een verdere uitbouw van de reeds gangbare uitgebreide onderzoeken naar de general IT-controls binnen een IT-organisatie. Aanvullende aspecten op deze reeds bestaande onderzoeken zijn dat meer gekeken wordt naar de aansluiting van de aansturing en ontwerp van de IT-organisatie op de business en naar het bewakingsmechanisme. Vragen die beantwoord moeten worden in een dergelijk onderzoek zijn: ■ Is de visie ten aanzien van informatievoorziening adequaat uitgewerkt? ■ Is de uitwerking van het organisatiemodel volledig en daadwerkelijk geïmplementeerd?

■ Werkt het governance model in de praktijk? ■ Vindt er voldoende toezicht plaats binnen het governance model? Met andere woorden worden de juiste objecten met de juiste diepang onderzocht? 6.2.2

Context IT-Governance raamwerken gaan ervan uit dat de wijze van aansturen en organiseren van de informatievoorziening een afgeleide is van de business behoeften (strategic alignment) en het risicoprofiel (risk assessment). Een IT-auditor die binnen een bepaalde omgeving onderzoeken zal moeten uitvoeren, zal bekend moeten zijn met deze context. Dit betekent dat de te hanteren normen en aanpak afgestemd moeten zijn op de context van de omgeving. Dit is op zich niets nieuws, echter de IT-auditor dient wel heel bewust de afweging gemaakt te hebben welke impact de context van de omgeving heeft op het IT-auditwerk. Denk hierbij aan de geldende wet- en regelgeving in sommige branches.

6.2.3

Compliance met interne en externe wet- en regelgeving Er is sterke toename van wet- en regelgeving op het gebied van beheersing van bedrijfsprocessen. Veelal is de beheersing van de IT-omgeving een onderdeel hiervan. Er is reeds waarneembaar dat externe auditors, dus ook IT-auditors, beoordelen in hoeverre organisaties voldoen aan de vastgestelde externe regelgeving. De volgende wet- en regelgeving vereist verklaringen van externe auditors dat de betreffende organisatie voldoet aan de eisen die gesteld worden: ■ Regeling Organisatie en Beheersing van De Nederlandsche Bank. ■ Sarbanes-Oxley Act 2002. ■ Basel II Act. Vanuit Codes voor Governance kunnen ook eisen gesteld worden aan de uitvoering en verantwoording van werkzaamheden door de IT-auditor. In één van de concept versies van de PCAOB5-regelgeving werd aangegeven dat de externe auditor ten aanzien van de general IT-controls in het geheel niet mocht steunen op werkzaamheden van de interne auditor. Dit is in de laatste versie niet meer als absolute eis opgenomen. Externe accountants en de bedrijven die aan de wet- en regelgeving moeten voldoen, moeten rekening houden met onafhankelijke controles door de toezichthouders zelf.

5

De PCAOB, Public Company Accounting Oversight Board is enigszins vergelijkbaar met het Koninklijk NIVRA, maar is meer vanuit de overheid opgezet. De PCAOB heeft in het verlengde van de Sarbanes-Oxley wetgeving een aantal gedrags- en beroepsregels met betrekking tot de (externe) auditors en accountants opgesteld en ziet toe op de naleving hiervan.


39

6.2.4

Adviserende rol De IT-auditor kan vanuit zijn achtergrond ook een faciliterende en adviserende rol vervullen bij het ontwerpen en inrichten van een IT-Governance raamwerk dan wel onderdelen hiervan. Denk hierbij aan werkzaamheden zoals: ■ Ondersteunen bij het uitwerken van de visie op de inzet van IT binnen een organisatie. ■ Uitwerken van IT-beleidsdocumenten en informatiebeveiligingsbeleid. ■ Ontwerp en inrichting van een IT-organisatie (structuur, taken, verantwoordelijkheden bevoegdheden, sturings- en verantwoordingslijnen). ■ Formuleren van IT-dashboard. ■ Uitwerken IT-beheerprocessen. De IT-auditor moet zich bij het vervullen van zijn rol(len) altijd bedacht zijn op het risico van belangenverstrengeling, wanneer hij combinaties van rollen gelijktijdig vervult. Codes voor Corporate Governance als Sarbanes-Oxley Act, maar ook bijvoorbeeld de gedrags- en beroepsregels van de NOREA sluiten met name de combinatie van faciliterende/adviserende rollen met een beoordelende rol grotendeels uit.

6.3

Uitdagingen op het gebied van IT-Governance De rol van de IT-auditor binnen de financial audit zal moeten toenemen om de beheersing van de informatievoorziening te kunnen toetsen in het licht van het geheel van controlemaatregelen, die ertoe bij moeten dragen dat financiële rapportages op betrouwbare wijze tot stand zijn gekomen. Een rol voor de IT-auditor binnen verschillende aspecten van IT-Governance is voor ons als IT-auditors evident. Hoe deze rol ingevuld moet worden, is echter nog lang niet duidelijk. Ook is niet direct gezegd dat opdrachtgevers IT-auditors de rol toebedelen die we zelf zouden voorstellen. Het vakgebied ITGovernance is immers zelf nog in beweging. Hierna wordt een aanzet gegeven van uitdagingen voor de IT Auditor in relatie tot IT-Governance: ■ Corporate Governance zonder IT-Governance is geen governance. ■ De rol die de IT-auditor vervult in Corporate Governance is tot op heden nog onderbelicht. ■ De IT auditor dient gezamenlijk met het management een bijdrage te leveren aan de invulling van de verwachte beheersing van IT binnen de Corporate Governance modellen, zoals de code van de Commissie Tabaksblat en de Sarbanes-Oxley Act. De IT-auditor kan toegevoegde waarde leveren in het efficiënt en effectief toepassen van bestaande frameworks (zoals bijvoorbeeld COBIT en ITIL) in ITGovernance vraagstukken.

40

■ Bij veel bedrijven staat IT-Governance nog onvoldoende op de RvB agenda. In dit kader is het nuttig een expliciete IT-rapportage op te stellen voor de RvB, om onderbelichting tegen te gaan. ■ De IT-auditor moet de kans grijpen te promoten dat IT-risicomanagement systematisch, integraal en periodiek moet worden uitgevoerd. ■ De IT-auditor zal zich nog meer op de organisatorische aspecten van de IT-beheersing moeten richten. Een voorbeeld hiervan is het actief acteren van IT-auditors in inrichtings- en aansturingsvraagstukken van het IT-werkveld (informatieplanning en –beleid). ■ De huidige ondergeschikte verantwoordelijkheid van de IT-auditor in financial audits betekent impliciet dat er te weinig aandacht is voor IT-Governance en dus voor Corporate Governance. ■ Als de IT-auditor volwaardig in het IT-Governance werkveld wil gaan acteren is het noodzakelijk dat de opleiding voor IT-auditors wordt bijgesteld.


41

42

7

Literatuuroverzicht [1]

Cobit, third edition, ISACA/IT-Governance Institute, 2000.

[2]

Presentatie Gartner, Designing Effective IT-Governance, 11 december 2002

[3]

R. Maes. Informatiemanagement in kaart gebracht; June 2003.

[4]

IT Control Objectives for Sarbanes-Oxley, IT-Governance Institute, 2003

[5]

Board Briefing on IT-Governance, 2nd edition, IT-Governance Institute, 2003

[6]

De ‘Sarbanes-Oxley Act of 2002’ en de roep om verandering, PwC, Spotlight-2003,nr. 1

[7]

Sarbanes-Oxley Compliance Demands IS involvement, Gartner, October 2003

[8]

Enterprise Risk Management Framework, COSO

[9]

The ramifications of Sarbanes-Oxley, Tommie Singleton, 2003

[10]

Guide to the Sarbanes-Oxley Act: IT Risks and Controls, Protivity, 2003

[11]

A new focus on Governance, managing stakeholders expectations to sustain business value, KPMG, 2002

[12]

Corporate Governance: de relatie naar ICT, drs. J.C. de Boer RE en mw. ir. E.R. van Sommeren RE, Compact, 2000


43

44

Colofon

de beroepsorganisatie van IT-auditors Bezoekadres A.J. Ernststraat 55 1083 GR Amsterdam Postadres Postbus 7984 1008 AD Amsterdam [email protected] www.norea.nl tel +31 (0)20 3010380 fax +31 (0)20 3010302 Kennisgroep IT-Governance Drs. H.T. van Bers RE A. de Blok RE RA CISA MIM Ir. J.A.M. Donkers RE P. Harmzen RE RA Ir. J.W. de Heer RE P.A.J. van der Knaap RE RA Ir. K.M. Lof RE Vormgeving en druk RS Drukkerij bv, Rijswijk Foto omslag © Zefa Nederland Oplage 3.000 expl.

Managementsamenvatting

Recommend Documents