Veilig van bits naar business. 7 Het einde van de papieren omweg. Slimme gegevens - privacy doet meer dan alleen de wet volgen

21 E E N I N I T I AT I E F VA N E R N ST & YO U N G I N S A M E N W E R K I N G M E T D E T I J D E N L’ E C H O l 1 4 D E C E M B E R 2 0 1 2

Van techniek naar business

Het volatiele en soms risicovolle karakter van sociale media

Interview met Andy Deprez, Bernard Ghigny en Marc Joostens

Socialemediabeleid

2

7 8

Het einde van de papieren omweg Eddie Van den Eede (Borealis) over digitalisering en elektronische facturatie

Vragen over dit onderwerp? Wilt u dit dossier ook online raadplegen? www.tijd.be/inzicht

Slimme gegevensprivacy doet meer dan alleen de wet volgen

14

Mobistar getuigt over volwaardig privacybeleid

Sabine Everaert (Coca-Cola), CIO van het Jaar legt de focus op business

DNA van de CIO

12

Veilig van bits naar business De ondernemingen en overheidsinstellingen worden vandaag in sneltempo geconfronteerd met technologische impulsen die zich vertalen in nieuwe media, nieuwe toestellen, nieuwe toepassingen en nieuwe ICT organisatievormen. Heel wat van deze zaken veranderen momenteel grondig de manier van ondernemen. In een panelgesprek met drie specialisten van Ernst & Young gaan we dieper in op de opportuniteiten en gevaren die dat met zich meebrengt.

In deze bijlage illustreren we aan de hand van interviews met topmensen van Borealis, Coca-Cola en Mobistar en hete hangijzers als de veranderende rol van de CIO, het belang van data privacy en de mogelijkheden van elektronische facturatie. Ten slotte bespreken we onderzoek naar de omgang met sociale media en de beveiliging van informatie. Verplichte lectuur voor wie bij wil blijven.

© Emy Elleboog

2

INFORMATIEBEVEILIGING

Vooraf

I T I N T RAN SFO RM AT I E

Veilig innoveren De CIO van vandaag moet heel wat nieuwe uitdagingen het hoofd bieden. Eerst en vooral is er de moeilijke economische context waarin volop gefocust wordt op kostenbesparingen, optimalisatie en innovatie. Daarnaast worden we geprikkeld door nieuwe technologische impulsen. Digitalisering, smartphones, tablets, sociale media, big data, de cloud: allemaal hebben ze bewezen een significante invloed te hebben op onze manier van ondernemen en organiseren. Deze en andere trends hebben belangrijke implicaties voor de toekomst van uw bedrijf. Wil de CIO op die uitdagingen een succesvol antwoord formuleInformatieren? Dan moet beveiliging is een hij op een proactieve manier die bezorgheid van technoiedereen binnen nieuwe logie bundelen het bedrijf. tot oplossingen. Oplossingen die het bedrijf helpen zijn doelstellingen te behalen. Dat lukt alleen maar als hij het imago van techneut van zich af kan schudden en zich ontpopt tot een ras-communicator. Misschien wel een moderne vorm van missionariswerk? Stilaan dienen we te evolueren van het traditionele business-IT aligneringsverhaal naar een business-IT “fusion”context waar IT op een natuurlijke manier verweven zit in alle geledingen van een onderneming. Sommige ondernemingen zijn zo gehaast om deze nieuwe opportuniteiten te verzilveren dat ze het veiligheidsaspect uit het oog verliezen. Met alle kwalijke gevolgen vandien, zoals diefstal van vertrouwelijke gegevens en de hiermee gepaarde reputatieschade. Informatiebeveiliging is geen louter IT-technisch gegeven. Verantwoord omgaan met technologie en informatie is een zaak van bedrijfscultuur. Het management moet uiteraard het goede voorbeeld geven, en op een volwassen manier richtlijnen uitzetten over wat kan en niet kan. De verantwoordelijkheid voor de opvolging van die richtlijnen, ligt bij elke medewerker van uw bedrijf. Wie daaraan voorbijgaat, betaalt vroeg of laat de rekening.

Van techniek naar business Digitalisering, e-invoicing, cloudcomputing, sociale media, mobiele toestellen: de snelheid van verandering waarmee het IT-departement anno 2012 geconfronteerd wordt, is ongezien. Thema's als informatiebeveiliging en compliance worden daarbij wel eens over het hoofd gezien. Om al deze nieuwe uitdagingen aan te pakken, schudt de CIO zijn imago van techneut maar beter snel van zich af. En focust hij volop op dat waar het in elke onderneming om draait: de business. Drie specialisten van Ernst & Young leggen haarfijn uit hoe en waarom.

Rudi Braes, managing partner Ernst & Young

Colofon Een initiatief van Ernst & Young Andy Deprez, vennoot Ernst & Young Advisory Bernard Ghigny, vennoot Ernst & Young Financial Services Marc Joostens, Ernst & Young Tax Consultants Tim Wulgaert, director Ernst & Young Advisory Matthias Penninck, senior manager Ernst & Young Tax Consultants Kristof Dewulf, manager Ernst & Young Advisory Verantwoordelijke uitgever: Marc Cosaert, vennoot Ernst & Young Transaction Advisory Services Coördinatie Ernst & Young: Anne-Sophie Jaspers

BIJLAGE i.s.m. ERNST & YOUNG

www.ey.com/be/inzicht Volg Ernst & Young op Twitter: Twitter.com/EY_Belgium Tel.: 02 774 91 11 Een realisatie van Mediafin Publishing Coördinatie: Veronique Soetaert Redactie: Mediafin Lay-out: David Steenhuyse Fotograaf: Emy Elleboog, Wim Kempenaers Uitgever: Dieter Haerens Info? [email protected]

De context waarin het ITdepartement vandaag opereert, is radicaal gewijzigd. Hoe komt dat? Andy Deprez: Ik zie twee grote trends. Ten eerste verliezen de klassieke IT-taken aan belang. Wat vroeger de kern van IT was, is intussen een commodity geworden, die je gemakkelijk kunt uitbesteden. Technische detailkennis wordt voor een CIO dan ook minder van belang. Ten tweede wordt in deze moeilijke economische context volop ingezet op optimalisatie, efficiëntie en innovatie. De talloze nieuwe informatie-technische ontwikkelingen kunnen daartoe bijdragen. Denk maar aan de talloze nieuwe toestellen, kanalen en toepassingen. De vraag vanuit de business om die ontwikkelingen in te zetten voor het behalen van de ondernemingsdoelstellingen, is groot. De CIO wordt soms in snelheid genomen, en dan wordt wel eens voorbij gegaan aan aspecten als informatiebeveiliging en compliance. Het is tijd om de rol van de CIO drastisch te hertekenen.

Bernard Ghigny: Traditioneel was de CIO een techneut die zich opgewerkt had vanuit de IT-afdeling. Deze afdeling werkte toen als interne en exclusieve IT leverancier van het bedrijf, ter ondersteuning van de “core-business”. Gezien de snelle groei van nieuwe externe IT oplossingen, die heel aantrekkelijk en begrijpbaar waren voor business mensen - en daardoor de IT maturiteit van deze mensen fors verhoogde kreeg de CIO meer en meer druk van zijn gebruikers. Zij waren geneigd om direct met externe leveranciers deze “goedkope en flexibele” alternatieve oplossingen te implementeren. Tot daar de exclusiviteit van de IT-afdeling. Die bovendien een grote transformatie moest ondergaan om marktcompetitief te worden en nieuwe oplossingen te vinden die beter beantwoorden aan de snel veranderde behoeften van de gebruikers. Hoe ziet de nieuwe CIO eruit? Deprez: De nieuwe CIO moet denken vanuit de veranderde cliëntenbehoeften – en dan hebben we het over externe en interne cliënten. Die cliënten zijn meer

BIJLAGE i.s.m. ERNST & YOUNG

3

INFORMATIEBEVEILIGING

De CIO moet innovatie kunnen vertalen in iets dat zin heeft voor de business. Andy Deprez, vennoot Ernst & Young Advisory

businesscase. De nieuwe CIO heeft een missionarisfunctie, waarbij hij de technische detailkennis en de dagelijkse operationele taken rustig aan zijn team kan overlaten. Marc Joostens: Dat nieuwe takenpakket vraagt om een nieuw profiel. Idealiter zou de CIO van vandaag iemand zijn die vanuit een salesrol of vanuit een financerol doorstroomt naar de rol van CIO. Iemand die heel goed de business aanvoelt, zal ook beter met de collega's van de andere afdelingen communiceren. Maar dat is de theorie: in de praktijk is het vaak nog anders.

Trends

Andy Deprez, Bernard Ghigny en Marc Joostens.

en meer matuur geworden en doorgaans goed geïnformeerd. Die cliënten vragen niet meer om technische knowhow, ze willen oplossingen die de business helpen om te optimaliseren, om efficiënter te worden, om te innoveren. De CIO moet proactief tewerk gaan en technische innovaties

©Emy Elleboog

verpakken tot oplossingen die zin hebben voor de onderneming. Bovendien moet hij over die oplossingen op een bezielde manier kunnen communiceren aan zijn collega-managers, mét bijhorende

Jullie zitten als adviseurs dicht op wat er in de markt leeft. Welke vragen krijgen jullie van de cliënten? Deprez: Een van de nieuwe services die veel aandacht krijgt, is elektronische facturatie. Onze cliënten zijn meestal behoorlijk op de hoogte van de technische mogelijkheden. De vragen gaan meestal over het kostenplaatje en

>

4

INFORMATIEBEVEILIGING

over de efficiëntiewinst. Over hoeveel tijd verdient de investering zich terug? Hoeveel mankracht kunnen we besparen? Die vragen wijzen op de maturiteit van de markt.

©Emy Elleboog

Joostens: Het succes van elektronische facturatie staat of valt met de adoptiegraad ervan bij cliënten en leveranciers. Belangrijke aandachtspunten daarbij zijn de vraag naar beveiliging van de gegevens, en compliance met de wetgeving, vooral wat tax en btw betreft. Ghigny: Daarbij is het belangrijk dat de overheid niet achterloopt. Qua elektronisch factureren had de wetgever het gebruik van bepaalde technologie opgelegd. Daar komen ze gelukkig van terug: het idee dat wetten technologie-neutraal moeten zijn, vindt meer ingang. De overheid mag grondregels vastleggen: bijvoorbeeld de verplichting dat gegevens authentiek, integer en confidentieel moeten zijn. Maar de keuze voor de concrete technologie, laat ze beter aan de bedrijven over. Joostens: Een andere trend is dat de fiscale overheden steeds vaker gebruik maken van elektronische audits. Daarbij kijken ze of de systemen en processen stroken met de wet. Onze cliënten willen zich daar tijdig op voorbereiden. Is ook informatiebeveiliging een heet hangijzer? Deprez: We werden onlangs benaderd door een industrieel productiebedrijf dat een bedrijfskri-

De beveiliging van informatie staat of valt met de zwakste schakel. Bernard Ghigny, vennoot Ernst & Young Financial Services

tieke innovatie aan het ontwikkelen is. Ze willen vermijden dat informatie over die innovatie voortijdig uitlekt. De vraag is dan: hoe gaan we met die informatie om? Hoe kunnen we die beveiligen? Vragen naar de beveiliging van kritieke informatie krijgen we ook vaak vanuit de industrie, waar productinnovatie fundamenteel is. Joostens: Ook uit de telecomsector krijgen we veel vragen rondom informatiebeveiliging. De operatoren rollen met rasse schreden nieuwe netwerktechnologie en nieuwe toepassingen uit. Beveiliging van gevoelige cliëntengegevens is daar de grote bekommernis. In die sector staat er vaak zoveel druk op de ketel, dat er soms iets over het hoofd gezien wordt. Onlangs werd er nog vertrouwelijke cliënteninformatie van een operator buitgemaakt. Zoiets brengt natuurlijk onherstelbare reputatieschade mee. Wij gaan dan proactief kijken: wat is goed afgeschermd? Wat kan nog beter? Welke gegevens zijn kritiek? Ghigny: Banken willen dan weer besparen door hun kantorennet-

BIJLAGE i.s.m. ERNST & YOUNG

werk te vervangen door elektronische kanalen. Die nieuwe kanalen genereren stevige uitdagingen qua veiligheid en compliance. Gaan bedrijven op een volwassen manier om met de cloud? Ghigny: Het besef van het belang van de cloud dringt door. De mogelijkheden zijn meestal bekend. De vragen daar zijn eerder: wat houden we nog in huis? Wat besteden we uit? Wat zetten we in de cloud? Veel vragen gaan over veiligheid. Internationale bedrijven die cloud diensten aanbieden dragen veiligheid hoog in het vaandel en doen dan ook heel vaak beroep op onafhankelijke partijen om de kwaliteit van de beveiliging op periodieke basis te controleren: voor die bedrijven is hun reputatie fundamenteel! Deprez: De vragen naar de beveiliging van informatie komt vaak naar boven in verband met het gebruik van smartphones, van tablets en van sociale media. Dat stelt bedrijven voor een belangrijke uitdaging. En daar is het gevaar reëel. Joostens: Managers worden vaak

Zes tips voor de beveiliging van uw vertrouwelijke informatie Omgaan met vertrouwelijke informatie is geen sinecure. Maar deze zes tips helpen u al een heel eind op weg.

1.

Technologie is maar één ingrediënt van informatiebeveiliging Een degelijke technologische beveiliging is uiteraard een vereiste. Toch volstaan firewalls en antivirusprogramma's niet om de vertrouwelijkheid van uw gegevens te garanderen. Veiligheid is niet alleen de verantwoordelijkheid van de IT-afdeling.

2. Informatiebeveiliging

© Shutterstock

is de verantwoordelijkheid van iedereen Als er iets mis gaat met de veiligheid van informatie, is dat in bijna alle gevallen te wijten aan een menselijke oorzaak. Goede controlemechanismen helpen, maar zijn zeker niet voldoende. De cultuur van uw bedrijf is veruit de belangrijkste factor. Zorg ervoor dat veiligheid in uw cultuur verankerd wordt.

3. De zwakke schakel bepaalt

5. Hou ook rekening

het veiligheidsniveau Eén zwakke schakel, één onoplettende medewerker volstaat om de hele informatiebeveiliging van uw bedrijf om zeep te helpen. Zoek die zwakke plekken op, en schakel ze uit waar mogelijk.

met de klant Als u informatie van klanten wilt beveiligen, hou dan rekening met hun voorkeuren. Welke informatie is voor hen het meest vertrouwelijk, via welke kanalen willen zij over veiligheid benaderd worden, waar liggen hun gevoeligheden?

4. Doe een beroep op extern advies Bij beveiliging worden al te vaak ogenschijnlijk onbelangrijke details over het hoofd gezien. Om er zeker van te zijn dat uw beveiliging optimaal is en de belangrijkste normen respecteert, wint u het best extern advies in. Gespecialiseerde bedrijven kunnen u met een veiligheidsaudit een ongestoorde nachtrust bezorgen.

6. Vergeet het wettelijk kader niet Bij projecten rond beveiliging wordt wel eens vergeten rekening te houden met de wetgever. Als u bijvoorbeeld overweegt papieren contracten door digitale te vervangen, zorg er dan voor dat u het wetgevend kader scrupuleus respecteert.

©Emy Elleboog

Compliance is een vaak miskende bekommernis bij de implementatie van nieuwe IT-projecten. Marc Joostens vennoot Ernst & Young Tax Consultants

voor voldongen feiten geplaatst. Iedereen wil zijn eigen toestel, zeker de jongere generatie. Als nieuwe werknemers toekomen, vragen ze niet meer: 'Mag ik dit toestel hier gebruiken?' Ze vragen: 'Hoe kan ik mijn toestel verbinden met het bedrijfsnetwerk?' We moeten daarin meegaan, en zorgen dat het veilig kan gebeuren. Net zoals het gebruik van sociale media: dat wordt ook meer en meer vanzelfsprekend.

Nieuwe realiteit Hoe ga je als CIO om met de wildgroei aan toestellen en communicatiekanalen? Deprez: 'Ieder zijn toestel' proberen tegen te houden, dat is geen optie. We raden vooral aan om de werknemers voor te lichten over goed gebruik en hen te informeren over gevaren. Het is interessanter om te werken aan positieve houdingen dan te schermen met verboden, die toch omzeild worden. Je kunt bijvoorbeeld het gebruik van sterke wachtwoorden promoten, of proberen uit te leggen dat het laten slingeren van je smartphone of laptop een reëel gevaar inhoudt. Bij zo'n volwassen houding heeft iedereen belang. Ghigny: Dezelfde houding loont ook bij de omgang met de Facebooks, de Twitters en de LinkedIns van deze wereld. Tot een paar jaar geleden stonden bedrijven daar vooral argwanend tegenover. Wat wij aanraden? Wees niet zozeer bang van wat er mis kan lopen, maar geef richting. Geef aan wat kan en wat niet kan met nieu-

5

INFORMATIEBEVEILIGING

we media. Bij Ernst & Young hebben we bijvoorbeeld een screening gedaan van alle LinkedIn-profielen van onze medewerkers. Dat kon beter. We hebben een template gecreëerd waarmee medewerkers hun LinkedIn profiel kunnen stroomlijnen en optimaliseren. Zij waren daar zelf heel tevreden mee. Joostens: Qua informatiebeveiliging heb je een beleid nodig dat zich toespitst op de zaken die echt van belang zijn. De realiteit van vandaag is complex, en laten we

een kat een kat noemen: informatiestromen zijn nooit 100 procent waterdicht. Identificeer wat er beveiligd moet worden, en in welke mate. Waar ligt de verantwoordelijkheid voor de beveiliging van informatie? Deprez: Bij iedere werknemer van de onderneming. De CIO moet uiteraard zorgen voor een doordachte architectuur en voor de beveiliging van de systemen. Maar firewalls en antivirusprogramma's volstaan niet. Beveiliging is voor 30 procent techniek en voor 70 procent een kwestie van organisatie, van processen, en van mentaliteit. Voor een goede informatieveiligheid is de bedrijfscultuur cruciaal. Iedereen moet zich verantwoordelijk voelen.

Vier stappen naar succesvolle informatiebeveiliging Uit de Global Information Security Survey 2012, een grootschalig onderzoek van Ernst & Young (zie pagina 11), blijkt dat de meeste organisaties hun informatiebeveiliging broodnodig op een nieuwe leest moeten schoeien. Kortetermijndenken en kant-en-klare oplossingen zijn niet voldoende. Organisaties die ernstig aan de slag willen om de kloof te dichten, moeten dringend volgende vier stappen nemen:

2.Overweegt u nieuwe 1. Verbind de strategie voor de beveiliging van informatie met de algemene bedrijfsstrategie, en verbindt de doelstellingen van informatiebeveiliging met de algemene businessdoelstellingen. Alleen zo komt u tot een geïntegreerde aanpak.

architectuur te implementeren en nieuwe technologie aan te schaffen? Dan begint u het best met een schone lei. Zo kunt u beter definiëren wat er precies moet gebeuren. Dit is de gelegenheid bij uitstek om obstakels uit de weg te ruimen en komaf te maken met eventuele vooroordelen die fundamentele verandering in de weg kunnen staan.

4.Voor u overgaat tot de implementatie van nieuwe technologie, onderzoekt u het best diepgaand de opportuniteiten en risico's die ze bieden. Sociale media, grote datavolumes, de cloud en mobiele toepassingen zijn blijvers. Zorg ervoor dat uw organisatie zich daar tijdig aan aanpast.

© Shutterstock

BIJLAGE i.s.m. ERNST & YOUNG

3.

Voer de transformatie uit door een omgeving te creëren die de organisatie toelaat op een succesvolle en duurzame wijze de informatieveiligheid te veranderen. Alleen zo komt u tot een toekomstbestendige oplossing.

twitter.com/EY_Belgium

Ernst & Young goes social

EY_Belgium%gmjg^Õ[aYd[gjhgjYl]loall]jY[[gmfl =QWda^]:]d_ame%o`Ylalakdac]lgogjcYl=jfklQgmf_

©2012 ERNST & YOUNG LLP

Stay updated by following us on Twitter

BIJLAGE i.s.m. ERNST & YOUNG

7

INFORMATIEBEVEILIGING BIJ SOCIALE MEDIA

SO C IALE MEDIAB EL EI D

Veel opportuniteiten, maar ook risico’s Het aantal internetgebruikers en het aantal gebruikers van sociale media blijven een sterke groei kennen, en zijn haast niet meer uit het bedrijfsleven weg te denken. Naast tal van mogelijkheden en uitdagingen, brengt dat ook een aantal gevaren mee. Bedrijven die er het best mee leren omgaan, hebben een stap voor op de concurrentie.

emiddeld bezoeken dagelijks meer dan 170 miljoen mensen Facebook, 40 miljoen Twitter en 22 miljoen LinkedIn. Tegen 2016 worden er 3 miljard internetgebruikers verwacht. Met andere woorden: sociale media zijn een blijver. Bovendien geeft 67 procent van de ondervraagden in recent onderzoek van Ernst & Young aan dat sociale media hun koopgedrag beïnvloeden. Een trend die zich alleen maar zal doorzetten met de groei van smartphones, tablets, met de integratie van sociale media in tv en andere media. Sociale media bieden veelbelovende mogelijkheden tot marketing, tot marktonderzoek en tot real-time interactie met klanten. Vergeet ook de interne sociale media tools niet. Applicaties als Chatter en Yammer worden in steeds meer organisaties gebruikt als kanaal voor samenwerking en communicatie tussen werknemers en soms zelfs externen. Ze voegen een extra dimensie toe aan de communicatie en samenwerkingskanalen zoals mail, chat en collaboration software. Ook hier zijn er risico’s met betrekking tot controle en informatieveiligheid.

G

tussen werknemers. Vergeet niet dat de eigen werknemers ook privégebruikers zijn van sociale media. Hun privéaccounts zullen in vele gevallen een link hebben met de organisatie. Om de verschillende manieren van aanpakken en de verschillende verantwoordelijken uit elkaar te houden, werkt u het best een raamwerk uit met een verantwoordelijke per kanaal. De risico's kunnen dan per kanaal apart opgespoord worden.

Governance Organisaties die te snel en ondoordacht op de nieuwe sociale media ingespeeld hebben, werden geconfronteerd met de risico’s. In het slechtste geval met een impact op hun marktaandeel of reputatie als gevolg.

© RV

Raamwerk Verkeerd inspelen op sociale media heeft soms zware gevolgen voor de reputatie van de organisatie of haar merken. Ongenoegen en al dan niet terechte klachten kunnen virale vormen aannemen. Corporate accounts op sociale media worden misbruikt, gehackt of vervalst; werknemers spenderen te veel tijd aan sociale media voor privédoeleinden tijdens de werkuren of gebruiken het voor pestgedrag. Om deze risico’s te beheersen is er nood aan duidelijke sturing of governance. De verschillende manieren waarop sociale media ingezet kunnen worden, moeten van elkaar onderscheiden worden: externe communicatie, marketing, aanwerving, interne samenwerking

© Shutterstock

Een effectief socialemediabeleid vraagt een initieel assessment, gevolgd door een geïntegreerde strategie, richtlijnen, een bewustzijnscampagne bij de gebruikers en een continue monitoring. Organisaties met zo'n geïntegreerde strategie en gestructureerde governance met betrekking tot sociale media hebben bewezen dat ze veel beter in staat zijn om het volatiele en soms risicovolle karakter van sociale media te beheersen. Sommigen slagen er zelfs in om echt te floreren.

Verkeerd inspelen op sociale media heeft soms zware gevolgen. Tim Wulgaert, director Ernst & Young Advisory

8

INFORMATIEBEVEILIGING IN DE PRAKTIJK

BIJLAGE i.s.m. ERNST & YOUNG

E L E KT RON ISC H FACTU RE RE N BIJ BOR E ALIS

Het einde van de papieren omweg Plasticproducent Borealis zet sinds juni vorig jaar volop in op elektronische facturatie. Intussen heeft meer dan de helft van Borealis' leveranciers de oplossing geadopteerd. Eddie Van den Eede, Europees verantwoordelijke voor de leveranciersboekhouding, vertelt over het succes van zijn project.

Hoe verloopt jullie papieren facturatieproces? Eddie Van den Eede: Zoals bij zoveel bedrijven van enige omvang is dat een goed geolied systeem. We ontvangen van onze leveranciers per post een papieren factuur. Die wordt dan manueel ingescand. Software die gebruik maakt van optische karakterherkenning leest de relevante informatie en slaat die op in ons ERP-systeem. Die gegevens worden dan door de boekhouding verwerkt. We archiveren de documenten elektronisch, zeven jaar lang, zoals de wet het voorschrijft.

De grootste uitdaging is het begeleiden van onze leveranciers. Eddie Van den Eede, Accounting Services manager Borealis

Wat was de voornaamste reden voor de overschakeling op een elektronisch alternatief? Van den Eede: Kostenbesparing. Een papieren factuur kost de leverancier al snel drie euro, en voor de klant kan dat oplopen tot vier euro. Ik bekijk het zo: bij papieren documenten komen een heel aantal handelingen kijken. Bij de leverancier wordt de factuur geprint, in een omslag gestopt, gefrankeerd en op de post gedaan. De klant sorteert zijn post, scheurt de enveloppes open en scant die manueel in. Het resultaat? Een elektronisch beeld van de factuur dat bovendien niet op-

timaal leesbaar is. Als je die hele papieren omweg afschaft, betekent dat een belangrijke besparing en daarenboven meer efficiëntie en betere kwaliteit.

Implementatie Hoe verliep de implementatie van het project? Van den Eede: De technische implementatie was vrij eenvoudig. Het kostte een programmeur twee dagen werk om ervoor te zorgen dat het ERP-systeem ook facturen aanvaardt in pdf-formaat. De leverancier kan die dan eenvoudigweg per mail naar een vaste server sturen. De uitdagingen lagen elders. Ten eerste moesten we ervoor zorgen dat wat we doen, strookt met wat de wetgever verwacht. Daarom hebben we het project eerst uitgerold in Zweden, Finland, België en Duitsland. In die landen is het nu

al toegelaten om pdf-facturen via mail te sturen. Bovendien heeft Borealis omvangrijke sites in die landen met een belangrijk volume aan facturen. In andere landen staat de wetgeving nog niet helemaal op punt. Zo is Oostenrijk voor ons een moeilijke omgeving, omdat de wetgever daar eist dat elektroni-

DIG ITAL IS ERI NG, EL EKTRONISCHE FACT URAT IE EN E LE KTR ONISC HE A RC HIE VEN

Gaat uw organisatie voor het volle potentieel? Vandaag de dag hebben al tal van bedrijven een deel van hun facturatie gedigitaliseerd, of zijn ze bezig met dergelijke projecten. Die worden vaak ingegeven vanuit het oogpunt van een hogere efficiëntie van de facturatie binnen een organisatie. Bent u er klaar voor? In haar strategie voor 2020 stelt de Europese Commissie dat elektronische facturatie de belangrijkste manier van factureren moet worden. De adoptiegraad in ons land is nog beperkt: slechts 35

procent van de bedrijven verstuurt of ontvangt minstens een deel van de facturen elektronisch. Waarom zo weinig? Technische complexiteit, beveiligingsrisico’s en onzekerheid op wettelijk vlak. De praktijk toont aan dat u via een doordachte en multidisciplinaire aanpak tot een mooie businesscase kunt komen. De technologie en beveiliging zijn haalbare kaarten die door de bedrijven intern worden opgelost of waarbij het elektronische facturatieluik wordt uitbesteed aan een zogenaamde e-invoicing service provider.

Ook het wettelijke kader is een aandachtspunt. Een factuur is een formeel middel om het recht op btwrecuperatie uit te oefenen. Op dit laatste punt werd een lange weg afgelegd om onzekerheid weg te werken. Bovendien treden er op 1 januari 2013 soepelere regels in werking in de Europese Unie. Wil een elektronisch facturerings-

Vanaf 2013 moeten eenvoudige pdffacturen in de EU rechtsgeldig zijn. Matthias Penninck, senior manager Ernst & Young Tax Consultants © RV

BIJLAGE i.s.m. ERNST & YOUNG

INFORMATIEBEVEILIGING IN DE PRAKTIJK

9

130 anderen werken aan een oplossing. 350 leveranciers hebben geweigerd en 200 leveranciers reageerden nog niet. Daarmee halen we een volume van ongeveer 26 à 27 procent van het totaal aantal facturen. Ons streefcijfer is 50 à 60 procent.

© Wim Kempenaers

sche facturen gecertificeerd worden. Leveranciers verplichten om pdf-facturen met certificatie te versturen is moeilijk te realiseren en bovendien een extra kost. Maar gelukkig verandert dat: op 1 januari 2013 moeten eenvoudig per mail verstuurde pdffacturen overal in de Europese Unie rechtsgeldigheid krijgen. Verder doen we ook altijd een beroep op Ernst & Young voor een audit van onze oplossingen. Zo zijn we zeker van de rechtsgeldigheid van ons concept.

systeem aan die btw-regels voldoen, dan moeten technologie, beveiliging en bedrijfsprocessen naadloos op elkaar afgestemd zijn. Vanaf 2013 kan een lidstaat namelijk niet meer eisen dat een bedrijf een bepaalde technologie gebruikt om facturen elektronisch te verzenden of te ontvangen. Zo is het vanaf dan toegestaan om bijvoorbeeld alleen maar pdfformaten te hanteren – in België kan dit nu al. Voorwaarde is dat de integriteit van de inhoud, de authenticiteit van de herkomst en de leesbaarheid ervan in de archieven worden gegarandeerd. Elke be-

Wat was de grootste uitdaging? Van den Eede: Zonder twijfel: de leveranciers overtuigen. In de vier landen waar we eerst van start gegaan zijn, hebben we zo'n 1.400 leveranciers benaderd, die we uitgenodigd hebben om, zoals bij wet verplicht, een eenvoudig contractje te ondertekenen. Intussen hebben 720 van hen getekend.

drijfscontrole die een 'audit trail' vormt tussen een handeling en de factuur ervan, kan dan worden gebruikt om deze garanties te bieden. Het bedrijf zelf moet valideren of zijn processen dergelijke garanties aan de fiscus kunnen bieden. Om dit aan te tonen, dient u facturerings- en archiveringsprocessen en -systemen op voormelde criteria te valideren. Dit gebeurt het best tijdens workshops en op basis van voldoende documentatie. © Shutterstock

Hoe verklaart u die trage penetratie? Van den Eede: Als je de voordelen optelt, zou de overgang naar de elektronische factuur heel snel moeten verlopen. Maar blijkbaar is het idee nog niet doorgedrongen in de markt. Ik moet telkens opnieuw uitleggen dat een elektronische factuur wettelijk toegelaten is. Veel bedrijven zijn zich blijkbaar gewoon niet bewust van belangrijke nieuwe trends in het IT-landschap. Ik vind dat een ernstige vaststelling. Grote leveranciers zijn meestal wel op de hoogte, maar houden toch vaak de boot af. Onze vraag tot elektronisch factureren dwingt hen eigenlijk om een uitzondering te maken op hun vaak goed geolied papieren proces, dat bovendien in veel gevallen uitbesteed wordt. Veel tijd en geld zou hen dat niet kosten; het zou alleen maar besparingen opleveren. Maar blijkbaar liggen hun prioriteiten elders. Het is ook tekenend dat wij zelf nauwelijks benaderd werden door onze leveranciers met dezelfde vraag. Van onze 1.400 leveranciers waren er maar 3 die ons zelf vroegen of ze hun facturen elektronisch mogen opsturen. Dat bewijst dat de graad van acceptatie in de markt nog heel laag is. Ik zie mezelf dan ook vooral als een begeleider van onze leveranciers naar een nieuwe digitale wereld.

Thought Leaderships Jaarlijks publiceert Ernst & Y Young oung o tal van studies en rapporten. Door onze kennis en expertise met u te delen, hopen wij u te kunnen bijstaan bij het bereiken van uw professionele doelstellingen. U kan deze en andere thought leaderships downloaden op www.ey.com/be

Insights on IT risk :mkaf]kkZja]Õf_ 

November 2012

Fighting to close the gap Ernst & Young’s 2012 Global Information Security Survey

The DNA of the CIO Opening the door to the C-suite

BIJLAGE i.s.m. ERNST & YOUNG

11

INFORMATIEBEVEILIGING: ONDERZOEK

G LO BA L INFOR MATIO N SECUR ITY SURVE Y 2012

Toename van beveiligingsincidenten verwacht Een niet mis te verstane wake-up call: 45 procent van de Belgische organisaties verwacht een toename van het aantal beveiligingsincidenten. Dat blijkt uit de Ernst & Young Global Information Security Survey 2012.

rnst & Young volgt al vijftien jaar de mondiale ontwikkelingen in IT-beveiliging op de voet. Voor de jongste editie van het Global Information Security Survey, kortweg GISS, leverden 1.850 bij IT-beveiliging betrokken managers uit 64 landen de nodige input. We zetten de vijf markantste vaststellingen voor ons land op een rijtje.

E 1.

Amper 1 op de 10 vindt dat zijn huidige IT-beveiliging beantwoordt aan de behoeften van de organisatie. ‘De CIO wordt steeds vaker in snelheid genomen’, zegt Kristof Dewulf, Advisory manager bij Ernst & Young en gespecialiseerd in IT Risk. ‘De uitdagingen volgen elkaar in een steeds hoger tempo op: nieuwe markten, economische volatiliteit, uitbesteding, overheidsinterventie, steeds strengere regelgeving. Dat maakt IT-beveiliging nu complexer dan ooit tevoren.’ © Shutterstock

2. 62 procent van de Belgische respondenten – 15 procent meer dan het wereldwijde gemiddelde – signaleert een toename van de interne kwetsbaarheid. Een zeer belangrijke factor is de combinatie van nieuwe technologie met slordige, onwetende en soms zelfs kwaadwillige werknemers.

3. De helft van alle ondervraagde Belgische organisaties doet vandaag aan cloudcomputing, via internet gebruik maken van externe hardware, software of data. Toch heeft maar 1 op de 4 bedrijven maatregelen genomen om de risico's in te dijken, bijvoorbeeld door gebruik te maken van speciale coderingstechnieken, of door een strikter toezicht op de leveranciers van cloudcomputing.

4. Werknemers van een derde van de ondervraagde bedrijven maken gebruik van smartphones en tablets om bedrijfsinformatie online te raadplegen. Het gebruik van zowel privétoestellen als toestellen van de onderneming zorgt voor een enorme, moeilijk

te controleren informatiestroom tussen organisatie en buitenwereld. ‘Bewust omgaan met deze toestellen, o.a. door codering ervan, kan daar een uitkomst bieden’, vertelt Dewulf.

5. Met 5 procent meer budget voor IT-beveiliging lijkt het gros van de Belgische ondernemers het komende jaar een inhaalbeweging in te zetten. Grootste prioriteiten? Training, sensibilisering en de beveiliging van nieuwe technologie. Of de inspanningen volstaan om de immense uitdagingen het hoofd te bieden, is hoogst onzeker. In plaats van over te gaan tot de aardverschuiving die daarvoor nodig is, blijven veel bedrijven te vaak steken in

ad hoc wijzigingen en kortetermijnoplossingen. Dat komt onder meer omdat de juiste verantwoordelijkheden niet altijd bij de juiste persoon liggen. ‘De inrichting van een efficiënte organisatie waarbij de belangen van IT- en informatiebeveiliging structureel aangepakt worden met een vertegenwoordiging binnen de hoogste lagen van de onderneming kan daar soelaas bieden’, aldus Dewulf. ‘Dit kan ervoor zorgen dat er resultaten geboekt worden rekening houdende met de balans tussen de uitdagingen van bovenstaande evoluties en de beperkingen die de onderneming opgelegd worden. Dit komt neer op een goede en eenduidige risico-inschatting en -beheersing in alle geledingen van de organisatie. Zo verschijnen zwakke plekken veel sneller op de radar, en worden IT-tools veel efficiënter ingezet in combinatie met andere procedures en methodes.’

Meer informatie? U kunt de studie raadplegen op www.ey.com/GISS. Bovendien vindt u daar een reeks concrete aanbevelingen om de IT-beveiliging van uw organisatie te versterken. Hebt u nog vragen of bedenkingen? Neem dan zeker contact op met: Kristof Dewulf, manager Ernst & Young Advisory: [email protected] of 02 774 60 23.

12

INFORMATIEBEVEILIGING: BELEID

BIJLAGE i.s.m. ERNST & YOUNG

S L I MM E G EG EV ENSPR IVACY DOE T ME E R DA N AL LE EN D E W ET VOLG EN

Een privacybeleid geeft klant én medewerker wat ze nodig hebben Telecommunicatieoperator Mobistar heeft al een hele kluif aan de wettelijke bescherming van de massa aan persoonlijke gegevens die hij behandelt. Maar het bedrijf luistert ook naar de verwachtingen van klanten en doktert uit wat welke medewerker precies kan doen en wat niet. Dan pas ontstaat er een volwaardig beleid voor gegevensprivacy.

oor telecomoperator Mobistar is gegevensprivacy geen kleine zaak. Het bedrijf telt 1.800 medewerkers, nadat recentelijk meer mankracht werd ingeschakeld in de klantendiensten en de winkels. Met zijn 4,5 miljoen klanten, goed voor 1,5 miljard euro omzet, krijgt het enorm veel persoonlijke gegevens te verwerken. ‘Vooral omdat we veel ‘post paid’-klanten hebben, waarbij via de facturatieprocessen meer persoonlijke informatie komt kijken’, weet Paul-Marie Dessart, secretarisgeneraal bij Mobistar.

V

Klanten gevoelig

Paul-Marie Dessart, secretaris-generaal Mobistar.

© RV

‘Maar het gaat bij dataprivacy niet alleen om de informatiestromen over klanten, het gaat ook over medewerkers. Vroeger werd deze materie nooit in haar geheel aangepakt en gingen we niet na of alles wel coherent was. We stonden er ook niet bij stil welke nakende ontwikkelingen impact hebben op de dataprivacy. Maar met de doorbraak van het mobiele dataverkeer moesten we mogelijke onrust over persoonlijke gegevens voorkomen of opvangen. Hoewel hun vaste telefoonnummer altijd al in telefoonboeken stond, percipiëren klanten dat soms anders voor hun mobiel nummer. Maar de wetgever behandelt alle persoonlijke gegevens op dezelfde manier, of dat nu een vast nummer is of een mobiel, een adres of de inhoud van een tekstbericht.

Wij moeten verder gaan om rekening te houden met de gevoeligheden van klanten’, verklaart Paul-Marie Dessart nog. Mobistar kiende uit hoe het best de privacykwesties zou beheren. ‘We maakten een balans op van wat de klant wilt. Via workshops konden medewerkers hun gewoonten leren kennen. Ernst & Young stond ons bij met begeleiding en met het aanreiken van de beste praktijken uit andere landen. Als je zo’n breed project opzet, pak je in essentie drie aspecten aan: deugdelijk bestuur, principes en risicobeheer. Deugdelijk bestuur vereist dat voor alle rollen in het bedrijf de verantwoordelijkheden goed worden gedefinieerd en dat er duidelijk over wordt gecommuniceerd. Iedereen moet beseffen dat privacy belangrijk is, zowel in het callcenter, als bij de facturatie of in het magazijn. Zij komen allemaal in aanraking met privégegevens.’

Risico’s kennen De communicatie werd aantrekkelijk opgevat en was overal in de kantoren van Mobistar te zien. ‘Het moest echt doordringen dat je de gegevens die je dagelijks behandelt, voorzichtig en discreet moet benaderen. Dit soort communicatie herhalen we ook regelmatig, want medewerkers komen en gaan’, aldus nog Paul-Marie Dessart. Een tweede as voor zijn privacybeleid betrof de procedures en principes. ‘Je moet ervoor zorgen dat de pro-

BIJLAGE i.s.m. ERNST & YOUNG

INFORMATIEBEVEILIGING: BELEID

13

S LOR DIG P RI VAC YB EL EID MAA KT KAN S O P STRE N G E SAN C T IE S G ROT E R

Afdwingbaarheid van de Belgische wet is beperkt, maar Europa wordt veel strikter Vandaag hanteert België nog een beperkte afdwingbaarheid van de privacywetgeving. Vooral het risico op reputatieschade dreef bedrijven tot nu richting privacybeleid. Maar er komt een veel strengere Europese verordening aan. Voorkomen wordt veel goedkoper dan genezen. ‘De wettelijke basis voor de bescherming van de persoonlijke levenssfeer ligt in een wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer. Deze wetgeving in zijn huidige vorm is onder meer gebaseerd op de implementatie van de Europese richtlijn van 24 oktober 1995. In België gebeurde de invulling veel minder strikt dan in onze buurlanden, vooral qua afdwingbaarheid. De boetes zijn bijzonder laag. De toepassing wordt bijna niet actief gecontroleerd. Organisaties moeten vooral opletten dat gebrek aan privacybeleid hen geen reputatieschade berokkent. De wet stelt wel enkele principes voorop, met name hoe persoonsgegevens verwerkt mogen worden. De verwerking is enkel mogelijk indien dit op een eerlijke en rechtmatige wijze gebeurt en ook met een zekere doelgebondenheid. Een organisatie moet genoeg gegevens collecteren, maar niet meer dan nodig voor het specifiek doel dat ze nastreeft. Het principe van transparantie vereist dat je de persoon informeert over het gebruik van zijn gegevens’, schetst An Meheus, advocaat bij Holland Van Gijzen. ‘Ook komt er een Europese verordening aan, die directe

werking zal hebben in al de lidstaten. België kan daar geen eigen, lossere interpretatie aan geven. Het voorstel van verordening van 25 januari 2012 treedt in principe over twee jaar in werking. Het legt veel strengere normen op. Zo moeten bedrijven met meer dan 250 werknemers verplicht een ‘data privacy officer’ aanstellen. Toestemmen met het gegevensgebruik, wat nu nog vrij vaak impliciet gebeurt, zal veel explicieter moeten. De nieuwe regels worden ook meer afdwingbaar. Een lek van persoonlijke gegevens moet indien mogelijk binnen 24 uur worden gemeld aan de commissie voor de bescherming van de persoonlijke levenssfeer. Je riskeert ook boetes die kunnen oplopen tot 450.000 euro per overtreding en voor bepaalde overtredingen zelfs een boete van 2 procent van de jaarlijkse omzet. De commissie voor de bescherming van de persoonlijke levenssfeer zal actiever kunnen optreden. Verwacht wordt dat de commissie hiervan gebruik zal maken door bijvoorbeeld onaangekondigd controles uit te voeren bij bedrijven’, aldus nog An Meheus.

Pak het zelf nu aan De advocaat raadt het hoger management in bedrijven aan om nu al van start te gaan met een degelijk privacybeleid en om de verwerking van persoonsgegevens goed te documenteren door adequate policies (beleidsdocumenten) op te maken. Het is belangrijk

om iedereen in het bedrijf te sensibiliseren. ‘Ga niet te ver in het toekennen van toestemmingen voor toegang tot persoonsgegevens en houd deze niet nodeloos lang bij. Zorg ook voor transparantie door personen Begin nu met op sites of aankoopdocueen actief menten duidelijk te inforprivacybeleid, meren over wat er met sensibiliseren is hun gegevens gebeurt; belangrijk. met werknemers doe je An Meheus, dit bijvoorbeeld via het advocaat arbeidscontract. Vergeet Holland Van Gijzen niet dat iedereen het recht heeft om zijn persoonlijke gegevens na te kijken en te verbeteren.’ An Meheus beseft hoe moeilijk de klus is. ‘Persoonlijke gegevens zitten overal verspreid en het is moeilijk om een goed overzicht te hebben. Maar dat moet je nu echt wel doen. Er komen belangrijke wijzigingen aan, die een grote impact gaan hebben op de bedrijven. Dat geldt trouwens ook voor publieke organisaties of vzw’s; ook voor ziekenhuizen, die geconfronteerd worden met gevoelige persoonlijke gegevens waar nog strengere regels voor gelden.’

© RV

cedures van bijvoorbeeld incidentmanagement goed draaien, evenals de alarmen. Als iemand geen machtiging heeft, maar wel aan bepaalde gegevens probeert te geraken, volgt er zowel een alarm als een blokkade, samen met een identificatie. Voor dit systeem gebruiken we de beste beschikbare software.’ Risicobeheer is ook los van gegevensprivacy een belangrijke zaak bij Mobistar. ‘De analyse van de bedreigingen voor gegevensprivacy brengt systematisch ook de kwetsbaarheid en de beste manier van voorkomen in kaart. De analyse moet je altijd weer herhalen, want er duiken geregeld nieuwe risico’s op. We moetenbeveiligingsinfrastuctuur, processen en dergelijke blijven testen, zodat de gegevensveiligheid

Als je zo’n breed project opzet, pak je in essentie drie aspecten aan: deugdelijk bestuur, principes en risicobeheer. Paul-Marie Dessart, secretaris-generaal Mobistar

gewaarborgd blijft. Maar daarvoor moet je ook steeds weer identificeren wat klanten verwachten van ons. De klant moet vertrouwen hebben, transparantie krijgen, controle houden en de waarde ervan ervaren. De wet schrijft veel voor over toegang van de klant tot zijn gegevens, maar hij moet er ook leesbare en bevattelijke informatie over krijgen, en wel snel genoeg.’

Deel van klantenzorg Die aanpak sluit naadloos aan bij de bedrijfsstrategie. ‘De strategie is gericht op het centraal plaatsen van de eindgebruiker. Alles wat de klant betreft, verdient de beste service. Dit behelst bepaalde evidente zaken, maar ook de behandeling van zijn persoonlij-

ke gegevens. In onze branche is Mobistar niet toevallig de enige met een departement Klantentrouw, dat mee bouwt aan de ‘happy customer’. Ook daar is gegevensprivacy een van processen die een verschil kunnen maken. Telkens als er ergens een veiligheidlek in de media komt, moeten wij mensen kunnen geruststellen.’ Een degelijk gegevensprivacybeleid vraagt meer dan een toepassing van de wetgeving. ‘De wet schrijft voor dat een operator zoals Mobistar in de keten van informatie de ‘privégegevens’ moet afschermen en beschikbaar houden voor de persoon zelf. Maar het hele beschermingsproces moet in je bedrijf vooral goed werken, zodat je ook goed aan de verwachtingen van de klant kunt voldoen. Tegelijk mogen medewerkers alleen toegang hebben tot dat wat ze nodig hebben voor hun taken. We kunnen meteen identificeren wie info opzoekt die hem niet toekomt, en dat werkt als afschrikking. Daarom hebben we nauwkeurige beleidslijnen voor alle profielen van medewerkers.’

14

INFORMATIEBEVEILIGING: CIO

BIJLAGE i.s.m. ERNST & YOUNG

HE T DN A VAN D E C IO

©Emy Elleboog

De brug tussen IT en business ‘We zien de laatste drie à vijf jaar enorme kansen ontstaan voor de CIO om te innoveren en strategisch mee te denken. Toch blijft zijn rol in de directiekamer daarbij achter’, zegt Andy Deprez, vennoot van Ernst & Young Advisory. In de studie ‘The DNA of the CIO’ neemt Ernst & Young de kloof tussen de IT-functie en de rest van de business onder de loep.

e titel CIO bestaat nauwelijks vijftien jaar, terwijl CEO en CFO al veertig jaar zijn ingeburgerd. Tot einde jaren negentig heette de CIO simpelweg Directeur Informatica of Hoofd Technische Dienst, en zat hij letterlijk en figuurlijk een paar verdiepingen lager dan het directiecomité. Het waren andere tijden: e-mail was een nieuwigheid, internet leek nog een hype, en IT een rechttoe- rechtaan processing job. ‘Intussen heeft IT zich razendsnel ontwikkeld van een 'enabler' tot een 'driver'’, stelt Deprez. 'Van een instrument om de efficiëntie te vergroten werd het een manier om een organisatie te differentiëren van de concurrentie. De crisis die vier jaar geleden losbarstte, heeft de potentiële rol van de CIO in een stroomversnelling gebracht.’

D

De CIO die niet overbodig wil worden, moet zorgen dat de ‘I’ uit zijn titel staat voor innovatie. Andy Deprez, vennoot Ernst & Young Advisory

‘CIO's hebben een sterke technische achtergrond’, legt Andy Deprez uit. ‘Maar het ontbreekt hen vaak aan communicatievaardigheden. Daardoor slagen ze er niet altijd in om in de directiekamer een overtuigend verhaal te brengen over wat IT kan betekenen voor de organisatie. Voor de CFO ligt dat heel anders. Het is tekenend dat de kandidaat-CEO slechts in 2 à 3 procent van de gevallen een CIO is, en in 40 à 50 procent van de gevallen een CFO. Op die manier krijg je in de directiekamer automatisch een taalgebruik dat sterk financieel gericht is en dat de CIO minder ligt.’

Communicatievaardigheden

Kruisbestuiving

Onderzoekers van Ernst & Young bekeken wat er van die potentiële rol terechtkomt op het terrein. Voor de studie The DNA of the CIO spraken ze wereldwijd met meer dan 350 topmensen uit grote organisaties. Onmiskenbare vaststelling: 87 procent van de CIO's geloven dat ze een belangrijke toegevoegde waarde kunnen leveren voor de business. Ze zijn erg gemotiveerd om bij de andere leden van het management de achterhaalde perceptie weg te werken van IT als ondersteunende functie. Maar dat lukt hen niet altijd.

Deprez pleit voor kruisbestuiving: ‘Er moeten meer mensen vanuit de business CIO worden. Zij denken vanuit de functionaliteit, en sturen zo de IT. Neem bijvoorbeeld een sales manager die op het terrein ziet wat je met een iPad kunt doen. Als hij CIO wordt, zal hij met zijn projecten heel dicht bij de business zitten. Omgekeerd zou het een goede zaak zijn als de kandidaat-CIO

U kunt de studie ‘The DNA of the CIO’ downloaden op www.ey.com/be. Hebt u vragen of ideeën rond uw rol als CIO? Neem dan contact op met Andy Deprez van Ernst & Young Advisory: [email protected] of 02 774 62 47.

eerst ervaring opdoet in de business.’ Kruisbestuiving betekent dat de CIO zijn comfortzone moet verlaten. ‘Servers bezitten en beheren hoeft niet langer een kernactiviteit van een onderneming te zijn’, stelt Deprez. ‘Dat kan allemaal uitbesteed worden. De CIO die zichzelf niet overbodig wil maken, moet zorgen dat de 'I' uit zijn titel staat voor innovatie. Hij moet nieuwe tendensen en technologie detecteren, en die kanaliseren naar de behoeften die hij waarneemt in de business.’ ‘Veel jongeren beschikken vandaag al privé over de beste mobiele toestellen. Is het dan de rol van de organisatie om hen ook nog eens daarmee uit te rusten? Laat je hen die privétoestellen professioneel gebruiken? En zo ja, hoe doe je dat op een efficiënte en veilige manier? Aan de CIO om op dat soort vragen een sluitend antwoord te geven en dat te vertalen naar de directiekamer. Dat vergt visie, communicatietalent en coördinatievaardigheden. Maar de CIO die daarin slaagt, wordt automatisch een strategische stem in het management.’

BIJLAGE i.s.m. ERNST & YOUNG

INFORMATIEBEVEILIGING: CIO

15

C I O VAN H ET JAA R WE RKT BIJ COCA- CO LA

Leg de focus op business Ze maakt snel duidelijk waarom zij tot CIO van het Jaar is verkozen. Want Sabine Everaet weet maar al te goed hoe zij een sterke positie in haar organisatie heeft uitgebouwd. It’s the business, stupid.

et profiel van Sabine Everaet leest niet als de carrièreplanning van een ICT’er. ‘Na mijn studies handelsingenieur werkte ik in consultancy. SAP brak door en ik ben zo in IT gerold, maar langs de businesskant.’ Everaet begon in 1995 bij Coca-Cola als businessanalist en groeide door tot een businesspartner, die onder meer met het IT-team de Europese governancestructuur opzette. Sinds begin 2009 is ze Europees CIO bij Coca-Cola.

H

Naar frontoffice ‘De grootste impact had ik doordat de focus van de business is verschoven van de backoffice, met daarin hrm, financiën en infrastructuur, naar de frontoffice, meer bepaald marketing en bedrijfscommunicatie.’ Geen strikte ICT-opdracht, maar een compleet businessproject. Hoe ging zij daarbij te werk? ‘Ik bekeek de vaardigheden in het team en trok nieuwe mensen met de benodigde vaardigheden aan. Die kwamen vaak uit marketingagentschappen, dus geen pure IT’ers, zodat we sterk werden in marketing en communicatie. Ik ging ook nauw samenwerken met de Europese marketingdirecteur.’ In de Europese organisatie huurde marketing telkens mobiele platformen van lokale marketingagentschappen, waardoor de kosten hoog opliepen. ‘Websites en central hosting waren al langer Europees gecoördineerd, maar nu hebben we ook Europese, mobiele platformen gebouwd. Ook hebben we in Spanje het callcenter omgeturnd tot een Citizen Interaction Center, dat veel actiever de debatten over onze producten op de sociale media volgt en zich daarin engageert met informatieve bijdragen.’ Om dit alles te ondersteunen hebben we een hybride project structuur opgesteld, die de traditionele grenzen tussen de functies doorbroken heeft.

In de directieraad Sabine Everaet vindt het uiteraard cruciaal dat je bijblijft met de opkomende technologie. ‘Maar als

© Benedicte Maindiaux

Je moet een sterke positie veroveren door dagelijks met de business te werken. Sabine Everaet, Europees CIO Coca-Cola

je nagaat wat er schuilt achter de hete actualiteit van termen als ‘sociaal’, ‘mobiel’, ‘cloud’ en ‘big data’, moet je dat wel doen met het oog op de mogelijke businessimpact. De CIO die dat doet, genereert veel geloofwaardigheid. Eerst kwam ik soms eens in de Europese directieraad een paar uur een project uitleggen, nu ben ik er formeel lid van. Je moet een sterke positie veroveren door dagelijks met de business te werken. De marketingdirecteur zag ik vroeger wel tijdens vergaderingen, maar nu praten wij zowat dagelijks met elkaar.’ Zij schuift geen welbepaald profiel naar voren voor de job van CIO. ‘De rol is sterk afhankelijk van het profiel van de organisatie en haar prioriteiten. CIO’s zijn dus zeer verschillend, maar hoofdzaak is altijd dat zij aanvoelen en invullen welk belang zij

voor het bedrijf zouden moeten hebben. Je stemt je af op de business en je zorgt ervoor dat je een verschil maakt. Je bent zeer wendbaar om mee te gaan in de veranderende prioriteiten en je levert toegevoegde waarde om ze te realiseren.’ Dat is zeker niet eenvoudig, weet ze, want de CIO moet toch nog een stevige, technische bagage onderhouden. ‘Daarnaast moet je ook breed genoeg netwerken, dus niet alleen in jouw industrie blijven, maar ook buiten die lijnen gaan. Blijf niet in je eigen vakkring. Je volgt bepaalde maatschappelijke trends. Soms ontmoet ik mensen die ik graag in mijn team zou hebben. Dat zijn mensen die holistisch denken en verbanden zien. Dat is belangrijker dan sterk gespecialiseerd zijn in een bepaalde technologie.’

Denkt u wat zij denken?

De DNA van de CFO reeks van Ernst & Young omvat de inzichten en vooruitzichten van bijna 1.000 CFO’s wereldwijd. Ontdek wat zij denken over hun rol, hun toekomst en hun medewerkers. ey.com/cfo

© 2012 EYGM Limited. All Rights Reserved.

twitter.com/EY_Belgium