TOEZICHT OP IT. De veranderende wereld van de commissaris

Transcriptie

1 TOEZICHT OP IT De veranderende wereld van de commissaris

2 2 Toezicht op IT Toezicht op IT 3 INHOUD VOORWOORD SAMENVATTING 4 01 ONDERZOEKS- VERANTWOORDING BELANG EN UITDAGINGEN 6 05 INFORMATIEVOORZIENING EN -BEHOEFTE 8 DE VERANDERENDE ROL 28 VAN DE COMMISSARIS 24 In het afgelopen decennium is de rol van informatietechnologie (IT) binnen vrijwel alle organisaties substantieel veranderd. Een aantal jaren geleden was deze rol nog beperkt tot de ondersteuning van het primaire proces en de backoffice. Op dit moment is IT echter een drijvende kracht achter de strategie van veel ondernemingen en een aanjager van innovatie. De gevolgen van niet-functionerende IT bijvoorbeeld door onvoldoende beveiliging leiden tot discontinuïteit van een organisatie en de kosten van IT zijn in veel organisaties zeer hoog KENNIS EN ERVARING RVC-VERGADERING 12 ONZE AANBEVELINGEN OVER DE AUTEURS 37 LITERATUUR 38 CONTACT 40 WAT IS IT? Onder IT wordt in dit onderzoek verstaan het totale complex van mensen en middelen die zorg dragen voor de informatievoorziening, dus alle apparatuur en infrastructuur (zoals computerca paciteit, rekencentra, datacommunicatie, infrastructuur), alle software (zoals eigen ontwik-keling, standaardpakketten, software as a service) en alle mensen (IT-afdeling, gebruikers die intensief betrokken zijn bij de informatie voorziening en externe leveranciers). Onder beheersing van IT wordt verstaan het sturen op alle relevante kwaliteitsaspecten zoals integriteit, beveiliging, continuïteit, efficiëntie en effectiviteit. Jan Hommen Voorzitter Raad van Bestuur KPMG N.V. Rob Fijneman Lid Raad van Bestuur KPMG N.V., Verantwoordelijk voor Advisory Hoogleraar IT auditing Universiteit van Tilburg In dit onderzoek is specifiek gekeken naar de financiële sector (FS). In deze sector kenmerkt IT zich door een uitdagende combinatie van oude systeemoplossingen ( legacy systemen) en moderne web-based betaal- en andere systemen. Verdien modellen van bestaande diensten en -producten raken snel achterhaald. Het samenspel tussen het management en de Raad van Commissarissen is ook op IT gebied belangrijk. Hierbij gaat het onder meer om de innovatiekracht van IT, het risicobeheer, de investeringen en de IT-kosten. Het belang van inzicht in en toezicht op IT wordt onderkend in een aantal recente studies, zoals het Global Risk Report 2015 van het World Economic Forum. In dit rapport zijn cyber attacks, datafraude en datakwaliteit in de top van wereldwijde risico s opgenomen. De doelstelling van dit onderzoek is om aanbevelingen te doen aan de FS commissaris over de wijze waarop de verantwoordelijkheid van de RvC op het gebied van IT het beste kan worden ingevuld. KPMG is als accountant en adviseur prominent actief in FS en ziet het ook als haar taak om bij te dragen aan ontwikkelingen in deze sector. In dit geval via een onderzoek uitgevoerd door prof. Rob Fijneman, Marten La Haye en Stefan Jacobs. Deze publicatie is tot stand gekomen op basis van interviews met betrokkenen in FS gecombineerd met literatuuronderzoek, een afstudeerder van de Universiteit van Eindhoven en de expertise binnen KPMG. Maart 2015

3 4 Toezicht op IT Toezicht op IT 5 SAMENVATTING De rol van IT binnen vrijwel alle organisaties is substantieel veranderd; van onder steuning van het primaire proces en de backoffice naar een drijvende kracht achter de strategie van veel ondernemingen. Het is de taak van het management om de kansen van IT te benutten en de risico s van IT te beheersen. De taak van de RvC is om hierop toezicht te houden en de RvB bij te staan met advies. In het afgelopen halfjaar heeft KPMG onderzoek gedaan naar de wijze waarop de RvC binnen FS zijn taak op het gebied van IT vervult. Het doel van het onderzoek was om aanbevelingen te doen voor de wijze waarop deze verantwoorde lijkheid het best kan worden ingevuld. Hiervoor hebben wij circa 50 commissarissen en leden van de RvB van de grootste banken en verzekeraars in Nederland geïnter viewd. Deze groep schat vrijwel unaniem zowel de impact van IT op de strategie van de organisatie, het belang van de beschik baarheid van de IT-systemen als het belang van IT om concurrentievoor deel te realiseren hoog tot zeer hoog in. Ook als we naar de kosten kijken, blijkt de impact van IT: uit het onderzoek komt naar voren dat IT gemiddeld rond de 20% van de totale kosten van de organisatie voor haar rekening neemt. De grootste IT-uitdaging binnen FS is het verbeteren of vervangen van de meestal redelijk oude en moeilijk te onderhou den IT-systemen. Andere grote uitdagingen zijn het verbeteren van het contact met de klant door IT, innovatie met IT, security en data analytics. Een belangrijke constatering in het onderzoek is dat 92% van de geïnter viewden van mening is dat de IT-kennis van de gemiddelde commissaris in FS onvoldoende is. Deze conclusie wordt onderbouwd door analyse van op internet beschikbare data waaruit blijkt dat 81% van de commissarissen binnen FS niet over IT-expertise beschikt. In de vergadering van de RvC wordt gemiddeld 10-15% van de tijd aan IT besteed. Ongeveer de helft van de ondervraagden geeft aan de tijdsbe ste ding aan IT te laag te vinden. Als redenen hiervoor worden genoemd onvoldoende affiniteit met het onderwerp en een drukke agenda vol met andere onderwerpen, waaronder met name compliance. De meest besproken onderwerpen in de RvC-vergadering zijn strategie en IT (als onderdeel van de jaarlijkse strategievergadering) en security. In de meeste RvC s worden ook de voortgang van de grote IT-projecten en de datakwaliteit besproken. Beschikbaarheid en kwaliteit van de IT-systemen en de kwaliteit van de IT-organisatie worden in ongeveer de helft van de RvC s besproken. Een benchmark van de IT-kosten wordt in 29% van de RvC s besproken. Ongeveer een derde van de onder vraagden geeft aan dat de informatie die zij krijgen op IT-gebied voor de RvC-vergadering verbeterd moet worden, ongeveer een derde krijgt geen goede voortgangsrappor tage van de grote/strategische IT-projecten en 60% heeft geen goed inzicht in de IT-kosten. We kunnen constateren dat er een discrepantie bestaat tussen enerzijds het belang van IT dat als zeer groot wordt gezien en anderzijds de gemid delde IT-kennis van de commissaris binnen FS, de wijze waarop IT wordt besproken tijdens de RvC-vergadering en de informatie op IT-gebied waarover de commissaris beschikt. Op basis van de uitkomsten van het onderzoek, literatuur onderzoek en expertise van KPMG komen wij tot de volgende aanbevelingen: Zorg voor een goede basiskennis op het gebied van IT binnen de RvC Benoem minstens één lid in de RvC dat diepgaande IT-ervaring heeft Zorg voor goede informatie op IT-gebied Zet IT gestructureerd op de agenda van de RvC en de subcommittees Geef veel aandacht aan de mogelijk - heden van IT bij strategieontwikkeling Bewaak de IT-competentie in de organisatie

4 6 Toezicht op IT Toezicht op IT 7 ONDERZOEKS- VERANTWOORDING In dit onderzoek hebben wij de commissarissen van de 50 grootste organisaties binnen de Nederlandse financiële sector (banken en verzeke raars, inclusief ziektekostenverzek e raars) benaderd om deel te nemen aan een interview op basis van een gestructu reerde vragenlijst. In totaal hebben 43 commissarissen van de in totaal 239 commissarissen (18%) van deze 50 organisaties aan het onderzoek deelgenomen. Deze 43 commissarissen vertegenwoordigen 9 van de top 10 banken, eveneens 9 van de top 10 verzekeraars in Nederland en meer dan de helft van de 50 grootste organi saties binnen FS in Nederland. Hiermee kan dit onderzoek gezien worden als een goede afspiegeling van alle commissaris sen in FS. Van de 43 commissarissen was 67% man en 33% vrouw. de vergadering van de RvC: welke onderwerpen staan er op de agenda, hoe vindt de voorbereiding plaats, op welke manier worden de onder wer pen in de vergadering besproken, hoeveel tijd wordt hieraan besteed, etc.; over welke informatie beschikt de RvC en wat is nodig; welke aanbevelingen kunnen er gedaan worden. Naast deze 43 commissarissen zijn eveneens 8 RvB-leden met een eindverantwoordelijkheid voor IT geïnterviewd. Hierdoor is beter inzicht verkregen in de visie van de RvB op de gewenste rol van de RvC op het gebied van IT. Interviews hebben plaatsgevonden met de RvB van 4 van de top 10 banken en van 4 van de top 10 verzekeraars. Over het profiel van de commissaris binnen FS, en meer specifiek over de benodigde IT-competentie, zijn interviews gehouden met 2 gerenommeerde Executive Search-bureaus die veelvuldig betrokken zijn bij de werving van commissarissen in FS. Deze 43 commissarissen zijn geïnterviewd op basis van een gestructureerde vragenlijst met 50 vragen. Naast de beantwoording van deze vragen is ook gevraagd om toelichting te geven op de antwoorden. Ook is een aantal open vragen gesteld. De vragenlijst besloeg de volgende categorieën: 01 het belang en de uitdagingen van IT voor FS; kennis en ervaring van de commissaris op de verschillende deelgebieden van IT;

5 8 Toezicht op IT Toezicht op IT 9 BELANG EN UITDAGINGEN TWEE ASPECTEN AAN IT Defensief IT moet goed voor elkaar zijn (voor de gebruiker/ klant snel, betrouwbaar, zero touch, beschikbaar, goede privacy en security). 02 Zowel de impact van IT op de strategie van de organisatie, het belang van de beschikbaarheid van de IT-systemen als het belang van IT om concurrentievoordeel te realiseren wordt hoog tot zeer hoog ingeschat. Banken en verzekeraars zijn voor een groot deel IT-bedrijven; IT is noodzakelijk voor het goed functioneren van ieder bedrijfsproces. Met name voor de retailklanten is de beschikbaarheid van de IT-systemen cruciaal. De minste verstoring wordt al als zeer hinderlijk ervaren. Langere verstoringen zijn serieuze bedreigingen voor de continuïteit van de onderneming. Ook voor de zakelijke klanten is continuïteit van groot belang, alhoewel iets minder dan voor de retailklanten. Het belang van IT om concurrentievoordeel te realiseren wordt iets kleiner ingeschat dan bij de andere twee vragen, omdat naast IT ook andere aspecten, zoals direct klantcontact, belangrijk zijn. Zeker in de zakelijke markt. Strategisch IT gebruiken als drijvende kracht achter innovatie (het aanbieden van nieuwe diensten/producten, de klant meer informatie geven met behulp van data intelligence en het kunnen voorspellen van het gedrag van de klant).

6 10 Toezicht op IT Toezicht op IT 11 Grootste IT-uitdagingen Fig. 1 Impact van IT op de strategie van de onderneming Fig. 2 Belang van beschikbaarheid van de IT-systemen Fig. 3 Belang van IT om concurrentievoordeel te realiseren In het onderzoek is aan de geïnterviewden gevraagd wat de grootste IT-uitdagingen zijn voor de organisatie waar zij commissaris zijn. 69% 3% 5% 23% Zeer klein Klein Middelmatig Groot Zeer groot 85% 2% 13% Zeer klein Klein 36% Middelmatig Groot Zeer groot 2% 3% 13% 46% Zeer klein Klein Middelmatig Groot Zeer groot Innovation met ICT Customer interface 14% 29% 17% 12% Legacy Security Zeer klein Klein Middelmatig Groot Zeer groot De impact van IT is ook goed te zien in het kostenniveau van IT. Uit het onderzoek blijkt dat de gemiddelde kosten van IT circa 20% van de totale kosten van de organisatie bedragen, variërend van circa 15% tot circa 25%. In een groot aantal interviews is naar voren gekomen dat er met betrekking tot de IT-kosten twee zorgen zijn: zijn de operationele kosten (de run -kosten) wel marktconform en laag genoeg, en wordt er wel voldoende geïnvesteerd om een goede concurrentiepositie te verwerven of te behouden (de change - kosten). Dit toont aan dat er in FS nog een migratie gaande is van legacysystemen naar nieuwe state-of-the-art IT-systemen. Zoals later zal blijken, is deze migratie in combinatie met een sterke focus op compliance en het vermijden van risico s een worsteling. De uitkomsten van de interviews met RvB-leden zijn in lijn met de uitkomsten van de interviews met de commissarissen. Verreweg de grootste uitdaging ligt in het verbeteren van de kwaliteit van de bestaande systemen die meestal redelijk oud, complex en moeilijk te onderhouden en aan te passen zijn en waarvan de datasystemen veelal ongestructureerd zijn. Deze zogenaamde legacy -systemen zijn veelal ontstaan door maatwerkontwikkelingen aan het eind van de vorige eeuw of al eerder; ze zijn vaak gecompliceerd doordat veel systemen door middel van interfaces aan elkaar vastgeknoopt zijn. Veel commissarissen geven aan legacy een complex en moeilijk te doorgronden onderwerp te vinden. De IT-afdeling maakt veelal mooie plannen ter verbetering, maar zowel de plannen als de realisatie zijn moeilijk voor de gemiddelde commissaris te beoordelen. Legacy wordt ook wel de sluipmoordenaar binnen IT genoemd. Er niet aan werken is geen optie, omdat dat de innovatie door IT in de weg staat en een groot risico is voor de continuïteit van de onderneming. Een oplossing voor legacy vinden is zeer kostbaar; het is meestal een meerjarentraject en kent ook vele risico s. Twee andere veel genoemde uitdagingen het verbeteren van de customer interface en innovatie met IT liggen in elkaars verlengde. Onderwerpen die hierbij genoemd worden zijn: mobile banking, digitaal distributiekanaal en verbeteren My Site internetportal. Veel commissarissen geven aan dat de time to market van dit soort ontwikkelingen een punt van zorg is en dat in het verleden niet-tijdige innovatie ertoe heeft geleid dat de organisatie achterliep op de concurrentie. Een uitdaging die in het afgelopen jaar veel aandacht heeft gekregen is security, mede omdat er nogal wat incidenten op dit gebied hebben plaatsgevonden. Veel commissarissen hebben in het afgelopen jaar door educatie kennis hierover verworven (zie hoofdstuk 3). Dit onderwerp lijkt hierdoor beter toegankelijk voor de commissaris. Toch blijft het onderwerp een continu aandachtspunt. Er worden immers nieuwe bedreigingen gevonden waarvoor weer aanvullende securitymaatregelen getroffen moeten worden. Data analytics, ofwel het intelligent analyseren van grote hoeveelheden data, wordt gezien als een strategisch onderwerp. Hiermee kan de klant worden voorzien van gedetailleerde informatie om zijn beslissingen en koop proces te ondersteunen en kan het gedrag van klanten beter voorspeld worden.

7 12 Toezicht op IT Toezicht op IT 13 KENNIS EN ERVARING Eén van de vragen uit het onderzoek was: wat vindt u van de IT-kennis van de gemiddelde commissaris binnen FS? 92% van de geïnterviewden geeft aan deze kennis onvoldoende te vinden, slechts 8% had hier geen mening over. Als redenen voor deze achterblijvende kennis worden aangegeven de gemiddelde leeftijd van de commissaris, de snelle veranderingen die plaatvinden op het gebied van IT en het gebrek aan affiniteit met dit onderwerp. Op basis van op internet beschikbare data zijn gegevens verzameld over alle commis sarissen van de 50 grootste instellingen in FS op de volgende gebieden: Uit dit onderzoek blijkt dat 81% van de 239 commissarissen bij de 50 grootste FS-instellingen niet over IT-expertise beschikt. Van de 19% die wel IT-expertise hebben heeft 2% een IT-opleiding, 7% heeft een technische opleiding (waardoor verwacht mag worden dat deze groep IT-expertise heeft), 3% heeft een IT-functie vervuld en bij 7% zijn IT-competenties gevonden. Fig. 4 IT-competenties commissarissen FS 8% Hoeveel commissarissen hebben een IT-opleiding gevolgd (of een opleiding waarvan IT een belangrijk onderdeel was)? 8% Voldoende Weet Voldoende niet Onvoldoende Weet niet Hoeveel commissarissen hebben in hun carrière een IT-functie vervuld? 92% Onvoldoende 03 Hoeveel commissarissen hebben in hun leven een C-level functie (CEO/CFO/COO) vervuld? 92% Fig. 5 IT-competenties 2% 2% 81% 81% 7% 7% 3% 3% 7% 7% IT opleiding IT opleiding Technische Technische opleiding opleiding IT functie IT functie vervuld vervuld IT competenties IT competenties gevonden gevonden Geen Geen IT competenties IT competenties gevonden gevonden

8 14 Toezicht op IT Toezicht op IT 15 AANBEVELINGEN Fig. 6 C-level functies Fig. 7 IT-kennis commissarissen uit het onderzoek 3% 17% 30% 5% 3% 48% Geen CEO 32% CFO COO 18% 47% Goed Voldoende Onvoldoende Slecht In het onderzoek vroegen wij de commissarissen en de leden van de RvB naar hun mening over vier mogelijke aanbevelingen op het gebied van kennis en ervaring betreffende IT. Geen 18% Goed CEO 32% CFO COO Voldoende Onvoldoende Slecht Alle leden van een RvC binnen FS moeten een goed basisniveau van kennis hebben op het gebied van IT 47% Van de 81% die niet over IT-expertise beschikt heeft 52% een C-level functie vervuld, waarvan 30% als CEO, 17% als CFO en 5% als COO. Van leden van deze groep mag verwacht worden dat zij vanuit deze functie (in meer of mindere mate) IT-expertise hebben opgebouwd. Aan de geïnterviewde commissarissen is gevraagd hun eigen kennis op het gebied van IT te waarderen. 65% van deze groep geeft aan zijn kennis als voldoende of goed te beoordelen, wat hoog is in vergelijking tot het beeld van de kennis van de commissarissen in het algemeen. Mogelijk hebben de commissarissen met meer affiniteit voor IT besloten aan het onderzoek mee te doen. Dit wordt ondersteund door het feit dat een aantal commissarissen hebben aangegeven niet mee te willen werken, omdat ze geen relevante kennis hebben. 50% van de geïnterviewde commissarissen heeft in het afgelopen jaar geen permanente educatie gevolgd op het gebied van IT; de andere 50% heeft gemiddeld twee dagdelen perma nente educatie op IT-gebied gevolgd. Het meest voorkomende onderwerp van deze educatie was security. Meerdere commissarissen geven aan dat het moeilijk is om de juiste educatie op het gebied van IT te vinden; de aangeboden educatie is of te oppervlakkig (sessies van een paar uur over een breed aantal onderwerpen) of te technisch en daardoor ongeschikt voor de commissaris. IT JA 71% MEERDERHEID 17% MINDERHEID 12% GEEN 0% De overgrote meerderheid is van mening dat alle leden een goede basiskennis van IT moeten hebben. Volgens een aantal commissarissen is IT net zo belangrijk als Finance. Volgens sommigen is het niet haalbaar dat alle leden deze kennis bezitten, gezien hun achtergrond en affiniteit. Maar zij zijn wel van mening dat een meerderheid in de RvC over deze kennis moet beschikken. 12% geeft aan dat het voldoende is als deze kennis bij een beperkt aantal leden in de RvC aanwezig is. Een goede basiskennis houdt in: de voor de vergadering van de RvB aangeleverde stukken op IT-gebied goed kunnen interpreteren, inzicht hebben in de risico s, weten hoe deze risico s gemitigeerd kunnen worden, de juiste vragen kunnen stellen en de antwoorden op deze vragen goed kunnen beoordelen.

9 16 Toezicht op IT Toezicht op IT 17 Minimaal één lid van de RvC moet diepgaande ervaring hebben op het gebied van IT Waar onvoldoende ervaring in de RvC aanwezig is, dient externe expertise te worden ingeschakeld De RvC moet betrokken worden bij de benoeming van de CIO/IT-manager JA 63% JA JA 98% 68% NEE 2% SAMEN MET DE RVB 23% NEE 15% NEE 32% Over deze aanbeveling bestaat grote consensus: 98% geeft aan dat dit een noodzaak is binnen FS. Opmerkingen die hierbij gemaakt worden zijn: het zouden er in een grotere raad minimaal twee moeten zijn; het IT-veld is zo complex dat de ervaring ook verdeeld mag zijn over meerdere personen. De belangrijkste eisen die de commissarissen en de geïnterviewde Executive Search-bureaus aan het profiel stellen zijn: brede bestuurlijke ervaring; moet de brug kunnen slaan tussen IT en de business; moet door zijn ervaring een natuurlijke counterpart zijn voor het RvB-lid dat IT in zijn portefeuille heeft; hoeft geen technisch specialist te zijn; heeft bij voorkeur sectorkennis. Aanbeveling 1 en 2 kunnen het beste gecombineerd worden; alleen aanbeveling 2 volgen heeft het risico dat alle IT-zaken aan dit ene lid worden overgelaten. Dit is ongewenst, omdat IT is een integrale verantwoordelijkheid van de RvC is. 63% van de ondervraagden geeft aan dat ze van mening zijn dat het inschakelen van externe expertise aan te bevelen is als er onvoldoende ervaring in de RvC aanwezig is. Wel wordt hierbij aangetekend dat dit voor IT eigenlijk ongewenst is. Het thema is zo belangrijk dat de RvC ervoor moet zorgen dat hij/zij op dit gebied zelf over voldoende kennis en ervaring beschikt. Door menigeen in deze groep wordt aangegeven dat het belangrijk is om externe expertise onafhankelijk van de RvB in te schakelen (uiteraard wel melden), omdat daarmee een objectief oordeel kan worden verkregen. Bijna een kwart van de ondervraagden is van mening dat inschakeling van externe expertise de verantwoordelijkheid is van RvB en RvC samen, in één gezamenlijke opdracht. Inwinnen van externe expertise zonder daarbij de RvB te betrekken wordt gezien als een motie van wantrouwen die de vertrouwens relatie met de RvB ondermijnt. 15% is van mening dat het inschakelen van externe expertise alleen gebruikt moet worden als er sprake is van niet in control zijn. Het is dan het allerlaatste hulpmiddel waarnaar gegrepen moet worden. In dit kader is het opmerkelijk dat in het afgelopen jaar slechts door 17% van de Raden van Commissarissen externe expertise op het gebied van IT is ingeschakeld. Hoewel de benoeming van de CIO (of IT-manager) formeel tot de verantwoor delijkheid van de RvB behoort, vindt twee derde van de ondervraagden dat de RvC actief betrokken moet zijn bij de benoe ming van de directe laag onder de RvB, en ook bij de benoeming van de CIO. Hierbij komt aan de orde dat de RvC vier aspecten moet bewaken: 1. de kennis en ervaring in de RvB op IT-gebied; 2. de kwaliteit van de managementlaag direct onder de RvB, dus ook de CIO; 3. de kennis en ervaring in de IT-organisatie; 4. het opvolgingspotentieel op IT-gebied, ofwel is er voldoende kwaliteit in de organisatie aanwezig om eventuele vacatures in te vullen. Enkele commissarissen geven hierbij aan dat in hun organisatie recentelijk naar een nieuwe invulling van een COO-profiel in de RvB is gezocht; kennis en ervaring op het gebied van IT was daarbij een belangrijk criterium. Op de vraag of de desbetreffende commissaris goed inzicht heeft in de IT-competenties in de RvB antwoordt 88% van de geïnter viewden positief, terwijl 12% aangeeft daar onvoldoende inzicht in te hebben. Van de 88% die goed inzicht heeft in de IT-competenties in de RvB kwalificeert 78% deze competenties als voldoende; 22% beschouwt deze als onvoldoende.

10 18 Toezicht op IT Toezicht op IT 19 RvC-VERGADERING In 37% van de RvC-vergaderingen wordt 10-15% van de tijd aan IT besteed. IT staat impliciet vrijwel altijd op de agenda van de vergadering, omdat ieder project een IT-component heeft en er ook vrijwel iedere vergadering een aantal incidenten besproken worden die sterk samen hangen met IT (uitval van systemen, security issues, etc.). In 20% van de vergaderingen wordt 10% of minder tijd besteed aan IT, in 45% ligt de tijdsbesteding boven de 15% of hoger. Iets meer dan de helft van de ondervraagden geeft aan de tijdsbesteding aan IT onvoldoende te vinden. Redenen die worden genoemd zijn: onvoldoende affiniteit met het onderwerp, volle agenda met andere belangrijke onderwerpen, te veel tijdsbesteding aan compliance. Fig. 8 % tijd besteed aan IT tijdens RvC-vergadering Fig. 9 Tijdbesteding aan IT tijdens RvC-vergadering voldoende? 15% 20% <10% 10% 10-15% Ja 15-20% 52% 48% Nee 20% 37% 20-25% >25% 15% 20% <10% Ja 04 10% 20% 37% 10-15% 52% 15-20% 20-25% >25% 48% Nee

11 20 Toezicht op IT Toezicht op IT 21 Onderwerpen op de RvC-agenda 83% 83% 73% 71% 68% 66% Strategie en IT Security, cybercrime, privacy Voortgang grote IT-projecten Datakwaliteit & data analytics (Out)sourcing, cloud, etc. Beschikbaarheid van de IT-systemen Vrijwel iedere RvC bespreekt één keer per jaar de strategie, meestal in een aparte, langere vergadering. Hierbij komt ook vrijwel altijd IT aan de orde. Het merendeel van de ondervraagden geeft aan dat hierbij de discussie over de strategie leidend is, en dat de impact die de strategie op IT heeft hiervan een afgeleide is. In een beperkt aantal gevallen wordt structureel gekeken naar de technologische ontwikkelingen en de mogelijkheden tot innovatie die de technologie biedt. Security, cybercrime en privacy hebben in het afgelopen jaar op de meeste agenda s van de vergadering van de RvC gestaan, vaak als gevolg van incidenten in de eigen organisatie of bij de concurrentie. De voortgang van de grote IT-projecten wordt in de meeste gevallen besproken. Wel moet opgemerkt worden dat veel commissarissen aangeven dat deze bespreking vaak vrij oppervlakkig is en dat de problemen achter de voortgang moeilijk voor de commissaris te doorgronden zijn. Ook wordt herhaaldelijk opgemerkt dat IT-projecten regelmatig de neiging hebben om uit te lopen zonder dat de reden hiervoor duidelijk is. Mede door de Asset Quality Review en andere, in het kader van compliance, noodzakelijke rapportages staat datakwaliteit met regelmaat op de agenda. Zie ook kwaliteit van de IT-systemen. Als onderdeel van mogelijke kostenreductieprogramma s zijn de onderwerpen (out)sourcing, en cloud, aan de orde geweest. Dit onderwerp staat vrijwel uitsluitend op de agenda als gevolg van incidenten. Zie ook kwaliteit van de IT-systemen. 56% 56% 29% Kwaliteit van de IT-systemen De kwaliteit van de IT-systemen is de basis voor de beschikbaarheid en voor de datakwaliteit. De vaak oude legacy - systemen kennen omdat ze bestaan uit een bundeling van allerlei losse IT-systemen zeer complexe datastructuren waarin identieke data vaak op meerdere plaatsen voor komen. Hierdoor wordt het uitermate complex om goede managementinfor matie op te leveren en is de kans op vervuiling van de databestanden groot. Tegelijkertijd is het vervangen/verbeteren van oude software ingewikkeld; nieuwe/ verbeterde software kent veel beschikbaarheids risico s bij ingebruikname. Kwaliteit van de IT-organisatie Dit onderwerp staat in het algemeen niet als apart onderwerp op de agenda, maar als onderdeel van een algemene vlootschouw en de bespreking van de kwaliteiten van het management direct onder de RvB. Een aantal commissarissen geeft aan dat zij het moeilijk vinden om de kwaliteiten van de CIO en de IT-organisatie in te schatten. IT-kosten & benchmark In minder dan een derde van de vergaderingen van de RvC wordt een vergelijking van de IT-kosten met de IT-kosten van een peer group besproken. Er lijkt consensus over te bestaan dat dit onderwerp wel jaarlijks op de agenda zou moeten staan. Een kanttekening hierbij is dat iedere RvC een Audit & Risk Committee heeft (of een aparte Audit Committee en een aparte Risk Committee) waarin IT normaliter uitgebreider wordt besproken dan in de vergadering van de RvC.

12 22 Toezicht op IT Toezicht op IT 23 AANBEVELINGEN De commissarissen en de leden van de RvB zijn naar hun mening gevraagd over vier aanbevelingen met betrekking tot de inhoud van de RvC-vergadering. Bespreek minstens één keer per jaar de impact van IT-ontwikkelingen op de strategie Plan minstens één keer per jaar een vergadering waarin IT integraal wordt besproken 1x per jaar JA 76% NEE 24% Bespreek minstens één keer per kwartaal inhoude lijk de voortgang van de grote IT-investeringen 4x per jaar JA 74% NEE 26% 1x per jaar JA 97% NEE 3% Uit het onderzoek blijkt dat vrijwel altijd één keer per jaar de strategie met de commissarissen wordt besproken. Meestal gebeurt dit in een aparte vergadering, waarvoor vaak meer tijd wordt uitgetrokken. IT komt in deze bespreking altijd aan de orde. Bij doorvragen over dit onderwerp blijkt dat in veel gevallen IT wordt gezien als een afgeleide van de strategie, ofwel bij het vaststellen van de strategie wordt naar de implicaties op het gebied van IT gekeken (en uiteraard ook naar implicaties op andere gebieden). In een beperkt aantal gevallen wordt naar IT gekeken als drijvende kracht voor de strategie. 97% van de commissarissen geeft aan dat het belangrijk is om voorafgaand aan de jaarlijkse strategische discussie de mogelijkheden die IT biedt om de strategie te vernieuwen uitgebreid in kaart te brengen en te gebruiken als input voor de strategiediscussie. Een aantal ondervraagden suggereert dat het, gezien de snelheid waarmee IT de business verandert, mogelijk niet voldoende is om de IT-ontwikkelingen slechts één keer per jaar te bespreken. Uit de antwoorden op onderwerpen die geagendeerd worden voor de vergadering van de RvC blijkt dat IT vaak een secundair onderwerp is. Het komt aan de orde als onderdeel van een (strategisch) project of als er incidenten zijn, bijvoorbeeld als gevolg van problemen in de beschikbaarheid van de IT-systemen of van security issues. 76% van de geïnterviewden vindt dat het aan te bevelen is om één keer per jaar IT als separaat punt op de agenda te zetten en dan alle aspecten van IT te bespreken. Deze bespreking zal in het algemeen leiden tot een lijst van actiepunten, waarvan de voortgang vervolgens in de kwartaalrapportage dient terug te komen. 74% van de ondervraagden geeft aan dat het belangrijk is dat één keer per kwartaal de voortgang van de grote IT-projecten inhoudelijk wordt besproken. Op dit moment krijgen commissarissen in ongeveer een derde van de gevallen geen informatie over de voortgang van deze projecten en wordt de voortgang ook niet besproken tijdens de vergadering. Aan te bevelen is om (onder meer) voor de voortgangsrapportage van grote IT-projecten een goed dashboard (bijvoorbeeld in de vorm van een stoplichtrapportage ) te gebruiken met daarin de belangrijkste parameters en een verschillenanalyse ten opzichte van vorige rapportages. Met deze informatie kan de voortgang van de grote IT-projecten efficiënt behandeld worden in de vergadering.

13 24 Toezicht op IT Toezicht op IT 25 INFORMATIEVOORZIENING EN -BEHOEFTE Uit het onderzoek blijkt dat de commissarissen in bijna twee derde van de interviews aangeven dat de schriftelijke informatie op IT-gebied die zij krijgen ter voorbereiding van een IT-agendapunt goed is. Volgens 18% kan de informatie verbeterd worden en 21% geeft aan dat de informatie onvoldoende is. Als redenen voor deze onvoldoende informatie worden genoemd: te veel op hoofdlijnen, te technisch en veel te veel details. Kennelijk ligt er een uitdaging om een goede balans te vinden tussen de diepgang van de informatie en een zodanige beschrijving van de technische problematiek dat deze door niettechnische specialisten doorgrond kan worden. Ruim twee derde van de commissarissen krijgt een goede voortgangsrapportage van de grote/strategische IT-projecten. Verschillen ten opzichte van de verwachte voortgang kunnen op basis van deze rapportage in de vergadering besproken worden. Op de vraag of deze rapportage nood zakelijk is wordt door 97% van de com missarissen positief geantwoord. Er is hier dus nog ruimte voor verbetering. Een aantal commissarissen geeft aan dat het niet alleen belangrijk is om een goede voortgangsrapportage te hebben, maar dat het ook belangrijk is om buiten de vergadering periodiek met de project manager van een groot IT-project te overleggen om meer inzicht te krijgen in dat project. Bijna 60% van de commissarissen geeft aan dat er geen rapportage is die goed inzicht geeft in de kosten van IT, terwijl 92% aangeeft dat het belangrijk is om dit inzicht te hebben. Ook hier zijn dus aanzienlijke verbete ringen mogelijk. Fig. 10 Kwaliteit informatie Fig. 11 Rapportage grote IT-projecten Fig. 12 Rapportage IT-kosten 21% Goed31% Ja 18% 62% Redelijk Onvoldoende 69% Nee 59% 41% Ja Nee 05 18% 21% 62% Goed31% Redelijk Onvoldoende 69% Ja Nee 59% 41% Ja Nee

14 26 Toezicht op IT Toezicht op IT 27 Aanbevelingen Fig. 13 Dashboard met relevante IT-parameters Fig. 14 Overleg met RvB en CIO Fig. 15 Rol accountant en IT-auditor bij IT Fig. 16 Toelichting IT bij RvC-vergadering AANBEVELINGEN 13% 24% 63% Nee Ja, beperkt inzicht Ja, goed inzicht 49% 21% 20% 32% Geen30% RvB RvB en CIO 52% 18% Jaarrekening Uitgebreid IT risks analyse 39% 61% nader te bespreken Door RvB en CIO samen Door RvB lid Nee Ja, beperkt inzicht Ja, 49% goed inzicht 32% 18% Geen 30% RvB RvB en CIO 18% 62% Jaarrekening 39% Uitgebreid IT risks analyse 61% Door RvB en CIO samen Door RvB lid 21% Volgens de geïnterviewden zouden in goede informatie de IT-kosten 20% minimaal moeten worden uitgesplitst in: operationele kosten (gesplitst in interne 18% en externe kosten); 62% projectkosten voor de verbetering van de kwaliteit van bestaande systemen en infrastructuur; projectkosten innovatie. Daarnaast zou het goed zijn om deze kosten te benchmarken in een peer group. Tot slot blijkt uit het onderzoek dat ongeveer een kwart van de ondervraagden periodiek een dashboard krijgt dat goed inzicht geeft in de relevante IT-para meters; 13% heeft wel een dashboard, maar vindt dat dit op IT-gebied verbeterd kan worden en bijna twee derde geeft aan dat er geen dashboard is met IT-parameters. Aan de commissarissen is gevraagd in hoeverre zij buiten de vergadering overleg hebben met het RvB-lid dat IT in zijn portefeuille heeft en met de CIO. Onge veer een derde van de groep geeft aan buiten de RvC-vergadering niet met de RvB of de CIO te overleggen en zich in het algemeen te beperken tot de informatie die wordt aangereikt 52% voor de RvC-vergadering. 20% bespreekt de verschillende IT-onderwerpen met de RvB. Ongeveer de helft van de groep geeft aan dat ze actief informatie halen in de organisatie, door IT met de RvB te overleggen en met de CIO (in sommige gevallen ook met IT-audit of met de projectleider van een groot project). De reden hiervoor is dat zij het belangrijk vinden om het verhaal achter de stukken/ presentaties te kennen om een goede inschatting te kunnen maken van de kansen en de risico s. Wel is het hierbij van belang om transparant te zijn naar de RvB en te melden met wie overlegd wordt. Ook is tijdens het onderzoek gevraagd naar de gewenste rapportage van de accountant en de IT- auditor met betrekking tot IT. Hierbij is onderscheid gemaakt naar een paar niveaus: 1. Rapportage in lijn met de wettelijke verplichting bij de jaarrekeningcontrole en gericht op betrouwbaarheid van informatie (algemene en applicatiespecifieke IT-controls). 2. Naast de onder 1. genoemde activiteiten ook aanvullende rapportage over specifiek gevraagde gebieden zoals grote projecten en kwaliteit van IT-systemen. 3. Volledige rapportage van IT-risico s, zoals kwaliteit van de IT-systemen, security, IT-projecten, kwaliteit van de IT-organisatie en de mate waarin IT in staat is de strategie te ondersteunen. Een grote meerderheid is van mening dat de rol van de accountant en de IT-auditor verder moet gaan dan de werk - zaam heden en rapportage die wettelijk verplicht zijn bij de jaarrekeningcontrole. Ongeveer de helft geeft aan dat zij graag additionele informatie willen hebben van de IT-auditor over specifieke IT-aspecten, zoals een beoordeling van de grote IT-projecten en meer diepgaande beoor deling van de security. 30% van de ondervraagden wil graag dat de IT-auditor jaarlijks een brede risicoanalyse uitvoert op alle aspecte inclusief kwaliteit en toekomstbestendigheid van de IT-systemen, security, grote IT-projecten, kwaliteit van de IT-organisatie, IT-belemmeringen om de strategie te realiseren, etc. Bij het opstellen van deze risicoanalyse werkt de (externe) IT-auditor uiteraard samen met de afdeling Internal Audit. Met name de onafhankelijkheid van deze rapportage door de (externe) IT-auditor wordt door de commissarissen als belangrijk gezien. In bijna 40% van de vergaderingen van de RvC wordt een IT-onderwerp toegelicht door het RvB-lid dat IT in zijn portefeuille heeft, in ruim 60% wordt de CIO uitgenodigd in de vergadering van de RvC om samen met het desbetreffende RvB-lid toelichting te geven en vragen te beantwoorden. Deze groep vindt het waardevol om de CIO uit te nodigen voor de bespreking in de vergadering van de RvC. Hierdoor krijgt de RvC de informatie uit de eerste hand, ontstaat een goed beeld van de kwaliteiten van de CIO en wordt de onderlinge relatie tussen de CIO en het desbetreffende RvB-lid duidelijker. Samenvattend hebben de commissarissen en de leden van de RvB de volgende aanbevelingen voor een zo goed mogelijke informatievoorziening aan de commissaris: Verlang dat de stukken ter voorbereiding van een IT-onderwerp in de vergadering van de RvC ruimschoots voor de vergadering beschikbaar zijn en voldoende diepgang en kwaliteit hebben om op basis van deze stukken tot een goede beoordeling te komen. Vraag een goede rapportage over de voortgang van grote IT-projecten/ -investeringen, een goede rapportage over IT-kosten (gesplitst in categorieën zoals change en run ), een goede incidentenrapportage en een dashboard met de relevante IT KPI s. Overleg met regelmaat over IT-onderwerpen met de verantwoordelijke in de RvB buiten de vergadering. Stel voor de vergadering toelichtende vragen aan de desbetreffende verantwoordelijke in de organisatie (praat met de CIO, de projectmanager van een groot project, de risk manager, eventueel met een externe leverancier, etc.). Vraag aan de externe accountant om een jaarlijkse IT-beoordeling te geven (opgesteld door IT- auditors) op alle aspecten van IT. Vraag de verantwoordelijke manager (naast de RvB-verantwoordelijke) de inhoudelijke aspecten van IT tijdens de vergadering toe te lichten.

15 28 Toezicht op IT Toezicht op IT 29 DE VERANDERENDE ROL VAN DE COMMISSARIS Hoewel dit niet direct onderwerp van onderzoek was, komt in zeer veel interviews naar voren dat de rol van de commissaris in de afgelopen jaren significant veranderd is. Dit komt niet door de formele regelgeving, want deze is onveranderd gebleven, maar door toenemende verwachtingen van de maatschappij en door de grote change -agenda (fusies, overnames, splitsingen, beursgang, grote innovaties, toenemende regelgeving, etc.). In de kern is duidelijk dat ook commissarissen de aansprakelijkheid voor de kwaliteit van hun toezicht directer voelen en zich daarover explicieter moeten kunnen verantwoorden. De volgende trends: De huidige commissaris is veel actiever in het verzamelen van informatie. Waar vroeger de stukken voor de vergadering van de RvC voldoende waren, is er nu een trend dat de commissaris zelf (in overleg met de RvB) zijn oor te luisteren legt op andere plaatsen in de organi satie, werkbezoeken organiseert en soms ook met externe leveran- ciers spreekt. Ook is de huidige commissaris veel kritischer naar de RvB, vraagt meer diepgaande informatie, bespreekt de belangrijke onderwerpen ook tussen de vergaderingen door met de RvB en vraagt desgewenst om extern advies. Uit het Nationaal Commissarissen Onderzoek 2014 blijkt dat de gemiddelde tijdsbesteding van een commissaris 0,5 dag per week bedraagt. Bij de commissarissen bij de grote organisaties in FS uit dit onderzoek ligt deze tijdsbesteding aanzienlijk hoger, namelijk 1,25 dag per week. 22% besteedt circa een halve dag per week aan zijn commissariaat, 33% besteedt 1 dag per week en 45% 1,5 dag per week of meer. Hierbij moet aangetekend worden dat de tijdsbesteding voor een commissaris bij een grote bank gemiddeld hoger ligt dan bij een verzekeringsmaatschappij. Fig. 17 Tijdsbesteding commissaris 6% De samenstelling van de RvC wordt meer divers. Waar traditio neel met name de sectorkennis en de financiële kennis in de Raad verankerd moesten zijn, komen er meer thema-commissarissen, die naast een brede bestuurlijke ervaring ook specialistische ervaring hebben, bijvoorbeeld 6% met IT. 28% 11% 22% 33% 0,5 d 1 d/w 1,5 d 2 d/w >2 d 06 22% De tijdsbesteding van de commis 28% saris is sterk toegenomen. Voor de geïnterviewde groep lag de gemid delde tijdsbesteding op 1,25 dag per week voor één commissariaat. 11% 33% 0,5 d/w 1 d/w 1,5 d/w 2 d/w >2 d/w

16 30 Toezicht op IT Toezicht op IT 31 ONZE AANBEVELINGEN Uit het onderzoek kan worden afgeleid dat er een duidelijk discrepantie is tussen enerzijds het belang van IT dat als zeer hoog wordt beoordeeld en anderzijds de gemiddelde IT-kennis van de commissaris binnen FS, de wijze waarop IT wordt besproken tijdens de RvC-vergadering en de informatie op IT-gebied waarover de commissaris beschikt. Op basis van de uitkomsten van het onderzoek, inzichten opgedaan bij de Universiteit van Tilburg op het gebied van IT-audit en informatiemanagement, literatuuronderzoek en expertise van KPMG zijn de aanbevelingen verder uitgewerkt. Aanbeveling 1 Zorg voor een goede basiskennis op het gebied van IT binnen de RvC Het is aan te bevelen dat alle leden (of minimaal de overgrote meerderheid van de leden) van de RvC een goede basiskennis hebben (heeft) op het gebied van IT. Een goede basiskennis houdt in dat de commissaris de hoofdlijnen van de voor de RvC belangrijkste IT-onderwerpen (zie onder aanbeveling 2) conceptueel goed begrijpt, goed inzicht heeft in de risico s bij het desbetreffende onderwerp, weet wat de meest gangbare aanpak is om deze risico s te mitigeren, de bij dit onderwerp passende vragen kan stellen en de antwoorden hierop op hoofdlijnen kan beoordelen. Als mogelijkheden om deze kennis te verwerven worden genoemd: volgen van een specifieke opleiding; gesprekken met de CIO of andere IT-professionals; volgen van seminars; gesprekken met collega-commissarissen met ervaring op dit gebied; voorlichting door externe leveranciers; informatie via internet/boeken/artikelen. Iedere commissaris zou, naast bovengenoemde basiskennis, periodiek voor bijscholing op IT-gebied moeten zorgen. Ten slotte dient tijdens de zelfevaluatie van de RvC het competentieprofiel op IT-kennis en ervaring goed getoetst te worden.

17 32 Toezicht op IT Toezicht op IT 33 Aanbeveling 2 Benoem minstens één lid in de RvC dat diepgaande IT-ervaring heeft (lived the problem) Aanbeveling 3 Zorg voor goede informatie op IT-gebied Gezien het belang van IT voor FS is het aan te bevelen dat er in iedere RvC minstens één lid is dat diepgaande ervaring heeft met IT. Onder diepgaande ervaring wordt verstaan dat de desbetreffende commissaris met zijn voeten in de modder moet hebben gestaan en daardoor weet wat de belangrijkste valkuilen zijn. Hierbij moet de commissaris ervaring hebben met een breed scala aan IT-onderwerpen, te weten: impact van technologische ontwikkelingen (mobile, social media, digitalisering, etc.) op de strategie; kwaliteit van IT-systemen (legacy, infrastructuur, standaardsoftware, etc.); beschikbaarheid van IT-systemen; datakwaliteit & data analytics; projectmanagement van grote IT-projecten; security, cybercrime, privacy; (out)sourcing, cloud; kwaliteit van de IT-organisatie; IT-kosten & benchmark. Gezien het grote aantal IT-onderwerpen is het ook goed denkbaar dat deze ervaring verdeeld is over twee leden van de RvC. Deze ICT-commissaris is de natuurlijke sparringpartner voor de IT-verant woordelijke in de RvB, is ook lid van het Audit & Risk Committee voor IT-aspecten en heeft ook de rol om zijn oor te luisteren te leggen in de organisatie als het gaat om zaken op IT-gebied (overleg met de CIO, project manager van grote projecten, etc.). Het profiel van dit RvB-lid kent twee belangrijke aspecten: de commissaris moet enerzijds een ervaren bestuurder zijn en anderzijds moet hij de hierboven beschreven ervaring op IT-gebied hebben. Door deze ervaring is deze commissaris in staat om een brug te slaan tussen de business en IT. Bij voorkeur heeft deze commissaris sectorexpertise. Het is goed om te beseffen dat aanbeveling 1 (goede basiskennis) en aanbeveling 2 (één lid diepgaande kennis) sterk met elkaar samenhangen. Als uitsluitend aanbeveling 2 wordt geïmplementeerd, bestaat het risico dat alle IT-zaken aan dit ene lid worden overgelaten, wat gezien het belang van IT ongewenst is. IT is immers een integrale verantwoordelijk heid van de RvC. Als uitsluitend aanbeveling 1 wordt geïmplementeerd, mist de discussie tussen de RvB en de RvC de diepgang die zo nodig is voor dit belangrijke onderwerp. Fig. 18 Combinatie van basiskennis en diepgaande expertise Goede basiskennis op het gebeid van IT Diepgaande IT-ervaring Voor het goed functioneren van de commissarissen tijdens de vergadering van de RvC is het van groot belang dat de commissarissen beschikken over adequate informatie. Er dient een goede rapportage te zijn over de kosten van IT. Deze moet minimaal gesplitst zijn in de kosten voor de IT-operatie ( run -kosten), bij voorkeur gesplitst in verschillende categorieën, en de kosten voor innovatie ( change -kosten), ook deze bij voorkeur gesplitst in verschillende categorieën. De operationele kosten moeten zo laag mogelijk zijn en dienen zo mogelijk gebenchmarkt te worden met de vergelijkbare kosten van de peer group.de change -kosten zijn die IT-kosten die uitgegeven moeten worden om ook in de toekomst een goede of desgewenst sterkere concurrentiepositie in de markt te verwerven. Waar bij de operationele kosten de vraag gesteld kan worden of de kosten wel competitief zijn, is de vraag bij de change -kosten of de orga nisatie wel genoeg investeert om de strategie te realiseren. Vaak genoeg sneuvelen één of meer strategische projecten in een kostenreductiepro gramma. Later blijkt dan dat de organi satie achterloopt in innovatie, waardoor haar marktpositie is verslechterd. Als resultante van de strategische discussie is een IT-projectenplan opgesteld. Het is aan te bevelen de grote investeringen/projecten uit dit projectenplan separaat door de RvC te laten goedkeuren. Dit geeft daarna een basis om deze strategische projecten per kwartaal te volgen. Hiervoor dient er een adequate voortgangsrapportage van deze projecten te zijn die goed inzicht geeft in de voortgang en even tuele problemen. Een stoplichtrappo r tage met trends ten opzichte van de laatste rapportage kan hierbij behulp zaam zijn. Als achtergrondinformatie is het ook goed om inzicht te hebben in het trackrecord van de organisatie op het gebied van grote projecten. Worden deze meestal binnen planning en budget afgerond? Lopen ze meestal uit? Het is aan te bevelen om in de kwartaal rapportage een managementinformatie overzicht te vragen van alle relevante parameters op IT-gebied en de ontwik ke lingen in de IT-risico s. Mits goed opgebouwd, hoeft deze informatie niet omvangrijk te zijn. Naast al deze informatie op papier (of elektronisch) is het verstandig om in de organisatie te zoeken naar de informatie achter de papieren/elektronische dossiers. Bespreek de informatie met de verantwoordelijke in de RvB, met de CIO, met de projectmanager van een groot/ strategisch project, etc. Deze gesprekken leiden meestal tot veel beter inzicht in wat de werkelijke problemen zijn. Daarnaast geeft het een goed beeld van de kwaliteiten van de verschillende sleutelspelers in de IT-organisatie. In sommige gevallen kan het ook een goed idee zijn om met externe leveranciers te spreken; zij hebben vaak goed inzicht in de organisatie en zijn bereid hun informatie minder gefilterd te communiceren. Verder is het aan te bevelen gebruik te maken van de expertise van de IT-auditor en deze regelmatig te betrek ken in de discussies, door bijvoorbeeld de IT-auditor uit te nodigen voor de besprekingen over IT in het Audit & Risk Committee. Het is mogelijk om de IT-auditor te vragen een second opinion te geven over onderwerpen als security, kwaliteit van de IT-systemen, datakwa liteit, internal controls, voortgang van de IT-projecten, kosten van IT in vergelijking tot de concurrentie, strategische investeringen in IT, etc. En als al deze informatie onvoldoende is om een goed overwogen besluit te nemen, vraag dan extern advies, bij voorkeur in goed overleg met de RvB.

18 34 Toezicht op IT Toezicht op IT 35 Aanbeveling 4 Zet IT gestructureerd op de agenda van de RvC en de subcommittees Aanbeveling 5 Geef veel aandacht aan de mogelijkheden van IT bij het ontwikkelen van de strategie Omdat IT impliciet iedere keer aan de orde komt tijdens een vergadering van de RvC bijvoorbeeld door de behandeling van een strategisch project waarbij IT een belangrijke rol speelt of vanwege een incident met de beschikbaarheid van de IT-systemen is er een gevaar dat het onderwerp IT niet specifiek op de agenda gezet wordt. In FS, waar IT een strategische rol speelt, is het aan te bevelen om minstens één keer per jaar IT als apart onderwerp op de agenda te zetten. Gezien de omvang van het onderwerp zal dit waarschijnlijk een gehele vergadering beslaan. De volgende onderwerpen moeten in voldoende diepgang besproken worden: impact van technologische ontwikkelingen (mobile, social media, digitalisering, etc.) op de strategie; security, cybercrime, privacy; (out)sourcing, cloud; kwaliteit van de IT-organisatie; IT-kosten & benchmark. Uit deze vergadering zullen ongetwijfeld een aantal actiepunten volgen, die dan weer in de kwartaalrapportages kunnen terugkomen. Daarnaast is het eveneens aan te bevelen om in een meer gedetail leerde vorm IT op de agenda te zetten van iedere vergadering van het Audit & Risk Committee, waarbij vanuit Risk Management wordt gekeken naar de voortgang van het jaarlijkse IT-projectenplan, de voortgang op de actiepunten volgend uit de jaarlijkse bespreking over IT en de eventuele incidenten met betrekking tot beschik baarheid, privacy, security, etc. Traditioneel wordt een nieuwe strategie vastgesteld en wordt daarna een plan gemaakt waarin is opgenomen wat de consequenties zijn van de strategie voor onder meer IT. In de huidige, snel veranderende wereld waarbij techno logie de drijvende kracht is achter innovaties werkt dit niet meer. Door snelle technologische ontwikke lingen kunnen er ineens andere spelers in het concurrentieveld bijkomen en kan hierdoor de continuïteit van het bestaande businessmodel onder druk komen te staan. Bij het ontwikkelen van de strategie van de onderneming is het van groot belang dat duidelijk is welke innovaties en ontwikkelingen er zijn op IT-gebied, wat er op dit gebied bij de concurrentie gebeurt en welke mogelijkheden IT biedt om concurrentievoordeel te realiseren. Dit kan door de start-ups in de sector goed te volgen (deze zijn vaak IT-gedreven), een goede analyse te maken van de ontwikkelingen bij de concurrentie, een aantal jonge mensen te laten brainstormen over hoe de organisatie er over vijf jaar uit moet zien, disrup tieve technologieën in kaart te brengen en te discussiëren over de impact daarvan, topmensen uit de innovatieve hoek mee te laten denken over de toekomstige organisatie, etc. De gedefinieerde langetermijnstrategie dient vertaald te worden in een jaarplan, waaruit weer een IT-jaarplan wordt afgeleid (het IT-projectenplan) dat meetbare mijlpalen en resultaten kent en gemonitord kan worden. kwaliteit van IT-systemen (legacy, infrastructuur, standaardsoftware, etc.); beschikbaarheid van IT-systemen; datakwaliteit & data analytics; projectmanagement van grote IT-projecten; Als er een apart Audit Committee en een apart Risk Committee zijn, dienen er goede afspraken gemaakt te worden over welke onderwerpen in welke commissie besproken worden. Vervolgens dient per kwartaal door het Audit & Risk Committee een rapportage te worden opgesteld die wordt geagendeerd in de RvB-vergadering.

19 36 Toezicht op IT Toezicht op IT 37 OVER DE AUTEURS Aanbeveling 6 Bewaak de IT-competentie in de organisatie Ook op IT-gebied is het van essentieel belang om mensen met de juiste kwaliteiten op de juiste plek in de organisatie te hebben. Daarom is het voor de commissaris van groot belang om goed inzicht te hebben in de kwaliteit van de IT-competentie in de organisatie.dit begint bij de competenties op IT-gebied binnen de RvB. Uit het onderzoek blijkt dat in de afgelopen periode veel is gezocht naar invulling van de COO-positie met een goede IT-competentie in de RvB. Met de benoeming van een aantal nieuwe COO s bij de grote organisaties in FS is een aanzienlijke verbetering van de IT-competentie binnen de RvB gerealiseerd. Dat maakt het ook gewenst om op RvC-niveau een goede counterpart voor deze COO te hebben, zie hiervoor aanbeveling 2. Ook de kwaliteit van de CIO/IT-manager is van groot belang. De commissaris kan een goed beeld krijgen van zijn kwaliteiten in de gesprekken ter aanvulling van de schriftelijke informatie en gedurende de presentaties en toelichting tijdens de vergadering van de RvC. Actieve betrokkenheid van de RvC bij de benoeming van een nieuwe CIO/IT-manager is aan te bevelen, ondanks dat dit formeel de taak is van de RvB. Hierbij dient de commissaris zich ook bewust te zijn van de veranderende rol van de CIO. Deze rol verschuift van het managen van de bestaande infra structuur naar het managen van de innovaties binnen de organisatie. Als laatste speelt de kwaliteit van de IT-organisatie een belangrijke rol. Het is aan te bevelen de kwaliteit van de IT-organisatie mee te nemen als separaat onderwerp tijdens de jaarlijkse brede evaluatie van IT. Daarbij dient ook het opvolgingspotentieel op IT-gebied, dat wil zeggen de vraag of er voldoende kwaliteit in de organisatie aanwezig is om eventuele vacatures in te vullen, meegenomen te worden. Rob Fijneman Rob Fijneman (1964) trad in 1986 in dienst van KPMG. Zijn basisopleiding is informatiemanagement aangevuld met postmasters in Accountancy en IT-auditing. Fijneman is partner sinds 1997 en heeft in de periode 1999 tot 2009 diverse managementrollen vervuld binnen IT Advisory en Risk Consulting. Hij is voornamelijk actief in de Corporate Clients-markt, zowel als lead partner als IT-sparringpartner. Hij is sinds 2014 Head of Advisory in de Raad van Bestuur van KPMG Nederland. Fijneman is sinds 2004 hoogleraar IT-auditing aan Tilburg University en Academic director aan Tias School of Business and Society. Marten La Haye Marten La Haye (1954) is na tien jaar gewerkt te hebben bij Cap Gemini in 1991 in dienst getreden bij KPMG. Hij heeft diverse rollen vervuld op het gebied van IT-advisory, zoals IT-projectmanagement, implementatie van standaardsoftware zoals SAP, Oracle e.d., IT-strategie en IT-organisatie. Vanaf 1999 was hij eerst COO/CFO van KPMG Consulting. Vervolgens, na de verkoop van KPMG Consulting aan Atos Origin, was hij in de periode CEO van Atos Consulting. In 2006 keerde hij terug naar KPMG in de functie van Head of Consulting Nederland. Vanaf 2008 tot 2014 was hij COO van KPMG Consulting Europe. In deze functie was hij onder meer verantwoordelijk voor grote internationale projecten. Sinds 2014 is hij commissaris en adviseur. Stefan Jacobs Stefan Jacobs is als afstudeerder van de Technische Universiteit Eindhoven bij dit onderzoek betrokken. In februari 2015 is hij afgestudeerd op dit onderzoek, waarna hij als junior adviseur is gestart bij KPMG IT Advisory.

20 38 Toezicht op IT Toezicht op IT 39 LITERATUUR Bart, C. and O. Turel (2010). IT and the Board of Directors: An Empirical Investigation into the Governance Questions Canadian Board Members Ask about IT. Journal of Information Systems 24(2): Bassellier, G., I. Benbasat and B. H. Reich (2003). The Influence of Business Managers IT Competence on Championing IT. Information Systems Research 14(4): Bassellier, G., B. H. Reich and I. Benbasat (2001). Information technology competence of business managers: A definition and research model. Journal of Management Information Systems 17(4): CICA (2004). 20 questions directors should ask about IT. Toronto, OT, CICA: De Haes, S. and W. Van Grembergen (2009). An Exploratory Study into IT Governance Implementations and its Impact on Business/IT Alignment. Information Systems Management 26(2): Grembergen, W. V. and S. D. Haes (2009). Enterprise Governance of Information Technology: Achieving Strategic Alignment and Value. New York, Springer Science. Jewer, J. and K. N. McKay (2012). Antecedents and Consequences of Board IT Governance: Institutional and Strategic Choice Perspectives. Journal of the Association for Information Systems. Nolan, R. and F. W. McFarlan (2005). Information Technology and the board of directors. Harvard Business Review. Turel, O. and C. Bart (2014). Board-level IT governance and organizational performance. European Journal of Information Systems 23(2): Wilmott, P. (2013). The do-or-die Questions board should ask about technology. London, McKinsey. Prof. dr. Mijntje Lückerath-Rovers en Prof. dr. Auke de Bos RA (2014). Nationaal Commissarissen Onderzoek, TIAS School for Business and Society.