IT-governance verdient meer nadruk
Hoewel de commissie volop oog heeft voor het belang van interne beheersingssystemen, wordt rapportage over IT-risico’s slecht zijdelings genoemd. Een omissie, vindt NOREA-voorzitter Adri de Bruijn.
Dit artikel is verschenen in de Accountant nr. 2, 2003
Bekijk alle artikelen uit dit nummer
Adri de Bruijn
De commissie Tabaksblat kent in de conceptcode corporate governance een groot belang toe aan de verantwoordelijkheid van het ondernemingsbestuur voor interne risicobeheersings- en controlesystemen. Naar analogie van de Sarbanes-Oxley Act verlangt de conceptcode van ondernemingen dat men in alle opzichten ‘in control’ is en hierover jaarlijks rapporteert. Het toezicht op en de rapportage over (IT-)risico’s in de Code is te vrijblijvend geformuleerd als ‘één van de onderwerpen waaraan door de externe accountant kan worden gedacht’. Dit miskent de positie van ‘ITgovernance’ - beheersing, rapportage en toezicht op de informatietechnologie - als een cruciale randvoorwaarde voor de continuïteit van ondernemingen.
Wij vinden dat in de code een paragraaf of aanbeveling ontbreekt die de IT-verantwoordelijkheid van de onderneming en het toezicht daarop onderstreept. Naast een financiële expert zou in de raad van commissarissen ook een lid zitting moeten hebben dat als specifiek aandachtsgebied IT in zijn portefeuille heeft en beschikt over de noodzakelijke expertise om deze rol naar behoren te vervullen, een ‘IT-commissaris’.
De toegenomen afhankelijkheid van de informatietechnologie en de noodzaak van adequate informatiebeveiliging vragen om maatregelen die zich niet laten formuleren als vrijblijvende aanbevelingen. Desastreuze gevolgen van een brand in een rekencentrum, uitval van de stroomvoorziening, onjuiste managementinformatie en/of falende projectimplementaties zijn recente voorbeelden die dit onderstrepen. Duidelijkheid en transparantie vergen een éénduidig en onafhankelijk oordeel over de kwaliteit van de informatietechnologie. Duidelijke criteria en normenkaders kunnen hieraan bijdragen. Voor dit doel zijn er gangbare (internationale) ‘frameworks’ en ‘best practices’ beschikbaar.
De audit van vandaag is doorgaans een hoogwaardige, gecompliceerde en (dus) veelal multidisciplinaire aangelegenheid van financial, operational en IT-auditors. Vanuit dat perspectief verdient de aanduiding auditor wat ons betreft dan ook de voorkeur boven de term accountant, zoals ook internationaal gangbaar is. Waar mogelijk zou die aanduiding ook in de code kunnen worden gehanteerd.
NOREA is, met het Koninklijk NIVRA en het Instituut van Internal Auditors, van mening dat de positie van de interne auditor versterkt moet en kan worden, omdat deze in de praktijk van veel ondernemingen een cruciale rol speelt bij de beoordeling van de interne risicobeheersing.
Wanneer op grond van de code in het samenspel van ondernemingsbestuur, in- en externe auditor en audit-commissie ook serieuze aandacht bestaat voor IT-risico’s, dan kan ieder vanuit z’n eigen verantwoordelijkheid bijdragen aan een optimale IT-governance als onlosmakelijk onderdeel van corporate governance.
Noot
Adri de Bruijn is voorzitter van de NOREA, partner van PricewaterhouseCoopers en daar als IT-auditor betrokken bij PwC Global Risk Management Solutions (GRMS).