Magazine 01 september 2004

Computer onder controle

Zonder automatisering geen interne controle. Maar wie controleert de computer? Sinds de code Tabaksblat regels introduceerde voor interne controle, roeren de IT-auditors zich. Zij pleiten voor een structurele besturing van en controle op de automatisering. Voor de interne accountant opent zich een nieuw domein.

Dit artikel is verschenen in de Accountant nr. 1, 2004

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

“Accountants die aan de gang gaan met corporate governance, moeten ook eens nadenken over de betekenis van IT-governance”, zegt Jaap Boukens van BDO Accountants. Behalve registeraccountant is hij ook IT-auditor. In die hoedanigheid probeert hij verwoed om de beheersbaarheid van IT-structuren onder de aandacht te brengen van raden van bestuur van grote bedrijven.

Ook interne accountants probeert hij wakker te schudden. “We zouden de IT-governance samen met accountants moeten oppakken. Het is een lastig en ingewikkeld onderwerp, dat weet ik. Maar accountants moeten nadenken over wat IT-governance betekent, over de aandachtspunten die daarbij aan de orde komen. Natuurlijk kunnen zij dit niet alleen, dat moeten ze doen met IT-auditors. Het gaat nu eenmaal om een vaktechnisch aspect waar een interne accountant expertise bij moet halen. Maar dat is zo vaak het geval. Accountants kijken naar de organisatie, de jaarrekening en de controle. Voor een vakkundig oordeel kloppen zij altijd aan bij externe deskundigen.”

‘Het leeft niet’

Toch gaat bij de meeste accountants geen belletje rinkelen als het over IT-governance gaat. Met automatisering hebben ze weinig te maken, behalve dan met de pc waarop ze werken. Zo automatisering al voor problemen zorgt, dan staat er wel een systeembeheerder klaar. Gaat het over de infrastructuur, dan is dat een varkentje voor de afdeling automatisering.

“Het leeft niet”, constateert Boukens. “Bestuurders vinden het moeilijk en leunen voor IT-vraagstukken sterk op hun interne automatiseringsspecialisten. Zij hebben groot vertrouwen in hun IT-managers.” De meeste accountants beperken zich tot kijken of de geldstromen voor automatisering verantwoord kunnen worden. Wat heeft de accountancy er verder mee te maken?

Ongeleid projectiel

Alles, zo betogen de IT-auditors, verenigd in de beroepsvereniging NOREA. Zonder beheersing en transparantie van de IT-structuur is een goede beheersing van de organisatie als geheel niet mogelijk. Dat roepen zij al jaren. Maar sinds de code Tabaksblat voor goed ondernemingsbestuur is geïntroduceerd, zien zij hun kans schoon om het onderwerp op de agenda te krijgen van de grote bedrijven. Want deze code strekt zich ook uit tot de interne controle van bedrijven. Zonder controle van de automatisering is interne controle op de rest van de organisatie helemaal niet mogelijk, betogen de IT-auditors.

Zij pleiten dan ook met hernieuwde energie voor IT-governance. Zonder regels voor een goede interne controle van de IT, dreigt de automatisering te veranderen in een ongeleid projectiel. “Meer dan duizend applicaties hebben we, en we hebben business intelligence nodig om die allemaal te vertalen. Dat leidt tot een enorme fragmentatie van de IT”, aldus Pieter Buijs CIO (chief information officer) van KPN. Hij sprak in juni 2004 op een symposium van de NOREA over IT-governance. “Zonder standaard oplossingen kost het ons handenvol geld om de systemen in de lucht te houden.”

Catastrofes

Ook Gert Jan van Leer, directeur IT van Fortis, waarschuwt voor catastrofes als de automatisering niet op een goede manier wordt aangestuurd en gecontroleerd. “Bij ons heeft de IT een budget van honderden miljoenen euro’s. Zonder IT werkt een grote bank als Fortis niet. De vraag is dan ook gerechtvaardigd hoe je dit bestuurt. Daar gaan bedrijven verschillend mee om. Het ene bedrijf stelt dat de IT bepaalt wat goed is voor de business. Aan de andere kant van het spectrum staat de IT die geoutsourced is. Die voert blindelings opdrachten uit van het bedrijf. Dan krijg je opmerkingen over de IT-projecten die nooit iets opleveren en altijd te duur zijn.

Als de aansturing van de IT niet goed is geregeld, krijg je intern discussies over de vraag hoe de kosten over de business lines worden verdeeld. Maar hoe kun je iets dat honderd miljoen euro kost aansturen? Alleen al de vraag hoe IT geëvalueerd moet worden is een vraagstuk op zich. Dan heb je ook nog de vraag van wie de systemen eigenlijk zijn. En van wie zijn de gegevens eigenlijk? En als ze niet kloppen, wiens verantwoordelijkheid is het dan om ze te corrigeren?”

Handen en voeten

Dat er met dit soort vraagstukken iets moet gebeuren, begint door te dringen bij bedrijven. Vooral nu zij in het kader van de code Tabaksblat expliciet verantwoordelijk zijn voor degelijke interne controle, wordt de rol van de IT duidelijker zichtbaar. IT-governance moet duidelijkheid verschaffen over de beheersing van de informatievoorziening, de besluitvorming en verantwoording rond IT, corporatestandaarden van IT, verschijningsvormen van de IT-afdeling, de IT-processen, IT-veranderingsprocessen en de IT-infrastructuur.

Inmiddels zijn er bij de grote bedrijven initiatieven om dit soort uitgangspunten handen en voeten te geven. Dat betekent dat het toezicht op de IT veel transparanter zal worden. Waar interne accountants er lange tijd niets mee te maken hadden, zullen ze in de toekomst moeten opletten of de IT wel voldoet aan de interne regelgeving die hiervoor gaat komen.

ING en KPN

Onlangs noemde Alexander Rinnooy Kan, lid van de raad van bestuur van ING, IT-governance een belangrijke subset van het ondernemingsbestuur. Het financiële concern produceert jaarlijks een roadmap die ingaat op de relatie tussen IT en de business. Op basis daarvan definieert ING jaarlijks de IT-agenda en de -prioriteiten.

Ook KPN werkt aan een systeem om toezicht op en controle van de IT beheersbaar te maken. “IT-governance is bij ons nog steeds in wording, maar zal onderdeel gaan uitmaken van de corporate governance”, aldus Buijs. “Anders werkt het namelijk niet. Vroeger gebeurde het toezicht decentraal, maar wij hebben dit nu naar een centraal niveau gehaald. We werken toe naar een set aan regels voor de sterk veranderende IT en telecom. Elk kwartaal gaan wij die regels tegen het licht houden. Waarbij wij er ook op letten welke afspraken beter niet gemaakt kunnen worden. We moeten voorkomen dat we te belemmerend gaan worden. Het toezicht moet bovendien wel uitvoerbaar en helder zijn.”

AKZO Nobel

Bij de IT-governance van KPN draait alles om negen grondregels, zoals het gebruik van internationale standaarden en referenties, gebruik van standaard software, de toepassing van IT-managementmethodieken die door de raad van bestuur zijn vastgesteld en het vastleggen van alle applicaties in een document vol gebruiksregels. In afgeleide regels bepaalt KPN dat de architectuur voor ICT altijd bij haar zelf ligt, evenals de regie. Het is dit soort duidelijke regels waarlangs toezicht door interne accountants mogelijk wordt.

Maar IT-governance staat nog in de kinderschoenen. Bij een bedrijf als Akzo Nobel is de vormgeving van de bestuurbaarheid van en de controle op de automatisering nog lang niet af. Hier beoordelen business units zelf de doelmatigheid en risico’s van bedrijfsprocessen via control- en risk self assessments. Dat is bij een IT-organisatie van het concern ook gebeurd. Maar oorspronkelijk ging dat moeizaam, omdat het ontbrak aan een homogene IT-structuur. Door één van de bestaande modellen voor IT-governance toe te passen, werden de risico’s en de doelmatigheid al wat duidelijker zichtbaar.

Verdroogde akker

Het kan de IT-auditors niet snel genoeg gaan met de introductie van IT-governance. Te lang al worstelen ze met onkunde en desinteresse van de top. Voor hen is de code Tabaksblat dan ook regen op een verdroogde akker. Maar het grote doel, IT een plaats geven in de doelstellingen van het bedrijf en daar toezicht op houden, is voor veel bedrijven nog een brug te ver. “Zo zou het moeten, maar in onze praktijk maak ik dat wel anders mee”, zegt Boukens. “Men denkt nog te vaak dat het allemaal wel vanzelf goed zal gaan. Maar IT-governance moet onder de aandacht worden gebracht van bestuurders. Zij moeten namelijk weten waar het met de automatisering naar toe moet en op welke manier je dat onder controle moet brengen. De boodschap is dat je daarmee een goed beheersbaar bedrijf krijgt.”

COBIT en Gartner

Een commissie van de NOREA heeft een inventarisatie gemaakt van de stand van zaken op het gebied van IT-governance. Er bestaan al een paar modellen voor. Zo is er het COBIT-model, van Isaca en het IT-Governance Institute. Dit model beschrijft de IT-processen en de controlepunten.

Het model van Gartner, research-onderneming op IT-gebied, beschrijft daarentegen de aandachtsgebieden waarover bedrijven besluiten moeten nemen. Bijvoorbeeld de visie op en de uitgangspunten voor het gebruik en de toepassing van IT, de IT-infrastructuur en wensen van de business.

De grote accountantskantoren hebben hun eigen modellen, die vaak een mengvorm zijn van de modellen van COBIT en Gartner.

Brochure NOREA

Op 10 juni 2004 heeft de NOREA een brochure uitgegeven onder de titel IT-Governance - Een verkenning, als introductie van het begrip. Een werkgroep binnen de beroepsvereniging van IT-auditors geeft hierin uitleg, de relevantie en de stand van zaken op het gebied van IT-governance. Als voorbeeld zijn KPN en AKZO Nobel opgevoerd.