Interview: Brigitte Beugelaar
Er is werk aan de winkel voor de CIO, zo blijkt uit het KPMG-onderzoek ‘Toezicht op IT: De veranderende wereld van de commissaris’, waarvoor circa vijftig commissarissen en leden van de raden van bestuur van de grootste banken en verzekeraars in Nederland zijn geïnterviewd. De commissaris wil beter op de hoogte zijn van de kansen, risico’s en kosten voor de organisatie aangaande informatietechnologie en het is aan de CIO om hem daarvan op de hoogte te brengen.
Introductie
De tijd dat de CIO vooral sterk moest zijn op technisch niveau ligt definitief achter ons. In staat zijn om op verhelderende wijze met de leden van de raad van commissarissen over informatietechnologie in gesprek te gaan is minstens net zo belangrijk. De commissaris wil beter op de hoogte zijn van de kansen, risico’s en kosten voor de organisatie aangaande informatietechnologie, zo blijkt uit het rapport ‘Toezicht op IT: De veranderende wereld van de commissaris’ van KPMG, dat op 31 maart van dit jaar is verschenen.
Met recht: IT heeft de puur ondersteunende rol achter zich gelaten en wordt steeds meer een drijvende kracht achter de strategie van ondernemingen, bij uitstek een gebied waar de commissaris toezicht op moet houden. De kosten die met IT zijn gemoeid, zijn bovendien aanzienlijk. Gemiddeld genomen is IT – infrastructuur, software en de mensen die er intensief bij betrokken zijn – goed voor circa 20 procent van het bedrijfsbudget van de ondervraagde organisaties en er zijn geen aanwijzingen dat dat aandeel zal dalen.
Meer en betere informatie
Er is werk aan de winkel voor de CIO, zo blijkt uit het KPMG-onderzoek, waarvoor circa vijftig commissarissen en leden van de raden van bestuur van de grootste banken en verzekeraars in Nederland zijn geïnterviewd. Zo wil een derde van de ondervraagden betere informatie op IT-gebied ten behoeve van de rvc-vergadering, stelt eveneens een derde geen goede voortgangsrapportages van grote/strategische projecten te ontvangen en zegt maar liefst 60 procent dat het hen ontbreekt aan goed inzicht in de IT-kosten. Slechts een kwart van de ondervraagden heeft toegang tot een dashboard dat goed inzicht geeft in de relevante IT-parameters; 13 procent krijgt weliswaar een dashboard te zien maar vindt dat dat op IT-gebied te wensen overlaat en twee derde moet het zelfs helemaal zonder dashboard doen.
De beschikbaarheid van gedegen en toegankelijke informatie inzake IT is echter een basisvoorwaarde, wil een commissaris zijn rol naar behoren kunnen uitoefenen. Uitval of disfunctioneren van de IT als gevolg van bijvoorbeeld gebrekkige investeringen in beveiliging kan immers het voortbestaan van een organisatie in gevaar brengen.
De CIO zit soms in, maar meestal net onder de raad van bestuur. Hoewel de rvb formeel dus de schakel naar de rvc vormt, is de CIO de kennisbron die de rvc van informatie voorziet. De toenemende roep om informatie betekent dan ook dat menig CIO de verantwoordingsstructuur zal moeten aanpassen zodat deze ook mensen die minder goed zijn ingevoerd zoals rvc-leden voldoende inzicht biedt.
Een andere vereiste is een meer proactieve houding richting de rvc. Commissarissen zijn de afgelopen jaren meer tijd aan hun commissariaat gaan spenderen en ongeveer de helft van de ondervraagden gaat nu actief op zoek naar informatie in de organisatie. Een ruime meerderheid (61 procent) nodigt de CIO uit om tijdens vergaderingen op IT-vraagstukken in te gaan. De informatie uit de eerste hand en het rechtstreekse contact met de CIO worden gewaardeerd, maar men is hongerig naar meer: een meerderheid van de ondervraagden zou eveneens graag meer en diepgaandere informatie van de IT-auditor ontvangen.
Er is weliswaar een dialoog gaande tussen CIO en commissaris, maar de juiste invulling is duidelijk nog niet gevonden. Het is aan de CIO om actief te onderzoeken hoe hij de informatiehonger van de rvc het best kan stillen: wat ontbreekt er precies en hoe kan ik dat invullen?
Missiewerk
De kennisvoorsprong van de CIO kan een soepele communicatie met de rvc in de weg staan. In de coulissen wordt regelmatig geklaagd dat het commissarissen aan basiskennis op IT-gebied ontbreekt. Dit zou een diepgaand gesprek over bijvoorbeeld de kosten-batenanalyse van grote IT-projecten in de weg staan.
Hoewel de gepolste commissarissen ook van mening zijn dat het rvc’s aan kennis ontbreekt (92 procent stelt dat de IT-kennis van de gemiddelde commissaris in de financiële sector onvoldoende is), wijst men vooral naar elkaar: bijna twee derde vindt dat de eigen kennis volstaat.
Men probeert zich wel enigszins bij te scholen. Missiewerk voor de CIO dus, die kan helpen de kennis van commissarissen tot een dusdanig niveau op te voeren dat de rvc een volwaardige gesprekspartner kan zijn inzake de IT-agenda.
Ondergeschoven kindje
Niet alleen de kennis omtrent informatietechnologie is voor verbetering vatbaar, ook de aandacht voor het onderwerp tijdens rvc-vergaderingen laat te wensen over. De helft van de ondervraagden zou IT graag meer prominent op de agenda zien, maar de schaarse tijd wordt opgeslokt door met name compliancezaken en het nagaan of de organisatie aan de diverse regels voldoet. Als IT al aan de orde komt, dan is dat vaak in samenhang met incidenten zoals uitval van systemen en beveiliging.
Ook hier tekent zich een dankbare taak af voor de CIO. Hij is de aangewezen persoon om de rvc ervan te overtuigen dat er essentiële kansen worden gemist door van incident naar incident te gaan. De bredere mogelijkheden van informatietechnologie raken een heel andere soort discussie: de inzet van IT als strategisch wapen om kansen mee te pakken. Zonder innovatie kan een organisatie in deze snel veranderende wereld niet overleven, en innovatie ligt verankerd in de technologie.
Als de CIO bij zowel rvb as rvc de gebruikelijke discussie weet te doorbreken zodat het gesprek niet meer gaat over het repareren van incidenten maar over de mate waarin IT wordt ingezet voor strategische doeleinden en hoeveel geld daarvoor beschikbaar wordt gemaakt, dan is er een wereld gewonnen.
Succesvol als CIO
Wie als CIO succesvol wil zijn op de agenda, geeft de rvc de informatie die een commissaris nodig heeft, in de vorm waarin hij die nodig heeft. Wie als CIO succesvol wil zijn, is zelf zichtbaar én maakt resultaten en mogelijkheden zichtbaar. Hij helpt een brug te slaan, toegerust met een flinke dosis realiteitszin. Veel grote organisaties zijn weinig wendbaar, mede vanwege de talrijke (vaak ook nog onderling verbonden) legacysystemen, de focus op compliance en de risicomijdende instelling.
De omslag vereist een gedegen aanpak en een lange adem. Deze klus is niet in één slag op te lossen.
Prof. dr. R.G.A. Fijneman RE RA is Head of Advisory in de raad van bestuur van KPMG Nederland, hoogleraar IT-auditing aan Tilburg University, Academic Director aan Tias School of Business and Society en medeauteur van het onderzoek ‘Toezicht op IT’.