Februari 2005

KPMG: bedrijven zien IT over het hoofd bij invoering Corporate Governance

Ondernemingen die bezig zijn met de invoering van de voorstellen van de Commissie Tabaksblat besteden onvoldoende aandacht aan de rol van de informatietechnologie.

Aandacht
Dit wordt in belangrijke mate veroorzaakt door het feit dat in de diverse codes slechts beperkt aandacht wordt besteed aan de beheersing van informatietechnologie. Gezien het feit dat de code Tabaksblat het rapporteren over de interne risicobeheersing- en controlesystemen expliciet toevoegt aan het afleggen van rekenschap, zou het voor ondernemingen tenminste een uitdaging moeten zijn om met enige mate van zekerheid te kunnen verklaren dat ze een adequaat en effectief systeem hebben voor risicomanagement en interne controle en te bewijzen dat IT een integraal onderdeel vormt haar behoorlijk bestuur.

Uit onderzoek van KPMG Information Risk Management blijkt echter dat de meerderheid van de bedrijven de invoering van Tabaksblat ziet als een verplicht nummer en het IT-aspect dan ook buiten beschouwing laat

Zelfstandige verklaring
“De zeer beperkte aandacht voor IT in de codes is een bewijs van het feit dat men zich niet beseft dat in bijna elke organisatie het overgrote deel van de risicobeheersings- en controlesystemen is opgenomen in geautomatiseerde systemen”, constateert Gaston Vankan, partner bij KPMG Information Risk Management.

“Immers, de financiële rapportages komen uit geautomatiseerde systemen, de managementrapportages komen uit deze systemen en ook maatregelen van interne controle zijn verankerd in deze systemen. Zonder oordeel over de kwaliteit en de governance van IT is dus geen oordeel over de kwaliteit van de systemen voor risicobeheersing en controle mogelijk. Toch vorm vormt de zelfstandige verklaring door het management omtrent de werking van de interne risicobeheersings- en controlesystemen één van de moeilijkste en meest riskante onderdelen van de code”.

Expliciet
Nu de omgeving van bedrijven steeds meer en steeds explicieter vraagt om zekerheid, moeten bedrijven in toenemende mate rekenschap over de betrouwbaarheid van informatiesystemen afleggen.

Vankan: “Niet alleen aan zakenpartners die elektronisch zakendoen, aan klanten of bij het uitbesteden van bepaalde bedrijfsprocessen, maar ook aan maatschappelijk belanghebbenden, zoals De Nederlandsche Bank of de Autoriteit Financiële Markten. Recente aanpassingen in wet- en regelgeving, zoals Sarbanes-Oxley, maar ook de voorstellen van de Commissie Tabaksblat noodzaken tot een expliciete mededeling over de kwaliteit van de ICT”.

Integraal
Naast het feit dat de bedrijven niet in staat zijn zich een gefundeerd oordeel te vormen over de toereikendheid van de risicobeheersings- en controlesystemen, geldt voor veel organisaties dat IT jaarlijks aanzienlijke investeringen vergt, waardoor in veel gevallen nog moeilijk een adequate onderbouwing kan worden gegeven. Vankan: “Voldoende reden om IT niet af te doen als en zaak van de CFO of de IT-manager. Bedrijven die IT al intergraal onderdeel zien van het bestuur, zijn in staat zijn hun risico’s beter te beheersen en tevens duidelijk onderbouwde waarde uit hun IT-investeringen te halen”.

© dVision