Skip to main content

Themes

Leading Change

Het organiseren van inzicht en toezicht

Interview met prof. dr. Rob Fijneman RE RA, ir. Marten La Haye en ir. Stefan Jacobs

In het afgelopen halfjaar heeft KPMG onderzoek gedaan naar de wijze waarop de raad van commissarissen (RvC) binnen de financiële sector (FS) toezicht houdt op informatietechnologie (ICT). Tijdens een seminar eind maart worden de resultaten van dit onderzoek en de aanbevelingen ter verbetering gepresenteerd. Compact gaat nu alvast in gesprek met de onderzoekers over de aanleiding en de eerste resultaten van het onderzoek. We praten met het onderzoeksteam bestaande uit prof. dr. Rob Fijneman RE RA, ir. Marten La Haye en ir. Stefan Jacobs.

Waarom is KPMG begonnen met een onderzoek naar hoe de RvC toezicht houdt op ICT?

Rob: In het afgelopen decennium is de rol van ICT binnen vrijwel alle organisaties substantieel veranderd. Waar in het verleden deze rol vaak beperkt was tot de ondersteuning van de backoffice, is ICT tegenwoordig een drijvende kracht achter de strategie van veel ondernemingen. Het onderzoek richt zich in zijn huidige vorm op FS omdat hier de impact van ICT heel groot is, en omdat KPMG het mede als een taak ziet om met dit soort onderzoeken bij te dragen aan ontwikkelingen in deze sector.

Wat is het doel van dit onderzoek?

Rob: Het is de taak van het management om de kansen van ICT te benutten en de risico’s van ICT te beheersen. De taak van de RvC is om hierop toezicht te houden en de raad van bestuur (RvB) bij te staan met advies. Het doel van dit onderzoek is om aan de RvC binnen FS aanbevelingen te doen over hoe deze verantwoordelijkheid op het gebied van ICT het beste kan worden ingevuld.

Waarom is ICT zo belangrijk voor deze sector?

Marten: De klanten van bijvoorbeeld een bank verwachten dat de systemen altijd beschikbaar zijn, dat internetportals simpel toegankelijk zijn, etc. Dit stelt grote eisen aan de kwaliteit van de ICT-systemen, ‘het moet gewoon goed op orde zijn’. Daarnaast is ICT van groot belang om concurrentievoordeel te realiseren. Uit het onderzoek blijkt ook dat er veel aandacht zou moeten gaan naar dit laatste aspect, maar in de praktijk valt hier nog een en ander te verbeteren.

Rob: Ook als we naar kosten kijken, kunnen we zien dat ICT van groot belang is voor organisaties binnen FS; uit het onderzoek komt naar voren dat ICT gemiddeld rond de 20 procent van de totale kosten van een organisatie voor haar rekening neemt.

Zijn er nog andere onderwerpen die uit het onderzoek naar voren komen die het belang van ICT voor een commissaris onderstrepen?

Marten: Een van de grootste uitdagingen waar FS voor staat is het verbeteren of vervangen van de bestaande ICT-systemen. Deze systemen, die meestal redelijk oud en moeilijk te onderhouden zijn, zijn eigenlijk een soort ‘sluipmoordenaars’. Een oplossing vinden is erg complex, maar er niets aan doen leidt ook zeker tot grote problemen. Daarom is het een van de onderwerpen die zeker op de agenda van een RvC thuishoren.

Rob: Twee andere veel genoemde uitdagingen, verbetering van de customer interface en innovatie met ICT, liggen in elkaars verlengde. Daarnaast zijn er nog meer onderwerpen, zoals security en data analytics, waarvan een RvC zich op zijn minst op de hoogte zou moeten stellen omdat deze onderwerpen grote strategische kansen en risico’s met zich meebrengen.

Hoe hebben jullie ervoor gezorgd dat de informatie die jullie zochten ook daadwerkelijk kon worden verzameld en representatief is voor de hele sector?

Stefan: Door literatuuronderzoek te combineren met de expertise die aanwezig is binnen KPMG hebben we een vragenlijst samengesteld die de basis is geweest voor interviews met meer dan veertig commissarissen van de grootste banken en verzekeraars in Nederland. Daarnaast hebben we ook een aantal leden van de RvB die de eindverantwoordelijkheid voor ICT hebben geïnterviewd.

Dat klinkt als een hele klus. Wat zijn nu de concrete aanbevelingen die jullie kunnen doen aan een RvC om het toezicht op ICT een betere invulling te geven?

Marten: Wat in ieder geval naar voren komt is dat de door ons geïnterviewde commissarissen de gemiddelde kennis en ervaring van commissarissen op ICT-gebied te laag inschatten. Deze constatering wordt ondersteund door een online onderzoek dat we hebben uitgevoerd en waaruit blijkt dat bij circa 80 procent van de commissarissen binnen FS geen ICT-expertise kan worden gevonden. Kennis en ervaring op het gebied van ICT lijkt dus een punt waarop commissarissen een slag kunnen slaan om hun toezicht op ICT te verbeteren. Immers, alleen als je goed inzicht hebt, kun je goed toezicht houden.

Om goed toezicht te houden is dus kennis nodig, dat lijkt duidelijk, maar hoe diep moet die kennis gaan?

Rob: Voor de meeste leden van de RvC geldt dat zij de hoofdlijnen van de verschillende ICT-onderwerpen, zoals kwaliteit van de ICT-systemen, security, innovatie met ICT en kwaliteit van de ICT-organisatie, goed moeten begrijpen, goed inzicht moeten hebben in de risico’s bij het desbetreffende onderwerp en moeten weten hoe deze risico’s het best gemitigeerd kunnen worden.

Marten: Daarnaast lijkt het vanwege het belang van ICT aan te bevelen om een of twee commissarissen te hebben die daadwerkelijke ICT-ervaring hebben en daardoor het klappen van de zweep kennen. Wel moeten dit tevens ervaren bestuurders zijn, anders kunnen zij hun rol in de RvC niet goed vervullen.

Rob: Ook kan de kwaliteit van de informatie op ICT-gebied worden verbeterd. Informatie die wordt aangedragen vanuit de organisatie zal meer moeten worden uitgediept, en contact met bijvoorbeeld de CIO is van groot belang.

Dat lijken aanbevelingen die vrij simpel op te volgen zijn.

Rob: Helaas is het verhaal ingewikkelder dan dat. De commissarissen binnen FS lijken zich steeds meer in een spagaat te bevinden tussen compliance en toezicht op de bedrijfsvoering, zowel door de eisen van de toezichthouders als door de verwachtingen vanuit de samenleving. Hierdoor zien commissarissen een toename van hun tijdsbesteding en moeten zij deze tijd zien te verdelen over alle aandachtsgebieden, waar ICT er een van is.

Maar wel een heel belangrijk aandachtsgebied?

Marten: Dat is iets wat duidelijk uit het onderzoek naar voren komt!