RvC's hebben onvoldoende kijk op IT

Voor het onderzoek bevroeg KPMG 50 commissarissen en 8 directieleden van 30 grote banken en verzekeraars in Nederland. 90 procent van hen beschouwt de IT-kennis van de gemiddelde commissaris in de financiële sector als onvoldoende.

Ook gaven commissarissen toe dat het onderwerp informatietechnologie eigenlijk te weinig aan bod komt tijdens de vergaderingen van de RvC. En áls het al aan de orde komt, dan gaat het vooral over IT als middel om bestaande processen gaande te houden en in veel mindere mate over IT als factor in de vernieuwing van de bedrijfsstrategie. Ondanks deze focus op operationele inzet van IT blijven bij ongeveer de helft van de RVC's de beschikbaarheid van de IT-systemen, en de kwaliteit van de IT-organisatie er achter, onbesproken.
Ofschoon zijn onderzoek specifiek betrekking heeft op de financiële sector, schat KPMG's Head of Advisory Rob Fijneman desgevraagd dat de aangetroffen situatie in grote lijnen indicatief mag worden geacht voor het Nederlandse bedrijfsleven in z'n volle breedte: "Op grond van waarnemingen vanuit onze advies- en accountancypraktijk verwacht ik daar soortgelijke uitkomsten".

Onvoldoende inzicht in kosten

RvC's in de financiële sector besteden gemiddeld 10-15% van hun tijd aan IT. Als belangrijkste beperkende factoren op dit punt worden genoemd: onvoldoende affiniteit met het onderwerp en een drukke agenda vol met andere onderwerpen, waaronder met name compliance. Ook de toegang tot informatie over IT lijkt mogelijk een rol te spelen in de beperkte RvC-aandacht voor het onderwerp.

Ongeveer een derde van de ondervraagden geeft aan dat de informatie die zij op IT-gebied krijgen kwalitatief onder de maat is. Ongeveer een derde krijgt geen goede voortgangsrapportage van de grote of strategische IT-projecten en 60% heeft geen goed inzicht in de IT-kosten. Niettemin behoren Strategie & IT (als onderdeel van de jaarlijkse strategievergadering) en beveiliging per saldo wel tot de meest door RvC's besproken besproken IT-vraagstukken. Ook voortgang van grote IT-projecten en datakwaliteit komen in de meeste RvC’s wel aan de orde. Benchmarks van IT-kosten worden in 29% van de RvC’s besproken.
“Informatietechnologie (IT) in het bedrijfsleven is de afgelopen decennia fundamenteel veranderd”, constateert KPMG's Head of Advisory Fijneman. "IT heeft duidelijk de puur ondersteunende rol achter zich gelaten en wordt steeds meer een drijvende kracht achter de strategie van ondernemingen, bij uitstek een gebied waar de commissaris toezicht op moet houden. De kosten die met IT zijn gemoeid, zijn bovendien aanzienlijk. Gemiddeld genomen is IT – infrastructuur, software en de mensen die er intensief bij betrokken zijn – goed voor zo’n 20% van het bedrijfsbudget en er zijn geen aanwijzingen dat dat aandeel zal krimpen."

Missiewerk voor de CIO

De toegenomen aandacht voor IT stelt niet alleen nieuwe eisen aan de Raad van Bestuur (RvB) en de Raad van Commissarissen (RvC), maar zal volgens Fijneman, die naast zijn werk voor KPMG als hoogleraar IT-auditing aan de Tilburg University is verbonden, ook gevolgen hebben voor de rol van CIO: “De tijd dat de CIO vooral sterk moest zijn op technisch niveau ligt definitief achter ons. De behoefte van de commissaris om beter op de hoogte te zijn van kansen, risico's en kosten als het om informatietechnologie gaat, vraagt van de CIO dat hij meer en meer in staat is om op een verhelderende wijze met de leden van de RvC in gesprek te gaan over informatietechnologie. Missiewerk voor de CIO dus, die kan helpen de kennis van commissarissen op IT-gebied flink op te voeren.”

Op de vraag of de CIO, dat wil zeggen een lid van de door de RvC te controleren directie, wel de ideale functionaris is om het IT-kennistekort van de RvC te ondervangen, antwoordt Fijneman: "Dat de CIO zelf object van toezicht door de RvC is, hoeft geen beletsel te zijn om informatie en kennis aan te dragen wat betreft de strategie en de organisatie rond IT. Een CIO kan wel degelijk bevorderen dat IT qua frequentie en inhoud voldoende op de agenda van de RvC belandt."

Maar daarnaast meent Fijneman dat RvC's er goed aan doen gebruik te maken van in- en externe auditors en accountants, onder meer om IT-risico's (rond continuïteit onder meer compliancy) te toetsen en om de voortgang ten aanzien van de vernieuwingsagenda en grote projecten kritisch te volgen. Ook kan het volgens KPMG geen kwaad regelmatig benchmarks te laten uitvoeren om de performance van het eigen bedrijf te vergelijken met branchegemiddelden.