CFO niet ‘in control’ zonder CIO

In bijna alle markten is toenemende regelgeving een gegeven. Het accent lijkt daarbij te liggen op maximale controle en uitsluiting van risico’s. Dit manifesteert zich overal in de organisatie: niet alleen bij de eigenaren van de onderneming, maar ook bij de commissarissen (waar vooral het auditcomité in betekenis toeneemt) én op het executive niveau. Hier moeten de CEO, CFO, COO en CIO hun balans zien te vinden tussen in control zijn en de operational risks. We mogen hierbij niet uit het oog verliezen dat governance en risicobeheer geen doel op zichzelf zijn, maar een middel ter ondersteuning van de eigenlijke ondernemingsdoelstellingen, zoals het op gecontroleerde wijze maken van winst. Immers: ‘No risk, no profit.’ Normvervaging en gebrek aan fatsoen kunnen echter wel leiden tot de drama’s die we de afgelopen jaren hebben gezien. Vanuit dat oogpunt is er weinig in te brengen tegen regelgeving of interne compliance die ervoor zorgen dat processen helder, auditable en controleerbaar zijn en dat (beursgevoelige) informatie juist en volledig is. Sterker nog, de CIO krijgt hierdoor de kans om zich nadrukkelijker te manifesteren op board-niveau. De bedrijfskritische processen worden namelijk bij de meeste organisaties door IT-systemen en -applicaties ondersteund, die daarmee op hun beurt ook bedrijfskritisch zijn. Deze kritische IT-systemen worden gebruikt om informatie te genereren, te veranderen, op te slaan, te verplaatsen en te presenteren. Daarbij gaat het niet alleen om financiële informatie, maar in toenemende mate ook om gegevens over klanten, medewerkers, markt en transacties.

De CIO is niet alleen verantwoordelijk voor een op de business toegesneden informatievoorziening. Hij moet ook zorgen dat de voor deze informatie benodigde gegevens beschikbaar, betrouwbaar en controleerbaar zijn. En dat, vanwege privacyregels, bepaalde data slechts door specifieke personen of groepen kunnen worden opgevraagd of gemanipuleerd. Als een slechte IT-beslissing of een geforceerd businessbesluit oneigenlijke risico’s introduceert in het kritische applicatielandschap en daarmee de informatievoorziening, kan dit de onderneming ernstige en soms zelfs desastreuze schade berokkenen. Bedrijven die niet inzien dat de informatievoorziening (oftewel de CIO) een grote rol speelt in het krachtenveld van operational risk, zullen bedrogen uitkomen. Traditioneel ligt riskmanagement bij de CFO, vanuit een financiële verantwoordingsoptiek. In het geval van operational risk bestaan er evenwel specifieke IT-gerelateerde gebieden zoals business continuity, transactierisico’s en informatiebeveiliging. Financieel gerichte managers begrijpen vaak slecht of helemaal niet welke technologie hierachter ligt en wat de consequenties van bepaalde keuzen zijn. Dit geldt overigens ook vaak voor managers die zich concentreren op de klant en de markt: zij zien niet dat de wijze waarop zij met verandering willen omgaan, risico’s introduceert in het IT- en applicatielandschap en daarmee ook risico’s oplevert voor de business zelf.

HELDER BEELD Een operationeel risico laat zich niet altijd eenduidig definiëren. Theoretisch is het ieder verlies, vertaald naar bedrijfskosten, dat voorkomen had kunnen worden als de juiste preventieve maatregelen waren genomen. Om vanuit het perspectief van de CIO de juiste preventieve maatregelen te kunnen nemen is het noodzakelijk om vooraf een helder beeld te hebben van de eisen vanuit de business en te begrijpen waar de risico’s liggen. Niet alleen vanuit het standpunt van de business, maar ook vanuit de bedrijfscontinuïteit, regelgeving en beveiliging bezien. Alleen dan kan hij, op basis van een gedegen cost versus risk analyse, een juiste keuze maken voor specifieke applicaties en de manier waarop de risico’s voor de onderliggende technische infrastructuur en servicemanagementorganisatie moeten worden afgedekt.

Hierbij gaat het niet alleen om de beschikbaarheid van bepaalde functionaliteit, want ook vertrouwelijkheid en integriteit van niet alleen financiële, maar álle informatie is een steeds belangrijkere risicofactor. Dit is niet vreemd. We leven in een wereld waarin we steeds meer persoonlijke informatie opslaan, transactiegericht met onze toeleveranciers en klanten omgaan en dit graag zo laagdrempelig mogelijk via internet willen realiseren.

Vanuit de toenemende regelgeving worden er steeds meer eisen gesteld aan dergelijke risicoanalyses, die resulteren in controles en maatregelen. Deze moeten geaudit kunnen worden, zodat men continu een vinger aan de pols kan houden. En zodat men bij veranderende omstandigheden de risico’s opnieuw tegen het licht kan houden. Dit mes snijdt aan twee kanten, zowel aan de business- als aan de IT-zijde.

• Als de businesskant wil dat zaken in de informatievoorziening gewijzigd of toegevoegd worden, moet er een goed beeld zijn van de wensen en eisen – ook ten aanzien van de gevolgen voor de organisatie en de risico’s. Vooralsnog krijgt dit niet de aandacht die het verdient. Hierdoor kan de informatievoorziening niet voldoen aan de verwachtingen die er vanuit de verschillende invalshoeken zijn.

• Voor de IT-organisatie betekent het een werkelijke vertaling van de eisen en wensen naar een omgeving die voldoet aan zowel de eisen van de business als die van externe en interne regelgeving. In tegenstelling tot wat vaak wordt gedacht, is dit niet alleen een vertaling in een juiste onderliggende technische infrastructuur. Het is ook een vertaling in auditable serviceprocessen (zoals change- en releasemanagement) en een governancestructuur die adequaat met de risico’s en veranderende omgeving kan omgaan. Hiervoor is een zeer transparante opzet nodig, met processen die het mogelijk maken de afwegingen, beslissingen en doorgevoerde veranderingen, die in een nauw samenspel tussen de business en de IT-organisatie tot stand komen, eenvoudig en traceerbaar in beeld te brengen.

Risicomanagement is een gedeelde verantwoordelijkheid van de business en IT. De business zal (op een SOX-achtige wijze) de risico’s die voor IT-projecten in kaart zijn gebracht moeten aftekenen. Er zijn voorbeelden van bedrijven waar risicomanagement op een dergelijke wijze is geïntroduceerd: hier moet het businessunit-management tekenen voor het geaccepteerde risico per IT-project of ‘major change’. Het aantal succesvolle projecten en implementaties nam in die organisaties snel en aanzienlijk toe en – wellicht niet minder belangrijk – het aantal projectinitiatieven nam binnen afzienbare tijd met meer dan 25 procent af.

De CIO is dus niet los te denken van een geslaagd ‘in control’ zijn. We moeten echter niet vergeten dat het nemen van gecalculeerde risico’s uiteindelijk de drijvende kracht is achter het succesvol runnen van een bedrijf. Het beheren van risico’s gaat niet alleen over het beoordelen en kwantificeren van alle zaken die fout kunnen gaan. Het betekent ook een helder begrip van díe zaken die juist goed moeten gaan om het bedrijf voorspoedig te laten opereren en veranderen. Vanuit die impactanalyse moeten beslissingen worden genomen. Geen box-ticking, maar risicobeheer dat daadwerkelijk is ingebed in de cultuur en de dagelijkse gang van zaken. Zodat het een bijdrage levert aan het succes van het bedrijf.  

Pim Berger is managing director van outsourcingsbedrijf Schuberg Philis