Title: (IT) – Governance … Het zal ons een zorg zijn !… … Geldt dit ook voor de Kwaliteitsmanager ?....
1(IT) Governance Het zal ons een zorg zijn
! Geldt dit ook voor de Kwaliteitsmanager
?....
- Jan de Heer
- Mark Lof
- 23 februari 2006
2Agenda
- Wie zijn wij ?
- Positionering NOREA
- Corporate Governance
- IT Governance
- Wat doet de Kwaliteitsmanager ?
- Relatie Governance met Kwaliteitsmanagement
- Stellingen en discussie
3Wie zijn wij ?
- Ir K.M. Lof RE
- Werkzaam bij KPMG Information Risk Management
- Lid van de NOREA en actief in de kennisgroep IT
Governance - Aandachtsgebieden
- IT Governance
- Project Risk management
- Business Controls
- Consumer Markets
- Industrial Markets
- Ir J.W. de Heer RE
- Werkzaam bij KPN, afdeling Audit
- Lid van de NOREA, tevens bestuurslid en actief in
de kennisgroep IT Governance - Aandachtsgebieden
- IT Governance
- Programma - projectbeheersing en Risico
management - Ondersteuning SOx Sarbanes Oxley implementatie
4Positionering NOREA
- 1250 Register EDP-auditors (REs)
- 500 aspirant-leden (in opleiding)
- 4 erkende (post-academische) opleidingen
5Erkende (post-academische) opleidingen
- Amsterdam Graduate Business School UvA
- Erasmus School of Accountancy Assurance
Rotterdam - Tias Business School, Universiteit Tilburg
- Post Graduate School, Vrije Universiteit
Amsterdam
6NOREA-Bestuur, bestaande uit vertegenwoordigers
van
- Deloitte Enterprise Risk Services
- Ernst en Young EDP-Audit
- KPMG Information Risk Management
- PricewaterhouseCoopers Advisory,
- De Nederlandsche Bank
- Fortis Audit Services
- KPN Audit
- Defensie Audit Dienst.
7EDP-Auditors in de beroepspraktijk
- Interne beroep 45,6
- Externe beroep 28
- Overheid 15,8
- IT-bedrijven 3,6
- Zelfstandig adviseur 4,1
- Gepensioneerd 2,9
- TOTAAL 100
8NOREA-publicaties
- Geschriften
- Studierapporten
- Handreikingen
- Richtlijnen
- de EDP-Auditor
- Website www.norea.nl
9NOREA-publicaties / vervolg IT Governance Een
verkenning
10Corporate Governance
- Boekhoudschandalen zoals Enron, Worldcom, Ahold
en Parmalat - Grotere aansprakelijkheid van
verantwoordelijkheid voor ondernemingen - Striktere regelgeving ten aanzien van Corporate
Governance - Sarbanes-Oxley wet (US) Tabaksblat (NL)
- Vier aandachtsgebieden wetgeving SOx (op
hoofdlijnen) - Aanscherping verantwoordelijkheid management en
auditcommittees - Uitbreiding van de reikwijdte van de vereiste
verslaggeving - Aanscherping onafhankelijkheid
- Benoeming Toezichthouder
11Aanscherping verantwoordelijkheid management
audit committees
- Audit committees verantwoordelijkheid
aangescherpt t.a.v. - Relatie met accountants
- Onafhankelijkheid van de leden van het audit
committee - Interne klachten procedure t.a.v.
verslaggevings-, interne controle en externe
controle issues (whistle blower) - Wettelijke recht om adviseurs/kennis in te huren
12Aanscherping verantwoordelijkheid management
audit committees
- Management verantwoordelijkheid aangescherpt
t.a.v. - Expliciete verantwoordelijkheid voor de
(financiële) verslaglegging - 302 certification
- Disclosure controls and procedures
- Beoordeling effectiviteit van de interne controle
in relatie tot de financiële verslaggeving (404) - Strafbaar stellen van misleiding, manipuleren
en/of frauduleurs beïnvloeden van de accountant - Overige aspecten bonussen, stock, insider
trading, e.d.
13Inhoud van de mededeling interne beheersing (SOx
404)
- Management eindverantwoordelijk voor de opzet en
goede werking van de interne beheersing - Gehanteerd raamwerk door het management voor de
beoordeling van de effectiviteit van de interne
beheersing - Het oordeel over de effectiviteit van de interne
beheersing - Melding dat de accountant een verklaring heeft
gegeven bij deze mededeling
14Best practice bepalingen - TabaksblatRaad van
Bestuur
- II.1.3 In de vennootschap is een op de
vennootschap toegesneden intern
risicobeheersings- en controlesysteem aanwezig.
Als instrumenten van het interne
risicobeheersings- en controlesysteem hanteert de
vennootschap in ieder geval - a) risicoanalyses van de operationele en
financiële doelstellingen van de vennootschap - b) een gedragscode die in ieder geval op de
website van de vennootschap wordt geplaatst - c) handleidingen voor de inrichting van de
financiële verslaggeving en de voor de opstelling
daarvan te volgen procedures - d) een systeem van monitoring en rapportering.
- II.1.4 In het jaarverslag verklaart het bestuur
dat de interne risicobeheersings- en
controlesystemen adequaat en effectief zijn en
geeft het bestuur een duidelijke onderbouwing
hiervan. Het bestuur rapporteert in het
jaarverslag over de werking van het interne
risicobeheersings- en controlesysteem in het
boekjaar. Het bestuur geeft daarbij tevens aan
welke eventuele significante wijzigingen zijn
aangebracht, welke eventuele belangrijke
verbeteringen zijn gepland en dat één en ander
met de auditcommissie en de raad van
commissarissen is besproken.
15Best practice bepalingen - Tabaksblat Raad van
Bestuur
- II.1.5 Het bestuur rapporteert in het jaarverslag
over de gevoeligheid van de resultaten van de
vennootschap ten aanzien van externe
omstandigheden en variabelen. - II.1.6 Het bestuur draagt er zorg voor dat
werknemers zonder gevaar voor hun rechtspositie
de mogelijkheid hebben te rapporteren over
vermeende onregelmatigheden van algemene,
operationele en financiële aard binnen de
vennootschap aan de voorzitter van het bestuur of
aan een door hem aangewezen functionaris.
Vermeende onregelmatigheden die het functioneren
van bestuurders betreffen worden gerapporteerd
aan de voorzitter van de raad van commissarissen.
De klokkenluidersregeling wordt in ieder geval op
de website van de vennootschap geplaatst. - Toelichting (als onderdeel van de code) op best
practice bepaling II.1.4 - Het ligt in de rede dat het bestuur in de
verklaring over de interne risicobeheersings- en
controlesystemen aangeeft welk raamwerk of
normenkader (zoals bijvoorbeeld het COSO raamwerk
voor interne beheersing) hij heeft gehanteerd bij
de evaluatie van het interne risicobeheersings-
en controlesysteem
16Best practice bepalingen - Tabaksblat Raad van
Bestuur
- III.1.6 Het toezicht van de raad van
commissarissen op het bestuur omvat onder andere - a) de realisatie van de doelstellingen van de
vennootschap - b) de strategie en de risicos verbonden aan de
ondernemingsactiviteiten - c) de opzet en de werking van de interne
risicobeheersings- en controlesystemen - d) het financiële verslaggevingsproces
- e) de naleving van de wet- en regelgeving.
- III.1.8 De raad van commissarissen bespreekt in
ieder geval éénmaal per jaar de strategieën de
risicos verbonden aan de onderneming en de
uitkomsten van de beoordeling door het bestuur
van de opzet en de werking van de interne
risicobeheersings- en controlesystemen, alsmede
eventuele significante wijzigingen hierin. Van
het houden van de besprekingen wordt melding
gemaakt in het verslag van de raad van
commissarissen. - III.5.4 De auditcommissie richt zich in ieder
geval op het toezicht op het bestuur ten aanzien
van - a) de werking van de interne risicobeheersings-
en controlesystemen, waaronder het toezicht op de
naleving van de relevante wet- en regelgeving en
het toezicht op de werking van gedragscodes - b)
17Corporate Governance
- Studies
- 1992 Cadbury
- 1994 Coso
- 1997 Commissie Peters
- Wat is corporate governance?
- Goed ondernemingsbestuur
- Verantwoording afleggen
- Toezicht
- Aandachtspunten Corporate Governance
- Interne beheersing
- Afleggen van externe verantwoording
18What is Governance?
Method of Management (Osborne 1998)
Governance deals not so much with what
organisations do but how they do it (National
Institute for Governance, 2000)
Governance is about guiding - It is about the
processes by which organisations steer
themselves (Centre for Governance, Canada, 2000)
19Waarom aandacht voor IT Governance?
- Governance zonder IT governance is niet mogelijk
vanwege de sterk toegenomen afhankelijkheid (tot
het niveau van volledige vervlochtenheid) van
automatisering voor organisaties voor hun
bedrijfsvoering en informatievoorziening. - Toenemende snelheid van veranderingen binnen het
I(C)T werkveld (nieuwe technologieën, hoge kosten
/ investeringen) - De noodzaak om de toenemende kosten en IT
investeringen optimaal te managen. - Betrouwbare informatie en de daarbij passende
informatie systemen zijn voor organisaties een
kritische succesfactor.Betrouwbare informatie
moet constant beschikbaar zijn. - De kwaliteit van de interne controle omgeving is
sterk afhankeleijk van de kwaliteit van de IT.
Er is geen business zonder IT!
20Spanningsboog tussen Business en IT
This means the ICT should be (continuous) in
control
21Definities IT Governance
The patterns of authority for key IT activities
in business firms (Sambamurthy Zmud, 1999)
A management framework which ensures the
delivery of expected benefits of IT in a
controlled manner (Poole V)
The structure that links IT processes, IT
resources and information (ISACA, 2000)
IT governance is the responsibility of the board
of directors and executive management. It is an
integral part of enterprise governance and
consists of the leadership and organisational
structures and processes that ensure that the
organisations IT sustains and extends the
organisations strategies and objectives.
IT Governance Institute, 2003
22IT Governance
- IT governance is the responsibility of the
board of directors and executive management. It
is an integral part of enterprise governance and
consists of the leadership and organisational
structures and processes that ensure that the
organisations IT sustains and extends the
organisations strategies and objectives.
23IT Governance
- IT governance is also a process in which the IT
strategy drives the IT processes, which obtain
resources necessary to execute their
responsibilities. - The IT processes report against these
responsibilities on process outcome, performance,
risks mitigated and accepted, and resources
consumed. These reports should either confirm
that the strategy is properly executed or provide
indications that strategic redirection is required
24IT Governance
- IT Governance gaat over het
- Besturen,
- Beheersen
- Uitvoeren
- Verantwoording afleggen en het
- Toezicht houden op de
- de informatievoorziening
25Wat is het verschil?
- Overall framework to ensure organisation meets
needs of its key constituencies to ensure its
ongoing survival and operates in a legal and
ethical manner.
Corporate Governance
Subset of Corporate Governance which seeks to
support the functions of Corporate Governance
framework and ensure Directors responsibilities
with regards to IT are met.
IS Governance
Implementation, execution and day to day
management of the IS Governance framework.
IT Management
26COBIT
- COBIT (Control Objectives for Information and
related Technology) is een niet-technisch,
internationaal bekend referentiekader voor
IT-gerelateerde beheersingsprocessen. - Het Cobit-framework is een raamwerk dat bestaat
uit drie verschillende onderdelen - Information Criteria
- IT Resources
- IT Processes, in vier domeinen
- Planning Organisation
- Acquisition Implementation
- Delivery Support
- Monitoring.
27Wat doet de Kwaliteitsmanager ?
- De Kwaliteitsmanager zorgt mede ervoor, dat het
Kwaliteitsmanagementsysteem wordt
geïmplementeerd, bij de organisatie blijft passen
en actueel is. - Hij/zij adviseert en ondersteunt Management en
organisatie gevraagd en ongevraagd bij de
toepassing van het systeem en zorgt voor een
gemeenschappelijk begrip binnen de organisatie
voor het voldoen aan de eisen en verwachtingen
van klanten en andere belanghebbenden, zoals
overheden en vergunningsverleners. - Hij/zij bevordert het kwaliteitsbewustzijn bij
alle medewerkers. Kortom, de Kwaliteitsmanager
zorgt ervoor dat het Kwaliteitsmanagementsysteem
fit for purpose is én bijdraagt aan de
realisering van de bedrijfsdoelstellingen. Hij is
in feite de tolk die de organisatie ondersteunt
bij het vertalen van deze doelstellingen naar de
dagelijkse praktijk. -
28Relaties Governance met Kwaliteitsmanagement
- Governance bepaalt mede inrichting
kwaliteitssysteem - Kwaliteitsmanagement moet integraal onderdeel
zijn van Governance. - Er is een niet onderkende overlap
kwaliteitsmanagement en governance - Inrichting bedrijfsprocessen
- Toezicht houden op uitvoering bedrijfsprocessen
- Verantwoording afleggen over bedrijfsprocessen
29Stellingen
- Wanneer komt Governance in gesprek met de ISO
normen en kwaliteitssystemen? Of is het vandaag
de eerste keer? - Is hebben van ISO certificaat voldoende
Governance? - Veel kwaliteitsmanagementsystemen niet gebaseerd
op risico-analyse/context organisatie. - Als kwaliteitsysteem niet aantoonbaar afgestemd
is op de bedrijfsdoelen en risico-appetite dan is
er geen Governance. - ISO certificering stelt niets voor, want beperkte
inhoudelijke bemoeienis ISO certificering ten
aanzien van beheersing (betrouwbaaheid) en
kwaliteit bedrijfsprocessen dus geen Governance. - De Kwaliteitsmanager bepaalt mede de inrichting
van (IT) Governance
30Methodiek/stappenplan van Risico Management
opnemen