(IT) – Governance … Het zal ons een zorg zijn !… … Geldt dit ook voor de Kwaliteitsmanager ?....

1
(IT) Governance Het zal ons een zorg zijn
! Geldt dit ook voor de Kwaliteitsmanager
?....

• Jan de Heer
• Mark Lof
• 23 februari 2006

2
Agenda

• Wie zijn wij ?
• Positionering NOREA
• Corporate Governance
• IT Governance
• Wat doet de Kwaliteitsmanager ?
• Relatie Governance met Kwaliteitsmanagement
• Stellingen en discussie

3
Wie zijn wij ?

• Ir K.M. Lof RE
• Werkzaam bij KPMG Information Risk Management
• Lid van de NOREA en actief in de kennisgroep IT
  Governance
• Aandachtsgebieden
• IT Governance
• Project Risk management
• Business Controls
• Consumer Markets
• Industrial Markets
• Ir J.W. de Heer RE
• Werkzaam bij KPN, afdeling Audit
• Lid van de NOREA, tevens bestuurslid en actief in
  de kennisgroep IT Governance
• Aandachtsgebieden
• IT Governance
• Programma - projectbeheersing en Risico
  management
• Ondersteuning SOx Sarbanes Oxley implementatie

4

Positionering NOREA

• 1250 Register EDP-auditors (REs)
• 500 aspirant-leden (in opleiding)
• 4 erkende (post-academische) opleidingen

5
Erkende (post-academische) opleidingen

• Amsterdam Graduate Business School UvA
• Erasmus School of Accountancy Assurance
  Rotterdam
• Tias Business School, Universiteit Tilburg
• Post Graduate School, Vrije Universiteit
  Amsterdam

6
NOREA-Bestuur, bestaande uit vertegenwoordigers
van

• Deloitte Enterprise Risk Services
• Ernst en Young EDP-Audit
• KPMG Information Risk Management
• PricewaterhouseCoopers Advisory,
• De Nederlandsche Bank
• Fortis Audit Services
• KPN Audit
• Defensie Audit Dienst.

7
EDP-Auditors in de beroepspraktijk

• Interne beroep 45,6
• Externe beroep 28
• Overheid 15,8
• IT-bedrijven 3,6
• Zelfstandig adviseur 4,1
• Gepensioneerd 2,9
• TOTAAL 100

8
NOREA-publicaties

• Geschriften
• Studierapporten
• Handreikingen
• Richtlijnen
• de EDP-Auditor
• Website www.norea.nl

9
NOREA-publicaties / vervolg IT Governance Een
verkenning
10
Corporate Governance

• Boekhoudschandalen zoals Enron, Worldcom, Ahold
  en Parmalat
• Grotere aansprakelijkheid van
  verantwoordelijkheid voor ondernemingen
• Striktere regelgeving ten aanzien van Corporate
  Governance
• Sarbanes-Oxley wet (US) Tabaksblat (NL)
• Vier aandachtsgebieden wetgeving SOx (op
  hoofdlijnen)
• Aanscherping verantwoordelijkheid management en
  auditcommittees
• Uitbreiding van de reikwijdte van de vereiste
  verslaggeving
• Aanscherping onafhankelijkheid
• Benoeming Toezichthouder

11
Aanscherping verantwoordelijkheid management
audit committees

• Audit committees verantwoordelijkheid
  aangescherpt t.a.v.
• Relatie met accountants
• Onafhankelijkheid van de leden van het audit
  committee
• Interne klachten procedure t.a.v.
  verslaggevings-, interne controle en externe
  controle issues (whistle blower)
• Wettelijke recht om adviseurs/kennis in te huren

12
Aanscherping verantwoordelijkheid management
audit committees

• Management verantwoordelijkheid aangescherpt
  t.a.v.
• Expliciete verantwoordelijkheid voor de
  (financiële) verslaglegging
• 302 certification
• Disclosure controls and procedures
• Beoordeling effectiviteit van de interne controle
  in relatie tot de financiële verslaggeving (404)
• Strafbaar stellen van misleiding, manipuleren
  en/of frauduleurs beïnvloeden van de accountant
• Overige aspecten bonussen, stock, insider
  trading, e.d.

13
Inhoud van de mededeling interne beheersing (SOx
404)

• Management eindverantwoordelijk voor de opzet en
  goede werking van de interne beheersing
• Gehanteerd raamwerk door het management voor de
  beoordeling van de effectiviteit van de interne
  beheersing
• Het oordeel over de effectiviteit van de interne
  beheersing
• Melding dat de accountant een verklaring heeft
  gegeven bij deze mededeling

14
Best practice bepalingen - TabaksblatRaad van
Bestuur

• II.1.3 In de vennootschap is een op de
  vennootschap toegesneden intern
  risicobeheersings- en controlesysteem aanwezig.
  Als instrumenten van het interne
  risicobeheersings- en controlesysteem hanteert de
  vennootschap in ieder geval
• a) risicoanalyses van de operationele en
  financiële doelstellingen van de vennootschap
• b) een gedragscode die in ieder geval op de
  website van de vennootschap wordt geplaatst
• c) handleidingen voor de inrichting van de
  financiële verslaggeving en de voor de opstelling
  daarvan te volgen procedures
• d) een systeem van monitoring en rapportering.
• II.1.4 In het jaarverslag verklaart het bestuur
  dat de interne risicobeheersings- en
  controlesystemen adequaat en effectief zijn en
  geeft het bestuur een duidelijke onderbouwing
  hiervan. Het bestuur rapporteert in het
  jaarverslag over de werking van het interne
  risicobeheersings- en controlesysteem in het
  boekjaar. Het bestuur geeft daarbij tevens aan
  welke eventuele significante wijzigingen zijn
  aangebracht, welke eventuele belangrijke
  verbeteringen zijn gepland en dat één en ander
  met de auditcommissie en de raad van
  commissarissen is besproken.

15
Best practice bepalingen - Tabaksblat Raad van
Bestuur

• II.1.5 Het bestuur rapporteert in het jaarverslag
  over de gevoeligheid van de resultaten van de
  vennootschap ten aanzien van externe
  omstandigheden en variabelen.
• II.1.6 Het bestuur draagt er zorg voor dat
  werknemers zonder gevaar voor hun rechtspositie
  de mogelijkheid hebben te rapporteren over
  vermeende onregelmatigheden van algemene,
  operationele en financiële aard binnen de
  vennootschap aan de voorzitter van het bestuur of
  aan een door hem aangewezen functionaris.
  Vermeende onregelmatigheden die het functioneren
  van bestuurders betreffen worden gerapporteerd
  aan de voorzitter van de raad van commissarissen.
  De klokkenluidersregeling wordt in ieder geval op
  de website van de vennootschap geplaatst.
• Toelichting (als onderdeel van de code) op best
  practice bepaling II.1.4
• Het ligt in de rede dat het bestuur in de
  verklaring over de interne risicobeheersings- en
  controlesystemen aangeeft welk raamwerk of
  normenkader (zoals bijvoorbeeld het COSO raamwerk
  voor interne beheersing) hij heeft gehanteerd bij
  de evaluatie van het interne risicobeheersings-
  en controlesysteem

16
Best practice bepalingen - Tabaksblat Raad van
Bestuur

• III.1.6 Het toezicht van de raad van
  commissarissen op het bestuur omvat onder andere
• a) de realisatie van de doelstellingen van de
  vennootschap
• b) de strategie en de risicos verbonden aan de
  ondernemingsactiviteiten
• c) de opzet en de werking van de interne
  risicobeheersings- en controlesystemen
• d) het financiële verslaggevingsproces
• e) de naleving van de wet- en regelgeving.
• III.1.8 De raad van commissarissen bespreekt in
  ieder geval éénmaal per jaar de strategieën de
  risicos verbonden aan de onderneming en de
  uitkomsten van de beoordeling door het bestuur
  van de opzet en de werking van de interne
  risicobeheersings- en controlesystemen, alsmede
  eventuele significante wijzigingen hierin. Van
  het houden van de besprekingen wordt melding
  gemaakt in het verslag van de raad van
  commissarissen.
• III.5.4 De auditcommissie richt zich in ieder
  geval op het toezicht op het bestuur ten aanzien
  van
• a) de werking van de interne risicobeheersings-
  en controlesystemen, waaronder het toezicht op de
  naleving van de relevante wet- en regelgeving en
  het toezicht op de werking van gedragscodes
• b)

17
Corporate Governance

• Studies
• 1992 Cadbury
• 1994 Coso
• 1997 Commissie Peters
• Wat is corporate governance?
• Goed ondernemingsbestuur
• Verantwoording afleggen
• Toezicht
• Aandachtspunten Corporate Governance
• Interne beheersing
• Afleggen van externe verantwoording

18
What is Governance?
Method of Management (Osborne 1998)
Governance deals not so much with what
organisations do but how they do it (National
Institute for Governance, 2000)
Governance is about guiding - It is about the
processes by which organisations steer
themselves (Centre for Governance, Canada, 2000)
19
Waarom aandacht voor IT Governance?

• Governance zonder IT governance is niet mogelijk
  vanwege de sterk toegenomen afhankelijkheid (tot
  het niveau van volledige vervlochtenheid) van
  automatisering voor organisaties voor hun
  bedrijfsvoering en informatievoorziening.
• Toenemende snelheid van veranderingen binnen het
  I(C)T werkveld (nieuwe technologieën, hoge kosten
  / investeringen)
• De noodzaak om de toenemende kosten en IT
  investeringen optimaal te managen.
• Betrouwbare informatie en de daarbij passende
  informatie systemen zijn voor organisaties een
  kritische succesfactor.Betrouwbare informatie
  moet constant beschikbaar zijn.
• De kwaliteit van de interne controle omgeving is
  sterk afhankeleijk van de kwaliteit van de IT.

Er is geen business zonder IT!
20
Spanningsboog tussen Business en IT
This means the ICT should be (continuous) in
control
21
Definities IT Governance
The patterns of authority for key IT activities
in business firms (Sambamurthy Zmud, 1999)
A management framework which ensures the
delivery of expected benefits of IT in a
controlled manner (Poole V)
The structure that links IT processes, IT
resources and information (ISACA, 2000)
IT governance is the responsibility of the board
of directors and executive management. It is an
integral part of enterprise governance and
consists of the leadership and organisational
structures and processes that ensure that the
organisations IT sustains and extends the
organisations strategies and objectives.
IT Governance Institute, 2003
22
IT Governance

• IT governance is the responsibility of the
  board of directors and executive management. It
  is an integral part of enterprise governance and
  consists of the leadership and organisational
  structures and processes that ensure that the
  organisations IT sustains and extends the
  organisations strategies and objectives.

23
IT Governance

• IT governance is also a process in which the IT
  strategy drives the IT processes, which obtain
  resources necessary to execute their
  responsibilities.
• The IT processes report against these
  responsibilities on process outcome, performance,
  risks mitigated and accepted, and resources
  consumed. These reports should either confirm
  that the strategy is properly executed or provide
  indications that strategic redirection is required

24
IT Governance

• IT Governance gaat over het
• Besturen,
• Beheersen
• Uitvoeren
• Verantwoording afleggen en het
• Toezicht houden op de
• de informatievoorziening

25
Wat is het verschil?

• Overall framework to ensure organisation meets
  needs of its key constituencies to ensure its
  ongoing survival and operates in a legal and
  ethical manner.

Corporate Governance
Subset of Corporate Governance which seeks to
support the functions of Corporate Governance
framework and ensure Directors responsibilities
with regards to IT are met.
IS Governance
Implementation, execution and day to day
management of the IS Governance framework.
IT Management
26
COBIT

• COBIT (Control Objectives for Information and
  related Technology) is een niet-technisch,
  internationaal bekend referentiekader voor
  IT-gerelateerde beheersingsprocessen.
• Het Cobit-framework is een raamwerk dat bestaat
  uit drie verschillende onderdelen
• Information Criteria
• IT Resources
• IT Processes, in vier domeinen
• Planning Organisation
• Acquisition Implementation
• Delivery Support
• Monitoring.

27
Wat doet de Kwaliteitsmanager ?

• De Kwaliteitsmanager zorgt mede ervoor, dat het
  Kwaliteitsmanagementsysteem wordt
  geïmplementeerd, bij de organisatie blijft passen
  en actueel is.
• Hij/zij adviseert en ondersteunt Management en
  organisatie gevraagd en ongevraagd bij de
  toepassing van het systeem en zorgt voor een
  gemeenschappelijk begrip binnen de organisatie
  voor het voldoen aan de eisen en verwachtingen
  van klanten en andere belanghebbenden, zoals
  overheden en vergunningsverleners.
• Hij/zij bevordert het kwaliteitsbewustzijn bij
  alle medewerkers. Kortom, de Kwaliteitsmanager
  zorgt ervoor dat het Kwaliteitsmanagementsysteem
  fit for purpose is én bijdraagt aan de
  realisering van de bedrijfsdoelstellingen. Hij is
  in feite de tolk die de organisatie ondersteunt
  bij het vertalen van deze doelstellingen naar de
  dagelijkse praktijk.
•  

28
Relaties Governance met Kwaliteitsmanagement

• Governance bepaalt mede inrichting
  kwaliteitssysteem
• Kwaliteitsmanagement moet integraal onderdeel
  zijn van Governance.
• Er is een niet onderkende overlap
  kwaliteitsmanagement en governance
• Inrichting bedrijfsprocessen
• Toezicht houden op uitvoering bedrijfsprocessen
• Verantwoording afleggen over bedrijfsprocessen

29
Stellingen

• Wanneer komt Governance in gesprek met de ISO
  normen en kwaliteitssystemen? Of is het vandaag
  de eerste keer?
• Is hebben van ISO certificaat voldoende
  Governance?
• Veel kwaliteitsmanagementsystemen niet gebaseerd
  op risico-analyse/context organisatie.
• Als kwaliteitsysteem niet aantoonbaar afgestemd
  is op de bedrijfsdoelen en risico-appetite dan is
  er geen Governance.
• ISO certificering stelt niets voor, want beperkte
  inhoudelijke bemoeienis ISO certificering ten
  aanzien van beheersing (betrouwbaaheid) en
  kwaliteit bedrijfsprocessen dus geen Governance.
• De Kwaliteitsmanager bepaalt mede de inrichting
  van (IT) Governance

30
Methodiek/stappenplan van Risico Management
opnemen