Ict-dienstverleners mogen de komende tijd vanwege de nieuwe regels rond ‘corporate governance’ rekenen op een omzetstijging in de uitbestedingsbranche. De druk om dat soort opdrachten uit te voeren conform de formeel-procedurele regels en classificaties van Itil en CMM zal groter worden.
“Bedrijven worden geconfronteerd met regels die hen dwingen de zakelijke processen in hun onderneming en de verslaglegging daarvan veel transparanter aan te pakken dan vroeger”, zegt Coks Stoffer, algemeen directeur van EDS Nederland, met 2.000 man een van de grootste ict-dienstverleners in ons land. “It krijgt steeds meer het karakter van een industrieel proces. Dat een onderneming gebruikt maakt van een gespecialiseerd bedrijf van buiten is in de auto-industrie bijvoorbeeld heel gewoon. Net zo gewoon wordt het om voor corporate governance gebruik te maken van een gespecialiseerd it-bedrijf van buiten. Want vergeet niet: wij hebben al veertig jaar ervaring met het inrichten van processen.”
| Hoe ver zijn ondernemingen? Wat zijn de vorderingen van ondernemingen qua implementatie van de administratieregels van Sarbanes-Oxley en de boekhoudregels van Ifrs? Dat blijkt te verschillen per bedrijfstak. De financiële markten zijn al vrij ver, zegt Coks Stoffer (EDS). “Die zijn eerder begonnen met het inrichten van hun processen, met monitoring, capaciteitsberekeningen en de opzet en test van de uitwijkprocedures.” Hij verwacht dat die druk nog verder zal oplopen. De industriële sector werkt volgens Stoffer al veel met derden. Het productiedeel is derhalve tamelijk open en transparant. Maar op het terrein van de financiële verslaggeving en de auditing valt nog veel te doen in de industrie, aldus Stoffer. |
Nederlandse nv’s
Amerikaanse ondernemingen zijn gewend bedrijfsprocessen uit te besteden. Nu ze daarnaast met corporate governance te maken hebben, zullen ze hun vestigingen in Europa gelijk meenemen, zo verwacht hij. “Ook bij Nederlandse nv’s die een ‘listing’ hebben aan de Amerikaanse beurs staat een onderwerp als continuïteit op de checklist van de auditor.”
Corporate governance, waaronder de nieuwe en aangescherpte regels van Sarbanes-Oxley institutionaliseert de roep om garanties voor de beveiliging en continuïteit van de onderneming, aldus Roos Lindgreen. “Neem continuïteit. Een onderneming moet over een continuïteitsplan beschikken, de risico’s inschatten, het plan uittesten en uitwijkprocedures in de praktijk beproeven.” Allemaal extra taken voor de it’er. “Het probleem schuilt niet in de complexiteit van het vraagstuk. Het is geen ‘rocket science’. Maar het heeft wel invloed op je werk als it’er.”
Of deze ontwikkelingen het einde inluiden van de interne it-afdeling? Voor die conclusie lijkt het te vroeg. “Maar we hebben wel discussies met de klant over wat ze zelf blijven doen, en wat ze door ons willen laten verrichten”, zegt Stoffer van EDS. “Daar spelen kosten een rol in, maar ook inzichtelijkheid van processen. Outsourcing neemt zeker toe, maar dan als bewuste keuze, niet als automatisme. Bedrijven kijken naar continuïteit en dat gaat ongetwijfeld leiden tot consolidatie van kennis bij it-bedrijven.”
Blootleggen risico’s
Roos Lindgreen van KPMG moet niet veel hebben van de vaak gehoorde bezwaren als zou corporate governance te veel tijd kosten en te veel resources opslokken. “De spin-off van het doorvragen naar procedures en regels binnen de onderneming is het blootleggen van risico’s die de onderneming loopt.” Dat kost volgens Stoffer van EDS geen geld, maar levert geld op. “Daarmee ondersteun je het vertrouwen in bedrijven bij beurs en publiek. Het ontbreken daarvan heeft de crisis die we bijna achter de rug hebben ongetwijfeld verdiept.”
De versterkte aandacht voor de betrouwbaarheid van de administratie, van procedures en regels blijft niet zonder gevolgen voor de manier waarop de it’er zijn werk doet. Itil is volgens Roos Lindgreen “springlevend”: veel it-beheerprocessen bij bedrijven zijn volgens Itil geregeld. “Tot voor kort werden it-ontwikkelprocessen zo ingericht dat het een werkbaar product opleverde, nu wordt het zo ingericht dat het bovendien een te verantwoorden resultaat oplevert.” De Cobit-normen, bedacht door it-auditors en daterend van 1996, maken zelfs een heuse revival door, aldus Roos Lindgreen. Er bestaat kennelijk een groeiende behoefte aan de 34 beheerdoelstellingen en 250 deelmaatregelen die onder Cobit zijn samengebracht.
Verstarren
Roos Lindgreen erkent dat een dergelijke houding kan leiden tot verstarring. Bedrijven nemen andere bedrijven over, processen veranderen van belang en van inhoud. “Starre procedures kunnen flexibiliteit op den duur in de weg staan of innovatie zelfs belemmeren.” De gemiddelde it’er is bovendien informeel, ad-hoc en taakgericht van instelling en zal volgens Roos Lindgreen dus een broertje dood hebben aan het systematisch afleggen van verantwoording. “Het zijn creatieve mensen, geen procedurerakkers. Hun passie is innovatie. Zij komen nu in een spanningsveld terecht tussen wat ze willen uit passie en wat ze moeten uit Sox-overwegingen.”
Beveiligingsbedrijf Symantec heeft de inspanningen gericht op het omzetten van de ‘papieren’ beveiliging in een set gereedschappen. Volgens Symantec is die ontwikkeld in samenwerking met bedrijven als KPMG, Ernst & Young en PwC. Volgens managing director Patrick Dalvinck van Symantec Benelux is beveiliging te belangrijk geworden om die eenmaal per jaar door een auditor te laten ‘fotograferen’. “Bedrijven zien in dat het een continue inspanning behoeft en stellen er dan ook de resources voor beschikbaar.”
De it-auditor wordt door de toolset zeker niet weggeautomatiseerd, aldus Dalvinck. Integendeel: met de tools kan de auditor een reeks foto’s maken over de hele organisatie. Edo Roos Lindgreen, zelf hoogleraar It-auditing zou het “een goede zaak” vinden als de auditor zoveel mogelijk zou worden weggeautomatiseerd. Diens rol is inmiddels veranderd, denkt hij. “Hij moet toetsen of het management de zaak onder controle heeft. Hij baseert zijn oordeel mede op het periodiek gebruik van security-tools, zoals die van Symantec.” Hij is niet per se tegen het certificeren van dit soort gereedschap, maar denkt dat de ondernemingen in de praktijk voldoende zekerheid kunnen ontlenen aan het universele gebruik van een tool.< BR>
