Web Analytics

IT-risico's worden nog onvoldoende onderkend door bestuurders en toezichthouders

September 2010
Automatisering is cruciaal voor de continuïteit van de meeste bedrijven. Dat is een stelling die verder nauwelijks onderbouwd hoeft te worden in ons internettijdperk. Bestuurders zijn veelal echter niet in "control" als het hun IT-systemen aangaat. Als ze dat weten of behoren te weten kan dat leiden tot onbehoorlijk bestuur en bijbehorende bestuurdersaansprakelijkheid.

Door: Bob Cordemeyer, Cordemeyer & Slager Advocaten (07-2010)

In Artikel 2:9 van het Burgerlijk Wetboek is de aansprakelijkheid van bestuurders vastgelegd. Het verplicht de bestuurders tot het voeren van ‘behoorlijk bestuur' over de rechtspersoon. Onbehoorlijk bestuur is een begrip dat in de praktijk wordt ingevuld en niet gedefinieerd in de wet. Denk bijvoorbeeld aan het aangaan van onverantwoorde leningen, verzuimen de kredietwaardigheid van belangrijke contractpartners te controleren of het bedrijf onvoldoende te beschermen tegen continuïteit bedreigende risico's en zo verder. Er kan natuurlijk ook gedacht worden aan wanbeleid op IT-gebied.

In geval van faillissement van de vennootschap is iedere bestuurder ingevolge artikel 2: 248 Burgerlijk Wetboek jegens de boedel hoofdelijk aansprakelijk voor het bedrag van de schulden, indien het bestuur zijn taak kennelijk onbehoorlijk heeft vervuld en aannemelijk is dat dit een belangrijke oorzaak is van het faillissement.

Maatwerkprojecten maar ook pakketimplementaties eindigen nog steeds erg vaak in een mislukte automatisering. In de IT-branche zijn daarover door de jaren heen de nodige publicaties geweest. Zonder nu naar concrete rapporten te verwijzen, zoals die van de rekenkamer en andere, mislukken veel projecten geheel of gedeeltelijk. Een veel gehoorde ervaringsregel is dat één van de drie projecten mislukt. Slecht projectmanagement, slechte communicatie, slechte aanbesteding en juridische faalfactoren zijn veelal de oorzaak. Je ziet in de praktijk ook dat steeds weer dezelfde fouten worden gemaakt, van zogenaamde geleerde lessen wordt vaak niet echt geleerd. Projecten kunnen enorm fout gaan en niet alleen bij de overheid.

Bestuurders hebben vaak onvoldoende inzicht in hun IT-systemen, of weten dat er grote IT problemen zijn die ze niet adequaat aanpakken. Lees bijvoorbeeld "De Prooi" van Jeroen Smit. Doordat haar IT-systemen onvoldoende inzicht geven in de kosten is De Bank niet in control. De meeste banken werken met sterk verouderde applicaties en nog in oude programmeertalen geschreven, zoals door veel automatiseerders beaamd. Daarbij zijn de applicaties uitermate duur in onderhoud. De voorkant van de automatisering denk aan internetbankieren ziet er mooi uit, maar de administratieve systemen zijn veelal sterk verouderd en moeilijk onderhoudbaar. Door de diverse fusies is er ook veelal een wirwar van verschillende systemen aan elkaar geknoopt, wat de financiële verslaglegging sterk bemoeilijkt. De DSB bank had ook haar IT-systemen niet op orde, en de administratie zou een chaos zijn, zoals uitgebreid in het nieuws geweest.

Wat opvalt is dat toezichthouders als bijvoorbeeld de Nederlandse Bank, het AFM of commissarissen zich geheel op financieel toezicht lijken te richten en het naleven van wettelijke regels, en nauwelijks naar IT-systemen kijken. Toch lijkt het er wel op dat de IT-risico's voor bestuurders meer prioriteit gaan krijgen.

De Vereniging van Effectenbezitters (VEB) zal komend jaar bijvoorbeeld onder meer letten op de risicobeheersing bij automatiseringsprojecten van bedrijven. Dat staat in een recent gepubliceerde speerpuntenbrief van de belangenbehartiger. Op aandeelhoudersvergaderingen zullen ze vragen stellen over IT-systemen. Dat zal bestuurders dwingen tot extra aandacht op dit punt.

Volgens de VEB ondervinden bedrijven regelmatig problemen bij hun IT-plannen en worden aandeelhouders daar nauwelijks over geïnformeerd.

"Zo begon de lijdensweg van Samas op het moment dat een nieuw systeem niet functioneerde", aldus de VEB. Ook wees de VEB op een afschrijving van 55 miljoen euro door een kleine bank. Dat automatiseringsproject "bleek niet eens geschikt voor implementatie".

De Nederlandse Bank wil in haar toezichthoudende taak meer met accountants van de banken werken, maar zou ook meer met IT-deskundigen moeten praten. Accountantskantoren zijn ook niet echt in staat om de kwaliteit van IT-systemen te beoordelen. Ook de EDP-auditors van accountantskantoren lichten bijvoorbeeld geen broncodes door en kunnen de kwaliteit van IT-systemen niet echt beoordelen. De EDP-auditor beoordeelt ook meestal slechts of de gebruikte financiële software doet wat het moet doen. Grote ondernemingen ontwikkelen hun financiële software vaak zelf en kunnen daardoor ook de rapportage beïnvloeden.

De rol van de accountant in het toezicht van de Nederlands Bank gaat over de certificering van rapportages die onder toezicht staande ondernemingen bij DNB moeten indienen en over de meldingsplicht van externe accountants aan DNB. Daarnaast verstrekt de externe accountant natuurlijk in veel gevallen een verklaring bij de jaarverslaggeving van onder toezicht staande ondernemingen.

DNB maakt voor haar toezicht gebruik van rapportages die onder toezicht staande ondernemingen bij DNB indienen. De rapportages betreffen ofwel jaarverslaggeving of staten. De staten zijn vooral bedoeld om de solvabiliteit van de instellingen te kunnen toetsen.

In artikel 3:88 en 3:89 Wft is onder andere bepaald dat de externe accountant verplicht is aan DNB alle inlichtingen te verstrekken, die redelijkerwijs geacht kunnen worden nodig te zijn voor de juiste uitoefening van de toezichthoudende taak van DNB.

Een dergelijk regeling zou er ook op IT-gebied moeten komen. Toezichthouders zouden gecertificeerde verklaringen moet vragen niet alleen van accountants, of EDP-auditors ter zake van de IT-systemen, maar ook van daarin gespecialiseerde IT-bedrijven. EDP-auditors kunnen dat doen mits ze verder gaan dan het vinken van vragenlijsten e.d.. De kwaliteit van de systemen zou tot op broncode niveau moeten worden beoordeeld. IT-Governance bestaat al enige tijd maar wat doen de toezichthouders er nu feitelijk mee.

Control Objectives for Information and related Technology (COBIT) is bijvoorbeeld een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. CobiT is al vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI).

ISACA is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers.COBIT stelt IT managers in staat om op basis van algemeen geaccepteerde Best Practices de ICT beheersmaatregelen in te richten. Daarnaast kunnen auditors op basis van dit framework hun controleprogramma beschrijven en uitvoeren.

COBIT staat vooral in de belangstelling doordat de huidige versie bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving in de VS zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd. Het American Institute of Certified Public Accountants (AICPA) heeft de meest gebruikte richtlijn SAS 70 uitgegeven, veelal gebruikt voor verklaringen aangaande de kwaliteit van gehoste systemen. Daarbij gaat het weer niet om het IT-systeem zelf maar om de betrouwbaarheid van de output van dergelijke systemen. De International Auditing and Assurance Standards Board (IAASB) van de wereldwijde organisatie voor de beroepsgroep van acountancy (IFAC) heeft een nieuwe standaard ISAE 3402 op het gebied van third party reporting gepubliceerd die vanaf 15 juni 2011 van kracht zal zijn. Deze standaard gaat verder dan SAS 70, maar geeft ook geen kwaliteitsoordeel op broncode niveau.

De behoefte aan een goed inzicht in de kwaliteit van de IT-systemen lijkt evident belangrijk voor alle toezichthouders maar ook voor bestuurders. Dat zou je kunnen stimuleren door het certificeren van software. Recentelijk is er in Nederland een nieuw initiatief gestart en geeft het Duitse keuringsinstituut TÜViT certificaten uit tot vijf sterren. Bedrijven als ProRail, KLM en enkele banken hebben hier al aan mee gewerkt. De SIG (Software Improvement Group) speelt hierbij een belangrijke rol. Zij heeft een soort MRI-scan voor broncodes ontwikkeld, waardoor de kwaliteit en de onderhoudbaarheid van software op objectie wijze kan worden beoordeeld. Toezichthouders en bestuurders zouden van dit soort mogelijkheden meer gebruik moeten maken.

Tijdens de recente verhoren door de commissie De-Wit hoor je ook niets over IT-systemen die niet in orde zijn, en gaat het louter over financieel toezicht dat tekortschiet. Feitelijk is het vrij algemeen bekend bij automatiseerders dat de meeste banken kampen met IT-problemen, waar hard aan gewerkt zou moeten worden. Dat het een internationaal probleem is blijkt bijvoorbeeld uit een artikel uit de economist van 3 december 2009 met als kop "Messy IT systems are a neglected aspect of the financial crisis". Dit artikel gaat heel specifiek ook over de bankwereld waarvan de systemen in heel slechte staat zouden verkeren en bij wie ondermeer grote problemen zijn geconstateerd met data verwerking. Het hiervoor ook al beschreven gefragmenteerde IT-landschap maakt het onmogelijk om financiële risico's adequaat in te schatten. Banken kunnen hun risicoposities niet tijdig ophoesten, en dat geldt blijkbaar voor bijna alle grote banken, die in a "firefighting" mode zouden verkeren. Hoe duidelijker kun je het zeggen. Dat geen of nauwelijks aandacht aan wordt besteed aan de kwaliteit van de IT-systemen in het kader van toekomstige crisisvoorkoming is onverstandig en risicovol. Dat in IT enorm geïnvesteerd dient te worden is duidelijk, en dat zal de marges van de banken verder onder druk kunnen zetten. Maar uiteindelijk is het een essentiële investering, omdat zonder deze investering de continuïteit van de bedrijfsvoering in gevaar komt. Automatiseerders hoor je wel zeggen dat het geen onmogelijke opdracht is de IT-systemen te verbeteren, omdat de programmeerfabrieken in bijvoorbeeld India heel veel werk kunnen verzetten tegen redelijke prijzen. Het moet allemaal wel heel goed gecontroleerd worden op broncode niveau en uiteraard ook op functionaliteit.

Copyright: © 2014 Software Improvement Group