Toezicht op IT in wereld vol verandering
Toezichthouders en commissarissen staan voor een verantwoordelijke taak: het begrijpen en beheersen van de complexe dynamiek van IT en AI. Het vierde online webinar Tomorrow's Boardroom van EY onthulde de cruciale rol die zij spelen in het veiligstellen van complexe digitale vraagstukken van organisaties. Hoe blijven zij in control te midden van deze technologische storm?
Commissarissen en toezichthouders hebben vaak onvoldoende grip op IT binnen de organisatie waar ze toezicht op houden, wat resulteert in schijngrip. IT is complex en het toezicht erop ook. Er is niet zelden een mismatch in de aandachtspunten van bestuurders bij IT-vraagstukken en wat de CTO, CIO en ICT belangrijk vinden. De eerste groep is vooral bezig met de bouwstenen, zoals privacy, cyber security, data governance, de gevolgen van innovatie en outsourcing. De CIO-groep richt zich vooral op het fundament, zoals de basis op orde brengen, architectuur, data & IT-eigenaarschap en het afleggen van verantwoording. Vragen die commissarissen aan de RvB zouden kunnen stellen over dit thema zijn:
- Hoe effectief beschermen onze huidige IT-beveiligingsmaatregelen tegen cyberdreigingen en datalekken?
- Welke belangrijke IT-risico's loopt onze organisatie en welke stappen ondernemen we om deze risico's te beperken?
- Hoe beschermen we kritieke gegevens en IT-systemen tegen verlies en wat zijn onze procedures voor disaster recovery en bedrijfscontinuïteit?
BIA=SLA=SLR=BCP=BUT
De betrouwbaarheid en continuïteit van IT zijn cruciaal voor toezichthouders. Bij uitval moet IT snel herstellen. Voldoet de organisatie aan BIA, SLA, SLR, BCP en BUT? Dit zijn respectievelijk Business Impact Analyse, Service Level Agreement, Service Level Report, Business Continuity Plan en Business Uitwijk Test. Vooral bij geoutsourcete IT is het de vraag of systemen binnen de afgesproken tijd weer operationeel zijn. Dat kan misschien binnen een SLA of BCP zijn afgesproken, maar houdt de ingehuurde IT-partij zich er ook aan? Commissarissen moeten het bestuur uitdagen over hun controle bij IT-storingen. Enkele voorbeeldvragen zijn:
- Welke risico’s en bedreigingen ziet de organisatie met betrekking tot bedrijfscontinuïteit en hoe worden deze beoordeeld en aangepakt?
- Hoe zorgt de RvB ervoor dat de belangrijkste processen en systemen van de organisatie kunnen blijven functioneren tijdens noodsituaties zoals een natuurramp, cyberaanval of andere verstoringen?
- Zijn er specifieke plannen voor verschillende soorten incidenten, zoals stroomuitval, datalekken of pandemische scenario’s?
Negeer risico’s niet
Toezicht door commissarissen is ook relevant bij grote programma’s en projecten. Bij veel programma’s is toch de CFO leidend en de CIO/ICT volgend. Zelfs als CIO/ICT waarschuwen voor risico’s, bijvoorbeeld als er een plusje onderaan de businesscase staat, gaat het plan vaak toch door. De risico's die de CIO signaleert, mogen niet genegeerd worden. IT moet de strategie ondersteunen. Beschikken bedrijven over voldoende IT-kennis? Hoeveel tijd heeft een IT-afdeling nodig om een nieuwe strategie of business in te voeren? Wat is de ‘IT-schuld’ van een organisatie? Voorbeeldvragen die een commissaris op dit thema kan stellen zijn:
- Wat zijn de strategie en doelstellingen van de lopende en geplande programma's en projecten?
- Hoe worden de programma's en projecten geselecteerd en geprioriteerd binnen de strategische doelstellingen van de organisatie?
- Met welke potentiële risico's en obstakels wordt rekening gehouden tijdens het uitvoeren van de programma's en projecten?
- Hoe worden de verschillende projecten, hun doelstellingen en mijlpalen geïntegreerd om bij te dragen aan de strategie van de organisatie?
Outsourcing
Steeds meer bedrijven besteden IT-diensten uit, zoals aan clouddiensten. Het is de taak van commissarissen om ook hier scherp toezicht te houden. Van service providers (IT-diensten leveranciers) moeten SOC-rapporten worden opgevraagd. Deze rapportages geven aan dat dienstverleners, of potentiële dienstverleners, op een ethische manier opereren en hun werk uitvoeren conform de afspraken met hun klanten. Bedrijven die een serviceprovider inhuren voor diensten moeten nagaan of deze, en eventuele onderaannemers zoals datacenters, SOC-compliant zijn. Kunnen zij documentatie overleggen die aantoont dat risico's beheerst worden? Zijn er geen risico's op bijvoorbeeld datalekken of hacks die de bedrijfsvoering van de opdrachtgever kunnen beïnvloeden? Voorbeeldvragen die toezichthouders aan een RvB kunnen stellen zijn:
- Wat is de outsourcingstrategie van de organisatie en welke processen en diensten worden uitbesteed?
- Hoe worden beslissingen genomen over het al dan niet uitbesteden van diensten en processen?
- Hoe wordt de kwaliteit en continuïteit van de dienstverlening van de outsourcingspartij gewaarborgd?
- Wat zijn de financiële implicaties van outsourcing en welke investeringen zijn nodig voor een succesvolle implementatie van outsourcingprojecten?
- Hoe wordt de informatiebeveiliging gewaarborgd bij het delen van gevoelige bedrijfsinformatie met de outsourcingspartij?
===
Tijdens de vierde module van Tomorrow’s Boardroom Academy, een online jaarprogramma voor beginnende en ervaren commissarissen gericht op het vergroten van actuele kennis en het ontwikkelen van relevante vaardigheden, sprak Technology Risk Partner Marc Welters over het onderwerp IT-beheering. De vraag die centraal stond: hoe behoud je controle over IT dat door technologische ontwikkelingen continu verandert? Voor direct contact met Marc Welters, kijk hier.