Hoe kunnen SOX en Basel II bedrijven sterker maken?
04-08-2005,14:16 door
Onlangs hield Consul risk management een ronde tafel bijeenkomst waarbij de Europese uitstel van deadlines voor Basel II en Sarbanes Oxley Compliance zijn besproken. Met behulp van een aantal gastsprekers is uitgebreid ingegaan op de belangrijke gevolgen van de sterke toename in regelgeving, zoals Basel II, HIPAA, Sarbanes Oxley en ISO 17799. Hieronder de bevindingen.
Als gevolg van de sterke toename in regelgeving, zoals Basel II, HIPAA, Sarbanes-Oxley en ISO 17799, staan thema’s als auditing, bedrijfsbeveiligingsbeleid en naleving hiervan bij veel bedrijven hoog op de agenda. Men vraagt zich af hoe dit het beste aangepakt kan worden. Er bestaan grote misverstanden en interpretatieverschillen bij zowel bedrijven als overheidsinstellingen, vaak veroorzaakt door de gekozen insteek. Het thema ‘naleving van regelgeving’ wordt namelijk vaak sterk vanuit de optiek van IT en IT-security specialisten benaderd. Het is echter belangrijk om deze zaken zeker ook vanuit een business control-perspectief te bezien. Daarmee komt men tot de ontdekking dat deze thema’s juist als een business enabler kunnen worden beschouwd en niet langer uitsluitend als een kostenfactor.
Een grote uitdaging is het maken van een onderscheid tussen alle reële bedreigingen enerzijds en externe bedreigingen -waar veel over wordt gesproken en gepubliceerd- anderszijds. Denk bij dit laatste aan hackers die erin slagen om bij grote bedrijven binnen te dringen en bijvoorbeeld credit card fraude realiseren. Dergelijke inbreuken kan men met succes tegenwerken met firewalls en andere detectie oplossingen. Belangrijker is echter de dreiging van binnenuit. Denk aan fouten gemaakt door medewerkers, frauduleuze handelingen en diefstal van bedrijfsgeheimen of intellectueel eigendom. Veel bedrijven willen hier geen ruchtbaarheid aan geven, teneinde hun reputatie niet op het spel te zetten. Door dit stilzwijgen lijken de gevaren minder groot dan ze in werkelijkheid zijn. Toch kan iedereen zich wel enkele voorbeelden van interne fraude voor de geest halen. Denk aan de ondergang van de Barings bank. Of het door een Robeco medewerker verdonkeremanen van 10 miljoen gulden. Of recentelijk het ‘kraken’ van 10.000 VISA cards bij een toeleverancier van Interpay. Of het hacken van meer dan 40 miljoen credit card nummers, een gevolg van het feit dat een transactieverwerkend bedrijf zich niet aan de regels hield. De totale schade is niet te overzien.
Er bestaat veel onduidelijkheid over de rol en doelstelling van de Sarbanes Oxley act in de Verenigde Staten. De doelstelling kan echter in een enkele regel worden samengevat: het brengen en geven van openheid en transparantie over investeringen die een bedrijf doet om investeerders en het publiek te beschermen tegen mismanagement. Als we ons losmaken van de regelgeving, die meestal ontstaat als een reactie op gebeurtenissen in de maatschappij –wie herinnert zich niet de grote schandalen in de Verenigde Staten van grote energie en internet bedrijven –Enron!- of in Europa-Ahold en Barings – blijkt ook dat deze gedwongen (maatregelen) tot het meten en documenteren van bedrijfsactiviteiten kunnen leiden tot een gigantische verbetering in business performance. Belangrijke aspecten bij de implementatie zijn het meten van alle relevante gegevens en activiteiten op bijvoorbeeld bedrijfsnetwerken, het openbaar maken van gegevens inclusief fouten of problemen, procesbesturing en bewaking, resources en infrastructuur. Naast Sarbanes Oxley is Basel II regelgeving in Nederland actueel, deze is echter uitsluitend bestemd voor de bank- en verzekeringswereld. Andere organisaties zijn niet gebonden door Basel II regelgeving, wel door regels voor bescherming van data en privé-gegevens.
Het is uit onderzoek gebleken dat investeerders doorgaans negatief reagaren op aankondigingen van grote IT-investeringen, die vaak misgaan en meer kosten dan ze opleveren. Onderzoek wijst uit dat aandeelhouders en beursanalisten zeer bewust zijn van de risico’s die met IT investeringen samenhangen. Enkele voorbeelden van het effect van mislukte IT-activiteiten op bedrijfswaarde zijn ICI, die de waarde van het aandeel met 39% zag dalen en Hagemeier, die een divisie met een winst van 86 miljoen naar een verlies van 28 miljoen zag gaan en van 22% naar 18% marktaandeel ging. Of bijvoorbeeld het faillissement van Van Heek-dochter Tweka, ontstaan door blunders met IT-investeringen en niet-functionerende logistieke processen.
Aan de Vrije Universiteit Amsterdam heeft professor Chris Verhoef een methode ontwikkeld om IT-investeringen meetbaar te maken en tot een verantwoorde business case te ontwikkelen. Dankzij een jarenlange studie, toegepaste econometrie, risk management en geavanceerde wiskunde, heeft hij modellen ontwikkeld waarmee de risico’s van investeringen in IT-projecten kunnen worden berekend. IT-ontwikkelingen en investeringen daarin brengen altijd onzekerheden met zich mee, maar dankzij deze modellen lukt het om de mate van risico voor een IT-project beter in te calculeren, door de wetmatigheden in de ontwikkeling van IT-systemen te gebruiken. Als je dit weet dan kun je de verplichtingen die via regelgeving aan het bedrijfsleven en overheden wordt opgelegd, omzetten in een voordeel. Het is mogelijk om data te gebruiken om bedrijfsanalyses uit te voeren die nieuwe kansen scheppen en tegelijkertijd aan de wetgeving te voldoen. Daarnaast is het mogelijk een op feiten gebaseerde IT-investering te doen, die het mogelijk maakt de toegevoegde waarde van een IT-project veel beter in te schatten en een indicatie van de ROI te krijgen.
Een ander knelpunt in de besluitvorming van IT-projecten is het feit dat veel bedrijven zich laten leiden door voorstellen die komen vanuit de IT-beveiligingsafdelingen. Dit laatste is helaas verre van optimaal omdat deze automatiseringsafdelingen meestal zijn opgesteld om bedrijfsprocessen te automatiseren of bedrijfsautomatisering te verbeteren. Vaak ontbreekt echter een belangrijk element in de keten, namelijk de capaciteit om vast te kunnen stellen waar het risico van de investering ligt en wat de werkelijke opbrengst zal zijn. De oorzaak hiervan ligt in het feit dat IT-experts doorgaans niet in bedrijfskundige processen denken, maar in technologie oplossingen. Wil een bedrijf dus een business model gebruiken om de IT-investeringsrelevantie op te zetten, dan dienen er ook bedrijfskundigen en wellicht risicomanagers bij deze projecten te worden betrokken.
Uit analyses van IT-projecten in de laatste jaren uitgevoerd, blijkt dat de helft van de projecten twee keer het bedrag en twee keer meer tijd kostte dan was begroot en daarbij slechts de helft van het verwachte resultaat bracht. 30% van de projecten valt duurder uit, duren twee keer langer en brengen niets op. Slechts 20% van de IT-projecten leveren tegen voorziene kosten en binnen een voorzien tijdsbestek de afgesproken resultaten.
Beslissingen worden nog steeds sterk op basis van gevoel en intuïtie genomen, omdat risico voor de meeste mensen een emotionele factor is. Echter, als we doordenken dan blijkt dat het kwantificeren van risico’s een veel verstandiger uitgangspunt is waarbij men op operationele basis kan afwegen welke risico’s welke consequenties met zich mee zullen brengen. Daarin kan men een prioriteitsstelling aanbrengen en zien welke risico’s een bedrijf zou willen nemen en welke risico’s een bedrijf persé wil beheersen.
Risk management is sterk gerelateerd aan de dreiging x de kwaliteit x de kosten. Voorbeelden hiervan zijn natuurlijk de bekende anti-virusproducten. Organisaties die verder gaan en waar mensen bij betrokken zijn, richten zich op het maken van een beleid, het opstellen van procedures en het trainen van het personeel. Veel bedrijven beschouwen dergelijke acties vooral als een flinke kostenpost. Echter, een recent gangbare opvatting is dat het reduceren van risico kan leiden tot het verbeteren van de bottom line van een bedrijf.
Als gevolg van de sterke toename in regelgeving, zoals Basel II, HIPAA, Sarbanes-Oxley en ISO 17799, staan thema’s als auditing, bedrijfsbeveiligingsbeleid en naleving hiervan bij veel bedrijven hoog op de agenda. Men vraagt zich af hoe dit het beste aangepakt kan worden. Er bestaan grote misverstanden en interpretatieverschillen bij zowel bedrijven als overheidsinstellingen, vaak veroorzaakt door de gekozen insteek. Het thema ‘naleving van regelgeving’ wordt namelijk vaak sterk vanuit de optiek van IT en IT-security specialisten benaderd. Het is echter belangrijk om deze zaken zeker ook vanuit een business control-perspectief te bezien. Daarmee komt men tot de ontdekking dat deze thema’s juist als een business enabler kunnen worden beschouwd en niet langer uitsluitend als een kostenfactor.
Een grote uitdaging is het maken van een onderscheid tussen alle reële bedreigingen enerzijds en externe bedreigingen -waar veel over wordt gesproken en gepubliceerd- anderszijds. Denk bij dit laatste aan hackers die erin slagen om bij grote bedrijven binnen te dringen en bijvoorbeeld credit card fraude realiseren. Dergelijke inbreuken kan men met succes tegenwerken met firewalls en andere detectie oplossingen. Belangrijker is echter de dreiging van binnenuit. Denk aan fouten gemaakt door medewerkers, frauduleuze handelingen en diefstal van bedrijfsgeheimen of intellectueel eigendom. Veel bedrijven willen hier geen ruchtbaarheid aan geven, teneinde hun reputatie niet op het spel te zetten. Door dit stilzwijgen lijken de gevaren minder groot dan ze in werkelijkheid zijn. Toch kan iedereen zich wel enkele voorbeelden van interne fraude voor de geest halen. Denk aan de ondergang van de Barings bank. Of het door een Robeco medewerker verdonkeremanen van 10 miljoen gulden. Of recentelijk het ‘kraken’ van 10.000 VISA cards bij een toeleverancier van Interpay. Of het hacken van meer dan 40 miljoen credit card nummers, een gevolg van het feit dat een transactieverwerkend bedrijf zich niet aan de regels hield. De totale schade is niet te overzien.
De huidige situatie in de VS
In de Verenigde Staten is het niveau van ‘security awareness’ op dit moment zeer hoog. Dit is een gevolg van de Sarbanes-Oxley act, die bedrijven voorschrijft zich te wapenen tegen ongeoorloofd gedrag van medewerkers en directie. Overtredingen kunnen leiden tot straffen van minimaal $ 5 miljoen of 20 jaar gevangenisstraf. Dit is voor directieleden een belangrijke stimulans om de verslaggeving van het bedrijf op orde te krijgen. In Nederland en andere Europese landen is deze dreiging minder aanwezig, behalve bij aan de Amerikaanse beurs genoteerd multinationals. Ook toeleveranciers van beursgenoteerde Amerikaanse bedrijven zullen strenger geselecteerd worden op basis van hun security maatregelen. Men hoopt zo een ‘inktvlek’-effect teweeg te brengen: als een klein aantal bedrijven zich conformeert en aldus een sterke marktpositie verkrijgt, volgt de rest vanzelf. Echter, op dit moment kunnen toeleveranciers van bedrijven genoteerde aan de Amerikaanse beurs niet worden vervolgd voor het niet naleven van veiligheidsvoorschriften.Er bestaat veel onduidelijkheid over de rol en doelstelling van de Sarbanes Oxley act in de Verenigde Staten. De doelstelling kan echter in een enkele regel worden samengevat: het brengen en geven van openheid en transparantie over investeringen die een bedrijf doet om investeerders en het publiek te beschermen tegen mismanagement. Als we ons losmaken van de regelgeving, die meestal ontstaat als een reactie op gebeurtenissen in de maatschappij –wie herinnert zich niet de grote schandalen in de Verenigde Staten van grote energie en internet bedrijven –Enron!- of in Europa-Ahold en Barings – blijkt ook dat deze gedwongen (maatregelen) tot het meten en documenteren van bedrijfsactiviteiten kunnen leiden tot een gigantische verbetering in business performance. Belangrijke aspecten bij de implementatie zijn het meten van alle relevante gegevens en activiteiten op bijvoorbeeld bedrijfsnetwerken, het openbaar maken van gegevens inclusief fouten of problemen, procesbesturing en bewaking, resources en infrastructuur. Naast Sarbanes Oxley is Basel II regelgeving in Nederland actueel, deze is echter uitsluitend bestemd voor de bank- en verzekeringswereld. Andere organisaties zijn niet gebonden door Basel II regelgeving, wel door regels voor bescherming van data en privé-gegevens.
Een academische kijk op het risico van IT-investeringen
Momenteel bestaan er voor internationale opererende bedrijven al zo’n 20 bekende regelgevingen die consequenties hebben voor bedrijfsvoering en auditing. Veel bedrijven denken dat het organiseren volgens de nieuwe regelgeving op te lossen is met investeringen in IT. Dit heeft weer tot gevolg dat directieleden op hun eenvoudige vragen vaak onbegrijpelijke antwoorden krijgen van IT-experts, waarmee zij weinig of niets kunnen. Het gros van dit soort investeringsbeslissingen wordt vaak genomen op basis van intuïtie en onwetendheid. Hoe anders valt te verklaren dat er jaarlijks voor $ 300 miljard aan mislukte IT-projecten wereldwijd wordt uitgegeven: $ 140 miljard in Europa en $ 150 miljard in de Verenigde Staten?Het is uit onderzoek gebleken dat investeerders doorgaans negatief reagaren op aankondigingen van grote IT-investeringen, die vaak misgaan en meer kosten dan ze opleveren. Onderzoek wijst uit dat aandeelhouders en beursanalisten zeer bewust zijn van de risico’s die met IT investeringen samenhangen. Enkele voorbeelden van het effect van mislukte IT-activiteiten op bedrijfswaarde zijn ICI, die de waarde van het aandeel met 39% zag dalen en Hagemeier, die een divisie met een winst van 86 miljoen naar een verlies van 28 miljoen zag gaan en van 22% naar 18% marktaandeel ging. Of bijvoorbeeld het faillissement van Van Heek-dochter Tweka, ontstaan door blunders met IT-investeringen en niet-functionerende logistieke processen.
Aan de Vrije Universiteit Amsterdam heeft professor Chris Verhoef een methode ontwikkeld om IT-investeringen meetbaar te maken en tot een verantwoorde business case te ontwikkelen. Dankzij een jarenlange studie, toegepaste econometrie, risk management en geavanceerde wiskunde, heeft hij modellen ontwikkeld waarmee de risico’s van investeringen in IT-projecten kunnen worden berekend. IT-ontwikkelingen en investeringen daarin brengen altijd onzekerheden met zich mee, maar dankzij deze modellen lukt het om de mate van risico voor een IT-project beter in te calculeren, door de wetmatigheden in de ontwikkeling van IT-systemen te gebruiken. Als je dit weet dan kun je de verplichtingen die via regelgeving aan het bedrijfsleven en overheden wordt opgelegd, omzetten in een voordeel. Het is mogelijk om data te gebruiken om bedrijfsanalyses uit te voeren die nieuwe kansen scheppen en tegelijkertijd aan de wetgeving te voldoen. Daarnaast is het mogelijk een op feiten gebaseerde IT-investering te doen, die het mogelijk maakt de toegevoegde waarde van een IT-project veel beter in te schatten en een indicatie van de ROI te krijgen.
Een ander knelpunt in de besluitvorming van IT-projecten is het feit dat veel bedrijven zich laten leiden door voorstellen die komen vanuit de IT-beveiligingsafdelingen. Dit laatste is helaas verre van optimaal omdat deze automatiseringsafdelingen meestal zijn opgesteld om bedrijfsprocessen te automatiseren of bedrijfsautomatisering te verbeteren. Vaak ontbreekt echter een belangrijk element in de keten, namelijk de capaciteit om vast te kunnen stellen waar het risico van de investering ligt en wat de werkelijke opbrengst zal zijn. De oorzaak hiervan ligt in het feit dat IT-experts doorgaans niet in bedrijfskundige processen denken, maar in technologie oplossingen. Wil een bedrijf dus een business model gebruiken om de IT-investeringsrelevantie op te zetten, dan dienen er ook bedrijfskundigen en wellicht risicomanagers bij deze projecten te worden betrokken.
Uit analyses van IT-projecten in de laatste jaren uitgevoerd, blijkt dat de helft van de projecten twee keer het bedrag en twee keer meer tijd kostte dan was begroot en daarbij slechts de helft van het verwachte resultaat bracht. 30% van de projecten valt duurder uit, duren twee keer langer en brengen niets op. Slechts 20% van de IT-projecten leveren tegen voorziene kosten en binnen een voorzien tijdsbestek de afgesproken resultaten.
Beslissingen worden nog steeds sterk op basis van gevoel en intuïtie genomen, omdat risico voor de meeste mensen een emotionele factor is. Echter, als we doordenken dan blijkt dat het kwantificeren van risico’s een veel verstandiger uitgangspunt is waarbij men op operationele basis kan afwegen welke risico’s welke consequenties met zich mee zullen brengen. Daarin kan men een prioriteitsstelling aanbrengen en zien welke risico’s een bedrijf zou willen nemen en welke risico’s een bedrijf persé wil beheersen.
Risk management is sterk gerelateerd aan de dreiging x de kwaliteit x de kosten. Voorbeelden hiervan zijn natuurlijk de bekende anti-virusproducten. Organisaties die verder gaan en waar mensen bij betrokken zijn, richten zich op het maken van een beleid, het opstellen van procedures en het trainen van het personeel. Veel bedrijven beschouwen dergelijke acties vooral als een flinke kostenpost. Echter, een recent gangbare opvatting is dat het reduceren van risico kan leiden tot het verbeteren van de bottom line van een bedrijf.
