Begin 2001 bracht De Nederlandsche Bank (DNB), toezichthouder voor alle Nederlandse banken, haar 'Regeling Organisatie en Beheersing' uit. Deze regeling moet uiterlijk per april 2002 zijn geïmplementeerd. De regeling is opgezet tegen de achtergrond van de maatschappelijke ontwikkelingen op het gebied van de corporate governance, compliance en integriteit en omvat ook een algehele herziening en samenvoeging van bestaande regelingen. Met de ontwikkeling van deze nieuwe regelgeving is DNB in lijn met Bazelse (internationale) initiatieven op dit terrein, zo geeft het document aanbevelingen en richtlijnen voor het beheersen van bepaalde risico's die financiële instellingen nu eenmaal lopen. Uitgangspunt hierbij is dat financiële instellingen verantwoordelijk zijn voor een beheerste en integere bedrijfsvoering, gebaseerd op adequate organisatie en beheersing van bedrijfsprocessen. Hiertoe omschrijft het stuk duidelijk de kaders voor verantwoordelijkheden en plichten van banken op uiteenlopende gebieden, zoals risicobeheersing, uitbesteden van bedrijfsprocessen, rechten en plichten van (potentiële) cliënten en informatietechnologie. Dit laatste onderwerp is zo aan belang gegroeid, dat DNB ervoor heeft gekozen om IT risico's separaat te benoemen. Mijns inziens is dit ook terecht aangezien het bestaan van veel producten en diensten afhankelijk is van de toepassing van IT.

Enkele voorbeelden: "De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van IT-risico's.(...) De informatie- en beveiligingsbeleidsplannen dienen op geïntegreerde wijze deel uit te maken van het beheersingsmechanisme van de instelling als geheel." (Art.54) "De instelling voert op systematische wijze een analyse van IT-risico's uit." (Art.55; Enkele genoemde risico's: onvoldoende bescherming tegen ongeautoriseerde toegang en inadequaat gebruik van IT.) "Risicobeheersing wordt geconcretiseerd door middel van de implementatie van de procedures en maatregelen die veelal worden aangeduid als 'general controls' en 'application controls'. De beheersing door middel van deze 'controls' dient zichtbaar te zijn of zichtbaar te kunnen worden gemaakt (de 'audit trail')." (Art.56) De instelling draagt zorg voor specifieke maatregelen die een afdoende beveiliging van de informatie en de continuïteit van de IT waarborgen. De rechtszekerheid en de privacy van de cliënten dienen bij gebruikmaking van IT-toepassingen in voldoende mate te zijn gewaarborgd (Art.57).

Specifieke maatregelen met betrekking tot beveiliging van informatie dienen het exclusiviteits- en integriteitsrisico in voldoende mate in te perken.

Hieruit blijkt dat Nederlandse banken worden aangespoord heldere procedures te hanteren op het gebied van IT, maar ook de naleving ervan blijvend te controleren. Het belang van een toereikende beveiliging van de informatie is groter naarmate de IT van de instelling door middel van netwerken is verbonden met de buitenwereld. Gelukkig doen banken er alles aan om te voldoen aan de allerstrengste, door zichzelf opgelegde veiligheidsmaatregelen, de zo genaamde 'sound practices'. Zo werken wij bij de Nederlandse Waterschapsbank al geruime tijd met Consul/eAudit, dat ons in staat stelt onmiddelijk in te spelen op eventuele afwijkingen van ons IT beveiligingsbeleid. Een groot pluspunt van deze nieuwe 'Regeling Organisatie en Beheersing' ligt in het feit dat discussie over het enigszins gevoelige onderwerp IT risico's wordt gestimuleerd. Niemand praat graag over de dreiging van externe of interne fouten of fraude. Maar aangezien banken steeds meer afhankelijk worden van hun IT infrastructuur, moet deze discussie nu eenmaal gevoerd worden. Hierbij mogen banken niet bang zijn de hand in eigen boezem te steken en zichzelf aan de strengste controles onderwerpen!

Reinout Hoogendoorn

Nederlandse Waterschapsbank