Managers hebben geen idee van compliance en IT governance
4 september 2006 -
Ondanks de steeds hogere frequentie waarmee de begrippen 'compliance' en 'IT governance' voorbij komen, weten de meeste managers niet of nauwelijks wat ermee bedoeld wordt. Met name in de non-profitsector kan men niet uitleggen wat de veelgebruikte termen in relatie tot wetgeving en transparantie eigenlijk inhouden. Dit blijkt uit een onafhankelijk onderzoek van ICT-marktplaats Marqit, die organisaties ondersteunt bij de oriëntatie op en selectie van ICT-oplossingen.
Marqit ondervroeg 843 ICT- en algemeen managers in diverse sectoren naar hun kennis van compliance (handelen in overeenstemming met bepaalde regels) en IT governance (garanderen dat IT de bedrijfsstrategie – en doelstellingen optimaal ondersteunt). Deze begrippen winnen aan belang vanwege strengere (inter)nationale regelgeving en de behoefte aan transparantie in organisaties.
De algemene kennis van de begrippen compliance en IT governance is schrikbarend laag. Slechts 37 procent van de ondervraagde managers kan uitleggen wat ermee bedoeld wordt. 38 procent heeft ervan gehoord, maar weet niet wat de begrippen betekenen en 10 procent van de managers heeft er zelfs nog nooit van gehoord.
Miscommunicatie Roderick Wijsmuller, managing director van Marqit: "Als aandeelhouders en stakeholders transparantie verlangen bij de bedrijfsvoering en ondersteunende processen, verwacht men ook een bepaald kennisniveau en inzicht. Nu blijkt dat dit absoluut niet het geval is als we praten over de IT-kant van corporate governance. Veel aanbieders van ICT-oplossingen die ondersteuning bieden bij deze problematiek gaan ervan uit dat hun doelgroep exact weet wat er nodig is. Er is dus sprake van een enorme miscommunicatie tussen aanbieders en eindgebruikers."
IT'ers weten nog minder Binnen IT-afdelingen gaan de begrippen een steeds grotere rol spelen, vanwege de vereisten om transparantie te bewerkstelligen in het IT-beleid en de behoefte aan systemen om compliance mogelijk te maken. Echter, de kennis van compliance en IT governance onder IT'ers ligt nog onder het gemiddelde: tweederde (67 procent) van de ICT'ers heeft er nooit van gehoord of kan de betekenis niet uitleggen, ten opzichte van een nog altijd hoog percentage van 57 procent onder non-ICT'ers.
Non-profit; geen kennis Binnen overheidsorganisaties kan slechts een kleine groep van 28 procent uitleggen wat compliance en IT governance betekent. Een opvallend verschil ten opzichte van profitorganisaties, waarin 40 procent aangeeft een goed beeld te hebben van de waarde van de begrippen. "Wij hebben al eerder gemeld dat vooral overheidsorganisaties veelvuldig het slachtoffer zijn van misbruik van en incidenten met IT-systemen. De onbekendheid met de regels binnen deze overheidsinstanties is dan ook alarmerend," aldus Marqit.
Bron:Financieel Management
Mijn reactie is dat, ondanks dat de uitslag van het onderzoek me in het geheel niet verbaast, ik graag wil melden dat vooral bij grote bedrijven de bewustwording van het compliant zijn sterk groeit.
In de USA is een beursgenoteerd bedrijf en met name het bestuur direct verantwoordelijk voor het naleven van de de bedrijfsprocessen. Een dergelijk bedrijf moet Sarbanes-Oxley (SOX) compliant zijn. Dit houdt in dat een bedrijf moet garanderen dat zij (lees het bestuur) er alles aan doet dat de bedrijfsvoering en ondersteunende processen naar behoren worden uitgevoerd en nageleefd.
Nu geldt de eis om SOX compliant te zijn ook voor bijvoorbeeld een Europees bedrijf dat in de USA (ook) een beursnotering heeft. Ons bedrijf Monidee levert technische oplossingen voor het managen van financiele producten. Onze oplossingen kunnen dus onderdeel vormen van specifieke bedrijfsprocessen van andere bedrijven.
Indien een willekeurig bedrijf, dat SOX Compliant moet zijn, nu een deel van haar processen heeft ge-outsourced aan bijvoorbeeld een bank (denk hierbij voor het gemak even aan de administratie en uitoefening van personeelsopties) dan dient deze bank ook SOX Compliant te zijn.
In het volgende voorbeeld noem ik Bank van der Hoop en Enron, daar zij beiden niet meer bestaan. Indien bank Van der Hoop de administratie voert van de personeelsopties van het in de USA genoteerde Enron, dan dient bank Van der Hoop, naar de wet- en regelgeving van de USA, SOX Compliant te zijn. Dit houdt in dat Bank van der Hoop direct verantwoordelijk is voor de naleving van de door haar gevoerde bedrijfsprocessen van Enron, namelijk administratie van de personeelopties.
Je ziet dat de bewustwording om compliant te zijn wel degelijk groeit, maar dat de bewustwording op dit moment vooral vanuit de grote internationale bedrijven ontstaat. De bewustwording om compliant te zijn zal bij overige bedrijven in de komende tijd onder druk van aandeelhouders, stakeholders, wet- en regelgeving zeker volgen.
Vriendelijke groet
Hans van Tol
Hugo de Vries
|
|
25
-
09
-
2006
|
20
:
53
uur
Het niet kennen van de begrippen compliance en governance zegt iets over de kennis van Engelse taal, maar amper over wat er met die termen zou kunnen worden bedoeld. Als men zou hebben gevraagd of er gehandeld wordt in overeenstemming met bepaalde regels en of IT de bedrijfsstrategie ondersteunt, waren de antwoorden wel anders geweest. Met andere woorden niet de vorm, maar de inhoud is bepalend.
heer Ronny Baeb
|
|
2
-
04
-
2007
|
20
:
28
uur
Dag Allen
Omdat ik nu juist in deze sfeer werk denk ik dat ik een woordje kan meespreken. Grote bedrijven (die op de NYSE genoteerd staan) dienen inderdaad SOX compliant te zijn. De grote moeilijkheid (uitdaging) is nu juist die "third parties" diets te maken dat zij verantwoordelijkzijn voor deze SOX compliance ergo zelf SOX compliant dienen te worden.
Zeggen en vaststellen is één ding, afdwingen een andere, vooral indien deze partijen ook niet van de poes zijn (vb Belgacom).
