1. (IT) – Governance�… Het zal ons een zorg zijn !…�… Geldt dit ook voor de Kwaliteitsmanager ?.... Jan de Heer
Mark Lof
23 februari 2006
2. Agenda Wie zijn wij ?
Positionering NOREA
Corporate Governance
IT Governance
Wat doet de Kwaliteitsmanager ?
Relatie Governance met Kwaliteitsmanagement
Stellingen en discussie
3. Wie zijn wij ? Ir K.M. Lof RE
Werkzaam bij KPMG Information Risk Management
Lid van de NOREA en actief in de kennisgroep IT Governance
Aandachtsgebieden:
IT Governance
Project Risk management
Business Controls
Consumer Markets
Industrial Markets
Ir J.W. de Heer RE
Werkzaam bij KPN, afdeling Audit
Lid van de NOREA, tevens bestuurslid en actief in de kennisgroep IT Governance
Aandachtsgebieden:
IT Governance
Programma - projectbeheersing en Risico management
Ondersteuning SOx : Sarbanes Oxley implementatie
4. � 1250 Register EDP-auditors (RE’s);
500 aspirant-leden (in opleiding);
4 erkende (post-academische) opleidingen
5. Erkende (post-academische) opleidingen: Amsterdam Graduate Business School UvA;
Erasmus School of Accountancy & Assurance Rotterdam;
Tias Business School, Universiteit Tilburg;
Post Graduate School, Vrije Universiteit Amsterdam
6. NOREA-Bestuur, bestaande uit vertegenwoordigers van: Deloitte Enterprise Risk Services;
Ernst en Young EDP-Audit;
KPMG Information Risk Management;
PricewaterhouseCoopers Advisory,
De Nederlandsche Bank;
Fortis Audit Services;
KPN Audit;
Defensie Audit Dienst.
7. EDP-Auditors in de beroepspraktijk ‘Interne beroep’ 45,6 %
‘Externe beroep’ 28 %
Overheid 15,8 %
IT-bedrijven 3,6 %
Zelfstandig adviseur 4,1 %
Gepensioneerd 2,9 %
TOTAAL 100 %
8. NOREA-publicaties Geschriften
Studierapporten
Handreikingen
Richtlijnen
‘de EDP-Auditor’
Website www.norea.nl
9. NOREA-publicaties / vervolg � IT Governance: Een verkenning
10. Corporate Governance Boekhoudschandalen zoals Enron, Worldcom, Ahold en Parmalat
Grotere aansprakelijkheid van & verantwoordelijkheid voor ondernemingen
Striktere regelgeving ten aanzien van Corporate Governance
Sarbanes-Oxley wet (US) & Tabaksblat (NL)
Vier aandachtsgebieden wetgeving SOx (op hoofdlijnen):
Aanscherping verantwoordelijkheid management en auditcommittees
Uitbreiding van de reikwijdte van de vereiste verslaggeving
Aanscherping onafhankelijkheid
Benoeming Toezichthouder
11. Aanscherping verantwoordelijkheid management & �audit committees Audit committees verantwoordelijkheid aangescherpt t.a.v.
Relatie met accountants
Onafhankelijkheid van de leden van het audit committee
Interne klachten procedure t.a.v. verslaggevings-, interne controle en externe controle issues (whistle blower)
Wettelijke recht om adviseurs/kennis in te huren
12. Aanscherping verantwoordelijkheid management & �audit committees Management verantwoordelijkheid aangescherpt t.a.v.
Expliciete verantwoordelijkheid voor de (financiële) verslaglegging
302 certification
Disclosure controls and procedures
Beoordeling effectiviteit van de interne controle in relatie tot de financiële verslaggeving (404)
Strafbaar stellen van misleiding, manipuleren en/of frauduleurs beďnvloeden van de accountant
Overige aspecten: bonussen, stock, insider trading, e.d.
13. Inhoud van de mededeling interne beheersing (SOx 404) Management eindverantwoordelijk voor de opzet en goede werking van de interne beheersing
Gehanteerd raamwerk door het management voor de beoordeling van de effectiviteit van de interne beheersing
Het oordeel over de effectiviteit van de interne beheersing
Melding dat de accountant een verklaring heeft gegeven bij deze mededeling
14. Best practice bepalingen - Tabaksblat�Raad van Bestuur II.1.3 In de vennootschap is een op de vennootschap toegesneden intern risicobeheersings- en controlesysteem aanwezig. Als instrumenten van het interne risicobeheersings- en controlesysteem hanteert de vennootschap in ieder geval:
a) risicoanalyses van de operationele en financiële doelstellingen van de vennootschap;
b) een gedragscode die in ieder geval op de website van de vennootschap wordt geplaatst;
c) handleidingen voor de inrichting van de financiële verslaggeving en de voor de opstelling daarvan te volgen procedures;
d) een systeem van monitoring en rapportering.
II.1.4 In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft het bestuur een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het boekjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken.
15. Best practice bepalingen - Tabaksblat �Raad van Bestuur II.1.5 Het bestuur rapporteert in het jaarverslag over de gevoeligheid van de resultaten van de vennootschap ten aanzien van externe omstandigheden en variabelen.
II.1.6 Het bestuur draagt er zorg voor dat werknemers zonder gevaar voor hun rechtspositie de mogelijkheid hebben te rapporteren over vermeende onregelmatigheden van algemene, operationele en financiële aard binnen de vennootschap aan de voorzitter van het bestuur of aan een door hem aangewezen functionaris. Vermeende onregelmatigheden die het functioneren van bestuurders betreffen worden gerapporteerd aan de voorzitter van de raad van commissarissen. De klokkenluidersregeling wordt in ieder geval op de website van de vennootschap geplaatst.
Toelichting (als onderdeel van de code) op best practice bepaling II.1.4
Het ligt in de rede dat het bestuur in de verklaring over de interne risicobeheersings- en controlesystemen aangeeft welk raamwerk of normenkader (zoals bijvoorbeeld het COSO raamwerk voor interne beheersing) hij heeft gehanteerd bij de evaluatie van het interne risicobeheersings- en controlesysteem
16. Best practice bepalingen - Tabaksblat �Raad van Bestuur III.1.6 Het toezicht van de raad van commissarissen op het bestuur omvat onder andere:
a) de realisatie van de doelstellingen van de vennootschap;
b) de strategie en de risico’s verbonden aan de ondernemingsactiviteiten;
c) de opzet en de werking van de interne risicobeheersings- en controlesystemen;
d) het financiële verslaggevingsproces;
e) de naleving van de wet- en regelgeving.
III.1.8 De raad van commissarissen bespreekt in ieder geval éénmaal per jaar de strategieën de risico’s verbonden aan de onderneming en de uitkomsten van de beoordeling door het bestuur van de opzet en de werking van de interne risicobeheersings- en controlesystemen, alsmede eventuele significante wijzigingen hierin. Van het houden van de besprekingen wordt melding gemaakt in het verslag van de raad van commissarissen.
III.5.4 De auditcommissie richt zich in ieder geval op het toezicht op het bestuur ten aanzien van:
a) de werking van de interne risicobeheersings- en controlesystemen, waaronder het toezicht op de naleving van de relevante wet- en regelgeving en het toezicht op de werking van gedragscodes;
b) …
17. Corporate Governance Studies
1992 Cadbury
1994 Coso
1997 Commissie Peters
Wat is corporate governance?
Goed ondernemingsbestuur
Verantwoording afleggen
Toezicht
Aandachtspunten Corporate Governance
Interne beheersing
Afleggen van externe verantwoording
18. What is Governance? Governance is an old word; Shakespeare used it and by the 17th century it had come to mean a method of management (Denis Osborne, Manchester University,1998)
When I need to explain the term “governance” I respond by either of the following quotes above.
Governance is an old word; Shakespeare used it and by the 17th century it had come to mean a method of management (Denis Osborne, Manchester University,1998)
When I need to explain the term “governance” I respond by either of the following quotes above.
19. Waarom aandacht voor IT Governance? Governance zonder IT governance is niet mogelijk vanwege de sterk toegenomen afhankelijkheid (tot het niveau van volledige vervlochtenheid) van automatisering voor organisaties voor hun bedrijfsvoering en informatievoorziening.
Toenemende snelheid van veranderingen binnen het I(C)T werkveld (nieuwe technologieën, hoge kosten / investeringen)
De noodzaak om de toenemende kosten en IT investeringen optimaal te managen.
Betrouwbare informatie en de daarbij passende informatie systemen zijn voor organisaties een kritische succesfactor.�Betrouwbare informatie moet constant beschikbaar zijn.
De kwaliteit van de interne controle omgeving is sterk afhankeleijk van de kwaliteit van de IT.
20. Spanningsboog tussen Business en IT
21. Definities IT Governance Variety of definitions drawn from many circles including corporate governance perspectives, auditing and control perspectives.
Some definitions include ….
Key element of these definitions is that ISG is a process through which the IT function is directed, managed and controlled to ensure the effective governance and application of IT in an organisation.Variety of definitions drawn from many circles including corporate governance perspectives, auditing and control perspectives.
Some definitions include ….
Key element of these definitions is that ISG is a process through which the IT function is directed, managed and controlled to ensure the effective governance and application of IT in an organisation.
22. IT Governance “IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.”
23. IT Governance IT governance is also a process in which the IT strategy drives the IT processes, which obtain resources necessary to execute their responsibilities.
The IT processes report against these responsibilities on process outcome, performance, risks mitigated and accepted, and resources consumed. These reports should either confirm that the strategy is properly executed or provide indications that strategic redirection is required
24. IT Governance IT Governance gaat over het
Besturen,
Beheersen
Uitvoeren
Verantwoording afleggen en het
Toezicht houden op de
de informatievoorziening
25. Wat is het verschil? Overall framework to ensure organisation meets needs of its key constituencies to ensure its ongoing survival and operates in a legal and ethical manner. CG provides an overall framework to ensure the org meets needs of its key constituencies, to ensure its ongoing survival and operates in a legal and ethical manner. CG activities include planning, organising, directing, controlling and monitoring.
ISG is a subset of CG. ISG seeks to support the functions of CG and ensure director’s responsibilities with regards to IT are met. Unusual for an org to consider ISG on equivalent terms as CG. However it is responsibility of directors to ensure an effective ISG framework is implemented.
The responsibility for designing and implementing the ISG framework may be managed by Board , or delegated to Board member with strong IT expertise or IT steering committee, or member of senior executive team – all reporting regularly back to Board.
Ultimately the board is responsible and accountable for the effective governance of IT within the org.
IT management – in practice overlaps with ISG. These functions should work together to ensure the overall governance and application of IT in the org.
IT management is about implementation, execution and day to day management of the ISG framework. IT management role is to carry out day to day framework and project management activities within the overall ISG framework.CG provides an overall framework to ensure the org meets needs of its key constituencies, to ensure its ongoing survival and operates in a legal and ethical manner. CG activities include planning, organising, directing, controlling and monitoring.
ISG is a subset of CG. ISG seeks to support the functions of CG and ensure director’s responsibilities with regards to IT are met. Unusual for an org to consider ISG on equivalent terms as CG. However it is responsibility of directors to ensure an effective ISG framework is implemented.
The responsibility for designing and implementing the ISG framework may be managed by Board , or delegated to Board member with strong IT expertise or IT steering committee, or member of senior executive team – all reporting regularly back to Board.
Ultimately the board is responsible and accountable for the effective governance of IT within the org.
IT management – in practice overlaps with ISG. These functions should work together to ensure the overall governance and application of IT in the org.
IT management is about implementation, execution and day to day management of the ISG framework. IT management role is to carry out day to day framework and project management activities within the overall ISG framework.
26. COBIT COBIT (Control Objectives for Information and related Technology) is een niet-technisch, internationaal bekend referentiekader voor IT-gerelateerde beheersingsprocessen.
Het Cobit-framework is een raamwerk dat bestaat uit drie verschillende onderdelen:
Information Criteria;
IT Resources
IT Processes, in vier domeinen
Planning & Organisation
Acquisition & Implementation
Delivery & Support
Monitoring.
27. Wat doet de Kwaliteitsmanager ? De Kwaliteitsmanager zorgt mede ervoor, dat het Kwaliteitsmanagementsysteem wordt geďmplementeerd, bij de organisatie blijft passen en actueel is.
Hij/zij adviseert en ondersteunt Management en organisatie gevraagd en ongevraagd bij de toepassing van het systeem en zorgt voor een gemeenschappelijk begrip binnen de organisatie voor het voldoen aan de eisen en verwachtingen van klanten en andere belanghebbenden, zoals overheden en vergunningsverleners.
Hij/zij bevordert het kwaliteitsbewustzijn bij alle medewerkers. Kortom, de Kwaliteitsmanager zorgt ervoor dat het Kwaliteitsmanagementsysteem “fit for purpose” is én bijdraagt aan de realisering van de bedrijfsdoelstellingen. Hij is in feite de “tolk” die de organisatie ondersteunt bij het vertalen van deze doelstellingen naar de dagelijkse praktijk.
28. Relaties Governance met Kwaliteitsmanagement Governance bepaalt mede inrichting kwaliteitssysteem
Kwaliteitsmanagement moet integraal onderdeel zijn van Governance.
Er is een niet onderkende overlap kwaliteitsmanagement en governance:
Inrichting bedrijfsprocessen
Toezicht houden op uitvoering bedrijfsprocessen
Verantwoording afleggen over bedrijfsprocessen
29. Stellingen Wanneer komt Governance in gesprek met de ISO normen en kwaliteitssystemen? Of is het vandaag de eerste keer?
Is hebben van ISO certificaat voldoende Governance?
Veel kwaliteitsmanagementsystemen niet gebaseerd op risico-analyse/context organisatie.
Als kwaliteitsysteem niet aantoonbaar afgestemd is op de bedrijfsdoelen en risico-appetite dan is er geen Governance.
ISO certificering stelt niets voor, want beperkte inhoudelijke bemoeienis ISO certificering ten aanzien van beheersing (betrouwbaaheid) en kwaliteit bedrijfsprocessen: dus geen Governance.
De Kwaliteitsmanager bepaalt mede de inrichting van (IT) Governance
30. Methodiek/stappenplan van Risico Management opnemen De aanpak van risicomanagement bestaat uit een 5-tal stappen.
1. Inventariseren doelstellingen
2. Identificeren risico’s
3. Identificeren beheersmaatregelen
4. Opstellen actieplan
5. Borging
Aangezien de omgeving waarin ondernemingen, afdelingen, processen zich bevindingen continue in beweging is, kunnen en zullen er risico’s ontstaan en verdwijnen. Daarom kan risicomanagement niet eenmalig plaatsvinden, maar periodiek.De aanpak van risicomanagement bestaat uit een 5-tal stappen.
1. Inventariseren doelstellingen
2. Identificeren risico’s
3. Identificeren beheersmaatregelen
4. Opstellen actieplan
5. Borging
Aangezien de omgeving waarin ondernemingen, afdelingen, processen zich bevindingen continue in beweging is, kunnen en zullen er risico’s ontstaan en verdwijnen. Daarom kan risicomanagement niet eenmalig plaatsvinden, maar periodiek.
