KPMG
Bedrijven onderschatten belang behoorlijk IT-bestuur
3 oktober 2005
Nederlandse bedrijven onderschatten het belang van behoorlijk
IT-bestuur voor de continuiteit van de onderneming. Hoewel de meeste
ondernemingen een duidelijk beleid voor IT-governance en
informatiebeveiliging kennen, besteden de bedrijven op strategisch
niveau weinig aandacht aan IT en maakt het beheer ervan in beperkte
mate onderdeel uit van het totale ondernemingsbestuur.
Daarnaast ontbreekt veelal een duidelijke visie op IT-bestuur. De
bedrijven vertrouwen op de beveiliging van hun IT-systemen, maar voor
dit vertrouwen is nauwelijks enige grond. Dit blijkt uit onderzoek van
KPMG onder Nederlandse CFOs en IT-managers naar het beheer van
informatietechnologie bij de ondernemingen. Zon 40% van de bedrijven
acht IT-governance en informatiebeveiliging nauwelijks kritiek voor
het voortbestaan van de onderneming en heeft geen duidelijk beeld van
wat als best practice geldt. Een derde van de bedrijven denkt zelfs
onder het niveau van de best practice te zitten.
Eigenlijk zijn er voor het ontbreken van gedegen IT-bestuur geen
excuses, constateert Rob Fijneman, partner bij KPMG Information Risk
Management. Nu de omgeving van bedrijven steeds meer en steeds
explicieter vraagt om zekerheid, moeten bedrijven in toenemende mate
rekenschap over de betrouwbaarheid van hun informatiesystemen kunnen
afleggen. Daar hoort een duidelijke transparantie bij, ook in de
richting van de eigen medewerkers door middel van opleiding en
voorlichting. Tweederde van de bedrijven blijkt echter geen enkele
vorm van voorlichting of training aan de medewerkers te geven. Als er
zelfs geen voorlichting wordt gegeven over IT governance en
informatiebeveiliging, hoe moet de organisatie dan weten wie
verantwoordelijk is en hoe ze zelf uitvoering aan het beleid moet
geven.
Op strategisch niveau blijken de ondernemingen weinig aandacht aan
behoorlijk bestuur van IT te schenken. Fijneman: Er is weinig aandacht
voor het uitdragen van het belang hiervan en het beleid dat de
onderneming voert. Van de bedrijven met een audit committee houdt ruim
een kwart zich niet bezig met IT governance en informatiebeveiliging.
Beursgenoteerde ondernemingen hebben in het algemeen vaker een audit
committee, maar de aandacht voor IT-governance verschilt nauwelijks
met de andere bedrijven.
Uit het onderzoek van KPMG blijkt voorts dat ruim de helft van de
bedrijven geen onafhankelijke auditfunctie kent ten aanzien van
IT-governance en infomatiebeveiliging. Fijneman: Dit betekent dat de
bedrijven voor IT governance en informatiebeveiliging geen adequaat
managementproces hebben geïmplementeerd met structurele metingen en
feedback loops. Bij de meeste bedrijven dateert de laatste
beveiligingsaudit van meer dan een jaar geleden of is dit in het
geheel niet bekend. Daarnaast geeft bijna 40% dat het netwerk nooit op
beveiliging is getest door een derde partij.
Voor nadere informatie: Andy Bellm, telefoon (020) 656 7039
© 2005 KPMG Holding N.V., member of KPMG International, a Swiss
cooperative. All rights reserved.