• No results found

Onvoldoende aandacht voor de interne controle op ICT

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Onvoldoende aandacht voor de interne controle op ICT"

Copied!
2
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 2 pagina )

Hele tekst

(1)

Onvoldoende aandacht voor de

interne controle op ICT

Oscar van Leeuwen

De afgelopen jaren konden we regelmatig in de krant

lezen dat organisaties in de problemen kwamen als gevolg van problemen met ICT. Zo kopt de Trouw van 13 maart 2012:‘Softwarefoutje: weer treinchaos’. Op 12 maart reden gedurende de hele ochtendspits geen treinen rond Amsterdam als gevolg van sein- en wisselstoringen. Van half vier’s nachts tot tien uur ’s ochtends lag het trein-verkeer volkomen stil. Dit werd veroorzaakt doordat bij het opstarten van de de systemen van de verkeersleiding in Amsterdam een storing optrad. Normaal treedt dan een back-up systeem in werking maar dat weigerde als gevolg van een fout in de software.

De NS is helaas zeker niet de enige organisatie waar dit soort problemen zich voordoet. Er is zelfs op Datanews een webpagina die de 10 grootste ICT-problemen van 2011 beschrijft. Tabel 1 bevat enkele van de publiekelijk be-kende cases.

Dit zijn enkele in het oog springende voorbeelden, maar de lijst is nog veel langer. Kortom ICT-problemen komen in de beste families voor. Tegelijkertijd is ICT inmiddels zo belangrijk voor organisaties dat het primaire bedrijfs-proces niet meer zonder kan. Wanneer die ICT-middelen de organisaties in de steek laten valt het primaire bedrijfs-proces volledig stil, met alle schade van dien. We kunnen er maar beter van leren... De vraag is echter: Wat kan ervan geleerd worden?

Blijkbaar is er van alles mis methet interne-controlesysteem rondom de ICT bij onze organisaties. Het is immers nu juist de taak van het interne-controlesysteem om te komen dat de hierboven geschetste problemen zich voor-doen. Een goed interne-controlesysteem fungeert als een vangnet. Een dergelijk systeem bevat zogenaamde: a. general controls die zorgen dat de applicaties van een

organisatie ongestoord kunnen functioneren;

b. application controls die ervoor zorgen dat de computer-applicaties zelf goed werken.

Dit geheel van maatregelen rond de computersystemen wordt aangevuld met zogenaamde user controls die er-voor zorgen dat de gebruikers goed met de IT-applicaties kunnen werken.

Daarnaast moet worden gemonitord of deze interne-con-troleactiviteiten ook worden uitgevoerd, wat de controls aan het licht brengen en welke acties daaruit voortvloeien. Kennelijk is er iets mis met dit vangnet. Maar wat? Deze vraag wordt des te prangender als we bedenken dat veel mensen betrokken zijn bij ICT-projecten en ICT-beheer die toch voldoende kennis van de te treffen maatregelen zouden moeten hebben. Denk aan registercontrollers, CIO’s, afdelingen risicomanagement, EDP-auditors en ac-countantsdiensten.

Het management vindt ICT vaak een moeilijk onderwerp, beschikt niet altijd over de juiste monitor-informatie en heeft kennelijk uiteindelijk onvoldoende aandacht aan het interne-controlesysteem kunnen of willen geven. Boven-dien heeft het management zelf vaak onvoldoende kennis

Organisatie Type probleem

BlackBerry Haperend netwerk leidt tot vertrek van klanten. Mobistar Niet goed functionerende glasvezelkabel leidt tot

ernstige problemen met de mobiele spraak- en dataverbindingen.

Enkele maanden daarvoor konden de klanten van Versatel (Mobistar Enterprise) niet bij hun e‑mail.

Telenet Defecte gateway zette in oktober alle klanten van Telenet zonder internet.

Belgacom Het haperende ICT-netwerk van Belgacom legde in 2012 5% van de Datahouse-klanten plat. Volgens Belgacom was Datahouse zelf nalatig door onvoldoende actie te nemen om de klanten over te zetten naar een nieuw netwerk. Hogeschool Gent 25 000 mailboxen moesten hersteld worden na

een mailservercrash.

Gmail Tienduizenden medewerkers bleken eerst hun account en later hun Mailarchief kwijt te zijn als gevolg van een update van de opslagsoftware. Microsoft Diensten als Hotmail, Skydrive, Live.com en

Office.365 waren onbereikbaar als gevolg van een stroomstoring in San Diego. De Vlaamse Regulator van de

Elekriciteits- en Gasmarkt (VREG)

Deze organisatie keert voor eigenaars van zon-nepanelen groene-stroom-certificaten uit. Het computersysteem sloeg op tilt als gevolg van te veel zon-uren.

Tabel 1

ICT-problemen

PPMG_T5_MAB <T5_025_MAB_1206_bw_proef4_004▪ 06-06-12 ▪ 15:23> Pag. 0220

220 86E JAARGANG JUNI

COLUMN

(2)

van ICT om het aan te kunnen sturen, of is zich onvol-doende bewust van de risico’s van ICT. Daarnaast kent het ICT-domein van een organisatie vaak een eigen jargon waarbij veel gedetaillerde discussies plaatsvinden die vaak niet aansluiten op de belevingswereld van de manager. Hierbij geldt met name op ICT-gebied bij uitstek dat een relatief klein risico grote gevolgen kan hebben. Ik denk dat hieruit voor de toekomst lering moet worden getrof-fen.

Maar hoe zorg je nu als bestuurder voor een betaalbare kwalitatief goede ICT-omgeving zonder dat je een speelbal wordt van externe accountants en andere interne en ex-terne deskundigen? Er is eigenlijk maar één goed ant-woord. Zorg dat je er voldoende vanaf weet om het ICT-systeem goed te kunnen managen en wees je bewust van de risico’s die kunnen optreden, want al is de kans van dit soort risico’s wellicht klein de impact ervan is veelal groot. Nu hebben veel bestuurders en leden van Raden van Commissarissen en Raden van Toezicht niet een opleiding op het gebied van de interne controle van ICT genoten. Naar mijn mening moeten opleidingen voor managers en commissarissen, daarom‘internal control’ en

risicomana-gement van ICT verplicht in hun curriculum opnemen. Ook is het van belang dat net als bij financiele experts er minimaal één ICT-expert is opgenomen in de Raden van Commissarissen en/of audit committees Voor niet op dit vlak geschoolde bestuurders betekent dit terug naar de schoolbanken. Voor veel Raden van Commissarissen en audit committees betekent dit het opnemen van een nieuwe deskundige met de juiste expertise in hun gelede-ren.∎

Literatuur

∎Starreveld, R.W. en O.C. van Leeuwen (2004),

Bestuurlijke informatieverzorging, deel 1 Algemene grondslagen, Typologie van de bedrijfshuishoudingen, Groningen, Houten: Wolters-Noordhoff.

Prof. dr. O.C. van Leeuwen RA is werkzaam als hoogleraar Bestuurlijke Informatieverzorging/Administratieve organisatie aan de Vrije Universiteit van Amsterdam. Daarnaast is hij

verantwoordelijk voor het Tacstone Capital Impact Fund.

PPMG_T5_MAB <T5_025_MAB_1206_bw_proef4_004▪ 06-06-12 ▪ 15:23> Pag. 0221

Referenties

Download het nu ( PDF - 2 pagina - 70.10 KB )

GERELATEERDE DOCUMENTEN

Hoofdstuk 2 VERANTWOORDING EN RISICO S

Kwaliteitszorg en risico’s voor leerlingen Bij een klein deel van de besturen in het voortgezet onderwijs (15 procent van de eenpitters en 2 procent van de meerpitters) is

Risico s in Zicht WEGEN VAN RISICO S Handreiking voor samenwerkende overheden

Het bevoegd gezag Wet milieubeheer (gemeente of provincie) betreedt het terrein van de ruimtelijke ordening, het bevoegd gezag RO (gemeente) is medeverantwoordelijk voor

ADHD-artsenhandleiding over de risico s van methylfenidaat

• bij elke aanpassing van de dosis en daarna minimaal eens per 6 maanden en bij elk bezoek moet de patiënt gecontroleerd worden op ontwikkeling van de novo of verslechtering van

De risico s van ziektekiemen in

Maar ik ben ervan overtuigd dat er onder de gevallen van voedselvergiftiging door het eten van bedorven eieren of vlees ook gevallen zitten waar- bij verse

Brand Eenvoudige Risico s

 veroorzaakt wanneer het gebouw in aanbouw, wederopbouw of verbouwing is, voor zover wij aantonen deze omstandigheid enigszins heeft bijgedragen tot het zich

Het managen van contractmanagement Het beperken van risico s en het efficiënter opstellen van inkoopcontracten.

Mocht er geen schadevergoeding overeengekomen zijn in het contract loopt Wegener het risico dat zij een hoge schadevergoeding moeten betalen op het moment dat de

Zorgplicht voor PSA risico s

● Conclusie: de werkgever is zelfs aansprakelijk indien de schade door toedoen van de werknemer zelf is ontstaan.

Antibioticaresistentie: de risico s in beeld

LINK blijft aandacht hebben voor aanhaking in de grensregio’s, maar beseft ook terdege dat er andere sectoren zijn in Limburg zoals de thuiszorg, gehandicaptenzorg en huisartsen