KPMG: Legacy ICT grootste IT uitdaging van RvC
Het verbeteren van de resultaten van legacy systemen, of deze oude systemen zelfs vervangen, is het grootste ICT-gerelateerde hoofdpijndossier voor commissarissen van financiële instellingen. Ondanks de enorme media-aandacht die uitgaat naar cybersecurity worden ook ICT gedreven innovatie en klantencontact als grotere uitdagingen gezien, blijkt uit een onderzoek van KPMG onder circa 45 commissarissen van de 50 grootste organisaties binnen de Nederlandse financiële sector.
De rol van IT binnen vrijwel alle organisaties is substantieel veranderd. Waar een aantal jaren geleden de rol nog beperkt was tot de ondersteuning van het primaire proces en de backoffice, bekleedt IT op dit moment echter een drijvende kracht achter de strategie van veel ondernemingen en is het een aanjager van innovatie. Voor de financiële sector geldt dat IT een nog belangrijkere rol kan worden toegedicht: banken, verzekeraars en overige financiële instellingen zijn voor een groot deel IT-bedrijven. Technologie is noodzakelijk voor onder meer het goed functioneren van bedrijfsprocessen, van het primaire proces tot de backoffice, het verbeteren van de dienstverlening, het mogelijk maken van innovaties en het commercialiseren van verdienmodellen.
In een nieuw onderzoek vroeg accountants- en advieskantoor KPMG meer dan 200 commissarissen van financiële instellingen om hun kijk te geven op de veranderende rol van IT en hoe bestuurders hier het beste op kunnen inspelen. Het onderzoek beslaat diverse onderwerpen, van strategische impact tot uitdagingen en toezicht. De resultaten laten zien dat de commissarissen zich goed bewust zijn van de belangrijke rol van ICT. Maar liefst 92% van de respondenten kenmerkt de impact van IT op de strategie van een organisatie als ‘groot’ (23%) of ‘zeer groot’ (69%). Daarbij hecht 98% van de bestuurders bovendien veel waarde aan de beschikbaarheid van deze IT-systemen. Het belang van IT om concurrentievoordeel te realiseren wordt echter iets kleiner ingeschat dan bij de andere twee vragen, omdat naast IT ook andere aspecten, zoals direct klantcontact, belangrijk zijn.
IT-uitdagingen
De auteurs vroegen de toezichthouders ook om aan te geven wat de grootste IT-uitdagingen zijn binnen de organisatie waar zij commissaris zijn. Verreweg de grootste uitdaging ligt in het verbeteren van de kwaliteit van de bestaande systemen die meestal redelijk oud, complex en moeilijk te onderhouden en aan te passen zijn, en waarvan de datasystemen veelal ongestructureerd zijn. Deze zogenaamde ‘legacy’-systemen zijn veelal ontstaan door maatwerkontwikkelingen aan het eind van de vorige eeuw of al eerder; ze zijn vaak gecompliceerd doordat veel systemen door middel van interfaces aan elkaar vastgeknoopt zijn. 'Legacy’ wordt ook wel de ‘sluipmoordenaar’ binnen IT genoemd. Er niet aan werken is geen optie, omdat dat de innovatie door IT in de weg staat en een groot risico is voor de continuïteit van de onderneming.
Een uitdaging die in het afgelopen jaar veel aandacht heeft gekregen is security, mede omdat er nogal wat incidenten op dit gebied hebben plaatsgevonden. Veel commissarissen hebben in het afgelopen jaar door educatie kennis hierover verworven. Dit onderwerp lijkt hierdoor beter toegankelijk voor de commissaris.
IT-competenties commissarissen
Ondanks het belang van IT, ontdekten de onderzoekers opmerkelijk genoeg dat maar liefst 92% van de RvC leden geloven dat hun medecommissarissen over onvoldoende IT-kennis beschikken. Als redenen voor deze achterblijvende kennis worden de gemiddelde leeftijd van de commissaris, de snelle veranderingen die plaatvinden op het gebied van IT en het gebrek aan affiniteit met dit onderwerp aangegeven. Ook werkt de achtergrond van commissarissen niet mee – 81% van de commissarissen beschikt niet over IT-expertise. Van de 19% die wel IT-expertise heeft, volgde slechts 2% een IT-opleiding, volgde 7% een technische opleiding (waardoor verwacht mag worden dat deze groep IT-expertise heeft), vervulde 3% een IT-functie en werden bij 7% IT-competenties gevonden.
Met het belang van IT – en het gebrek aan IT-kennis – in het achterhoofd, hebben de adviseurs van KPMG op basis van de inzichten van de respondenten vier adviezen opgesteld voor de commissarissen:
- Alle leden van een RvC binnen FS moeten een goed basisniveau van kennis hebben op het gebied van IT en technologie
- Minimaal één lid van de RvC moet diepgaande ervaring hebben op het gebied van IT
- Waar onvoldoende IT-ervaring in de RvC aanwezig is, dient externe expertise te worden ingeschakeld
- De RvC moet betrokken worden bij de benoeming van de CIO/IT-manager