Cloud-toepassingen, IT-beheer, inkoop van software. Deze begrippen zijn uiterst relevant voor de hedendaagse bedrijfsvoering. Desondanks bestaat er onder financials een flinke discussie hoe zij zich wapenen tegen de digitale risico’s die bijvoorbeeld de cloud met zich meebrengt. ‘Vroeger werd aan de IT’er gevraagd of de firewall hoog genoeg is.’
Dennis de Hoog, risk consultant bij risicoadviseur en verzekeringsmakelaar Aon, heeft al menig robbertje uitgevochten met CFO’s en concern controllers. De financials hebben lange tijd de impact van cyberrisico’s voor hun bedrijf of publieke instelling onderschat of gewoonweg niet geaccepteerd. ‘We proberen die risico’s te kwantificeren en we proberen dat ook met cyberrisico’s. Dan krijg je juist met die CFO een interessante discussie, want in het verleden was het vooral een technisch debat, waarbij aan de IT’er gevraagd werd of de firewall hoog genoeg is. Als de IT’er zegt dat dat zo was, was er een bepaalde mate van assurance of als de accountant langskwam en zei dat het best op orde is.’
Zie ook: Cybercrime-expert ABN AMRO ziet CFO digitale risico’s negeren: ‘Daar kan ik met mijn hoofd niet bij’
De Hoog ziet een kentering in de bewustwording. ‘Eigenlijk zie je nu dat men steeds vaker accepteert dat er een financieel risico is verbonden aan een digitale risico. Dan proberen ze ook inzichtelijk te maken wat het betekent voor de organisatie als het gebeurt en of ze het ook kunnen dragen. Ik heb het idee dat de financieel verantwoordelijken steeds meer beseffen dat het ook echt een businessrisico is. Bedrijven en instellingen zijn zo afhankelijk geworden van IT dat je het niet meer los kunt zien van het runnen van je bedrijf, het is bepalend voor hoe je een bedrijf wilt runnen. Het is niet meer iets wat ronkt in de kelder en waarvan je hoopt dat die ene IT’er het goed beheert.’
Investering versus kwaliteit
De Aon-man geeft aan dat bescherming tegen cyberrisico een essentieel onderdeel is geworden van het bedrijf. Het blijft echter de vraag hoe bedrijven zich hiertegen wapenen. ‘Het is key geworden voor de bedrijfsvoering. Aan de ene kant is het een investeringsvraag: hoe ver wil je gaan in termen van kwaliteit en veiligheid van IT-diensten. Aan de andere kant, als het misgaat, zijn we dan voorbereid op de financiële risico’s. Dat zijn zaken die je je moet afvragen als CFO.’
Beperking ICT-investeringslast
Was de ‘cloud’ vijf jaar geleden nog omstreden, tegenwoordig is uitbesteding van ICT-kernfuncties aan derden gemeengoed. De Hoog: ‘Cloudsourcing biedt organisaties de kans om de eigen ICT-investeringslast te beperken. IT-beheer uitbesteden aan gespecialiseerde derden levert daarnaast vaak een impuls voor de kwaliteit, continuïteit en security van IT-diensten. Dé oplossing voor veel inherente IT-problemen.’
Applicaties drukken kosten applicaties
Naast uitbesteding van kernfuncties als data storage, netwerk en infrastructuur, maken organisaties steeds vaker gebruik van door derden ontwikkelde en beheerde applicaties. ‘Denk aan boekhoudpakketten, HR-systemen, applicaties voor commerciële doeleinden (CSM) of plannings- en logistieke ondersteuning (ERP). Deze applicaties zijn vaak cloud based en drukken de kosten van ontwikkeling en beheer van eigen applicaties. Software as a service, het is inmiddels staande praktijk,’ aldus de consultant.
