Veel ondernemingen maken een digitale transformatie door die ingrijpende gevolgen heeft voor hun IT-omgeving. John Hermans, partner KPMG Cyber, ziet de onzekerheid binnen de financiële functie groeien naarmate de digitalisering vordert. Hermans legt de verantwoordelijkheid bij het bestuur neer.
Ondanks de forse investeringen die veel bedrijven doen in allerlei maatregelen om in controle te zijn, hebben veel bedrijven moeite om de echte risico’s die zij op het gebied van cybercriminaliteit lopen, bloot te leggen. De invulling van het takenpakket van de finance professional verandert daardoor. Hermans: ‘Je zult mee moeten bewegen met de digitalisering en daar maatregelen in treffen. Op het niveau van checks and balances in je proces, op het niveau van techniek en natuurlijk ook aan de mensenkant. Je moet ervoor zorgen dat mensen op de juiste manier met de systemen om kunnen gaan en snel kunnen reageren als er iets raars gebeurt.’
Checks and balances
In de ogen van Hermans moet een finance professional niet streven naar absolute veiligheid. ‘Een utopie. Het kan niet en je wilt het ook niet. Zakendoen is risico’s nemen. 100 procent veiligheid zal ook nooit kunnen, anders wordt efficiency van je bedrijfsvoering zo laag. Je wilt het risico naar een acceptabel niveau brengen. Dat is het streven wat je zou moeten hebben. Er moeten steeds meer checks and balances gaan plaatsvinden, zodat de financiële functie blijft functioneren zoals het zou moeten doen.’
Gemiste kansen
Het missen van opwaarts potentieel is ook een risico. Hermans: ‘Waarom maken we allemaal zo graag gebruik van allerlei nieuwe toepassingen? Juist omdat we het potentieel zien van allerlei nieuwe businessmodellen en noem maar op. Als je vanuit de controlfunctie kijkt en advanced analytics gebruikt voor allerlei eerste en tweede lijnscontroles, biedt dat aanzienlijke voordelen voor efficiency en effectiviteit. Als je dat maximaal wilt gebruiken, zal dat hand in hand moeten gaan met de aandacht voor fraude en cybersecurity.’
‘Cyber security? Daar heb ik toch iemand voor?’
Hermans wil dat digitalisering onderdeel wordt van het risicomanagement. ‘Het wordt namelijk steeds belangrijker. De meeste organisaties zijn gewoon meer informatieverwerkende fabrieken dan kantoren met mensen. Daar waar IT strategisch wordt ingezet voor de bedrijfsvoering, zoals bij de meeste organisaties, moet je het strategisch risico van IT-gebruik, waaronder cyber security, meenemen. Dat zie je steeds meer gebeuren. Ik heb heel veel raden van bestuur mogen trainen en drie jaar geleden hoorde ik iedere keer hetzelfde. ‘Daar heb ik toch iemand voor? Dat is technisch. Hoezo moet ik er wat van vinden?’ Je ziet nu steeds meer dat besturen en commissarissen meer IT en cybersecurity in hun strategisch risico-agenda zetten. Daar begint het. Het is niet de IT-afdeling die ervoor moet zorgen dat alles veilig is. Nee, dat is de verantwoordelijkheid van het bestuur.’
