“Koppel corporate governance aan information governance!”

“Het topmanagement moet zich opwerpen als de grootste verdediger van de informatie van het bedrijf; het moet evenveel weten over zijn informatieactiva als een CFO over de financiële activa!”

Geert Van Peteghem
Country Manager, EMC

Met de voorspelbare toename van de financiële reglementeringen in Europa wordt het nu dringend tijd om ervoor te zorgen dat de problemen inzake risicobeheer, compliancy en governance op een gecoördineerde manier worden aangepakt.

Dat is evident, denkt u wellicht. En toch … Terwijl ruim driekwart van de bedrijven (77%) het belang van GRC volmondig erkent, geven nog geen twee op de drie (62%) van hen toe dat ze geen enkel formeel programma op dat vlak hebben opgesteld. Dat blijkt uit een studie van de European Intelligence Unit. Dat betekent dat ondernemingen hun gevoelige informatie blootstellen aan risico’s die nochtans voorkomen kunnen worden. Dat is des te meer verrassend omdat diezelfde organisaties verwachten dat de problemen die voortvloeien uit information governance complexer zullen worden …

Een vreemde paradox, maar vooral een verontrustende vaststelling in het licht van de economische crisis. De hoeveelheid digitale informatie van bedrijven blijft immers jaar na jaar toenemen, terwijl het beheer ervan steeds complexer wordt. Volgens IDC groeit het volume aan gegevens momenteel jaarlijks met bijna 60%; de afgelopen vijf jaar werd de te beheren hoeveelheid tien keer zo groot!

“Ook al lijken er normen voor behoorlijk bestuur op te duiken, toch hebben we vastgesteld dat ondernemingen het bestuur van de informatie in de meeste gevallen loskoppelen van de discussie over corporate governance, onderstreept Geert Van Peteghem. Een goed bestuur van de informatie kan ondernemingen nochtans helpen bij het oplossen van de meest cruciale problemen waarmee ze binnen hun organisaties worden geconfronteerd, namelijk het met elkaar in evenwicht brengen van de kosten, de risico’s en de waarde van de informatie in het hele bedrijf.”

Wat erbij te winnen valt, is een betere beheersing van de kosten en operaties, een duidelijker inzicht in de informatiestromen die in het bedrijf circuleren en een groter vermogen van de organisaties om aan de conformiteitsvereisten te voldoen. Er moet dan ook een prioriteit van worden gemaakt, beklemtoont men bij EMC.

“Ik ben zelf geabonneerd op vier verschillende diensten bij éénzelfde operator, en ik krijg vier facturen. Wat het nog gekker maakt, is dat mijn gegevens niet voor al die diensten identiek zijn. Ik moet dus voorkomen in vier aparte databases, die niet aan elkaar gekoppeld zijn … Precies hier krijgt het concept Single Instance Storage zijn volle betekenis: segmenten van redundante gegevens detecteren door de berekening van afdrukken en de gegevens die in verschillende exemplaren voorkomen slechts één keer opslaan door de kopieën te vervangen door pointers die in een index opgeslagen zijn. Kortom, meer integriteit en gelijkvormigheid. En indirect ook een middel om besparingen te boeken …”

Afgezien van de risico’s levert behoorlijk bestuur dus kansen op voor de onderneming, meent men bij EMC. Meteen denkt men daarbij aan het in vraag stellen van de bestaande toestand, een gigantisch project … Helemaal niet, verzekert de specialist van de informatie-infrastructuuroplossingen. Geen “big bang”! Volgens EMC begint men best op een bescheiden, maar duurzame manier, net zoals een ILM (Information Lifecycle Management) strategie.

Een eerste stap bij information governance is het classificeren van de gegevens. Bijvoorbeeld door de ongestructureerde informatie onder te brengen in de opslaginfrastructuur die de beste verhouding tussen kostprijs en serviceniveau biedt, waardoor de kosten voor de opslag en bescherming van de informatie al kunnen worden beperkt. In dezelfde gedachtegang wordt een automatisch beheer op basis van regels doorgevoerd om gemakkelijker te kunnen voldoen aan de regels voor de conformiteit met de interne governancevoorschriften en externe reglementeringen. Daardoor worden de risico’s beperkt, maar ook de kosten die voortvloeien uit eventuele geschillen.

Geert Van Peteghem: “Succesvolle programma’s berusten op een geleidelijke aanpak en vereisen geen radicale wijzigingen. Die programma’s steunen bovendien op het vastleggen van enerzijds generieke normen en anderzijds regels, voorrechten en verantwoordelijkheden die van toepassing zijn op de bezitters en gebruikers van informatie, wat het mogelijk maakt om aan de vereiste niveaus inzake kwaliteit en risicobeheer te voldoen.”

Een geleidelijke aanpak dus, maar tegelijk een verregaand engagement, dat alleen van de top kan uitgaan. Op afdelingsniveau heeft men meestal geen idee van de risico’s waaraan men blootgesteld is, en nog minder van het begrip waarde van het bedrijf, klinkt het bij EMC. “Het topmanagement moet zich opwerpen als de grootste verdediger van de informatie van het bedrijf; het moet evenveel weten over zijn informatieactiva als een CFO over zijn financiële activa!”

Nu grote en kleine ondernemingen op een meer strategische manier beginnen nadenken over de wijze waarop hun informatie wordt rondgestuurd en gebruikt, wordt het van kapitaal belang om een geheel van genormaliseerde regels en procedures op te stellen die de bescherming, het gebruik en de verdeling van de informatie binnen en buiten het bedrijf regelen.

- Slechts 51% van de bevraagde personen uit ondernemingen zonder welomschreven strategie oordeelt dat hun bedrijf “goed tot zeer goed” in staat is om zijn gevoelige informatie te beschermen, tegenover 85% van de respondenten uit ondernemingen met een formele strategie.

- 40% van alle bevraagde personen verklaart dat hun onderneming haar regels inzake de back-up en bewaring van informatie niet opnieuw evalueert en regelmatig herziet.

- Slechts 43% van de bevraagde personen vindt dat hun bedrijf “goed tot zeer goed” in staat is om de informatie tussen hun verschillende afdelingen en met derden te integreren en te delen; 21% van hen antwoordt “slecht tot zeer slecht”.

- 92% van de respondenten uit bedrijven met een strategie voor information governance vindt dat hun organisatie “goed tot zeer goed” in staat is om op het gewenste ogenblik toegang te krijgen tot kritieke informatie, tegenover 57% van de respondenten uit ondernemingen zonder governanceprogramma.

- 57% van de bevraagde personen erkent niet over een samenhangend beeld van de klant te beschikken.

(*) De peiling 2008 van de EIU is gebaseerd op de antwoorden van bedrijfsleiders en managers van toonaangevende ondernemingen, waarvan bijna de helft een jaarlijkse omzet van meer dan 1 miljard euro boekt en gevestigd is in Noord-Amerika, Europa, het Midden-Oosten, Azië-Pacific en Latijns-Amerika. De resultaten van de studie wijzen op belangrijke verschillen tussen de 62% verantwoordelijken die niet over een formeel information governanceprogramma beschikken en de 38% die er wel over beschikken.