De data-intelligente onderneming

26
E E N I N I T I AT I E F VA N E Y I N SA M E N W E R K I N G M E T T I J D CO N N EC T E N EC H O CO N N EC T | 2 1 M AA RT 2 01 4
2
7
“Niet meer informatie
is nodig, wel betere
analyse”
Wees klaar
voor de fiscus
Elektronische
tax audits
Interview met Frank Staelens (EY) en
Luc Burgelman (NGData)
Is uw onderneming klaar voor
een cyberaanval?
Audit 2.0
Van data tot
gerichte
beslissing
Van bricks tot bits
Risico’s en opportuniteiten
10 sleutelprincipes
en ‘must do’
veiligheidsacties
8
11
14
© Sofie Van Hoof
De data-intelligente onderneming
Vragen over
dit onderwerp?
Wilt u dit dossier
ook online
raadplegen?
www.tijd.be/inzicht
Elke onderneming wordt vandaag overspoeld door een
stortvloed aan data, in allerhande al dan niet
gestructureerde formaten. Onderzoek toont aan dat het
volume data elk jaar verdubbelt. Big data is een feit,
daar twijfelt niemand aan.
Waarom deze bijlage? Omdat ondernemingen de
massieve datavolumes die ze genereren, veel te zelden
op een intelligente manier in bruikbare informatie
omzetten. Om daar een mouw aan te passen, laten we
specialisten uit data-gerelateerde domeinen aan het
woord.
In het panelinterview praten data-scientist
Luc Burgelman van NGData en Frank Staelens, vennoot
bij EY over de paradigma-shift van big data en de rol
van de data-scientist. In een ander gesprek voelen we
Paul Ballew, Chief Data and Analytic Officer van
Dun & Bradstreet over hetzelfde onderwerp aan
de tand. De drie specialisten hebben ieder een
uitgesproken mening over de revolutie in de manier
waarop we met data omgaan.
Verder in deze bijlage sommen we de belangrijkste
trends in datatechnologie op, staan we stil bij de risico's
en opportuniteiten die de datarevolutie biedt en gaan
we dieper in op de rol van big data in fraudebestrijding
en bij audits.
Last but not least zoomen we in een op een nog te vaak
veronachtzaamd aspect: data-security. Hoe u het ook
draait of keert, data is dé kern-asset van de hedendaagse onderneming. En daar gaat u maar beter
bedachtzaam mee om. Want Big Data is Big Business.
2
DATA-INTELLIGENTE ONDERNEMING
Vooraf
STRAT EGI SC H BE LE ID B IG DATA
Big Data
is Big Business
Door de overweldigende datastromen die
op ons afkomen, dreigen ondernemingen
te verdrinken in een zee van data.
Bovendien gaan ze door de hype rond big
data de kern van de zaak vaak verkeerd
interpreteren. Onze stelling is niet dat
ondernemingen vooral zoveel mogelijk
data moeten verzamelen en opslaan. De
sleutelboodschap van EY is dat de meeste
bedrijven zich beter moeten focussen op
inzicht in de bestaande data. Er is zoveel
informatie aanwezig die niet geëxploiteerd wordt. Ontgin eerst die potentiële
goudmijn, vooraleer u denkt aan oplossingen waarbij gigantische hoeveelheden
ongestructureerde data van het internet
binnengehaald worden. Later kunt u nog
altijd
een
Als ondernemingen stapje verder
gaan.
vandaag niet bezig Niet alleen
zijn met data, dan de hoeveelheid
data
worden ze
geeft
de
voorbijgestoken
ondernemindoor hun
gen nieuwe
uitdagingen,
concurrenten.
ook de nieuwe datatechnologieën werpen vragen op.
Trek voldoende tijd uit om daar een antwoord op te formuleren. Want net dankzij
die tools kunt u bestaande data omvormen tot informatie en intelligentie en ten
slotte, daar draait het toch om, tot winstgevende acties. Datastromen moeten niet
alleen geanalyseerd, maar ook gepersonaliseerd worden, zodat iedere werknemer
op het juiste moment de juiste informatie
te zien krijgt. Dat draagt potentieel enorm
bij tot de efficiëntie op alle vlakken.
Kort en bondig: er is nood aan meer intelligentie, niet aan meer nullen en enen. Als
ondernemingen daar vandaag niet mee
bezig zijn, dan worden ze voorbijgestoken
door hun concurrenten. Ondernemingen
moeten dus vandaag al een schaalbare
datastrategie opzetten, waarmee ze de
concurrentie ook morgen een stapje voorblijven.
“Niet meer informatie
is nodig, wel een
betere analyse”
Nog nooit beschikten ondernemingen over zo veel data. Ze kunnen alles
weten over hun klanten, zakenpartners of machinepark. Maar die informatiestroom moeten ondernemingen op een efficiënte manier in kaart brengen en
gebruiken. Hoe doen ze dat?
r zweeft waanzinnig veel informatie rond in cyberspace.
Iedere dag versturen we 145
miljard mails en consulteren we
Google 4,5 miljard keer. De informatiestroom gaat steeds sneller. In 2011
duurde het twee dagen om 5 miljard
gigabyte aan data te produceren.
Vorig jaar nam dat nog maar tien minuten in beslag. ‘Daardoor zien de
meeste ondernemingen door de
bomen het bos niet meer. Dat resulteert in een groot efficiëntieverlies:
werknemers verliezen veel tijd omdat ze overbodige informatie verwerken of omdat ze onvoldoende
snel toegang krijgen tot nuttige
informatie’, zegt Frank Staelens van
EY. ‘Bedrijven hebben nood aan een
strategisch beleid over de manier
waarop ze met data omspringen’,
vindt ook Luc Burgelman, CEO van
NGData, een bedrijf dat software
ontwikkelt voor het beheer van big
data.
E
Rudi Braes, managing partner EY België
Colofon
Een initiatief van EY
Frank Staelens, vennoot EY Assurance
Andy Deprez, vennoot EY Advisory
Ingmar Christiaens, vennoot EY Advisory
Jan Van Moorsel, vennoot EY Tax Consultants
Jan Smolders, director EY Advisory
Kurt Vermeire, senior manager EY Assurance
Verantwoordelijke uitgever:
Marc Cosaert, vennoot EY Transaction Advisory
Services
Coördinatie EY: Anne-Sophie Jaspers
BIJLAGE i.s.m. EY
www.ey.com/be/inzicht
Volg EY op twitter: twitter.com/EY_Belgium
Tel.: 02 774 91 11
Een realisatie van Mediafin Publishing
Coördinatie: Veronique Soetaert
Redactie: Mediafin
Lay-out: David Steenhuyse
Fotograaf: Sofie Van Hoof, Emy Elleboog,
Lieven Van Assche, Shutterstock
Info? [email protected]
CONNECT
Hoe springt een onderneming op
een intelligente manier met data
om?
Staelens: ‘Door dagelijks de bestaande technologie te gebruiken om
de beschikbare nuttige interne en
externe informatie op het juiste moment bij de juiste persoon te brengen. Dat is niet alleen in het algemeen belang van de onderneming,
maar het verhoogt ook de jobtevredenheid van de werknemers. Veel
ondernemingen denken nog altijd
dat ze vooral zo veel mogelijk data
moeten verzamelen. Maar meestal
hebben ze niet méér gegevens nodig,
maar wel een beter inzicht in de bestaande data. Daarnaast moeten ondernemingen goed nadenken over
de huidige en toekomstige waarde
van hun data. Want gegevens zijn intussen verhandelbaar. Ze zijn net zoals het machinepark, het personeel
of de bedrijfsgebouwen een waardevolle asset. Daardoor moeten ondernemingen er alles aan doen om hun
data te beschermen tegen alle vormen van diefstal die kunnen leiden
tot klanten-, concurrentie- of reputatieverlies.’
Burgelman: ‘Ondanks de technologische evoluties zullen sommige dingen nooit veranderen. Bedrijven zullen altijd producten of diensten verkopen en facturen verwerken. Maar
elk van die activiteiten kan een onderneming wel verrijken door verstandig met databeheer om te springen. De uitdaging is dus vooral om
nieuwe technologie in te passen in
de bestaande processen en daarvoor
een goede strategie uit te werken.
Dat is belangrijker dan zo veel mogelijk gegevens te analyseren.’
Waarom is het zo belangrijk dat
ondernemingen een beleid
uitstippelen om gegevens op
een verstandige manier te
verzamelen en te verwerken?
Burgelman: ‘Goed databeheer geeft
ondernemingen de kans om hun
klanten veel beter te leren kennen.
Dat is ontzettend belangrijk in een
BIJLAGE i.s.m. EY
3
DATA-INTELLIGENTE ONDERNEMING
© Sofie Van Hoof
Frank Staelens en Luc Burgelman
omgeving waar de consument centraal staat. Want
dankzij een betere kennis van een individuele consument kun je de dienstverlening personaliseren en
daarmee relevanter maken. Deze persoonlijke aanpak verbetert de klantbeleving en zal zijn loyaliteit
tegenover de onderneming versterken. Banken of telecombedrijven zijn daarvan een treffend voorbeeld.
Iedereen is klant bij zo’n bedrijf, waardoor ze bijna
alleen maar kunnen groeien door van elkaar klanten
in te pikken. Bedrijven die hun klanten goed kennen,
kunnen een betere service bieden en slagen er beter
in om klanten te behouden. Zo kan het voor een bank
heel waardevol zijn om te weten dat een klant regelmatig vastgoedwebsites raadpleegt. Met die kennis
kan ze er op anticiperen dat die klant binnenkort misschien een hypothecaire lening nodig heeft.’
Staelens: ‘Op een andere manier met data omgaan,
biedt ondernemingen veel kansen: ze kunnen sneller
groeien, kosten besparen en het risicomanagement
verbeteren. Jammer genoeg zijn er maar weinig on-
dernemingen die een duidelijk overzicht hebben van de data waarover
ze beschikken en wie daarmee aan
de slag gaat. Bedrijven die hun databeheer vandaag niet onder controle
hebben, moeten er daarom morgen
zeker werk van maken. Want anders
lopen ze overmorgen achter op de
concurrentie. De uitdagingen verschillen voor elke onderneming
naargelang de omvang, het aantal
vestigingen, de verscheidenheid aan
systemen of de complexiteit van de
bedrijfsprocessen. Het uitgangspunt
is eenvoudig maar hard: either become the disruptor or become the disrupted.’
Welke descriptieve technologie
kan een gemiddelde onderne-
ming al gebruiken?
Staelens: ‘Consumentgerichte afdelingen hebben in eerste instantie
nood aan eenvoudige software,
waarmee ze zelf gegevens kunnen
analyseren en visualiseren. Financiële departementen kunnen dan
weer veel efficiëntiewinst boeken
met moderne software voor financiële rapportering, budgettering,
forecasting, prestatiemanagement
en consolidatie. En afdelingen
risicomanagement kunnen met
moderne en eenvoudige software
automatisch ongebruikelijke boekhoudkundige ingrepen of alarmerende betalingstransacties detecteren. Of het is mogelijk om negatieve
informatie rond zakenpartners doeltreffend op te volgen.’
>
4
DATA-INTELLIGENTE ONDERNEMING
BIJLAGE i.s.m. EY
>
Burgelman: ‘Dergelijke descriptieve oplossingen
bieden nu al veel mogelijkheden. En de komende
jaren zal de druk op bedrijven toenemen om ook te
evolueren naar meer voorspellende toepassingen.
Die geven bedrijven de kans om veel korter op de bal
te spelen en trends op te sporen die er op wijzen dat
er iets aan de hand is. Het is niet meer voldoende dat
een bedrijf analisten in huis heeft die kunnen verklaren waarom drie maanden geleden een klant is weggegaan. Bedrijven die over de juiste data beschikken,
kunnen achterhalen welke klant niet gelukkig is en
binnen drie maanden zal overwegen om naar de concurrentie over te stappen.’
‘Goed databeheer geeft
ondernemingen de kans om hun
klanten veel beter te leren kennen.’
Welke fouten moeten ondernemingen vermijden bij het implementeren van een efficiënte
datastrategie?
Burgelman: ‘Veel bedrijven weten niet eens wat ze
willen analyseren. Ze hebben nood aan een doordachte strategie zodat ze precies weten wat ze willen
verbeteren. Pas dan kan een onderneming met de
nieuwe technologie in de beschikbare data nuttige
verbanden blootleggen. Dat vergt wel een nieuwe
manier van denken die het best wordt gestimuleerd
vanuit de businessafdeling, die gewend is om voortdurend nieuwe concepten of businessmodellen te bedenken. Als zoiets gebeurt vanuit de IT-afdeling,
wordt er al te vaak gezocht naar oplossingen binnen
het bekende kader. Maar het is juist de bedoeling om
daarvan los te komen.’
Staelens: ‘Bedrijven lanceren al te vaak verschillende
kleine projecten waardoor ze geen holistische visie
hebben op de gegevens die ze verwerken. Er zijn
maar weinig bedrijven die weten wie bepaalde gegevens gebruikt en voor welke doeleinden. Nochtans is
dat een voorwaarde om een datavisie voor de toekomst uit te werken.’
naast de referentieproducten ook generische alternatieven die veel goedkoper zijn en bijna dezelfde functionaliteiten hebben. Daarnaast vormt
de menselijke aversie voor verandering een belangrijk obstakel. Veel
mensen staan afkerig tegenover de
nieuwste software uit angst om zichzelf overbodig te maken. Daarom is
het zo belangrijk dat veranderingen
worden gedragen door het directieniveau en intensief worden begeleid.
Anders vindt iedereen wel een reden
om zich achter de gebruikelijke manier van werken te verschuilen.’
Burgelman: ‘Een bedrijf moet een
coherent beleid hebben om mensen
te kunnen overtuigen om in dat verhaal mee te stappen. Die visie moet
ontstaan vanuit het management en
vervolgens doorsijpelen naar de lagere echelons. Jammer genoeg zijn
veel CEO’s zich nog te weinig bewust van wat er allemaal mogelijk is.
Daarom raad ik hen aan om eens
Google Now te installeren op hun
smartphone of tablet, om zelf te ervaren wat artificiële intelligentie is
en wat je met uiteenlopende gegevens allemaal kunt aanvangen. Daar-
Welke obstakels ondervinden ondernemingen
die daar werk van willen maken? En hoe neem
je die weg?
Staelens: ‘Om te beginnen overschatten veel ondernemingen de kostprijs van een goed uitgewerkt databeleid. Net zoals voor geneesmiddelen bestaan er
Luc Burgelman, CEO NGData
© Sofie Van Hoof
naast mag een onderneming ook niet
de fout maken om de beschikbare
gegevens strak in de hand te houden.
Je moet de gegevens laten werken,
ze hun verhaal laten vertellen en
aanvaarden dat je niet altijd begrijpt
hoe de resultaten zijn ontstaan. Traditionele datawetenschappers controleren nog elk afzonderlijk gegeven, maar dat lukt niet meer als er
elke dag 3 miljard gegevens op je afkomen. Dan moet een data-analist
op een andere manier met data omgaan: hij kan niet langer het schaap
zijn, hij moet de herder zijn, die zijn
schapen naar de juiste plek brengt.’
De evolutie naar meer data-analyse heeft een grote impact op
onze privacy. Hoe moet een bedrijf daar mee omspringen?
Staelens: ‘Het zal geen sinecure zijn
om de juiste balans te vinden tussen
innovatie en privacy. De nieuwe ontwikkelingen in de datawereld zijn er
op gericht om de commerciële waarde van de beschikbare informatie te
maximaliseren door nuttige informatie vooral automatisch te verwerken. Maar de huidige privacyregels
Trends in big data
Meer voorspellende analyses. De voorbije jaren
evolueerden vooral de oplossingen voor beschrijvende
analyses. Die concentreren zich vooral op de gegevens
uit het verleden en het heden. De volgende jaren
komt er een sterke opkomst van ‘predictive analytics’.
Die kunnen bijvoorbeeld het koopgedrag van
consumenten voorspellen of aangeven wanneer
machines hun volgende onderhoudsbeurt nodig
hebben.
Nog meer data in de cloud. Het aantal gegevens of
software dat beschikbaar is via ‘the cloud’ of het
internet zal nog toenemen. Die evolutie naar meer
‘cloudcomputing’ zal er volgens sommigen zelfs toe
leiden dat tegen 2016 het grootste gedeelte van de ITuitgaven op rekening komt van de cloud.
Meer visuele en mobiele toepassingen. Visuele toepassingen en hun mobiele versies worden een essentieel onderdeel van de IT-infrastructuur. Zij zorgen
ervoor dat bedrijven die op een intelligente manier
met gegevens omgaan voor alle sleuteldepartementen visuele overzichtspagina’s kunnen bouwen.
Complexe informatie wordt daardoor verteerbaar en
evoluties worden in realtime weergegeven. Er komen
ook meer applicaties die informatie op het gepaste
moment bij de gebruikers brengen. Verwacht wordt
dat de app-sector tegen 2018 een omzet zal draaien
van 60 miljard dollar en 5 miljoen jobs zal creëren.
Data wordt verhandelbaar. Informatie is een kostbaar
en verhandelbaar goed geworden. Steeds meer
bedrijven zullen zich specialiseren in het verzamelen
van data en het is stilaan uitkijken naar de eerste
veilingsites voor data.
System log data winnen aan belang. In het verleden
werden die door de hoge opslagkosten om de paar
weken verwijderd, maar de komende jaren zullen die
gegevens alleen maar aan belang winnen. Ze hebben
een grote waarde op het vlak van databeveiliging,
efficiëntiemonitoring en risicomanagement.
DATA-INTELLIGENTE ONDERNEMING
BIJLAGE i.s.m. EY
in ons land willen het gebruik van persoonlijke data
zo veel mogelijk beschermen. Die data mogen bijvoorbeeld niet worden gebruikt om op een geautomatiseerde manier bepaalde beslissingen te nemen.
Een onderneming die op een intelligente manier met
data wil omgaan, moet daarom een plan opstellen om
de privacy-impact zo klein mogelijk te houden. Een
onderneming moet bijvoorbeeld persoonlijke data in
de mate van het mogelijke anonimiseren, personen
van wie ze gegevens bijhoudt daarover informeren
en hen ook de goedkeuring laten geven voor de verwerking van die persoonsgegevens.’
Burgelman: ‘Er zijn voor mij twee gouden regels.
Om te beginnen verkoopt een onderneming nooit de
data waarover ze beschikt. Want dan is het logisch
dat mensen hun vertrouwen verliezen, terwijl het er
net om draait om een vertrouwensband te creëren
met je klanten. Daarnaast moet een klant ook kunnen bevestigen dat hij ermee akkoord gaat dat zijn
gegevens worden gebruikt om hem een betere service te bieden. Want daar draait alles uiteindelijk
toch om.’
‘Veel CEO’s zijn zich nog
te weinig bewust van wat
er allemaal mogelijk is.’
Frank Staelens, vennoot EY
Productief omgaan met data
Paul Ballew is Chief Data, Insight en Analytic Officer bij handelsinformatiebedrijf
Dun and Bradstreet. D&B beheert een massieve bedrijvendatabase met informatie
over meer dan 200 miljoen bedrijven in meer dan 240 landen. Paul Ballew lijkt kortom de geschikte man voor onze vragen over de toekomst van big data.
Bij D&B houdt u zich bezig met enorme hoeveelheden data. Maar wat is nu
exact big data? Hoe definieert u dat begrip?
Geloof het of niet, ik vind dat een moeilijke vraag. Big data is een naam voor een aantal
brede trends van de laatste veertig jaar. De voornaamste van die trends draaien rond de
ontwikkeling van transactionele en andere databronnen, data-opslag, rond de snelheid
van gegevensverwerking en de evolutie van analytische mogelijkheden. Bovendien gaat
het ook, en eigenlijk steeds meer, om het vermogen van bedrijven om de productie van
al deze technologie en technieken te verteren. Wezenlijk gaat het bij big data over het
omvormen van steeds grotere hoeveelheden data tot inzicht en dat inzicht tot acties met
een positieve impact op de bedrijfsresultaten.
‘Wezenlijk gaat het bij big data over het
omvormen van steeds grotere hoeveelheden data tot inzicht en dat inzicht tot
acties met een positieve impact op de
resultaten.’
Paul Ballew, Chief Data, Insight en Analytic Officer Dun & Bradstreet
Wat zijn de risico’s en de opportuniteiten die big data biedt?
De uitdaging is dramatisch gewijzigd de laatste tien jaar. Tien jaar geleden waren we op
een aantal vlakken nog altijd data-arm. Er waren erg veel lacunes op allerlei terreinen,
en er was het belangrijke probleem van de vertraging. Het was onmogelijk om grote
databases in real-time te analyseren, vandaag kan dat wél.
Nu is data overal, we worden er eenvoudigweg door overspoeld. De uitdaging ligt niet
alleen in het beheer van die data. Het draait er ook en vooral om die data om te vormen
tot inzichten die we écht kunnen gebruiken. Als we niet opletten, zullen we te veel
focussen op de kwantiteit van de data en niet voldoende op de problemen die we moeten
aanpakken met behulp van die data. Big data is met andere woorden een middel. Het
mag geen doel op zich worden.
© Sofie Van Hoof
‘Business consultancy’ meets ‘software implementation’. Businessconsultants zullen meer dan ooit
geïntegreerde oplossingen aanbieden voor zowel
de business consultancy, de implementatie van
software en het beheer of de verrijking van gegevens.
Een certificatie van data intelligentie is in de maak.
We zitten nu nog volop op de golf van interne controle certificaties. Wegens het belang van een goed
databeheer zullen de belanghebbenden van ondernemingen aandringen op een certificatie van het
niveau aan data intelligentie.
Wat zijn de belangrijkste trends die u ziet rond big data?
Ik zie verschillende interessante trends rond het analyseren van ongestructureerde data
en het intelligent opsporen van trends. Erg fascinerend allemaal, maar de hamvraag is
natuurlijk of uw bedrijf er productief mee aan de slag kan. Op het analytische front is
‘cognitive computing’ het sleutelwoord voor de toekomst, maar het zal waarschijnlijk
nog tien jaar duren voor die techniek in bruikbare toepassingen resulteert.
De grootste trend is misschien het aantal bedrijven dat zich nu focust op het genereren
van een return on investment, door gebruik te maken van al deze investeringen. Zij zijn
de pioniers. Als het hen niet lukt om big data als een hefboom te kunnen gebruiken, dan
wordt big data een grote kostenpost.
Wat is de rol van het topmanagement?
De manier waarop het topmanagement omgaat met big data ligt aan de basis van
succesvolle bedrijfsstrategieën. De vraag impliceert het binnenbrengen van wetenschap
om de kunde en de kennis van de bedrijfswereld te vergroten. Op die manier moet big
data deel uitmaken van de focus van het topmanagement en van de manier waarop die
de business optimaliseert.
5
EY GOES SOCIAL
JOIN THE
CONVERSATION
Follow us
twitter.com/EY_Belgium
EY Belgium Careers
© 2014 EYGM Limited. All Rights Reserved.
EY Belgium
Partner Belgian
Olympic Team
BIJLAGE i.s.m. EY
7
BIG DATA: AUDIT
B E T ER EN GE R IC HTE R AUDI TE RE N ME T DATA-AN ALYSE E N PROC E SAN ALYSE ALS H EF B O ME N
Audit 2.0
Bedrijven genereren massale hoeveelheden data, daar kan niemand
onderuit. De klassieke audit-aanpak voldoet daarbij niet meer. Gelukkig
zijn er auditoren die data- en procesanalyse als hefboom gebruiken om
het auditproces aan te passen aan de nieuwe zakenrealiteit.
uditors als EY ontwikkelen technieken en
tools om plausibele relaties te onderzoeken tussen financiële en operationele data.
Op die manier ondersteunen ze hun auditprocedures. Big data inzetten en de kruisbestuiving tussen operationele en financiële data in het auditproces heeft vier grote voordelen:
A
1. Het vergroot uw inzicht in de operaties en de
risico’s waarmee uw onderneming geconfronteerd wordt.
2. Het brengt onderliggende trends aan het licht.
Van data tot beslissing
DATA
SELECTIE EN PROCESSING
GESTRUCTUREERDE INFORMATIE
3. Het maakt het mogelijk om Key Performance
Indicators te verifiëren en die te vergelijken met
KPI’s van gelijkaardige ondernemingen.
4. Het identificeert ongebruikelijke trends en
transacties.
DATAMINING
“De feedback die we van onze auditklanten kregen
over deze innovatieve aanpak is zo overweldigend
positief dat we er een van onze voornaamste prioriteiten van gemaakt hebben”, vertelt Kurt
Vermeire, senior manager EY Assurance. “Binnen
EY hebben we een toegewijd team dat volop aan
het werk is om onze suite van data-analysetools
uit te breiden om bijkomende aspecten van onze
auditdiensten af te dekken. We blijven onze auditaanpak vernieuwen, om zeker te zijn dat onze
teams altijd werken met spitstechnologie en vooruitstrevende technieken.”
PATRONEN EN TRENDS
EVALUATIE EN INTERPRETATIE
KENNIS
‘Door
procesmining
zijn we in staat
te zien of de
processen
functioneren
zoals gewenst.’
Jan Smolders, director
EY Advisory
looptijden kunnen we opsporen,
visualiseren en eventueel onderzoeken.”
Toegevoegde waarde
De beschreven technieken van
data- en procesanalyse maken het
mogelijk een audit uit te voeren
die verder gaat dan de traditionele
aanpak. Er wordt volop rekening
gehouden met de groeiende rol
van IT-systemen en big data. Het
resultaat? Meer relevantie, zekerheid en kwaliteit voor de klant.
Dankzij data-analyse- en procesanalysetechnieken kunnen auditoren grote volumes transacties op
een meer frequente – doorheen
het jaar – basis analyseren en hoeven evaluaties niet meer gebaseerd
te zijn op steekproeven tijdens de
eindejaarsaudit.
De nieuwe aanpak resulteert in
een verbeterde risico-identificatie
en in het efficiëntere vergaren van
meer betrouwbare auditinformatie. Bovendien spoort het zwakheden in interne controlemechanismes op en identificeert men opportuniteiten voor verbetering. De
slotsom voor de klant is een voelbaar grotere toegevoegde waarde
van de audit.
Procesanalyse
Naast data-analyse, dat louter om cijfers draait, is
ook de geautomatiseerde analyse van processen
een essentieel onderdeel van de nieuwe audit.
Jan Smolders, director EY Advisory: “Door ‘procesmining’ zijn we in staat te zien of de processen
functioneren zoals gewenst. We kunnen bijvoorbeeld de exacte doorlooptijd van alle processen
bepalen. Op die manier sporen we afwijkingen in
de opeenvolging van processtappen op, zoals
bijvoorbeeld een levering voorafgaand aan een
aankooporder. Ook extreem lange of korte door-
BESLISSING
Jan Smolders
director EY Advisory
Certified Information Systems Auditor
expertise: IT governance, IT & business risk and assurance
[email protected] - 03 270 13 72
Kurt Vermeire
senior manager EY Assurance
Audit learning coördinator EY Belgium
expertise: externe audit en implementation & enablement audit tools
[email protected] - 02 774 64 27
8
BIG DATA: OPPORTUNITEITEN EN RISICO’S
BIJLAGE i.s.m. EY
RISICO’S EN OPPORTUNITEITEN IN DE INTELLIGENTE ONDERNEMING
Van bricks tot bits
© Shutterstock
Sinds de digitale revolutie laat bijna alles wat er in een onderneming gebeurt, een
gigantische hoeveelheid data na. Communicatie verloopt vooral digitaal, documenten worden alleen uitzonderlijk in papieren vorm bijgehouden, machines worden
elektronisch aangestuurd en transacties van allerlei aard worden door computers
verwerkt en in databases gestockeerd. Deze omschakeling van bricks naar bits gaat
gepaard met belangrijke opportuniteiten, maar evenzeer met grote risico’s.
Wat zijn de opportuniteiten?
• Meer data leidt tot een beter inzicht in de
bedrijfsprocessen. De betrouwbaarheid van uw
data vormt een waardevolle aanvulling op het
buikgevoel waarmee grote beslissingen vaak
genomen worden.
• Real-time verwerking van grote hoeveelheden
data zorgt voor een snellere en meer accurate
informatievoorziening. Bovendien kunt u datagenererende processen voortdurend monitoren, waardoor afwijkingen zeer snel opgespoord en bijgestuurd kunnen worden. Levensnoodzakelijk, want correctere informatie staat
garant voor betere beslissingen.
• Meer en meer data zijn publiek beschikbaar.
Die kunnen een waardevolle bron zijn voor bijvoorbeeld benchmarkingoefeningen. Kritisch
naar jezelf kijken en jezelf durven te vergelijken met concurrenten, is een belangrijke voorwaarde om marktopportuniteiten snel te herkennen.
• Bepaalde residuele data – data die individuen
of bedrijven onbedoeld achterlaten – kunnen
op het eerste zicht puur afval lijken. Maar zo’n
De kloof tussen
de intelligente
ondernemingen
en de andere
wordt in
sneltreinvaart
groter.
dataspoor kan toch heel nuttige
informatie bevatten voor uw
onderneming. Denk bijvoorbeeld aan geolocatie gekoppeld
aan informatie over productvoorkeuren van potentiële klanten die u op sociale media kunt
vinden.
• Grotere hoeveelheden data hebben, maakt de verstoring door
enige vervuiling of verlies niet
zo dramatisch als vroeger – op
voorwaarde dat de data van
hoge kwaliteit zijn. Hier geldt
de wet van de grote getallen.
• De intelligentie van uw onderneming valt of staat met de accuratesse en de snelheid waarmee met digitalisering wordt
omgegaan, en met de correcte
interpretatie van de resulterende gigantische hoeveelheden
data.
Toekomst voorspellen met datatechnologie
De alsmaar groeiende hoeveelheid data creëert uitdagingen voor bedrijven. Anderzijds biedt het ook
gigantische opportuniteiten. We overlopen drie
vooraanstaande trends in datatechnologie.
Trend 1. Omgaan met big data
In veel organisaties groeit de hoeveelheid data exponentieel. In het jargon heeft men het ook wel over
big data. Meer en meer gegevensverzamelingen zijn
namelijk niet meer te hanteren met de gangbare
hard- of software. Onder hanteren van data verstaan
we onder meer het opslaan, raadplegen en gebruiken van data. Alle data bewaren, vergt intussen voor
vele organisaties flink wat opslagcapaciteit.
Daarnaast gaat het bij de big data trend ook over het
verwerken, analyseren en (grafisch) weergeven van
data. Ook hiervoor is vaak aangepaste hard- of
software nodig. Tegenwoordig willen organisaties bijvoorbeeld vaak een realtime analyse loslaten op binnenkomende data. Denk bijvoorbeeld aan een internetwinkel die in realtime probeert te voorspellen hoe
klanten reageren op nieuwe producten en diensten.
Trend 2. Ontginnen & voorspellen
Het proces van het ontginnen van data tot informatie
wordt ook wel datamining genoemd. Grote organisaties, zoals banken en overheden, die aan datamining
doen, beschikken vaak over een data warehouse (letterlijk: gegevenspakhuis). Dat is een grote databank
waarin de gegevens samen komen uit allerlei processen, procedures en andere databanken van de organisatie en zelfs daarbuiten.
Op zo’n data warehouse wordt datamining losgelaten. Datamining is vaak een onderdeel van Business
9
BIG DATA: OPPORTUNITEITEN EN RISICO’S
BIJLAGE i.s.m. EY
Wat zijn de risico’s?
Gebrekkige
datagovernance
leidt snel tot
minder
accurate
beslissingen.
© Shutterstock
Intelligence (BI). Met BI zijn organisaties in staat uit
zo’n data warehouse informatie te filteren om hun
onderneming bij te sturen en belangrijke beslissingen
te nemen.
Datamining en BI bestaan al enkele jaren. De grote
trend is echter dat ondernemingen meer en meer
data(mining) gebruiken om de toekomst te voorspellen: data analytics. Waardoor er zelfs geen sprake
meer is van BI. Om het met autorijden te vergelijken:
bij BI kijken we in de achteruitkijkspiegel. Data analytics kijkt door de voorruit en kan voorspellende scenario’s doorrekenen.
• Door de snelheid waarmee technologie evolueert en de groeiende hoeveelheid opportuniteiten die daarmee gepaard gaan, moeten beslissingen steeds sneller genomen worden. Onvoorbereid in dure projecten stappen zonder duidelijke
return on investment (ROI), kan handenvol geld
kosten.
• De grote hoeveelheden data die een bedrijf genereert, resulteren in een ongewenst spoor van
residuele data. Als hier gevoelige informatie tussen zit, dan is controle van datalekkage een van
de cruciale zaken waarin u meteen moet investeren. Voor u het weet, liggen belangrijke gegevens voor uw concurrenten te grabbel.
• Vervuilde gegevens en een gebrekkige datagovernance leiden snel tot beslissingen die gebaseerd worden op minder accurate of zelfs
incorrecte gegevens. Achteraf nog uitvissen
waar de vervuiling juist vandaan komt, is haast
onmogelijk. Trek daarom voldoende middelen
uit voor een correcte datagovernance.
• Een onderneming is méér dan data alleen. Met
gegevens kan uiteindelijk élke beslissing gerechtvaardigd worden, als u er maar creatief genoeg mee omspringt. De slimme onderneming
durft op gezette tijdstippen stil te staan, terug te
kijken en zichzelf ter discussie te stellen.
• Gegevens buiten de eigen onderneming zijn
vaak nuttig om te benchmarken. Maar zonder
een duidelijk beeld over de meta-informatie van
deze gegevens (herkomst, versie, accuraatheid,
…) heeft dit weinig tot geen toegevoegde waarde
en blijft de hele oefening nutteloos.
• Irrationele angst over het uit handen geven van
de eigen gegevens kan tot gemiste kansen leiden.
Ondernemingen zijn vaak weigerachtig om hun
data buitenshuis op te slaan, zeker wanneer het
over alledaagse applicaties gaat. Nochtans vertrouwen we vaak gevoelige e-mails zonder verpinken toe aan externe serviceproviders. Uit onderzoek blijkt dat de meeste clouddiensten beter
beveiligd zijn en een meer betrouwbare disaster-
Trend 3. Mobiele toestellen
Steeds meer worden BI en data analytics naar een
mobiel toestel gebracht, zoals een tablet of smartphone. Want beslissingen worden vandaag niet langer alleen genomen in directiekamers, maar ook
steeds vaker onderweg, zoals op vergaderingen bij
klanten of in lounges van luchthavens. Sommige
ondernemingen rusten hun ‘board members’ bijvoorbeeld uit met een iPad. Hierop krijgen zij de
nodige grafieken en analyses rond onder andere
winstgevendheid, cash flow en prestatie-indicatoren.
recovery bieden dan bedrijven in
eigen huis kunnen bieden. Laat
deze mogelijkheden tot kostenbesparing en efficiëntiewinst
niet aan u voorbijgaan. Bij rampen zal het u een veel snellere disaster-recovery opleveren… en
een betere nachtrust.
• De wettelijke bepalingen omtrent data verschillen nog altijd
van land tot land, terwijl de herkomst van data vaak niet eenduidig bepaald kan worden. Daarom
is het zeer moeilijk om te weten
met welke acties u binnen welke
wettelijke kaders valt en waar u
risico op grote geschillen loopt.
Tezelfdertijd zet dit evenzeer de
deur op een kier voor malafide
personen die grote schade kunnen aanrichten zonder zich aan
vervolging bloot te stellen.
De intelligente onderneming vindt
de juiste balans tussen de selectie
van overduidelijke en minder duidelijke opportuniteiten. Dat gaat
idealiter gepaard met het onderkennen en beperken van de risico’s
die evenzeer grote kostenposten
kunnen worden. Alleen als u vandaag al voldoende aandacht hebt
voor beide aspecten, kunt u ook
morgen nog bij de winnaars horen.
Ingmar Christiaens
vennoot EY Advisory
expertise: big data, analytics,
performance management &
business intelligence
[email protected]
02 774 92 19
Anderzijds wordt er ook veel nadruk gelegd op
het visualiseren van data op taart- en staafdiagrammen, zogenaamde ‘heat maps’ en andere
presentatievormen. De evolutie in computertechnologie helpt ook een handje. Technieken zoals ‘in
memory’ maken het mogelijk om data onmiddellijk op te slaan in het interne geheugen van een
(mobiel) toestel. Want eens de data in het
geheugen zijn ‘ingebracht’, kan de gebruiker er
alle dimensies van onderzoeken, en dit met heel
snelle responstijden.
and globally consistent
name. From now on we
are EY the world over.
ey.com/be
© 2014 EYGM Limited. All Rights Reserved.
A global brand needs
11
BIG DATA: AUDIT
BIJLAGE i.s.m. EY
E L E KT R ONISC H E TAX AUD ITS IN BE LG IË
Wees klaar voor de fiscus
De Belgische fiscus vraagt steeds vaker bij de belastingplichtige gegevens op in
elektronisch formaat en gaat dan graven in het ERP-systeem of boekhoudpakket.
Waar kunt u zich aan verwachten? En vooral: hoe bereidt u zich het best voor?
e fiscus wil niet alleen maar de gebruikelijke fiscale informatie via elektronische
weg krijgen. Zijn doel ligt verder: hij wil
op zoek naar data over financiële transacties
zoals die in uw IT-systemen beschikbaar zijn. In
vrijwel elk ERP-systeem of boekhoudpakket zit
een enorme schat aan data waarmee de fiscus kan
nagaan of de belastingplichtige zich aan zijn
fiscale verplichtingen houdt. Zo vindt men in de
meeste ERP-systemen eenvoudig een aantal
tabellen terug, waarin de financiële data opgeslagen zijn die fiscaal relevant zijn, denk aan
boekingsstukken, zogenoemde ‘master’- en
klanten-data, betalingsdata, enz.
Een klassieke controle is een papieren aangelegenheid, die zowel in tijd als in omvang beperkt is. Een
audit van elektronische data kan een meeromvattend en dieper inzicht bieden in de transacties van
een onderneming. En dan kunt u maar beter goed
voorbereid zijn.
fiscus. De rechtbank kan een zogenoemde ‘fishing expedition’ of
niet-specifieke zoektocht als
machtsafwending kwalificeren,
met de nietigheid van het onderzoek tot gevolg.
D
Als belastingplichtige moet u voorbereid zijn. Zorg voor een interne
procedure die in werking treedt als
de fiscus onaangekondigd bepaalde
data wil kopiëren. Ook bent u maar
beter voorbereid op diepgaande
vragen van de fiscus. Richt uw
ERP-systeem of boekhoudpakket
zo in, dat u de fiscus de juiste informatie op een controleerbare manier kunt verstrekken. Dit kan u
voor bijzonder lastige vraagstuk-
k
Aangespoord door het internationale klimaat
waarin overheden willen inzetten op fraude- en
misbruikbestrijding, is het logisch dat ook België
zich meer wil focussen op de elektronische dataanalyse.
België is niet echt een voorloper. In vergelijking
met Duitsland bijvoorbeeld, hinken we achterop.
Al sinds 2002 geldt daar dat elke fiscale ambtenaar
verplicht is om de audit op een elektronische manier te organiseren. Gevolg? De Duitse fiscus kocht
zo’n 14.000 licenties van IDEA, een bekend softwarepakket voor data-analyse. Met deze software
kun je bijvoorbeeld data die uit het ERP-systeem
gehaald worden, op een leesbare manier schikken
en er vervolgens analytische tests op uitvoeren.
Maar de Belgische fiscus beent snel bij. Fiscale
ambtenaren krijgen een IT-opleiding en de controlecentra hebben doelstellingen om een bepaald
percentage van de audits op elektronische manier
te verrichten. Het type belasting speelt daarbij
geen rol. Zodra de data door de specialisten leesbaar zijn gemaakt, kunnen ze worden gebruikt
voor btw, vennootschapsbelasting en transfer
pricing. Het is zelfs mogelijk om allerhande nietgestructureerde data, zoals e-mails, in het onderzoek te betrekken.
Uiteraard zijn er juridische beperkingen voor de
De belastingplichtige
© Shutterstoc
België
Audits van
elektronische
data worden
steeds
belangrijker
voor de
Belgische
fiscus.
ken plaatsen. Denk maar aan een
shared-service center in Roemenië
waar alle data worden bewaard, of
werknemers die hun eigen tablet
gebruiken waarop vertrouwelijke
gegevens van het bedrijf staan.
Een complementaire maatregel is
de organisatie van zelf-audits. Dat
kan via de mogelijkheden van uw
eigen ERP-systeem of boekhoudpakket of via gespecialiseerde software zoals IDEA. Maar ook dat is
geen sinecure. Vaak weet u wel dat
de data ergens in de onderneming
aanwezig zijn, maar zitten ze verspreid over verschillende oude en
nieuwe systemen, in verschillende
modules en tabellen. Er is geen
standaardoplossing. Maar er zijn
wel externe partners die u graag de
weg wijzen.
EY bouwt zijn expertise in elektronische
taxaudits gestaag uit.
Wij helpen u graag verder met uw vragen
en probleemstellingen. U vindt een
overzicht van onze tax seminaries op
www.ey.com/be/seminars
Jan Van Moorsel
vennoot EY Tax Consultants
expertise: indirect tax & btw
[email protected]
linkedin.com/janvanmoorsel
02 774 93 77
12
BIG DATA: FRAUDEBESTRIJDING
BIJLAGE i.s.m. EY
© Shutterstock
DE FORE NSISC HE AUDIT
Tips en tools voor
intelligente fraudebestrijding
Onderzoek toont dat het risico op fraude aanzienlijk verhoogt in
crisistijd. Geen wonder dat steeds meer fraudegevallen in de
bedrijfswereld aan het licht komen. Hoe gaat u met dat risico om
in uw onderneming? Welke technische tools gebruiken uw concurrenten nu al? Wat zijn de wettelijke valkuilen?
p alle mogelijke niveaus zetten overheden
belangrijke middelen in voor fraudebestrijding. Er wordt zelfs een belangrijke budgettaire bijdrage verwacht van de strijd tegen fraude. Zo staat er een Europees Parket in de steigers
voor de bestrijding van fraude met EU-geld. In België is datamining bij de Bijzondere Belasting Inspectie een van de paradepaardjes.
Toch kan het anders. Een degelijk fraudeonderzoek
O
levert vandaag terabytes data op: de
volledige boekhouding, betalingsinformatie, mailbestanden, allerhande
files, harde schijven, dossiers, informatie over internetgebruik… Een
goede verwerking van die massa gegevens is mogelijk dankzij verfijnde
data-analysesoftware die ongebruikelijke transacties en trends detec-
teert in financiële en andere vertrouwelijke informatie.
Het bedrijfsleven moet dringend
een tandje bijsteken. Internationale
peilingen geven aan dat ondernemingen tot 5 procent van hun omzet
verloren kunnen zien gaan door
fraude. Door de snelle groei van big
data wordt veel geïnvesteerd in digi-
BIJLAGE i.s.m. EY
talisering en opslag, maar op het gebied van intelligente fraudedetectie staat men vaak nog nergens.
Van fraude zegt men dat het zoeken is naar een naald
in een hooiberg. De hooiberg wordt alsmaar groter
en het einde is nog niet in zicht. Tussen hier en 2020
wordt verwacht dat de omvang van het digitale universum om de 2 jaren zal verdubbelen. Op het eerste
gezicht zal het dus alsmaar moeilijker worden om de
fraudenaald in de datahooiberg te vinden. Echter
niets is minder waar want de nieuwe generatie aan
fraude management softwares laten toe om kleine
naalden in gigantische hooibergen terug te vinden.
De technische mogelijkheden bestaan dan ook om
een meerderheid van de recent aan het licht gekomen fraudes te voorkomen.
Ondernemingen
kunnen tot
5 procent van
hun omzet
verloren zien
gaan door
fraude.
De wetgever en digitale
fraudebestrijding
Een correcte forensische audit kan transparantie
creëren bij vermoedens van opzettelijke onregelmatigheden. De normen stellen daarbij strikte voorwaarden. Ze eisen een onderzoek ten ontlaste en ten
laste, waarbij het recht op tegensprekelijkheid centraal staat. De klant die zo'n audit laat uitvoeren, is
bovendien verplicht het recht van toegang tot alle
benodigde bedrijfsinformatie te onderschrijven.
Niet om het even wie mag zo’n onderzoek voeren. Er
ligt een wetsontwerp op private opsporingen klaar,
dat een vergunning als private onderzoeker verplicht
voor alle datamanipulaties in het kader van persoonsgerichte onderzoeken die aanleiding kunnen
geven tot geschillen tussen personen. Er is ook
sprake van een onmiddellijke meldingsplicht van de
vermoedelijke onregelmatigheden aan het parket.
Bovendien wordt het rechtbanken verboden om bewijzen te aanvaarden die aangereikt worden door
niet-erkende personen.
Niet om het even wie mag adviezen verlenen. Niet
alleen personen die advies rond fraudepreventie verlenen zonder vergunning als veiligheidsadviseur,
maar ook de ondernemingen die dergelijk advies
aanvaarden van niet-vergunde externe personen,
riskeren boetes. Informeer u dus grondig over de
betrouwbaarheid van uw adviseurs.
Vermoedt u fraude bij uw eigen personeel? Dan moet
u een stringente timing volgen. Een ontslag wegens
fraudefeiten moet zoals elk ontslag om dringende
reden worden ingeleid binnen drie dagen na de
communicatie van de feiten aan de bedrijfsleiding.
Zolang het slechts gaat om vermoedens, kunnen de
data onderzocht worden gedurende een normale onderzoeksperiode, afhankelijk van de complexiteit
van het onderzoek. Meestal is de publicatiedatum
van het auditrapport het vertrekpunt voor die drie
dagen.
Ook de Wet op de Elektronische Communicatie en
de verschillende interpretaties van de privacyregels
leiden in de praktijk tot een aantal onzekerheden.
Volgens de Privacycommissie mag de werkgever in
de gezagsrelatie tussen beide partijen elektronische
communicatie van de werknemer verwerken als hij
de Privacywet naleeft. Daarbij moet het onderzoek
een concreet doel voor ogen hebben, moeten de toegepaste middelen proportioneel zijn, moet de be-
13
BIG DATA: FRAUDEBESTRIJDING
trokken werknemer op de hoogte
zijn van mogelijke controles en moet
er aangifte gedaan worden bij de
Privacycommissie. Het is dan ook
raadzaam om het controlebeleid
duidelijk neer te schrijven in een policy.
Sinds 2009 moet het Auditcomité
jaarlijks een monitoring van de doeltreffendheid van de interne controle- en risicobeheerssystemen uitvoeren. Daar horen de risico’s met
betrekking tot fraude bij en de
opvolging van de naleving van wetgeving en reglementen. Zo dient het
auditcomité onder meer een billijke
regeling voor klokkenluiders te
garanderen.
Vraag tijdig hulp
Besluit? Denk ernstig na over data
en fraude, nog voor er zich een probleem voordoet. Gaat u na de feiten
in het wilde weg datamanipulaties
plegen, dan is het risico reëel dat
bewijskrachtige elementen niet
mogen worden meegenomen in het
onderzoek. Juridisch en technisch
advies zijn geen overbodige luxe.
Het wettelijke kader voor dergelijke
onderzoeken is erg complex, en
gespecialiseerde externe partijen
zijn vaak het best op de hoogte van
de nieuwste generatie antifraudesoftware.
Frank Staelens
vennoot EY Assurance
EY Business Analytics & Intelligence Office - Fraud Investigation & Dispute Service Voorzitter Instituut van Forensische Auditoren
[email protected] - 02 774 64 63
Studie: Global Fraud Survey
De laatste editie van de EY Global Fraud Survey toont dat de toegenomen druk om
groei en winst te realiseren, aanleiding kan geven tot verhoogde frauderisico’s. We
lichten de sleutelconclusies toe uit meer dan 1750 interviews – waaronder 400 met
CFO's – die afgenomen werden in 43 landen:
1.
Nieuwe markten betreden vergt
niet alleen een goede commerciële
studie. Ook een goede risicoanalyse, grondige studie van de
lokale regelgeving en een bedachtzame keuze van lokale partners zijn
onontbeerlijk.
5. 39% van de respondenten is van
mening dat omkoping en corruptie
courante praktijken zijn in hun land.
6. De programma's om risico's te
beheren blijken weinig effectief
te werken. Nieuwe softwaretechnieken en publiek toegankelijke
databronnen worden nog te zelden
ingezet voor een efficiënte risicomonitoring.
2. Due diligence audits rond fraude en
corruptierisico’s worden slechts in
minder dan de helft van de fusies
en overnames uitgevoerd.
3. De internationale reikwijdte van
corruptieregels en de gedeelde
verantwoordelijkheid voor bepaalde
acties van zakenpartners zijn nog
onvoldoende gekend.
4. Slechts de helft van de geïnterviewde personen laat een onderzoek uitvoeren naar zakenpartners
alvorens er mee in zee te gaan. De
praktijk toont nochtans dat negatieve informatie dikwijls voor het
grijpen ligt.
7.
Raden van Bestuur zijn nog steeds
slechts zeer beperkt betrokken bij
fraude-risico assessments. Nochtans stijgen de verwachtingen van
belanghebbenden en wordt ook de
regelgeving – onder meer via
corporate governance codes –
steeds veeleisender.
8. 52% van de respondenten meent
dat Raden van Bestuur een beter
begrip van de business nodig hebben om hun organisaties op een
effectieve manier te behoeden voor
frauderisico’s.
14
BIG DATA: CYBERCRIMINALITEIT
BIJLAGE i.s.m. EY
B E LG IAN C YB ER S ECU RITY GUIDE
Beveilig uw bits en bytes
Is uw onderneming klaar voor de volgende cyberaanval? U vindt het antwoordt in de
‘Belgian Cyber Security Guide’, een initiatief van het VBO, in samenwerking met EY en
Microsoft. De gids biedt tien sleutelprincipes en tien must-do veiligheidsacties, die we
hier voor u op een rijtje zetten. Maak er goed gebruik van, want jaarlijks worden een
miljoen Belgische computers blootgesteld aan cybercriminaliteit, virussen of malware.
ata vormen een belangrijke en waardevolle
asset. Elke onderneming die met data werkt,
wordt vroeg of laat geconfronteerd met
veiligheidsincidenten. Bij cyberaanvallen is de vraag
niet of, maar wanneer. De talloze incidenten waarover de media berichten, zijn slechts het topje van
een ijsberg. In de meeste gevallen zijn we ons niet
eens bewust van die dreigingen. Slechts zelden reageren we op een adequate manier.
D
Groeiende risico’s
Beweren dat de
bescherming
van bedrijfsgegevens ieders
verantwoordelijkheid is,
volstaat niet.
Uit EY’s recente Global Information Security Survey
blijkt duidelijk dat veiligheidsincidenten toenemen.
Belangrijkste factoren zijn een doorgedreven
onlineaanwezigheid, een breder gebruik van sociale
media, de massa-adoptie van mobiele toestellen, het
groeiend gebruik van clouddiensten en het verzamelen en analyseren van big data.
Het informatieveiligheidsrisico kan gezien worden
als een vermenigvuldiging van drie factoren: assets,
zwakke plekken en dreigingen. Om het in één formule samen te vatten: “Assets worden blootgesteld
aan kwetsbaarheden die aan bedreigingen blootgesteld kunnen worden.”
Andy Deprez
1. Assets
Informatie en informatiesystemen zijn waardevolle assets. We
beschikken over meer data dan
ooit tevoren en zijn afhankelijk
van het correcte en veilige functioneren van de systemen die deze
data opslaan en verwerken.
2. Kwetsbaarheden
Ondernemingen worden overspoeld door een stortvloed aan
nieuwe tools en technologie zoals cloud, sociale media en mobiele toepassingen. Deze evolutie zal zich voortzetten en onze
afhankelijkheid van hun vlekkeloze functioneren zal evenredig
toenemen. Dat brengt een heel
aantal nieuwe zwakke plekken
mee.
3. Dreigingen
Tegelijkertijd neemt het aantal
cyberdreigingen met rasse schreden toe. De dreigingen worden
bovendien steeds verfijnder en
effectiever.
© Emy Elleboog
Bewustzijn
Veel ondernemingen beschermen
hun fysieke goederen – fabriek,
machinepark, personeel – zorgvuldig, maar laten het afweten als ze
hun informatie moeten beveiligen.
Toch vormen net kennis en data
vaak de meest waardevolle assets
van een onderneming. Diefstal,
verlies, misbruik of ongeoorloofde
wijziging of publicatie van bedrijfsinformatie kan rampzalige gevolgen hebben, financieel of voor uw
reputatie.
Als het om persoonsgebonden gegevens gaat, bevat de wet strafmaatre-
gelen. Bovendien staat de EU Data
Protection Regulation in de steigers.
Die verplicht ondernemingen een
omvangrijke schadevergoeding te
betalen aan personen van wie de gegevens geschonden worden.
Het bewustzijn rond het belang van
informatieveiligheid is de laatste
jaren gelukkig gegroeid. Initiatieven werden vooral genomen op het
niveau van regeringen en instellingen. Ook grote internationale ondernemingen implementeerden
een aantal veiligheidsinitiatieven.
Helaas worden die zelden gesponsord door het topmanagement. Bij
kmo’s ligt het thema nog minder
vaak op tafel, terwijl kleine en middelgrote bedrijven toch evenveel
gevaar lopen.
Bedrijfsleiders hoeven geen veiligheidsexpert te zijn. Maar ze hebben
wel de plicht om de assets van hun
bedrijf te beschermen. Ze moeten
erop toezien dat die verantwoordelijkheid correct gedelegeerd wordt
naar hun managementteams en
naar externe experts. Die moeten er
op hun beurt voor zorgen dat cybersecurity een regelmatige topic blijft
voor het directiecomité en dat de
nodige actie ondernomen wordt om
de informatie te beschermen. De
focus moet daarbij liggen op drie
veiligheidsdoelstellingen, die gerelateerd zijn met volgende vragen:
Confidentialiteit: Wie ziet de data?
Integriteit: Is de data betrouwbaar?
Toegankelijkheid: Is de data beschikbaar wanneer nodig?
Andy Deprez
vennoot EY Advisory
expertise: IT & information security
[email protected]
02 774 62 47
twitter @AndyDeprez
TIJ D VOOR AC TIE :
BELGI AN CY BE R SEC URITY GUIDE
Beweren dat de bescherming van bedrijfsgegevens ieders
verantwoordelijkheid is, volstaat niet. Voor deugdelijk bestuur
van informatiebeveiliging is een geïntegreerde aanpak
broodnodig.
• Visie: Creëer een bedrijfsvisie en basisprincipes en vertaal
die in een informatiebeveiligingsbeleid.
• Beleid: Veranker dit beleid in de organisatie en in de
processen door duidelijke rollen en verantwoordelijkheden
te definiëren.
• Cultuur: Creëer de juiste cultuur door goede informatiebeveiligingsprincipes te implementeren.
Natuurlijk zal geen enkele onderneming ooit honderd procent
veilig zijn. Dat neemt niet weg dat we naar die honderd procent moeten streven. De onderstaande 20 tips van de Cyber
Security Gids kunnen uw onderneming helpen om de weg
te vinden naar een zo duurzaam mogelijke informatieveiligheid.
© Lieven Van Assche
Gratis te downloaden via
www.ey.com/be/cyberguide
15
BIG DATA: CYBERCRIMINALITEIT
‘Elke ondernemer of manager weet
dat kennis, technologie en processen
hun bedrijf sterk of zelfs uniek
maken, en net daarom ook
kwetsbaar. Die waardevolle
assets moeten beschermd
worden door deugdelijk
bestuur op het vlak
van informatiebeveiliging.’
Rudi Thomaes, secretaris-generaal
van ICC Belgium
10 sleutelprincipes
10 ‘must do’ veiligheidsacties
1. Kijk verder dan de technologie.
2. Compliance volstaat niet.
3. Vertaal uw veiligheidsdoelstellingen naar een veiligheidsbeleid.
4. Verzeker de toewijding van het topmanagement.
5. Creëer een zichtbare veiligheidsrol in uw bedrijf en
veranker individuele verantwoordelijkheden.
6. Blijf veilig wanneer u uitbesteedt.
7. Verzeker dat veiligheid een motor is voor innovatie.
8. Blijf uzelf uitdagen.
9. Behoud focus.
10. Wees voorbereid om incidenten aan te pakken.
1. Organiseer gebruikersopleidingen en bewustmakingsinitiatieven.
2. Hou systemen up-to-date.
3. Bescherm informatie.
4. Beveilig mobiele apparaten.
5. Geef alleen toegang tot informatie op basis van
‘need-to-know’.
6. Stel regels op om veilig op internet te surfen en pas
die ook toe.
7. Gebruik sterke wachtwoorden en hou ze veilig.
8. Maak en controleer back-ups van bedrijfsgegevens en
informatie.
9. Bestrijd virussen en andere malware vanuit verschillende invalshoeken.
10. Voorkom, detecteer en onderneem actie.
‘In één kwartaal heeft onze softwaretool in België
malware moeten verwijderen van 2,5 per 1000 gescande
computers. Maar liefst 13,3 procent van de computers
kwam in contact met malware, in totaal zo’n
930.000 toestellen. Cyber Security wordt duidelijk
nog altijd niet ernstig genoeg genomen.’
Philippe Rogge, CEO Microsoft België
© Lieven Van Assche
BIJLAGE i.s.m. EY
© 2014 EYGM Limited. All Rights Reserved.
EY viert de 26ste editie van de Inzicht bijlage met een
jubileum editie. Daarin brengen we u online een best
of van de laatste 25 edities.
Herbeleef hoe Belgische ondernemingen India
veroveren. En hoe Pierre Alain De Smedt helpt
bouwen aan een betere werkwereld. Weet u nog
waarom Lutgart Van den Berghe groei en governance
predikt? En vooral, herlees hoe onze EY professionals
al 25 edities lang hun expertise en inzicht delen
over de meest relevante topics voor uw business
omgeving.
Ontdek het op tijd.be/inzicht
Partner Belgian
Olympic Team