Beursgenoteerde bedrijven moeten vanaf boekjaar 2023 verplicht in hun jaarverslag uitleggen hoe ze zorgen dat de belangrijkste IT-systemen soepel en veilig blijven draaien. Het gaat bijvoorbeeld om databeveiliging. Of om voorzorgsmaatregelen tegen hackaanvallen. En over grote storingen in bedrijfskritische software. Voor niet-beursgenoteerde grote ondernemingen wordt dit geen plicht maar een advies, De meeste bedrijven volgen dit.
Goede ontwikkeling
Deze veranderingen komt voort uit de derde herziening van de Corporate Governance Code. Die staat ook bekend als de Code-Tabaksblat. De update weerspiegelt de trends op het gebied van duurzaamheid, continuïteit, digitalisering en informatieveiligheid. Dit is een goede ontwikkeling, vindt de Online Trust Coalitie (OTC). Dit is een samenwerkingsverband van ruim 20 organisaties uit bedrijfsleven, wetenschap en overheid. OTC zet zich in voor een betrouwbare cloud.
Noodzakelijke verbeteringen
“De update van de Governance Code is een grote stap voorwaarts, want hiermee komt in feite een einde aan de fase van bewustwording over het belang van goede governance van IT,” zegt Kees Verhoeven, lid van het kernteam van de OTC. Deze bewustwordingsfase is volgens hem nodig om veilige IT in een rap digitaliserende wereld hoger op de agenda te krijgen. “Maar dit leidde nog niet altijd tot de noodzakelijke verbeteringen van IT-processen. In het huidige digitale tijdperk is deze concrete vervolgstap in de corporate governance code dan ook van grote waarde. Vanaf nu moeten bestuurders ook verantwoording gaan afleggen”, stelt Verhoeven.
Ransomware aanval
Met name bij digitalisering en digitale bedrijfsvoering kunnen de risico’s van onvoldoende sturing al snel gevolgen hebben. Dit voor de financiële resultaten. Maar ook voor de continuïteit van bedrijven. Onvoldoende regie op IT en informatieveiligheid kan ertoe leiden dat een organisatie het slachtoffer wordt van bijvoorbeeld een ransomware aanval. Dat kan miljoenen kosten.
Continuïteitsrisico’s
Te weinig grip op automatisering en het ontbreken van inzicht in de betrouwbaarheid van digitale toeleveranciers en cloudservices kunnen leiden tot continuïteitsrisico’s. Of tot forse boetes van toezichthouders. Bovendien kan gebrekkige controle op digitalisering resulteren in verlies van de concurrentiepositie aan een digitale nieuwkomer.
Verantwoordelijkheid bestuurders
De nieuwe code vraagt meer verantwoordelijkheid van betrokken bestuurders. Bestuurders hebben daartoe betrouwbare informatie nodig over de door de organisatie gebruikte IT. Voor de financiële verantwoording zijn er de nodige instrumenten. Denk aan de accountantsverklaring bij de jaarrekening. Voor de nieuwe domeinen die nu in de code worden genoemd, zijn de instrumenten -normen, beoordelingen en bijbehorende verslagen- nog volop in ontwikkeling.
De OTC streeft in dit verband naar harmonisatie van instrumenten die commissarissen en bestuurders in staat moeten stellen om hun verantwoordelijkheid te kunnen dragen. De OTC signaleert daarbij een andere belangrijke ontwikkeling. Namelijk de lancering van de nieuwe IT “in control” verklaring. De Nederlandse Orde van IT Auditors (NOREA) ontwikkelde die. Die verklaring beoogt invulling te geven aan de behoefte aan zekerheid op het gebied van IT en digitalisering voor de bestuurders die met de nieuwe code te maken krijgen.
Oerwoud aan keurmerken
OTC kernteamlid Michiel Steltman (foto): “Het moet niet zo zijn dat ondernemers nu met allerlei nieuwe rapportageproblemen worden opgezadeld, of dat er verschillende oplossingen komen om te laten zien dat zaken goed geregeld zijn. Dat is een concrete zorg want er komt veel op ze af en er is al een oerwoud aan keurmerken en certificeringen. De markt zal dat dus producten en diensten moeten gaan bieden, voor die nieuwe verantwoordings- en rapportageverplichtingen, maar dan wel volgend het OTC “recept”, en liefst in de vorm van kant-en-klare oplossingen , standaarden, die echt iets zeggen over de mate van control in de organisatie, en waar bestuurders en commissarissen echt op kunnen vertrouwen.”