Deel dit artikel:

1 nov 2023

|

Gezondheid

Verkrijgen commissarissen transparant inzicht in de digitale fitheid van de onderneming?

Digitale technologie is de backbone van vrijwel alles wat we doen. Onze afhankelijkheid van technologie en van veilige en betrouwbare software wordt steeds groter. Privacy en security zijn voorwaarden voor het online vertrouwen, economische groei en maatschappelijk welzijn. Veel organisaties kunnen geen dag meer zonder IT zonder in continuïteitsgevaar te komen. Risico’s zijn sterk veranderd en de gevolgen als het toch misgaat steeds complexer.

Vaak is IT-beheersing een sluitpost. Is dat zorgelijk? Ja. Is dat begrijpelijk? Eveneens ja”, zegt Irene Vettewinkel-Raymakers, voorzitter van NOREA, de beroepsorganisatie van alle geregistreerde IT-auditors in Nederland. “Want IT-beheersing is een complex en veelkoppig monster. Naar de cloud gaan klinkt heel aantrekkelijk, alleen moeten ondernemingen zich realiseren dat je bij uitbesteding je risico’s moet kennen en moet beheersen, want uiteindelijk blijf je zelf eindverantwoordelijk. Zo vraagt dit steeds meer om een geïntegreerde aanpak, omdat veel ketenpartijen moeten samenwerken.”

Marc Welters, vice-voorzitter van NOREA, legt uit dat met de publiek-private samenwerking in de Online Trust Coalitie, bijgedragen wordt aan het vergroten van de bewustwording van de uitdagingen waar afnemers en aanbieders van clouddiensten voor staan. “Omdat IT zo’n onmisbare rol speelt in onze samenleving, maakt NOREA zich hard voor het verbeteren van de digitale weerbaarheid van ons als maatschappij”.

Vettewinkel vervolgt dat “meer aandacht voor beheersing van IT-risico’s en verankering van IT-kennis aan de bestuurstafel hard nodig is.” De recente herziening van de Corporate Governance Code bevestigt dit. “Het begrip langetermijnwaardecreatie speelt daarin een grote rol, en is onlosmakelijk verbonden met (beheersing van) IT.”

Volgens Welters “zien veel directies door de bomen van toenemende Europese wet- en regelgeving, zoals EU Network and Information Security Directive (NIS2), Digital Service Act en Digital Operation Resilience Act (DORA), het bos niet meer. Deze voorbeelden laten zien dat er steeds meer verantwoording moet worden afgelegd over de maatregelen die getroffen zijn in het kader van de beheersing van IT en de kwaliteit van data.” Alleen hoe doe je dat?

Vettewinkel pleit voor vergroting van de transparantie richting stakeholders wat betreft de algehele digitale fitheid van de organisatie. “Dus niet alleen op het gebied van digitale (cyber) weerbaarheid maar ook over bijvoorbeeld innovatiekracht en de invulling van de ethische kant van haar informatietechnologie. IT-fitheid wordt beter als de samenhang van de delen in acht wordt genomen en men niet focust op één onderdeel.”

Voor organisaties is het geven van transparantie over IT een uitdaging. Zeker als er delen van de bedrijfsprocessen zich buiten het gezichtsveld van de eigen organisatie afspelen. Voor aanbieders van clouddiensten is het aantonen dat hun diensten betrouwbaar en veilig zijn noodzakelijk, immers afnemers moeten aantoonbaar ‘in control’ zijn. Welters benadrukt dat commissarissen meer vragen moeten stellen over deze digitale fitheid, zodat de juiste risicodialoog gevoerd wordt aan de bestuurstafels. 

Gesponsord