Boete dreigt voor bestuurders die IT niet op orde hebben
Beursgenoteerde bedrijven moeten vanaf boekjaar 2023 verplicht in hun jaarverslag uitleggen hoe ze zorgen dat de belangrijkste IT-systemen soepel en veilig blijven draaien. Het gaat bijvoorbeeld om databeveiliging of voorzorgsmaatregelen tegen hackaanvallen of grote storingen in bedrijfskritische software. Voor niet-beursgenoteerde grote ondernemingen wordt dit geen plicht maar een advies, dat in de praktijk gevolgd wordt door de meeste bedrijven.
Deze verandering komt voort uit de derde herziening van de Corporate Governance Code, ook wel bekend als de Code-Tabaksblat, die vlak voor Kerst uitkwam. De update weerspiegelt de trends op het gebied van duurzaamheid, continuïteit, digitalisering en informatieveiligheid. Dit is een goede ontwikkeling, vindt de Online Trust Coalitie (OTC) – een samenwerkingsverband van ruim 20 organisaties uit bedrijfsleven, wetenschap en overheid – dat zich inzet voor een betrouwbare cloud. "De fase van bewustwording is voorbij, de tijd voor actie is gekomen", zegt Kees Verhoeven namens OTC.
”De update van de Governance Code is een grote stap voorwaarts, want hiermee komt in feite een einde aan de fase van bewustwording over het belang van goede governance van IT. Deze bewustwordingsfase was nodig om veilige IT in een rap digitaliserende wereld hoger op de agenda te krijgen maar leidde nog niet altijd tot de noodzakelijke verbeteringen van IT-processen. In het huidige digitale tijdperk is deze concrete vervolgstap in de corporate governance code dan ook van grote waarde. Vanaf nu moeten bestuurders ook verantwoording gaan afleggen”, zegt Kees Verhoeven, lid van het kernteam van de OTC.
Met name bij digitalisering en digitale bedrijfsvoering kunnen de risico's van onvoldoende sturing al snel gevolgen hebben, voor de financiële resultaten en de continuïteit van bedrijven. Onvoldoende regie op IT en informatieveiligheid kan ertoe leiden dat een organisatie het slachtoffer wordt van bijvoorbeeld een ransomware aanval, die miljoenen kan kosten. Te weinig grip op automatisering en het ontbreken van inzicht in de betrouwbaarheid van digitale toeleveranciers en cloudservices kunnen leiden tot continuïteitsrisico’s of forse boetes van toezichthouders. Bovendien kan gebrekkige controle op digitalisering resulteren in verlies van de concurrentiepositie aan een digitale nieuwkomer.
De nieuwe code vraagt meer verantwoordelijkheid van betrokken bestuurders. Bestuurders hebben daartoe betrouwbare informatie nodig over de door de organisatie gebruikte IT. Voor de financiële verantwoording zijn er de nodige instrumenten zoals de accountantsverklaring bij de jaarrekening. Voor de nieuwe domeinen die nu in de code worden genoemd, zijn de instrumenten -normen, beoordelingen en bijbehorende verslagen- nog volop in ontwikkeling.
De OTC streeft in dit verband naar harmonisatie van instrumenten die commissarissen en bestuurders in staat moeten stellen om hun verantwoordelijkheid te kunnen dragen. De OTC signaleert daarbij een andere belangrijke ontwikkeling: de lancering van de nieuwe IT “in control” verklaring, ontwikkeld door de Nederlandse Orde van IT Auditors (NOREA). Die verklaring beoogt invulling te geven aan de behoefte aan zekerheid op het gebied van IT en digitalisering voor de bestuurders die met de nieuwe code te maken krijgen.
OTC kernteamlid Michiel Steltman: “Het moet niet zo zijn dat ondernemers nu met allerlei nieuwe rapportageproblemen worden opgezadeld, of dat er verschillende oplossingen komen om te laten zien dat zaken goed geregeld zijn. Dat is een concrete zorg want er komt veel op ze af en er is al een oerwoud aan keurmerken en certificeringen. De markt zal dat dus producten en diensten moeten gaan bieden, voor die nieuwe verantwoordings- en rapportageverplichtingen, maar dan wel volgend het OTC “recept”, en liefst in de vorm van kant-en-klare oplossingen , standaarden, die echt iets zeggen over de mate van control in de organisatie, en waar bestuurders en commissarissen echt op kunnen vertrouwen.”