De nieuwe Corporate Governance Code maakt van informatietechnologie eindelijk een bestuursverantwoordelijkheid. Beursgenoteerde bedrijven moeten vanaf boekjaar 2023 in de risicoparagraaf van het jaarverslag uitleggen hoe ze zorgen dat de belangrijkste it-systemen soepel en veilig blijven draaien. Daarbij gaat het bijvoorbeeld om databeveiliging of voorzorgsmaatregelen tegen hackaanvallen of grote storingen in bedrijfskritische software. Voor niet-beursgenoteerde grote ondernemingen wordt dit geen plicht maar een dringend advies.
Deze verandering komt voort uit de derde herziening van de Corporate Governance Code, ook wel bekend als de Code-Tabaksblat, die vlak voor kerst uitkwam. De update weerspiegelt de trends op het gebied van duurzaamheid, continuïteit, digitalisering en informatieveiligheid. Deze uitbreiding van de bestuursverantwoordelijkheid is hard nodig, stelt de Online Trust Coalitie (OTC). De fase van bewustwording is voorbij. Het is nu tijd voor actie, vindt dit samenwerkingsverband van ruim twintig organisaties uit bedrijfsleven, wetenschap en overheid, dat zich inzet voor een betrouwbare cloud.
Forse boetes dreigen
Met name bij digitalisering en digitale bedrijfsvoering kunnen de risico’s van onvoldoende sturing zich al snel vertalen in de financiële resultaten en de continuïteit van organisaties. Onvoldoende regie op it en informatieveiligheid kan ertoe leiden dat een organisatie het slachtoffer wordt van bijvoorbeeld een ransomware-aanval, die miljoenen kan kosten. De OTC wijst op de risico’s van een gebrekkige grip op it. Ook het ontbreken van inzicht in de betrouwbaarheid van digitale toeleveranciers en clouddiensten kan de continuïteit in gevaar brengen. Er dreigen dan forse boetes van toezichthouders. Bovendien kan gebrekkige controle op digitalisering resulteren in verlies van de concurrentiepositie aan een digitale nieuwkomer.
De nieuwe code vraagt meer verantwoordelijkheid van betrokken bestuurders. Bestuurders hebben daartoe betrouwbare informatie nodig over de door de organisatie gebruikte it. Voor de financiële verantwoording zijn er de nodige instrumenten zoals de accountantsverklaring bij de jaarrekening. Voor de nieuwe domeinen die nu in de code worden genoemd, zijn de instrumenten nog volop in ontwikkeling. Dit geldt voor de normen, beoordelingen en bijbehorende verslagen.
Harmonisatie van instrumenten
De OTC streeft in dit verband naar harmonisatie van instrumenten die commissarissen en bestuurders in staat moeten stellen om hun verantwoordelijkheid te kunnen dragen. De OTC signaleert daarbij een andere belangrijke ontwikkeling: de lancering van de nieuwe it ‘in control’-verklaring, ontwikkeld door de Nederlandse Orde van IT Auditors (Norea). Norea reageerde al eerder op de nieuwe Corporate Governance Code. Die verklaring beoogt invulling te geven aan de behoefte aan zekerheid op het gebied van it en digitalisering voor de bestuurders die met de nieuwe code te maken krijgen.