‘Herziene Code zorgt ervoor dat IT in bestuurskamers op agenda wordt gezet’

Dit zegt NOREA, de beroepsorganisatie van IT-auditors, in een reactie op de nieuwe Code. In de herziene Code is het toezicht op het bestuur ten aanzien van de toepassing van informatie- en communicatietechnologie van de vennootschap, als een verantwoordelijkheid van de auditcommissie aangemerkt. Aan de herziene Code is expliciet toegvoegd dat de auditcommissie zich bezig houdt met risico's op het gebied van cybersecurity.

Het formaliseren van dit toezicht wordt door de NOREA als een belangrijke eerste stap beschouwd. “IT is een belangrijke enabler voor innovatie en bedrijfsvoering. Innovatie en IT gaan hand in hand. De herziene Code zorgt ervoor dat IT in de bestuurskamers op de agenda wordt gezet – zo dat niet al het geval is. IT moet gewoon op orde zijn en dat is een verantwoordelijkheid van het bestuur,” aldus NOREA.

NOREA: “IT-Governance vergt aansturing vanuit de bestuurskamer. Dat dit voor veel organisaties nog nadere invulling behoeft is helder. De ‘IT-commissaris of -bestuurder' gaat er komen of is er in sommige gevallen al in de vorm van een Chief Information Officer (CIO) of een Chief Information Security Officer (CISO). Gedrag en cultuur moet er voor zorgen dat ze zich geen ‘roepende in de woestijn' voelen, zonder adequate support vanuit de bestuurslaag. Een digitale agenda, gebaseerd op visie en strategische uitgangspunten met betrekking tot business en IT is eveneens een belangrijke randvoorwaarde. Met name voor bedrijven en organisaties van openbaar belang, die dus onderdeel uitmaken van onze vitale infrastructuur, geldt dat het expliciet beleggen van de ICT verantwoordelijkheid bij een bestuursfunctionaris als ‘best practice' zou moeten gelden.”