Risicobeheersing van kritieke IT systemen vanuit de bestuurskamer

Update van de Nederlandse Corporate Governance Code

Op 20 december 2022 is de geactualiseerde versie van de Nederlandse Corporate Governance Code, beter bekend als de Code Tabaksblatt, in werking getreden. Deze code is een richtsnoer voor het effectief besturen en beheersen van beursgenoteerde bedrijven. In de geactualiseerde versie worden nu expliciet risico’s in de informatie- en communicatietechnologie die verbonden zijn aan de strategie en de activiteiten van de vennootschap en de daaraan verbonden onderneming(en) genoemd als concrete zaken waarover het bestuur van een beursgenoteerd bedrijf moet rapporteren. Tot nu toe werd dit vaak aan het operationele of tactische niveau overgelaten dat direct met de ICT bezig is. Hieronder een aantal tips van IDC Metri om dit naar het strategische niveau van de bestuurskamer te trekken.

De Corporate Governance Code noemt concreet risico’s op het gebied van cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en risico’s verbonden aan nieuwe technologieën en veranderende businessmodellen, zoals op het gebied van ethisch verantwoorde toepassing van nieuwe technologieën (bijvoorbeeld Responsible AI).

Cybersecurity en dataprotectie zijn onderwerpen die vooral aandacht verdienen in de software die specifiek voor de vennootschap is ontwikkeld. Voor de standaard software die de vennootschap afneemt van commerciële partijen staan die partijen als eerste aan de lat om te zorgen dat de software en data veilig zijn. Voor de specifiek voor de vennootschap ontwikkelde software bent u zelf verantwoordelijk. IDC Metri kan u inzicht verschaffen in de risico’s die u loopt op het gebied van cybersecurity en dataprotectie. Zo weet u waar de vennootschap staat en kunt u gericht maatregelen nemen om uw veiligheidspositie te verbeteren.

Bij IDC Metri zien we dat steeds meer van onze klanten er voor kiezen om hun software naar de cloud te brengen, omdat het steeds complexer wordt om de eigen infrastructuur veilig te houden en te voorkomen dat data wordt gestolen of gegijzeld. Maar in hoeverre is uw software klaar voor de cloud? Ook daarin kunnen we u inzicht geven en u voorzien van een roadmap met kosteninschatting om uw software naar de cloud te brengen. Zo kunt u zich focussen op de zaken waarin de vennootschap zich kan onderscheiden en hoeft u geen investeringen te doen in het veilig houden van de ondersteunende infrastructuur.

Nu het tempo van verandering steeds hoger wordt is het van groot belang dat uw vennootschap wendbaar blijft. IDC Metri spreekt regelmatig bestuurders die ervaren dat met name de aanpasbaarheid en overdraagbaarheid van hun software hen beperkt in de wendbaarheid om zaken te doen. Bij IDC Metri hebben we bijna twintig jaar ervaring in het in beeld brengen van aspecten die de wendbaarheid van uw software kunnen belemmeren. Daarbij gaan we verder dan alleen het toekennen van sterren of een rapportcijfer, maar kunnen we u met behulp van onze technology partners ook een concrete roadmap bieden om de wendbaarheid te verbeteren.

Hoewel niet als risico benoemd in de Corporate Governance Code zien we dat voor verreweg de meeste bestuurders die wij spreken duurzaamheid een belangrijke rol speelt. Het is nog niet heel gebruikelijk om ook software over de as van duurzaamheid te beoordelen, maar als uw vennootschap daar klaar voor is kunnen we u helpen om in beeld te brengen hoe efficiënt uw software omgaat met cloud resources in de vorm van een Green IT index. Dat is niet alleen duurzaam, maar ook goed voor uw ICT budget.

De oplossingen die IDC Metri kan bieden worden toegesneden op de vraag en de mate van risico die uw vennootschap loopt. De Corporate Governance Code geeft ruimte om de risicobeheersing toe te snijden op de omvang en het risico van de vennootschap en we helpen u graag daarin een optimale keuze te maken.