Veel bestuurders weten niet hoe hun IT er voor staat.
Nederland is een van de meest gedigitaliseerde landen in de wereld. IT zit in de haarvaten van zo’n beetje alle bedrijfsprocessen. Waar IT in de afgelopen decennia vooral leidde tot procesverbetering en meer efficiency, bepalen IT en data nu steeds meer het verdienmodel. Data is het nieuwe goud. Dus in deze hyper digitale wereld leunen we volledig op betrouwbare en stabiele IT-systemen.
Organisaties zijn met elkaar verbonden in ecosystemen. Ook is er veel uitbesteed aan leveranciers en leveranciers daarachter. Daarmee nemen afhankelijkheden toe. Als je in je ecosysteem te maken hebt met bedrijven die onzorgvuldig omgaan met beveiligingsupdates of die medewerkers toestaan eigen software te installeren, dat ben je zelf ook kwetsbaar voor hackers en malware. Ook gebeurt het verzamelen van data door ontwikkelingen als cloud en low code nu overal in de organisatie, wat het extra lastig maakt om er goed grip op te houden. En zoals altijd is de keten zo sterk als de zwakste schakel.
Rapporteren
Die kwetsbaarheid heeft direct gevolgen voor je bedrijfsvoering. Daarom is inzicht in de betrouwbaarheid en continuïteit van de digitalisering een ‘chefsache’. Helaas ontbreekt dit inzicht nog vaak. Organisaties rapporteren intern wel over hun financiële situatie en risicobeheersing maar niet over de onderliggende IT. Op eenzelfde manier zouden ze over digitalisering moeten rapporteren. Over hoe ze hun digitale processen en IT-risico’s beheersen.
Het is eigenlijk vreemd dat dit nog niet zo is. Vaak weten ’ze’ het niet. In ieder geval niet goed genoeg. De CEO niet, maar ook de eventuele CIO, CDO, CTO, CITO, CISO niet en soms zelfs de eigen IT-afdeling niet. Er ontbreekt een compleet beeld van de betrouwbaarheid en continuïteit van IT en digitalisering. Ook is er vaak geen heldere communicatie van IT naar bestuur, commissarissen en toezichthouders.
IDRS
En dat is nu precies wat de International Digital Reporting Standards (IDRS) doet. Een handig, beknopt document dat standaard in ‘de tas’ van iedere bestuurder zou moeten zitten. Een instrument voor de bestuurder dat ook mede als onderbouwing voor de VOR (Verklaring Omtrent Risicobeheersing) dient.
Maatschappelijk wordt het belang hiervan ook gezien. De overheid probeert met wet- en regelgeving te zorgen dat organisaties hun IT op orde hebben. Er zijn meer dan 100 EU-wetten, vele daarvan vragen om een verantwoording. Een versnippering en stapeling van wetten en regels die niet alleen erg inefficiënt is, maar er ook voor zorgt dat het middel zijn doel voorbij schiet.
Oplossing
Terecht is een veel gehoorde klacht: “nee, niet nog een rapportage en nog meer regeldruk.” Veel beter is dan ook: één integrale verantwoording. Eén rapport, met een heldere toelichting. Dat rekening houdt met het ecosysteem waarvan de organisatie onderdeel is. Dat voldoende is om aan te tonen dat aan regelgeving wordt voldaan. Dat vergelijkbaar is in de tijd en over organisaties. En die daarmee bijdraagt aan administratieve lastenverlichting en simplificering. IDRS biedt een oplossing. Een ommekeer naar meer inzicht waardoor we weerbaarder worden en onze concurrentie en andere landen voorblijven.
