09
sep

Directies aan zet: grip op EU wetgeving

Conclusies 

  • Nederland is één van de meest gedigitaliseerde landen 
  • Er zijn meer dan 100 wetten (in ontwikkeling) die het digitale domein raken. De Online Trust Coalitie heeft een aantal van deze wetten in een overzicht gebundeld.  
  • Bestuurders kunnen het nu niet meer overlaten aan de IT-afdeling maar moeten zelf ook in control zijn.  
  • Er ontbreekt één samenhangend IT-beheersingsraamwerk voor het management van organisaties om hier op te sturen. Hiermee wordt de economische slagkracht en maatschappelijke digitale weerbaarheid vergroot. Tevens vermindert het compliance-kosten en -risico’s om aan deze wetten te voldoen. Minder administratieve lasten. 
  • Stakeholders willen meer weten van organisaties dan alleen de financiële jaarverslagen, denk ook aan verslagen rondom IT en duurzaamheid. Dit heeft NOREA in de markt getoetst en de behoefte voor een rapportagestandaard voor de brede beheersing van IT is groot.  
  • NOREA heeft de afgelopen 4 jaar gewerkt aan deze rapportagestandaard en dit is door verschillende organisaties als pilot getoetst.  

Samenvatting 

Het afgelopen jaar heeft de OTC onder andere gewerkt aan het speerpunt “de bestuurder in control’’. Er zijn meer dan 100 wetten (in ontwikkeling) die het digitale domein raken. Bestuurders laten dit vaak over aan de IT-afdeling. Juist door deze nieuwe wetgeving zijn directies nu aan zet om de risico’s te gaan managen. Het gaat om het effectief managen van de risico’s, digitale risico’s zijn immers ook bedrijfsrisico’s. Wat moet je doen om aan de wet te voldoen?

NOREA is een van de deelnemers van de OTC en bestuurslid Marc Welters vertelde tijdens deze sessie over het ontstaan van het NOREA Reporting Initiative. In 2020 stelde het bestuur zich de volgende vragen: wat komt er allemaal op ons af? Waar is behoefte aan vanuit de markt? Zou er behoefte zijn aan een rapportagestandaard voor de brede beheersing van IT? Er ligt nu een nieuwe versie klaar, die binnenkort wordt gepubliceerd. De rapportagestandaard gaat over alle wetten heen, met een holistische benadering. Inmiddels zijn er ook wetten als DORA en NIS2 waarin is opgenomen dat bestuurders en toezichthouders zicht moeten hebben op de brede IT-beheersing van hun organisatie.

Rob Polderman vertelde vanuit de praktijk het volgende over het NRI: “Het rapport is geen heilige graal, maar het resultaat van hard nadenken.’’

De volgende stappen zijn hierbij belangrijk:
1. Bepaal je doelgroep, dat helpt.
2. Verzamel beschikbare documentatie en organiseer workshops voor het verkrijgen van informatie en bepalen verhaallijn
3. Kies balans tussen kwalitatief en kwantitatief; gebruik voor buitenstaanders begrijpelijke grootheden
4. Volg de managementcyclus in je uiteenzettingen (PDCA)
5. Leg zodanig vast dat de auditors de link met de standaard en de onderliggende evidence kunnen volgen
6. Laat vanuit verschillende hoeken op de tekst schieten, verwerk de commentaren zodanig dat balans tussen perspectieven ontstaat.
 

Presentatie

Bekijk hier de presentatie van deze sessie: ECP Jaarfestival – Directies aan zet grip op EU wetgeving