Nieuwe publieke managementletter belicht kwetsbaarheden in de keten
Organisaties opereren in toenemende mate in digitale en uitbestede ketens. Cloudplatforms, datadiensten en leveranciers zijn sterk met elkaar verweven. Dat biedt kansen, maar vergroot ook de kwetsbaarheid. Eén verstoring kan zich snel door de keten verspreiden en raakt direct de continuïteit van de dienstverlening, de governance en het maatschappelijk vertrouwen.
Dat stelt de NBA-Signaleringsraad in een nieuwe publieke managementletter (PML), uitgebracht in samenwerking met NOREA, de beroepsorganisatie van IT-auditors, en IIA Nederland, de beroepsvereniging van internal auditors.
De publicatie geeft aan dat traditionele governance-instrumenten en assurance-vormen onvoldoende houvast bieden voor de de huidige ketenrealiteit. Nieuwe Europese wetgeving, zoals de Digital Operational Resilience Act (DORA) en de Network and Information Systems Directive (NIS2), onderstreept dat bestuur en toezicht eindverantwoordelijk blijven voor digitale weerbaarheid, ook wanneer processen zijn uitbesteed.
Onheil
Dat vraagt om actief inzicht in afhankelijkheden en herstelvermogen, voorbij de eigen organisatiegrenzen. "De informatievoorzieningsketen van vrijwel alle organisaties is complex en daarmee kwetsbaarder geworden. Tegelijk is de afhankelijkheid voor de continuïteit groot en zijn de bedreigingen navenant", aldus Leen Paape, emeritus hoogleraar en voorzitter van de NBA-Signaleringsraad.
Het is dan ook essentieel om inzicht en zekerheid te krijgen over het goed functioneren van die keten, meent hij. "Dat vraagt dat bestuurders en commissarissen hun verantwoordelijk nemen. Wet- en regelgeving zoals DORA verplicht daar bovendien toe. Auditors met diverse deskundigheden kunnen daarbij van waarde zijn", aldus Paape. "Wacht dan ook niet tot het onheil u overkomt."
Signalen
De publieke managementletter Vertrouwen in de kwetsbare keten bevat zes signalen. Een deel daarvan is expliciet gericht op bestuurders en toezichthouders en roept die om op ketenrisico's bestuurlijk te adresseren.
Eén van de signalen richt zich nadrukkelijk op accountants, IT-auditors en internal auditors zelf. Dit signaal benadrukt het belang van samenwerking tussen disciplines en het expliciet maken van de reikwijdte en begrenzing van assurance, zodat bestuur en toezicht een realistisch en samenhangend risicobeeld krijgen.
De signalen zijn vertaald naar concrete handelingsperspectieven, zoals het structureel in kaart brengen van kritieke afhankelijkheden, het kritisch duiden van assurancerapportages en het uitvoeren van realistische ketenoefeningen met strategische leveranciers.
Gezamenlijke opgave
De PML maakt duidelijk dat weerbaarheid geen afgeleid onderwerp is, maar een gezamenlijke opgave voor bestuur, toezicht en auditprofessionals, aldus de opstellers.
De uitgave is bedoeld om hen te ondersteunen in hun verantwoordelijkheid voor digitale weerbaarheid en ketencontinuïteit. De PML moet bijdragen aan een scherper en eerlijker beeld van risico’s en afhankelijkheden, in een steeds complexer ketenlandschap.
PML's
De NBA brengt al sinds 2010 publieke managementletters uit, gericht op het geven van signalen en aanbevelingen over een bepaalde sector of thema. Hierbij gaat het primair om risico's op het gebied van bestuur, bedrijfsvoering, verslaggeving en controle.
De Signaleringsraad van de NBA zorgt voor maatschappelijke toetsing van de uitgaven en selecteert jaarlijks onderwerpen hiervoor.