Commissaris, hoe is het gesteld met uw cyberawareness?

door 4 april 2024

De meeste commissarissen die we spreken zijn zich bewust van de noodzaak voor de organisatie tot het implementeren en in stand houden van een adequate cybersecurity. Maar hoe geef je daar invulling aan vanuit de rol van commissaris, hoe hou je daar toezicht op? Kunnen commissarissen zelf enigszins inhoudelijk beoordelen in hoeverre de cybersecurity van de organisatie echt op orde is?

Een advies voor commissarissen: werk aan je cyberawareness en bevorder je kennis en bewustzijn van de situaties, risico’s en maatregelen op dit gebied, zowel vanuit perspectief van de organisatie als vanuit een gebruiker die veel vertrouwelijke informatie onder ogen krijgt (lees: de commissaris zelf). Heb ook oog voor RvC-collega’s die daarmee minder affiniteit hebben. Werk samen aan de collectieve leemte van de RvC op dit vakgebied, indien dat bij u van toepassing is.

>

In het Grant Thornton Commissarissen Benchmarkonderzoek 2022/2023 vroegen we respondenten wat in hun opvatting het belangrijkste onderwerp voor permanente educatie van de RvC is. Het betrof een open vraag. We noteerden 167 antwoorden, waarvan de hoogste score ging naar digitalisering inclusief cybersecurity (28 procent van alle antwoorden). Ongeveer de helft van de respondenten refereert specifiek aan cybersecurity.

WerkenalsCommissaris_artikel_5vragenaan_theokremers

>>

In hetzelfde onderzoek werden aan respondenten twaalf stellingen voorgelegd op gebied van digitalisering en cybersecurity. Acht stellingen hadden betrekking op het handelen van de RvC als groep of als individuele commissaris. Daarvan gaat in de gewenste situatie de meeste instemming van respondenten uit naar het voldoende op de RvC-agenda plaatsen van de recovery- en backupstrategie van de organisatie. Deze stellingen scoren een 4,2 respectievelijk 4,1. De schaal hierbij is: van 1 (volstrekt oneens) tot en met 5 (volstrekt eens). De stelling ‘de RvC heeft een cyber-awarenessstrategie gevolgd’ scoort een 4,0. Dat betekent dat respondenten het eens of meer dan eens zijn met de zojuist genoemde drie stellingen voor wat betreft de wenselijke situatie.

>>>

De drie stellingen met de laagste mate van instemming in de wenselijke situatie zijn ‘de RvC bespreekt de door de organisatie gebruikte algoritmes’ (3,9), ‘de commissaris gebruikt alleen door de organisatie geleverde beveiligde apparatuur’ (3,8) en ‘ik kan uitleggen hoe penetratietesten plaatsvinden’ (3,7). Het zal ons niet verbazen als deze scores de komende jaren stijgen en deze in de wenselijke situatie een niveau tussen eens tot volstrekt eens gaan bereiken.

Tot zover de wenselijke situatie. Als we kijken naar de verbeterwensen (de huidige versus de wenselijke situatie), waar staan we dan? We zien dan een uitzonderlijk groot aantal urgente verbeterwensen.

>>>>

In onderstaande tabel laten we per regel een gevraagde stelling zien. De verbeterwens is uitgedrukt in een kleur: oranje is een forse verbeterwens, rood zelfs een urgente verbeterwens. In de kolommen zien we de in het onderzoek gehanteerde benchmarks. Deze bestaan uit organisatiebenchmarks: het basisprofiel (beursgenoteerd bedrijf), het grootbedrijf, het midden- en kleinbedrijf (MKB), het familiebedrijf, de woningcorporatie, de zorg/welzijnssector, het onderwijs en de cultuurinstelling. Dan volgen een aantal persoonsgebonden benchmarks. De laatste twee kolommen betreffen daarbij niet-commissarissen: het lid van de RvB/directie en de secretaris van de RvC.

De stellingen zijn weergegeven in volgorde van urgentie van verbetering.

Tabel_artikel Commissaris, hoe is het gesteld met uw eigen cyberawareness?_Board in Balance_Werken als Commissaris

>>>>>

Over het onderzoek

We verwijzen naar de resultaten uit de 15e editie van het Grant Thornton commissarissen benchmarkonderzoek van Board in Balance (editie 2022/23). Het onderzoek van auteurs Aalt Klaassen, Dirk-Jaap Klaassen en Oscar Toebosch (Board in Balance) en prof. Herbert Rijken richt zich op commissarissen, bestuurders, secretarissen van rvc en rvb en internal auditors. Voor de verwerking van de resultaten wordt een regressieanalyse toegepast. Daardoor kunnen resultaten worden verkregen voor de afzonderlijke variaties (benchmarks). De respondenten worden benaderd via FBNed, de Governance University, hoofdsponsor Grant Thornton, de NCD, de NCR, de NVTZ, de VTW, Topvrouwen.nl, VNO-NCW metropoolregio Amsterdam, Stichting Blikverruimers.nl en het relatiebestand van Board in Balance. Het onderzoek is gesponsord door Grant Thornton, ORTEC en IntegrationPeople. Voor meer informatie bekijk onze website.

Ook deelnemen?

Bent u commissaris/toezichthouder, bestuurder, secretaris van de RvC of internal auditor en wilt u volgende keer ook deelnemen, stuur dan uw contactgegevens naar Dirk-Jaap Klaassen (dirk-jaap.klaassen@boardinbalance.com).

Wij nemen dan contact met u op voor het maken van een afspraak zo gauw we met de volgende editie beginnen. Respondenten geven aan dat deelname hen tot denken aanzet en helpt met het formuleren van agendapunten voor de RvC. U krijgt nieuwe inzichten en draagt via ons onderzoek bij aan goed bestuur.

 

Kennisbank

Wij delen graag onze kennis

We hebben inmiddels al meer dan 250 artikelen in onze kennisbank opgenomen. En deze stellen wij graag aan u beschikbaar!

Vacatures

Diverse organisatie hebben vacatures

Vacatures in Limburg, Brabant en Gelderland binnen private en publieke organisaties overzichtelijk gepresenteerd.

Share This