Publieke managementletter: Vertrouwen in de Kwetsbare Keten

In deze Publieke managementletter (PML) duidt de NBA-Signaleringsraad, in samenwerking met NOREA (IT-auditors) en IIA Nederland (internal auditors), waarom traditionele governance-instrumenten en assurance-vormen niet voldoende houvast bieden voor deze ketenrealiteit. Nieuwe Europese wetgeving, zoals de Digital Operational Resilience Act (DORA) en de Network and Information Systems Directive (NIS2), onderstreept dat bestuur en toezicht eindverantwoordelijk blijven voor digitale weerbaarheid, ook wanneer processen zijn uitbesteed. Dit vraagt om actief inzicht in afhankelijkheden en herstelvermogen, voorbij de eigen organisatiegrenzen.

De PML bevat zes signalen. Een deel daarvan is expliciet gericht op bestuurders en toezichthouders en roept hen op ketenrisico’s bestuurlijk te adresseren. Tegelijkertijd richt één signaal zich nadrukkelijk op accountants, IT-auditors en internal auditors zelf. Dit signaal benadrukt het belang van samenwerking tussen disciplines en het expliciet maken van de reikwijdte en begrenzing van assurance, zodat bestuur en toezicht een realistisch en samenhangend risicobeeld krijgen.

[....]