Norea logo

IT-Auditverklaring

Rapportering over de beheersing van IT 
De scope van een jaarverslag in zijn huidige vorm is te beperkt om een adequaat oordeel te vellen over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om bijvoorbeeld als organisatie verantwoording af te leggen of deze voldoende weerbaar is tegen cyberaanvallen en qua IT voorbereid is op de nabije toekomst.

Een nieuwe rapportagevorm, het IT-verslag, opgesteld door het management van de organisatie, geeft hier invulling aan. 

IT-verslag 
Bedrijfsleven en de overheid digitaliseren in hoog temp. De behoefte om ‘in control’ te zijn en te blijven wordt groter. Niet alleen voor de eigen organisatie maar ook in de toe- en afleveringsketen. Een IT-verslag om dit uit te dragen aan bijvoorbeeld een Raad van Commissarissen, dan wel om ketenpartners en andere belanghebbenden hierover te informeren, is hiertoe bij uitstek geschikt. Belanghebbenden zijn niet alleen leveranciers, maar ook banken, consumenten, ratingbureaus, toezichthouders en het maatschappelijk verkeer in het algemeen.

Er bestaan assurance rapporten (ISAE 3000 en 3402), ISO-27001 certificaten en Privacy Audit Proof rapporten, die hierbij een belangrijke rol vervullen. Dergelijke rapporten hebben of een beperkte(re) scope, zijn primair historisch gericht en geven daarmee weinig ruimte om te rapporteren over de strategie, volwassenheidsniveau, ambities en de risico’s daarbij. In een IT-verantwoording kan daar invulling aan worden gegeven. 

In de het IT-verslag kan bijvoorbeeld worden vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Het IT-verslag kan ook iets zeggen over het beoogde volwassenheidsniveau en over de mate waarin IT binnen een organisatie toekomstbestendig is. Dat is voor de verschillende belanghebbenden immers het meest relevant. Naar verwachting zal het IT-verslag daarmee bestaan uit zowel generieke onderwerpen (zoals informatiebeveiliging en continuïteit) als uit onderwerpen die cruciaal zijn binnen de sector waarin de organisatie opereert: 

  • Vooruitblik (max.1 jaar)
  • IT-strategie 
  • Gebruik moderne IT 
  • Belangrijke projecten 
  • Risico-analyse gericht op de inzet van IT
  • Patching
  • Versiebeheer
  • Continuïteit 
  • Toegangsbeveiliging
  • Incidentmanagement
  • Changemanagement   
  • (Cyber)security
  • Uitbesteding
  • Investeringen in IT
  • Kwaliteit projectmanagement
  • Kwaliteit systeemontwikkeling
  • Afhankelijkheid derde partijen
  • Innovatief vermogen

Los van de onderwerpen moet er nog werk worden verricht om te komen tot een set van criteria. Waaraan moet zo’n IT-verantwoording aan voldoen, welke onderwerpen en met welke diepgang dient kan een organisatie hierover verslag te doen? Zo’n verslag zal eerst kunnen worden opgesteld voor interne doeleinden om het bestuur en raad van commissarissen te informeren en/of om verschillende organisatie-onderdelen onderling met elkaar te kunnen vergelijken. Naarmate de kwaliteit van zo’n deze verslaggeving toeneemt, de criteria meer zijn uitgewerkt en de informatievoorziening toetsbaar is kan zo’n IT-verslag gebruikt worden voor een externe verantwoording met eventueel aanvullende zekerheid door een IT-auditor door middel van een assurance-rapport.                  

IT-audit   
De NOREA vindt de behoefte aan een onafhankelijk en deskundig oordeel over zo’n IT-verslag niet meer dan logisch. Bij een assurance-rapport onderscheiden we een review (beperkte mate van zekerheid) of een audit (redelijke mate van zekerheid). De mate van zekerheid hangt af van de (on)mogelijkheden om een met name kwalitatief IT-verslag te kunnen onderzoeken aan de hand van een set van criteria. 

Een NOREA werkgroep is al geruime tijd bezig met het vormgeven van het IT-verslag en het bijbehorende assurance-rapport. Op dit moment wordt gewerkt aan de criteria voor het IT-verslag dat tevens de basis zal vormen voor de IT-review of IT-audit.  

Naast gesprekken met belanghebbenden zal ook een enquête worden gehouden onder toekomstige gebruikers van IT-verslag. Hiermee wordt beoogd de inhoud van IT-verslag en assurancerapport zo goed mogelijk aan te laten sluiten op de behoefte. De werkgroep zal ook nagaan op welke wijze assurance kan worden gegeven over de verschillende onderdelen van het IT-verslag. Ambitie is om het IT-verslag voor het eerst over het boekjaar 2022 in te zetten. 

             

·                  

·                  

·                  

·                  

·                  

·                 

·             

·                  

·                  

·