Norea logo

'Nieuwe IT-check': NOREA ontwikkelt IT-verslag en -verklaring als basis voor verantwoording

Nederland is één van de meest gedigitaliseerde landen ter wereld. Dit heeft grote voordelen voor zowel overheden, het bedrijfsleven als voor particulieren op het gebied van snelheid en efficiëntie van allerlei processen en transacties en de toegankelijkheid van informatie. Tegelijkertijd maakt het ons steeds afhankelijker van de beschikbaarheid, beveiliging en betrouwbaarheid van een veelheid van geautomatiseerde systemen en van de organisaties die deze systemen en de data in deze systemen beheren. Cybercriminaliteit vormt een steeds grotere bedreiging voor het functioneren van deze systemen, maar ook de toenemende complexiteit van systemen vormt een risico. Ook zien we dat steeds meer beslissingen door geautomatiseerde algoritmes worden genomen en dat deze beslissingen steeds vaker ter discussie staan. Aangezien IT inmiddels in de haarvaten van bedrijfsprocessen van organisaties zitten, vormen voornoemde bedreigingen een gevaar voor datakwaliteit in systemen en continuïteit van organisaties.

De wet- en regelgeving op het gebied van (toezicht op) digitalisering blijft tot op heden achter bij deze ontwikkelingen. Zo hoeft de accountant in het kader van de jaarrekeningcontrole slechts beperkt te rapporteren over IT-aangelegenheden (zie art. 393 lid 4 BW2) en besteedt de huidige Corporate Governance Code zeer beperkt aandacht aan IT en security. Voor een aantal sectoren geldt dat de toezichthouder (bijvoorbeeld DNB in de financiële sector) wel actief toezicht houdt op beschikbaarheid, beveiliging en betrouwbaarheid van geautomatiseerde systemen, maar dit geldt zeker niet voor alle sectoren. Op dit moment is onder andere de EU bezig met een inhaalslag op het gebied van wetgeving ten aanzien van digitalisering maar dit zijn eerste stappen.

NOREA, de beroepsorganisatie van IT-auditors, heeft het initiatief genomen om criteria voor een IT-verslag met bijbehorende IT-auditverklaring te ontwikkelen. De doelstelling hiervan is dat organisaties een gestructureerd IT-verslag opstellen omtrent de beheersing van hun geautomatiseerde systemen en dat een onafhankelijke IT-auditor dit verslag controleert en voorziet van een verklaring. De inhoud van dit IT verslag is toegespitst op de maatregelen die zijn getroffen om de beschikbaarheid, beveiliging en betrouwbaarheid van de belangrijkste geautomatiseerde systemen en daarbinnen de datakwaliteit te waarborgen. Dit verslag biedt de ruimte om specifiek aandacht te besteden aan die elementen die cruciaal zijn voor de organisatie zelf en voor haar stakeholders (zoals klanten, leveranciers, toezichthouders en maatschappij). Het IT-verslag gaat ook in op ontwikkelingen in de nabije toekomst en de wijze waarop de organisatie denkt hierop in te spelen. Het IT-verslag dekt daarmee afgelopen jaar en het lopende jaar.

Door het oordeel van de onafhankelijke IT-auditor krijgt de lezer van het IT-verslag zekerheid over de betrouwbaarheid van het verslag en wordt de opstellende organisatie gestimuleerd om continu aandacht te hebben voor een adequate IT-beheersing om daarmee eveneens de continuïteit van de organisatie te waarborgen.

NOREA verwacht met dit initiatief bij te dragen aan het versterken van de beschikbaarheid, beveiliging en betrouwbaarheid van de digitale wereld waarin wij leven en zaken doen en onze concurrentievoorsprong als Nederland zoveel als mogelijk te behouden. Enerzijds door organisaties bewuster te maken van de uitdagingen waar zij voor staan en anderzijds door vergroting van de transparantie richting haar stakeholders. NOREA heeft overleg met diverse toezichthouders en vertegenwoordigende organisaties over de verdere invulling van het IT-verslag en tracht hierdoor een breed draagvlak te verkrijgen.

Zie ook: het Plan van Aanpak van de NOREA-werkgroep or Roadmap development of IT report and audit opinion)

Perspubliciteit over de 'Nieuwe IT-check'