Consultatie verslaggevingstandaard verantwoording IT-beheersing (NOREA Reporting Initiative)
06 april, 2023
NOREA heeft een verslaggevingsstandaard ontwikkeld die een handvat biedt aan het management van een organisatie om zicht met een IT-beheerverslag te verantwoorden en belanghebbenden te informeren.
Onze maatschappij wordt in snel tempo steeds digitaler en nagenoeg alle organisaties zijn hierdoor volledig afhankelijk van hun IT. Organisaties willen meer consistent inzicht hebben in, en verantwoording afleggen over, de inzet van IT en de strategische doelen die daarmee gerealiseerd (kunnen) worden.
Daarom heeft NOREA het initiatief genomen om deze verslaggevingsstandaard te ontwikkelen. Deze standaard (het NOREA Reporting Iniative, kortweg NRI) biedt een handvat voor het management om zich met een IT-beheerverslag te verantwoorden en belanghebbenden te informeren over IT-Governance, Risk and Compliance en essentiële IT-onderwerpen zoals Digital Innovation and Transformation, Data Governance and Ethics, Outsourcing, Cybersecurity, IT Continuity Management en Privacy. Een rapportage over het beheer van IT is nog niet verplicht. Met deze verslaggevingsstandaard is er nu een solide basis voor organisaties van verschillende omvang om op een consistente manier te rapporteren over hun IT.
Er is al veel (Europese) wet- en regelgeving (of onderhanden) op deelaspecten van de hierboven genoemde IT-onderwerpen die verantwoording door organisaties vereisen, maar bieden daarvoor geen samenhangend raamwerk. Rapporteren volgens de NRI-verslaggevingsstandaard kan een belangrijke bijdrage leveren aan het benodigde inzicht in IT voor aandeelhouders en overige stakeholders.
Het verslag over het beheer van IT kijkt naar de huidige situatie en naar ontwikkelingen in de nabije toekomst en geeft aan hoe de organisatie daarop gaat inspelen. De rapportage-eisen en aanbevelingen in deze standaard zijn geïnspireerd op algemeen en internationaal aanvaarde standaarden en best practices.
In de beschrijvingen wordt per onderwerp steeds aandacht besteed aan de management cyclus (Plan-Do-Check-Act) die door de organisatie is ingericht.
De verslaggevingsstandaard zal worden aangevuld met een audithandreiking waarmee onafhankelijke IT-auditors de getrouwe weergave van de feitelijke situatie kunnen bevestigen met een assurance-rapport.
Informatie over de consultatie
De consultatievragen zijn:
- Zijn de openbaarmakingsvereisten en -richtlijnen voldoende duidelijk om een organisatie in staat te stellen op een consistente en zinvolle manier te rapporteren over haar beheer van IT?
- Is deze NRI-standaard voldoende bruikbaar voor alle soorten organisaties b.v. ondernemingen, overheidsinstellingen of andere soorten organisaties?
- Welke instantie zou idealiter verantwoordelijk moeten zijn voor het uitvaardigen en onderhouden van een dergelijke rapportagestandaard?
Graag zien we uw consultatiereactie t/m 31 mei 2023 tegemoet op norea@norea.nl.
Lees ook het eerdere nieuwsbericht (29 juli 2021) over deze standaard.
