Werkgroep International Digitale Reporting Standard (IDRS)
Werkgroep International Digitale Reporting Standard (IDRS)
International Digital Reporting Standards (IDRS)
Met gebruik van IDRS meer inzicht voor bestuurders en commissarissen voor een betere beheersing van IT binnen organisaties nu IT steeds meer is ingevlochten in organisatiestructuur. Omdat alle processen hiervan afhankelijk zijn is het ook belangrijk voor continuïteit van een organisatie.
Elk jaar laten organisaties zien hoe ze financieel en maatschappelijk presteren in een jaarverslag. Ze zouden op dezelfde manier ook kunnen rapporteren over hoe ze hun digitale processen en IT-risico’s beheersen. Een uniforme standaard voor deze rapportage kan helpen het vertrouwen in digitale systemen te vergroten en zorgen dat bedrijven zich houden aan de wet- en regelgeving. In plaats van losse rapportages per wet ontstaat er zo één duidelijke en complete verantwoordingslijn.
Dit heeft voordelen voor bedrijven, klanten van digitale diensten, toezichthouders en de overheid zelf. Door deze aanpak kunnen bedrijven hun verantwoordelijkheid nemen op het gebied van digitale veiligheid en transparantie. Bestuurders en commissarissen willen immers goede risico’s beheersen en schade aan hun bedrijf en reputatie door digitale fouten voorkomen. Ze werken het liefst samen met betrouwbare partners die hun digitale processen goed op orde hebben.
Ingenieurs- en adviesorganisatie Arcadis en zorgverzekeraar CZ hebben de IDRS getest en verbeterd. IDRS is nu klaar voor bredere toepassing. Deze verslaggevingsstandaard bouwt voort op bestaande en algemeen geaccepteerde normen voor IT-beheersing.
Achtergrond
Nederland is één van de meest gedigitaliseerde landen van de wereld. IT zit in de haarvaten van bedrijfsprocessen en onze maatschappij wordt in snel tempo steeds sneller digitaler en nagenoeg alle organisaties zijn hierdoor volledig afhankelijk van hun IT. Organisaties willen meer consistent inzicht hebben in, en verantwoording afleggen over, de inzet van IT en de strategische doelen die daarmee gerealiseerd (kunnen) worden.
Daarom heeft NOREA in 2020 het initiatief genomen om deze verslaggevingsstandaard te ontwikkelen. Deze standaard (gelanceerd onder de werktitel het NOREA Reporting Iniative, kortweg NRI) biedt een handvat voor het management om zich met een IT-beheerverslag intern en/of extern aan stakeholders te verantwoorden en belanghebbenden te informeren over IT-beheersing. De verslaggevingsstandaard is onderverdeeld IT-Governance, Risk and Compliance en de volgende zes essentiële IT-onderwerpen zoals Digital Innovation and Transformation, Data and Artificial Intelligence, Third Party Management, Cybersecurity, IT Continuity Management en Privacy. Een rapportage over het beheer van IT is overigens nog niet wettelijk verplicht. Met deze verslaggevingsstandaard is er nu een solide basis voor organisaties van verschillende omvang om op een consistente manier te rapporteren over hun IT-beheersing.
Er is al veel (Europese) wet- en regelgeving (of onderhanden) op deelaspecten van de hierboven genoemde IT-onderwerpen die verantwoording door organisaties vereisen, maar bieden daarvoor geen samenhangend raamwerk. De werktitel NRI is inmiddels aangepast naar IDRS (International Digital Reporting Standards). Rapporteren volgens de IDRS-verslaggevingsstandaard kan een belangrijke bijdrage leveren aan het benodigde inzicht in IT voor aandeelhouders en overige stakeholders.
Het verslag over het beheer van IT kijkt naar de huidige situatie en naar ontwikkelingen in de nabije toekomst en geeft aan hoe de organisatie daarop gaat inspelen. De rapportage-eisen en aanbevelingen in deze standaard zijn geïnspireerd op algemeen en internationaal aanvaarde standaarden en best practices.
In de beschrijvingen wordt per onderwerp steeds aandacht besteed aan de managementcyclus (Plan-Do-Check-Act) die door de organisatie is ingericht.
De verslaggevingsstandaard zal worden aangevuld met een audithandreiking waarmee onafhankelijke IT-auditors de getrouwe weergave van de feitelijke situatie kunnen bevestigen met een assurance-rapport.
NOREA is verheugd dat de standaard nu beschikbaar is voor organisaties en dat momenteel bekeken wordt hoe het onderhoud van de standaard kan plaatsvinden. Hiertoe richt ECP (ecp.nl) momenteel een platform in. In de voorbereidende werkzaamheden daartoe zijn de volgende organisaties betrokken: de Vrije Universiteit, TIAS school for Business and Society Tilburg, CZ Zorgverzekeraar, Ingenieurs- en adviesorganisatie Arcadis, De Nederlandsche Bank, Rijksinspectie Digitale Infrastructuur, Ministerie van Economische Zaken, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Auditdienst Rijk, NOREA en ECP.
NRI in de media
Downloads
Deelnemers Werkgroep
