Werkgroep NOREA Reporting Initiative (NRI)
Inleiding
In 2020 is de werkgroep gestart met de ontwikkeling van een standaard voor een IT-verslag en – assurancerapport waarmee bedrijven en organisaties jaarlijks kunnen rapporteren over hun IT-beheersing.
Aanleiding
Onze maatschappij wordt in rap tempo steeds digitaler en nagenoeg alle organisaties zijn hierdoor volledig afhankelijk van hun IT. Organisaties willen meer consistent inzicht hebben in, en verantwoording afleggen over, de inzet van IT en de strategische doelen die daarmee gerealiseerd (kunnen) worden.
Daarom heeft NOREA het initiatief genomen om deze verslaggevingsstandaard te ontwikkelen. De NRI biedt een handvat voor het management om zich met een IT-verslag te verantwoorden en belanghebbenden te informeren over IT-Governance, Risk en Compliance en essentiële IT-onderwerpen zoals digitale innovatie en transformatie, data governance en ethiek, outsourcing, cybersecurity, IT-continuity management en privacy. Een verslag over de IT-beheersing van een organisatie is nog niet verplicht, maar met deze verslaggevingsstandaard komt er een solide basis voor organisaties van verschillende omvang en verschillende sectoren om op een consistente manier te rapporteren over hun IT. Iets dat steeds belangrijker wordt voor alle organisaties.
Er is al veel (Europese) wet- en regelgeving (of onderhanden) op deelaspecten van de hierboven genoemde IT-onderwerpen die verantwoording door organisaties vereisen, maar bieden daarvoor geen samenhangend raamwerk. Rapporteren volgens de NRI-verslaggevingsstandaard kan een belangrijke bijdrage leveren aan het benodigde inzicht in de brede IT-beheersing voor aandeelhouders en overige stakeholders.
Het verslag over het beheer van IT kijkt naar de huidige situatie en naar ontwikkelingen in de nabije toekomst en geeft aan hoe de organisatie daarop gaat inspelen. De rapportage-eisen en aanbevelingen in deze standaard zijn geïnspireerd op algemeen en internationaal aanvaarde standaarden en best practices.
In de beschrijvingen wordt per onderwerp steeds aandacht besteed aan de managementcyclus (Plan-Do-Check-Act) die door de organisatie is ingericht.
De verslaggevingsstandaard zal worden aangevuld met een audithandreiking waarmee onafhankelijke IT-auditors de getrouwe weergave van de feitelijke situatie kunnen bevestigen met een assurance-rapport.
De concept-standaard is van 6 april tot en met 31 mei 2023 ter consultatie voorgelegd.
Waar staan we nu (juli 2024)
Momenteel loopt een pilot bij een beursgenoteerd bedrijf en start een pilot bij een waterbedrijf, een aantal gemeenten en een waterschap. De input uit deze pilots wordt meegenomen in verse 4 van de NRI welke, naar verwachting, eind 2024 gepubliceerd zal worden. Uiteraard kunnen organisaties nu al gebruik maken van de standaard zoals die op onze website staat. Leden van de NOREA-werkgroep zijn beschikbaar om een toelichting te verzorgen en eventuele resultaten uit de pilots te delen met organisaties die de standard willen gebruiken.
Deelnemers Werkgroep
