IT-verslaggevingsstandaard NOREA

Brechtje Brugman-Dekkers

Manager IT advies

16 jun. `23

Ontwikkelingen op het gebied van digitalisering blijven toenemen, dit vraagt om een nieuwe verantwoording over IT. NOREA, de beroepsorganisatie van IT-auditors, heeft een nieuwe verslaggevingsstandaard ontwikkeld om organisaties handvaten te bieden om zich met een IT-beheersverslag te verantwoorden en daarmee (externe) stakeholders te kunnen informeren.

De IT-Audit verklaring

De verklaring moet duidelijk maken in hoeverre een organisatie bestand is tegen cyberaanvallen en andere ernstige IT-problemen. Banken en investeerders kunnen dit gebruiken bij hun beslissing om te investeren in een bedrijf.

Op dit moment is de IT-auditverklaring nog niet wettelijk verplicht. In praktijk worden systemen wel gecontroleerd als onderdeel van de accountantsverklaring als ze een rol spelen in de financiële huishouding. Rapporten volgens de NRI-verslaggevingsstandaard kunnen gebruikt worden door banken en bij hun beslissing om te investeren in een bedrijf. Met de verslaggevingsstandaard ligt er volgens NOREA een solide basis voor organisaties van verschillende omvang om op een consistente manier te rapporteren over bijvoorbeeld IT-strategie, IT-risico’s en compliance en over essentiële onderwerpen als digitale innovatie en transformatie, data governance, IT-outsourcing, cybersecurity, continuïteitswaarborgen en privacy.

Over de standaard

De NRI gaat over het beheer van IT in de huidige situatie maar ook over de ontwikkelingen in de nabije toekomst en hoe de organisatie daarop inspeelt. Via een management cyclus als de PCDA (Plan, Do, Check & Act) kan er worden bepaald hoe de organisatie zichzelf heeft ingericht. Afsluitend zal deze verslaggevingstandaard worden aangevuld met een audithandreiking vanuit een onafhankelijke IT-auditor die de situatie kunnen controleren en bevestigen met een assurance-rapport.

Kansen voor het MKB

Het (controleplichtige) mkb heeft in toenemende mate te maken heeft met IT-risico’s gezien de groeiende afhankelijkheid van IT en de grote financiële risico’s die impact kunnen hebben op de continuïteit. Daarnaast dienen bepaalde (wettelijke) IT-controles nu en in de toekomst te worden uitgevoerd. Denk daarbij ook aan de aankomende NIS2-wetgeving. Aandacht geven aan IT-risico’s is daarom van belang voor het mkb. Het NRI is een goed initiatief om deze IT-risico’s door een IT-Auditor te laten identificeren en te kunnen beheersen.

Meer informatie

Wilt u weten hoe Van Oers u kan helpen bij een dergelijk IT-verslag of het toetsen van uw IT-omgeving, neem dan contact op. Neem contact op via onderstaande button of per e-mail: IT-Advies@vanoers.nl

Neem contact op