IT-auditverklaring
De verklaring moet duidelijk maken in hoeverre een organisatie bestand is tegen cyberaanvallen en andere ernstige IT-problemen. Banken en investeerders kunnen dit gebruiken bij hun beslissing om te investeren in een bedrijf.
Op dit moment is de IT-auditverklaring nog geen verplicht onderdeel in een accountantsverklaring. In praktijk worden systemen wel gecontroleerd als ze een rol spelen in de financiële huishouding. In de nieuwe werkwijze onderzoeken IT-auditors de weerbaarheid van een bedrijf bij een groot IT-incident, zoals een cyberaanval. Hierbij worden zowel de basisbeveiliging als de noodplannen beoordeeld die in werking gaan treden ten tijden van een grootschalig incident. De verklaring gaat niet alleen over het afgelopen boekjaar, maar ook het komend boekjaar en dus de mate waarin de IT toekomstbestendig is.
Ontwikkeling en invoering
In de optiek van de NOREA hoeft de invoering van zo’n verklaring in de praktijk niet ingewikkeld te zijn. “De IT-auditor maakt immers in de huidige situatie toch al deel uit van het controleteam van de externe accountant.” Tevens is het uitgangspunt van de beoogde IT-auditverklaring dat die assurance geeft bij een door de organisatie zelf opgesteld IT-verslag. Een NOREA-werkgroep is bezig met het vormgeven van het IT-verslag en de bijbehorende verklaring. Momenteel wordt gewerkt aan de standaard voor het IT-verslag, die ook de basis moet vormen voor de audit. Deze wordt vormgegeven door, onder andere, gesprekken met stakeholders en een enquête onder toekomstige gebruikers, zodat de inhoud van het IT-verslag en de bijbehorende verklaring zo goed mogelijk aansluit op de behoefte. Ambitie is om het IT-verslag voor het eerst over het boekjaar 2022 in te zetten.
Meer informatie
Wilt u weten hoe Van Oers u kan helpen bij een dergelijk IT-verslag of het toetsen van uw IT-omgeving, neem dan contact op.