SRA reageert op verslaggevingsstandaard NOREA
Voortschrijdende digitalisering van samenleving en maatschappij vraagt om nieuwe verantwoording over IT-beheersing. NOREA, de beroepsorganisatie van IT-auditors, heeft daarom een verslaggevingsstandaard ontwikkeld en ter consultatie aangeboden. Het 'NOREA Rapportage Initiatief' (NRI) biedt het management van een organisatie een handvat om zich met een IT-beheerverslag te verantwoorden en belanghebbenden te informeren.
Een rapportage over het beheer van IT is niet (wettelijk) verplicht. Rapporteren volgens de NRI-verslaggevingsstandaard kan een belangrijke bijdrage leveren aan het benodigde inzicht in IT voor aandeelhouders en overige stakeholders. Met de verslaggevingsstandaard ligt er volgens NOREA een solide basis voor organisaties van verschillende omvang om op een consistente manier te rapporteren over bijvoorbeeld IT-Governance, Risk and Compliance en over essentiële onderwerpen als Digital Innovation and Transformation, Data Governance and Ethics, Outsourcing, Cybersecurity, IT Continuity Management en Privacy.
Raamwerk
Het verslag over het beheer van IT gaat in op de huidige situatie en ontwikkelingen in de nabije toekomst en beschrijft hoe de organisatie daarop gaat inspelen. De rapportage-eisen en aanbevelingen in de standaard zijn geïnspireerd op algemeen en internationaal aanvaarde standaarden en best practices. In de beschrijvingen wordt per onderwerp steeds aandacht besteed aan de management cyclus (Plan-Do-Check-Act) die door de organisatie is ingericht. De verslaggevingsstandaard zal worden aangevuld met een audithandreiking waarmee onafhankelijke IT-auditors de getrouwe weergave van de feitelijke situatie kunnen bevestigen met een assurance-rapport.
Geen papieren tijger
Leden van de SRA IT-auditkring en de Commissie Kwaliteit Vaktechniek hebben gezamenlijk vanuit SRA-perspectief gereageerd op de NOREA verslaggevingsstandaard. SRA constateert in het algemeen dat het Nederlandse (controleplichtige) mkb in toenemende mate te maken heeft met IT-risico's. Vanzelfsprekend bij het uitvoeren van (wettelijke) controles, en nog veel meer in verband met grote financiële risico's die kunnen oplopen tot situaties van discontinuïteit.
Het is daarom evident dat het Nederlandse mkb aan de slag gaat en/of blijft met IT-risico's. Bezien vanuit deze context is het NRI een goed initiatief. De kanttekening die SRA en ook mkb-opdrachtgevers willen plaatsen, is dat management van IT geen 'papieren tijger' met onnodige administratieve lastenverzwaring moet gaan worden. Tussen stevig IT-beheer en nutteloze administratieve lasten moet de juiste balans gezocht worden.
Consultatievragen
Daarnaast gaf SRA antwoord op de drie gestelde consultatievragen:
- Zijn de openbaarmakingsvereisten en -richtlijnen voldoende duidelijk om een organisatie in staat te stellen op een consistente en zinvolle manier te rapporteren over haar beheer van IT?
- Is deze NRI-standaard voldoende bruikbaar voor alle soorten organisaties, bijvoorbeeld ondernemingen, overheidsinstellingen of andere soorten organisaties?
- Welke instantie zou idealiter verantwoordelijk moeten zijn voor het uitvaardigen en onderhouden van een dergelijke rapportagestandaard?
Via onderstaande button leest u de antwoorden hierop in de gehele SRA-reactie.