Nieuws

NOREA pleit voor invoer IT-auditverklaring

De NOREA pleit voor invoer van een IT-auditverklaring, die assurance geeft bij een door de organisatie zelf opgesteld IT-verslag. Volgens de beroepsorganisatie van IT-auditors groeit de behoefte bij bestuurders en stakeholders aan een onafhankelijk oordeel over de inrichting en beheersing van IT.

De scope van een jaarrekeningcontrole in de huidige vorm is te beperkt om een adequaat oordeel te vellen over de inrichting van de IT-beheersorganisatie en de beheersing van IT, aldus de NOREA. "Laat staan dat daarnaast ruimte is om bijvoorbeeld vast te stellen of een organisatie voldoende weerbaar is tegen cyberaanvallen en qua IT voorbereid is op de nabije toekomst."

Volgens de NOREA is de behoefte aan een onafhankelijk en deskundig oordeel over de IT niet meer dan logisch. "Als bijvoorbeeld een onderneming een lening bij een bank wil afsluiten, moet deze aantonen liquide en solvabel te zijn. Met de voortschrijdende digitalisering vertellen die ratio’s echter niet meer het hele verhaal. Een online handelshuis kan nog zo solvabel zijn, als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen."

De snelle digitalisering van het bedrijfsleven versterkt de wens om in control te zijn waar het gaat om de IT-systemen. De nieuwe IT-auditverklaring moet hier invulling aan geven. In de optiek van de NOREA hoeft de invoering van zo’n verklaring in de praktijk niet ingewikkeld te zijn. "De IT-auditor maakt immers in de huidige situatie toch al deel uit van het controleteam van de externe accountant."

Nationaal belang

De beroepsorganisatie stelt dat een brede groep van stakeholders belang hecht aan zekerheid over de juiste werking van informatietechnologie. Volgens de NOREA is rapporteren over de IT "van nationaal belang", want Nederland behoort tot de meest gedigitaliseerde landen ter wereld, met een vooraanstaande positie van Amsterdam als IT-hub.

In het FD spreekt Eumedion-directeur Rients Abma de hoop uit dat het IT-verslag vast onderdeel wordt van de controleverklaring. “Ik vind dat de accountant het nu al moet vermelden als een bedrijf waarop toezicht wordt gehouden, de IT niet op orde heeft.” Een woordvoerder van zakenbank NIBC sluit niet uit dat de IT-auditverklaring "in de toekomst een voorwaarde wordt bij kredieten aan bedrijven die afhankelijk zijn van IT".

NOREA-voorzitter Irene Vettewinkel-Raymakers, tevens auditdirecteur bij ABN Amro, zegt tegenover de krant dat de IT-verklaring "belangrijk wordt voor commissarissen en investeerders". Ook BDO-partner Wido Dalhuisen benadrukt dat financiers graag zekerheid willen over IT-systemen, als ze met een bedrijf in zee gaan. Ondernemersorganisaties VNO-NCW en MKB Nederland willen eerst weten of de kosten voor een IT-verklaring voor kleinere bedrijven "behapbaar zijn" en hoe het zit met geheimhouding.

Verklaring

Uitgangspunt van de beoogde IT-auditverklaring is dat die assurance geeft bij een door de organisatie zelf opgesteld IT-verslag. Daarin kan bijvoorbeeld worden vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen, aldus de NOREA. Ook moet het IT-verslag iets zeggen over de mate waarin IT binnen een organisatie toekomstbestendig is. "Dat is voor de verschillende stakeholders immers het meest relevant."

Een NOREA-werkgroep is al langer bezig met het vormgeven van het IT-verslag en de bijbehorende verklaring. Momenteel wordt gewerkt aan de standaard voor het IT-verslag, die ook de basis moet vormen voor de audit. De beroepsorganisatie wil via gesprekken met stakeholders en een enquête onder toekomstige gebruikers de inhoud van IT-verslag en de bijbehorende verklaring zo goed mogelijk laten aansluiten op de behoefte.

Ook kijkt de werkgroep hoe assurance kan worden gegeven over de verschillende onderdelen van het IT-verslag. Ambitie is om het IT-verslag voor het eerst over het boekjaar 2022 in te zetten.

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.