Home Magazine

Interview met Marc Welters, bestuurslid NOREA, over de NRI-standaard

05 september, 2024
Marc Welters, vicevoorzitter NOREA Bestuur
Marc Welters is in zijn dagelijkse hoedanigheid werkzaam als partner bij EY. Hij is als IT-auditor werkzaam in de financiële de sector, waar hij zich bezighoudt met twee soorten opdrachten: jaarrekeningcontrole-ondersteuning en de advisering omtrent IT-beheersing bij de niet-jaarrekeningcontroleklanten. Daarnaast is Marc vicevoorzitter van NOREA, geeft hij als docent een paar keer per jaar college aan post-master IT auditstudenten ESAA in Rotterdam en verzorgt hij het college “IT-beheersing” aan de commissarissenopleiding van Nyenrode en UMIO Maastricht. Marc is tevens lid van het curatorium van de Post Master IT audit aan TIAS University in Tilburg. 
Redactie: Kan je ons kort meenemen hoe NOREA op het idee is gekomen om te starten met het initiatief voor een IT-rapportage-standaard? 
Marc: Begin 2020, naar aanleiding van drie momenten, hebben wij als bestuur van NOREA gezegd: “Wij moeten toe naar een rapportagestandaard voor organisaties die intern dan wel extern verslag willen doen over hun IT-beheersing”.

Het eerste moment was de behoefte aan een breder IT-beheersings-perspectief. Met het bestuur heeft een gesprek plaatsgevonden over de positionering van de beroepsgroep en hoe we zouden moeten acteren in de maatschappij: namelijk van meer reactief (we waren en zijn er voor onze leden) naar meer proactief (we zijn er ook om organisaties digitaal weerbaarder te maken en te houden). Als mijn medebestuursleden of ikzelf de audit-resultaten met de commissarissen bespreken in het kader van de managementletter, krijgen wij steevast de vraag: ‘hoe is het met onze IT in brede zin geregeld?’ en ‘hoe is het met onze cyber geregeld, zijn we nu ‘cyberweerbaar’ ja of nee?’. We moeten dan altijd zeggen dat cyber & IT niet in zijn volle omvang in de scope zit van de jaarrekeningcontrole. Cyber zit er een klein beetje in, maar niet zodanig dat we uitspraken kunnen doen over de cyber resilience in de volle breedte. In veel gevallen leidt dat tot een teleurstelling bij de commissarissen. En ook wat betreft IT-beheersing is alléén IT in scope die relevant is voor de jaarrekeningcontrole.

Het tweede moment betrof een artikel destijds in Het Financieele Dagblad. In dit artikel stond dat stakeholders – commissarissen, bestuurders maar ook partijen als VEB en VNO-NCW – meer en meer behoefte hebben aan rapportages over andere risico's dan de financiële risico's. Bijvoorbeeld dus ook over de IT- en informatiebeveiligingsrisico's.

Het derde moment was een interview met Michiel Steltman, voorzitter van de Stichting Digitale Infrastructuur Nederland. Hij werd geïnterviewd door BNR Radio. In dat interview deed hij de volgende uitspraak: ‘Eigenlijk zouden organisaties één keer per jaar getoetst moeten worden op de IT-beheersing en daarover moeten rapporteren’.

Dat was voor ons als bestuur het signaal: we gaan naar een IT-rapportagestandaard toe, met, indien gewenst, een IT-auditverklaring. En zo zijn we bij NOREA begonnen met een werkgroep van een man of twintig.

Deze werkgroep heeft als doel drie deliverables op te leveren:
  • de standaard, de NOREA Reporting Initiative (NRI);
  • de IT-auditverklaring; en
  • een richtlijn voor onze leden, die eventueel gevraagd worden een verklaring af te geven. 
Redactie: Waarop is de NRI standaard eigenlijk gebaseerd? 
Marc: “De NRI-standaard is gebaseerd op de COSO-methodiek qua indeling van de thema’s. Verder is langs de lijn van de Global Reporting Initiative (GRI), oftewel Sustainability Reporting Initiative, de structuur verder vormgegeven. Als het om IT gaat zou daarbij de focus naar de mening van de werkgroep moeten liggen op governance en risk. Daarbinnen heeft de werkgroep zes thema’s benoemd die de gehele IT-beheersing afdekken, te weten – IT-continuïteit, cyber security, innovatie, data governance & ethics, privacy en outsourcing – die verder binnen genoemde structuur zijn uitgewerkt in diverse (reporting-)vereisten.
In dit totstandkomingsproces heeft de werkgroep afstemming gezocht met andere partijen zoals bijvoorbeeld de NBA en ook het IIA om na te gaan of men nog op de goede weg was. Een van de vragen daarbij was ook of dit ‘product’ nu straks mee moet worden genomen in de jaarrekeningcontrole, danwel dat het als een separate dienst moet worden aangeboden.

Het antwoord was uiteindelijk simpel: NOREA gaat via de werkgroep een verslaggevingsstandaard opstellen die geïnteresseerde partijen kunnen gebruiken om richting hun stakeholders verantwoording af te leggen over hun IT-beheersing. Tenslotte is de verklaring daarbij gebaseerd op de in de markt reeds bekende ISAE 3000 assurance-aanpak. En staat daarmee dus los van de controle van de jaarrekening. Maar het is indien gewenst wel mogelijk om de NRI te integreren in bijvoorbeeld een ‘integrated report’. De werkgroep heeft daarin alle opties open gelaten. Het is uiteindelijk bedoeld als een uitnodiging aan organisaties om zich over meer te verantwoorden dan alleen de financiën”. 
Redactie: Hoe waren de reacties op dit initiatief? 
Marc: In de afgelopen vier jaar merkten wij dat ons verhaal niet helemaal klopte. Als ik naar een klant stapte en vertelde over een IT-auditverklaring bij een IT-jaarverslag dan keek de klant me verbaasd aan en gaf deze aan dat de organisatie nog niet zover was.

Vandaar dat de werkgroep de initiële focus op de IT-auditverklaring heeft verlegd naar het NOREA Reporting Initiative (NRI).

Er is inmiddels namelijk ook meer de behoefte aan IT-rapportages gekomen door de introductie van onder andere DORA en NIS2. Onder DORA is bijvoorbeeld de noodzaak ontstaan om richting de toezichthouder te rapporteren over de IT-weerbaarheid van de (financiële) organisatie. Deze nieuwe wetgeving zegt namelijk dat er verantwoording moet worden afgelegd over de beheersing van de IT in de hele organisatie en de keten van toeleveranciers. De werkgroep heeft de pakweg 1200 vereisten uit DORA ook reeds ‘gemapt’ op de verschillende thema’s zoals nu zijn opgenomen in de NRI. Daarmee is de NRI dus prima geschikt als een verslagleggingsstandaard voor onder meer DORA-compliance.

Daarnaast is er bij stakeholders binnen organisaties inmiddels meer behoefte aan een degelijke assurance-rapportage die gaat over de brede beheersing van IT binnen de organisatie. “De risico-rapportage van de tweede of zelfs de derde lijn, dan wel een ad hoc-rapportage van de CIO, voldoet over het algemeen niet meer”, aldus Marc. NIS2 geeft aan dat bestuurders aansprakelijk gesteld kunnen worden en zo zie je de vraag naar een interne rapportage ontstaan. Ook daarvoor kan de NRI een goed hulpmiddel zijn. 
Redactie: In de afgelopen jaren is een aantal pilots geweest met betrekking tot de IT-rapportagestandaard. Wat zijn daar de ervaringen mee? 
Marc: “Inderdaad heeft CZ in 2022 aangegeven, als eerste in Nederland en eigenlijk als eerste in de wereld, een pilot te willen doen. CZ heeft de toenmalige versie 1.0 van de NRI-standaard als uitgangspunt genomen om voor hun nieuwe CIO een foto te maken van hun IT-organisatie. Men heeft daar eind 2022 voor hun RvB en RvC een IT-verslag over opgesteld. Maar ze hebben dat verslag uiteindelijk intern gehouden. Daar heb ik wel onderdelen van mogen zien, maar het is niet publiekelijk gedeeld. De lessons learned door CZ zijn in versie 2.0 verwerkt.

Tegelijkertijd heeft er ook een consultatieronde plaatsgevonden met de grote accountantskantoren in de periode 2021-2023. Daarin is aan de kantoren gevraagd om input te leveren vanuit hun deskundigheid over verslagleggingsstandaarden. Deze feedback is ook in versie 2.0 verwerkt.

Inmiddels heeft een beursgenoteerde onderneming medio 2024 op basis van NRI-standaard versie 3.0 gerapporteerd en heeft NOREA ook feedback gevraagd aan marktpartijen zoals het CIO-platform, IIA en NBA. In het vierde kwartaal 2024 zal dan ook versie 4.0 van de NRI-standaard op de NOREA-website te vinden zijn. Deze versie is robuust en bijna alle leerpunten uit de eerdere iteraties zijn hierin door de werkgroep verwerkt.”  
Redactie: Wat verwacht je als versie 4.0 van het NRI er eenmaal ligt? Verwacht je een vliegwieleffect, zodat ook andere bedrijven willen rapporteren over hun IT-beheersing? 
Marc: “Ja, daar ben ik wel van overtuigd. Kijk, mede door DORA en NIS2, merk je bij commissarissen en bestuurders dat ze behoefte hebben aan een IT-rapportage als verantwoording over de beheersing van IT/OT. Zij begrijpen ook dat ze als eindverantwoordelijken momenteel niet altijd adequaat worden geïnformeerd over de gehele IT-beheersing en soms zijn de huidige rapportage(s) niet altijd compleet en begrijpelijk. Wat ze wel krijgen is vaak te (vak)technisch van aard. Dus dat er een behoefte is aan een brede IT-verslagleggingsstandaard daar ben ik van overtuigd. Daarbij zoekt men wel naar de balans tussen ‘te hoog over, en daardoor niks zeggend’ en ‘te gedetailleerd, waardoor alle kwetsbaarheden pontificaal op straat komen te liggen’.”

“Het eerdergenoemde in de laatste pilot betrokken beursgenoteerd bedrijf wil naar buiten toe transparant zijn en heeft al aangegeven dat zodra het IT-verslag klaar is om gepubliceerd te worden dat ook aan de buitenwereld wordt gepresenteerd. Men wil dan daar ook publiciteit aan geven. Want de onderneming is straks de eerste beursgenoteerde organisatie die een IT-verslag publiceert. Zelf krijgen wij als NOREA samen met hen in november spreektijd op het CIO-platform om lessons learned te delen.

En zo zijn er meer initiatieven: onder andere KPMG heeft een artikel geschreven in hun magazine Compact over de NRI. Een artikel van negen pagina's waarin ze ook CZ geciteerd hebben en wat positief ontvangen is. Dus ik weet vrijwel zeker, dat er een vliegwiel in gang wordt gezet.” 
Redactie: Wat voor invloed denk je dat dit initiatief op de besluitvorming van een RvC zal hebben van ondernemingen? 
Marc: “Ten eerste: Je hebt een beeld van hoe de IT is geregeld in de organisatie en waarop te focussen wat (nog) niet goed is geregeld. Ten tweede vereist de DORA-regelgeving nu ook dat bestuurders en commissarissen IT-kennis moeten hebben. Die twee samen maken dat als je er kennis van hebt, je er ook vanaf wilt weten. Dat zorgt voor een vraag van bovenuit de organisatie. En vanuit de onderkant van de organisatie komt de vraag dan vanzelf of en hoe men het ook kan leveren. Het NRI dicht mooi de gap tussen die twee vragen.”
Meer informatie over het NOREA Reporting Initiative
Meer informatie over het NRI is te vinden bij de Werkgroep NRI. Houd de website in de gaten want er is ook nog een podcastaflevering in de maak.
Werkgroep NOREA Reporting Initiative (NRI)