Met een nieuw soort verklaring kunnen organisaties in de toekomst aanvullende zekerheid krijgen over de weerbaarheid van hun IT.
De scope van een jaarrekeningcontrole in zijn huidige vorm is te beperkt om een adequaat oordeel te vellen over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om bijvoorbeeld vast te stellen of een organisatie voldoende weerbaar is tegen cyberaanvallen en qua IT voorbereid is op de nabije toekomst. Een nieuwe rapportagevorm, de IT-auditverklaring, geeft hier invulling aan.
Volgens de NOREA, de beroepsorganisatie van IT-auditors, groeit in de bestuurs-/directiekamers van Nederlandse organisaties en hun stakeholders de behoefte aan een onafhankelijk oordeel over de inrichting en beheersing van IT. Is deze toekomstbestendig? Loopt de organisatie risico’s als gevolg van bijvoorbeeld cyberbedreigingen of privacy issues? De wens om qua IT in control te zijn wordt nog versterkt doordat het bedrijfsleven en de overheid in hoog tempo digitaliseren.
De NOREA vindt de behoefte aan een onafhankelijk en deskundig oordeel over de IT niet meer dan logisch. Als bijvoorbeeld een onderneming een lening bij een bank wil afsluiten, moet deze aantonen liquide en solvabel te zijn. Met de voortschrijdende digitalisering vertellen die ratio’s echter niet meer het hele verhaal. Een online handelshuis kan nog zo solvabel zijn, als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen. Een brede groep van stakeholders hecht belang bij zekerheid omtrent de juiste werking van informatietechnologie. Dat betreft niet alleen banken maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en in brede zin het maatschappelijk verkeer.
De bedoeling is dat de beoogde IT-auditverklaring assurance geeft bij een door de organisatie zelf opgesteld IT-verslag. Daarin kan bijvoorbeeld worden vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Dat alleen is echter niet voldoende. Het IT-verslag moet ook iets zeggen over de mate waarin IT binnen een organisatie toekomstbestendig is. Dat is voor de verschillende stakeholders immers het meest relevant. Naar verwachting zal het IT-verslag daarmee bestaan uit zowel generieke onderwerpen (zoals informatiebeveiliging en continuïteit) als uit onderwerpen die cruciaal zijn binnen de sector waarin de organisatie opereert.
Volgens de NOREA- hoeft de invoering van een IT-auditverklaring in de praktijk niet ingewikkeld te zijn. De IT-auditor maakt immers in de huidige situatie toch al deel uit van het controleteam van de externe accountant. De IT-auditor kan de scope van het oordeel verbreden van alleen financiële aspecten naar de volledige IT-organisatie. Dat houdt het ook betaalbaar. Het rapporteren over IT is van nationaal belang, Nederland is één van de meest gedigitaliseerde landen ter wereld en Amsterdam neemt een vooraanstaande positie in de wereld in als IT-hub. Het is daarom van nationaal belang dat al die informatietechnologie binnen organisaties foutloos werkt en blijft functioneren.
Een NOREA werkgroep is al geruime tijd bezig met het vormgeven van het IT-verslag en de bijbehorende verklaring. Op dit moment wordt gewerkt aan de standaard voor het IT-verslag die tevens de basis zal vormen voor de audit. Naast gesprekken met stakeholders zal ook een enquête worden gehouden onder toekomstige gebruikers van IT-verslag en -verklaring. Hiermee wordt beoogd de inhoud van IT-verslag en -verklaring zo goed mogelijk aan te laten sluiten op de behoefte. De werkgroep zal ook nagaan op welke wijze assurance kan worden gegeven over de verschillende onderdelen van het IT-verslag.