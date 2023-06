NOREA, de beroepsorganisatie van IT-auditors, heeft een verslaggevingsstandaard ontwikkeld en ter consultatie aangeboden. Volgens de SRA heeft het Nederlandse (controleplichtige) mkb in toenemende mate te maken met IT-risico’s. Maar de ledenorganisatie vindt dat management van IT geen ‘papieren tijger’ met onnodige administratieve lastenverzwaring moet gaan worden.

Het ‘NOREA Rapportage Initiatief‘ (NRI) biedt het management van een organisatie een handvat om zich met een IT-beheerverslag te verantwoorden en belanghebbenden te informeren. Een rapportage over het beheer van IT is niet (wettelijk) verplicht. Rapporteren volgens de NRI-verslaggevingsstandaard kan een belangrijke bijdrage leveren aan het benodigde inzicht in IT voor aandeelhouders en overige stakeholders. Met de verslaggevingsstandaard ligt er volgens NOREA een solide basis voor organisaties van verschillende omvang om op een consistente manier te rapporteren over bijvoorbeeld IT-Governance, Risk and Compliance en over essentiële onderwerpen als Digital Innovation and Transformation, Data Governance and Ethics, Outsourcing, Cybersecurity, IT Continuity Management en Privacy.

Raamwerk

Het verslag over het beheer van IT gaat in op de huidige situatie en ontwikkelingen in de nabije toekomst en beschrijft hoe de organisatie daarop gaat inspelen. De rapportage-eisen en aanbevelingen in de standaard zijn geïnspireerd op algemeen en internationaal aanvaarde standaarden en best practices. In de beschrijvingen wordt per onderwerp steeds aandacht besteed aan de management cyclus (Plan-Do-Check-Act) die door de organisatie is ingericht. De verslaggevingsstandaard zal worden aangevuld met een audithandreiking waarmee onafhankelijke IT-auditors de getrouwe weergave van de feitelijke situatie kunnen bevestigen met een assurance-rapport.

Geen papieren tijger

Leden van de SRA IT-auditkring en de Commissie Kwaliteit Vaktechniek hebben gezamenlijk vanuit SRA-perspectief gereageerd op de NOREA verslaggevingsstandaard. SRA constateert in het algemeen dat het Nederlandse (controleplichtige) mkb in toenemende mate te maken heeft met IT-risico’s. Vanzelfsprekend bij het uitvoeren van (wettelijke) controles, en nog veel meer in verband met grote financiële risico’s die kunnen oplopen tot situaties van discontinuïteit. Het is daarom evident dat het Nederlandse mkb aan de slag gaat en/of blijft met IT-risico’s. Bezien vanuit deze context is het NRI een goed initiatief. De kanttekening die SRA en ook mkb-opdrachtgevers willen plaatsen, is dat management van IT geen ‘papieren tijger’ met onnodige administratieve lastenverzwaring moet gaan worden. Tussen stevig IT-beheer en nutteloze administratieve lasten moet de juiste balans gezocht worden.

Bron: SRA