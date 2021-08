De Nederlandse vereniging van it-auditors NOREA werkt aan een certificaat waarmee organisaties in de toekomst aanvullende zekerheid krijgen over de weerbaarheid van hun IT. Volgens de NOREA groeit in de bestuurs-/directiekamers van Nederlandse organisaties en hun stakeholders de behoefte aan een onafhankelijk oordeel over de inrichting en beheersing van IT.

De beroepsvereniging vindt het niet meer dan logisch dat er behoefte is aan een onafhankelijk en deskundig oordeel over de IT, schrijft het op de website. ‘Als bijvoorbeeld een onderneming een lening bij een bank wil afsluiten, moet deze aantonen liquide en solvabel te zijn. Met de voortschrijdende digitalisering vertellen die ratio’s echter niet meer het hele verhaal. Een online handelshuis kan nog zo solvabel zijn, als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen. Een brede groep van stakeholders hecht belang bij zekerheid omtrent de juiste werking van informatietechnologie. Dat betreft niet alleen banken maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en in brede zin het maatschappelijk verkeer.’

Assurance geven

De beoogde IT-auditverklaring moet assurance geven bij een door de organisatie zelf opgesteld IT-verslag. ‘Daarin kan bijvoorbeeld worden vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Dat alleen is echter niet voldoende. Het IT-verslag moet ook iets zeggen over de mate waarin IT binnen een organisatie toekomstbestendig is. Dat is voor de verschillende stakeholders immers het meest relevant. Naar verwachting zal het IT-verslag daarmee bestaan uit zowel generieke onderwerpen (zoals informatiebeveiliging en continuïteit) als uit onderwerpen die cruciaal zijn binnen de sector waarin de organisatie opereert.’

Volgens de NOREA- hoeft de invoering van een IT-auditverklaring in de praktijk niet ingewikkeld te zijn. ‘De IT-auditor maakt immers in de huidige situatie toch al deel uit van het controleteam van de externe accountant. De IT-auditor kan de scope van het oordeel verbreden van alleen financiële aspecten naar de volledige IT-organisatie. Dat houdt het ook betaalbaar. Het rapporteren over IT is van nationaal belang, Nederland is één van de meest gedigitaliseerde landen ter wereld en Amsterdam neemt een vooraanstaande positie in de wereld in als IT-hub. Het is daarom van nationaal belang dat al die informatietechnologie binnen organisaties foutloos werkt en blijft functioneren.’

