e-tip 2021-33: Banken en beleggers zien IT-verklaring van Norea wel zitten
Norea, de beroepsorganisatie voor IT-auditors, werkt aan een IT-auditverklaring die in de toekomst voor bedrijven mogelijk een voorwaarde gaat worden om een krediet te kunnen sluiten.
Volgens de Norea groeit in de bestuurs- en directiekamers van Nederlandse organisaties en hun stakeholders de behoefte aan een onafhankelijk oordeel over de inrichting en beheersing van IT. ‘Is deze toekomstbestendig? Loopt de organisatie risico’s als gevolg van bijvoorbeeld cyberbedreigingen of privacy-issues? De wens om qua IT in control te zijn wordt nog versterkt doordat het bedrijfsleven en de overheid in hoog tempo digitaliseren. De scope van een jaarrekeningcontrole in zijn huidige vorm is te beperkt om een adequaat oordeel te vellen over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om bijvoorbeeld vast te stellen of een organisatie voldoende weerbaar is tegen cyberaanvallen en qua IT voorbereid is op de nabije toekomst. Een nieuwe rapportagevorm, de IT-auditverklaring, geeft hier invulling aan.’
Solvabiliteit vertelt niet het hele verhaal
Volgens de organisatie is de behoefte aan een onafhankelijk en deskundig oordeel over de IT ‘niet meer dan logisch’. ‘Als bijvoorbeeld een onderneming een lening bij een bank wil afsluiten, moet deze aantonen liquide en solvabel te zijn. Met de voortschrijdende digitalisering vertellen die ratio’s echter niet meer het hele verhaal. Een online handelshuis kan nog zo solvabel zijn, als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan zo’n organisatie zomaar omvallen. Een brede groep van stakeholders hecht belang bij zekerheid omtrent de juiste werking van informatietechnologie. Dat betreft niet alleen banken maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en in brede zin het maatschappelijk verkeer.’
Toekomstbestendigheid
De beoogde IT-auditverklaring moet assurance geven bij een door de organisatie zelf opgesteld IT-verslag. Daarin kan bijvoorbeeld worden vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. ‘Dat alleen is echter niet voldoende. Het IT-verslag moet ook iets zeggen over de mate waarin IT binnen een organisatie toekomstbestendig is. Dat is voor de verschillende stakeholders immers het meest relevant. Naar verwachting zal het IT-verslag daarmee bestaan uit zowel generieke onderwerpen (zoals informatiebeveiliging en continuïteit) als uit onderwerpen die cruciaal zijn binnen de sector waarin de organisatie opereert.’
Invoering eenvoudig
Norea ziet geen beren op de weg bij de invoering van een IT-auditverklaring. ‘De IT-auditor maakt immers in de huidige situatie toch al deel uit van het controleteam van de externe accountant. De IT-auditor kan de scope van het oordeel verbreden van alleen financiële aspecten naar de volledige IT-organisatie. Dat houdt het ook betaalbaar.’ Volgens de auditorclub is het rapporteren over IT van nationaal belang omdat Amsterdam op IT-gebied een vooraanstaande positie inneemt.
Enquête
Een werkgroep is bezig met het vormgeven van het IT-verslag en de bijbehorende verklaring. Nu wordt gewerkt aan de standaard voor het IT-verslag die de basis zal vormen voor de audit. Er wordt ook een enquête gehouden onder toekomstige gebruikers van IT-verslag en -verklaring. ‘Hiermee wordt beoogd de inhoud van IT-verslag en -verklaring zo goed mogelijk aan te laten sluiten op de behoefte. De werkgroep zal ook nagaan op welke wijze assurance kan worden gegeven over de verschillende onderdelen van het IT-verslag.’
Beleggers en geldgevers positief
Beleggers en kredietverstrekkers staan positief tegenover het initiatief: ‘We sluiten niet uit dat de verklaring in de toekomst een voorwaarde wordt bij kredieten aan bedrijven die afhankelijk zijn van IT’, zegt een woordvoerder van NIBC tegen het FD. Beleggersvereniging Eumedion hoopt dat de IT-auditverklaring een vast onderdeel wordt van de accountantsverklaring, waarin het nu al zou moeten worden aangegeven als een bedrijf de IT niet op orde heeft. Wel wordt gewaarschuwd dat zo’n verklaring snel kan veranderen van ‘nice to have’ in een verplichting.
Bron: site Accountancyvanmorgen / Norea