Het IT-verslag komt eraan!

Dagelijks worden we geconfronteerd met cybercrimes. Zowel de frequentie als de impact nemen hand over hand toe. Organisaties moeten zorgen dat ze weerbaar zijn, dat hun IT-systemen een aanval kunnen weerstaan en dat er noodprocedures zijn.

Over de financiële gezondheid van organisaties geven accountants jaarlijks hun oordeel in een accountantsverklaring bij het jaarverslag. Maar die controle geeft geen oordeel over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om vast te stellen of een organisatie voldoende weerbaar is tegen toekomstige cyberaanvallen. Een nieuwe rapportagevorm, de IT-auditverklaring, geeft hier invulling aan.

Met een nieuwe verklaring, de IT-auditverklaring, kunnen organisaties en hun stakeholders aanvullende zekerheid krijgen over de weerbaarheid van hun IT systemen.

Als de IT-infrastructuur kwetsbaar is voor datalekken en cyberaanvallen kan een organisatie zomaar omvallen. Stakeholders hebben een groot belang bij assurance over de juiste werking van informatietechnologie. Dan gaat het niet alleen om banken, maar ook leveranciers, consumenten, ratingbureaus, toezichthouders en het maatschappelijk verkeer in brede zin.

De IT-auditverklaring geeft zekerheid bij een door de organisatie zelf opgesteld IT-verslag. Daarin wordt vermeld hoe de beheersing van IT in het afgelopen jaar heeft plaatsgevonden en wat de organisatie heeft gedaan om herhaling van incidenten te voorkomen. Daarnaast gaat het IT-verslag in op de afhankelijkheid en kwetsbaarheid van haar IT systemen en de maatregelen die het heeft getroffen en het komend jaar gaat treffen om de cyberweerbaarheid te vergroten. Het IT-verslag kijkt daarmee niet alleen naar het afgelopen jaar, maar ook naar de toekomst. Dat is voor de stakeholders het meest relevant.

De verwachting is dat externe toezichthouders en banken het IT-verslag en de IT-auditverklaring mee zullen nemen in hun risicobeoordeling van de organisatie. De NOREA is ver gevorderd met het normenkader en verwacht dat in 2022 de standaarden klaar zijn voor invoering.

Rien Hommes