Beheersing van IT verdient complete reset: Van versnipperde compliance naar holistisch kader

In een hyperdigitale wereld draait alles om betrouwbare en stabiele IT-systemen. Zonder vertrouwen in deze systemen zou de maatschappij niet langer functioneren. Organisaties kunnen dit vertrouwen actief versterken door op de juiste manier inzichten te geven in hun digitale systemen. Om dat effectief te doen, is een geheel nieuw concept nodig voor rapportages.

IDRS standaarden

De IDRS (International Digital Reporting Standards) kunnen organisaties toepassen voor het opstellen van een jaarlijks verslag over IT-beheersing. Het doel is om transparantie te bieden aan stakeholders, bestuurders en toezichthouders over de digitale weerbaarheid van een organisatie.

Dit jaarlijkse verslag zorgt ervoor dat organisaties veel efficiënter kunnen aantonen dat zij voldoen aan wetten en regels voor beheersing van IT en dat organisaties en de maatschappij kunnen blijven rekenen op betrouwbare systemen.

Wetgeving effectief borgen in organisaties via hun IT-beheersing

Aankomende en al geldende Europese Digitale Wetgeving beogen de weerbaarheid en autonomie te vergroten en soevereiniteit te herwinnen op het gebied van waarden, innovatie en duurzaamheid. De EU heeft meer dan 100 wetten in ontwikkeling die het digitale domein raken, maar er ontbreekt één samenhangende standaard voor het management van organisaties om hier zicht op te houden binnen een organisatie.

Uitdagingen voor organisaties

Het steeds verder uitdijende stelsel van regelgeving (en bijbehorende verantwoording) brengt een aantal uitdagingen met zich mee:

1. Maakt de regelgeving onze maatschappij veiliger en weerbaarder?
2. Is toezicht op het voldoen aan de regelgeving uitvoerbaar?
3. Is de lastendruk die hieruit voor organisaties voortvloeit binnen de perken te houden?
4. Zijn bestuurders in staat om de verantwoording te dragen die door de reguleringen expliciet bij hen wordt neergelegd?
5. Wat zijn de gevolgen voor onze concurrentiepositie?

Om aan deze uitdagingen het hoofd te kunnen bieden, is een reset nodig die de geest van de regelgeving in acht neemt, maar dat vele malen efficiënter en effectiever doet. Dé IDRS standaarden.

De IDRS biedt één integraal IT-verslag voor het management van organisaties om zich te verantwoorden en belanghebbenden te informeren over IT-Governance, Risk en Compliance en essentiële IT-onderwerpen, zoals digitale innovatie en transformatie, data governance en ethiek, outsourcing, cybersecurity, duurzaamheid, IT-continuity management en privacy.

Meer grip op digitale risico’s en meer transparantie door integraal IT-verslag

De IDRS is ontwikkeld om grip te krijgen op digitale risico’s en om versnipperde IT-verantwoording te vervangen door één integraal samenhangend rapport. In een wereld waarin IT de kern vormt van vrijwel alle bedrijfsprocessen is transparantie over digitale veiligheid en compliance cruciaal. De inzet van de IDRS helpt organisaties om stakeholders te informeren, vertrouwen te versterken en strategische keuzes te onderbouwen. Het biedt ook een raamwerk voor assurance, oftewel zekerheid over de betrouwbaarheid van het IT-rapport door auditors.

Door jaarlijks te rapporteren als onderdeel van de PDCA-cyclus (Plan–Do–Check–Act), krijgen organisaties beter inzicht in hun digitale kwetsbaarheden, verbeterpunten en strategische IT-doelen. Dit leidt tot meer grip op IT-processen, betere besluitvorming en minder verrassingen bij incidenten of audits.

Vergroten van digitale weerbaarheid en economische slagkracht

Door de beheersing van IT te documenteren, ontstaat een cultuur van digitale verantwoordelijkheid. De toepassing van de IDRS maakt kwetsbaarheden zichtbaar en stimuleert verbeteracties, waardoor de digitale weerbaarheid toeneemt.

Hiermee wordt de economische slagkracht vergroot, doordat verbeteringen in IT-beheersing worden doorgevoerd en naleving van de relevante wetgeving daadwerkelijk bijdraagt aan die slagkracht, autonomie en waarden van een organisatie. Tevens vermindert het compliancekosten en -risico’s om niet aan deze wetten te voldoen.

Het idee is in de kern heel simpel. Organisaties geven nu elk jaar inzicht in hun financiële performance (en de maatschappelijke impact) in een jaarverslag. Op soortgelijke wijze is het nu ook mogelijk een verslag over hun IT-beheersing uit te brengen.

Rapportages volgens één standaard

De jaarlijkse rapportages versterken het vertrouwen in ecosystemen en geven inzicht in de digitale basishygiëne van organisaties. Dit maakt het leven voor marktpartijen, afnemers, leveranciers en financiers van digitale diensten een stuk eenvoudiger, maar ook voor de overheid en toezichthouders.

Als het gaat om transparantie en verantwoording over digitale veiligheid kan de markt haar werk doen. Een bestuurder of commissaris wil immers graag de risico’s op bedrijfs- en reputatieschade als gevolg van digitale nalatigheid goed managen en zal dan bij voorkeur kiezen voor partners die dat aantoonbaar goed op orde hebben.

Doelstellingen IDRS platform

NOREA, de beroepsorganisatie van alle in Nederland geregistreerde IT-auditors, heeft enige jaren geleden het initiatief genomen de IDRS op te starten. Inmiddels is dankzij een groep van initiatiefnemers de IDRS uitgegroeid tot het IDRS platform dat de samenwerking tussen stakeholders rond digitale wetgevingen organiseert.

Het IDRS platform richt zich op drie hoofdactiviteiten, te weten: het delen van kennis en best practices tussen verstrekkers, ontvangers en IT-auditors, meningsvorming en evaluatie rondom komende en bestaande wetgeving en het verder ontwikkelen en het beheer van de IDRS.

Het IDRS platform onderhoudt de IDRS ook langs de volgende invalshoeken:

• Nieuwe wetten kunnen aanleiding zijn tot het aanpassen van de standaard.
• Nieuwe IT-ontwikkelingen (bijvoorbeeld quantum) kunnen een aanleiding zijn tot het aanpassen van de set van standaarden.
• Opstellen van sectorstandaarden. Te denken valt aan een addendum op de IDRS voor de financiële sector (om te rapporteren over DORA), de kritische infrastructuur (om te rapporteren over NIS2) of de lokale overheid waarbij huidige verantwoordingen kunnen vervallen ten gunste van één rapportage op basis van de IDRS
• Het geven van gevraagd en ongevraagd advies.

Een groep van deskundigen zorgt vervolgens voor het aanpassen van de IDRS indien dat nodig is.

De Initiatiefnemers van het IDRS platform zijn Arcadis, CZ groep, De Nederlandsche Bank, ECP | Platform voor de InformatieSamenleving, Instituut van Internal Auditors, het ministerie van Economische Zaken, het ministerie van Financiën/Auditdienst Rijk, NOREA, Rijksinspectie Digitale Infrastructuur, TIAS en de Vrije Universiteit Amsterdam. Het IDRS platform is gehuisvest bij ECP.