De accountant moet bestuurders en interne toezichthouders bevragen over cybersecurity en de belangrijkste conclusies daarover opnemen in de managementletter, schrijft de NBA in de publicatie ‘Van hype naar aanpak’ over risico’s van cybersecurity. De accountant moet bijdragen aan de bewustwording in de organisatie ten aanzien van digitale risico’s, die even groot zijn als fraude.
Het opnemen van de belangrijkste conclusies over cybersecurity in de managementletter is in lijn met de wettelijke verplichting om bevindingen over betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking te melden. Jacques Urlus, beleidsadviseur ICT en Accountancy van NBA, ziet cybersecurity het liefst een vast onderdeel vormen van risicomanagement. ‘Het moet op dezelfde wijze behandeld worden als het risico op fraude of brand. De mindset van de bestuurder omtrent cybersecurity moet veranderen. Dat de organisatie eens wordt gehackt is wel zeker. De focus op preventie moet verschuiven naar detectie en response.’
Zowel de bestuurder als zijn accountant moeten dezelfde zorgen delen op het gebied van cybersecurity. ‘Beide zijn gebaat bij een betrouwbare financiële verantwoording en een continue bedrijfsvoering. De accountant dient, voor zover nodig, cybersecurity bespreekbaar te maken. Essentiele aandacht moet er zijn voor de kroonjuwelen.’
Pieter de Jong, voorzitter van de NBA, is zich bewust van de menselijke risico, maar vertrouwt erop dat bedrijven reageren. ‘Alles beveiligen is onmogelijk. Daarom dient de focus op de kroonjuwelen gelegd te worden: de meest vitale data en processen. De mens is vaak de zwakste schakel, ook cultuur en gedrag verdienen de aandacht. Het gaat er in essentie om dat een organisatie over voldoende digitale weerlegbaarheid beschikt: incasseringsvermogen en slagkracht.’ Surlus gelooft dan ook niet in een optimale cybersecurity. ‘Hackers zullen altijd proberen om de beveiligingsmaatregelen te doorbreken. Zowel de bestuurder als de accountant moeten dit als een inherent risico beschouwen. De huidige controle op de jaarrekening richt zich veelal op de werking van de preventieve maatregelen. De meerwaarde van de controle wordt vergroot door ook aandacht te hebben voor de detectie en response capaciteit van een organisatie.’
