close
Share with your friends

Wordt accountant de rookmelder van cyberrisico’s?

Wordt accountant de rookmelder van cyberrisico’s?

Cybercriminelen kunnen ieder moment keihard toeslaan. Al denk je als bestuurder of commissaris de beveiliging van de organisatie nog zo goed op orde te hebben. Dat besef is inmiddels goed doorgedrongen tot de bestuurskamers van Nederland.

Gerelateerde content

Accepteer dat er altijd cyberrisiso’s blijven bestaan. Maar bestuurders en commissarissen vragen zich vervolgens terecht af: wie is er verantwoordelijk als hackende cybercriminelen erin slagen onze bedrijfsprocessen volledig plat te leggen? En wat mag je in zo’n situatie van je accountant verwachten?

Ook commissaris moet cyberrisico’s beoordelen

Op het eerste gezicht lijkt het simpel: de CEO is eindverantwoordelijk, ook voor cyberveiligheid. Een paar jaar geleden was dat nog de CIO of de Chief Information Security Officer. Maar cyberveiligheid is inmiddels zó strategisch en cruciaal, dat het volkomen terecht is gepromoveerd naar ‘Chefsache’. Moet de CEO dan alle ins en outs van cyberveiligheid kunnen doorgronden? Niet per se. Maar hij is, als het goed is, wel expert in het beheersen van risico’s. De CEO, en in zijn kielzog de Raad van Bestuur, is weliswaar eindverantwoordelijk, maar staat hierin niet alleen.

Zo moeten de commissarissen niet alleen toezien welke maatregelen de RvB treft voor alle mogelijke cyberrisico’s, ze moeten daar ook iets van vinden. Zodat ze hierover een scherpe, inhoudelijke dialoog kunnen aangaan met bestuurders. Want er staat veel op het spel, als het mis gaat: een mogelijk miljoenenverlies, dat kan uitmonden in faillissement; enorme boetes; een geschonden imago; en last but not least een persoonlijke aansprakelijkheidsclaim. Deze nieuwe rol vergt dus de nodige cyberkennis van commissarissen.

Wordt accountant de rookmelder van cyberrisico’s?

Hoe ver gaat de accountant?

Dan de vraag wat je van je accountant mag verwachten. Moet die zich alleen uitspreken over de mate van cyberveiligheid? Of ook over de wijze waarop je die cyberrisico’s het beste kunt beheersen? Formeel is daar nog niets over vastgelegd. Maar dat zou wat mij betreft wel moeten, en wel zo snel mogelijk. Vast staat dat je als accountant ten minste moet signaleren wat de strategische cyberrisico’s van de onderneming zijn. Een volgende stap zou zijn dat je een deskundig oordeel vormt over hoe deze risico’s te beheersen.. Wat mij betreft zou dat een integraal onderdeel moeten zijn van iedere audit. Het mag vervolgens niet zo zijn dat, zodra de externe accountant zijn handtekening heeft gezet, de onderneming zich ‘cyberhack-proof’ waant. Vergelijk die handtekening met de rookmelders in huis: prima brandpreventie, maar geen waarborg dat er nooit brand zal uitbreken.

Op naar heldere rollen en verwachtingen

Volgen we deze redenering,  dan rijst de vraag: kan een accountant een jaarrekening ook afkeuren, alleen omdat de onderneming haar weerbaarheid ten aanzien van cyberrisico’s niet goed op orde heeft? Dat wordt al lastiger. Ik zou zeggen: dat hangt af van de ‘materialiteit van de findings’, in de context van de financiële verslaggeving. In gewoon Nederlands: hoe ernstig het is. Maar waar trek je dan de grens? Daarover moeten we een serieuze dialoog voeren. Niet alleen tussen bestuurders, commissarissen en accountants, maar ook met externe toezichthouders en beroepsverenigingen, zoals de Nederlandse Beroepsorganisatie van Accountants (NBA). Met als kernvraag: hoe ver moet de accountant gaan in zijn beoordeling van de mate van beheersing van cyberrisico’s? Idealiter komt er een soort ‘Handboek Soldaat’ voor accountants, met heldere guidelines over welke cyberrisicos’ ze wel een verklaring moeten afgeven, en over welke niet. Ondernemingen verdienen op dit punt volstrekte duidelijkheid. Ondertussen moeten (ook) accountants doorgaan met het uitbouwen van hun cyberkennis.

Het is zaak dat de rollen en verwachtingen van bestuurders, commissarissen, accountants, toezichthouders en beroepsverenigingen, op dit punt heel duidelijk worden. Liefst zo snel mogelijk. Want de cyberrisico’s nemen wereldwijd alleen maar toe. En cybercriminelen wachten echt niet.

Meer informatie

Bekijk dan ook de video waarin Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid) zijn visie geeft op de digitale dreiging en de rol van de board op het vlak van digitale veiligheid.

Neem voor meer informatie contact op met John Hermans.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Offerteaanvraag (RFP)