Cybercrime kan integriteit jaarrekening raken

Voor ieder type organisatie, groot of klein, geldt dat digitalisering aan belang wint. Daardoor wordt de afhankelijkheid van correct werkende IT steeds groter. Een essentieel onderdeel van de jaarrekeningcontrole betreft dan ook de analyse van mogelijke IT-risico’s, en de mate waarin de onderneming deze risico’s beheerst. Binnen het IT-landschap gaan cyberrisico’s steeds zwaarder wegen, nu cybercriminelen vaker toeslaan. Van een virus tot een hack, van ransomware of een DDoS-aanval tot medewerkers die via phishing worden verleid om informatie over de organisatie of gebruikersgegevens te delen: de intensiteit, schaal en professionaliteit van cybercriminelen zijn de laatste jaren fors toegenomen.

Uit onderzoek blijkt dat bestuurders en commissarissen cybercrime in de top 5 van relevante risico’s voor hun onderneming noemen. De schade van cybercrime voor jouw organisatie kan enorm zijn, op uiteenlopende terreinen. Je kunt klanten niet meer helpen, er is geld weg, bedrijfsgegevens slingeren op straat. Je kunt niet meer bij cruciale systemen, de financiële schade is niet te overzien en ook de reputatie van je bedrijf krijgt een knauw. Cybercrime heeft daarmee ook een directe impact op de jaarrekening: de basis hiervan bestaat immers uit cijfers die digitaal zijn verwerkt en opgeslagen, en die daarmee continu het gevaar lopen om van buitenaf gehackt te worden. Cybercrime raakt dan ook direct aan de integriteit van die cijfers. 

Niet alleen vanuit bestuurders en commissarissen, maar ook vanuit overheden en toezichthouders is er steeds meer aandacht voor de weerbaarheid van organisaties tegen cybercrime. Vanuit zowel het belang van organisaties als vanuit maatschappelijk belang. Zo eist DNB dat organisaties hun beveiliging op orde hebben, en deze ook geregeld (laten) testen. En er komt meer wet- en regelgeving aan. Al in 2016 kwam de EU met de NIS1-richtlijn (Network and Information Systems), gericht op grote bedrijven en instellingen met essentiële functies voor de samenleving, denk aan leveranciers van stroom, water en netwerken. Zij werden verplicht om maatregelen op het gebied van informatiebeveiliging te nemen, om zo hun cyberweerbaarheid te verhogen. In 2023 komt er met NIS 2 Europese wetgeving aan die dit voor álle sectoren bepaalt; toezicht op de naleving van deze wetgeving volgt naar alle waarschijnlijkheid vanaf 2025.

Ook binnen sectoren wordt al jaren hard gewerkt aan beheersing van cyberrisico’s. DNB begon in 2018 met het TIBER-NL-raamwerk (een afkorting voor Threat Intelligence-Based Ethical Red-Teaming), voor financiële instellingen. In 2023 treedt DORA - de European Digital Operational Resilience Act - in werking, die strengere minimumstandaarden op het gebied van cyberbeveiliging oplegt aan financiële instellingen. De zorgsector heeft deze basisprincipes uit de financiële sector overgenomen in het raamwerk ZORRO (wat staat voor Zorg Red-Teaming Resilience Oefeningen) met als doel de cybersecurity en weerbaarheid van zorginstellingen structureel te verhogen; onder andere door periodiek een gecontroleerde realistische cyberaanval te ondergaan. 

Voor ons als auditors is het onderkennen van alle mogelijke vormen van cybercrimerisico’s een essentieel onderdeel van de controle van de jaarrekening. We brengen eerst alle mogelijke digitale risico’s rond de totstandkoming van de jaarcijfers in kaart. Daarna krijgen wij een indruk van de beheersmaatregelen die de organisatie zelf heeft ingericht om cyberrisico’s te mitigeren. We analyseren niet alleen bestaande beheersmaatregelen, onze eigen cybersecurityspecialisten testen deze ook grondig, bijvoorbeeld met een penetratietest of een crisissimulatie. Want testen is beter dan het lezen van een papieren werkelijkheid.

Bij deze tests checken we alle fasen van een cyberincident. Dus: houd je met de huidige cybermaatregelen hackers afdoende buiten de deur? Hoe ontdek je ze als ze eenmaal binnen zijn? Hoe krijg je ze vervolgens weer naar buiten? En hoe weet je dat ze na interventie ook definitief vertrokken zijn, zodat er geen restschade kan ontstaan?

Zo krijgen we een goed beeld van hoe robuust de beheersmaatregelen in de praktijk zijn. Bijvoorbeeld of de meest waardevolle gegevens (de ‘kroonjuwelen’) van de organisatie goed beschermd zijn. Of het mogelijk is om in te breken in de financiële administratie, of data te manipuleren. Of een hacker ongezien transacties kan uitsturen en zich zo kan verrijken. Hoe omvangrijk de cyberschade kan zijn. Kortom, of management de jaarrekening heeft kunnen opstellen op basis van betrouwbare data.

Op basis van onze checks van het bestaande IT-risk- en controlframework van een organisatie doen we waar nodig aanbevelingen voor beveiliging ‘op maat’. Door onze manier van controleren maken we bestuurders en toezichthouders bewust van de mogelijke cyberrisico’s, geven we feedback op de organisatorische weerbaarheid tegen die risico’s, en maken we inzichtelijk hoe dat zich verhoudt tot het opstellen van betrouwbare jaarcijfers. Afsluitend nemen we onze werkzaamheden op in onze accountantsverklaring, waardoor niet alleen management en commissarissen maar ook alle andere stakeholders van de onderneming hierover worden geïnformeerd.  

Een dergelijke cyberaudit geeft organisaties inzicht in de vraag of ze hun bedrijfskritische activa afdoende beschermen, de continuïteit van hun processen na een eventuele cyberaanval kunnen waarborgen en in hoeverre ze zich kunnen aanpassen aan snel veranderende cyberrisico’s en -regelgeving. 

Wij houden je op de hoogte per e-mail. Geef hier je voorkeuren door.