Nieuws

'Voorlopig geen nieuwe regelgeving voor IT-controle'

De overheid wil voorlopig geen nieuwe regelgeving opstellen voor de controle van IT-systemen door accountants.

Dat zegt staatssecretaris Keizer (Economische Zaken en Klimaat) in de beantwoording van Kamervragen van de leden Snels en Van der Lee (GroenLinks) naar aanleiding van het bericht 'IT-controleurs: te weinig investeringen in cyberbeveiliging' in Het Financieele Dagblad. Volgens Keizer is nieuwe regelgeving niet nodig omdat de huidige controlestandaarden al afdoende zijn.

Volgens Keizer maken ICT-gerelateerde risico's al "regelmatig" deel uit van het bestuursverslag van middelgrote en grote ondernemingen. "De accountant gaat vervolgens na of er in het bestuursverslag materiële onjuistheden zijn gebleken, waarbij hij zich mede baseert op de kennis die hij bij het onderzoek van de jaarrekening over de onderneming heeft gekregen en neemt dit oordeel op in de accountantsverklaring. De accountant moet verder in het verslag dat hij van zijn onderzoek uitbrengt aan bestuur en commissarissen (ook wel 'management letter' genoemd) ten minste melden wat hij bij zijn onderzoek heeft opgemerkt over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking", aldus Keizer.

Keizer wijst ook op de publieke management letter van de NBA over dit onderwerp. "De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft over dit onderwerp een publieke management letter gepubliceerd met concrete adviezen over hoe organisaties cybersecurity op kunnen pakken."

Voor wat betreft de wettelijke controle van oob's wijst Keizer op Europese wetgeving die voorschrijft "dat de accountant in zijn controleverklaring een beschrijving dient te geven van de kernpunten van de controle, (de als meest significant ingeschatte risico's op een afwijking van materieel belang). Ook daaronder kunnen risico’s op het gebied van cybersecurity vallen", schrijft Keizer.

Afdoende

Volgens Keizer is het dus momenteel afdoende dat er regelgeving bestaat op het gebied van financiële verslaggeving op basis waarvan aandacht moet worden besteed aan belangrijke risico's voor de rechtspersoon. "In het kader van de controle van de jaarrekening beoordeelt een accountant de risico's voor de financiële verslaggeving en de continuïteit. Daaronder kunnen ook cybercrime en cybersecurity vallen."

Beleidsinstrumenten

Daarnaast worden volgens Keizer op dit moment ook andere beleidsinstrumenten ingezet om bedrijven bewust te maken van cybersecurity-risico's en om ze te helpen deze risico's te adresseren. Keizer: "Ik wil organisaties verder vooralsnog de ruimte geven om zelf de juiste instrumenten te kiezen om hun bedrijf cybersecure te maken. Bij veel bedrijven zie je nu al dat audits worden uitgevoerd om te kijken hoe goed bedrijven beveiligd zijn. Dit zijn uitvoerige audits waar gebruik wordt gemaakt van praktische instrumenten."

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.