'Voorlopig geen nieuwe regelgeving voor IT-controle'
De overheid wil voorlopig geen nieuwe regelgeving opstellen voor de controle van IT-systemen door accountants.
Dat zegt staatssecretaris Keizer (Economische Zaken en Klimaat) in de beantwoording van Kamervragen van de leden Snels en Van der Lee (GroenLinks) naar aanleiding van het bericht 'IT-controleurs: te weinig investeringen in cyberbeveiliging' in Het Financieele Dagblad. Volgens Keizer is nieuwe regelgeving niet nodig omdat de huidige controlestandaarden al afdoende zijn.
Volgens Keizer maken ICT-gerelateerde risico's al "regelmatig" deel uit van het bestuursverslag van middelgrote en grote ondernemingen. "De accountant gaat vervolgens na of er in het bestuursverslag materiële onjuistheden zijn gebleken, waarbij hij zich mede baseert op de kennis die hij bij het onderzoek van de jaarrekening over de onderneming heeft gekregen en neemt dit oordeel op in de accountantsverklaring. De accountant moet verder in het verslag dat hij van zijn onderzoek uitbrengt aan bestuur en commissarissen (ook wel 'management letter' genoemd) ten minste melden wat hij bij zijn onderzoek heeft opgemerkt over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking", aldus Keizer.
Keizer wijst ook op de publieke management letter van de NBA over dit onderwerp. "De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft over dit onderwerp een publieke management letter gepubliceerd met concrete adviezen over hoe organisaties cybersecurity op kunnen pakken."
Voor wat betreft de wettelijke controle van oob's wijst Keizer op Europese wetgeving die voorschrijft "dat de accountant in zijn controleverklaring een beschrijving dient te geven van de kernpunten van de controle, (de als meest significant ingeschatte risico's op een afwijking van materieel belang). Ook daaronder kunnen risico’s op het gebied van cybersecurity vallen", schrijft Keizer.
Afdoende
Volgens Keizer is het dus momenteel afdoende dat er regelgeving bestaat op het gebied van financiële verslaggeving op basis waarvan aandacht moet worden besteed aan belangrijke risico's voor de rechtspersoon. "In het kader van de controle van de jaarrekening beoordeelt een accountant de risico's voor de financiële verslaggeving en de continuïteit. Daaronder kunnen ook cybercrime en cybersecurity vallen."
Beleidsinstrumenten
Daarnaast worden volgens Keizer op dit moment ook andere beleidsinstrumenten ingezet om bedrijven bewust te maken van cybersecurity-risico's en om ze te helpen deze risico's te adresseren. Keizer: "Ik wil organisaties verder vooralsnog de ruimte geven om zelf de juiste instrumenten te kiezen om hun bedrijf cybersecure te maken. Bij veel bedrijven zie je nu al dat audits worden uitgevoerd om te kijken hoe goed bedrijven beveiligd zijn. Dit zijn uitvoerige audits waar gebruik wordt gemaakt van praktische instrumenten."
Gerelateerd
Accountants moeten meer oog krijgen voor 'cloudsoevereiniteit'
Nederlandse organisaties lopen risico's, doordat zij op grote schaal hun data bij Amerikaanse bedrijven onderbrengen. Amerikaanse wetgeving maakt het mogelijk om...
Minder oplichting via nep-bankhelpdesks, maar nog miljoenen schade
Fraude door oplichters die zich voordoen als medewerkers van banken en zo klanten geld afhandig maken, blijft een hardnekkig probleem. Banken leden vorig jaar 28...
Een op de vijf bedrijven betaalde losgeld voor gijzelsoftware
Criminele bendes hebben vorig jaar 147 succesvolle aanvallen met gijzelsoftware uitgevoerd op grote Nederlandse bedrijven en instellingen. In 18 procent van de gevallen...
Aon: Cybercrime, personeel en continuïteit grootste risico's voor bedrijven
Het Nederlandse bedrijfsleven beschouwt cybercriminaliteit, continuïteit, het tekort aan arbeidskrachten en het onvermogen om talentvolle medewerkers aan te trekken...
Aantal phishingpogingen bij bedrijven bijna vertienvoudigd
Het aantal pogingen tot phishing bij Nederlandse bedrijven is op weekbasis bijna vertienvoudigd, in vergelijking met een jaar eerder. Dat stelt telecomaanbieder...