'Voorlopig geen nieuwe regelgeving voor IT-controle'
De overheid wil voorlopig geen nieuwe regelgeving opstellen voor de controle van IT-systemen door accountants.
Dat zegt staatssecretaris Keizer (Economische Zaken en Klimaat) in de beantwoording van Kamervragen van de leden Snels en Van der Lee (GroenLinks) naar aanleiding van het bericht 'IT-controleurs: te weinig investeringen in cyberbeveiliging' in Het Financieele Dagblad. Volgens Keizer is nieuwe regelgeving niet nodig omdat de huidige controlestandaarden al afdoende zijn.
Volgens Keizer maken ICT-gerelateerde risico's al "regelmatig" deel uit van het bestuursverslag van middelgrote en grote ondernemingen. "De accountant gaat vervolgens na of er in het bestuursverslag materiële onjuistheden zijn gebleken, waarbij hij zich mede baseert op de kennis die hij bij het onderzoek van de jaarrekening over de onderneming heeft gekregen en neemt dit oordeel op in de accountantsverklaring. De accountant moet verder in het verslag dat hij van zijn onderzoek uitbrengt aan bestuur en commissarissen (ook wel 'management letter' genoemd) ten minste melden wat hij bij zijn onderzoek heeft opgemerkt over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking", aldus Keizer.
Keizer wijst ook op de publieke management letter van de NBA over dit onderwerp. "De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft over dit onderwerp een publieke management letter gepubliceerd met concrete adviezen over hoe organisaties cybersecurity op kunnen pakken."
Voor wat betreft de wettelijke controle van oob's wijst Keizer op Europese wetgeving die voorschrijft "dat de accountant in zijn controleverklaring een beschrijving dient te geven van de kernpunten van de controle, (de als meest significant ingeschatte risico's op een afwijking van materieel belang). Ook daaronder kunnen risico’s op het gebied van cybersecurity vallen", schrijft Keizer.
Afdoende
Volgens Keizer is het dus momenteel afdoende dat er regelgeving bestaat op het gebied van financiële verslaggeving op basis waarvan aandacht moet worden besteed aan belangrijke risico's voor de rechtspersoon. "In het kader van de controle van de jaarrekening beoordeelt een accountant de risico's voor de financiële verslaggeving en de continuïteit. Daaronder kunnen ook cybercrime en cybersecurity vallen."
Beleidsinstrumenten
Daarnaast worden volgens Keizer op dit moment ook andere beleidsinstrumenten ingezet om bedrijven bewust te maken van cybersecurity-risico's en om ze te helpen deze risico's te adresseren. Keizer: "Ik wil organisaties verder vooralsnog de ruimte geven om zelf de juiste instrumenten te kiezen om hun bedrijf cybersecure te maken. Bij veel bedrijven zie je nu al dat audits worden uitgevoerd om te kijken hoe goed bedrijven beveiligd zijn. Dit zijn uitvoerige audits waar gebruik wordt gemaakt van praktische instrumenten."
Gerelateerd
Erasmus Universiteit start leergang financial crime
Accountants krijgen steeds vaker te maken met signalen van financiële criminaliteit. De Erasmus Universiteit heeft daarom de leergang Financial Crime Professional...
Geavanceerdere tactieken zorgen voor toename online fraude
Het aantal gevallen van aankoopfraude neemt hard toe. Dat komt door frauduleuze webshops op Facebook en Instagram en het gebruik van steeds geavanceerdere methodes...
'Financiële stabiliteit verslechterd door conflicten en cyberdreigingen'
De financiële stabiliteit staat onder druk door geopolitieke spanningen, cyberdreigingen en nieuwe risico's buiten het traditionele bankensysteem.
Deloitte waarschuwt voor kloof tussen cyberstrategie en uitvoering
Organisaties boeken wereldwijd vooruitgang met hun cyberweerbaarheid, maar door een snel veranderend speelveld ontstaan er gaten tussen strategie en uitvoering van...
Nederlandse banken verbeteren beveiliging, na waarschuwingen over AI-model Mythos
Nederlandse banken geven gehoor aan de waarschuwingen van toezichthouders over AI-model Mythos. Banken in de eurozone moeten van de Europese Centrale Bank (ECB)...