Opinie 12 februari 2013

Accountant moet actieve rol nemen in cyber security

De enige manier om het vertrouwen in accountants te herstellen is overal topkwaliteit te leveren en beter in te spelen op de maatschappelijke verwachtingen. Om relevant te blijven moeten we onder meer een actieve rol nemen op het gebied van cyber-risico's.

In de voortdurende hectiek van razendsnelle economische en financiële ontwikkelingen klinkt bijna dagelijks de roep om meer en beter toezicht. Door een lange reeks van incidenten, liggen financiële markten, bestuurders, commissarissen maar zeker ook accountants onder een vergrootglas. Er is kritiek op onze beroepsgroep en dat is af en toe ook best terecht.

Mijns inziens is de enige manier om het vertrouwen in ons prachtige vak te herstellen door altijd en overal absolute topkwaliteit te leveren in ons werk.

Tegelijk moeten we onze relevantie vergroten door veel beter in te spelen op wat de maatschappij van ons verwacht. Dit betekent dat de accountant in de toekomst, nog meer dan tegenwoordig, zijn mening moet geven over de ondernemingsrisico's, de financiële stabiliteit van de onderneming en over de houding en het gedrag van het management, de zogenaamde tone at the top.

In de accountantsrapportage aan het audit committee zal de risicorapportage een nog prominentere plaats gaan innemen. En ook de externe stakeholders verwachten een uitgebreidere opinie van de accountant.

De IAASB heeft onlangs nog voorgesteld om de accountantsverklaring meer inhoud te geven. Om de verhouding tussen de rapporterende onderneming en de controlerende accountant zuiver te houden, heb ik er onlangs in het FD voor gepleit om de onderneming zelf relevante passages te laten publiceren uit de management letter van de accountant, waarmee dan ook meer inzicht wordt gegeven in de rol van de accountant.

Een van de nieuwe, grote risico's voor vrijwel iedere onderneming is cyber risk. Want zoals mijn collega Dick Berlijn stelt: "Anders dan de bedreigingen waar de krijgsmacht mee te maken heeft, kan de vijand bij cyberrisico's zich overal bevinden. Daarom is het cruciaal om alle zwakke plekken weg te werken en de digitale omgeving minder kwetsbaar te maken."

Een concreet voorstel tijdens het recente World Economic Forum in Davos was het opnemen van cyber-risico's als een terugkerend agendapunt tijdens directievergaderingen. Daarnaast rees de kwestie van transparantie: het geven van meer openheid over je risicobeheersing. Moet je in het jaarverslag opnemen hoe de organisatie deze risico's rondom cyber onder controle heeft?
Vanuit het aandeelhoudersperspectief kan het van belang zijn daar inzicht in te hebben. De verzamelde ceo's en politieke leiders bediscussieerden in welke mate het management zou moeten rapporteren over risico's in de jaarrekening en welke rol de accountant daarbij zou moeten hebben.

Cyber is steeds vaker een materieel risico, en er werd gewezen op de belangrijke rol die de accountant speelt bij het waken over een juiste en volledige beschrijving en analyse door het management van het cyber-risico.

Ik vind dat de accountant absoluut een belangrijke rol heeft in deze discussie. Samen met de onderneming moeten we vaststellen of de risico's, en zeker de specifieke cyber-risico's, voldoende worden beheerst en transparant worden gerapporteerd richting de stakeholders.

Ik vind dat accountants te weinig actief zijn op het gebied van cyber security. Daarom heeft Deloitte het Partnership for Cyber Resilience opgericht, waarbij ceo's en regeringsleiders gevraagd worden om de cyber-principes te ondertekenen. Sinds de lancering tijdens Davos 2012 hebben meer dan 100 ceo's deze principes al ondertekend. Om relevant te blijven is cyber security een gebied waar wij als accountants absoluut een actieve rol moeten nemen.

Het werkterrein van de accountant zal zich in de toekomst niet alleen meer richten op het rapporteren over risico's, maar ook op allerlei nieuwe vormen van assurance in cyberspace.

Zo moeten we assurance bieden over data die in onze 'hyperconnected wereld' zijn opgeslagen in de zogeheten cloud. Assurance met een periodieke rapportage volgens een internationale standaard (zoals ISAE3402) zal daarbij niet altijd meer voldoen. Continuous hacking is een feit, en derhalve is continuous testing een must.

De accountant moet zich steeds meer bezighouden met continue monitoring van bedrijfsprocessen en data die zich bevinden in de cloud. Assurance zal ook bijvoorbeeld nodig zijn bij het vaststellen van de authenticiteit van partijen waarmee via internet zaken worden gedaan, of bij het beoordelen van online afrekensystemen.

Is de accountant voorbereid op cyberspace? Volgens mij hebben klanten hoge verwachtingen. En het is de vraag of we als voltallige beroepsgroep voldoende zijn geëquipeerd om de risico's te signaleren en goed te communiceren. Als we er niet snel bij zijn missen we de boot.

Tijd voor een publieke management letter van de NBA over dit onderwerp? Vanuit Deloitte werken we graag mee.

Deze opiniebijdrage van Peter Bommel is de eerste van een serie regelmatige bijdragen van voorzitters van grote en middelgrote accountantskantoren in Nederland.