Als uw organisatie de boeken laat controleren door een externe accountant, kunt u steeds meer vragen verwachten over cybersecurity. De koninklijke Nederlandse beroepsorganisatie voor accountants (NBA) stelt dat accountants in hun managementletter verslag moeten doen van dit bedrijfsrisico.
In de managementletter die bij een accountantsverklaring (tool) hoort, rapporteert een externe accountant aan de raad van commissarissen of raad van toezicht van een organisatie over de administratieve organisatie en de bedrijfsvoering. Ook kan de accountant in dit controle-instrument aanbevelingen opnemen. De NBA is van mening dat accountants in de managementletter ook aandacht moeten besteden aan cybercriminaliteit. De basis voor een jaarrekening bestaat immers uit cijfers die digitaal zijn verwerkt en opgeslagen en gevaar lopen gehackt te worden. Rapporteren over cybersecurity past dan ook binnen de wettelijke plicht van de accountant: hij moet melding doen van de betrouwbaarheid en continuïteit van (geautomatiseerde) gegevensverwerking.
Cybercrime (tool) is een toenemende vorm van criminaliteit. DDoS-aanvallen vormen een groot deel van deze criminele activiteiten. Daarbij wordt door een groot aantal andere computers tegelijk een beroep gedaan op het computer(netwerk) van de organisatie, is het netwerk een aantal uren onbereikbaar en bezwijkt het uiteindelijk. De (financiële) schade voor organisaties kan hierdoor in korte tijd hoog oplopen. Daarnaast kunnen ook werknemers een zwakke schakel binnen de organisatie zijn: via phishing worden ze verleid om informatie over de organisatie of gebruikersgegevens te delen. Criminelen bedreigen kortom de veiligheid van organisaties, overheidspartijen en burgers. Om die te beschermen zijn er al maatregelen genomen, bijvoorbeeld via de Algemene verordening gegevensbescherming (tools) en dit jaar een wettelijke Richtlijn cybercrime.
Voor accountants ligt er een taak alle digitale risico’s in kaart te brengen, aanbevelingen te doen voor beveiliging ‘op maat’ en bestuurders en toezichthouders bewust te maken van cyberrisico’s in de organisatie. De managementletter is hiervoor een geschikt instrument.