In de afgelopen jaren is het belang van cyberbeveiliging en risicobeheer aanzienlijk toegenomen, waarbij accountants een belangrijke rol spelen bij het beoordelen van de veerkracht van organisaties. Accountantskantoren richten zich, met name tijdens het opstellen van jaarverslagen, steeds meer op de manier waarop bedrijven hun cyberrisico's beheren. Deze trend sluit aan bij raamwerken zoals de NBAen wettelijke normen zoals de NIS2-richtlijn.
In deze blogpost gaan we in op wat accountantskantoren zoeken in jaarverslagen met betrekking tot cyberbeveiliging en risicobeheer, en hoe uw organisatie proactief aan deze verwachtingen kan voldoen.
Waarom cyberbeveiliging belangrijk is in financiële verslaglegging
Cyberbeveiliging is niet langer alleen een IT-kwestie, het is een bedrijfskritische zorg geworden met directe financiële gevolgen. Voor accountantskantoren is de cyberbeveiligingshouding van een bedrijf van invloed op hun beoordeling van operationele risico's, aansprakelijkheidsrisico's en het vermogen van het bedrijf om te blijven voldoen aan wettelijke vereisten. De belangrijkste aandachtsgebieden zijn onder meer:
- Impact van cyberincidenten: Datalekken, ransomware-aanvallen of boetes als gevolg van niet-naleving kunnen de financiële stabiliteit aanzienlijk beïnvloeden.
- Wettelijke vereisten: Naleving van wetten zoals GDPR, NIS2 en sectorspecifieke richtlijnen is nu een integraal onderdeel van financiële verantwoording.
- Vertrouwen van investeerders: Transparantie over risico's en risicobeperkende strategieën verzekert belanghebbenden ervan dat het bedrijf zijn blootstelling effectief beheert.
NBA-richtlijnen voor cyberbeveiliging in financiële verslaglegging
De NBA (Nederlandse Beroepsorganisatie van Accountants) geeft specifieke richtlijnen voor accountants om te beoordelen hoe bedrijven cyberbeveiliging integreren in hun financiële verslaglegging. Belangrijke punten zijn onder andere:
- Risicobeoordeling: Bedrijven moeten een duidelijk overzicht geven van de cyberrisico's die tijdens de rapportageperiode zijn geïdentificeerd. Dit omvat:
- Aard van de risico's (bijv. ransomware, phishing, risico's voor de toeleveringsketen).
- Waarschijnlijkheid en impact van deze risico's op de activiteiten.
- Bestuur en controles: Jaarverslagen moeten gedetailleerd aangeven hoe de bestuursstructuren cyberrisico's aanpakken. Accountants zoeken naar:
- Duidelijke rollen en verantwoordelijkheden bij het beheren van cyberbeveiliging.
- Beleid en controles om geïdentificeerde risico's te beperken.
- Incidentmelding: Als het bedrijf een cyberincident heeft meegemaakt, moet het jaarverslag dit uitleggen:
- De aard en omvang van het incident.
- Ondernomen stappen om het probleem op te lossen.
- Geleerde lessen en geïmplementeerde verbeteringen.
- Risico's van derden: Accountants onderzoeken steeds vaker hoe bedrijven de risico's in hun toeleveringsketen beheren. Bijvoorbeeld:
- Bewaakt u de cyberbeveiliging van uw leveranciers?
- Heb je afhankelijkheden beoordeeld die je organisatie kunnen blootstellen aan indirecte risico's?
- Afstemming op normen: Rapporten dienen te verwijzen naar naleving van erkende standaarden zoals ISO 27001, NIST of industriespecifieke frameworks.
Hoe je een jaarverslag opstelt
Om aan de verwachtingen van accountantskantoren te voldoen, moeten bedrijven de volgende werkwijzen integreren in hun jaarlijkse rapportageproces:
- Cyberrisicodocumentatie: Werk samen met interne teams om cyberrisico's te identificeren en te documenteren in uw risicobeheerraamwerk. Neem waar mogelijk kwantificeerbare gegevens op om een grondige analyse te laten zien.
- Controle door derden: Tools implementeren zoals RiskStudio om de cyberbeveiligingshouding van uw leveranciers voortdurend te controleren. Benadruk deze inspanningen in uw governancemeldingen.
- Rapportage incidenten: Ontwikkel een gestandaardiseerde indeling voor het rapporteren van cyberincidenten, zorg ervoor dat uw financiële en juridische teams op één lijn zitten wat betreft de taal en implicaties.
- Treed vroegtijdig in contact met uw accountant: Bespreek cyberbeveiligingsonderwerpen proactief met uw accountantskantoor om afstemming te garanderen en verrassingen te voorkomen laat in het rapportageproces.
- Maak gebruik van nalevingsraamwerken: Laat zien hoe je organisatie aansluit bij de NBA-richtlijnen, NIS2-vereisten en andere relevante standaarden.
Hoe RiskStudio kan helpen
RiskStudio biedt robuuste tools om effectief aan deze vereisten te voldoen:
- Leveranciersmonitoring: Door leveranciers van derden voortdurend te volgen op inbreuken op gegevens of cyberbeveiligingsincidenten, blijft uw organisatie op de hoogte en voorbereid.
- Cyberbeoordelingsplatform: Dankzij dagelijks bijgewerkte cyberratings kunnen bedrijven hun beveiligingspostuur benchmarken en proactief kwetsbaarheden identificeren.
- Risicotransparantie: RiskStudio vereenvoudigt het organiseren van afhankelijkheden tussen kritieke bedrijfsmiddelen en leveranciers, waardoor de rapportage overzichtelijker wordt.
- Geautomatiseerde documentatie: Automatisch inzichten en rapporten genereren die zijn afgestemd op het NBA-NOREA-volwassenheidsmodel, waardoor tijd wordt bespaard en de nauwkeurigheid van audits wordt gewaarborgd.
Door gebruik te maken van RiskStudio kunnen organisaties hun inspanningen op het gebied van compliance stroomlijnen, risico's effectief beperken en auditors voorzien van de gedetailleerde inzichten die nodig zijn voor een robuuste rapportage.
Vooruitblik: de NIS2-richtlijn
Onder de NIS2-richtlijnkrijgen bepaalde organisaties te maken met strengere verplichtingen om cyberrisico's te beheren, waaronder verplichte rapportage van incidenten. Accountantskantoren zullen deze regelgeving waarschijnlijk gebruiken als maatstaf voor het evalueren van uw cyberbeveiligingsbeleid. Bedrijven die vandaag proactieve maatregelen nemen, kunnen veranderingen in de regelgeving voorblijven en vertrouwen opbouwen bij accountants.
Conclusie
Accountantskantoren beschouwen cyberbeveiliging tegenwoordig als een essentieel onderdeel van financiële en operationele verslaglegging. Door aan te sluiten bij de NBA-richtlijnen en een robuuste risicobeheerstrategie te laten zien, kunnen bedrijven de transparantie bieden die accountants nodig hebben en tegelijkertijd het vertrouwen van belanghebbenden versterken.