84% van de accountantskantoren heeft onvoldoende kennis van cybersecurity

Uit onderzoek, uitgevoerd door Sdu en Lupasafe blijkt dat 84% van de accountantskantoren onvoldoende kennis heeft op het gebied van cybersecurity en 90% van de accountants is onbekend met de NIS2-richtlijn. Dit is verontrustend, omdat met de implementatie van de Europese NIS2-richtlijn (uiterlijk medio 2024), de rapportageverplichtingen en eisen veel zwaarder worden. Zowel voor de auditpraktijk als bij de advisering bij samenstelopdrachten is het noodzakelijk dat de accountant op de hoogte is van de mogelijke gevolgen voor haar klanten. 

NIS2 richtlijn

Het is nu al verplicht bij controleopdrachten te rapporteren over cybersecurity conform artikel 2:393 lid 4, Burgerlijk Wetboek (deskundigenonderzoek) en de ISA 315 (COS 315) (vanaf 15 december 2021) van de IAASB vraagt om goede documentatie rondom IT. Deze rapportage betreft de continuïteit, betrouwbaarheid en risico’s van geautomatiseerde gegevensverwerking.

Met de inwerkingtreding van de nieuwe Europese richtlijn voor cybersecurity moeten alle bedrijven, ook kleine mkb-bedrijven, die ‘essentiële diensten’ leveren in 2023 voldoen aan de nieuwe ‘cybersecurity’-richtlijnen. Daarnaast wordt de bestuursverantwoordelijkheid op het gebied van de cybersecuritystatus aangescherpt. Niet IT-managers, maar bestuurders zelf, spelen een cruciale rol in het toezicht op cyberveiligheid. Bij het niet naleven van de wet- en regelgeving riskeren (middel)grote bedrijven boetes die oplopen tot minimaal € 10 miljoen of 2% van de totale wereldwijde omzet (op ondernemingsniveau). Het is de bedoeling dat hierop strenger wordt gehandhaafd.

Cybercriminaliteit is een wereldwijde bedreiging die iedere besluitvormer aangaat, zowel op bedrijfs- als nationaal niveau. Volgens het World Economic Forum Global Risks Report 2020, zullen cyberaanvallen in de komende 10 jaar het op één na grootste risico voor bedrijven vormen. Naast imagoschade als gevolg van een hack, worden het verlies van data (56,1%), het niet kunnen voldoen aan wet- en regelgeving (41,4%) en het verlies van de controle over de IT-infrastructuur (34,2%) gezien als grootste risico’s. Het is dus zaak dat accountants hun kennisniveau rondom cybersecurity ten behoeve van de dienstverlening naar hun klanten verbeteren.

Cyber Compliancy Reporting: snelle bijscholing voor accountants noodzakelijk

De wereld van de accountant is in beweging; er is striktere cybersecuritywetgeving op komst en audits gaan steeds meer geautomatiseerd op basis van real-time date. De accountant wil toegevoegde waarde bieden aan de klant en is tegelijkertijd op zoek naar nieuwe inkomstenbronnen. Daarnaast pleiten specialisten voor strengere rapportageverplichtingen op het gebied van cybersecurity en tegelijkertijd nemen de zorgen over privacy van gegevens en cyberbeveiligingsproblemen toe. Een boel uitdagingen dus, maar zeker ook kánsen voor de accountant. Ook accountant Gert de Fluiter (partner bij Schuiteman Accountants) beaamt deze ontwikkeling. “Cyber Compliance Reporting biedt kansen voor accountants doordat het audits meerwaarde geeft. Ten eerste doordat we met dit onderwerp inzicht krijgen in risico’s rondom mens, techniek en processen ten aanzien van cybersecurity. Wij kunnen dankzij deze inzichten veel dieper gaan in de analyse van de IT-omgeving en de bijhorende risico’s. Ten tweede kunnen we onze eigen controle versterken en efficiënter maken. Hiermee kunnen we een bredere dienstverlening aan onze klanten bieden door het toevoegen van een (non) assurance rapport bij de security rapportage.” Gezien de zorgelijk onderzoeksresultaten is het noodzakelijk dat accountants zich snel op dit onderwerp bijscholen om de vraag van hun klant voor te zijn. Alleen dan biedt cybersecurity kansen voor de accountant.

Inzichten onderzoek afkomstig van Sdu en Lupasafe

198 Accountants hebben meegedaan aan een onderzoek over het kennisniveau op het gebied van cybersecurity en NIS2. Uit ditzelfde onderzoek blijkt ook dat accountants zich niet comfortabel voelen in het voeren van een gesprek met hun klanten over dit onderwerp terwijl het wel op de agenda moet staan. Dit is de reden dat Sdu en Lupasafe regelmatig webinars organiseren voor accountants rondom cybersecurity.