Jan Matto (Mazars, NOREA): ‘Brede invoering van nieuwe rapportagestandaard voor IT verwacht’

Dat een controlerend accountant zich ook uitspreekt over de IT is niets nieuws. "Sterker nog, een IT-audit is een integraal onderdeel van de financial audit", zoals Jan Matto zegt, Partner IT Audit & Advisory van Mazars Nederland. "De accountant moet tenslotte bedrijfsrisico's identificeren en controleren of een organisatie aan de wet voldoet. Daarvoor moet hij dus ook naar het IT-landschap van het bedrijf kijken. En hij moet beoordelen of de informatie die de IT-systemen voortbrengen betrouwbaar is en een waarheidsgetrouw beeld geven van het reilen en zelen van de onderneming."

Waarmee niet is gezegd dat dit de enige soort IT-audit is. Naarmate de digitalisering voortschrijdt, willen allerlei partijen zekerheid hebben of een onderneming z'n cybersecurity wel goed op orde heeft, bijvoorbeeld, of het verantwoord om gaat met data en welke algoritmes het inzet. Het gaat ook niet meer alleen om het individuele bedrijfsrisico. De gevolgen van digitale ongelukken beperken zich niet tot de individuele organisatie die direct geraakt wordt, maar strekken zich veelal uit tot het hele ecosysteem van een organisatie. Met mogelijk een veel grotere maatschappelijke en economische schade.

"Het vak is daarmee verbreed en heeft een breed maatschappelijke relevantie. Er komen steeds meer audits naast de IT-audit voor de jaarrekeningcontrole." Want, zoals het staat op de site van de NOREA, de Nederlandse Orde van IT Auditors. "De scope van een jaarrekeningcontrole in zijn huidige vorm is te beperkt om een adequaat oordeel te vellen over de inrichting van de IT-beheersorganisatie en de beheersing van IT. Laat staan dat daarnaast ruimte is om bijvoorbeeld vast te stellen of een organisatie voldoende weerbaar is tegen cyberaanvallen en qua IT voorbereid is op de nabije toekomst."

Ook in dit soort audits hebben accountantskantoren altijd wel trek gehad. Aanvankelijk – zo'n tien, vijftien jaar geleden – maakte Matto (van huis uit informaticus en IT-auditor) zich daar zorgen over. Want destijds pleiten accountants vaak voor een 'geïntegreerde IT-audit', waarbij ze zelf de regie in handen hadden en alleen waar nodig een beroep deden op gespecialiseerde IT-auditors. Zelden dus buiten de jaarrekeningcontrole, want meestal konden zij – accountants, maar omgeschoold richting IT – het wel alleen af, werd er vaak gedacht. Matto zag er een groot risico in. "Accountants zijn soms net kleuters als het gaat om de onderkenning van IT risico’s buiten de jaarrekeningcontrole. Ze vragen dan altijd 'waarom?' en willen bij voorkeur alles zelf doen", zei hij toen. 

Assurance in de keten
Maar accountants hebben hun leven gebeterd, en tegenwoordig schakelen ze om de haverklap IT-auditors in voor de jaarrekening controle. "De huidige generatie accountants heeft meer verstand van digitalisering dan de vorige. Hun basiskennis op orde, en meestal groot genoeg om de IT-audit bij de jaarrekeningcontrole in goede banen te leiden. Tegelijkertijd zien ze ook beter hun beperkingen in, en schakelen ze eerder collega's in die gespecialiseerd zijn in IT-auditing." Collega's, inderdaad, want veel kantoren hebben gewoon gespecialiseerde IT-auditors in dienst, en die worden standaard ingeschakeld om bij de controle van de jaarrekening te ondersteunen.

Maar ook daarbuiten krijgen ze steeds meer te doen, want – in de woorden van Matto – er ontstaat een heel nieuw palet aan vraagstukken waarmee zij worden geconfronteerd. 

Hij noemt bijvoorbeeld de eind vorig jaar aangenomen Digital Operational Resilience Act (DORA). Deze nieuwe wet – de invoering moet komend jaar plaatsvinden – stelt uniforme eisen stellen aan de beveiliging van informatietechnologie van ondernemingen die actief zijn in de financiële sector en voor hun IT-providers. En zo staan er allerlei wetten om in de pas te blijven met de voortgaande digitalisering van de maatschappij 'op de rol', aldus Matto. "En allerlei stakeholders zullen vaker zekerheid willen hebben dat bedrijven zich aan die digitale wetten houden. Ook klanten, financiers en leveranciers: die willen alleen zaken doen met bedrijven die hun IT-huishouding op orde hebben om te willen vermijden dat hun bedrijfsprocessen verstoord worden of dat hun reputatie wordt aangetast door problemen elders. De hele keten wil 'assurance'. "

[avg-advertorial slug=”accountancy-expo-2023-secure-your-business”] 

Onduidelijkheid alom
De invoering van DORA en andere wetten en regels leidt er steeds vaker toe dat er verklaringen over het IT-systeem naast van de jaarrekening zullen moeten komen. "Die ontwikkeling is al in gang gezet. Nu al wil DNB van banken assurance-rapporten hebben over de cybersecurity bij financiële instellingen. Vanuit EZ is er een Online Trust Coalitie opgezet met als doel een eenduidige, efficiënte methode te ontwikkelen waarmee leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn." 

Op zich vormen deze ontwikkelingen een enorme kans voor accountantskantoren en IT-auditors. Alleen: is lang niet altijd duidelijk waar IT-auditors precies op moeten letten. "We hebben in Nederland geen standaard voor IT-audits en als wij die niet ontwikkelen, dan doen anderen het wel. Frankrijk heeft al de SecNumCloud-standaard gelanceerd om de veiligheid van clouddiensten te beoordelen, Duitsland de C5-standaard. Certificerende instellingen zullen zich wellicht ook wagen aan eigen standaarden. Ook zie je dat sectorgewijs al initiatieven zijn, bijvoorbeeld in de automotivesector." Met als gevolg dat er een wirwar aan standaarden dreigt te ontstaan binnen Europa. En nog altijd onduidelijk is wat er precies in een IT-auditverklaring moet staan. 

Nieuwe standaard
Om deze richtingenstrijd in elk geval in Nederland te beslechten heeft de NOREA in de afgelopen drie jaar gewerkt aan een nieuwe standaard voor zo'n IT-auditverklaring. "Vreemd genoeg was die er nog niet, ook niet in het buitenland. Wel op onderdelen – denk aan de normen voor informatiebeveiliging – maar een overkoepelend geheel van standaardregels die zich meer richten op een breder maatschappelijk belang voor IT-audits was er nog niet." Nu wel. Bijna tenminste, de nieuwe standaard is zo goed als af. 

De standaard bevat volgens Matto – die in de commissie Beroepsregels van de beroepsorganisatie NOREA zit – richtlijnen om na te gaan hoe goed een bedrijf bijvoorbeeld weerbaar is tegen cyberincidenten, ethisch verantwoord omgaat met data en artificial intelligence en innovatie. IT-auditors moeten zowel de basisbeveiliging controleren als de noodplannen die in werking treden als het bedrijf toch hackers binnenkrijgt. De 'IT rapportage'-verklaring die zij afgeven gaat niet alleen over het afgelopen boekjaar, maar heeft ook toekomt gerichte kenmerken, bijvoorbeeld als het om innovatie gaat. Het is de bedoeling dat deze nieuwe set regels nog voor de zomer gereed is. 

Matto verwacht dat de standaard breed zal worden toegepast door IT-auditors. "Er is nu geen wettelijke verplichting voorzien voor bedrijven om een IT-audit te laten uitvoeren, maar dat hoeft ook niet. Er is een enorme behoefte aan bij commissarissen en bij financiers en andere partijen. Dus zullen veel bedrijven straks niet meer zonder kunnen." De nieuwe Corporate Governance Code uit eind 2022 verplicht grote bedrijven bovendien om een 'IT in control-verklaring' af te geven, terwijl dit kleinere bedrijven wordt aangeraden. "Een mooie nieuwe rol voor de IT-auditor, want dit is echt in het publieke belang", zegt Matto. "Zo gaat de IT-auditor tegen dat allerlei partijen hun IT-systemen niet op orde hebben en dat de samenleving afglijdt tot een digitaal distopia."