Moet cyber-security apart object van accountantscontrole worden?

In een van de hoofdstukken van een  236 pagina’s tellend paper van de Internet Security Alliance meldt het Center for Audit Quality dat AICPA, het  American Institute of Certified Public Accountants, een procesbeschrijving aan het opstellen is van zo een onderzoek en rapportage over de cyber-security van een organisatie en het bijbehorend risicomanagement.  for examining and reporting on a company’s cyber-security risk management. Dat onderzoek en die rapportage zouden door de vaste accountant moeten worden verzorgd, of misschien beter nog door een andere onafhankelijke accountant.

Net als de financiële audit zou een goedkeurende verklaring informatie moeten verschaffen, die van waarde is voor de stakeholders van de organisatie. De rapportage zou een beschrijving moeten bieden van het risicobeheer  van de organisatie,  de verzekering door het management dat dat beheer, inclusief de controles, op orde is plus een verklaring van de accountant dat die statements  volledig en juist zijn en dat het risicomanagement inderdaad adequaat is en effectief.

Een aparte en onafhankelijke cyber-security accountantscontrole zou verbetering brengen in de ad-hoc benadering van het security-probleem, die de meeste organisaties nu laten zien, stelt het CAQ.  Een onafhankelijke security-audit is goed in te passen, zowel in de 17 principes van het  Internal Control — Integrated Framework van COSO als in het  Cybersecurity Framework van het National Institute of Standards and Technology dan wel het Information Security Management Framework van ISO, de International Organization for Standardization. Organisaties zouden dus kunnen kiezen, welk referentiemodel het beste past bij hun eigen risicobeheermodel.

complianceweek