Research Article |
Corresponding author: Peter Eimers ( p.w.a.eimers@vu.nl ) Academic editor: Annemarie Oord
© 2023 Peter Eimers, Abbas Shahim, Peter Kornelisse.
This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.
Citation:
Eimers P, Shahim A, Kornelisse P (2023) Transparantie over cybersecurity neemt toe. In: Oord A, Verhoek V (Eds) Het jaar 2022 verslagen. Maandblad voor Accountancy en Bedrijfseconomie 97(9/10): 309-318. https://doi.org/10.5117/mab.97.113339
|
Cybersecurity is een randvoorwaarde voor organisaties en de samenleving om cyberrisico’s te beheersen. Deze cyberrisico’s kunnen zowel lokaal als wereldwijd stabiliteit en veiligheid in gevaar brengen. Het groeiend aantal cyberaanvallen, de toenemende complexiteit en de inzet van steeds meer geavanceerde digitale middelen zijn een punt van grote zorg voor alle belanghebbenden. De publieke transparantie omtrent de wijze waarop de steeds ernstiger wordende cyberrisico’s worden beheerst, is dan ook van groot belang en ook steeds vaker een vereiste. Dit komt onder andere tot uiting in de risicoparagraaf van het bestuursverslag en de ontwikkelende regelgeving, zoals die van de Cybersecurity Act en de SEC over cyber disclosures.
Cybersecurity, jaarverslagen, verslaggeving, controle
Beursfondsen leggen in het jaarverslag verantwoording af over hun bedrijfsactiviteiten en geven daarin blijk van een steeds grotere digitale afhankelijkheid. Daarmee neemt ook het belang van cybersecurity in het kader van de betrouwbaarheid en continuïteit van bedrijfsprocessen sterk toe. Dit vergroot de behoefte aan transparantie over cyberrisico’s en kansen van cybersecurity, inclusief de manier waarop hiermee wordt omgegaan.
Cyberdreigingen ontwikkelen zich steeds sneller en kunnen een steeds grotere impact hebben op organisaties – en daarmee de samenleving. Hoewel het lang heeft geduurd om te beseffen dat cybersecurity niet alleen een technisch issue is en de verantwoordelijkheid van iedere belanghebbende is, is het inmiddels algemeen bekend dat cyberaanvallen zich niet langer enkel richten op grote organisaties in de publieke en in de private sector. Aansprekende voorbeelden in de afgelopen jaren, zoals de KNVB (
Bestuurders onderkennen intussen cyberrisico’s als een van de voornaamste te beheersen organisatierisico’s, steeds meer veroorzaakt door dreigingen zoals social engineering via phishing (een van de meest voorkomende cyberaanvallen waardoor hackers mensen misleiden om gevoelige informatie bekend te maken) en misbruik van zwakheden in IT, waaronder zero-day exploits (een ontdekte softwarefout waarvoor nog geen verbeterde software beschikbaar is, die hackers misbruiken om computersystemen aan te vallen). Steeds vaker resulteren deze dreigingen in ransomware-aanvallen en datalekken van persoonsgegevens. In het bijzonder ransomware en datalekken dragen bij tot bewustwording van de realiteit van cyberrisico’s.
Cyberaanvallen treden steeds vaker op, met een steeds grotere impact en ze worden ook steeds complexer en geavanceerder. Denk hierbij aan WannaCry and NotPetya ransomware-aanvallen. Zij worden onder andere gelanceerd door individuen, beroepscriminelen en statelijke actoren (staten of organisaties die namens staten cyberaanvallen plegen), die een significante bedreiging vormen met de potentie om de meeste schade toe te brengen (
Cyberdreigingen worden wereldwijd als één van de belangrijkste zorgpunten beschouwd, niet alleen door cyberexperts, maar ook door business leaders (
Organisaties hebben doorgaans cybersecuritymaatregelen op basisniveau geïmplementeerd en zijn zich bewust van het feit dat een wezenlijke transformatie naar een meer integrale, proactieve en ketenbrede benadering een absolute must is. Het is vandaag de dag cruciaal om de digitale werkelijkheid te adopteren, door de aantrekkelijkheid voor aanvallers te beperken en tegemoet te komen aan de toenemende behoefte aan een nieuwe werkwijze. Deze benadering dient de veranderende cyberdreigingen het hoofd te kunnen bieden door verder te gaan dan alleen aandacht voor een compliancegebaseerde aanpak en focus op procedurele maatregelen. Onderzoek wijst uit dat bestuurders in het algemeen weinig vertrouwen hebben in het niveau van cybersecurity van hun eigen organisatie. Deze zorg wordt eveneens door de bevraagde leden van de auditcommissies genoemd als een issue dat de grootste uitdaging vormt voor organisaties (
Een robuust en volwassen risicobeheersingsmechanisme voor cybersecurity dient dan ook operationeel te zijn om de blootstelling aan de huidige, evenals de opkomende en ingewikkelde cyberbedreigingen te kunnen verminderen. De auditfunctie (zowel de internal auditor als de openbaar accountant) kan hierbij een belangrijke rol spelen door het bieden van zekerheid en advies. De verwachting is dat deze ondersteuning voornamelijk focust op het beschermen tegen de cyberbedreigingen ten behoeve van elk relevant facet van de bedrijfsvoering, waaronder bij de inrichting van multilayered defenses (implementatie van een diversiteit aan securitymaatregelen op verschillende niveaus), veilige configuraties van hardware en software op mobiele apparaten, bevoorrechte toegang, preventie van gegevensverlies, leveranciersmanagement, incident response, veilige codering en de directe relatie tussen cybersecurity en organisatierisico’s (
Deze bijdrage belicht de ontwikkelingen op het gebied van transparantie over cybersecurity vanuit een maatschappelijk perspectief, zowel vanuit regelgeving als vanuit andere ontwikkelingen (hoofdstuk 2). In hoofdstuk 3 is de opzet van ons onderzoek onder de jaarverslagen 2022 van de AEX-fondsen beschreven, hoofdstuk 4 bevat de analyse naar aanleiding van het uitgevoerde onderzoek. Deze bijdrage wordt afgesloten in hoofdstuk 5 met een conclusie en een reflectie.
Op basis van artikel 391.1 BW2 moet het bestuursverslag een beschrijving geven van de voornaamste risico’s en onzekerheden waarmee de rechtspersoon wordt geconfronteerd. De Nederlandse Corporate Governance Code ziet het als taak van de Audit Commissie (als onderdeel van de raad van commissarissen) om toezicht op het bestuur te houden inzake de toepassing van informatie- en communicatietechnologie door de vennootschap, waaronder risico’s op het gebied van cybersecurity (
Openbaarmaking van (financiële) informatie aan het publiek in lijn met wet- en regelgeving is geen nieuw fenomeen. Voor het borgen van transparantie hebben organisaties veelal specifieke processen ingericht met behulp waarvan relevante financiële informatie openbaar wordt gemaakt. De nieuwe regelgeving van SEC (
Gezien het belang van cybersecurity tonen steeds meer belanghebbenden interesse in de openbaarmaking van cyberrisico’s en daarmee gepaard gaande informatie over cybersecurity. Was de behoefte voor het delen van informatie over cyberrisico’s eerst met name intern gericht bij het interne management en de bestuurders, thans zien wij een toenemende interne en externe behoefte om te worden geïnformeerd. Al in 2016 schreef de NBA haar publieke management letter ‘Cybersecurity: Van Hype naar Aanpak’ (
Vanuit de interne behoefte onderkennen wij dat bestuurders in het algemeen worden geïnformeerd over beveiligingsincidenten en de voortgang van het verbeteren van cybersecurity. De externe behoefte is op dit moment nog met name gericht op informatie over cybergerelateerde incidenten, in het bijzonder als deze het onderstaande betreffen:
In jaarverslagen zien wij over de afgelopen jaren een toename van opgenomen cybersecurity-elementen. Een recent onderzoek in de Verenigde Staten naar de toelichtingen in de jaarverslagen bij de Fortune 100 wijst uit dat er in de afgelopen jaren een gestage en significante groei is in het aantal toelichtingen in het kader van cybermanagement en toezicht (
Wijze van communicatie (voorbeelden) | Incidenten en kwetsbaarheden | Cyber-risicomanagement, strategie en governance | Cybersecurity-maatregelen |
---|---|---|---|
Aan RvC en RvB | • SEC | • NIS2 voor essentiële en belangrijke entiteiten | |
• DORA | |||
• SEC | |||
Aan Toezichthouders (bijvoorbeeld Nationaal Cybersecurity Centrum, Autoriteit Persoonsgegevens) | • AVG/GDPR | ||
• NIS2 | |||
• DORA | |||
Aan publiek via jaarverslag | • SEC | • De Nederlandse Corporate Governance Code | |
• SEC | |||
Aan publiek via publicatie | • CRA | • SEC |
Op basis van de cybersecurity act (
Deze wet- en regelgeving zet kracht bij om cyberrisico’s expliciet te beheersen en vereist ook het nemen van bestuurlijke verantwoordelijkheid. Voor financiële instellingen en essentiële entiteiten zal proactieve monitoring door toezichthouders gelden, voor belangrijke entiteiten zal met name worden gesteund op zelfcontrole en monitoring door de toezichthouder als daartoe aanleiding bestaat, bijvoorbeeld bij cyber-gerelateerde incidenten. DORA en NIS2 vereisen expliciet dat relevante cyber-gerelateerde incidenten binnen een dag worden gemeld bij de van toepassing zijnde toezichthouders. Het niet voldoen aan DORA en NIS2 kan hoge boetes tot gevolg hebben.
De regelgeving in de Verenigde Staten is explicieter dan in Europa. Zo heeft de Securities and Exchange Commission (
De disclosure-vereisten richten zich op het beschermen van beleggers tegen de schade die een inbreuk op cybersecurity kan veroorzaken. Daarom verwachten beleggers openbaarmaking van actuele en consistente informatie van de ondernemingen, waaraan hun financiële middelen zijn toevertrouwd. Hiermee worden de ondernemingen verantwoordelijk gesteld om transparantie te verschaffen over de wijze waarop cybersecurityrisico’s door hen worden gemanaged. De SEC heeft deze transparantieverplichtingen vastgesteld voor zowel Amerikaanse als buitenlandse ondernemingen met een beursnotering in de Verenigde Staten (‘foreign private issuers’).
Het is de verwachting dat deze vereisten vanuit de Verenigde Staten ook in Europa de aandacht zullen krijgen. Deze regelgeving raakt de aan de beurs in de VS genoteerde ondernemingen in Nederland, en daarmee kunnen deze ondernemingen ook een voorbeeldfunctie vervullen betreffende de mate waarin cyber dislosure kan plaatsvinden. Om die reden zijn de volgende drie disclosure-eisen van de SEC ook voor Nederlandse beursgenoteerde ondernemingen relevant:
De beroepsorganisatie van IT-auditors heeft in 2023 een consultatiedocument uitgebracht met een verslaggevingsstandaard voor verantwoording IT-beheersing (NOREA reporting initiative) (
Disclosure wordt ook geassocieerd met de opzet van een proces waarmee feiten en informatie over een thema publiekelijk bekend worden gemaakt. Een voorbeeld van een initiatief dat in de praktijk kan worden gebracht is de inrichting van een 3-lines of defense voor cybersecurity. In verband hiermee staan op dit moment twee thema’s in het algemeen centraal, te weten: kunstmatige intelligentie (AI) en vendor risk management. Bestuurders bediscussiëren dit idee en zijn mede op zoek naar een modelmatige disclosure van cyber-gerelateerde informatie, zodat zij gerichte acties kunnen nemen.
In de NBA publieke management letter over cyber wordt erkend ‘dat de controlerend accountant een beperkte verantwoordelijkheid heeft tot het onderzoeken van en rapporteren over cyberrisico’s in relatie tot het auditrisico in relatie tot de jaarrekeningcontrole’ (
Deze aandacht voor beveiliging is geen doel op zich: ‘Dergelijke risico’s hoeven niet noodzakelijkerwijs invloed te hebben op de financiële verslaggeving, aangezien de IT-omgeving van een entiteit ook IT-applicaties en aanverwante gegevens kan omvatten die betrekking hebben op operationele of nalevingsbehoeften (…)’ (
Nederland kent al decennia de verplichting voor de externe accountant tot rapporteren over de betrouwbaarheid en continuïteit van gegevensverwerking op basis van het Burgerlijk Wetboek (BW 2 Titel 9):
De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.
Dit artikel stelt dat voor zover bevindingen inzake betrouwbaarheid en continuïteit zijn gedaan, deze dienen te worden gerapporteerd aan de raad van commissarissen. Cyberrisico’s kunnen daar onderdeel van zijn. Uit de wetsgeschiedenis blijkt dat de accountant met betrekking tot betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking geen actieve onderzoekplicht heeft in het kader van de jaarrekeningcontrole. Zo kan de accountant kiezen voor een gegevensgerichte controleaanpak die ‘om de computer heen’ controleert. Gezien de sterk toegenomen afhankelijkheid van IT binnen ondernemingen sinds deze wetsbepaling, kan de accountants steeds minder vaak voor een controleaanpak kiezen die de risico’s van automatische gegevensverwerking negeert.
Naast deze specifiek benoemde wettelijke rapportageplicht aan de raad van commissarissen, heeft de accountant bij organisatie van openbaar belang (OOB) de plicht om in een uitgebreide controleverklaring in het jaarverslag aandacht te schenken aan de controleaanpak en de kernpunten van de controle (‘key audit matters’). Kernpunten zijn ‘aangelegenheden die, in de professionele oordeelsvorming van de accountant, het meest significant waren bij de controle van de financiële overzichten van de huidige verslagperiode. Kernpunten van de controle worden geselecteerd uit de aangelegenheden die zijn gecommuniceerd met de met governance belaste personen’ (
Intussen wordt van de publieke accountant verwacht dat deze op de algemene vergadering ook mondeling een toelichting geeft omtrent de uitgevoerde jaarrekeningcontrole. In NBA-handreiking 1118 (
Assurance inzake cybersecurity beperkt zich niet tot jaarverslagen en beperkt zich ook evenmin tot accountants. Dit is niet voorbehouden aan accountants. Een voorbeeld hiervan is ‘ISAE 3402’: Assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie.
Wij (als auteurs die betrokken zijn bij cybersecurity) merken in de praktijk dat belanghebbenden steeds vaker een grotere bijdrage verwachten van organisaties en accountants betreffende het transparant maken van de cyberrisico’s en cyberrisicobeheersing van organisaties. Het belangrijkste doel van disclosure in hun optiek is inzichtverschaffing in de organisatie van cybersecurity, om investeerders en andere belanghebbenden te helpen tot de juiste besluitvorming te komen. In de jaarverslagen wordt onder meer stilgestaan bij de wijze waarop cyber-gerelateerde risico’s worden beheerst. Hierbij past een storyline die dwars door de bedrijfsactiviteiten loopt en aandacht heeft voor de onderkende risico’s, de genomen maatregelen, de monitoring door de raad van commissarissen en – waar relevant – de rapportage van bevindingen door de accountant.
In aanvulling op het bovenstaande hebben wij de volgende beelden op basis van onze ervaringen in de praktijk betreffende de transparantie door ondernemingen en het rapporteren door de accountant over cybersecurity:
Voor dit onderzoek hebben wij de jaarverslagen over 2022 van de 25 AEX-fondsen onderzocht, waarop de specifieke cyberregelgeving vanuit Europa of de VS betrekking heeft. In Tabel
Overzicht van vindplaatsen over cyber in de jaarverslagen 2022 van de 25 AEX-fondsen.
Management report | Riskmanagement | Supervisory Board report | Auditor’s report | |||||||
---|---|---|---|---|---|---|---|---|---|---|
Bedrijfs-activiteiten | ESG | Risico’s | Maatregelen | Learning/Awareness | Competenties van RvC leden | (Belangrijk) thema RvC/audit commissie | Audit aanpak | KAM | ||
1 | ABN Amro | • | • | • | • | • | • | • | ||
3 | Aegon | • | • | • | • | • | • | • | ||
4 | Ahold | • | • | • | • | • | • | |||
5 | Akzo | • | • | • | • | |||||
7 | Arcelor Mittal | • | • | • | • | |||||
8 | ASMI | • | • | • | • | • | • | • | ||
6 | ASML | • | • | • | • | |||||
9 | ASR | • | • | • | • | • | • | |||
2 | Ayden | • | • | • | ||||||
10 | Besi | • | • | • | • | |||||
11 | DSM | • | • | • | • | • | ||||
12 | Exor | • | • | |||||||
13 | Heineken | • | • | • | ||||||
14 | IMCD | • | • | • | • | • | • | |||
15 | ING | • | • | • | • | • | • | • | • | |
16 | KPN | • | • | • | • | • | • | • | • | |
17 | NN | • | • | • | • | • | • | • | ||
18 | Philips | • | • | • | • | |||||
19 | Prosus | • | • | • | • | • | ||||
20 | Randstad | • | • | • | • | • | • | • | ||
21 | Relx | • | • | • | • | • | • | |||
22 | Shell | • | • | • | • | • | ||||
23 | UMG | • | • | • | • | • | ||||
24 | Unilever | • | • | • | ||||||
25 | Wolters Kluwer | • | • | • | • | • | • | • | ||
Totaal | 12 | 15 | 25 | 21 | 22 | 7 | 23 | 4 | 4 |
Volgend op de vorige hoofdstukken van deze bijdrage is gezocht naar antwoorden op de volgende vragen:
In de 25 jaarverslagen varieerde het aantal keren dat ‘cyber’ (en dus ook de samengestelde woorden met daarin cyber) voorkwam enorm, van 4 tot 77. Na een eerste analyse bleek dat deze kwantitatieve meting geen inhoudelijk representatieve weergave was van de aandacht voor cyber in de afzonderlijke jaarverslagen. Als alternatief hebben wij een kwalitatief onderzoek uitgevoerd waarin wij een indeling hebben gemaakt naar activiteiten, risico’s, maatregelen, governance en rapportage van bevindingen. In die laatste categorie is ook gekeken naar de betrokkenheid van interne en externe accountants. Het overzicht van de vindplaatsen van ‘cyber’ in de jaarverslagen 2022 is weergegeven in Tabel
In algemene zin valt op dat de aandacht voor cyber in het jaarverslag een sterke diversiteit kent. Aan de ene kant van het spectrum bevinden zich onder andere ABN-AMRO, Aegon, ASR, ING, KPN, NN, Relx en Wolters Kluwer, waarbij de ondernemingen cyber zien als integraal onderdeel van de waardepropositie en van daaruit in het hele verslag aandacht schenken aan cyber. Aan de andere kant van het spectrum bevinden zich ondernemingen die cyber weliswaar aanstippen, maar waarbij uit het verslag niet blijkt wat de echte impact van cyber is voor de onderneming. Een voorbeeld hiervan is Exor. Daar tussenin zien we ondernemingen die cyber zien als risico en vervolgens aandacht schenken aan de diverse aspecten van cyber. In een aantal gevallen blijft de lezer van het jaarverslag in het ongewisse over de diepgang c.q. concreetheid van acties en meldenswaardige specifieke omstandigheden in 2022. Voorbeelden hiervan zijn Ayden, Besi en Prosus.
Cyber wordt door 15 fondsen betrokken in ESG: zowel op het gebied van de stakeholdersdialogen als bij de bepaling van de (dubbele) materialiteit: vanuit impact- en financieel perspectief. Opvallend is dat uit de stakeholdersanalyse bij IMCD blijkt dat cyber niet hoog in de materialiteitsmatrix staat, maar dat er toch relatief veel aandacht is voor cyber in het kader van riskmanagement (moderate risk met high impact). Prosus besteedt in het ESG-hoofdstuk uitgebreid aandacht aan cyber resilience. Een voorbeeld van het verankeren van cyber in ESG vinden wij in het jaarverslag van Wolters Kluwer, waarin cybermaturity onderdeel is van het Remuneration Report door de raad van commissarissen over het bestuur. Daarin wordt zowel over de mate van verbetering van cybermaturity als de cybermaturity-score zelf gerapporteerd als onderdeel van de niet-financiële KPI’s (zie Figuur
Alle 25 AEX-fondsen benoemen risico’s uit hoofde van cybersecurity. Bij 6 fondsen wordt cyber genoemd onder strategische risico’s (of equivalent key risk of top risk): ASML, ASR, ING, NN, Philips en Unilever. In totaal 12 andere fondsen benoemen cyber als een operationeel risico. De overige fondsen laten het in het midden, door geen toewijzing naar strategisch of operationeel risico te maken. ASML en ASMI koppelen het cyberrisico aan het bewaken van de IP, ‘de kroonjuwelen van de onderneming’ (
Een ander voorbeeld is ASML, dat een Cyber Defense Center heeft gecreëerd en een ‘Information security and cyber resilience programme’ heeft lopen. Dat is niet voor niets: zo meldt ASML maar liefst 2800 cybersecurity-incidenten die zijn onderkend en ondervangen. Ook KPN is transparant over kwetsbaarheden en incidenten.
Cyber heeft de aandacht van elke raad van commissarissen
In de 25 jaarverslagen van de AEX-fondsen is bij 4 fondsen door de externe accountant cyber in de controleverklaring genoemd in de paragraaf over de controleaanpak. Bij 4 fondsen is een key audit matter verwoord waarin cybersecurity aan bod komt, inclusief de reflectie daarop voor de controle-aanpak: ABN-AMRO, ING, KPN en Wolters Kluwer. In deze key audit matter gaat de accountant specifiek in op de werkzaamheden rond cybersecurity. Gezien de importantie van cybersecurity voor de bedrijfsvoering van deze fondsen is dat ook goed te verklaren. Dit blijkt onder andere uit de bespreking van cyber in de bedrijfsvoeringsparagrafen en niet alleen in de riskmanagementparagrafen in de betreffende jaarverslagen.
De specifieke aandacht door de accountant voor cyber in een key audit matter bij KPN is zichtbaar vanaf het jaarverslag 2016. Bij NN geeft KPMG aan dat de key audit matter over betrouwbaarheid van IT general controls en cybersecurity controls uit de controleverklaring van 2021 niet meer is opgenomen in 2022, omdat bevindingen minder significant waren in 2022. In die controleverklaring 2021 was de argumentatie voor de key audit matter als volgt verwoord: ‘Taking into account group’s dependency on the reliability and continuity of IT and the increasing frequency and severity of cyber incidents in the environment where the group operates, we considered the reliability of IT general controls and cybersecurity controls a key audit matter.’
Tabel
GDPR/privacy | NIS/NIS2 | DORA | SEC m.b.t. cyber | |
---|---|---|---|---|
Term genoemd | 8 | 1 | 2 | 1 |
Term genoemd met onderliggende risico’s en maatregelen | 13 | 0 | 0 | 0 |
Totaal genoemd | 21 | 0 | 2 | 1 |
Niet genoemd | 4 | 24 | 23 | 24 |
Totaal | 25 | 25 | 25 | 25 |
In de jaarverslagen wordt in 21 verslagen de van toepassing zijnde privacyregelgeving, in generieke termen of specifiek GDPR, genoemd. In 13 verslagen wordt de term genoemd en wordt ingegaan op de daaruit volgende risico’s en maatregelen. In 8 aanvullende gevallen wordt alleen de term genoemd. In 4 gevallen (Ahold, Akzo, Besi en Unilever) wordt geen verwijzing gemaakt naar de geldende privacyregelgeving. Omdat de privacyregelgeving in 2018 is ingegaan, lijkt het na een paar jaar dus gemeengoed om hier ook expliciet aandacht aan te geven in het bestuursverslag. Alleen KPN maakt melding van de aankomende NIS2-regelgeving. DORA wordt genoemd door Aegon en ASR, terwijl Adyen, ABN AMRO, ING en NN deze niet expliciet benoemen. ASR en KPN maken melding van de aangekondigde Cyber Resilience Act. Van de 7 fondsen uit de AEX die ook in de VS zijn genoteerd, wordt alleen door Aegon in het jaarverslag specifiek ingegaan op de aangekondigde SEC-regelgeving met betrekking tot cyber. Deze analyse is samengevat in Tabel
Key audit matters en werkzaamheden rond cybersecurity (KPN Integrated Annual Report 2022, p. 181).
Activiteiten | Risico’s | Maatregelen | Governance | Rapportage bevindingen | |
---|---|---|---|---|---|
Aspecten | - Koppeling met ESG (stakeholdersdialoog en materialiteit) | Onderdeel strategische en operationele risico’s met dimensies kans en impact | (Awareness) training | - Expertise Board leden (RvB en RvC) | - Rapportage over concrete incidenten |
- Besprekingen in vergaderingen van audit commissies en RvC | - Reflectie externe accountant over aanpak, werkzaamheden en uitkomsten | ||||
- Samenwerking (partnering en outsourcing) | |||||
- Effect impact regelgeving | - Rol internal audit | ||||
Aansprekende voorbeelden | KPN | NN | DSM | Prosus | ING |
- Waarde propositie | - Strategic risk assessment | Training | - Competenties board leden | - Transparantie over attack | |
- Partnering | ASML | ||||
ASR | - Cyber Resilience Programma | Heineken | KPN | ||
- effect regelgeving | - Deep dive sessie met AC en RvC | - Transparantie over vulnerabilities en incidenten | |||
- effect outsourcing | |||||
Randstad | NN en Unilever | - KAM in controleverklaring | |||
- Relatie met persoonsgegevens | - Werkzaamheden internal audit | ||||
Wolters Kluwer | |||||
- Cyber maturity als KPI voor remuneratie |
Er is een diversiteit aan aandacht voor cybersecurity in het jaarverslag, zowel in omvang als diepgang. Regelmatig wordt cybersecurity genoemd, maar vaak meer als formeel punt zonder specifieke diepgang of expliciete betekenis. Een aantal ondernemingen benoemt de relevantie voor business en de bedrijfsactiviteiten. Een aantal ondernemingen vermeldt cybersecurity als onderdeel van ESG. De raad van commissarissen (en daarbinnen de Audit Commissie) is in veel gevallen zichtbaar aangehaakt. Specifieke dreigingen worden (slechts) beperkt genoemd, zoals risico’s vanuit derde partijen, terwijl dit bij alle organisaties een wezenlijk groeiende en grote dreiging is. De meeste ondernemingen benoemen een beveiligingsmaatregel, zoals trainingen voor beveiligingsbewustzijn, maar ze benoemen dan niet andere beveiligingsdomeinen, zoals secure software development. Hiermee wordt de schijn van sterke maatregelen gegeven, maar er ontbreekt transparantie van beveiligingsmaatregelen in de breedte.
Bij vier ondernemingen heeft de accountant in de controleverklaring als onderdeel van de key audit matters aandacht gegeven aan cybersecurityrisico’s en de daaruit volgende controlewerkzaamheden. Kennelijk beschouwen accountants cyberrisico’s in veel gevallen niet als onderwerp van grote aandacht voor de jaarrekeningcontrole, dat vervolgens aanleiding geeft tot het formuleren van een key audit matter.
Gezien de geschetste ontwikkelingen vanuit wet- en regelgeving, de erkenning van uitdagingen in de bedrijfsvoering en een vergroot ESG-bewustzijn, is het onze verwachting dat het thema cyber in de jaarverslagen een verder groeiende aandacht zal krijgen. Transparantiegerelateerde activiteiten (traceerbare communicatie van de feiten naar de belanghebbenden) worden gedreven door de wet- en regelgeving alsmede door cyberbewuste leiders. Meer transparantie zal op termijn resulteren in een betere beheersing van cybersecurityrisico’s.
Prof. dr. PWA Eimers RA – Peter is hoogleraar Audit & Assurance aan de Vrije Universiteit en partner bij EY.
Prof dr. A. Shahim RE – Abbas is hoogleraar IT Auditing aan de Vrije Universiteit en Global ESG partner bij Eviden (voormalig Atos).
Ir. P. Kornelisse RE – Peter is partner bij EY en hoofddocent IT Auditing aan TIAS.
Deze internationale assurancestandaard is in Nederland als vertaling uitgegeven als Standaard 3402 door NBA en als Richtlijn 3402 door NOREA.
Of de Board of Directors voor die fondsen waar sprake is van een one-tier Board.