Nieuwe IT-audit verklaring voorwaarde voor bedrijfskrediet?

Nieuwe IT-audit verklaring voorwaarde voor bedrijfskrediet?

Nieuwe IT-check kan voorwaarde worden voor krediet

Investeerders en banken willen graag weten of een bedrijf weerbaar is tegen hackers, voordat ze de geldkraan openzetten. Een speciale IT-verklaring moet daar meer inzicht in geven.

Er is een speciale verklaring in de maak waarmee bedrijven kunnen aantonen dat hun IT-systemen op orde zijn. De verklaring moet duidelijk maken in hoeverre een onderneming bestand is tegen hackers en andere ernstige IT-problemen. Banken en investeerders kunnen dit gebruiken bij hun beslissing om te investeren in een bedrijf.

We sluiten niet uit dat de verklaring in de toekomst een voorwaarde wordt bij kredieten aan bedrijven die afhankelijk zijn van IT’, zegt een woordvoerder van zakenbank NIBC.

Rients Abma, directeur van Eumedion, de belangenbehartiger van institutionele beleggers, hoopt dat het IT-verslag een vast onderdeel wordt van de accountantsverklaring. ‘Ik vind dat de accountant het nu al moet vermelden als een bedrijf waarop toezicht wordt gehouden, de IT niet op orde heeft’, zegt hij.

Het nieuwe verslag is ontwikkeld door Norea, de beroepsvereniging van IT-auditors. Het initiatief wordt gesteund door bedrijven, banken, investeerders en de grote accountantskantoren. De eerste verslagen worden uiterlijk over boekjaar 2022 verwacht.

Van ‘nice to have’ tot verplichting

In praktijk kan zo’n verklaring heel snel veranderen van “nice to have” in een verplichting’, zegt Wido Dalhuisen, partner en IT-expert bij de grote accountantsorganisatie BDO. ‘Financiers willen graag zekerheid over de IT-systemen, als ze met een bedrijf in zee gaan.’ Irene Vettewinkel-Raymakers, voorzitter van Norea en tevens auditdirecteur bij ABN Amro, zegt dat de nieuwe verklaring ‘belangrijk wordt voor commissarissen en investeerders.’

VNO-NCW en MKB Nederland, de organisaties voor het Nederlandse bedrijfsleven, zijn nog niet toe aan een controleplicht. Ze willen onder meer weten of de kosten voor kleinere bedrijven ‘behapbaar zijn’, aldus een woordvoerder. Ook vragen ze om geheimhoudingsplicht voor controleurs, en zekerheid over hun onafhankelijkheid tegenover andere dienstverleners.

Boetes en hackers

Het initiatief komt op een moment dat de kwaliteit van IT-systemen en de veiligheid van de persoonsgegevens die organisaties bewaren, steeds belangrijker worden. Wereldwijd richten hackers grote schade aan. Zo bracht een aanval met gijzelsoftware onlangs het grote Amerikaanse energiebedrijf Colonial Pipeline op de knieën.

Het moest losgeld betalen om zijn computers weer te kunnen gebruiken, terwijl intussen de energietoevoer van Oost-Amerika stagneerde. Ook leidt zwakke beveiliging tot bekeuringen, zoals dit voorjaar bij Booking.com. De Nederlandse Autoriteit Persoonsgegevens legde een boete op van €475.000 wegens te late melding van een datalek.

Wij zijn één van de meest gedigitaliseerde landen. Andere landen, ook de VS, doen meer op papier. Het is daarom belangrijk dat we ook in de controle voorop lopen.’

Marc Welters, bestuurder bij beroepsorganisatie Norea

Nederland is bovendien extra kwetsbaar, omdat het meer dan andere landen vertrouwt op digitale processen. ‘Wij zijn één van de meest gedigitaliseerde landen. Andere landen, ook de VS, doen meer op papier’, zegt Marc Welters, bestuurder bij Norea en tevens partner bij accountantskantoor EY. ‘Het is daarom belangrijk dat we ook in de controle voorop lopen.’

Nog niet verplicht

Op dit moment is het IT-verslag nog geen verplicht onderdeel in een accountantsverklaring. In praktijk worden systemen wel gecontroleerd als ze een rol spelen in de financiële huishouding. Ook geven de IT-auditors verklaringen af over individuele projecten. De accountant kent nog geen voorschriften om het hele IT-systeem te testen, terwijl dat grote risico’s kan verbergen.

In de nieuwe werkwijze onderzoeken IT-auditors hoe goed een bedrijf bestand is tegen inbraken. Ze checken zowel de basisbeveiliging als de noodplannen die in werking treden als het bedrijf toch hackers binnenkrijgt. De verklaring gaat niet alleen over het afgelopen boekjaar, maar ook het komende. ‘De auditor zegt daarmee iets over de mate waarin IT toekomstbestendig is’, aldus Vettewinkel-Raymakers.

Ook voor toezichthouders, zoals de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten, kan de verklaring relevant zijn. ‘In een snel digitaliserende wereld is het noodzakelijk digitaal “in control” te zijn. Wij staan dan ook achter het initiatief’, aldus Angeline van Dijk, directeur-hoofdinspecteur van Agentschap Telecom. De organisatie, die onder meer toezicht houdt op cloudbedrijven, denkt dat de verklaring kan helpen bij het toezicht.

Extra werk

De IT-verklaring kan bedrijven extra werk kosten, maar ook dubbel werk besparen. Veel ondernemingen zijn enthousiast, stelt Vettewinkel-Raymakers, die het initiatief besprak met commissarissen van twintig bedrijven: ‘De discussie gaat vooral over het moment waarop de verslagen openbaar worden. Sommige bedrijven willen de uitkomsten liever voor zich houden tot de systemen op orde zijn.’

Lees het volledige artikel: https://fd.nl/futures/1407271/nieuwe-it-check-kan-voorwaarde-worden-voor-krediet-ukh1caBnHofo?utm_medium=social&utm_source=twitter&utm_campaign=earned&utm_content=20210811