Gastblog van Willemijn vam de Lagemaat (Skopos.AI)
Uit onderzoek van Skopos onder 160 accountants blijkt dat het merendeel van de accountants vindt dat het meer aan informatiebeveiliging zou moeten denken. Ook geven de accountants aan zich (nog) niet comfortabel genoeg te voelen om met klanten hierover te praten. Toch wordt de account cruciaal in de strijd tegen cybercrime. Door de ontwikkelingen in audit, de toenemende mate van het gebruik van informatietechnologie en strengere wetgeving op komst wordt de accountant een knooppunt voor klantgegevens. Schuiteman accountants en adviseurs laat zien hoe zij deze kans aangrijpen om hun klanten inzicht te geven in informatiebeveiligingsrisico’s. Dit artikel is onderdeel van een drieluik over cybersecurity in de accountancy. Het eerste artikel schetste de cybersecurityrisico’s voor 2022 voor het MKB en kantoren. In het tweede artikel lichtten we toe wat je concreet kunt doen en meten als kantoor, en dit derde artikel beschrijft hoe je je klanten Cyber Security Assurance kunt bieden.
Vragen van de klant voorop: ‘Ben ik veilig?’
Cybersecurity binnen het midden- en kleinbedrijf groeit uit tot een steeds belangrijker item. Klanten maken zich zorgen om de impact die ransomwareaanvallen en hacks kunnen hebbben op de reputatie en continuïteit van hun organisatie. Securityoplossingen zijn duur en hebben een beperkte scope – zo meet een pentest bijvoorbeeld de veiligheid van de organisatie op een specifiek moment, maar biedt geen inzicht op directieniveau over de mogelijkheid van een aanval op jouw organisatie. Veel ondernemers in het MKB worstelen met de vraag ‘Ben ik wel cyberveilig genoeg?’ Er zijn hoge risico’s verbonden aan een digitale aanval. Dit kan je als ondernemer veel geld gaan kosten. De accountant kan het voortouw nemen in het aanbieden van cyber assurance en het geruststellen van haar klanten.
Toekomst van audit in IT
Trends in accountancy laten zien dat nieuwe dynamieken op komst zijn. De accountant wil toegevoegde waarde bieden aan de klant, en is tegelijkertijd op zoek naar nieuwe bronnen van inkomsten. Ook zien we steeds meer digitalisering in het audit proces. De toekomst van audit komt steeds meer online te liggen. Zorgen om data privacy en cybersecurity problemen nemen inherent toe. Ook accountancy regulering (ISA) en de Europese NIS2 regeling gaan nieuwe veranderingen brengen voor accountants.
Start met de feiten
Het terrein van cybersecurity is een gebied waarop de accountants zijn kennis kan uitbreiden en zijn grip kan verstevigen. Cyber security assurance start met de feiten. Weet je als accountant welke cyberrisico´s een risico vormen voor jouw klant en zijn organisatie? Er zijn drie gebieden te onderscheiden: de mens (vaak de zwakste schakel, denk aan verloren wachtwoorden, klikken op phishing links, algemene cyber awareness), het proces (in welke mate kan een kantoor reageren op kwetsbaarheden, welke weerbaarheid heeft ze tegen cyberaanvallen, hoe gaat ze om met veranderingen, welk beleid is er over het gebruik van zakelijk emailadres) en IT (zijn websites, werkplekken en het netwerk veilig?). Bij accountantskantoor Schuiteman werken ze bij alle vijf de vestigingen al met de cyber assurance via de softwareleverancier Skopos. Via Skopos worden de feiten aangeleverd over de veiligheid van de websites, computers en medewerkers van geïnteresseerde klanten. Partner Gert de Fluiter is discipline verantwoordelijk voor de afdeling audit en assurance. De Fluiter: “Wij als accountant voegen aan deze feiten onze deskundigheid toe en kunnen daarvoor een accountantsrapport afgeven.” De partner van Schuiteman trekt een parallel met de AVG-wet. “Die wetgeving is er al. Voor cybersecurity is er ook – op Europees niveau – soortgelijke wetgeving in de maak. Bedrijven worden daardoor verplicht om afdoende maatregelen te treffen in het kader van cybersecurity. Doe je dit niet, dan loop je de kans op een fikse boete.”
Inzicht, versterking, verbreding
De Fluiter: “Skopos heeft een cyber security dashboard wat inzicht biedt in risico´s rondom mens, proces en IT: Het biedt daarmee kansen voor accountants, doordat het audits zeker meerwaarde geeft. Ten eerste doordat het dashboard inzicht geeft in risico’s rondom mens, techniek en processen. Wij kunnen dankzij deze informatie veel dieper gaan in de beoordeling van de betrouwbaarheid. Ten tweede kunnen we onze eigen controle versterken en efficiënter maken. Voorheen was het best lastig om informatie boven te krijgen. Als onze klanten met het Skopos-dashboard werken, is het voor ons helemaal eenvoudig om alle gegevens uit te lezen. Onze managementletters en accountantsverslagen worden ook beter, omdat we gerichter adviezen kunnen geven. Ten derde kunnen we een bredere dienstverlening aan onze klanten bieden. Als iemand voor de bank of verzekering data moet laten valideren, dan kunnen wij deze taak dankzij het dashboard eenvoudig uitvoeren en COS 4400 en COS 3000-rapportages afgeven.”
Assurance via accountantsrapport
Schuiteman Accountants en Adviseurs zorgt via Skopos dat de veiligheid van klanten wordt gewaarborgd en de risico’s van een hack worden beperkt. “Daardoor is het voor ons redelijk eenvoudig om ook adviezen op het gebied van cyberveiligheid te geven. We hebben bijvoorbeeld bij een aantal klanten van ons gezamenlijk de cyber awareness getest. Bij een ‘phishing test’ bleek dat 25 tot 50% op een meegestuurde link klikt. De zwakste schakel is vaak de mens. Verder analyseren we de uitkomsten uit het dashboard. We adviseren dan bijvoorbeeld een scherpe procedure voor het regelmatig instellen van een nieuw wachtwoord.” Ook is het mogelijk om een accountantsrapport uit het dashboard te genereren en te valideren. “Dat geeft toegevoegde waarde aan de audit voor bestuurders of voor de Raad van Commissarissen. Ook is dit een uitstekende tool om verzekeraars ervan te overtuigen dat je als ondernemer cyberveiligheid serieus neemt en dat je moraliteit goed is om die verzekering daadwerkelijk af te sluiten. En daar hoort vaak een accountantsrapport bij om die aanvraag soepel te laten verlopen,” aldus De Fluiter.
Meer weten over Skopos?
Ben je geïnteresseerd in hoe jouw organisatie Skopos kan inzetten voor het verbreden van jouw dienstverlening? Bezoek onze website en bekijk ons product. Wil jij weten wat jij kunt doen om jouw organisatie nu al cybersecure te maken? Meld je dan nu aan voor het gratis lunchwebinar van Skopos en Sdu. Onze experts behandelen de cyberrisico’s, de trends in informatiebeveiliging en de cyber audit kansen voor jou. Daarnaast is er volop ruimte voor het stellen van vragen aan onze experts.