Skip to main content

Wat moet je écht herstellen na een cyberaanval en wat niet? – Deel 1

Inleiding

In 2023 waren er ruim 90% meer Ransomware-aanvallen in Nederland t.o.v. 2022 volgens de Ransomware Task Force (RTF). Nog altijd blijkt het een lucratieve business voor criminelen. Vandaar ook dat wet- en regelgeving, zoals DORA en NIS2, gericht zijn op weerbaarheid. De komende weken nemen wij je mee in het onderwerp “Cyber Recovery” door middel van een blogreeks boordevol info en tips.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder >

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder >

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder >

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder >

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Cyber Recovery: wat moet je echt herstellen en wat niet?

In eerdere blogs stonden we stil bij het belang van kunnen herstellen na een cyberaanval. Maar: hoe bepaal je wat je moet herstellen en wat minder urgent is? Moet je alles herstellen of richt je je op de belangrijkste onderdelen? Wat zijn eigenlijk de belangrijkste onderdelen? En: hoe bepaal je dat? Dit zijn enkele cruciale vragen die organisaties zichzelf moeten stellen wanneer ze een Cyber Recovery-plan opstellen.

Uiteindelijk komt het neer op het maken van doordachte keuzes op basis van functionele en technische inzichten. Echter, uit onderzoek blijkt dat veel organisaties nog onvoldoende overzicht in hebben in wat hun kritieke functies zijn. Sterker nog, onderzoek bevestigt ook dat veel organisaties überhaupt het overzicht missen in welke activiteiten zij uitvoeren, in welke mate deze bijdragen aan de organisatiedoelstellingen en welke IT daarin (en in welke mate) een rol speelt*.

Alles herstelbaar maken dan maar? Vanuit kosten perspectief is dat op de lange termijn wellicht ook niet handig: heb je een of meerdere (cloud)datacenters beschikbaar waarin alles hersteld kan worden? En, o ja, die datacenters moet je eigenlijk nooit hoeven te gebruiken.

Kortom: het lijkt erop dat het maken van doordachte keuzes in wat wel en niet hersteld moet worden de beste / meest langdurige oplossing is. Maar waar moet ik aan denken? Laten we dat verkennen aan de hand van een gestructureerde aanpak, waarbij we kijken naar kritieke functies, afhankelijkheden en hoe je prioriteiten stelt in je herstelstrategie.

Hoe bepaal je wat je moet herstellen?

Een van de grootste uitdagingen in Cyber Recovery is het bepalen van wat je echt nodig hebt om snel weer operationeel te zijn. De meeste organisaties werken met een Business Impact Analysis (BIA) om te bepalen welke functies en systemen prioriteit hebben. De BIA helpt bij het classificeren van activiteiten en tooling die cruciaal zijn voor je bedrijfsvoering. Maar hoe gedetailleerd is dat inzicht werkelijk? Vaak blijft het beperkt tot de tools die worden gebruikt en missen we een duidelijk beeld van de afhankelijkheden tussen systemen en (bedrijfs)activiteiten. Behalve dat dit laatste wat mij betreft cruciaal is om een BIA goed uit te kunnen voeren, mist er nog iets. Waar de BIA meestal is gericht op de afhankelijkheden van IT voor de continuïteit van de organisatie, mist vaak (terecht) in de BIA de afhankelijkheden van IT om de IT te continueren. Bijvoorbeeld: de BIA maakt (hopelijk) een verbinding tussen bedrijfsvoering en ondersteunende applicaties en andere IT-systemen. Echter, de IT-systemen die in de BIA zijn opgenomen, zijn op hun beurt ook weer afhankelijk van allerlei elementen. Denk aan certificaten, wachtwoordkluizen waarin wachtwoorden van beheeraccounts staan, besturingssystemen met bepaalde instellingen en ga zo maar door. Om goed te kunnen herstellen is ook dit inzicht een must.

Kortom, om te bepalen wat kritiek is, is inzicht nodig in:

  1. De bedrijfsactiviteiten, in welke mate deze van belang zijn voor de continuïteit van de organisatie en welke (soort) informatie gebruikt/verwerkt wordt in die activiteiten;
  2. De applicaties en andere IT-systemen die de bedrijfsactiviteiten ondersteunen en in welke mate dat ze dat doen;
  3. De afhankelijkheden die de IT-systemen kennen om te kunnen functioneren.

Zonder deze inzichten herstel je niet de belangrijkste zaken en/of duurt herstel mogelijk (veel) langer dan nodig. Het mooie? De meeste organisaties zijn al zo ingericht dat deze drie inzichten opgehaald kunnen worden bij verschillende afdelingen:

Voor inzicht #1 en #2 zijn het de mensen op de werkvloer en/of management die de inzichten zou moeten kunnen geven:

  • Het hebben van een dataclassificatiemodel, waarin ten minste classificaties ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van data wordt stilgestaan, helpt bij het bepalen van het bepalen van belang van activiteiten. Tegelijkertijd kan op basis van gestructureerde analyses en onderbouwingen er best wel eens een scheef beeld ontstaan over wat belangrijk is en wat minder. Daarom is het goed om ongeacht wat de modellen als uitkomst bieden altijd de resultaten onderling te vergelijken van activiteit tot activiteit en desnoods het gehanteerde model te overrulen.

Voor #3 moet je bij IT zijn:

  • Een goed CMDB kan het gemakkelijk maken om het inzicht snel te bieden.
  • Is beheer van je IT uitbesteed? Nog mooier, dan is het meestal aan de IT-dienstverlener om dit inzicht te hebben en is het aan jou om goede afspraken te maken over beschikbaar maken van IT na een cyberaanval.

Maar wat als je je vergist?

Hoewel automatisering van bovenstaande absoluut kan helpen, is er altijd een kans dat je wat zaken mist of verkeerd hebt opgenomen in de gevraagde inzichten. Er is immers in ieder van de uit te voeren activiteiten sprake van enige mate van afhankelijkheid van mensen. En waar mensen werken, worden fouten gemaakt.

Wat dus als die fouten zijn gemaakt bij het maken van die inzichten? Je zult het in deze reeks nog wel een paar keer lezen: testen, testen, testen. De enige manier om er echt achter te komen is door te gaan testen. Hoe en wat te testen, dat komt later nog wel eens aan bod.

Cyber Recovery-plan in kaart brengen

Veel organisaties hebben hun recovery-plannen nog niet volledig in kaart, vooral als het gaat om het bepalen van prioriteiten en afhankelijkheden. Zonder gedegen inzicht in wat er hersteld moet worden en in welke volgorde, loop je het risico op onnodige vertragingen en extra schade. Het is tijd om je herstelstrategie tegen het licht te houden: Heb jij helder wat er hersteld moet worden na een aanval?

Neem contact op om te ontdekken hoe we jouw Cyber Recovery-plan kunnen optimaliseren. Samen zorgen we ervoor dat je snel en effectief herstelt, zonder dat je iets over het hoofd ziet. Afspraak maken voor een vrijblijvend gesprek? Bel me op 06 417 731 52 of mail naar toine@arcpeople.nl.

* Kanttekening: wat dat betreft ligt er voldoende uitdaging om te gaan voldoen aan DORA en in iets mindere mate NIS2.

Cyber Recovery: Waarom je het niet kunt uitbesteden, zelfs als je IT dat wel is

Inleiding

In 2023 waren er ruim 90% meer Ransomware-aanvallen in Nederland t.o.v. 2022 volgens de Ransomware Task Force (RTF). Nog altijd blijkt het een lucratieve business voor criminelen. Vandaar ook dat wet- en regelgeving, zoals DORA en NIS2, gericht zijn op weerbaarheid. De komende weken nemen wij je mee in het onderwerp “Cyber Recovery” door middel van een blogreeks boordevol info en tips.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder >

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder >

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder >

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder >

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Uitbesteden van Cyber Recovery

Het uitbesteden van IT-diensten is voor veel organisaties een slimme zet. Met toegang tot gespecialiseerde kennis en schaalvoordelen lijkt de IT-infrastructuur in goede handen. Toch blijkt er vaak een grote misvatting: dat Cyber Recovery bij een uitbestede IT-omgeving ook volledig kan worden uitbesteed. Terwijl IT-providers de technische kant van zaken kunnen regelen, zijn er essentiële onderdelen van cyber recovery die altijd onder jouw verantwoordelijkheid vallen. In deze blog ontdek je waarom jouw betrokkenheid cruciaal is voor effectieve herstelstrategie na een cyberaanval, zelfs als je IT niet meer in eigen beheer is.

Wat je zelf moet regelen

Cyber Recovery betekent meer dan alleen vertrouwen op de diensten van een externe partij. Het gaat om het waarborgen van continuïteit, het beperken van schade, en het snel weer up and running zijn na een cyberincident van jouw organisatie. De kans is aannemelijk dat jouw organisatie het nieuws haalt en niet jouw IT-dienstverlener.

1. Grip op jouw herstelprioriteiten en -strategie

IT-dienstverleners kunnen je helpen met technische recovery-aspecten. Maar stel jezelf de vraag: begrijpen zij écht welke systemen voor jou cruciaal zijn? Jij kent je eigen organisatie het best. Dit betekent dat het bepalen van hersteldoelstellingen, bijvoorbeeld ten aanzien van doorlooptijden en toegestaan dataverlies, altijd bij jou moet liggen. Die doelstellingen moeten vervolgens worden vertaald naar praktische afspraken met je dienstverleners, want ons brengt bij het volgende punt.

2. Heldere afspraken in je contracten en SLA’s

Je IT-dienstverlener kan veel bieden, maar niet alles is automatisch geregeld.

Heb je ooit je Service Level Agreements (SLA’s) en contracten kritisch onder de loep genomen? Het vastleggen van herstel- en escalatieprocedures lijkt misschien vanzelfsprekend, maar heb je echt controle over de details? Kun je echt vertrouwen op die standaardafspraken of is maatwerk hier een noodzaak?

Het is belangrijk om specifiek vast te leggen hoe herstel- en escalatieprocedures worden uitgevoerd, welke systemen worden beschermd, en hoe vaak deze procedures worden getest. Dit vraagt om helder geformuleerde contracten en SLA’s. En ja, ook om een duidelijke en regelmatige evaluatie van die afspraken. De afstemming over herstelprocessen mag geen vaag gebied zijn; het is een gebied waarin je als organisatie moet investeren in duidelijkheid en samenwerking.

3. Eigen toegang tot back-ups en immutable data

Wanneer je vertrouwt op een externe partij voor het beheren van back-ups, is het cruciaal dat deze back-ups gescheiden van de productienetwerken én onveranderbaar (immutable) zijn. Denk aan situaties waarin je IT-dienstverlener zelf (ook) getroffen is door een aanval. Heb je dan de toegang tot je eigen data om deze te herstellen? Neem geen genoegen met aannames. Weet je zeker dat je toegang hebt tot je eigen data in het geval van een cyberaanval bij je dienstverlener? Zorg ervoor dat dit zwart op wit staat en regelmatig wordt getest. Dit vraagt om een combinatie van technische oplossingen en goede contractuele afspraken.

4. Test regelmatig je herstelplannen samen met je leverancier

Testen is een essentieel onderdeel van elke Cyber Recovery-strategie. IT-dienstverleners bieden vaak standaard testmomenten aan, maar hoe relevant zijn deze voor jouw specifieke behoeften? En bovendien, biedt de IT-dienstverlener wel echt Cyber Recovery testen aan, of zijn dat vooral disaster recovery testen? Zorg dat je als organisatie zelf betrokken bent bij het uitvoeren en evalueren van tests. Dit is geen kwestie van wantrouwen, maar van zorgen dat je op elk moment weet wat er nodig is om weer snel en veilig operationeel te zijn.

5. Verantwoordelijkheid voor crisismanagement en communicatie blijft intern

Een snelle reactie bij een cyberaanval is van cruciaal belang. Terwijl externe partijen een rol kunnen spelen in technische ondersteuning en herstel, ligt de verantwoordelijkheid voor crisismanagement en communicatie altijd bij jouw organisatie. Jij bepaalt de communicatielijnen, de responsstrategie en de prioriteiten tijdens een crisis. Dienstverleners kunnen ondersteunen, maar ze zullen nooit de beslissingen nemen die jouw reputatie kunnen redden of breken. Zijn jouw teams klaar om de touwtjes in handen te nemen als het nodig is? Hebben ze geoefend voor deze scenario’s?

Heb jij je IT (groten)deels of volledig uitbesteed?

Het is tijd om af te stappen van de illusie dat Cyber Recovery volledig uitbesteed kan worden. De verantwoordelijkheid blijft bij jou, en dat is maar goed ook. Sta niet stil bij wat je nu hebt geregeld; stel jezelf de vraag of het genoeg is. Denk je dat jouw huidige strategie robuust genoeg is? Of is het tijd voor een nieuwe aanpak? Laten we dit samen uitzoeken en zorgen dat je niet alleen uit hoeft te gaan van vertrouwen, maar ook zeker kunt weten dat je voorbereid bent. Neem gerust contact op.

Afspraak maken voor een vrijblijvend gesprek? Bel me op 06 417 731 52 of mail naar toine@arcpeople.nl.

Cyberaanvallen zijn onvermijdelijk: Is jouw bedrijf voorbereid om terug te keren?

Inleiding

In 2023 waren er ruim 90% meer Ransomware-aanvallen in Nederland t.o.v. 2022 volgens de Ransomware Task Force (RTF). Nog altijd blijkt het een lucratieve business voor criminelen. Vandaar ook dat wet- en regelgeving, zoals DORA en NIS2, gericht zijn op weerbaarheid. De komende weken nemen wij je mee in het onderwerp “Cyber Recovery” door middel van een blogreeks boordevol info en tips.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder >

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder >

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder >

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder >

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Waarom een sterk Cyber Recovery plan onmisbaar is

Cyberaanvallen raken ons steeds harder en frequenter, met vaak desastreuze gevolgen. Vraag je willekeurige AI-assistent om een lijst met recente cyber-aanvallen binnen je branche en binnen enkele seconden krijg je een vrijwel eindeloos overzicht. Bekende voorbeelden van cyberaanvallen zijn de ransomware-aanvallen de KNVB[1], Universiteit Maastricht[2] en Hof van Twente[3]. De consequenties van deze incidenten? Wekenlange verstoringen van de dienstverlening en miljoenen euro’s aan (in)directe schade. Zulke incidenten laten zien dat het niet langer voldoende is om enkel te vertrouwen op preventie; organisaties moeten ook voorbereid zijn om snel en effectief te herstellen wanneer een aanval plaatsvindt.

Dit is waar Cyber Recovery om de hoek komt kijken. Maar wat houdt Cyber Recovery precies in, en hoe verschilt het van traditionele vormen van Disaster Recovery?

Wat is Cyber Recovery?

Cyber Recovery is het proces van herstellen na een cyberaanval die je data, systemen of bedrijfsprocessen compromitteert. Waar cybersecurity zich veelvuldig richt op het voorkomen van aanvallen, bereidt Cyber Recovery je organisatie voor op het snel en effectief herstellen nadat een aanval heeft plaatsgevonden. Het omvat een combinatie van technische, organisatorische en procesmatige maatregelen die ervoor zorgen dat je niet alleen weer snel operationeel bent, maar ook dat je data en systemen veilig en intact blijven.

Hoe verschilt Cyber Recovery van traditionele Disaster Recovery?

Hoewel zowel Cyber Recovery als traditionele Disaster Recovery gericht zijn op het herstel van kritieke systemen, zijn er belangrijke verschillen:

In tegenstelling tot traditionele Disaster Recovery, dat vaak draait om het fysiek herstellen van infrastructuur na een ramp of technische storingen (zoals hardware-falen), is Cyber Recovery gericht op het herstellen van systemen en data na een cyberaanval. Waar rampen, zoals een brand, en technische storingen vaak lokaal beperkt blijven, kunnen cyberaanvallen wereldwijd en gericht zijn, waarbij meerdere lagen van het netwerk van de gehele organisatie worden aangetast. Cyber Recovery vereist dan ook striktere herstelstrategieën zoals:

  1. Immutable back-ups: Back-ups moeten ongewijzigd blijven (‘immutable’), zelfs na een succesvolle aanval.
  2. Isolatie van operationele omgevingen: Cyber Recovery vereist isolatie van operationele (productie) omgevingen, zodat hackers geen toegang krijgen tot zowel de operationele als de Cyber Recovery systemen. Een zero trust architectuur, waarin elke toegang tot data, applicaties en systemen continu geverifieerd wordt, zelfs binnen je interne netwerken, kan daar aanvullend bij helpen.
  3. Beschikbaarheid van de juiste forensische middelen: Omdat hackers vaak al lange tijd aanwezig kunnen zijn, zonder dat ze hun aanval daadwerkelijk uitvoeren, is het van groot belang dat de juiste forensische middelen beschikbaar zijn om sporen van de aanvaller(s) te signaleren en te verwijderen.

Waarom is Cyber Recovery cruciaal voor jouw organisatie?

Naast de toenemende frequentie en impact van cyberaanvallen, dwingt ook regelgeving organisaties om zich voor te bereiden op dergelijke incidenten. Denk aan de Europese NIS2-richtlijn[4], die vanaf 17 oktober 2024 van kracht is, voor bedrijven in vitale sectoren en aan de Digital Operational Resilience Act (DORA)[5], die vanaf 17 januari 2025 van kracht is voor financiële instellingen. Het niet naleven van deze voorschriften kan op korte termijn leiden tot hoge boetes, juridische stappen en reputatieschade. De indirecte gevolgen kunnen ook enorm zijn: verhoogde verzekeringspremies, nieuwe IT-middelen en de noodzaak om extra (externe) expertise in te schakelen. In sommige gevallen kan dit zelfs leiden tot rechtszaken van klanten of partners, die ook aanzienlijke kosten met zich meebrengen.

Een goed doordacht Cyber Recovery plan minimaliseert niet alleen de operationele downtime en schade, maar beschermt ook de integriteit van je data en stelt je in staat te voldoen aan de wetgeving. Dit maakt het een essentieel onderdeel van je algehele bedrijfscontinuïteit.

Ben jij voorbereid?

Stel jezelf de vraag: (hoe snel) kan jouw organisatie herstellen na een cyberaanval? Ben je zeker dat jouw recovery-plan voldoet aan de laatste good practices en wetgeving? Het is nu de tijd om te evalueren of jouw huidige strategie voldoende is om een cyberaanval te doorstaan.

Wil je hulp bij het ontwikkelen of verbeteren van een Cyber Recovery plan? Neem vandaag nog contact met me op om te bespreken hoe we jouw organisatie weerbaarder kunnen maken tegen de cyberdreigingen van morgen. Bel of mail me gerust op 06 417 731 52 of via toine@arcpeople.nl.

In mijn volgende blog sta ik stil bij Cyber Recovery in een omgeving met (vooral) veel uitbestede IT. Want ook in die gevallen is verantwoordelijkheid niet volledig af te schuiven…

Must haves risicobeheersing bij de transitie naar WTP

Met de overgang naar de nieuwe Wet Toekomst Pensioenen (WTP) zijn er nog veel vragen over hoe risicobeheersing moet worden ingericht. Deze blog biedt ondersteuning met enkele essentiële richtlijnen. Na een algemene introductie wordt risicobeheersing besproken vanuit de plan-do-check-act (PDCA)-cyclus. Tot slot wordt de rol van de sleutelfunctie risicobeheer belicht.

Risicobeheersing door sleutelfuncties

De in de pensioenwetgeving verankerde sleutelfunctiehouders risicobeheer, interne audit en actuarieel moeten borgen dat vanuit hun taakgebied voldoende (zorgvuldig en zichtbaar) aandacht wordt besteed en gereflecteerd op de beheerste bedrijfsvoering van het pensioenfondsbestuur. Dit geldt vanzelfsprekend ook voor de omvangrijke en complexe transitie naar WTP.

In deze blog focus ik mij op de rol van sleutelfunctiehouder risicobeheer bij de WTP transitie, die voldoende aandacht voor risicobeheer moet borgen.

Plan-Do-Check-Act Cyclus

In het FTK besluit artikel 18 staat waaraan een pensioenfonds moet voldoen bij een beheerste bedrijfsvoering: ”het fonds stelt onder meer strategieën, processen en rapportageprocedures schriftelijk vast om op individueel en geaggregeerd niveau de risico’s waaraan het fonds en door het fonds uitgevoerde pensioenregelingen zijn of kunnen worden blootgesteld regelmatig te onderkennen, meten, bewaken en beheren en hierover te rapporteren.”

Om hieraan te voldoen is het essentieel te werken met een gestructureerde en gefaseerde aanpak langs een Plan-Do-Check-Act Cyclus, PDCA-cyclus.

In aanvulling op het bestuur (“1e lijn”) ziet de onafhankelijke risicobeheerfunctie (“2e lijn”) er hierbij op toe dat risicobeheersing binnen deze PDCA cyclus voldoende aandacht krijgt.

Risicobeheersing bij de transitie naar WTP

Het gaat te ver om in deze blog een integraal overzicht te geven van de brede rol van de sleutelfunctiehouder risicobeheer en hiermee verband houdende werkzaamheden. Er wordt met een behandeling in hoofdlijnen volstaan, door elke fase van de PDCA-cyclus enkele must haves te benoemen. Tot slot wordt aandacht besteed aan de plaats van de sleutelfunctiehouder risicobeheer in projectorganisatie.

Deze must haves dragen bij aan een tijdige opdrachtaanvaarding en het opleveren van een in opzet risicobeheerst implementatieplan en communicatieplan, waarna de operationele transitie en het invaren op de geplande invaardatum zal plaatsvinden.

Plan-fase

  • Beoordeel de toereikendheid van een integraal projectplan. Check volledigheid, begrijpelijkheid en overzichtelijkheid van mijlpalen/fases leidend tot een tijdige transitie. In het open-boek-toezicht geeft DNB een handreiking met welke mijlpalen kan worden gewerkt. Belangrijke elementen bij het projectplan zijn een adequate projectorganisatie en vastlegging taken, verantwoordelijkheden en bevoegdheden, waaronder die van de sleutelfunctiehouders. Geef over de bevindingen een opinie en monitor opvolging van de aanbevelingen.
  • Bij de transitie is er veel afhankelijkheid van derden, zoals uitvoeringsorganisaties en sociale partners. Veranker en beheers deze afhankelijkheden in het project-transitieplan.
  • Definieer vooraf go/no momenten en procedures voor als no go momenten zich voordoen om continuïteit van het proces te waarborgen.

Do-fase

  • Beoordeel de tijdigheid en toereikendheid  van de oplevering van deelproducten/mijlpalen. Geeft voorafgaand aan de besluitvorming voor elk materieel deelproduct/mijlpaal een risico-opinie. Borg een tijdige behandeling van de risico-opinie bij de besluitvorming, bijvoorbeeld door aanwezigheid bij de vergadering.
  • Zie toe op volledigheid en robuustheid van risicoanalyses door de preseigenaren en het tijdig actualiseren hiervan. Geef een opinie met oordeel en aanbevelingen

Check-fase

  • Check periodiek een logische opvolging van de mijlpalenplanning en nog openstaande acties en aanbevelingen, onder meer met behulp van periodieke voortgangsrapportages. Beoordeel de toereikendheid van de rapportages en bevindingen en geeft hierover een opinie. Neem bij de beoordeling ook de afhankelijkheid van derde partijen mee.

Act-fase

  • Zie toe op opvolging van kritische aanbevelingen en bijsturing van gesignaleerde tekortkomingen, zodat na opdrachtaanvaarding tijdige oplevering van het implementatieplan, communicatieplan en de operationele uitvoering  van de transitie kan plaatsvinden.

Tot slot

Een beheerste transitie naar WTP heeft geen kans van slagen, als de sleutelfunctiehouders hun rol niet goed kunnen uitoefenen. Daarom wordt ter afsluiting aandacht besteed aan de plaats van de sleutelfunctiehouder risicobeheer in de projectorganisatie.

Plaats sleutelfunctiehouder risicobeheer in de projectorganisatie

Om goed invulling te geven aan zijn rol  moet de sleutelfunctiehouder risicobeheer door het bestuur in staat gesteld worden zijn functie op een objectieve, eerlijke en onafhankelijke manier te vervullen (FTK artikel 22c). De sleutelfunctiehouder moet dit in samenspraak met het bestuur borgen. In beginsel zal dit geborgd zijn in de bestuurlijke governance, vastgelegd in de ABTN en reglementen. Daarnaast moet de sleutelfunctiehouder hier met een onafhankelijk en professioneel optreden een bijdrage aan leveren. Voldoende, tijdige, brede zichtbaarheid en communicatie met deelnemers in de projectorganisatie is hierbij een must.

Een periodieke afstemming tussen sleutelfunctiehouders, die ieder vanuit hun eigen taakgebied toezien op het proces, is inmiddels eveneens waardevol gebleken. Met een sleutelfunctiehoudersoverleg wordt de structurele en integrale  controle op het transitieproces versterkt. Onderdeel van deze afstemming is dat sleutelfunctiehouders kennis nemen van elkaars bevindingen en opinies en hiervan waar nodig en effectief gebruik van maken. Met name de beoordeling van de sleutelfunctiehouder actuarieel, onder meer waar het betreft de plausibiliteit van actuariële uitgangspunten en berekeningen geven de sleutelfunctiehouder risicobeheer aanvullend inzicht in het beheersingsproces.

Bent u aan het nadenken over de inrichting of aanpassing van de interne auditfunctie bij uw fonds, dan denk ik, bij een (digitale) kop koffie graag vrijblijvend met u mee. Neem gerust contact met mij op.

Hans Sieraad,
Associate bij ARC People

Het tekort aan Internal Auditors: innovatieve en strategische oplossingen gewenst

Als eindverantwoordelijke van een bureau dat o.a. auditdiensten aanbiedt, merk ik dagelijks de krapte op de arbeidsmarkt voor internal auditors in Nederland. Het aantal internal auditfuncties neemt nog steeds toe, internal auditors stromen door naar andere functies en de instroom van nieuwe auditors is onvoldoende. Een bijkomende uitdaging is dat relatief veel arbeidskrachten de overstap maken naar ondernemerschap als zzp’er. De flexibiliteit, autonomie en stijgende tarieven die het zzp-schap lijkt te bieden, trekt veel auditprofessionals aan. Soms pakt de werkelijkheid van het zzp-schap minder romantisch uit dan vooraf gedacht, maar daarover schrijf ik wellicht een andere keer.

In de jaren dat ik de beroepsvereniging, het Instituut van Internal Auditors (IIA) Nederland, mocht vertegenwoordigen als bestuurslid (2008-2014), focusten we vooral op de bekendheid en relevantie van het vakgebied richting allerlei organisaties. We legden met het IIA ook de basis voor advocacy & lobby naar o.a. de pers, toezichthouders en commissarissen. O.a. de vermelding van internal audit in de corporate governance code werd terecht gevierd als succes. Maar eerlijk gezegd zijn we in die tijd iets heel belangrijks vergeten: de instroom bevorderen…

De kloof dichten

De behoefte aan gekwalificeerde professionals overstijgt momenteel het aanbod en daarvoor zijn duidelijk aanwijsbare redenen. En hoe de toekomst er uit ziet? Mijn verwachting is dat deze schaarste verder zal toenemen. Om deze kloof te kunnen dichten, moeten we innovatieve en strategische oplossingen inzetten. Het is daarbij essentieel dat zowel de beroepsvereniging (IIA), organisaties met auditfuncties, als onderwijsinstellingen een belangrijke rol spelen. Ook de commerciële dienstverleners kunnen hun invloed positief aanwenden.

In deze blog roep ik niet alleen op tot snelle, noodzakelijke actie, maar schets ook kort enkele initiatieven die we kunnen nemen om meer professionals aan te trekken en op te leiden voor de mooie, belangrijke rol van internal auditor.

Onderwijs en training

Een belangrijke stap lijkt me de samenwerking met onderwijsinstellingen. Uiteraard ook met degenen die al specifieke auditopleidingen aanbieden, zoals de Erasmus Universiteit en UvA met de RO-studie en de Haagse Hogeschool en Avans+ met het niveau eronder. Samenwerking die verder gaat dan over het curriculum en de kwaliteit: juist ook over hun propositie, doelgroep benadering en algehele marketing.

Er is echter nog meer te winnen bij andere universiteiten en hogescholen. Bij de werving van onze eigen audit trainees merken we dat afgestudeerden vrijwel nooit eerder in hun studie hoorden over internal audit. Zelfs niet in studies Bedrijfs- of Bestuurskunde, die toch dicht bij ons vakgebied liggen. Dit verdient een specifieke propositie van de beroepsgroep, richting een weloverwogen aantal geselecteerde studies. Weten we onder de aandacht te komen? Dan kunnen deze studies worden ondersteund bij het aanbieden van specifieke interne auditprogramma’s. Door gastcolleges te geven en stages aan te bieden, krijgen studenten de kans om praktijkervaring op te doen en zich te verdiepen in het vakgebied.

De huidige certificering tot Certified Internal Auditor (CIA) kan nog meer worden ingezet om studenten te motiveren zich verder te specialiseren in internal auditing. Het zou al een enorme winst zijn als men alleen Part 1 (Essentials of Internal Auditing) aan het CV zou toevoegen, als eerste stap (eventueel naar meer?). Voor werknemers die al kozen voor een andere baan, maar interesse kregen voor ons bijzondere vak, kunnen gerichte bijscholingsprogramma’s worden ingezet.

Bewustwording en promotie

Voor een betere instroom is het verhogen van de zichtbaarheid en aantrekkelijkheid van de functie van internal auditor cruciaal. Vrijwel alle zichtbare uitingen van dit moment richten zich echter van auditor tot auditor, veelal over inhoudelijk gedetailleerde vraagstukken. Deze gaan nauwelijks over de functie, richting niet-auditors, dus evenmin richting potentiële nieuwe collega’s.

Promotiecampagnes kunnen de voordelen en carrièremogelijkheden van de functie benadrukken. Uiteraard zijn er diverse opties om deze campagnes te voeren: via social media, job fairs of beroepsoriëntatiedagen. Het gebruik van testimonials en succesverhalen zijn daarbij essentieel. Van zowel het huidige management, hoe het is om met een instromer te werken, als de ervaring van de instromer zelf. Mooie recente voorbeelden daarvan zijn die van Laura van den Ing in AuditMagazine en van één van onze opdrachtgevers over de samenwerking met een trainee. Wordt ervoor gekozen om bijna-afstuderende studenten te benaderen? Maak dan vooral gebruik van de inzichten van degenen die recent instroomden. Ongetwijfeld denken zij graag mee, vanuit hun enthousiasme, kennis en ervaring.

Business Auditors en Audit traineeships

Natuurlijk zijn er nog andere mogelijkheden om de kloof tussen vraag en aanbod te verkleinen. Het inzetten van business auditors blijft een interessante benadering. Verschillende bedrijven, zoals multinationals en grote financiële instellingen, hebben succesvolle programma’s opgezet waarbij business auditors (collega’s die een audit kunnen uitvoeren omdat ze tijdelijk zijn uitgeleend door andere bedrijfsafdelingen) worden ingezet. Deze programma’s hebben aangetoond dat business auditors niet alleen de effectiviteit van audits kunnen verbeteren, maar ook kunnen bijdragen aan een cultuur van voortdurende verbetering en risicobewustzijn binnen de organisatie.

Het concept van business auditors biedt een innovatieve en praktische oplossing voor het tekort aan internal auditors. Door gebruik te maken van de bestaande talenten en expertise binnen de organisatie, kunnen bedrijven hun auditcapaciteit versterken en tegelijkertijd de professionele ontwikkeling van hun medewerkers bevorderen.

Audit traineeships bieden een gestructureerde en effectieve manier om nieuwe talenten te ontwikkelen in de auditsector. Ze combineren praktijkervaring, training, en professionele coaching om deelnemers klaar te stomen voor een succesvolle carrière in auditing. Zowel bedrijven als trainees profiteren van deze programma’s, doordat ze helpen om de kloof tussen theorie en praktijk te overbruggen en een robuuste pipeline van gekwalificeerde auditors te creëren. Ook brengt het de bestaande collega’s nieuwe energie en ideeën. Lees hier meer over het traineeship waarmee ARC People al meer dan 15 jaar audittalenten toevoegt aan het vakgebied. Het concept werkt: enkele talenten van jaren geleden zijn inmiddels onze opdrachtgevers geworden!

Arbeidsvoorwaarden en carrièrepaden

Uiteraard helpt het voor het aantrekken en behouden van internal auditors ook wanneer er competitieve salarissen en aantrekkelijke secundaire arbeidsvoorwaarden voor de functie gelden. Het extra benadrukken van een goede werk-privé balans, flexibele werkmogelijkheden én de mogelijkheid tot het maken van échte impact kan vooral jongere professionals aanspreken; zij hechten immers relatief veel waarde aan deze elementen.

Het schetsen van duidelijke carrièrepaden voor internal auditors draagt eveneens bij aan de aantrekkelijkheid van het beroep. Hierbij dienen vooral de volgende elementen te worden benadrukt: promotiekansen, doorgroeimogelijkheden naar hogere posities binnen de organisatie, continu leren, snelle ontwikkeling en uitbreiding van het persoonlijke netwerk.

Hetzelfde werk ánders doen

Uiteraard kun je als oplossingsrichting er ook nog aan denken om het huidige werk op een andere manier te gaan doen. Zodanig efficiënt dat er met de huidige bezetting meer inzichten kunnen worden opgeleverd aan de organisatie. Daarvoor zijn er legio mogelijkheden. Ik noem er hier slechts enkele. Misschien heeft u deze opties al toegepast?

  • Kijk je een eerste keer ergens naar? Beoordeel eerst alleen eens de opzet.​
  • Is er al een probleem van tevoren bekend? Stap dan door naar een diagnose​.
  • Neigt het al snel naar een ‘Onvoldoende’, in de eerste fase van de audit? Zet de audit tijdelijk stop, draag je normenkader over en kom later terug.​
  • Laat eerst een self-assessment door de auditee​ uitvoeren, alvorens te auditen.

Ook valt er uiteraard te denken aan de inzet van AI voor de interne auditfunctie. Enkele eerste mooie voorbeelden van de toepassing ervan zijn aan het ontstaan. Analyseren van documentatie en ongestructureerde gegevens op basis van een aangedragen norm, geautomatiseerde verwerking van gegevens tot een rapportage, et cetera. Of zijn er routinematige of herhalende taken die, als je eerlijk bent, ook door AI óf een andere functie in de organisatie kunnen worden overgenomen? Afijn, genoeg stof om over na te denken.

Tenslotte

Er heerst schaarste op de arbeidsmarkt voor internal auditors en de verwachting is dat die schaarste zal toenemen. Er zijn dringend acties nodig ter bevordering van de instroom. In deze blog zijn enkele suggesties geschetst. Wellicht hebben deze u al aan het denken gezet, of zelfs al tot actie doen overgaan, ook al zijn sommige suggesties voor de hand liggend. In ieder geval lijkt het verstandig om vanuit de beroepsvereniging wederom een goede advocacy strategie (lees: belangenbehartiging middels beïnvloeding) te ontwikkelen. Net zo concreet als jaren geleden werd opgezet om het vakgebied te promoten bij alle beslissers, maar nu gericht op de belangrijkste stakeholders aan de instroomkant. Die aanpak zou ook aan de instroomkant tot succes moeten kunnen leiden.

Laatste update: 10-09-2024

Verken de mogelijkheden van het ARC Talent Program

Wilt u ook profiteren van het succes van ons traineeship? Ontdek hoe het ARC Talent Program uw team kan versterken en bijdraagt aan voortdurende groei en succes. Neem contact op met Sander van Oosten.

Bent u klaar voor DORA? Ontdek hoe u DORA-compliant wordt

Wat is DORA?

DORA is één van de vele nieuwe wet- en regelgevingen die binnen afzienbare tijd van toepassing worden voor alle financële instellingen binnen de lidstaten van de Europese Unie. DORA staat voor Digital Operational Resilience Act en heeft als voornaamste doel om wet- en regelgeving op het gebied van cyberrisico’s voor de financiële sector te uniformeren en te standaardiseren en om de digitale weerbaarheid tegen cyberaanvallen te versterken.

In tegenstelling tot bijvoorbeeld de NIS2-regelgeving is DORA echter een verordening die niet eerst in lokale wet- en regelgeving geïmplementeerd moet worden voordat deze van kracht is. DORA is daarom per 17 januari 2025 direct van kracht binnen alle lidstaten van de Europese Unie en de implementatie zal ook op het niveau van de Europese Commissie worden gemonitord door de Europese toezichthouders EBA (Europese Bankautoriteit), EIOPA (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en ESMA (Europese Autoriteit voor Effecten en Markten).

De volgende organisaties vallen onder andere onder DORA:

  1. Banken
  2. Verzekeraars
  3. Beleggingsondernemingen (waaronder pensioenfondsen)
  4. Cryptodienstverleners

De reikwijdte van DORA stopt echter niet bij deze financiële entiteiten omdat DORA deze instellingen tegelijkertijd verplicht om ook regie te houden op de beheersing van cyberrisico’s in de gehele keten, dus ook die van de leveranciers van de instelling die dienstverlening leveren bestaande uit of ondersteund door ICT. Een vermogensbeheer van een pensioenfonds valt bijvoorbeeld ook onder deze definitie. Dit heeft als voordeel dat de Europese toezichthouders alleen toezicht hoeven te houden op de financiële entiteiten in scope van de verordening maar dat tegelijkertijd er door deze entiteiten zelf toezicht wordt gehouden op de rest van de keten.

DORA bestaat uit 3 niveaus

Level 1 – de primaire wetgeving: bestaande uit 5 hoofdonderwerpen.
Level 2 – de technische standaarden: bestaande uit Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS).
Level 3 – niet-bindende richtlijnen.

Hieronder worden deze 3 niveaus/levels nader toegelicht.

Goed om te weten is dat DORA in tegenstelling tot andere Cyber Security wet-en regelgeving zoals NIS2 of normenkaders zoals NIST en CIS, rule-based is in plaats van principle-based.

DORA level 1 bestaat uit de volgende hoofdonderwerpen uit de primaire wetgeving:

  1. ICT Risicobeheer;
  2. Incidentenbeheer;
  3. Testen van digitale weerbaarheid;
  4. ICT-outsourcing;
  5. Informatie-uitwisseling.

DORA level 2 beschrijft per onderwerp uit de primaire wetgeving de regels die in detail gevolgd moeten worden (RTS), zoals bijvoorbeeld de RTS “ICT incident classification” die in detail ingaat op de classificatie van incidenten. Tevens worden er templates verschaft voor de meest uitgebreide vereisten (ITS), zoals bijvoorbeeld het Register van Informatie voor alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten.

DORA level 3 beschrijft de niet-bindende richtlijnen. Deze zijn bedoeld om best practices te delen, bevatten voorbeelden en praktische tips en zijn uiteindelijk bedoeld om een uniforme toepassing van de regelgeving in alle EU-lidstaten te bevorderen.

Meldingsplicht

Naast het verplicht nemen van maatregelen geldt een meldingsplicht voor financiële instellingen die onder DORA vallen. Deze meldingsplicht is tweeledig:

1. Incidentmelding

Melden van incidenten die een impact hebben op de dienstverlening van een financiële instelling. Dit gaat verder dan de huidige eisen van De Nederlandsche Bank (DNB).

2. Meldplicht derde partijen

Alle contractuele overeenkomsten voor het leveren van ICT-diensten moeten worden vastgelegd in een register. Ondernemingen moeten daarbij opnemen of de afgenomen diensten kritieke of belangrijke activiteiten ondersteunen. Toezichthouders kunnen dit register opvragen. Daarnaast dienen nieuwe overeenkomsten jaarlijks te worden gerapporteerd. Overeenkomsten met betrekking tot kritieke of belangrijke functies moeten ook tussendoor actief gemeld worden bij de toezichthouder¹.

Sancties

De specifieke sancties voor de DORA variëren afhankelijk van de context en de mate van niet-naleving. De gevolgen kunnen zijn:

  1. Boetes en financiële sancties. De hoogte kan variëren op basis van de ernst van de inbreuk en de omvang van de instelling.
  2. Beperkingen op bedrijfsactiviteiten. Toezichthouders kunnen beperkingen opleggen aan de activiteiten van financiële instellingen die niet voldoen aan DORA. Dit kan bijvoorbeeld betekenen dat ze bepaalde diensten niet mogen aanbieden of hun activiteiten moeten verminderen.
  3. Reputatieschade. Niet-naleving van DORA kan leiden tot negatieve publiciteit en reputatieschade voor de betrokken instellingen.
  4. Strafrechtelijke vervolging. In ernstige gevallen kunnen individuen binnen de financiële instelling, hoofdzakelijk het bestuur, strafrechtelijk worden vervolgd bij het opzettelijk schenden van de DORA voorschriften.

Grotere rol van het bestuur bij DORA

De reikwijdte van DORA is groter dan alleen de financiële instellingen die benoemd worden in de verordening, omdat de instellingen tegelijkertijd verplicht zijn om regie te houden op de beheersing van cyberrisico’s in de gehele keten.

Wat opvalt, is dat de DORA zeer omvangrijk is, bestaande uit honderden pagina’s en dat deze verordening rule-based is. Afwijking van de regels is maar voor een zeer selecte groep aan organisaties, onder de noemer micro-organisaties, toegestaan. Verder zijn nog niet alle Level 2, ofwel Regulatory Technical Standards, uitgebracht. De laatste batch aan standaarden wordt pas op 17 juli 2024 uitgebracht. Echter, ook deze standaarden moeten per 17 januari 2025 geïmplementeerd zijn door organisaties.

Wat ook opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.

Zoals vermeld heeft de invoering van DORA verregaande en verstrekkende gevolgen voor financiële entiteiten (en hun leveranciers) en de verwachtte implementatietijd per organisatie is aanzienlijk. Het is daarom belangrijk om zo snel mogelijk te starten.

Volgende stappen: hoe word u DORA-compliant?

Om compliant te worden aan DORA, adviseren wij u de volgende stappen te nemen:

  1. Start met een fit-gap analyse op DORA level 1 niveau. Indien uw organisatie onder DNB toezicht staat kunt u hiervoor ook de DNB Good Practice Informatiebeveiliging 2023 gebruiken. Dit kader wordt al door DNB gebruikt en dekt een groot deel van DORA level 1 af.
  2. Volg de gaps op DORA level 1 niveau op en gebruik hiervoor de “rules” uit de verordening.
  3. Voer een fit-gap analyse uit op DORA level 2 niveau.
  4. Volg de gaps op DORA level 2 niveau op.
  5. Start met de reeds goedgekeurde policies en tijdrovende ITS’en.
  6. Voer opnieuw een fit-gap analyse uit op DORA level 2 niveau (nadat het 2e deel van de level 2 policies zijn uitgebracht op 17 juli 2024, zoals vermeld in de vorige paragraaf).
  7. Volg de laatste gaps op.
  8. Laat eind 2024 een (interne) audit uitvoeren om vast te stellen of aan alle DORA eisen wordt voldaan.

Indien uw organisatie verwacht om niet tijdig (volledig) compliant te zijn dan adviseren wij om in ieder geval de belangrijkste vereisten op orde te hebben, onder andere de vereisten in de RTS’en “Register of Information”, “ICT incident classification” en “Major Incident Reporting”.

Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.

Wilt u meer weten of een keer sparren over DORA? Ontdek onze diensten of neem direct contact op met Anita van der Leeuw anita@arcpeople.nl of via 06-18682946.

¹ DORA update 2: Aan de slag met DORA: Beheer van ICT-risico van derde aanbieders, AFM, December 2023.

Rol van accountants bij de AvA

Vrijdag 19 april jongstleden plaatste het Financieele Dagblad een artikel over de rol van de externe accountant op de aandeelhoudersvergadering. Hele korte samenvatting: de wens van de aandeelhouders is dat de accountant zich op de aandeelhoudersvergadering ook gaat uitspreken over o.a. risicobeheersing, fraude, cybersecurity en zelfs over cultuur.

Alle respect en waardering voor de expertise van accountants, maar ik vroeg me direct af of de externe accountant hiervoor a) alle expertise in huis heeft en b) voldoende tijd heeft om alle aspecten van deze onderwerpen met de juiste diepgang grondig te toetsen. Om direct antwoord te geven op die vraag: ik kan me dit niet voorstellen. Voor de gemiddelde internal auditor is het namelijk ook al een uitdaging om over al deze onderwerpen assurance te geven, terwijl deze dagelijks rondlopen binnen een organisatie. Dit in tegenstelling tot de korte tijdspanne die de externe accountant rondloopt binnen de te controleren organisatie. Ook de opleiding van de internal auditor is wezenlijk anders dan die van de externe accountant. De internal wordt immers als bedrijfskundige opgeleid (breed), in tegenstelling tot de scholing van de externe accountant die zich nog steeds overwegend richt op de financiële processen.

Voor wie niet weet wat een internal auditor doet: de internal auditor wordt vaak gezien als een ‘tool of management’ en geeft inzicht in de beheersing van de organisatie over diverse onderwerpen die op basis van een risicoanalyse worden geselecteerd. Risicomanagement en IT zijn vaak het onderwerp. Kortom: de internal auditor kijkt of de organisatie goed is ingericht om de gestelde doelen te behalen. Niet elke organisatie heeft een internal auditor (de wettelijke verplichting is er alleen voor financiële instellingen) maar steeds meer organisaties zien nut en noodzaak van deze functie.

Ik begrijp heel goed dat de aandeelhouder meer over risicobeheersing, fraude, cybersecurity en cultuur zou willen weten. Het zijn essentiële onderwerpen die direct van invloed zijn op de financiële resultaten van een onderneming. Steviger verwoord: onderwerpen die direct van invloed zijn op het voortbestaan van een onderneming.  Mijn mening is echter dat de externe accountant deze verwachting niet waar kan maken om de eerder genoemde redenen: kennis van de onderwerpen en de te auditen organisatie en tijdgebrek voor diepgaand en onderbouwd onderzoek. Volgens mij is het al lastig genoeg om assurance te geven over de cijfers en bedrijfscontinuïteit; casussen genoeg die dat onderschrijven (Wirecard, Ahold, Imtech etc.).

Ik zie dat de internal auditor (net als de riskmanager) beter is geëquipeerd en daarmee beter in staat is om een aandeelhouder inzicht te geven in risicobeheersing, fraude, cybersecurity en cultuur. Ik zou de aandeelhouders dan ook adviseren om nog beter inzicht te krijgen in de resultaten van de werkzaamheden van de internal auditor; eventueel door een extra paragraaf in de jaarrekening of een uitnodiging op de AvA.

Drs. Marc van Heese RO RE CIA
Partner bij ARC People en vervult regelmatig voor aan ARC People geoutsourcete auditfuncties de rol als Chief Audit Executive

Ontdek NIS2: uitleg, impact en stappenplan

Wat is NIS2?

NIS2 is één van de vele nieuwe richtlijnen die binnen afzienbare tijd van toepassing worden voor de lidstaten van de Europese Unie. NIS2 is een Europese richtlijn en staat voor Network- and Information Security 2. Het is de opvolger van NIS uit 2016, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). NIS2 is geen aanvulling op de oude NIS maar vervangt deze volledig. Het doel van NIS2 is het verbeteren van zowel de digitale als economische weerbaarheid. De Nederlandse overheid moet NIS2 nog omzetten naar nationale wetgeving. Doel was 17 oktober 2024 maar de regering heeft al aangegeven dat zij dit niet gaat halen¹. Desalniettemin is het algemene advies om als organisatie per 17 oktober 2024 te voldoen aan deze richtlijn; voor de digitale veiligheid van uw organisatie en eisen vanuit uw klanten.

Een belangrijk verschil tussen NIS en NIS2 is dat de richtlijn voor aanzienlijk meer sectoren gaat gelden. Tevens zal er onderscheid worden gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Hieronder een tabel met relevante sectoren. Organisaties die middelgroot (minder dan 250 personen werkzaam zijn en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt) of groter zijn en actief in één van deze sectoren vallen onder de richtlijn.

Essentieel Belangrijk
Energie Digitale aanbieders
Transport Post- en koeriersdiensten
Bankwezen Afvalstoffenbeheer
Infrastructuur financiële markt Levensmiddelen
Gezondheidszorg Chemische stoffen
Drinkwater Onderzoek
Digitale infrastructuur Vervaardiging / manufacturing
Beheerders van ICT-diensten
Afvalwater
Overheidsdiensten
Ruimtevaart

Verder geldt de richtlijn nog voor specifieke organisaties ongeacht de omvang.

De eisen ten aanzien van te nemen maatregelen voor de mitigatie van cyberrisico’s zijn niet verschillend voor essentiële of belangrijke entiteiten; er is wel verschil in toezicht en sanctiebeleid.

Een ander belangrijk verschil met NIS is dat de toezichthouder bij essentiële entiteiten niet alleen optreedt naar aanleiding van een extern geconstateerde overtreding of een incident maar, bijvoorbeeld door het uitvoeren van audits, ook op zoek kan gaan naar non-compliance. Bij belangrijke entiteiten is alleen de controle achteraf naar aanleiding van een signaal.

De cybersecurity-maatregelen

Er dienen onder meer maatregelen te worden genomen op het vlak van beleid inzake ten aanzien van beveiliging van informatiesystemen, een incidentenprocedure; back-upbeheer en business continuïteitsplannen, beveiliging van de toeleveringsketen, etc. In onze white paper vindt u een verdere uiteenzetting.

Daarnaast wordt in de richtlijn uitdrukkelijk gewezen om bij het bepalen van de maatregelen ook rekening te houden met kwetsbaarheden van de leveranciers van de organisatie en van de leveranciers van de leveranciers.

Meldingsplicht

Naast het verplicht nemen van maatregelen geldt een gefaseerde meldingsplicht voor de organisaties bij significante incidenten die onder NIS2 vallen. Deze bestaat uit een initiële melding (binnen 24 uur), een uitgebreidere 72-uurs incidentmelding en een eindverslag uiterlijk binnen één maand na de indiening van de 72-uurs melding. Het staat de toezichthouder verder vrij om tussentijds verdere informatie op te vragen.

Sancties

Hierboven is al gerefereerd aan de mogelijke sancties die kunnen gelden bij overtreding van de richtlijn. Er is veel overlap van sancties voor essentiële en belangrijke entiteiten. De belangrijkste verschillen zitten in de hoogte van de boetes en voor de essentiële entiteiten geldt aanvullend dat bestuurders kunnen worden geschorst en persoonlijk aansprakelijkheid kunnen worden gesteld als zij hun verplichtingen op grond van de richtlijn niet nakomen.

Onze visie op NIS2

NIS2 geldt voor aanzienlijk meer organisaties dan een eerste indruk doet vermoeden; mede ook doordat entiteiten ook moeten toezien op de mate van beheersing van IT security van hun leveranciers. Het is duidelijk dat NIS2 niet alleen een interne exercitie zal zijn. En dat NIS2 niet alleen impact zal hebben op de organisaties die direct onder de richtlijn vallen maar ook op toeleverende partijen.

Wat opvalt, is dat de genoemde maatregelen niet normerend worden geformuleerd zoals dat bij de DORA (Digital Operational Resilience Act) wel het geval is in de bijbehorende regulatory technical standards.

De overheid adviseert overheidsinstanties aan te sluiten bij bestaande kaders, in dit geval BIO (Baseline Informatiebeveiliging Overheid) waarbij de BIO naar alle waarschijnlijkheid zal worden uitgebreid². Ook wij adviseren om een normenkader te hanteren, bijvoorbeeld de DNB Good Practice Informatiebeveiliging of de handreikingen van het Nationaal Cyber Security Centrum. Uiteraard zijn dit richtlijnen en ontslaat dat de organisatie niet van het zelf nadenken over passende maatregelen. Elke organisatie en ICT-inrichting vraagt eigen maatregelen.

Wat verder opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.

Kijkend naar de potentiële reikwijdte van de richtlijn, de impact en de sancties is NIS2 een wetgeving om serieus te nemen. Buiten het wetgevende kader zijn de meeste maatregelen die worden genoemd overigens sowieso relevant om te implementeren.

Onze aanpak

Om compliant te worden aan NIS2, adviseren wij u de volgende stappen te nemen:

  • Voer een risicoanalyse uit op informatiebeveiliging/cyber risico’s; raak daar minimaal de onderwerpen uit artikel 21;
  • Geef daarbij speciale aandacht aan uw leveranciersketen;
  • Stel de te nemen noodzakelijke maatregelen vast (al dan niet op basis van een (aangepast) normenkader zoals BIO of DNB Good Practice IB;
  • Laat de genomen maatregelen door het bestuur goedkeuren;
  • Implementeer de maatregelen;
  • Toets periodiek het bestaan en de werking van deze maatregelen (monitoring) en rapporteer hierover aan het bestuur;
  • Zorg voor onderhoud van het via bovenstaande stappen gerealiseerde risico-control framework.

Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.

Voor meer gedetailleerde informatie over NIS2 kunt u ons gratis whitepaper downloaden.

Wilt u meer weten of een keer sparren over NIS2? Ontdek onze diensten of neem contact op met Marc van Heese via marc@arcpeople.nl of 06-52073162.

¹ Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie | Tweede Kamer der Staten-Generaal

² NIS2-richtlijn NIS2-richtlijn – Digitale Overheid

Internal Audit: pak je rol in de (vernieuwde) DNB Good Practice voor informatiebeveiliging

De DNB Good Practice Informatiebeveiliging

De Nederlandsche Bank (DNB) heeft een ‘Good Practice Informatiebeveiliging’ opgesteld als richtlijn voor informatiebeveiliging bij financiële instellingen in Nederland. Deze good practice heeft tot doel de financiële instellingen te ondersteunen bij het effectief en efficiënt inrichten van hun informatiebeveiligingsbeleid en -praktijk.

De Good Practice wordt al een tijd gebruikt door DNB, ook bij hun jaarlijkse sectorbrede uitvragen, en is onlangs vernieuwd. Er zijn twee versies: de 2019/2020-versie en de 2023-versie. De Good Practice Informatiebeveiliging 2023 (hierna GP IB 2023) bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. De herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s. De GP IB 2023 is ook ‘uitgelijnd’ met DORA (Digital Operational Resilience Act) op Level 1. Level 1 bevat de primaire wetgeving die door de Europese wetgevers is vastgesteld. Level 2 bestaat uit meer gedetailleerde technische standaarden en richtlijnen die ontwikkeld worden door Europese toezichthoudende autoriteiten en bedoeld zijn als uitvoeringsmaatregelen die specificeren hoe de vereisten van Level 1 in de praktijk gebracht moeten worden. Dus let op: Level 2 zit heel duidelijk níet in de GP IB 2023. De GP IB 2023 zorgt daarom niet ‘automatisch’ voor compliance tegen DORA, maar is wel een stevig startpunt.

Meer nadruk op de rol van Internal Audit

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen die al zijn vastgesteld in de 2019-versie. In de 2023-versie is duidelijk te merken dat het belang van een goede rol door Internal Audit zwaarder is gaan wegen. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen. De specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen.

Een ander aspect in de 2023-versie is de grotere nadruk op de leveranciersketen. De GP IB 2023 legt veel nadruk op de outsourcingsketen (ook vanuit DORA). Veel organisaties vertrouwen op externe dienstverleners, wat nieuwe lagen van complexiteit en potentiële risico’s met zich meebrengt. Internal auditors moeten hun aandachtsgebied uitbreiden naar deze externe partners en beoordelen in hoeverre zij voldoen aan de vereiste normen voor informatiebeveiliging. Het opzetten van een systematisch assurance-proces voor deze leveranciers versterkt niet alleen de beveiliging, maar verhoogt ook het vertrouwen van belanghebbenden.

In een tijdperk waarin verandering de enige constante is, moeten internal auditors zich aanpassen om relevant te blijven. De combinatie van de evoluerende rol van Internal Audit en de leidraad van DNB Good Practice Informatiebeveiliging opent nieuwe deuren voor Internal Audit. Door buiten de gebaande paden te treden, opkomende risico’s aan te pakken en de leveranciersketen te versterken, kunnen auditors hun positie versterken als strategische partners in de organisatie.

De mogelijke rollen van Internal Audit op een rijtje

Zoals al uit de tekst hiervoor blijkt, kan Internal Audit allerlei prikkels geven en rollen aannemen in het kader van de DNB Good Practice. We zetten hieronder een aantal mogelijke rollen op een rij:

  1. Toetsing van beleid: Internal Audit kan beoordelen of de informatiebeveiligingsbeleidslijnen en -procedures van een financiële instelling in lijn zijn met de aanbevelingen van de DNB Good Practice.
  2. Control Self Assessments: Hoewel CSA’s vaak worden uitgevoerd door de business (1e en ook 2e lijn) zelf, speelt Internal Audit een belangrijke rol bij het opzetten, faciliteren en verrijken van dit proces. Hier gaan wij later in dit artikel verder op in.
  3. Risicobeoordeling: Internal Audit kan een onafhankelijke beoordeling doenvan de risicoanalyse die wordt uitgevoerd als onderdeel van het informatiebeveiligingsbeleid (of daarbij assisteren).
  4. Awareness en training: Internal Audit kan het management adviseren en bijstaan over de noodzaak van training en bewustwordingsprogramma’s rond informatiebeveiliging, zoals aanbevolen in de DNB Good Practice.
  5. Incidentenanalyse: In het geval van beveiligingsincidenten kan Internal Audit een onafhankelijke analyse uitvoeren van het incident, de oorzaken identificeren en aanbevelingen doen voor verbeteringen om herhaling in de toekomst te voorkomen.
  6. Advies en aanbevelingen: Op basis van hun bevindingen kunnen internal auditors aanbevelingen doen voor verbeteringen in de informatiebeveiliging van de organisatie.

We willen de internal auditor eveneens aanmoedigen tot een rol waarbij er samen met de organisatie verder wordt gekeken dan alleen de norm die de Good Practice vraagt. Internal Auditors kunnen hiermee extra waarde toevoegen, door te stimuleren dat er veerkracht wordt gekweekt. Veerkracht is immers nodig om het steeds veranderende landschap aan te kunnen, zeker als het om cyber risico’s gaat.

De rol van Internal Audit bij Control Self Assessments 

Eenvoudig gezegd zijn Control Self Assessments (CSA’s) een systematiek waarbij medewerkers en teams binnen een organisatie hun eigen processen, risico’s en interne controles beoordelen. Het kan zowel formeel als informeel zijn, met structuren variërend van eenvoudige checklists tot uitgebreide workshops. De kracht van CSA ligt in het direct betrekken van de medewerkers die verantwoordelijk zijn voor de processen, omdat zij vaak het beste de risico’s en benodigde control(e)s begrijpen. Door het zelf formuleren van verbeterpunten, wordt eveneens gezorgd voor het nodige draagvlak om deze verbeteringen ook zelf te realiseren.

Hoewel CSA’s vaak worden uitgevoerd door de operationele (ICT) teams zelf en gefaciliteerd worden door (bijvoorbeeld) de CISO, kan Internal Audit een belangrijke rol spelen bij het opzetten, faciliteren en verrijken van dit proces. Enkele manieren waarop internal audit waarde kan toevoegen:

  1. Faciliteren en ondersteunen: Internal auditors kunnen dienen als onpartijdige facilitators tijdens CSA-sessies, waardoor wordt geborgd dat de evaluatie volledig en eerlijk is. Door hun ervaring met verschillende bedrijfsprocessen kunnen ze ook best practices en inzichten delen.
  2. Training en voorbereiding: Internal auditors kunnen teams trainen in het gebruik van CSA-tools en -technieken, en hen voorzien van de nodige middelen om effectieve beoordelingen uit te voeren.
  3. Validatie van resultaten: Hoewel CSA zelfevaluatie betreft, is het essentieel dat de resultaten gevalideerd worden om zeker te zijn van hun nauwkeurigheid en volledigheid. Internal auditors kunnen een onafhankelijke beoordeling geven van de CSA-resultaten, en deze koppelen aan hun eigen audit bevindingen. In het geval van de Good Practice kan Internal Audit beoordelen in hoeverre de gerapporteerde (eigen) diplomascores/volwassenheidsniveaus plausibel zijn.
  4. Integratie met risicobeheer: De resultaten van CSA’s kunnen worden geïntegreerd in het bredere risicobeheerproces van de organisatie. Internal Audit kan helpen bij het prioriteren van risico’s en het beoordelen van verbeterplannen op basis van de resultaten van de CSA.
  5. Continu verbeteren: Door het observeren van verschillende CSA-sessies en het vergelijken van resultaten, kunnen internal auditors trends en patronen identificeren die kunnen leiden tot verbeteringen in het CSA-proces zelf of in de onderliggende processen die worden beoordeeld.

De rol van Internal Audit bij het beoordelen van assuranceverklaringen in de outsourcingsketen

Bij outsourcing geldt dat de assuranceverklaringen inzicht geven in de opzet en werking van de eigen controls, die uitbesteed zijn aan de leverancier. Het is daarom belangrijk om van leveranciers van in de outsourcingsketen te eisen dat ze een assuranceverklaring overleggen om inzicht te krijgen in de beheersing van hun risico’s en het aantonen van hun compliance. Dat werd al vereist in de 2019-versie, maar is nu veel prominenter aanwezig in de GP IB 2023.

Assuranceverklaringen zijn vaak onderdeel van contractuele afspraken en zorgen voor meer transparantie in de samenwerking. In het huidige digitale tijdperk kunnen ze ook bevestigen dat de beveiligingspraktijken van de leverancier op orde zijn. Het hebben van dergelijke verklaringen kan het vertrouwen van stakeholders versterken en helpt organisaties bij het identificeren van verbeterpunten.

Eén van de gebieden waar Internal Audit een aanzienlijke waarde kan toevoegen, is het beoordelen van assurance verklaringen in de leveranciersketen. Hier volgen enkele manieren waarop Internal Audit dit kan doen:

  1. Evaluatie: Internal Audit kan een evaluatie uitvoeren van de assurance verklaringen die door leveranciers worden verstrekt, om de adequaatheid, nauwkeurigheid, dekking en relevantie ervan te beoordelen.
  2. Bewaken van consistentie: Internal Audit kan toezien op de consistentie tussen de assurance verklaringen van leveranciers en de interne beleidslijnen, normen en vereisten van de organisatie.
  3. Identificatie van risico’s: Door de assurance verklaringen van leveranciers kritisch te beoordelen, kan Internal Audit potentiële risico’s of zwakke plekken identificeren die anders over het hoofd zouden kunnen worden gezien.
  4. Validatie van derden: Internal Audit kan een rol spelen bij het valideren van derden (zoals externe auditors) die de assurance verklaringen hebben afgegeven, om te zorgen voor hun onafhankelijkheid, competentie en betrouwbaarheid.
  5. Assurance mapping: Internal Audit kan assurance verklaringen van leveranciers integreren in de algemene auditplanning, zodat er een holistisch overzicht ontstaat van de risico’s en maatregelen binnen de gehele leveranciersketen.
  6. Brug tussen leveranciers en management: Internal Audit kan fungeren als een brug tussen leveranciers en het hoger management, door te waarborgen dat belangrijke informatie uit assurance verklaringen op de juiste manier wordt gecommuniceerd en geïnterpreteerd.
  7. Voortdurende monitoring: De dynamische aard van de leveranciersketen betekent dat risico’s en omstandigheden kunnen veranderen. Internal Audit kan een voortdurend monitoringsproces instellen voor assurance verklaringen, zodat er tijdig kan worden gereageerd op veranderingen.

Conclusie

Concluderend benadrukt de ‘Good Practice Informatiebeveiliging’ van De Nederlandsche Bank (DNB) het belang van informatiebeveiliging voor financiële instellingen in Nederland. De meest recente (2023-)versie is uitgelijnd met nieuwe wetgeving zoals DORA en EIOPA. Ook legt het sterkere nadruk op een aantal elementaire inhoudelijke aspecten, waaronder de risico’s in de leveranciersketen. Ook wordt Internal Audit als een cruciale functie gezien, die allerlei relevante rollen kan spelen bij het waarborgen van de naleving van deze richtlijnen. Zij kunnen onder meer de kwaliteit van de Control Self Assessments van de organisatie versterken en de assuranceverklaringen in de outsourcing keten beoordelen. Ook kan er vanuit Internal Audit worden gestimuleerd om verder te kijken dan de (vernieuwde) norm vanuit DNB. Goed beveiligen is namelijk stap 1. Het zorgen voor weerstand om nieuwe of onverwachte risico’s aan te kunnen, is de volgende stap.

Wilt u uw organisatie versterken op het gebied van informatiebeveiliging en voldoen aan de richtlijnen van De Nederlandsche Bank? De specialisten van ARC People staan voor u klaar met deskundig advies en ondersteuning. Lees meer over wat we voor u kunnen betekenen, download ons gratis whitepaper of neem direct contact op met Carlo Bavius voor maatwerkoplossingen die aansluiten op uw behoeften.

Whitepaper DNB Good Practice Informatiebeveiliging

Download gratis ons whitepaper waarin we dieper ingaan de nieuwe vooruitzichten en de impact die regelgeving als DORA en NIS2 heeft op de Nederlandse financiële sector.

De geschiedenis en evolutie van Internal Audit

Inleiding

De geschiedenis van Internal Audit is diepgeworteld in de ontwikkeling van (in eerste instantie) financiële en administratieve controles door de eeuwen heen. In dit artikel maken we een interessante tijdreis. Die tijdreis begint met de oorsprong van het woord ‘audire‘, wat in het Latijn ‘luisteren’ betekent, en eindigt bij de moderne rol van Internal Audit in het kader van de regelgeving vanuit DNB, de nieuwe Nederlandse Corporate Governance Code (CGC) en de Verklaring Omtrent Risicobeheersing (VOR). Als laatste gaan we nog kort in op het ‘ver-agilen’ van Internal Audit activiteiten. Reis je met ons mee?

Oorsprong van het woord ‘Audit’ en vroege voorbeelden van auditing

De oorsprong van het woord ‘audit’ ligt in het Latijnse ‘audire’, wat ‘luisteren’ betekent. Deze terminologie weerspiegelt de vroege praktijken van auditing, die voornamelijk gericht waren op het mondeling verifiëren van financiële informatie. Oorspronkelijk was auditing een proces waarbij mondelinge verslagen van financiële transacties werden aangehoord en gecontroleerd. Naarmate de tijd vorderde, evolueerde de praktijk van auditing van deze eenvoudige mondelinge rapportage naar meer gestructureerde en gedocumenteerde processen.

In de oudheid werd later ook gebruik gemaakt van vastleggingen van boekhoudingen, voornamelijk in de vorm van kleitabletten en papyrusrollen. Deze documenten getuigen van de ontwikkelde boekhoudkundige praktijken die al in oude beschavingen zoals die van de Sumeriërs, Babyloniërs, Egyptenaren en later de Grieken en Romeinen bestonden. De kleitabletten uit Mesopotamië bijvoorbeeld, daterend van rond 3300 v.Chr., behoren tot de vroegste voorbeelden van geschreven boekhoudkundige records en omvatten gedetailleerde lijsten van goederen, transacties en inventarissen. Deze documenten zijn cruciaal voor het vastleggen en vervolgens controleren/auditen van de gegevens. Hoewel zichtbare tekenen van controles of auditing ontbreken, is het zeker dat die er waren. In veel gevallen wijzen de nauwgezetheid en systematiek van de vastleggingen namelijk op een vorm van controle en verificatie. In sommige oude samenlevingen waren er bijvoorbeeld functionarissen verantwoordelijk voor het controleren van de nauwkeurigheid van deze records, wat een vroege vorm van auditing vertegenwoordigt.

Andere voorbeelden van auditing in oude beschavingen:

  • Het Oude Egypte: In het Oude Egypte waren er functionarissen bekend als ‘scribes’ die verantwoordelijk waren voor het opnemen en controleren van de inkomsten en uitgaven van de staat en tempels. Zij voerden audits uit door het controleren van graanopslagen en andere voorraden, en zorgden ervoor dat de hoeveelheden overeenkwamen met de opgetekende records. Dit soort auditing was essentieel voor het beheer van de grote landbouw- en bouwprojecten van het rijk, zoals de bouw van piramides en tempels.
  • Het Oude Griekenland: In het klassieke Griekenland bestonden er openbare functionarissen, bekend als ‘logistai’, die belast waren met het auditen van andere ambtenaren. Na het voltooien van hun termijn moesten ambtenaren een gedetailleerd verslag van hun financiële handelingen voorleggen aan deze logistai, die de verslagen vervolgens controleerden op juistheid en integriteit.
  • Het Romeinse Rijk: In het Romeinse Rijk werden auditors of ‘quaestors’ aangesteld om toezicht te houden op de financiële zaken van de staat. Deze quaestors hadden de taak om inkomsten en uitgaven te registreren en te zorgen voor de integriteit van de staatsfinanciën. Hun rol omvatte zowel het verzamelen van belastingen als het controleren van de overheidsuitgaven.
  • Auditors in deze tijd hadden vaak aanzienlijke macht en verantwoordelijkheid, omdat zij de taak hadden de juistheid van financiële records te verifiëren en daarmee bedrog en corruptie tegen te gaan.

Ontwikkeling van auditing door de middeleeuwen en Renaissance

Tijdens de middeleeuwen en de Renaissance, een periode gekenmerkt door de opkomst van handel en de vorming van machtige staten, evolueerde de praktijk van auditing aanzienlijk. In deze tijd werden meer gestructureerde methoden voor het bijhouden en controleren van rekeningen ontwikkeld, mede door de opkomst van dubbel boekhouden.

Voorbeelden van Auditing in de middeleeuwen en Renaissance:

  • Luca Pacioli en Dubbel Boekhouden: In 1494 publiceerde de Italiaanse wiskundige Luca Pacioli zijn werk ‘Summa de arithmetica, geometria, proportioni et proportionalita’i, dat een gedetailleerde beschrijving bevatte van het dubbel boekhouden. Dit systeem verbeterde de nauwkeurigheid van de financiële administratie.
  • De Hanze: De Hanze, een handelsnetwerk dat Noord-Europa in de middeleeuwen domineerde, maakte gebruik van gedetailleerde boekhoudkundige systemen. Handelaars en steden die deel uitmaakten van de Hanze, hielden nauwkeurige boeken bij van hun transacties. Audits werden uitgevoerd om de betrouwbaarheid van deze financiële administraties te waarborgen.
  • Engelse overheidsinstellingen: In Engeland, tijdens de late middeleeuwen en de vroege Renaissance, werd de ‘Exchequer’ verantwoordelijk voor het beheren van de overheidsfinanciën. Ambtenaren van de Exchequer voerden audits uit om ervoor te zorgen dat belastingen correct werden geïnd en uitgegeven, en om fraude of wanbeheer aan het licht te brengen.
  • Katholieke kerk: In de middeleeuwen speelde de Katholieke kerk een prominente rol in Europa. Kloosters en kerkelijke instellingen hadden uitgebreide landbezittingen en rijkdommen. Om de financiën te beheren, werden regelmatige audits uitgevoerd. Deze controles waren bedoeld om de juistheid van de financiële administratie te verzekeren en om corruptie binnen de kerkelijke hiërarchie tegen te gaan.
  • Stedelijke overheden: In stadsrepublieken zoals Venetië en Florence werden auditors aangesteld om de boekhouding van de stad te controleren.

De opkomst van moderne auditing

Het boekhouden tijdens de periode van de Nederlandse Verenigde Oost-Indische Compagnie (VOC), die actief was van de 17e tot de 18e eeuw, was geavanceerd voor zijn tijd en speelde een cruciale rol in het succes van de onderneming. De VOC was een van de eerste bedrijven die gebruikmaakte van dubbel boekhouden, een methode die een meer accurate en gedetailleerde financiële administratie mogelijk maakte. Deze methode hielp bij het beheren van de complexe handels- en financiële activiteiten van de VOC, die betrekking hadden op meerdere continenten en een grote variëteit aan goederen.

Het boekhoudsysteem van de VOC omvatte gedetailleerde journaals en grootboeken, die transacties registreerden zoals handelsaankopen, verkopen, scheepskosten, en winst- en verliesrekeningen. Deze nauwkeurige administratie was essentieel voor het beheren van de risico’s en winsten in de vaak onvoorspelbare omgeving van de internationale handel in die tijd.

De industrialisatieperiode begon in de tweede helft van de 18e eeuw en duurde tot het begin van de 20e eeuw. De industrialisatieperiode bracht grote veranderingen met zich mee in de zakelijke wereld, wat leidde tot de ontwikkeling van moderne auditpraktijken. Deze veranderingen waren een reactie op de groeiende complexiteit van bedrijfsoperaties en de noodzaak van betrouwbaardere financiële rapportage.

Belangrijke ontwikkelingen in de industrialisatieperiode

  • Opkomst van grootbedrijven: De industrialisatie leidde tot de opkomst van grootbedrijven met uitgebreide financiële netwerken. Dit maakte de behoefte aan formele auditprocessen en -procedures duidelijk, om investeerders en aandeelhouders te verzekeren van de juistheid van de financiële verslaggeving.
  • Introductie van wetgeving voor bedrijven: In reactie op de toenemende complexiteit van het bedrijfsleven en financiële schandalen, werden in verschillende landen wetten aangenomen om de financiële transparantie en verantwoording van bedrijven te verhogen. Een voorbeeld is de “Joint Stock Companies Act” in het Verenigd Koninkrijk, die in 1844 werd ingevoerd en waarin de verplichting van jaarlijkse audits werd vastgelegd.
  • Oprichting van professionele auditorganisaties: De behoefte aan gespecialiseerde kennis in auditing leidde tot de oprichting van professionele organisaties. Een vroeg voorbeeld is het Institute of Chartered Accountants in England and Wales (ICAEW), opgericht in 1880. Deze organisaties stelden normen vast voor de auditpraktijk en boden training en certificering aan voor auditors.
  • Ontwikkeling van auditing technieken: Gedurende deze periode werden ook nieuwe auditing technieken ontwikkeld. De focus verschoof van een eenvoudige verificatie van transacties naar een meer analytische benadering, waarbij de effectiviteit van interne controles en het risicomanagement van een organisatie werden beoordeeld.

De evolutie van internal audit in de 20e eeuw

In de 20e eeuw onderging de praktijk van audit aanzienlijke veranderingen en werd ook gesproken over het verschil tussen External/Financial en Internal Audit (IA), waarbij de focus zich uitbreidde van louter financiële controles naar een meer geïntegreerde benadering van risicobeheer. Interne accountants ontwikkelden zich gaandeweg tot de hedendaagse interne/operational auditors met een brede focus op allerhande risicogebieden. In tegenstelling tot de klassieke/financieel gedreven external audit focus. Deze evolutie werd gedeeltelijk gedreven door veranderingen in de markt en industrienormen, waarbij een verschuiving plaatsvond van een documentgerichte naar een datagerichte aanpak, waardoor interne audit in staat werd gesteld technologie te benutten die het enterprise risk management (ERM) kon verbeteren​​.

Een belangrijke mijlpaal in de geschiedenis van internal auditing is de oprichting van The Institute of Internal Auditors (IIA) in 1941 in de Verenigde Statenii. Het IIA wordt beschouwd als de mondiale stem en erkende autoriteit, leider, belangrijkste pleitbezorger en voornaamste opleider voor het beroep van internal auditing. De oprichting van het IIA markeerde een keerpunt in de professionalisering van internal auditing, met de ontwikkeling van professionele educatieve en ontwikkelingsmogelijkheden, standaarden en andere professionele praktijkrichtlijnen​​. Het Instituut van Internal Auditors (IIA) in Nederland is opgericht in 1968. Het recent toegenomen belang van Internal Audit in bijvoorbeeld de Nederlandse Corporate Governance code kan voor een belangrijk deel worden toegeschreven worden aan de activiteiten van het IIA.

De volgende voorbeelden van evolutie van internal auditing zijn waarneembaar in de 20e eeuw:

  • Van financiële informatie naar geïntegreerde audits: Internal auditing is verschoven van een focus op het beoordelen van financiële informatie naar een meer geïntegreerde benadering, waarbij auditors zekerheid bieden over een combinatie van financiële, operationele, IT- en compliance-audits. Integrated audits stellen internal auditors in staat om informatie vanuit verschillende perspectieven te beoordelen, waarbij zij de gebruikte systemen, ingevoerde gegevens en opgeslagen informatie in hun nauwkeurigheid en de efficiëntie van de gevolgde procedures beoordelen.
  • Toename van het belang van IT-Audits: Met de opkomst van informatietechnologie is IT-auditing een steeds belangrijker onderdeel geworden van de internal auditfunctie. IT-audits richten zich op de beoordeling van de algemene en specifieke IT-controles binnen een organisatie.
  • Groeiende nadruk op risicomanagement: De rol van internal auditing in risicomanagement is in de loop der tijd aanzienlijk gegroeid. Auditors beoordelen nu niet alleen de effectiviteit van risicobeheersingsprocessen, maar bieden ook inzichten en aanbevelingen om deze processen te verbeteren.
  • Uitbreiding naar Compliance en Governance: Naast financiële controles, spelen internal auditors een cruciale rol in het verzekeren van naleving van wet- en regelgeving en het ondersteunen van goede governance binnen organisaties.

Internal Audit en de Nederlandse Corporate Governance Code

De Nederlandse Corporate Governance Code (CGC) van 2022 heeft de Internal Audit Functie (IAF) expliciet opgenomen als een essentieel onderdeel van risicomanagement binnen organisaties. Dit houdt in dat bedrijven nu worden aangemoedigd of zelfs verplicht zijn om een IAF in te richten, of anders adequate alternatieve maatregelen te nemen en deze te verantwoorden. Uit onderzoek van Bogstraiiiet al. (2020) blijkt dat sinds de herziening van de Code in 2016, steeds meer kleine beursfondsen (AMX & AScX) een IAF hebben ingericht. Echter, in 2020 had nog steeds 30,1% van de beursgenoteerde ondernemingen geen IAF​​.

Voor organisaties die te klein zijn om een volledige IAF in te richten, biedt de CGC 2022 de mogelijkheid tot uitbesteding van de interne auditfunctie als een adequaat alternatief. Dit biedt een proportionele oplossing die aansluit bij de specifieke behoeften en vereisten van de organisatie, zonder concessies te doen aan de kwaliteit van de audit.

De CGC 2022 is inhoudelijk een stap dichter bij de kwaliteitsstandaarden van het IIA, met name de International Professional Practices Framework (IPPF) standaarden en de recent uitgebrachte Global Internal Audit Standards (GIAS). De GIAS zijn ontwikkeld door het IIA en vervangt de IPPF van 2017. Dit nieuwe raamwerk is gestructureerd rond vijf domeinen en bevat 15 leidende principes die de kwaliteit en effectiviteit van interne auditdiensten wereldwijd bevorderen. De kernprincipes van integriteit, objectiviteit, competentie, professionele zorgvuldigheid, en vertrouwelijkheid zijn fundamenteel voor dit raamwerk. Deze standaarden zijn ontworpen om best practices te bevorderen en een consistente en uniforme aanpak van interne audits te waarborgen.

De verwachting is dat het aantal Internal Audit Functies zal toenemen vanwege de aanpassingen in de Code die een Internal Audit Functie als essentieel onderdeel van de risicobeheersing aanwijzen.

Internal Audit en regelgeving vanuit De Nederlandsche Bank

De Nederlandsche Bank (DNB) speelt een cruciale rol in het toezicht op de financiële sector in Nederland, waarbij het zich richt op de soliditeit van financiële instellingen en de stabiliteit van het financiële systeem. Een belangrijk instrument in dit toezicht is de uitgifte van good practices, zoals de “Good Practice Informatiebeveiliging 2023” (GP IB 2023), die bedoeld zijn om financiële instellingen te begeleiden bij het inrichten van hun interne beheersingspraktijken, met een specifieke focus op informatiebeveiliging. De GP IB 2023 bouwt voort op de eerdere versie uit 2019/2020, met de intentie om zoveel mogelijk aan te sluiten op de structuur en inhoud ervan. Echter, de herziene versie integreert nieuwe inzichten, praktijkvoorbeelden, en ontwikkelingen in regelgeving, zoals de Digital Operational Resilience Act (DORA) en EIOPA-richtlijnen, om een meer omvattende en actuele gids te bieden voor het managen van informatiebeveiligingsrisico’s.

De rol van Internal Audit binnen de GP IB 2023 krijgt extra nadruk, voortbouwend op de grondbeginselen vastgesteld in de 2019-versie. Ook hier is duidelijk de toename van belang van Internal Audit te merken. Internal Audit wordt expliciet genoemd als een cruciale component van het drie-lijnenmodel, met de nadruk op hun onafhankelijkheid en de noodzaak voor een risico-gebaseerde benadering van hun werk. De verwachtingen rondom de rapportage, monitoring van aanbevelingen, vergelijking van rapportages en analyse van trends en ontwikkelingen zijn verder verfijnd om de verantwoordelijkheden van Internal Audit duidelijker te omschrijven en te verdiepen, vooral in het licht van de steeds evoluerende cyberdreigingen en technologische ontwikkelingen.

Deze specifieke taken en verantwoordelijkheden van de Internal Audit Functie zijn bedoeld om te zorgen voor een grondige evaluatie en effectieve monitoring van de ICT-beheersingsraamwerken binnen financiële instellingen. Internal Audit speelt een essentiële rol in het waarborgen dat de instellingen niet alleen voldoen aan de huidige standaarden van informatiebeveiliging maar ook proactief anticiperen op en zich aanpassen aan toekomstige uitdagingen.

Verklaring Omtrent Risicobeheersing (VOR) en Internal Audit

De Verklaring Omtrent Risicobeheersing (VOR) is een recente toevoeging aan de Nederlandse Corporate Governance Code, ontstaan uit de behoefte om organisaties beter voor te bereiden op de toenemende risico’s die ze tegenwoordig ervaren. Deze risico’s omvatten financiële risico’s, cyberrisico’s, en de naleving van wet- en regelgeving, die allemaal significante gevolgen kunnen hebben voor een organisatie.De nieuwe VOR benadrukt de cruciale rol van de Interne Audit Functie (IAF) binnen organisaties.

Volgens principe 1.3 van de corporate governance code heeft de IAF de verantwoordelijkheid om de opzet en werking van de interne risicobeheersings- en controlesystemen te beoordelen. Deze beoordeling is van fundamenteel belang, aangezien het directe inzichten verschaft aan het bestuur voor de samenstelling van de VOR. De IAF functioneert hierbij als een onafhankelijke en objectieve partij die niet alleen de effectiviteit van de bestaande systemen evalueert, maar ook aanbevelingen doet voor verbeteringen. Deze rol gaat verder dan enkel het controleren van naleving; het omvat ook het adviseren over en bijdragen leveren aan de verbetering van risicomanagement, controle en governance processen. De IAF biedt daarmee een waardevolle bijdrage aan de algehele risicobeheersingscultuur binnen de organisatie, waardoor deze niet alleen compliant is, maar ook veerkrachtiger en aanpasbaar aan veranderende omstandigheden.

In de nieuwe VOR wordt de rol van de IAF nog belangrijker. Naast het beoordelen van financiële verslaggevingsrisico’s, wat al in de code was opgenomen, moet er nu ook aandacht besteed worden aan duurzaamsheidsverslaggeving en de beheersing van operationele en compliance risico’s. Deze risico’s vormen traditioneel een belangrijk object van internal audits. De in de nieuwe VOR opgenomen grondige beoordeling van de effectiviteit van de interne risicobeheersings- en controlesystemen is bij uitstek het domein en de competentie van de IAF. Doordat de IAF gedurende het jaar al aandacht besteedt aan de belangrijkste risico’s, is de IAF de logische partij om deze grondige beoordeling uit te voeren.

Agile Internal Audit

In een tijdperk waarin de zakelijke omgeving sneller dan ooit evolueert, staan Internal Audit Functies voor de uitdaging hun auditmethoden aan te passen om relevant en effectief te blijven. Het adopteren van Agile-principes biedt een goede oplossing om het auditproces nog flexibeler en responsiever te maken. Agile Internal Audit benadrukt de waarde van snelle aanpassingen, continue feedback en nauwere samenwerking met stakeholders. Deze aanpak moedigt het gebruik van sprints aan, waarbij auditprioriteiten worden afgestemd op de meest significante risico’s en kansen voor de organisatie. Door kortere auditcycli te implementeren, kunnen auditors tijdig inzichten leveren die de bedrijfsvoering (en snelle verbetering daarvan) direct ondersteunen. Dit Agile paradigma transformeert de Internal Audit Functies van een statische naar een dynamische functie, waarmee het niet alleen de risicobeheersing verbetert, maar ook strategische waarde toevoegt aan de organisatie.

De uitdaging voor alle Internal Audit Functies zal zijn om, in het licht van agile concepten en technieken, toch nog steeds compliant te blijven aan de Global Internal Audit Standaarden van het IIA. Dat is goed mogelijk, maar vraagt wel specifieke kennis en aandacht.

Afsluiting

Dankjewel dat je deze tijdreis met ons maakte. Overigens verwachten we dat de tijdreis hier niet definitief eindigt. Het vakgebied zal zich namelijk blijven ontwikkelen. Wij zullen die ontwikkeling gepassioneerd blijven volgen en daaraan gerichte bijdragen blijven leveren.

Wil je het met ons hebben over een moderne invulling van de Interne Audit Functie, aarzel dan niet! De bevlogen professionals van ARC People helpen u graag bij het snel en effectief beheersen van de risico’s. Op meerdere risicogebieden en in verschillende vormen, zoals interim collega’s, trainees, co-sourcing, outsourcing en werving. Ook met actuele onderwerpen zoals DORA/NIS2 en ESG helpen we u graag op weg.

Carlo Bavius, Associate Partner 
Sander van Oosten,
Partner