Daarmee verschuift de klassieke jaarrekeningcontrole steeds meer richting het beoordelen van IT-processen, digitale continuïteit en afhankelijkheden in ketens.
“Vroeger dacht geen accountant eraan om het hele fabricageproces van een fietsenfabriek te beoordelen. Als er iets misging in het proces, werd er afgeboekt en klaar. De accountant keek naar de cijfers en analyses. Maar tegenwoordig is ook het fabricageproces volledig geautomatiseerd. Niet IT, maar OT: operational technology. Wat gebeurt er als die OT wordt gehackt? Kan het bedrijf dan nog wel verder? Dat is een van de vragen die de komende jaren op het bordje van de AA en RA komt te liggen.”
Aan het woord is Marc Welters, al 32 jaar werkzaam voor EY en sinds december 2024 voorzitter van IT-auditvereniging NOREA. Welters heeft in zijn loopbaan organisaties steeds afhankelijker zien worden van IT, cloudproviders en andere outsourcingpartijen. Een beetje zorgelijk, want het ontbreekt volgens hem te vaak aan volledig inzicht in de IT-risico’s. NOREA, NBA en IIA publiceerden daarover onlangs de Publieke Management Letter “Vertrouwen in een kwetsbare keten”. “Veel organisaties weten bijvoorbeeld wel dát ze IT hebben uitbesteed, maar niet welke onderaannemers daarachter zitten”, zegt Welters.
Illusie van zekerheid
Wat bestuurders daarbij parten speelt, is dat ze regelmatig onvolledige IT-rapportages op hun bureau krijgen. Veel bestuurders hebben te weinig IT-kennis om hun IT-managers de juiste vragen te stellen. “Als ik kijk naar de Cyberbeveiligingswet en vergelijk wat daarin staat met wat daadwerkelijk aan bestuurders wordt gerapporteerd, dan zie ik dat belangrijke zaken nog te vaak ontbreken.” Hierdoor ontstaat volgens Welters soms meer een gevoel van controle dan daadwerkelijke zekerheid en heerst in sommige organisaties nog te veel een afvinkcultuur. “Men wil vooral voldoen aan de eisen van toezichthouders of accountants. Maar je moet niet compliant willen zijn voor de toezichthouder, je moet intrinsiek in control willen zijn.” En gelukkig komt daar de accountant in beeld. “Als accountant moet je kunnen vaststellen of een organisatie haar IT-risico’s beheerst en of de continuïteit voldoende is gewaarborgd. Dan moet je dus weten waar systemen draaien, waar data staat en welke partijen daarbij betrokken zijn”, aldus de NOREA-voorzitter.
Assurance en ketens
Maar ook voor de accountant of IT-auditor is het in het huidige tijdperk onmogelijk honderd procent zekerheid te krijgen, te meer omdat Nederland een van de meest gedigitaliseerde landen ter wereld is. Alles is met elkaar verknoopt. Daarom steunen accountants volgens Welters steeds vaker op assurancerapportages van cloud- en outsourceproviders, zoals ISAE 3402-rapportages. Tegelijkertijd waarschuwt hij dat accountants zich daarop ook niet te veel blind moeten staren. “De vraag is altijd: heb ik nu echt de hele keten in beeld? Of zitten er nog onderaannemers achter die buiten de scope vallen?”
Door de toenemende complexiteit ziet Welters de rol van de accountant veranderen. “Dertig jaar geleden deed een accountant bij kleinere organisaties nog alles zelf: belasting, waardering en controle. Tegenwoordig werkt de accountant samen met experts, zoals fiscalisten, actuarissen en IT-auditors, op wiens oordeel hij of zij vaart.” Volgens Welters wordt de RA daardoor steeds meer een regisseur. En nog een andere conclusie: IT-audit krijgt een steeds grotere rol binnen de controlepraktijk. “Handmatige controles verdwijnen en worden vervangen door application controls in systemen.” Hij noemt het klassieke vierogenprincipe als voorbeeld. “Twintig jaar geleden bestond dat uit twee handtekeningen. Tegenwoordig zit dat ingebakken in software. Met als gevolg dat het zwaartepunt van de controle richting IT-audit verschuift.” Mede hierdoor denkt Welters dat bij interimcontroles vooral IT-auditors in de lead zijn, en dat de AA en RA zich met de jaarrekening bezighoudt.
Wake-up calls
Volgens Welters onderschatten veel organisaties hoe afhankelijk zij zijn geworden van IT. Hij verwijst naar de Amsterdam Trade Bank, die na de Russische inval in Oekraïne werd afgesloten van Microsoft-diensten. “Twee dagen later bestond die bank niet meer.” Ook het bijna-faillissement van IT-dienstverlener ATOS noemt hij een wake-up call. “Pas toen gingen klanten de vraag stellen: wat gebeurt er eigenlijk met mijn data als ATOS failliet gaat?” Het bewijst volgens hem hoeveel druk er op de accountant ligt. “De AA en RA moet uiteindelijk kunnen vaststellen of een organisatie nog going concern is. Als IT uitvalt, kan dat tegenwoordig direct gevolgen hebben voor de continuïteit van een onderneming.”
Een andere wake-up call was de brand in een datacenter in Almere (mei 2026). Grote organisaties als PGGM en de Universiteit Utrecht ondervonden daar flink veel hinder van. “Als je acht of negen dagen later nog op je website moet melden dat systemen niet volledig zijn hersteld, zoals bij sommige klanten van het datacenter het geval was, dan heb je serieus productieverlies”, blikt Welters terug. Zijn advies? “Oefen niet alleen met het brandalarm, maar ensceneer ook eens dat je datacentrum uitvalt en je dus over moet op een back-up.” Volledig digitaal weerbaar worden, kan volgens hem nooit. “Er blijft altijd onzekerheid bestaan. Je kunt oefenen met uitwijkprocedures en hacksimulaties, maar er gebeuren ook dingen die niemand kan voorspellen.”
Tekst: Rutger Vahl
Deze bijdrage komt uit het AV-magazine met als thema ICT & AI. Dit magazine is verschenen in juli 2026: https://www.accountancyvanmorgen.nl/kennisdoc/av-2-2026-ict-ai/


Geef een reactie