Cyberdreiging zet druk op auditcommissies

Maar liefst 97% van de auditcommissies voert volgens het onderzoek structurele gesprekken over cybersecurity. Het gaat daarbij niet alleen om de staat van paraatheid bij een aanval, maar ook om preventie, detectie, incidentrespons en governance. Een ruime meerderheid (78%) noemt cyberdreiging, waaronder ransomware en IP-diefstal, als het meest urgente risico dat voortkomt uit digitale activiteiten.

De zorgen zijn legitiem: toenemende digitale complexiteit, de opkomst van generatieve AI (GenAI) en strengere wet- en regelgeving rond dataprivacy zorgen voor een omgeving waarin risico’s snel veranderen. Toezichthouders kunnen niets anders doen dan meebewegen.

Cyberdreiging geeft auditcommissies meer verantwoordelijkheden

Het rapport laat zien dat 90% van de auditcommissies significante of primaire verantwoordelijkheid heeft voor cybersecurity, en 73% voor dataprivacy. Tegelijkertijd leeft de zorg dat bepaalde risico’s - AI, dataprivacy of supplychainbeheer bijvoorbeeld - tussen wal en schip vallen. Ze raken meerdere commissies, maar worden soms onvoldoende gecoördineerd opgevolgd.

Een belangrijke constatering is dat de meeste commissies wél hun rol erkennen, maar ook erkennen dat hun vaardigheden nog niet altijd toereikend zijn. Zo maakt 33% zich zorgen over een gebrek aan expertise in cybersecurity en technologie binnen de eigen commissie.

GenAI als katalysator voor nieuwe risico's

Generatieve AI voegt een extra laag complexiteit toe aan het cyberlandschap. Uit het onderzoek blijkt dat 82% van de auditcommissies significante discussies voert over GenAI, vooral over nieuwe risico’s zoals het onbedoeld lekken van intellectueel eigendom, ongecontroleerd gebruik van derden-GenAI-tools en de impact van AI op dataprivacy.

Hoewel GenAI veel belooft, legt het de vinger op zere plekken in bestaande governance-structuren. Denk aan het ontbreken van een duidelijk beleid rond verantwoord gebruik, of het ontbreken van expertise om algoritmische bias en data-ethiek effectief te beoordelen.

Behoefte aan betere afstemming en strategisch toezicht

Een opvallende bevinding is dat 57% van de commissies bezorgd is over het behouden van kritieke alignments binnen de organisatie, zoals tussen strategie, risicobeheer, cultuur, compliance en mensen. In een tijd van snelle technologische en geopolitieke verandering blijkt het lastig om coherente governance-structuren overeind te houden.

Tegelijkertijd groeit de samenwerking met de C-suite: auditcommissies brengen significant meer tijd door met onder meer de CFO, CISO, Chief Risk Officer en externe auditor. Dat is cruciaal, want effectieve risicobeheersing vereist zowel inhoudelijke afstemming als bestuurlijke verankering.

Van compliance naar strategisch risicobeheer

De traditionele rol van auditcommissies - toezicht houden op (met name) financiële verslaggeving - verschuift richting een bredere scope. In dit nieuwe speelveld, waarin AI-risico’s, datalekken, ESG-vereisten en geopolitieke instabiliteit samenkomen, wordt van auditcommissies verwacht dat ze anticiperen in plaats van reageren.

Key takeaways voor organisaties:
 

• Zorg voor duidelijke allocatie van verantwoordelijkheden tussen commissies (vermijd overlap en lacunes).
• Investeer in cyberkennis en -expertise binnen de auditcommissie zelf.
• Borg samenwerking met CISO’s, data officers en externe experts.
• Herzie de audit charter en agendafocus periodiek op basis van technologische ontwikkelingen.

De poortwachters van digitale weerbaarheid

Cybersecurity is niet langer alleen een IT-issue, maar een kernonderdeel van governance en strategisch risicobeheer. Auditcommissies bevinden zich op het kruispunt van toezichthouden en toekomstbestendig maken. De inzichten uit het KPMG-onderzoek laten zien dat wie vandaag investeert in kennis, structuur en samenwerking, morgen beter bestand is tegen de digitale risico’s die zich met toenemende snelheid aandienen.