Киберугрозы как самая проблемная на сегодня область внутреннего аудита


Печать	Рассылка

Корпоративные финансы Рынок ценных бумаг. IPO, ICO, IEO Базовый курс по информативности отчетов о движении денежных средств Сбалансированная система показателей Статьи Отрывки из книг Интервью, материалы прессы Коротко о главном Слияния и поглощения Анализ финансовых отчетов Финансовый менеджмент Финансовый Анализ Международные стандарты оценки - International Valuation Standards (IVS) Оценка бизнеса Финансовая математика/статистика Лизинг Менеджмент Стратегическое управление Кадровый менеджмент Практика Коротко о важном Корпоративное право Управление рисками Управление качеством Корпоративное управление Корпоративные рейтинги GAAP & IAS Идеологические статьи по МСФО IAS: искусство иллюзии Идеология МСФО и US GAAP Революция в корпоративной отчетности Особенности учета на постсоветском пространстве Особенности банковской отчетности Банковский бизнес в России и зарубежом Учебные пособия по МСФО в рамках проекта "Реформа бухгалтерского учета и отчетности II" Что такое ГААП США (US GAAP) ? Изучение GAAP: основы основ. Курс лекций Как я изучал GAAP Сравнительный учет: US GAAP & Российский учет US GAAP: Перевод отчетности в иностранной валюте Учетная политика Сравнительный учет: IAS & US GAAP МСФО по-украински: официальный перевод международных стандартов Нефтегазодобывающая отрасль МСФО для добывающей отрасли UK GAAP Что такое GERMAN GAAP (Немецкий учет)? Немецкое балансоведение IPSAS - международные стандарты для госорганов Сравнительный учет: МСФО и Российский учет IFRS 6 Разработка и оценка минеральных ресурсов МСФО в некоммерческих организациях IAS 1 Представление финансовой отчетности IAS 37 Резервы, условные обязательства и условные активы IAS 16 Основные средства IAS 27 Консолидированная и отдельная финансовая отчетность IAS 38 Нематериальные активы IFRS 7 Финансовые инструменты: раскрытие информации Аудит. Управленческий учет. Статистика IAS 2 Запасы IFRS 4 / IFRS 17 Договоры страхования IAS 17 Аренда IAS 28 Инвестиции в ассоциированные и совместные предприятия IAS 39 Финансовые инструменты: признание и оценка IAS 40 Инвестиционное имущество IFRS 8 Операционные сегменты IFRS 9 Финансовые инструменты IFRS 6 Разработка и оценка минеральных ресурсов Разъяснения и Интерпретации к МСФО IAS 18 Выручка IAS 29 Финансовая отчетность в гиперинфляционной экономике IAS 41 Сельское хозяйство МСФО для страхового сектора IFRS 10 Консолидированная финансовая отчетность IAS 7 Отчеты о движении денежных средств IFRS 13 Оценка справедливой стоимости IAS 19 Вознаграждения работникам IAS 32 Финансовые инструменты: раскрытие и представление информации IFRS 1 Первое применение Международных Стандартов Финансовой Отчетности Трансформация отчетности по МСФО IFRS 11 Совместная деятельность IAS 8 Учетная политика, изменения в расчетных оценках и ошибки IAS 26 Учет и отчетность по пенсионным планам IAS 20 Учет государственных субсидий и раскрытие информации о государственной помощи IAS 33 Прибыль на акцию IFRS 2 Выплаты на основе долевых инструментов Обзор МСФО IAS 10 События после окончания отчетного периода IAS 11 Договоры на строительство IFRS 15 Выручка по договорам с клиентами IAS 21 Влияние изменений валютных курсов IAS 34 Промежуточная финансовая отчетность IFRS 3 Объединения бизнесов Подготовка международной отчетности IAS 16 Учет и отчетность по пенсионным планам IAS 12 Налоги на прибыль IFRS 16 Аренда IAS 23 Затраты по займам IAS 36 Обесценение активов IFRS 5 Долгосрочные активы, предназначенные для продажи, и прекращенная деятельность Разработка законодательство по МСФО IAS 31 Участие в совместном предпринимательстве IAS 14 Сегментная отчетность IFRS 14 Счета отложенных тарифных разниц IAS 24 Раскрытие информации о связанных сторонах IAS 37 Оценочные обязательства, условные обязательства и условные активы Переход на МСФО в других странах мира Азиатская модель Расширенная корпоративная отчетность. Отчетность устойчивого развития Учебные пособия по МСФО Реформа бухгалтерского учета и отчетности II Экзамен DipIFR-Rus (2012) Работа с финансовыми отчетами по МСФО Системы профессионального образования в России, Великобритании и в мире Разработка стратегии поддержки российских предприятий при их переходе на МСФО Экзамен DipIFR-Rus (2013) МСФО, редакция 2001г. Курс по методике IAB/Основы бухгалтерского учета по МСФО Учебное пособие по МСФО и их использования в рамках проекта ТАСИС "Водные пути России" Руководство по трансформации на МСФО (новый план счетов РБ) Вводный курс по МСФО Активы Налогообложение Статьи и аналитические материалы по Налогам Налоговые отношения с участием иностранных организаций в РФ, оффшоры Практические советы Налоговый учет Software Отрывки из книг Авторские разделы Анвар Алимжанович Бакиев Партнерам Эксперты Московской коллегии адвокатов «ГРАД» Ольга Овчаренко Станислав Воронин Андрей Лукашов Корпоративные финансы Инвестиции Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Вареня Вячеслав Алексеевич Видеоинтервью и вебинары Российский бухучет Аудит Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании Deloitte Ernst & Young BDO СТЕК Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Управленческий учет Предприятие как система создания ценности Контроллинг Практика Зарубежный опыт Идеология Управленческий учет в контексте стратегического менеджмента Бюджетирование Инвестиции Отрывки из книг IPO: стратегия, перспективы и опыт российских компаний Прямые и венчурные частные инвестиции в России Практическое пособие по IPO (первоначальное публичное предложение) Оценка стоимости в венчурном инвестировании и при выходе на рынок IPO Инвестиционные проекты и предложения Личные финансы Российский опыт Зарубежный опыт Другие вопросы Информационный бюллетень Статьи	Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании Deloitte Ernst & Young BDO СТЕК Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Аудит	Внутренний аудит и...

Источник: GAAP.RU
Опубликовано: 11 Марта 2019

По материалам: CFO

В наши нестабильные времена большой неопределенности вокруг новых технологий, геополитической обстановки, угрожающих климатических изменений и тому подобных явлений оптимальная результативность становится постоянно смещающейся целью для любой деловой функции. И, наверное, ни с одной другой функцией это не является настолько очевидным, как с функцией внутреннего аудита.

Сегодня большинство опрошенных руководителей служб внутреннего аудита признают наличие существенных расхождений между фактическими результатами и той планкой, которой им хотелось бы достичь. В опросе от Института внутреннего аудита (Institute of Internal Auditors - IIA) приняли участие 512 сотрудников департаментов внутреннего аудита, из них 447 руководителей (chief audit executives - CAE). Степень “недовольства” респондентов в отдельных случаях была очень значительной, что даже удивительно с учетом того, что они фактически указывали пальцем на самих себя.

К основным областям, вызывающим сегодня беспокойство руководителей служб внутреннего аудита, стоит в первую очередь отнести кибербезопасность: 53% участников отметили как “очень значительные” или просто “значительные” усилия, которые сегодня затрачиваются на доведения до сведения топ-менеджеров и совета директоров информации о текущем уровне риска для организации и мерах, принимаемых в ответ на эти риски. Более высокий процент в данном случае следует воспринимать в положительном ключе: у оставшихся 47% затрачиваемые усилия, по логике опроса, не столь интенсивны, а значит и руководство компаний не получает полной информации о киберрисках. И хотя 53%, то есть больше половины – уже неплохо, и совершенства здесь в любом случае никто не ожидает, респонденты отметили, что были бы намного более довольны, если бы этот показатель был на уровне где-нибудь 80%.

Аналогичные, также связанные с областью киберрисков расхождения между текущей и желаемой результативностью обнаружился в следующих аспектах деятельности функции внутреннего аудита:

Обеспечение гарантии готовности реагирования на киберугрозы (46% против 82%)
Совместная работа с IT-департаментами и другими участниками процесса над построением эффективной защиты и системы реагирования (41% vs. 64%)
Обеспечение эффективного информационного обмена и координации действий в организации в отношении киберрисков (37% vs. 58%)

По словам представителей Института внутреннего аудита, этот разрыв между фактически затрачиваемыми и желаемыми усилиями может отражать тот факт, что внутренний аудит просто не успевает достаточно быстро адаптироваться к меняющимся потребностям. Второй вывод логично следует из первого: судя по всему, имеется расхождение между приоритетами риска и аудиторским планом.

Когда участников опроса попросили назвать основные препятствия для эффективного реагирования на киберриски, более половины (51%) указали нехватку соответствующего опыта (“кибер-компетенций”) среди персонала внутреннего аудита, что, по их мнению, может оказывать значительной и даже критическое влияние. Чуть менее половины (43%) отметили нехватку коммуникаций и взаимодействия с IT-департаментом, а также недостаток поддержи со стороны топ-менеджмента.

Однако результаты определенно свидетельствуют в пользу того, что внутренний аудит добивается медленного, но верного прогресса в привлечении нужного персонала, используя опыт внешних участников либо тренируя у себя персонал, способный обеспечивать независимую оценку данной области риска – комментируют представители IIA.

В отчете содержатся и конкретные рекомендации для руководителей служб внутреннего аудита. В частности, там говорится:

“Докладывайте аудиторским комиссиям о любом прогрессе (или его отсутствии) в накоплении кибер-компетенций в департаменте (или причинах этого). Откровенные обсуждения с аудиторскими комиссиями областей, где охват аудита не является адекватным, или же не хватает навыков – единственный способ обеспечить быстрые изменения в таких ситуациях”.
“Сообщайте аудиторским комиссиям и менеджменту обо всех расхождениях в уровне затрачиваемых и желаемых усилий в области кибербезопасности. Это значит, что CAE обязаны документировать все причины, почему такие расхождения существуют, включая недостаточные ресурсы для ко-сорсинга или аутсорсинга, нестыковки в приоритетах аудиторского плана и любое фактическое или кажущееся отсутствие контакта с IT”.
“Уделяйте больше времени построению отношений/партнерства с руководителями информационной безопасности и руководителями информационных департаментов. Нехватка взаимодействия с IT может отражать слабые отношения или беспокойство относительно того, что во внутреннем аудите недостает кибер-компетенций”.
“Уделяйте больше времени обучению команды по вопросам кибербезопасности, в том числе развитию глубокого понимания использующихся в кибербезопасности основ, таких как NIST CSF, NIST 800-53 или ISO/IEC 27001”.
“Рассмотрите вариант ко-сорсинга в качестве одной из возможностей, если имеющиеся в штате навыки не являются адекватными”.
“Не упускайте возможности для персонала проводить базовый аудит кибербезопасности с привлечением помощи со стороны IT, не требующей кибер-компетенций <…> [Такие возможности включают] определение наиболее существенных активов организации, нуждающихся в защите; тестирование внутренних инструментов контроля угроз; и оценку процессов и структур, созданных для защиты против случайного или неумышленного раскрытия организационной информации”.

Не стоит, впрочем, думать, что киберугрозы являются на сегодня единственной проблемной областью внутреннего аудита. Так, 48% опрошенных признались, что только лишь ситуативно, слабо или даже вообще никак не осуществляют мониторинг внешних поставщиков услуг. И лишь 9% отнесли свои усилия в этой области к серьезным.

Кроме того, по утверждению только лишь 30% респондентов, в обнаружении и оценке новых/атипичных рисков ими используются продвинутые технологии анализа данных. В то же время 43% заявили, что лишь умеренно (и не более того) уверены в способности своих организаций обнаруживать и оценивать новые виды риска.

И наконец, 57% участников опроса признались, что очень редко или вообще никогда не обсуждают ни с менеджментом, ни с советами директоров точность, полноту, своевременность, правдивость и прозрачность самой информации, которую внутренний аудит доводит до сведения совета директоров. Представители Института внутреннего аудита в этой связи отмечают, что проблемы, с которыми внутренние аудиторы столкнулись сегодня – сложные, глобальные, разветвленные, и они потребуют быстроты реакции, новаторства, и самой собой – эффективного диалога с советами директоров и топ-менеджерами. “Чтобы внутренний аудит нашел свое место в этом “храбром новом мире”, его участникам придется подавать голос”.

Теги: киберугрозы внутренний аудит службы внутреннего аудита Институт внутреннего аудита Institute of Internal Auditors IIA департаменты внутреннего аудита chief audit executives CAE кибербезопасность киберриски IT-департаменты информационный обмен

Топ 5 статей
Публикации по теме:«Внутренний аудит и внутренний контроль...»

Горящие семинары

Все семинары
на edu.GAAP.RU

События

Все события

Киберугрозы как самая проблемная на сегодня область внутреннего аудита

Горящие семинары

События

Уважаемый пользователь!