Корпоративное управление в эпоху “ковида”: соображения кибербезопасности и высоких технологий


Печать	Рассылка

Инвестиции Зарубежный опыт Другие вопросы Отрывки из книг Практическое пособие по IPO (первоначальное публичное предложение) Оценка стоимости в венчурном инвестировании и при выходе на рынок IPO IPO: стратегия, перспективы и опыт российских компаний Прямые и венчурные частные инвестиции в России Инвестиционные проекты и предложения Личные финансы Российский опыт Информационный бюллетень Корпоративные финансы Финансовая математика/статистика Лизинг Базовый курс по информативности отчетов о движении денежных средств Рынок ценных бумаг. IPO, ICO, IEO Интервью, материалы прессы Сбалансированная система показателей Статьи Отрывки из книг Слияния и поглощения Коротко о главном Финансовый менеджмент Анализ финансовых отчетов Финансовый Анализ Международные стандарты оценки - International Valuation Standards (IVS) Оценка бизнеса Менеджмент Корпоративное управление Корпоративные рейтинги Стратегическое управление Кадровый менеджмент Практика Коротко о важном Корпоративное право Управление рисками Управление качеством GAAP & IAS Переход на МСФО в других странах мира Азиатская модель Расширенная корпоративная отчетность. Отчетность устойчивого развития Сравнительный учет: МСФО и Российский учет МСФО в некоммерческих организациях IAS 1 Представление финансовой отчетности IAS 37 Резервы, условные обязательства и условные активы IAS 16 Основные средства IAS 27 Консолидированная и отдельная финансовая отчетность IAS 38 Нематериальные активы IFRS 6 Разработка и оценка минеральных ресурсов Аудит. Управленческий учет. Статистика IAS 2 Запасы IFRS 4 / IFRS 17 Договоры страхования IAS 17 Аренда IAS 28 Инвестиции в ассоциированные и совместные предприятия IAS 39 Финансовые инструменты: признание и оценка IFRS 7 Финансовые инструменты: раскрытие информации IFRS 9 Финансовые инструменты IFRS 6 Разработка и оценка минеральных ресурсов Разъяснения и Интерпретации к МСФО IAS 18 Выручка IAS 29 Финансовая отчетность в гиперинфляционной экономике IAS 40 Инвестиционное имущество IFRS 8 Операционные сегменты IFRS 10 Консолидированная финансовая отчетность IAS 7 Отчеты о движении денежных средств IFRS 13 Оценка справедливой стоимости IAS 19 Вознаграждения работникам IAS 32 Финансовые инструменты: раскрытие и представление информации IAS 41 Сельское хозяйство МСФО для страхового сектора IFRS 11 Совместная деятельность IAS 8 Учетная политика, изменения в расчетных оценках и ошибки IAS 26 Учет и отчетность по пенсионным планам IAS 20 Учет государственных субсидий и раскрытие информации о государственной помощи IAS 33 Прибыль на акцию IFRS 1 Первое применение Международных Стандартов Финансовой Отчетности Трансформация отчетности по МСФО IAS 10 События после окончания отчетного периода IAS 11 Договоры на строительство IFRS 15 Выручка по договорам с клиентами IAS 21 Влияние изменений валютных курсов IAS 34 Промежуточная финансовая отчетность IFRS 2 Выплаты на основе долевых инструментов Обзор МСФО Подготовка международной отчетности IAS 16 Учет и отчетность по пенсионным планам IAS 12 Налоги на прибыль IFRS 16 Аренда IAS 23 Затраты по займам IAS 36 Обесценение активов IFRS 3 Объединения бизнесов Разработка законодательство по МСФО IAS 31 Участие в совместном предпринимательстве IAS 14 Сегментная отчетность IFRS 14 Счета отложенных тарифных разниц IAS 24 Раскрытие информации о связанных сторонах IAS 37 Оценочные обязательства, условные обязательства и условные активы IFRS 5 Долгосрочные активы, предназначенные для продажи, и прекращенная деятельность Активы Учебные пособия по МСФО Реформа бухгалтерского учета и отчетности II Экзамен DipIFR-Rus (2012) Работа с финансовыми отчетами по МСФО Системы профессионального образования в России, Великобритании и в мире Разработка стратегии поддержки российских предприятий при их переходе на МСФО Экзамен DipIFR-Rus (2013) МСФО, редакция 2001г. Курс по методике IAB/Основы бухгалтерского учета по МСФО Учебное пособие по МСФО и их использования в рамках проекта ТАСИС "Водные пути России" Руководство по трансформации на МСФО (новый план счетов РБ) Вводный курс по МСФО Особенности учета на постсоветском пространстве Идеологические статьи по МСФО IAS: искусство иллюзии Идеология МСФО и US GAAP Революция в корпоративной отчетности Учебные пособия по МСФО в рамках проекта "Реформа бухгалтерского учета и отчетности II" Особенности банковской отчетности Банковский бизнес в России и зарубежом Что такое ГААП США (US GAAP) ? Изучение GAAP: основы основ. Курс лекций Как я изучал GAAP Сравнительный учет: US GAAP & Российский учет US GAAP: Перевод отчетности в иностранной валюте Учетная политика Сравнительный учет: IAS & US GAAP МСФО по-украински: официальный перевод международных стандартов Нефтегазодобывающая отрасль МСФО для добывающей отрасли UK GAAP Что такое GERMAN GAAP (Немецкий учет)? Немецкое балансоведение IPSAS - международные стандарты для госорганов Налогообложение Практические советы Налоговый учет Статьи и аналитические материалы по Налогам Налоговые отношения с участием иностранных организаций в РФ, оффшоры Software Отрывки из книг Авторские разделы US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Вареня Вячеслав Алексеевич Видеоинтервью и вебинары Анвар Алимжанович Бакиев Партнерам Ольга Овчаренко Эксперты Московской коллегии адвокатов «ГРАД» Андрей Лукашов Корпоративные финансы Инвестиции Станислав Воронин Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе Российский бухучет Аудит Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании СТЕК Ernst & Young Deloitte BDO Журнал «Аудитор» 2002 г. 2011 г. Управленческий учет Практика Предприятие как система создания ценности Зарубежный опыт Контроллинг Идеология Управленческий учет в контексте стратегического менеджмента Бюджетирование Статьи	Корпоративное управление Корпоративные рейтинги Стратегическое управление Кадровый менеджмент Практика Коротко о важном Корпоративное право Управление рисками Управление качеством Менеджмент	Корпоративное управление

Источник: GAAP.RU
Опубликовано: 21 Сентября 2020

Автор оригинальной статьи: Одри Катчер (Audrey Katcher) CPA/CITP, CGMA, партнер направления услуг делового консультирования в RubinBrown LLP

По материалам: Journal of Accountancy

Многие страны миры в последнюю неделю фиксируют у себя темпы заболеваемости коронавирусом, не то что сопоставимые, а даже превосходящие начало пандемии. Израиль, хоть и на ограниченный срок, но все же вернул у себя жесткие карантинные меры, Великобритания - пока еще нет, но там говорят об этом едва ли не как о неизбежности. Не нуждающийся в представлении Билл Гейтс на днях назвал 2022 год примерным сроком окончания пандемии - да и то, если 2021 станет годом сплоченной борьбы против пандемии. Насчет России пока ничего определенного сказать нельзя, но сегодня, как пример, зафиксировали максимальный прирост заболевших по одной только Москве, который не фиксировался с июня – и это уже говорит о многом.

Таким образом, коронавирус с человечеством “всерьез и надолго”. Будут ли вводить жесткий карантин или нет – также неизвестно, но даже если нет, всегда стоит помнить о вещах, находящихся в прямой зоне ответственности корпоративного руководства. Одной из таких обязанностей является надзор за эффективностью системы информационной безопасности (в отношении которой, отметим, вопросы возникали и до пандемии COVID-19, а с массовой приостановкой деловой активности и переходом на удаленный режим работы весной этого года эффективность тем более стала проблемным вопросом для многих организаций). Компрометация данных несет значительные риски, сопряженные с утратой конкурентоспособности, репутации, судебными издержками, а следовательно – эти риски требуют больших инвестиций для их предотвращения, обнаружения и принятия ответных действий. Коронавирус только осложнил эти задачи для корпоративных управляющих.

Многие эксперты говорят о хакерском взломе как о неизбежности. Это похоже на правду, но из этого также следует, что киберриски должны постоянно оставаться частью системы управления рисками в организации. При этом риск-менеджерам даже не нужно быть искушенными технологами, чтобы эффективно справляться с этой задачей, и любой руководитель уже сейчас может предпринять ряд действий по улучшению корпоративных систем. Как это сделать?

Прежде всего, для этого нужно знать четкие ответы на следующие вопросы общего толка:

Какие именно пять видов киберриска являются для организации самыми актуальными?
Как организовано управление ими?
А как организовано управления самой системой безопасности?
Есть ли у менеджеров наготове четкие протоколы реагирования на случай взлома?

В довесок к этим вопросам общего плана, ответы на которые нужно знать всегда и с самого начала, корпоративным управляющим придется везде, где это необходимо, задавать следующие специфические вопросы, которые уже имеют отношение как к технологиям, так и коронавирусной пандемии. Чтобы не путаться, можно разбить их на четыре условные категории: 1) Обязательства 2) Удаленная работа 3) Комплайенс и 4) Планы.

Если говорить об обязательствах (закрепленных в корпоративной политике), то здесь нужно, чтобы подчиненные (да и само руководство) четко понимали, в какой мере соблюдаются технологические обязательства, даже с учетом влияния пандемии.

По теме удаленной работы вопросы такие: 1) Как организация обеспечила сохранность информации с учетом удаленного характера работы сотрудников и заказчиков? 2) Обеспечила ли организация своих сотрудников адекватными мерами защиты для удаленной работы, включая соответствующее обучение?

Комплайенс: Поддерживает ли организация свое соответствие юридическим и правовым нормам?

Планы: 1) Какие у организации планы на “худший сценарий” перебоев в работе и прочих инцидентов, связанных с пандемией. Проводились ли на такие случаи “учения”? 2) Какие новые показатели поступают на рассмотрение управляющего совета, чтобы тот имел возможность отслеживать риски, в том числе риски продолжения деятельности организации? Предусмотрены ли запасные варианты на случай нарушения каналов коммуникаций? 3) Насколько хорошо организация усвоила уроки относительно своей готовности к пандемии из собственного недавнего опыта или опыта других представителей отрасли? 4) Какие измерения необходимы в сценарном планировании, чтобы улучшить будущую устойчивость организации? 5) Были ли выделены надлежащие ресурсы (финансовые, человеческие, какие-то еще) на управление рисками в будущем?

Расширение роли управляющего совета

Американская Национальная ассоциация корпоративных директоров выделяет две ключевые роли, которые играют управляющие советы в любой организации: i) контроль деятельности менеджеров по поручению акционеров и других участников процесса и ii) выдача рекомендаций менеджерам, хоть и при ограниченном участии в ежедневных операциях. В условиях пандемии управляющий совет волей-неволей получил расширенные полномочия в виде выдачи рекомендаций, основанных на прошлом опыте в различных отраслях, а равным образом основанных уже на сегодняшнем опыте в различных организациях одной отрасли.

Чтобы иметь возможность на что-то опираться в своих новых расширенных обязанностях, в организации необходимо провести определенные структурные и функциональные изменения, как-то:

Усилить направление контроля технологических рисков из-за условий удаленной работы;
Создать комиссию по технологиям и киберрискам для совместной разработки стратегий в условиях пандемии;
Проводить экспертные сессии по вопросам технологий и кибербезопасности для более эффективного управления в условиях пандемии;
Оставаться в курсе рисков кибербезопасности и технологий уже в рамках связанных с бизнесом цепочек поставок.

Роль всей организации

Если на одной стороне мысленно расположить управляющий совет, то на другой можно поставить всю организацию, и она, если подумать, имеет перед управляющим советом определенные обязанности, связанные с технологиями - например, обязана доводить до сведения совета, насколько успешно усвоен прошлый опыт, как производится сценарное планирование и обучение в рамках каждого сценария, как происходит обновление стратегических планов, если это необходимо, и насколько быстро они задействуются в случае возникновения новых сложностей или просто изменения внешних условий.

У организаций наготове должен быть стратегический план на “новую нормальность”, с которой еще только можно столкнуться. Что касается сценарного планирования в целом, то оно должно учитывать множество тонких, но очень важных нюансов:

Зависимость от людей на ключевых позициях и планы преемственности
Принятые обязательства перед клиентами, регуляторами и другими сторонами (за безопасность, доступность и конфиденциальность данных)
Зависимость от главных поставщиков, деловых партнеров, сервисных организаций в связи с необходимостью выполнять принятые на себя обязательства (плюс четкое понимание того, что сам по себе аутсорсинг не освобождает организацию от ответственности)
Разрешение проблем на случай недоступности сотрудника на ключевой позиции или ключевого поставщика
Разрешение проблемы недоступности линии поставок
Разрешение проблемы с неожиданной недоступностью какого-либо подразделения
Банкротство крупного клиента или поставщика, прочие проблемы долгосрочной устойчивости
Связанные с технологиями обязательства, зафиксированные в договорах и других соглашениях

После того как компании учли эти нюансы в своих планах реагирования в различных сценариях, они должны быть готовы дать ответ на приведенные ближе к началу ключевые вопросы.

В рамках общей стратегии и сценарного планирования технологии в умелых руках могут стать источником успеха реализации. Высшую ответственность за доведение до сведения управляющего совета информации о киберрисках несут люди на должности директоров по информационной безопасности. И это больше чем наука - в этом немало и от искусства. Руководители технологического направления не должны “заваливать” членов управляющего совета техническими деталями, в которых те разбираться вовсе не обязаны. Вместо этого директоры по информационной безопасности должны быть готовы, опираясь на доступные им технические знания, обсуждать проблему в контексте “деловых” рисков и возможностей, чтобы управляющий совет имел возможность принимать решения.

Как пример, есть деловая задача: “Сохранить текущий уровень конкурентоспособности и долгосрочной устойчивости, а чтобы сделать это, необходимо иметь возможность решать клиентские вопросы в любое время и из любого места”. Для этого есть три возможных варианта действий:

Не делать ничего;
Внедрить облачное решение, которое решало бы вопросы информационной безопасности и информационного комплайенса;
Внедрить облачное решение в обеспечение текущих юридических обязательств и регуляторного комплайенса, обязательств по управлению рисками - либо же внедрить у себя улучшения системы безопасности, например, многофакторный порядок аутентификации, протоколы шифрования клиентских коммуникаций, практику создания резервных копий для более быстрого восстановления.

Комитеты по аудиты и аудиторские обязанности

Наконец, внешние аудиторы также несут ответственность – в плане четкого понимания того, какой уровень контроля в данной области реализуется управляющим советом, как много времени уделяют обсуждениям, как часто пересматривают стратегические планы и занимаются сценарным планированием. Для внешних аудиторов основной фокус внимания на общих раскрытиях в отчетности касательно пандемии и ее общего влияния на организацию, а равным образом и частных раскрытиях, таких как величина обесценения активов, соответствие концепции о непрерывности деятельности, использование оценочных значений, наличие послаблений по аренде и реструктуризации долгов, доступность антикризисных ссуд на выплату заработной платы, налоговых отсрочек, плюс, конечно, события после отчетной даты.

Роль лидерства

Лидерская роль управляющего совета в эти непростые времена имеет ключевую важность, и в условиях пандемии она лишь продолжит развиваться. Технологии и информационная безопасность – это фундаментальные области, которые просто необходимо непрерывно держать во внимании, если организация желает быть успешной. В условиях коронавирусной пандемии информационная защита стала более сложной и более важной задачей, чем когда бы то ни было.

________