Корпоративное управление в эпоху “ковида”: соображения кибербезопасности и высоких технологий

Корпоративное управление
Источник: GAAP.RU
Опубликовано: 21 сентября 2020


Автор оригинальной статьи: Одри Катчер (Audrey Katcher) CPA/CITP, CGMA, партнер направления услуг делового консультирования в RubinBrown LLP

По материалам: Journal of Accountancy

Многие страны миры в последнюю неделю фиксируют у себя темпы заболеваемости коронавирусом, не то что сопоставимые, а даже превосходящие начало пандемии. Израиль, хоть и на ограниченный срок, но все же вернул у себя жесткие карантинные меры, Великобритания - пока еще нет, но там говорят об этом едва ли не как о неизбежности. Не нуждающийся в представлении Билл Гейтс на днях назвал 2022 год примерным сроком окончания пандемии - да и то, если 2021 станет годом сплоченной борьбы против пандемии. Насчет России пока ничего определенного сказать нельзя, но сегодня, как пример, зафиксировали максимальный прирост заболевших по одной только Москве, который не фиксировался с июня – и это уже говорит о многом.

Таким образом, коронавирус с человечеством “всерьез и надолго”. Будут ли вводить жесткий карантин или нет – также неизвестно, но даже если нет, всегда стоит помнить о вещах, находящихся в прямой зоне ответственности корпоративного руководства. Одной из таких обязанностей является надзор за эффективностью системы информационной безопасности (в отношении которой, отметим, вопросы возникали и до пандемии COVID-19, а с массовой приостановкой деловой активности и переходом на удаленный режим работы весной этого года эффективность тем более стала проблемным вопросом для многих организаций). Компрометация данных несет значительные риски, сопряженные с утратой конкурентоспособности, репутации, судебными издержками, а следовательно – эти риски требуют больших инвестиций для их предотвращения, обнаружения и принятия ответных действий. Коронавирус только осложнил эти задачи для корпоративных управляющих.

Многие эксперты говорят о хакерском взломе как о неизбежности. Это похоже на правду, но из этого также следует, что киберриски должны постоянно оставаться частью системы управления рисками в организации. При этом риск-менеджерам даже не нужно быть искушенными технологами, чтобы эффективно справляться с этой задачей, и любой руководитель уже сейчас может предпринять ряд действий по улучшению корпоративных систем. Как это сделать?

Прежде всего, для этого нужно знать четкие ответы на следующие вопросы общего толка:

  • Какие именно пять видов киберриска являются для организации самыми актуальными?
  • Как организовано управление ими?
  • А как организовано управления самой системой безопасности?
  • Есть ли у менеджеров наготове четкие протоколы реагирования на случай взлома?

В довесок к этим вопросам общего плана, ответы на которые нужно знать всегда и с самого начала, корпоративным управляющим придется везде, где это необходимо, задавать следующие специфические вопросы, которые уже имеют отношение как к технологиям, так и коронавирусной пандемии. Чтобы не путаться, можно разбить их на четыре условные категории: 1) Обязательства 2) Удаленная работа 3) Комплайенс и 4) Планы.

Если говорить об обязательствах (закрепленных в корпоративной политике), то здесь нужно, чтобы подчиненные (да и само руководство) четко понимали, в какой мере соблюдаются технологические обязательства, даже с учетом влияния пандемии.

По теме удаленной работы вопросы такие: 1) Как организация обеспечила сохранность информации с учетом удаленного характера работы сотрудников и заказчиков? 2) Обеспечила ли организация своих сотрудников адекватными мерами защиты для удаленной работы, включая соответствующее обучение?

Комплайенс: Поддерживает ли организация свое соответствие юридическим и правовым нормам?

Планы: 1) Какие у организации планы на “худший сценарий” перебоев в работе и прочих инцидентов, связанных с пандемией. Проводились ли на такие случаи “учения”? 2) Какие новые показатели поступают на рассмотрение управляющего совета, чтобы тот имел возможность отслеживать риски, в том числе риски продолжения деятельности организации? Предусмотрены ли запасные варианты на случай нарушения каналов коммуникаций? 3) Насколько хорошо организация усвоила уроки относительно своей готовности к пандемии из собственного недавнего опыта или опыта других представителей отрасли? 4) Какие измерения необходимы в сценарном планировании, чтобы улучшить будущую устойчивость организации? 5) Были ли выделены надлежащие ресурсы (финансовые, человеческие, какие-то еще) на управление рисками в будущем?

Расширение роли управляющего совета

Американская Национальная ассоциация корпоративных директоров выделяет две ключевые роли, которые играют управляющие советы в любой организации: i) контроль деятельности менеджеров по поручению акционеров и других участников процесса и ii) выдача рекомендаций менеджерам, хоть и при ограниченном участии в ежедневных операциях. В условиях пандемии управляющий совет волей-неволей получил расширенные полномочия в виде выдачи рекомендаций, основанных на прошлом опыте в различных отраслях, а равным образом основанных уже на сегодняшнем опыте в различных организациях одной отрасли.

Чтобы иметь возможность на что-то опираться в своих новых расширенных обязанностях, в организации необходимо провести определенные структурные и функциональные изменения, как-то:

  • Усилить направление контроля технологических рисков из-за условий удаленной работы;
  • Создать комиссию по технологиям и киберрискам для совместной разработки стратегий в условиях пандемии;
  • Проводить экспертные сессии по вопросам технологий и кибербезопасности для более эффективного управления в условиях пандемии;
  • Оставаться в курсе рисков кибербезопасности и технологий уже в рамках связанных с бизнесом цепочек поставок.

Роль всей организации

Если на одной стороне мысленно расположить управляющий совет, то на другой можно поставить всю организацию, и она, если подумать, имеет перед управляющим советом определенные обязанности, связанные с технологиями - например, обязана доводить до сведения совета, насколько успешно усвоен прошлый опыт, как производится сценарное планирование и обучение в рамках каждого сценария, как происходит обновление стратегических планов, если это необходимо, и насколько быстро они задействуются в случае возникновения новых сложностей или просто изменения внешних условий.

У организаций наготове должен быть стратегический план на “новую нормальность”, с которой еще только можно столкнуться. Что касается сценарного планирования в целом, то оно должно учитывать множество тонких, но очень важных нюансов:

  • Зависимость от людей на ключевых позициях и планы преемственности
  • Принятые обязательства перед клиентами, регуляторами и другими сторонами (за безопасность, доступность и конфиденциальность данных)
  • Зависимость от главных поставщиков, деловых партнеров, сервисных организаций в связи с необходимостью выполнять принятые на себя обязательства (плюс четкое понимание того, что сам по себе аутсорсинг не освобождает организацию от ответственности)
  • Разрешение проблем на случай недоступности сотрудника на ключевой позиции или ключевого поставщика
  • Разрешение проблемы недоступности линии поставок
  • Разрешение проблемы с неожиданной недоступностью какого-либо подразделения
  • Банкротство крупного клиента или поставщика, прочие проблемы долгосрочной устойчивости
  • Связанные с технологиями обязательства, зафиксированные в договорах и других соглашениях

После того как компании учли эти нюансы в своих планах реагирования в различных сценариях, они должны быть готовы дать ответ на приведенные ближе к началу ключевые вопросы.

В рамках общей стратегии и сценарного планирования технологии в умелых руках могут стать источником успеха реализации. Высшую ответственность за доведение до сведения управляющего совета информации о киберрисках несут люди на должности директоров по информационной безопасности. И это больше чем наука - в этом немало и от искусства. Руководители технологического направления не должны “заваливать” членов управляющего совета техническими деталями, в которых те разбираться вовсе не обязаны. Вместо этого директоры по информационной безопасности должны быть готовы, опираясь на доступные им технические знания, обсуждать проблему в контексте “деловых” рисков и возможностей, чтобы управляющий совет имел возможность принимать решения.

Как пример, есть деловая задача: “Сохранить текущий уровень конкурентоспособности и долгосрочной устойчивости, а чтобы сделать это, необходимо иметь возможность решать клиентские вопросы в любое время и из любого места”. Для этого есть три возможных варианта действий:

  1. Не делать ничего;
  2. Внедрить облачное решение, которое решало бы вопросы информационной безопасности и информационного комплайенса;
  3. Внедрить облачное решение в обеспечение текущих юридических обязательств и регуляторного комплайенса, обязательств по управлению рисками - либо же внедрить у себя улучшения системы безопасности, например, многофакторный порядок аутентификации, протоколы шифрования клиентских коммуникаций, практику создания резервных копий для более быстрого восстановления.

Комитеты по аудиты и аудиторские обязанности

Наконец, внешние аудиторы также несут ответственность – в плане четкого понимания того, какой уровень контроля в данной области реализуется управляющим советом, как много времени уделяют обсуждениям, как часто пересматривают стратегические планы и занимаются сценарным планированием. Для внешних аудиторов основной фокус внимания на общих раскрытиях в отчетности касательно пандемии и ее общего влияния на организацию, а равным образом и частных раскрытиях, таких как величина обесценения активов, соответствие концепции о непрерывности деятельности, использование оценочных значений, наличие послаблений по аренде и реструктуризации долгов, доступность антикризисных ссуд на выплату заработной платы, налоговых отсрочек, плюс, конечно, события после отчетной даты.

Роль лидерства

Лидерская роль управляющего совета в эти непростые времена имеет ключевую важность, и в условиях пандемии она лишь продолжит развиваться. Технологии и информационная безопасность – это фундаментальные области, которые просто необходимо непрерывно держать во внимании, если организация желает быть успешной. В условиях коронавирусной пандемии информационная защита стала более сложной и более важной задачей, чем когда бы то ни было.

________

Теги: корпоративное управление  коронавирус  кибербезопасность  управляющий совет  пандемия  COVID-19  корпоративное руководство  информационная безопасность  удаленный режим работы  киберриски  сценарное планирование  стратегические планы  планы преемственност