Киберугрозы как самая проблемная на сегодня область внутреннего аудита

Внутренний аудит и внутренний контроль
Источник: GAAP.RU
Опубликовано: 11 марта 2019

По материалам: CFO


В наши нестабильные времена большой неопределенности вокруг новых технологий, геополитической обстановки, угрожающих климатических изменений и тому подобных явлений оптимальная результативность становится постоянно смещающейся целью для любой деловой функции. И, наверное, ни с одной другой функцией это не является настолько очевидным, как с функцией внутреннего аудита.

Сегодня большинство опрошенных руководителей служб внутреннего аудита признают наличие существенных расхождений между фактическими результатами и той планкой, которой им хотелось бы достичь. В опросе от Института внутреннего аудита (Institute of Internal Auditors - IIA) приняли участие 512 сотрудников департаментов внутреннего аудита, из них 447 руководителей (chief audit executives - CAE). Степень “недовольства” респондентов в отдельных случаях была очень значительной, что даже удивительно с учетом того, что они фактически указывали пальцем на самих себя.

К основным областям, вызывающим сегодня беспокойство руководителей служб внутреннего аудита, стоит в первую очередь отнести кибербезопасность: 53% участников отметили как “очень значительные” или просто “значительные” усилия, которые сегодня затрачиваются на доведения до сведения топ-менеджеров и совета директоров информации о текущем уровне риска для организации и мерах, принимаемых в ответ на эти риски. Более высокий процент в данном случае следует воспринимать в положительном ключе: у оставшихся 47% затрачиваемые усилия, по логике опроса, не столь интенсивны, а значит и руководство компаний не получает полной информации о киберрисках. И хотя 53%, то есть больше половины – уже неплохо, и совершенства здесь в любом случае никто не ожидает, респонденты отметили, что были бы намного более довольны, если бы этот показатель был на уровне где-нибудь 80%.

Аналогичные, также связанные с областью киберрисков расхождения между текущей и желаемой результативностью обнаружился в следующих аспектах деятельности функции внутреннего аудита:

  • Обеспечение гарантии готовности реагирования на киберугрозы (46% против 82%)
  • Совместная работа с IT-департаментами и другими участниками процесса над построением эффективной защиты и системы реагирования (41% vs. 64%)
  • Обеспечение эффективного информационного обмена и координации действий в организации в отношении киберрисков (37% vs. 58%)

По словам представителей Института внутреннего аудита, этот разрыв между фактически затрачиваемыми и желаемыми усилиями может отражать тот факт, что внутренний аудит просто не успевает достаточно быстро адаптироваться к меняющимся потребностям. Второй вывод логично следует из первого: судя по всему, имеется расхождение между приоритетами риска и аудиторским планом.

Когда участников опроса попросили назвать основные препятствия для эффективного реагирования на киберриски, более половины (51%) указали нехватку соответствующего опыта (“кибер-компетенций”) среди персонала внутреннего аудита, что, по их мнению, может оказывать значительной и даже критическое влияние. Чуть менее половины (43%) отметили нехватку коммуникаций и взаимодействия с IT-департаментом, а также недостаток поддержи со стороны топ-менеджмента.

Однако результаты определенно свидетельствуют в пользу того, что внутренний аудит добивается медленного, но верного прогресса в привлечении нужного персонала, используя опыт внешних участников либо тренируя у себя персонал, способный обеспечивать независимую оценку данной области риска – комментируют представители IIA.

В отчете содержатся и конкретные рекомендации для руководителей служб внутреннего аудита. В частности, там говорится:

  1. “Докладывайте аудиторским комиссиям о любом прогрессе (или его отсутствии) в накоплении кибер-компетенций в департаменте (или причинах этого). Откровенные обсуждения с аудиторскими комиссиями областей, где охват аудита не является адекватным, или же не хватает навыков – единственный способ обеспечить быстрые изменения в таких ситуациях”.
  2. “Сообщайте аудиторским комиссиям и менеджменту обо всех расхождениях в уровне затрачиваемых и желаемых усилий в области кибербезопасности. Это значит, что CAE обязаны документировать все причины, почему такие расхождения существуют, включая недостаточные ресурсы для ко-сорсинга или аутсорсинга, нестыковки в приоритетах аудиторского плана и любое фактическое или кажущееся отсутствие контакта с IT”.
  3. “Уделяйте больше времени построению отношений/партнерства с руководителями информационной безопасности и руководителями информационных департаментов. Нехватка взаимодействия с IT может отражать слабые отношения или беспокойство относительно того, что во внутреннем аудите недостает кибер-компетенций”.
  4. “Уделяйте больше времени обучению команды по вопросам кибербезопасности, в том числе развитию глубокого понимания использующихся в кибербезопасности основ, таких как NIST CSF, NIST 800-53 или ISO/IEC 27001”.
  5. “Рассмотрите вариант ко-сорсинга в качестве одной из возможностей, если имеющиеся в штате навыки не являются адекватными”.
  6. “Не упускайте возможности для персонала проводить базовый аудит кибербезопасности с привлечением помощи со стороны IT, не требующей кибер-компетенций <…> [Такие возможности включают] определение наиболее существенных активов организации, нуждающихся в защите; тестирование внутренних инструментов контроля угроз; и оценку процессов и структур, созданных для защиты против случайного или неумышленного раскрытия организационной информации”.

Не стоит, впрочем, думать, что киберугрозы являются на сегодня единственной проблемной областью внутреннего аудита. Так, 48% опрошенных признались, что только лишь ситуативно, слабо или даже вообще никак не осуществляют мониторинг внешних поставщиков услуг. И лишь 9% отнесли свои усилия в этой области к серьезным.

Кроме того, по утверждению только лишь 30% респондентов, в обнаружении и оценке новых/атипичных рисков ими используются продвинутые технологии анализа данных. В то же время 43% заявили, что лишь умеренно (и не более того) уверены в способности своих организаций обнаруживать и оценивать новые виды риска.

И наконец, 57% участников опроса признались, что очень редко или вообще никогда не обсуждают ни с менеджментом, ни с советами директоров точность, полноту, своевременность, правдивость и прозрачность самой информации, которую внутренний аудит доводит до сведения совета директоров. Представители Института внутреннего аудита в этой связи отмечают, что проблемы, с которыми внутренние аудиторы столкнулись сегодня – сложные, глобальные, разветвленные, и они потребуют быстроты реакции, новаторства, и самой собой – эффективного диалога с советами директоров и топ-менеджерами. “Чтобы внутренний аудит нашел свое место в этом “храбром новом мире”, его участникам придется подавать голос”.

Теги: киберугрозы  внутренний аудит  службы внутреннего аудита  Институт внутреннего аудита  Institute of Internal Auditors  IIA  департаменты внутреннего аудита  chief audit executives  CAE  кибербезопасность  киберриски  IT-департаменты  информационный обмен