Киберугрозы как самая проблемная на сегодня область внутреннего аудита


Печать	Рассылка

Менеджмент Кадровый менеджмент Практика Коротко о важном Корпоративное право Управление рисками Управление качеством Корпоративное управление Корпоративные рейтинги Стратегическое управление GAAP & IAS Особенности банковской отчетности Банковский бизнес в России и зарубежом Учебные пособия по МСФО в рамках проекта "Реформа бухгалтерского учета и отчетности II" Что такое ГААП США (US GAAP) ? Изучение GAAP: основы основ. Курс лекций Как я изучал GAAP Сравнительный учет: US GAAP & Российский учет US GAAP: Перевод отчетности в иностранной валюте Учетная политика Сравнительный учет: IAS & US GAAP МСФО по-украински: официальный перевод международных стандартов Нефтегазодобывающая отрасль МСФО для добывающей отрасли UK GAAP Что такое GERMAN GAAP (Немецкий учет)? Немецкое балансоведение IPSAS - международные стандарты для госорганов Сравнительный учет: МСФО и Российский учет IFRS 6 Разработка и оценка минеральных ресурсов МСФО в некоммерческих организациях IAS 1 Представление финансовой отчетности IAS 37 Резервы, условные обязательства и условные активы IAS 16 Основные средства IAS 27 Консолидированная и отдельная финансовая отчетность IAS 38 Нематериальные активы IFRS 7 Финансовые инструменты: раскрытие информации Аудит. Управленческий учет. Статистика IAS 2 Запасы IFRS 4 / IFRS 17 Договоры страхования IAS 17 Аренда IAS 28 Инвестиции в ассоциированные и совместные предприятия IAS 39 Финансовые инструменты: признание и оценка IFRS 8 Операционные сегменты IFRS 9 Финансовые инструменты IFRS 6 Разработка и оценка минеральных ресурсов Разъяснения и Интерпретации к МСФО IAS 18 Выручка IAS 29 Финансовая отчетность в гиперинфляционной экономике IAS 40 Инвестиционное имущество МСФО для страхового сектора IFRS 10 Консолидированная финансовая отчетность IAS 7 Отчеты о движении денежных средств IFRS 13 Оценка справедливой стоимости IAS 19 Вознаграждения работникам IAS 32 Финансовые инструменты: раскрытие и представление информации IAS 41 Сельское хозяйство IFRS 1 Первое применение Международных Стандартов Финансовой Отчетности Трансформация отчетности по МСФО IFRS 11 Совместная деятельность IAS 8 Учетная политика, изменения в расчетных оценках и ошибки IAS 26 Учет и отчетность по пенсионным планам IAS 20 Учет государственных субсидий и раскрытие информации о государственной помощи IAS 33 Прибыль на акцию IFRS 2 Выплаты на основе долевых инструментов Обзор МСФО IAS 10 События после окончания отчетного периода IAS 11 Договоры на строительство IFRS 15 Выручка по договорам с клиентами IAS 21 Влияние изменений валютных курсов IAS 34 Промежуточная финансовая отчетность IFRS 3 Объединения бизнесов Подготовка международной отчетности IAS 16 Учет и отчетность по пенсионным планам IAS 12 Налоги на прибыль IFRS 16 Аренда IAS 23 Затраты по займам IAS 36 Обесценение активов IFRS 5 Долгосрочные активы, предназначенные для продажи, и прекращенная деятельность Разработка законодательство по МСФО IAS 31 Участие в совместном предпринимательстве IAS 14 Сегментная отчетность IFRS 14 Счета отложенных тарифных разниц IAS 24 Раскрытие информации о связанных сторонах IAS 37 Оценочные обязательства, условные обязательства и условные активы Переход на МСФО в других странах мира Азиатская модель Расширенная корпоративная отчетность. Отчетность устойчивого развития Учебные пособия по МСФО Реформа бухгалтерского учета и отчетности II Экзамен DipIFR-Rus (2012) Работа с финансовыми отчетами по МСФО Системы профессионального образования в России, Великобритании и в мире Разработка стратегии поддержки российских предприятий при их переходе на МСФО Экзамен DipIFR-Rus (2013) МСФО, редакция 2001г. Курс по методике IAB/Основы бухгалтерского учета по МСФО Учебное пособие по МСФО и их использования в рамках проекта ТАСИС "Водные пути России" Руководство по трансформации на МСФО (новый план счетов РБ) Вводный курс по МСФО Активы Идеологические статьи по МСФО IAS: искусство иллюзии Идеология МСФО и US GAAP Революция в корпоративной отчетности Особенности учета на постсоветском пространстве Налогообложение Налоговые отношения с участием иностранных организаций в РФ, оффшоры Практические советы Налоговый учет Статьи и аналитические материалы по Налогам Software Отрывки из книг Авторские разделы Ольга Овчаренко Эксперты Московской коллегии адвокатов «ГРАД» Андрей Лукашов Корпоративные финансы Инвестиции Станислав Воронин Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Видеоинтервью и вебинары Вареня Вячеслав Алексеевич Партнерам Анвар Алимжанович Бакиев Российский бухучет Аудит Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании СТЕК Ernst & Young Deloitte BDO Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Управленческий учет Предприятие как система создания ценности Контроллинг Практика Зарубежный опыт Идеология Управленческий учет в контексте стратегического менеджмента Бюджетирование Инвестиции Отрывки из книг Практическое пособие по IPO (первоначальное публичное предложение) Оценка стоимости в венчурном инвестировании и при выходе на рынок IPO IPO: стратегия, перспективы и опыт российских компаний Прямые и венчурные частные инвестиции в России Инвестиционные проекты и предложения Личные финансы Российский опыт Зарубежный опыт Другие вопросы Информационный бюллетень Корпоративные финансы Сбалансированная система показателей Статьи Отрывки из книг Интервью, материалы прессы Коротко о главном Слияния и поглощения Анализ финансовых отчетов Финансовый менеджмент Финансовый Анализ Международные стандарты оценки - International Valuation Standards (IVS) Оценка бизнеса Финансовая математика/статистика Лизинг Рынок ценных бумаг. IPO, ICO, IEO Базовый курс по информативности отчетов о движении денежных средств Статьи	Международные стандарты аудита (ISA, SAS) Внутренний аудит и внутренний контроль Аудиторские компании СТЕК Ernst & Young Deloitte BDO Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Аудит	Внутренний аудит и...

Источник: GAAP.RU
Опубликовано: 11 Марта 2019

По материалам: CFO

В наши нестабильные времена большой неопределенности вокруг новых технологий, геополитической обстановки, угрожающих климатических изменений и тому подобных явлений оптимальная результативность становится постоянно смещающейся целью для любой деловой функции. И, наверное, ни с одной другой функцией это не является настолько очевидным, как с функцией внутреннего аудита.

Сегодня большинство опрошенных руководителей служб внутреннего аудита признают наличие существенных расхождений между фактическими результатами и той планкой, которой им хотелось бы достичь. В опросе от Института внутреннего аудита (Institute of Internal Auditors - IIA) приняли участие 512 сотрудников департаментов внутреннего аудита, из них 447 руководителей (chief audit executives - CAE). Степень “недовольства” респондентов в отдельных случаях была очень значительной, что даже удивительно с учетом того, что они фактически указывали пальцем на самих себя.

К основным областям, вызывающим сегодня беспокойство руководителей служб внутреннего аудита, стоит в первую очередь отнести кибербезопасность: 53% участников отметили как “очень значительные” или просто “значительные” усилия, которые сегодня затрачиваются на доведения до сведения топ-менеджеров и совета директоров информации о текущем уровне риска для организации и мерах, принимаемых в ответ на эти риски. Более высокий процент в данном случае следует воспринимать в положительном ключе: у оставшихся 47% затрачиваемые усилия, по логике опроса, не столь интенсивны, а значит и руководство компаний не получает полной информации о киберрисках. И хотя 53%, то есть больше половины – уже неплохо, и совершенства здесь в любом случае никто не ожидает, респонденты отметили, что были бы намного более довольны, если бы этот показатель был на уровне где-нибудь 80%.

Аналогичные, также связанные с областью киберрисков расхождения между текущей и желаемой результативностью обнаружился в следующих аспектах деятельности функции внутреннего аудита:

Обеспечение гарантии готовности реагирования на киберугрозы (46% против 82%)
Совместная работа с IT-департаментами и другими участниками процесса над построением эффективной защиты и системы реагирования (41% vs. 64%)
Обеспечение эффективного информационного обмена и координации действий в организации в отношении киберрисков (37% vs. 58%)

По словам представителей Института внутреннего аудита, этот разрыв между фактически затрачиваемыми и желаемыми усилиями может отражать тот факт, что внутренний аудит просто не успевает достаточно быстро адаптироваться к меняющимся потребностям. Второй вывод логично следует из первого: судя по всему, имеется расхождение между приоритетами риска и аудиторским планом.

Когда участников опроса попросили назвать основные препятствия для эффективного реагирования на киберриски, более половины (51%) указали нехватку соответствующего опыта (“кибер-компетенций”) среди персонала внутреннего аудита, что, по их мнению, может оказывать значительной и даже критическое влияние. Чуть менее половины (43%) отметили нехватку коммуникаций и взаимодействия с IT-департаментом, а также недостаток поддержи со стороны топ-менеджмента.

Однако результаты определенно свидетельствуют в пользу того, что внутренний аудит добивается медленного, но верного прогресса в привлечении нужного персонала, используя опыт внешних участников либо тренируя у себя персонал, способный обеспечивать независимую оценку данной области риска – комментируют представители IIA.

В отчете содержатся и конкретные рекомендации для руководителей служб внутреннего аудита. В частности, там говорится:

“Докладывайте аудиторским комиссиям о любом прогрессе (или его отсутствии) в накоплении кибер-компетенций в департаменте (или причинах этого). Откровенные обсуждения с аудиторскими комиссиями областей, где охват аудита не является адекватным, или же не хватает навыков – единственный способ обеспечить быстрые изменения в таких ситуациях”.
“Сообщайте аудиторским комиссиям и менеджменту обо всех расхождениях в уровне затрачиваемых и желаемых усилий в области кибербезопасности. Это значит, что CAE обязаны документировать все причины, почему такие расхождения существуют, включая недостаточные ресурсы для ко-сорсинга или аутсорсинга, нестыковки в приоритетах аудиторского плана и любое фактическое или кажущееся отсутствие контакта с IT”.
“Уделяйте больше времени построению отношений/партнерства с руководителями информационной безопасности и руководителями информационных департаментов. Нехватка взаимодействия с IT может отражать слабые отношения или беспокойство относительно того, что во внутреннем аудите недостает кибер-компетенций”.
“Уделяйте больше времени обучению команды по вопросам кибербезопасности, в том числе развитию глубокого понимания использующихся в кибербезопасности основ, таких как NIST CSF, NIST 800-53 или ISO/IEC 27001”.
“Рассмотрите вариант ко-сорсинга в качестве одной из возможностей, если имеющиеся в штате навыки не являются адекватными”.
“Не упускайте возможности для персонала проводить базовый аудит кибербезопасности с привлечением помощи со стороны IT, не требующей кибер-компетенций <…> [Такие возможности включают] определение наиболее существенных активов организации, нуждающихся в защите; тестирование внутренних инструментов контроля угроз; и оценку процессов и структур, созданных для защиты против случайного или неумышленного раскрытия организационной информации”.

Не стоит, впрочем, думать, что киберугрозы являются на сегодня единственной проблемной областью внутреннего аудита. Так, 48% опрошенных признались, что только лишь ситуативно, слабо или даже вообще никак не осуществляют мониторинг внешних поставщиков услуг. И лишь 9% отнесли свои усилия в этой области к серьезным.

Кроме того, по утверждению только лишь 30% респондентов, в обнаружении и оценке новых/атипичных рисков ими используются продвинутые технологии анализа данных. В то же время 43% заявили, что лишь умеренно (и не более того) уверены в способности своих организаций обнаруживать и оценивать новые виды риска.

И наконец, 57% участников опроса признались, что очень редко или вообще никогда не обсуждают ни с менеджментом, ни с советами директоров точность, полноту, своевременность, правдивость и прозрачность самой информации, которую внутренний аудит доводит до сведения совета директоров. Представители Института внутреннего аудита в этой связи отмечают, что проблемы, с которыми внутренние аудиторы столкнулись сегодня – сложные, глобальные, разветвленные, и они потребуют быстроты реакции, новаторства, и самой собой – эффективного диалога с советами директоров и топ-менеджерами. “Чтобы внутренний аудит нашел свое место в этом “храбром новом мире”, его участникам придется подавать голос”.

Теги: киберугрозы внутренний аудит службы внутреннего аудита Институт внутреннего аудита Institute of Internal Auditors IIA департаменты внутреннего аудита chief audit executives CAE кибербезопасность киберриски IT-департаменты информационный обмен

Топ 5 статей
Публикации по теме:«Внутренний аудит и внутренний контроль...»

Горящие семинары

Все семинары
на edu.GAAP.RU

События

Все события

Киберугрозы как самая проблемная на сегодня область внутреннего аудита

Горящие семинары

События

Уважаемый пользователь!