Внутренние аудиторы занялись кибербезопасностью и корпоративной культурой

Специалисты внутреннего аудита в мировой практике все чаще сталкиваются со спросом на технические компетенции защиты электронных данных и доведения информации о риске кибератак до руководства своих организаций. К таким выводам подталкивает последний отчет Института внутренних аудиторов (IIA).

Институтский Центр руководителей аудита (Audit Executive Center) провел опрос по этой теме среди руководителей служб внутреннего аудита в компаниях. Обнаружилось, что в 40% случае СВА прилагают очень существенные или даже чрезвычайные усилия в доведении информации о киберопасностях до топ-менеджмента и советов директоров. В то же самое время, когда вопрос был поставлен несколько иначе (“Какими должны быть усилия в данной области?”), 69% именно так и ответили – “очень существенными или даже более того”. То есть, иначе говоря, необходимо очень стараться – это признают многие – но реально старается где-то на 29% меньше. Весьма существенное расхождение.

Аналогичным образом расхождение в 22% обнаружилось в обеспечении эффективного информационного обмена и координации усилий всех участвующих в анализе киберопасностей, а расхождение в 25% обнаружилось в отношении тесной и плодотворной работой с IT- и другими департаментами в плане построения эффективных систем защиты и реагирования.

Но больше всего отстает такое направление как гарантия качества систем реагирования на кибератаки – 37%. То есть далеко не все внутренние аудиторы сегодня умеют это делать на нужном уровне, хотя все более-менее признают, что кибератаки в наше время неизбежны. Однако, по мнению 89% организаций, наилучший подход – это “ликбез” и предотвращение атаки, но при этом довольно мало внимания уделяется реагированию на уже обнаруженное вторжение и защите репутации в этом случае. Только лишь 3% прямо назвали реагирование и восстановление данных среди эффективных способов борьбы с кибератаками.

“В свете кибератаки обеспечение непрерывности бизнеса и нейтрализация репутационного риска превыше всего, однако довольно мало организаций сегодня мыслят за пределами предотвращения” – говорит президент и исполнительный директор Института внутренних аудиторов Ричард Чемберз (Richard Chambers). – “IIA уже некоторое время активно продвигает “киберустойчивость” – концепцию, относящуюся на полный спектр предотвращения, обнаружения, реакции и восстановления – поэтому эти результаты действительно вызывают беспокойство”.

Отдельно, также в эту среду, IIA выпустил еще один отчет по роли внутренних аудиторов в корпоративной культуре - Auditing Culture - A Hard Look at the Soft Stuff. В нем эксперты исследуют, каким образом внутренние аудиторы способны повысить свою ценность для организации, проводя аудит корпоративной культуры, и как именно следует его проводить.

В отчете приводится список, условно говоря, составляющих аудита корпоративной культуры, от подбора подходящих инструментов до обучения. Перечислены также шесть основных шагов подготовки к аудиту культуры: организация ресурсов на это мероприятие, получение поддержки со стороны менеджмента и совета директоров и так далее. “С учетом ошеломляющей важности культуры для успеха организации провал компании с систематическим и постоянным ее аудитом посылает весьма четкое - и, наверное, неприятное – послание стейкхолдерам организации о ее действительных ценностях и приоритетах” – говорится в отчете.

По материалам: Accounting Today

__________________________________________________________

• См. также: IIA меняет стандарты внутреннего аудита (18/02/2016)