CPA mają silne strony Potrzeba przeciwdziałania ryzyku związanemu z bezpieczeństwem cybernetycznym

Nowa biała księga Centrum Jakości Audytu (CAQ) wyjaśnia, dlaczego CPA odgrywają kluczową rolę we wspieraniu organizacji w rozwiązywaniu ciągle rosnących problemów związanych z bezpieczeństwem cybernetycznym.

“Wyzwania związane z bezpieczeństwem cybernetycznym są poważne i wymagają, aby każdy sektor gospodarki odgrywał pewną rolę”, powiedziała dyrektor wykonawcza CAQ Cindy Fornelli w przygotowanym oświadczeniu. “Zawód audytora spółki publicznej będzie spełniał swoją rolę, wykorzystując swoje tradycyjne atuty i jednocześnie wprowadzając innowacje w sposób, który może znacznie zwiększyć zaufanie do informacji i praktyk z zakresu bezpieczeństwa cybernetycznego”.

Biała księga CAQ Rola CPA w zakresie przeciwdziałania ryzyku związanemu z bezpieczeństwem cybernetycznym wskazuje trzy kluczowe atuty firm CPA w podejściu do wyzwań związanych z bezpieczeństwem cybernetycznym z korzyścią dla kierownictwa wyższego szczebla, zarządów i innych zainteresowanych stron rynków kapitałowych:

1. Podstawowe wartości i atrybuty. Zgodnie z podstawowymi wartościami, takimi jak niezależność, obiektywizm i sceptycyzm, CPA są postrzegane przez zarząd i rady nadzorcze jako zaufani doradcy, którzy posiadają szeroką wiedzę na temat przedsiębiorstw, przechodzą odpowiednie coroczne szkolenia, przestrzegają kodeksu etycznego i podlegają rygorystycznym zewnętrznym przeglądom jakości.

2. Doświadczenie w niezależnych ocenach. Firmy audytorskie mają duże doświadczenie w niezależnych ocenach, czego najczęstszym przykładem są opinie audytorów sprawozdań finansowych na temat badań sprawozdań finansowych i kontroli wewnętrznej sprawozdawczości finansowej (MSSF).

Ponadto, wiele dużych i średnich firm CPA stworzyło znaczące praktyki informatyczne, które zapewniają organizacjom atesty i doradztwo w kwestiach związanych z bezpieczeństwem informatycznym i skutecznością kontroli bezpieczeństwa informatycznego.

3. Multidyscyplinarne atuty. Współczesne publiczne firmy księgowe zatrudniają osoby posiadające oznaczenie CPA i inne kwalifikacje szczególnie związane z informatyką i bezpieczeństwem. Są to między innymi certyfikowani specjaliści ds. bezpieczeństwa systemów informatycznych (CISSP), certyfikowani audytorzy systemów informatycznych (CISA) oraz certyfikowani specjaliści ds. technologii informatycznych (CITP).

Nie tak dawno temu większość firm zdegradowała coś “cyber” do działu IT. Jednak wraz z rosnącym uznaniem, że ryzyko związane z bezpieczeństwem cybernetycznym obejmuje praktyki personalne, zarządzanie łańcuchem dostaw i decyzje operacyjne, rozwinęło się bardziej kompleksowe podejście do zarządzania tym ryzykiem w całym przedsiębiorstwie.

W rzeczywistości kierownictwo i zarządy dysponowały ograniczonymi zasobami w zakresie opracowywania ram identyfikacji ryzyka, reagowania, opracowywania i realizacji kontroli, oceny i odzyskiwania środków. Obecnie istnieje kilka standardów, metodologii i procesów opracowanych przez rządy federalne i stanowe, grupy branżowe, niezależne agencje i inne zainteresowane strony.

Przyjrzyjmy się najczęstszemu przykładowi obiektywnej oceny: niezależnym opiniom audytora sprawozdań finansowych na temat badań sprawozdań finansowych i MSSF.

Ustawa Sarbanesa-Oxleya z 2002 r. (SOX) dodała wymóg mający zastosowanie do większości spółek publicznych, zgodnie z którym zarząd corocznie ocenia skuteczność ICFR spółki i podaje wyniki do wiadomości publicznej. Ponadto spółka SOX wymaga, aby komitety audytu większości dużych spółek publicznych zatrudniały niezależnego audytora w celu zbadania skuteczności systemu ICFR spółki.

Tak więc, ważne jest, aby zrozumieć względy bezpieczeństwa cybernetycznego dla audytora sprawozdania finansowego w tych kontekstach, stwierdza biała księga. Oto klucz do sukcesu:

  • Kontrole bezpieczeństwa cybernetycznego uważane za część ICFR stanowiłyby jedynie podzbiór kontroli bezpieczeństwa cybernetycznego w całym przedsiębiorstwie.
  • Zgodnie z aktualnymi wytycznymi, firma może określić, czy konieczne jest ujawnienie ryzyka związanego z bezpieczeństwem cybernetycznym w różnych miejscach w formularzu 10-K. Obowiązki audytora sprawozdania finansowego zależą od tego, czy ujawnienie jest zawarte w zbadanym sprawozdaniu finansowym, czy też w innym miejscu formularza 10-K.
  • W przypadku ryzyka związanego z bezpieczeństwem cybernetycznym ujętego w innym miejscu formularza 10-K, biegły rewident nie jest zobowiązany do przeprowadzania procedur mających na celu potwierdzenie tych informacji. Zamiast tego, biegły rewident rozważa, czy informacje lub sposób ich prezentacji są istotnie niespójne z informacjami zawartymi w sprawozdaniu finansowym lub czy nie zawierają istotnych nieprawidłowości faktycznych.

Pomocą dla pasterza większości z nich jest w tym momencie opracowanie przez Amerykański Instytut CPA (AICPA) nowych dobrowolnych ram sprawozdawczości w zakresie zarządzania ryzykiem związanym z bezpieczeństwem cybernetycznym.

Ramy obejmują:

  • Opis zarządu programu zarządzania ryzykiem w zakresie bezpieczeństwa cybernetycznego firmy .
  • Twierdzenie kierownictwa o przedstawieniu opisu oraz o tym, czy kontrole w ramach programu zarządzania ryzykiem związanym z bezpieczeństwem cybernetycznym były skuteczne w osiąganiu celów w zakresie bezpieczeństwa cybernetycznego w oparciu o odpowiedni zestaw kryteriów kontrolnych. (tyksiksag__4)

  • Opinia CPA w sprawie opisu zarządzania i skuteczności kontroli dla osiągnięcia celów organizacji w zakresie bezpieczeństwa cybernetycznego.

Ramy sprawozdawczości AICPA w zakresie bezpieczeństwa cybernetycznego opierają się na celach i są dobrowolne. Umożliwiają one kierownictwu i audytorom wybór odpowiedniego opisu i kryteriów kontroli przy przeprowadzaniu badania.

Artykuły pokrewne:

Cybersecurity Risk Management Reporting Framework Ujawnione przez AICPA<br>
Nowy przewodnik AICPA dotyczący sprawozdawczości w zakresie bezpieczeństwa cybernetycznego

.