Proponowane przez organy regulacyjne cyberprzestępcze zasady przyciągają uwagę księgowych

Organizacje reprezentujące księgowych i audytorów wyjaśniły trzem federalnym agencjom nadzorującym bankowość, że wysiłki na rzecz poprawy standardów zarządzania ryzykiem związanym z bezpieczeństwem cybernetycznym powinny koncentrować się na najlepszych praktykach, ale ich wdrożenie pozostawić sektorowi finansowemu.

Zarząd Rezerwy Federalnej, Biuro Walutowe oraz Federal Deposit Insurance Corp. prawdopodobnie będą miały pełne ręce roboty, próbując stworzyć to, co agencje te nazywają “ulepszonymi standardami zarządzania ryzykiem cybernetycznym” dla dużych i powiązanych ze sobą firm i ich dostawców usług.

Okres na zgłaszanie uwag zakończył się 17 stycznia w związku z opublikowanym w październiku 2016 r. wyprzedzającym zawiadomieniem o proponowanych przepisach, a 15 organizacji zgłosiło uwagi.

AccountingWEB przyjrzała się czterem odpowiedziom. Istota: Zasady i najlepsze praktyki są mile widziane, ale organy regulacyjne nie powinny być wielkimi firmami z zasadami i wymogami.

Celem organów regulacyjnych jest zwiększenie “odporności operacyjnej tych podmiotów i zmniejszenie wpływu na system finansowy w przypadku wystąpienia cyberataku”. Standardy zostałyby ujednolicone w taki sposób, aby organizacje o kluczowym znaczeniu dla funkcjonowania sektora finansowego były poddawane najsurowszej kontroli.

Organizacje docelowe to te, których łączne skonsolidowane aktywa wynoszą 50 miliardów dolarów lub więcej w skali całego przedsiębiorstwa, ponieważ ryzyko cybernetyczne w jednej części może narazić inne części organizacji na szkody, stwierdza propozycja. A biorąc pod uwagę wielkość aktywów, naruszenie bezpieczeństwa w jednej lub więcej z tych organizacji “mogłoby mieć znaczący wpływ na bezpieczeństwo i solidność podmiotu, innych podmiotów finansowych i amerykańskiego sektora finansowego”, mówią agencje w propozycji.

W nowo utworzonym Association of International Certified Professional Accountants, Susan Coffey, CPA, CGMA, wiceprezes wykonawczy ds. praktyki publicznej, powiedziała, że zręczność jest na porządku dziennym.

“Spójny zestaw zasad lub najlepszych praktyk na wysokim poziomie (w przeciwieństwie do konkretnych, szczegółowych, normatywnych przepisów lub wymogów) pozwoliłby skupić się na zwinności i zdolności reagowania na ciągle zmieniające się wyzwania – aby być o krok przed, a nie za nimi, obecnymi i przyszłymi zagrożeniami” – powiedział Coffey w przygotowanym oświadczeniu.

Poza tym, dodała, że istnieje już kilka dobrowolnych ram zarządzania ryzykiem w zakresie bezpieczeństwa cybernetycznego. A Amerykański Instytut CPA opracował ramy sprawozdawcze, które uzupełniają pozostałe i pozwalają firmom na informowanie zainteresowanych stron o sposobach radzenia sobie z ryzykiem związanym z bezpieczeństwem cybernetycznym.

Podobnie Cindy Fornelli, dyrektor wykonawcza Centrum Kontroli Jakości, stwierdziła, że wszyscy interesariusze w zakresie zarządzania ryzykiem związanym z bezpieczeństwem cybernetycznym, w tym organy regulacyjne, są najlepiej przygotowani do tego, aby rady nadzorcze były odpowiedzialne za nadzór.

“Każda firma jest wyjątkowa, a zatem uniwersalne podejście do zarządzania ryzykiem związanym z bezpieczeństwem cybernetycznym nie byłoby wystarczająco elastyczne, aby dostosować się do różnych rodzajów ryzyka cybernetycznego, z którymi styka się każda firma”, stwierdziła. “W związku z tym , uważamy, że rady powinny dysponować elastycznością w zakresie sposobu podejścia do tego nadzoru i jego wykonywania.

Fornelli dodał, że wniosek wydaje się nakładać zarządzanie ryzykiem związanym z bezpieczeństwem cybernetycznym i ocenę kontroli bezpieczeństwa cybernetycznego na kilka funkcji, które działają niezależnie od siebie, co może spowodować “redundancję wysiłków już w ramach audytu wewnętrznego”.

Podobnie Richard Chambers, prezes i dyrektor generalny Instytutu Audytorów Wewnętrznych (IIA), stwierdził, że audyt wewnętrzny jest “dobrze przygotowany do zapewnienia pewności” w odniesieniu do tego, do czego dąży się we wniosku, “o czym świadczą wysokowydajne funkcje audytu wewnętrznego w branży finansowej, które już teraz włączają oceny zarządzania ryzykiem cybernetycznym do swoich ogólnych planów audytu”.

Zagrożenia cybernetyczne są dynamiczne, a organizacje, na które wniosek będzie miał wpływ, są zróżnicowane pod względem wielkości i roli, powiedział. Standardy powinny zatem umożliwiać elastyczność przy opracowywaniu ram.

A ponieważ standardy te miałyby zastosowanie do dostawców usług dla instytucji finansowych, porozumienie międzyinstytucjonalne zaleca nowy rodzaj sprawozdawczości w zakresie zarządzania ryzykiem cybernetycznym przez dostawców, “ponieważ znacznie zmniejszyłoby to obciążenie tych dostawców związane z koniecznością przeprowadzania indywidualnych ocen przez wielu klientów”, stwierdził.

Stowarzyszenie Zarządzania Ryzykiem przyjęło stanowisko, że podwyższone standardy nie idą wystarczająco daleko. Branża finansowa znajduje się w niekorzystnej sytuacji, ponieważ nie ma szybkiego dostępu do informacji o zagrożeniach cybernetycznych, którymi dysponują organy ścigania.

“Powinien istnieć mechanizm pozwalający na dzielenie się wiarygodnymi danymi wywiadowczymi dotyczącymi zagrożeń przez organy ścigania, aby instytucje mogły podejmować takie działania, które mogą być konieczne do powstrzymania wynikającego z nich zagrożenia”, stwierdził Edward DeMarco Jr., dyrektor ds. doradztwa ogólnego i stosunków regulacyjnych Stowarzyszenia Zarządzania Ryzykiem.

Dlatego też wszelkie normy powinny być wskazówkami, a nie wytyczaniem zasad, “biorąc pod uwagę szybkie tempo zmian w przemyśle, jednoczesną presję na innowacje oraz ewolucyjny charakter zagrożeń cybernetycznych, w tym między innymi intencje podmiotów”, stwierdził.

Przemysł “nie powinien przechodzić z miejsca na miejsce do szczególnego stanu gotowości, który może mieć niezamierzone skutki w postaci stworzenia dużej skali i powszechnej podatności na zagrożenia, które mogłyby zostać wykorzystane przez złe podmioty”, stwierdził DeMarco. “Krótko mówiąc, środowisko nadzorcze nie chce nieumyślnie udaremniać pomysłowości i rozwiązywania problemów, jakie wnoszą różni uczestnicy sektora poprzez nakazowe, by-rotechniczne podejście do upowszechniania wzmocnionych norm”.

Powiązany artykuł:

AICPA ustala kryteria zarządzania ryzykiem w zakresie bezpieczeństwa cybernetycznego