Согласно отчету SEC (Securities and Exchange Commission), риски кибер-безопасности представляют серьезную угрозу для инвесторов и рынков капитала, что актуализирует вопрос о наличии надежных процедур систематизации информации для точного и своевременного раскрытия кибер-угроз. Проблема заключается в выборе или создании службы, ответственной за контроль над хакерскими атаками.

Кибер-структуры корпоративного управления

Многие компании настаивают на том, что надзор за кибер-безопасностью должен возлагаться на комитеты по аудиту ввиду наличия стандартов SEC. Правда, некоторые советы директоров выражают сомнения насчет указанной прерогативы, поскольку кибер-риски часто выходят за рамки финансовой отчетности. С учетом многообразия рисковых ситуаций, отраслей, размеров организации и операционных моделей, формирование комитетов по кибер-безопасности набирает популярность.

В отчете SEC приведен перечень из 12 компаний, которые уже создали комитеты по кибер-безопасности, лишив этой функции технологические департаменты, IT-отделы и комитеты по оценке рисков (Пресс-релиз «Public Company Cybersecurity» для SEC, 2018):

  • Фирма Calix, Inc предоставила информацию об обязанностях нового отдела, а именно: контроль угроз в социальных сетях, проведение совещаний по вопросам кибер-атак, разработка и внедрение программ защиты данных, снижение рисков взлома системы компании, а также нарушений при использовании оборудования корпорации. Функции комитета по кибер-безопасности занесены в устав компании и изложены на корпоративном веб-сайте.
  • General Motors (GM) отметил ключевую ответственность созданного комитета за утечку конфиденциальной информации, данных в электронном формате, нарушение интеллектуальной собственности и кражу разработок, связанных с продуктами корпорации и ее экосистемой.

Характерно, что компании в большинстве признают необходимость создания независимого надзора за кибер-рисками как адекватного ответа руководства на увеличение масштабов угроз. Т.е. налицо тенденция к возрастанию ответственности за контроль над деятельностью комитетов со стороны членов правления, поскольку 5 из 12 заявленных компаний создали свои комитеты по кибер-безопасности в течение прошлого года.

Для успешной и эффективной работы комитеты по кибер-безопасности должны обладать независимостью. Многие инвесторы поручают руководителям таких отделов действовать исключительно от их имени. Из 12 комитетов по кибер-безопасности 10 являются постоянными отделами при совете директоров, состоящими исключительно из независимых руководителей. Интересно, что 6 из 12 компаний, стоящих в авангарде создания комитетов по кибер-безопасности, работают в сфере технологий. Возможно, они видят необходимость в специальном отделе более четко, чем предприятия иной сферы.

Перегруженность аудиторов

Несмотря на усиление тенденции создания комитетов по кибер-безопасности, существует компромисс между распределением обязанностей в имеющихся отделах аудита и формированием новой структурной единицы. Суть реформирования заключается в централизации подотчетности в пределах одного комитета. При этом функции совета директоров должны быть систематизированы и дополнены по мере производственной необходимости, поскольку все директора имеют равные фидуциарные обязанности.

Роль комитета по аудиту изменилась, особенно для публичных компаний, благодаря Акту Сарбейнса-Оксли 2002 года (SOX). SOX поднял планку для аудиторов в контексте обеспечения качественного внутреннего контроля над показателями финансовой отчетности, назначения независимых внешних аудиторов, проведения экспертизы деятельности членов правления и независимости директоров. Хотя многие советы директоров, как правило, делегируют указанные надзорные функции комитету по аудиту, делегирование управления рисками предприятия (ERM), включая кибер-угрозы, должно быть тщательно взвешено при принятии окончательного решения.

Тревогу вызывает объем рабочей нагрузки аудиторских отделов. Так, У. Брикер заявляет: «Несмотря на то, что комитеты по аудиту оснащены необходимым инструментарием для контроля рисков, выходящих за рамки финансовой отчетности, в том числе кибер-угроз, я считаю, что аудиторам важно не терять ориентацию на свои основные роли и обязанности» (Статья «Advancing the Role and Effectiveness of Audit Committees» для SEC, 2017).

Объем и сложность задач являются ключевыми факторами для принятия решения об изменении структуры управления. Конечно, с ростом рисков кибер-безопасности независимый надзор должен стать приоритетом для компаний. GM сообщил, что совет директоров рассматривает сформированный комитет по кибер-безопасности в качестве критически важного актива, способного реагировать на возросшие риски с помощью своевременной оценки потенциальных угроз, а также профилактических и детективных мер контроля.

Роль правления

Если для комитетов по аудиту важно иметь в составе директоров, разбирающихся в финансовой отчетности, для решения вопросов кибер-безопасности следует привлекать экспертов, обладающих знаниями в области IT и защиты данных. Членам правления также рекомендуется рассматривать кибер-риски в качестве вопроса ERM, а не только как технологическую проблему. Оценивание рисков, связанных с кибер-безопасностью, через призму ERM поможет форсировать взаимный обмен информацией между текущими операциями, составлением отчетов и соответствием регуляторным нормам.

В опросе PwC, в котором приняли участие 9500 руководителей, только 44% респондентов заявили, что их советы активно участвуют в разработке общей стратегии безопасности компаний (Пресс-релиз «2018 Global State of Information Security Survey» для PwC, 2017). В случае непонимания директорами особенностей технологий и языка, связанного с кибернетическими рисками, руководителям трудно внести значимый вклад в решение проблемы кибер-безопасности. Проактивное реагирование на кибер-атаки поможет снизить риски потери доходов, сбоев в работе, неблагоприятных судебных процессов и ущерба репутации компании. В то время как генеральный директор отвечает за функционирование ERM, включая кибер-угрозы, руководители департаментов должны рассмотреть возможность независимого надзора на уровне совета за безопасностью данных.

Таким образом, формирование отдельных комитетов по кибер-безопасности или разделение соответствующих обязанностей между существующими единицами остается на усмотрение руководства компании. Тем не менее, ключевые функции в указанной области должны быть зафиксированы на уровне совета директоров для демонстрации актуальности защиты, что особенно ценится акционерами компании. Главный вопрос состоит не в том, готова ли компания к хакерским атакам, а в том, имеются ли убедительные доказательства активной работы правления для предотвращения подобных инцидентов.

 

Источник:

https://www.corporatecomplianceinsights.com/governing-cybersecurity-cybersecurity-committees-rise/

Читайте также: