Институт внутренних аудиторов (IIA) прокомментировал выпуск Комиссией по ценным бумагам и биржам США (SEC) окончательного правила по управлению рисками кибербезопасности, отметив положительные моменты. связанные с большей прозрачностью и подотчетностью. Об этом сообщает CPA Practice Advisor.
Напомним, что ранее SEC были выпущены требования, касающиеся раскрытия компаниями информации о кибератаках.
После публикации в начале 2022 года проекта правила SEC IIA направил письмо с комментариями, в котором потребовал большей ясности в некоторых положениях правил. Письмо с комментариями IIA несколько раз цитируется в пояснительном документе, сопровождающем правило, хотя не все запросы института были учтены.
Последнее правило «Управление рисками кибербезопасности, стратегия, управление и раскрытие информации об инцидентах» требует большей прозрачности, когда организации подвергаются кибератакам. Это также усиливает подотчетность публичных компаний по снижению рисков кибербезопасности, среди прочего, требуя:
– раскрытия любого существенного инцидент, связанного с кибербезопасностью, и описание характера, масштаба и времени инцидента, а также любое существенное влияние на компанию.
– раскрыть информацию в течение четырех рабочих дней, но срок может быть пересмотрен, если генеральный прокурор США решит, что инцидент представляет угрозу для национальной безопасности.
– раскрытия «процессов» оценки, выявления и управления существенными рисками, связанными с угрозами кибербезопасности;
– раскрытия описание надзора совета директоров за рисками кибербезопасности и роли руководства в оценке и управлении существенными рисками, связанными с угрозами кибербезопасности.
«Внутренние аудиторы играли ведущую роль в выявлении и устранении угроз кибербезопасности до тех пор, пока вопросы кибербезопасности были в центре внимания советов директоров, комитетов по аудиту и высшего руководства. Это проблема, которую профессионалы знают невероятно хорошо», – сказал президент и главный исполнительный директор IIA Энтони Пульезе.
«Хотя мы рады, что некоторые из вопросов, которые мы подняли в нашем письме с комментариями, были учтены в окончательном варианте правил, мы намерены продолжить работу с SEC по разработке руководства по внедрению, которое решит другие проблемы».
Среди остающихся проблем IIA – обязанность руководства по определению существенности киберинцидента, а также дальнейшее определение термина «кибербезопасность».
IIA настаивает на том, что большую выгоду для инвесторов будет иметь правильно обозначенная функция внутреннего аудита, обеспечивающая независимую уверенность совета директоров в отношении управления рисками кибербезопасности.
Исследование IIA 2023 Pulse показало, что проблемы кибербезопасности возглавляют список угроз, с которыми сталкиваются публичные компании: 98% считают это риском, а 74% заявляют, что этот риск высокий или очень высокий.
Согласно новому правилу SEC, теперь ожидается, что советы директоров будут осуществлять надзор за процессами управления рисками кибербезопасности. Кроме того, этот надзор должен быть раскрыт в годовых отчетах компании в будущем.
«Правило SEC подчеркивает важность совместной работы советов директоров и руководства с внутренним аудитом, чтобы обеспечить эффективное управление и контроль для снижения рисков, связанных с угрозами кибербезопасности», – добавил Пульезе.
