Время прочтения: 5 мин.

Риски, связанные с данными и аналитикой, являются основными проблемами руководителей аудиторских компаний (CAEs), согласно данным фирмы Гартнер. Кибербезопасность занимает первое место в этом списке, далее следует непосредственное управление данными и риски, связанные с деятельностью третьих лиц. Список важных моментов аудита составлен на основе опроса 144 клиентов Гартнер. В компании говорят, что в перечне определены основные риски, которые необходимо учитывать советам директоров, аудиторским комитетам и руководителям в последующей деятельности.

Стремление к цифровизации бизнес-моделей для стимулирования роста компаний привело к увеличению объема данных, собираемых и обрабатываемых предприятиями в то время, когда общественный и регуляторный контроль очень требователен к принципам их использования и хранения, говорит Гартнер. Это привело к повышенным рискам вокруг управления данными, за которыми необходимо внимательно следить.

Важными моментами являются:

  • Кибербезопасность
  • Управление данными
  • Взаимодействие со сторонними организациями
  • Конфиденциальность данных
  • Этика и добросовестность

«Компании сталкиваются с серьезными проблемами в надлежащем управлении данными, максимизации их ценности, которую они получают от данных, и соблюдении принципов фрагментированного регулирования данных», — уточнил Малькольм Мюррей, вице-президент по исследованиям в области аудита компании Гартнер. «Недавние громкие нарушения использования данных и повышенное общественное внимание к данной проблеме подняли ставки осуществления деятельности, и это только ужесточается в 2019 году».

Рассмотрим расшифровку основных рисков для данных и аналитики на 2019 год:

Управление данными: новые правила конфиденциальности данных, такие как общие правила защиты данных ЕС (GDPR – общий регламент по защите персональных данных – прим. перев.) и громкие нарушения по работе с данными расширили финансовые и репутационные риски использования и защиты данных. Хотя для повышения эффективности и конкурентоспособности необходимы бизнес-стратегии, основанные на использовании данных, лишь в 37 процентах организаций существуют официальные структуры управления данными.

По мере увеличения сложности и объема данных компании должны внедрять формальные структуры управления данными, советует Гартнер, чтобы снизить риски, вызванные угрозами безопасности и проблемами конфиденциальности. Компании могут разработать рамочную основу, сначала создав инвентаризацию активов данных в рамках всей компании и установив политику классификации данных. Кроме того, они должны пересмотреть систему обучения работы с данными.

Сторонние организации: поскольку компании все больше полагаются на партнерские отношения в цифровых проектах, они расширяют свою зависимость от сторонней (третьей) организации, а также от четвертой и пятой сторон в проектах, если не на еще большем уровне. Это усиливает подверженность операционному и регуляторному риску. Почти 70 процентов руководителей сообщают о риске использования данных сторонними организациями, как об одной из своих главных проблем.

Чтобы помочь снизить этот риск, организации должны повысить прозрачность операций сторонних организаций и усилить свое внимание к их поведению в области информационной безопасности. Группы внутреннего аудита могут помочь, оценив сторонние контракты и условия по соблюдению заявленных требований контрактов, говорит Гартнер, а также исследуя нормативные требования в части обработки данных третьих лиц.

Конфиденциальность данных: хотя данные могут предоставлять их владельцу конкурентные преимущества, недавние громкие нарушения безопасности показывают негативное влияние сбоев в соблюдении конфиденциальности данных. На самом деле, конфиденциальность данных является главной заботой для организаций. Такие компании, как Yahoo, Facebook*, Equifax, Uber и многие другие, слишком хорошо знают, насколько разрушительными могут быть такие нарушения для их бизнеса.

В ответ на неопределенность правоприменительной практики GDPR компании должны ускорить выполнение мандатов GDPR — таких как прозрачность, отчетность о нарушениях — или рисковать, получать регуляторные штрафы и другие санкции. Организации также должны предпринимать шаги для восстановления доверия клиентов или же неизбежно понести потенциальную потерю клиентов. Гартнер прогнозирует, что более половины компаний, затронутых GDPR, не будут полностью соответствовать ему к концу 2018 года.

«Риски, связанные с данными, продолжают развиваться, и руководители аудиторских компаний должны играть ключевую роль в оказании помощи организациям в реализации четких рамок и процессов для навигации по этому постоянно меняющемуся ландшафту угроз»,- сказал Мюррей из Гартнер.

Другая, нетехническая область риска, включенная в список важных моментов аудита Гартнер, — это этика, которая, по словам фирмы, является эволюцией культуры компании.

«Корпоративная культура и этика в последние годы стали предметом внимания прессы. Эти вопросы становятся все более сложными, поскольку организации начинают фокусироваться на социальных и цифровых аспектах осуществления деятельности», — говорится в докладе. «Советы директоров и высшее руководство чувствуют себя все более комфортно, делая публичные заявления, отражающие корпоративную этику, но они должны добиться большего прогресса в управлении рисками. Неспособность улучшить ситуацию в этом аспекте может подвергнуть организации правовому и нормативному риску, снизить производительность и нанести ущерб репутации».

Согласно отчету, 40 процентов руководителей говорят, что они определенно планируют включить культуру и этику в аудиторскую деятельность в ближайшие 12-18 месяцев. Тем не менее, внутренние аудиторы должны внести некоторые изменения в проведение таких ревизий. Более четверти респондентов (27%) говорят, что они не уверены в способности внутреннего аудита к аудиту культуры, и еще 28% говорят, что они только в некоторой степени уверены.

Хотя технологические риски, отраженные в докладе, безусловно, являются важными областями риска для компаний, которые необходимо отслеживать, существует несколько других перечней и анализ проблем внутренней ревизии, которые могут быть использованы для проведения аудита в организации. Некоторые из общих тем этих докладов состоят в том, что внутренняя ревизия по-прежнему весьма озабочена приобретением необходимых навыков, включая навыки анализа данных; усилением регулирования; и реагированием на нарушения.  Недавние исследования и доклады также свидетельствуют о том, что внутренний аудит медленно охватывает технологические процессы компании и что он, как представляется, пока испытывает определенные  трудности, когда речь заходит о ревизии сложных и новых технологических областей.

Оригинал статьи: https://internalaudit360.com/tech-risks-crowd-audit-plan-hot-spots-for-2019/

* — Признана экстремистской организацией и запрещена на территории Российской Федерации