Время прочтения: 4 мин.

«Мы знаем, что некоторые аудиторы фокусируются на кибербезопасности направленно и предпринимают шаги, чтобы учитывать киберугрозы при оценке рисков существенного искажения в финансовой отчетности публичных компаний», — сказала она на конференции по финансовой отчетности в Baruch College в Нью-Йорке. «Независимо от того, произошел ли кибер-инцидент во время процесса планирования, аудитор должен выполнить оценку риска, и я считаю, что оценка должна учитывать любые риски кибербезопасности, которые могут оказать существенное влияние на финансовую отчетность компании».

Хэмм напомнила о нарушении данных в Yahoo, которое произошло в 2014 году, когда компания первоначально сообщила об этом лишь в 2016 году и сказала, что оно затронуло по меньшей мере 500 миллионов учетных записей пользователей, а затем увеличило оценку до примерно 1 миллиарда учетных записей. Затем в 2017 году Verizon, который приобрел Yahoo, признал, что нарушение данных затронуло 3 миллиарда учетных записей, или практически каждого из его пользователей. В прошлом году Комиссия по ценным бумагам и биржам наложила штраф в 35 миллионов долларов на холдинговую компанию Yahoo Altaba за неспособность полностью раскрыть нарушение данных.

Хэмм отметила, что она говорит от своего имени и не выражает точку зрения PCAOB в целом — но у нее есть ряд рекомендаций относительно того, что должны делать аудиторы.

     «Если аудитор определяет риск, связанный с кибербезопасностью, который может оказать существенное влияние на финансовую отчетность компании, аудитор должен затем разработать и выполнить процедуры для устранения этих рисков», — сказала она. «Для интегрированного аудита эта работа будет включать тестирование соответствующих средств контроля. 

       Чтобы начать оценку риска, аудитор должен получить представление о компании и ее внешней и внутренней среде. Это понимание, конечно, включает в себя ИТ-системы компании, относящиеся к финансовой отчетности, а также любые связанные с ними подсистемы. Это также включает понимание потенциальных точек доступа в эти системы, а также логическое управление доступом к системам. 

         В рамках оценки риска, я считаю, что аудитор должен также понимать методы, используемые компанией для предотвращения и обнаружения киберинцидентов, которые могут оказать существенное влияние на финансовую отчетность, процессы компании, которые могут блокировать и выявлять попытки несанкционированных транзакций или доступа к активам, а также ознакомление сотрудников с этими процессами. Другие области внимания должны включать процессы компании по оценке и устранению существенных киберинцидентов после их выявления. Это включает в себя, например, понимание того, как компания обеспечивает своевременную оценку и отчетность о существенных инцидентах. А также информацию о том, как компания обеспечивает надлежащую эскалацию работы совета директоров и своевременное рассмотрение обязательств перед инвесторами и другими лицами». 

          Хэмм полагает, что аудиторы также должны знать об уязвимостях, которые могут существовать в цепочке поставок клиента, в действиях сотрудников и клиентской базе. «При проведении этих оценок рисков я призываю аудиторов мыслить широко», — сказала она. «Зачем? По мере того, как компании становятся все более цифровыми, связанными со своими поставщиками, клиентами и сотрудниками, потенциальные точки входа и поверхности атак увеличиваются. Мы также знаем, что субъекты угроз обычно выбирают самую слабую ссылку для входа: веб-сайт и учетную запись электронной почты. И как только они оказываются внутри, субъекты угроз, как правило, стремятся перемещаться вбок по всей ИТ-архитектуре организации, стремясь получить доступ к системам, которые они могут использовать. В результате аудитор должен четко осознавать риски, с которыми злоумышленники могут действовать под видом законных пользователей».

Кэтлин Хэмм призвала аудиторов скептически относиться, даже если их клиенты еще не обнаружили взлом данных. «Даже если какой-то конкретный киберинцидент не был идентифицирован, для аудитора важно оставаться профессионально скептически настроенным», — сказала она. «Зачем? Согласно недавнему исследованию, среднее время выявления нарушения составляет 196 дней — более шести месяцев. Поэтому существует реальная возможность того, что нарушение имело место и еще не было выявлено или раскрыто».

Она дала несколько советов о том, что должны делать аудиторы при обнаружении атаки. «Какова ответственность аудитора, если в компании произошел киберинцидент? Конечно, аудитор должен оценить опасность и степень нарушения, включая то, что было украдено, изменено или уничтожено », — сказала она. «Аудитор также должен учитывать ожидаемое влияние нарушения на деятельность компании. Вооружившись этой информацией, аудитор должен рассмотреть финансовую отчетность и финансовые последствия нарушения. … Кроме того, аудитор должен также оценить, произошел ли инцидент из-за недостатка внутреннего контроля компании за финансовой отчетностью и внедрила ли компания процедуры для предотвращения подобных будущих инцидентов».

Необходимость быть бдительным сохраняется на протяжении всего процесса аудита: «Если во время проверки аудитор получает информацию о киберинциденте, то он должен оценить, как влияет это на данную ранее оценку риска», — сказала она. «Независимо от влияния на оценку риска, аудитор должен будет документировать соответствующие соображения о киберинциденте. И даже когда киберинцидент может показаться несущественным для финансовой отчетности, аудитор должен убедиться, что информация доведена до аудиторского комитета компании».     

Ссылка на оригинальную статью. (Автор Майкл Кон. Опубликована 02.05.2019)