تبلیغ شماره 1
بازگشت به پورتال مرکزی
صفحه اول > گروه اخبار ‏ > لحظه نگر حرفه حسابداری ‏ > حسابداری و حسابرسی ‏ > مشروح خبر
 
تاریخ: 1399/07/23

راهبری شرکت‌ها در زمانه‌ی کووید ١٩: ملاحظات امنیت سایبری و فناوری

نظارت بر امنیت سایبری مسئولیت اصلی هیأت مدیره است و حتی قبل از همه‌گیری ویروس کووید 19 نگرانی بسیاری برای شرکت‌ها ایجاد می‌کرد، اما اکنون که بسیاری از سازمان‌ها به طور ناگهانی مجبور شدند وضعیت‌شان را به کار از راه دور تغییر دهند، این نگرانی بیش‌تر جلوه کرده است.

به گزارش لحظه نگر حسمان به نقل از جامعه حسابداران رسمی ایران، شکاف در داده‌ها و سایر تهدیدات سایبری موقعیت رقابتی، اعتبار و ریسک‌های دعاوی حقوقی را به‌شدت تحت تاثیر قرار می‌دهد و جلوگیری، شناسایی و پاسخ‌گویی به آن‌ها، به سرمایه گذاری‌های هنگفت نیاز  دارد. تغییرات محیطی در نتیجه‌ی همه‌گیری ویروس کووید 19 ریسک‌های جدیدی ایجاد کرده است که باید با نظارت هیأت مدیره، مدیریت شوند.

 

گردش چند دقیقه ای:
مسیر خدمات مالی و حسابداری را مجازی طی کنید

 

با توجه به نظر اکثر کارشناسان، تخلف سایبری اجتناب‌ناپذیر است، ریسک سایبری باید بخشی از نظارت کلی هیأت مدیره بر ریسک باشد. این را به خاطر بسپارید که برای داشتن نقشی مؤثر در نظارت بر ریسک سایبری، نیازی نیست که مدیران کارشناس فناوری باشند. هر هیأت مدیره‌ای می‌تواند از فرصت استفاده کرده و اثربخشی اقدامات نظارت سایبری خود را بهبود بخشد. 

 


هیأت مدیره باید سوالات عمومی زیر را برای درک ریسک امنیت سایبری مطرح کند:
•         پنج ریسک اصلی امنیت سایبری سازمان‌ چیست؟
•         چگونه این ریسک‌ها را مدیریت می‌کنیم؟
•         راهبری امنیتی چگونه مدیریت می‌شود؟
•         آیا در صورت نقض جدی، مدیریت یک پروتکل واکنشی قوی ایجاد کرده است؟


هیأت مدیره همچنین باید سؤالات زیر را در رابطه با فناوری و همه‌گیری  ویروس کووید 19 مطرح کند که به چهار دسته تقسیم شده‌اند: تعهدات، کار کردن از راه دور، انطباق و برنامه‌ها.
تعهدات:


شرکت (و هیأت مدیره)  چه میزان اطمینان دارد که علی‌رغم اختلال ایجاد شده برای کارکنان و فناوری به دلیل شیوع بیماری، تعهدات فناوری - محور به درستی انجام می شوند؟
کار کردن از راه دور:
با توجه به کار کردن کارکنان و پیمانکاران شرکت از راه دور، چگونه شرکت امنیت اطلاعات را تأمین می‌کند؟
آیا شرکت برای کار از راه دور، امنیت محیط کار از راه دور را فراهم کرده است؟


انطباق:
چگونه شرکت مطابقت خود با الزامات قانونی و نظارتی را حفظ و اعتباربخشی می‌کند؟


برنامه‌ها: 
برنامه‌های شرکت برای «بدترین حالت» در حوادث یا اتفاقات مربوط به همه‌گیری ویروس چیست؟ آیا تمرینات شبیه‌سازی انجام شده است؟( فعالیتی است که در آن پرسنل کلیدی که وظایف و مسئولیت‌های مدیریت بحران را بر عهده دارند، دور هم جمع می‌شوند تا در شرایط امن، در مورد شرایط اضطراری شبیه‌سازی شده مختلف بحث کنند).


این شرکت چه معیارهای جدیدی را برای هیأت مدیره جهت نظارت بر ریسک‌ها از جمله توانایی ادامه‌ی فعالیت شرکت در نظر گرفته است؟ آیا ابزارهای ارتباطی مناسب برای موارد اختلال غیر منتظره در دسترس هستند؟
این شرکت چگونه برای آماده سازی خود در موقعیت‌هایی مانند شرایط اخیر یا موقعیت‌های دیگران در صنعت خود، آموزش دیده است؟
چه تغییراتی در برنامه‌ریزی سناریو‌ها برای بهبود انعطاف پذیری شرکت در آینده باید ایجاد شود؟
برای مدیریت ریسک در آینده آیا منابع مناسبی از جمله بودجه و پرسنل اختصاص داده شده است؟


نقش گسترده برای هیأت مدیره
انجمن ملی راهبری شرکتی دو نقش اساسی را برای هیأت مدیره‌های شرکت‌ها تعریف کرده است،(1) « نظارت بر مدیریت از طرف سهام‌داران و سایر هیأت‌های مؤسس» و (2) « مشاوره‌ی مدیریت، البته با مشارکت محدود در عملیات روزمره‌ی شرکت». در زمان همه‌گیری ویروس کرونا، هیأت مدیره مسئول ارائه‌ی مشاوره بر اساس تجربیات گذشته، در سراسر صنایع و ارائه‌ی مشاوره بر اساس تجربیات فعلی در سراسر سازمان است. برای حمایت از این مسئولیت گسترده، هیأت مدیره مسئول موارد زیر است:


•         افزودن مدیرانی برای نظارت بر ریسک‌های نوظهور فناوری به دلایلی همچون، امکان کار کردن از راه دور
•         ایجاد کمیته‌ی فناوری و امنیت سایبری برای کار با تیم‌ مدیریت بحران شرکت در شرایط کرونا
•         درخواست جلسات تخصصی فناوری و ملاحظات امنیت سایبری برای مدیریت شرایط در زمان شیوع ویروس همه‌گیر.
•         داشتن ذهن پرسش‌گر پیرامون مسائل امنیتی و فناوری در زنجیره‌ی تأمین. 


نقش شرکت
در بحث‌های هیأت مدیره، شرکت نیز مسئولیت‌هایی دارد. در این‌جا برخی از موارد مرتبط با فناوری وجود دارد که  شرکت باید آن‌ها را با هیأت مدیره مطرح کند.
شرکت‌ها باید آماده باشند تا آن‌چه را از گذشته آموخته‌اند برای هیأت مدیره شرح دهند، تمرینات شبیه سازی و برنامه‌ریزی برای سناریوهای متنوع را انجام دهند، در صورت لزوم برنامه‌های استراتژیک خود را به روز کنند و در مواجهه با تغییرات و چالش‌های جدید آماده باشند.


شرکت‌ها باید برای «شرایط عادی آتی» برنامه‌های استراتژیک داشته باشند و برای برنامه‌ریزی سناریو موارد زیر را مدنظر قرار دهند:
چه کسی:
•         برنامه‌ریزی برای جایگزینی کارکنان کلیدی 
•         تعهداتی که برای مشتریان و الزامات نظارتی وجود دارند مانند امنیت، در دسترس بودن، رازداری و انطباق.
•         وابستگی تأمین کننده‌ی اصلی، شرکای تجاری و خدمات سازمان به فناوری و تعهدات امنیتی (با علم بر این که برون‌سپاری مسئولیت پاسخ‌گویی شرکت را از بین نمی‌برد).


چه چیزی:
•         چرخش کارکنان و در دسترس نبودن پیمانکار.
•         در دسترس نبودن زنجیره‌ی تأمین فعال.
•         در دسترس نبودن امکانات اضطراری
•         ورشکستگی مشتری یا شکست زنجیره‌ی تأمین یا سایر مسائل مربوط به توانایی تداوم فعالیت.
•         فناوری و تعهدات وابسته به فناوری که از طریق قراردادها یا سایر توافق نامه‌ها ایجاد شده است.


سپس، شرکت‌ها باید آماده‌ی پاسخ‌گویی به سوالات مربوط به موارد ذکر شده در بالا باشند.
درکنار داشتن استراتژی کلی و برنامه‌ریزی سناریو، فناوری عامل موفقیت است. رهبران فناوری مانند مدیر ارشد اطلاعات و رئیس امنیت اطلاعات باید ریسک‌های امنیت سایبری را به هیأت مدیره منتقل کنند.


این موضوع بیش‌تر از این‌که علم باشد، هنر است. رهبران فناوری نباید در دام ارائه‌ی جزئیات فنی درباره‌ی آسیب پذیری‌ها قرار بگیرند. در عوض، آن‌ها باید برای بحث در مورد مسائل مربوط به ریسک‌های تجاری و گزینه‌هایی که شرکت برای مدیریت ریسک‌ها در اختیار دارد، آماده شوند تا مدیران و هیأت مدیره بتوانند تصمیم بگیرند.

 

به عنوان مثال، برای حفظ رقابت و تداوم فعالیت کسب و کار خود، باید قادر باشیم در هر زمان و هر مکان در زمینه‌ی مسائل مربوط به مشتری ورود پیدا کرده و مشارکت کنیم و برای تحقق چنین امری، سه گزینه در اختیارداریم:


گزینه‌ی الف: کاری نکنیم.
گزینه‌ی ب: برای رفع ریسک‌های مربوط به امنیت، انطباق، حفظ اطلاعات و غیره، یک راه حل ابری پیاده سازی کنیم.
گزینه‌ی پ: برای حمایت از تعهدات قانونی، نظارتی و مدیریت ریسک، یک راه حل ابری پیاده سازی کنیم یا پیشرفت‌های امنیتی مانند احراز هویت چند عاملی، رمزگذاری برای ارتباط با مشتری و پشتیبان‌گیری از منابع برای بازیابی سریع‌تر را پیاده سازی کنیم.


ملاحظات کمیته‌ی حسابرسی برای نظارت بر مسئولیت‌های حسابرس
در پایان، حسابرسان مستقل نیز برای نظارت بر فعالیت‌های هیأت‌ مدیره و بررسی صورتجلسات مسئولیت دارند. این نظارت شامل ارزیابی ریسک‌های بررسی شده، ارزیابی برنامه‌های استراتژیک تدوین شده و سناریوهای برنامه‌ریزی شده است. حسابرسان مستقل باید بر افشای عمومی در مورد همه‌گیری و تأثیر کلی آن بر واحد گزارشگر و موضوعات زیر تمرکز نمایند: 


• کاهش ارزش دارایی
• تداوم فعالیت
• استفاده از برآوردها 
• امتیازات اجاره
• تجدید ساختار


•   استفاده از برنامه‌ی وام‌های‌ پرداخت حقوق و دستمزد و وام‌های حمایتی دولت برای آسیب‌های اقتصادی ویروس همه‌گیر به کسب و کارهای تجاری
• مالیات بر درآمد و
• رویدادهای پس از تاریخ ترازنامه


نقش اصلی راهبری
راهبری هیأت مدیره موضوع حیاتی است و باید در واکنش به همه‌گیر ویروس کووید 19 به تکامل خود ادامه دهد. فناوری و امنیت حوزه‌های اساسی برای نظارت بر موفقیت شرکت هستند. محافظت از اطلاعات سازمانی در حال حاضر مهم‌ترین و همچون گذشته پیچیده‌ترین مسئله است.

 

 

مروری بر آخرین رویدادها

لحظه نگر حسابداری و حسابرسی

منبع خبر: جامعه حسابداران رسمی ایران
 
 

 

ثبت نام و عضویت میز کار

لینک های مفید

 

خدمات حَسمان
ارتقاء سواد مالی در حَسمان
خدمات ویژه حسابداران
ارتقاء حرفه ای در حَسمان
خدمات ویژه مدیران

 

 

 

دیدگاه کاربران

اخبار مرتبط

 

هدیه مالی تیم متفکران نوین مالی در شبکه اجتماعی
Web Analytics