________________
نظارت بر امنیت سایبری مسئولیت اصلی هیأت مدیره است و حتی قبل از همهگیری ویروس کووید 19 نگرانی بسیاری برای شرکتها ایجاد میكرد، اما اكنون كه بسیاری از سازمانها به طور ناگهانی مجبور شدند وضعیتشان را به کار از راه دور تغییر دهند، این نگرانی بیشتر جلوه كرده است. شكاف در دادهها و سایر تهدیدات سایبری موقعیت رقابتی، اعتبار و ریسكهای دعاوی حقوقی را بهشدت تحت تاثیر قرار میدهد و جلوگیری، شناسایی و پاسخگویی به آنها، به سرمایه گذاریهای هنگفت نیاز دارد. تغییرات محیطی در نتیجهی همهگیری ویروس كووید 19 ریسكهای جدیدی ایجاد کرده است که باید با نظارت هیأت مدیره، مدیریت شوند.
با توجه به نظر اکثر کارشناسان، تخلف سایبری اجتنابناپذیر است، ریسك سایبری باید بخشی از نظارت کلی هیأت مدیره بر ریسک باشد. این را به خاطر بسپارید که برای داشتن نقشی مؤثر در نظارت بر ریسک سایبری، نیازی نیست که مدیران كارشناس فناوری باشند. هر هیأت مدیرهای میتواند از فرصت استفاده کرده و اثربخشی اقدامات نظارت سایبری خود را بهبود بخشد.
هیأت مدیره باید سوالات عمومی زیر را برای درک ریسك امنیت سایبری مطرح کند:
• پنج ریسك اصلی امنیت سایبری سازمان چیست؟
• چگونه این ریسكها را مدیریت میکنیم؟
• راهبری امنیتی چگونه مدیریت میشود؟
• آیا در صورت نقض جدی، مدیریت یک پروتکل واکنشی قوی ایجاد کرده است؟
هیأت مدیره همچنین باید سؤالات زیر را در رابطه با فناوری و همهگیری ویروس كووید 19 مطرح کند که به چهار دسته تقسیم شدهاند: تعهدات، کار كردن از راه دور، انطباق و برنامهها.
تعهدات:
شرکت (و هیأت مدیره) چه میزان اطمینان دارد که علیرغم اختلال ایجاد شده برای كاركنان و فناوری به دلیل شیوع بیماری، تعهدات فناوری - محور به درستی انجام می شوند؟
کار كردن از راه دور:
با توجه به کار کردن کاركنان و پیمانکاران شركت از راه دور، چگونه شرکت امنیت اطلاعات را تأمین میکند؟
آیا شرکت برای کار از راه دور، امنیت محیط كار از راه دور را فراهم كرده است؟
انطباق:
چگونه شرکت مطابقت خود با الزامات قانونی و نظارتی را حفظ و اعتباربخشی میکند؟
برنامهها:
برنامههای شرکت برای «بدترین حالت» در حوادث یا اتفاقات مربوط به همهگیری ویروس چیست؟ آیا تمرینات شبیهسازی انجام شده است؟( فعالیتی است که در آن پرسنل کلیدی که وظایف و مسئولیتهای مدیریت بحران را بر عهده دارند، دور هم جمع میشوند تا در شرایط امن، در مورد شرایط اضطراری شبیهسازی شده مختلف بحث کنند).
این شرکت چه معیارهای جدیدی را برای هیأت مدیره جهت نظارت بر ریسكها از جمله توانایی ادامهی فعالیت شرکت در نظر گرفته است؟ آیا ابزارهای ارتباطی مناسب برای موارد اختلال غیر منتظره در دسترس هستند؟
این شرکت چگونه برای آماده سازی خود در موقعیتهایی مانند شرایط اخیر یا موقعیتهای دیگران در صنعت خود، آموزش دیده است؟
چه تغییراتی در برنامهریزی سناریوها برای بهبود انعطاف پذیری شرکت در آینده باید ایجاد شود؟
برای مدیریت ریسک در آینده آیا منابع مناسبی از جمله بودجه و پرسنل اختصاص داده شده است؟
نقش گسترده برای هیأت مدیره
انجمن ملی راهبری شركتی دو نقش اساسی را برای هیأت مدیرههای شرکتها تعریف کرده است،(1) « نظارت بر مدیریت از طرف سهامداران و سایر هیأتهای مؤسس» و (2) « مشاورهی مدیریت، البته با مشارکت محدود در عملیات روزمرهی شرکت». در زمان همهگیری ویروس كرونا، هیأت مدیره مسئول ارائهی مشاوره بر اساس تجربیات گذشته، در سراسر صنایع و ارائهی مشاوره بر اساس تجربیات فعلی در سراسر سازمان است. برای حمایت از این مسئولیت گسترده، هیأت مدیره مسئول موارد زیر است:
• افزودن مدیرانی برای نظارت بر ریسكهای نوظهور فناوری به دلایلی همچون، امکان کار کردن از راه دور
• ایجاد کمیتهی فناوری و امنیت سایبری برای کار با تیم مدیریت بحران شرکت در شرایط كرونا
• درخواست جلسات تخصصی فناوری و ملاحظات امنیت سایبری برای مدیریت شرایط در زمان شیوع ویروس همهگیر.
• داشتن ذهن پرسشگر پیرامون مسائل امنیتی و فناوری در زنجیرهی تأمین.
نقش شرکت
در بحثهای هیأت مدیره، شرکت نیز مسئولیتهایی دارد. در اینجا برخی از موارد مرتبط با فناوری وجود دارد که شركت باید آنها را با هیأت مدیره مطرح کند.
شرکتها باید آماده باشند تا آنچه را از گذشته آموختهاند برای هیأت مدیره شرح دهند، تمرینات شبیه سازی و برنامهریزی برای سناریوهای متنوع را انجام دهند، در صورت لزوم برنامههای استراتژیک خود را به روز کنند و در مواجهه با تغییرات و چالشهای جدید آماده باشند.
شرکتها باید برای «شرایط عادی آتی» برنامههای استراتژیک داشته باشند و برای برنامهریزی سناریو موارد زیر را مدنظر قرار دهند:
چه کسی:
• برنامهریزی برای جایگزینی كاركنان كلیدی
• تعهداتی که برای مشتریان و الزامات نظارتی وجود دارند مانند امنیت، در دسترس بودن، رازداری و انطباق.
• وابستگی تأمین كنندهی اصلی، شركای تجاری و خدمات سازمان به فناوری و تعهدات امنیتی (با علم بر این که برونسپاری مسئولیت پاسخگویی شرکت را از بین نمیبرد).
چه چیزی:
• چرخش کاركنان و در دسترس نبودن پیمانکار.
• در دسترس نبودن زنجیرهی تأمین فعال.
• در دسترس نبودن امكانات اضطراری
• ورشکستگی مشتری یا شكست زنجیرهی تأمین یا سایر مسائل مربوط به توانایی تداوم فعالیت.
• فناوری و تعهدات وابسته به فناوری که از طریق قراردادها یا سایر توافق نامهها ایجاد شده است.
سپس، شرکتها باید آمادهی پاسخگویی به سوالات مربوط به موارد ذکر شده در بالا باشند.
دركنار داشتن استراتژی کلی و برنامهریزی سناریو، فناوری عامل موفقیت است. رهبران فناوری مانند مدیر ارشد اطلاعات و رئیس امنیت اطلاعات باید ریسكهای امنیت سایبری را به هیأت مدیره منتقل کنند.
این موضوع بیشتر از اینکه علم باشد، هنر است. رهبران فناوری نباید در دام ارائهی جزئیات فنی دربارهی آسیب پذیریها قرار بگیرند. در عوض، آنها باید برای بحث در مورد مسائل مربوط به ریسكهای تجاری و گزینههایی که شرکت برای مدیریت ریسكها در اختیار دارد، آماده شوند تا مدیران و هیأت مدیره بتوانند تصمیم بگیرند.
به عنوان مثال، برای حفظ رقابت و تداوم فعالیت كسب و كار خود، باید قادر باشیم در هر زمان و هر مکان در زمینهی مسائل مربوط به مشتری ورود پیدا كرده و مشاركت كنیم و برای تحقق چنین امری، سه گزینه در اختیارداریم:
گزینهی الف: کاری نکنیم.
گزینهی ب: برای رفع ریسكهای مربوط به امنیت، انطباق، حفظ اطلاعات و غیره، یک راه حل ابری پیاده سازی کنیم.
گزینهی پ: برای حمایت از تعهدات قانونی، نظارتی و مدیریت ریسک، یک راه حل ابری پیاده سازی کنیم یا پیشرفتهای امنیتی مانند احراز هویت چند عاملی، رمزگذاری برای ارتباط با مشتری و پشتیبانگیری از منابع برای بازیابی سریعتر را پیاده سازی کنیم.
ملاحظات کمیتهی حسابرسی برای نظارت بر مسئولیتهای حسابرس
در پایان، حسابرسان مستقل نیز برای نظارت بر فعالیتهای هیأت مدیره و بررسی صورتجلسات مسئولیت دارند. این نظارت شامل ارزیابی ریسکهای بررسی شده، ارزیابی برنامههای استراتژیک تدوین شده و سناریوهای برنامهریزی شده است. حسابرسان مستقل باید بر افشای عمومی در مورد همهگیری و تأثیر کلی آن بر واحد گزارشگر و موضوعات زیر تمركز نمایند:
• کاهش ارزش دارایی
• تداوم فعالیت
• استفاده از برآوردها
• امتیازات اجاره
• تجدید ساختار
• استفاده از برنامهی وامهای پرداخت حقوق و دستمزد و وامهای حمایتی دولت برای آسیبهای اقتصادی ویروس همهگیر به كسب و كارهای تجاری
• مالیات بر درآمد و
• رویدادهای پس از تاریخ ترازنامه
نقش اصلی راهبری
راهبری هیأت مدیره موضوع حیاتی است و باید در واکنش به همهگیر ویروس كووید 19 به تکامل خود ادامه دهد. فناوری و امنیت حوزههای اساسی برای نظارت بر موفقیت شرکت هستند. محافظت از اطلاعات سازمانی در حال حاضر مهمترین و همچون گذشته پیچیدهترین مسئله است.
www.journalofaccountancy.com، 18 سپتامبر 2020