Meldplicht datalekken
Sinds 1-1-2016 moeten alle bedrijven datalekken melden aan de Autoriteit Persoonsgegevens en in bepaalde gevallen ook aan betrokkenen. De impact voor uw organisatie kan groot zijn. De IT-auditor helpt u de gevolgen van wetgeving voor u in kaart te brengen en de impact van de meldplicht te beheersen.
Voor meer informatie neem contact op met Marcel Woltjes en lees er meer over op onze aparte pagina.
OPINIE: Internal audit moeite met het verwerken van cybercrime bedreigingen
Vertrouwen op de technische specialist of de awareness acties van financials gaan cyber security risico’s niet meer voorkomen. Misschien is wel het moment gekomen om dergelijke risico’s te accepteren, maar wel in de tussentijd klaar te zijn om na het gevecht zo snel mogelijk weer operationeel te zijn met minimale schade.
De toenemende dreiging van cyber security risico’s zorgen dat bedrijven en instellingen steeds vaker een beroep doen op professionals die voorheen niet bekend stonden om hun rol in het voorkomen van cyber security dreigingen zoals bijvoorbeeld ook de Internal Auditor. De verwachting is dat de nieuwe lichting internal auditors meer vaardigheden zullen bezitten op dit gebied. Maar wat zijn die vaardigheden dan en welke impact hebben ze?
Geschiedenis
Tot voor kort was cyber security een thema dat dominant beheerst werd door ICT security specialisten en IT Auditors. Maar de geschiedenis leert dat alléén het gevecht op het technische slagveld onvoldoende is en daardoor ook steeds meer als een niet effectieve strategie wordt gezien. Immers recente berichten uit de internationale media benadrukken dat de criminele technische mogelijkheden dusdanig vooruit lopen op de beschermingsmiddelen, dat weerbaarheid ook op andere niveaus moet worden georganiseerd. Hier spelen proces beheersing en cultuur inzicht een steeds meer dominante rol. Dit is bekend terrein voor de moderne internal auditor.
Link met Internal Audit
Natuurlijk maakt óók de internal auditor gebruik van technologie die hem bijvoorbeeld ondersteunt in het toezicht houden op transacties en vastlegging op dagelijkse basis. Deze zijn onderdeel van een efficiënte en kosten effectieve manier om deze informatie automatisch te analyseren, structureren en prioriteren.
Alleen vasthouden aan de ‘oude’ principes zoals Bestuurlijke Informatieverzorging van Starreveld gaat het niet meer redden. Immers de fundamenten (general controls) van de vertrouwensbasis van elektronische data zijn aangetast, kwaliteit en plausibiliteit van data staan ter discussie.
Uitdaging
Veel voorkomende aanvallen richten zich specifiek op geselecteerde individuen binnen of in vertrouwde relatie tot de organisaties waar de aanvaller op mikt (spear phishing). Middels speciale software (malware) wordt op kundige wijze de technische bescherming omzeilt om het doel te bereiken. Deze phishing of social engineering technieken zijn vaak gericht op het verkrijgen van de toegangsrechten of sensitieve informatie onder valse voorwendselen van de onfortuinlijke medewerker. De internal auditor begrijpt dat deze unieke uitdagingen ook specifieke preventie activiteiten vragen, die niet allemaal zijn gerelateerd aan techniek.
Benodigde vaardigheden
Naast de technologische bescherming richt de internal auditor zich op de weerbaarheid (resilience) van de organisatie. Deze wordt via educatie en bewustwording programma’s geholpen risico’s tijdig (zelf) te onderkennen en, indien mogelijk, te mitigeren. De internal auditor legt hierbij ook de link met de betreffende stafafdelingen aan de ene kant en directie en audit committee aan de andere kant. De directie en audit committee spelen een essentiële rol bij het toezicht op de voorbereiding, en reactie op, cyber security dreigingen en de bijbehorende regelgevende en zakelijke ontwikkelingen. Deze vaardigheden van de internal auditor zijn nu essentieel om de weerbaarheid van organisaties te verhogen. Het gaat niet van zelf, het kost bloed, zweet en tranen maar zonder inspanning geen vooruitgang: Luctor et Emergo- (ik worstel en kom boven).
Ik roep internal auditors op om actief de verbinding te zoeken met andere disciplines om zijn of haar stempel te drukken op dit vakgebied.
Dit blog is oorspronkelijk geplaatst op E-Dialogue opgesteld door Marcel Woltjes, lid van de Advocacy Network van het IIA Nederland en Partner bij Orange Oaks . Het is een persoonlijke opinie van de schrijver en heeft niet direct betrekking op Orange Oaks.
Email: marcel.woltjes@orangeoaks.nl
Twitter: @Doclink
Column: Hoe kunt u de 5 goede voornemens van het IIA toepassen?!
Aangezien de voornemens voor veel internal auditors open deuren zullen zijn, vroeg ik me af hoe we internal auditors in het veld verder kunnen helpen met de 5 Goede voornemens van IIA President en CEO Richard Chambers. Opiniestukken zijn er immers reeds voldoende kwalitatief voorhanden, zoals bijvoorbeeld die van onze zeer gewaardeerde vakgenoot Arie Molenkamp. Zie ook zijn blog begin dit jaar.
Het leek me daarom waardevoller om praktische handvatten aan te reiken die collega internal auditors kunnen helpen om de goede voornemens in de dagelijkse praktijk te brengen. In een reeks van 5 bijdragen geven we daartoe vanuit Orange Oaks, kennispartner van internal audit afdelingen, een aanzet. Hieronder vindt u de eerste van deze vijf bijdragen.
1. Plan more and audit less.
Een goede (audit) planning is het halve werk. Een audit planning zou tot een betere focus moeten leiden. Ervaring leert dat daarvoor wel een doeltreffende (meer)jaarlijkse risicoanalyse uitgevoerd moet zijn met de stakeholders van de organisatie (RvC, RvB, externe belanghebbenden). Alleen een lijst met uit te voeren audits voor het jaarplan geeft onvoldoende richting aan de audits.
Daartoe faciliteert audit voor en samen met de stakeholder geledingen een analyse van de belangrijkste organisatiedoelstellingen en de daarmee samenhangende risico’s; tevens wordt bepaald welke organisatieonderdelen, processen en/of projecten significante impact hebben op de risico’s bij de organisatiedoelstellingen. Stakeholders geven tot slot hun inschatting van de risicohoogte. Deze informatie kan men vastleggen in diverse deeloverzichten die richting geven bij het bepalen van de individuele audits en de soorten audits (financiële verslaggeving, compliance, operational, e.d).
Aangezien de risico’s uit deze exercitie veelal een te hoog – lees strategisch – aggregatieniveau hebben voor een individuele audit, zal audit nog een vertaling moeten doen naar risico’s op een meer tactisch cq. operationeel niveau. Voordeel is wel dat de auditor daarna vrij makkelijk de audit doelstellingen voor een individuele audit of audit types kan afleiden. Tenslotte dient audit te bepalen welke audit procedures het meest effectief zijn om de beheersing bij elke doelstelling vast te stellen.
Bovenstaande levert een betere focus op van de in te plannen audit werkzaamheden. De ervaring leert dat dit de auditor helpt om keuzes te (durven!) maken. Tevens helpt het de auditor bij het bepalen van de relevantie en significantie van bevindingen voor de eindrapportage.
Wilt u bericht krijgen zodra de vier resterende bijdragen beschikbaar zijn? Klik dan hier. Bent u op zoek naar praktische hulpmiddelen voor internal audit? Blader dan door de andere artikelen (zie lijst aan de rechterkant) of kijk op ons Knowledge Center – Internal Audit Planning.
Wilt u liever persoonlijk sparren over internal audit vraagstukken? Neem dan contact op met Peter van Herwaarden. Voor een korte blik op onze internal audit dienstverlening klik hier.