محرکهای قرارگیری سازمان در معرض ریسکهای ناشی از «دیجیتالسازی، انقلاب چهارم صنعتی و اینترنت اشیا» و «رایانش ابری» و نقش و الزامات حسابرسی داخلی در پایش مستمر، رهگیری و مدیریت این ریسکها مورد بحث قرار گرفت. در این قسمت به بررسی دو موضوع دیگر از فهرست تشکیلدهنده «رادار ریسک» با عنوان ریسکهای ناشی از «قانون حفاظت از دادههای عمومی اتحادیه اروپا» و «امنیت سایبری» خواهیم پرداخت.
قبل از آن، توجه به این موضوع شایسته است که اگرچه برخی از این ریسکها، قوانینی را به بحث میگذارند که با قوانین و مقررات ناظر بر محیط فعالیت اقتصادی ایران متفاوت است، اما این موضوع از ضرورت پرداختن به آنها نمیکاهد. مدیران حسابرسی داخلی و سایر مسوولان پایش مستمر ریسک میتوانند مفاد قوانین حاکم بر ایران را جایگزین این قوانین کنند. لذا ماهیت و اهمیت موضوع بدون تغییر باقی خواهد ماند. همچنین، در صورت وقوع تغییرات گسترده در قوانین حوزههای مربوط در کشور، آگاهی از سازوکار اثربخش واکنش سازمانها به این تحولات میتواند راهنمای عمل مناسبی برای نحوه مدیریت این تغییرات بهدست دهد.
ریسک شماره ۳: قانون حفاظت از دادههای عمومی اتحادیه اروپا
• محرکها
از ماه میسال ۲۰۱۸، الف) سازمانهای مستقر در محدوده جغرافیایی اتحادیه اروپا و ب) سازمانهای خارج از مرزهای جغرافیایی این اتحادیه که اقدام به ارائه کالا و خدمات به کشورهای اتحادیه کرده یا بر رفتار دادههای مرتبط با اتحادیه اروپا، نظارت مستمر دارند، موظف به رعایت قانون حفاظت از دادههای عمومی اتحادیه اروپا (EU-GDPR) هستند. به بیانی فشرده، این قانون ناظر بر تمامی سازمانهایی است که اطلاعات فردی شهروندان اتحادیه اروپا را نگهداری و پردازش میکنند، خواه مکان جغرافیایی سازمان درون اتحادیه قرار گرفته یا خارج از آن باشد.
تصویب این قانون یکی از بزرگترین و اثرگذارترین تغییرات حوزه حفاظت از حریم خصوصی و حفاظت از دادهها در تاریخ مدرن بوده و همزمان، طیف وسیعی از الزامات جدید را در جهت حفاظت از دادهها برای سازمانها وضع کرده است.
قانون حفاظت از دادههای عمومی اتحادیه اروپا بهصورت اساسی روندهای جاری را تغییر داده است. این قانون محدوده جغرافیایی وسیعتری را دربرگرفته و این به آن معنا است که رعایت مقررات اتحادیه اروپا اکنون توسط سازمانهای خارج از آن نیز الزامی است. در نتیجه چنین دگرگونیهایی در قوانین، سازمانها باید بهصورت مستمر بر موضوع حفاظت از دادهها نظارت داشته باشند. برای مثال، نظارتهای مستمر میتواند دربرگیرنده این موارد باشد: الف) الزام به گزارش نفوذ و دسترسی به دادههای فردی اشخاص حداکثر طی ۷۲ ساعت به مراجع ذیصلاح، ب) پیادهسازی الزامات حفاظت از دادهها با طراحی سیستمها و فرآیندهای مرتبط، پ) انتصاب «مدیر حفاظت از دادهها» با جایگاهی دارای استقلال سازمانی و ت) الزام به دریافت موافقتنامههای صریح و بدون ابهام درخصوص استفاده از دادههای مرتبط با افراد.
تاثیر مالی بالقوه تصویب این قانون بر سود یا زیان شرکتها میتواند تا ۴ درصد گردش مالی بینالمللی یا ۲۰ میلیون یورو تحت عنوان جریمه باشد. همچنین، این قانون ریسکهای مرتبط با سوءشهرت سازمانها را افزایش داده است.
• نقش حسابرسی داخلی
به منظور اجتناب از قرارگیری در معرض نتایج ناشی از ریسکهای مرتبط، حسابرسی داخلی باید به موارد زیر توجه ویژه داشته باشد:
الف) ارزیابی تاثیر تصویب این قوانین بر اهداف استراتژیک سازمان و بهصورت خاص، بر استراتژی راهبری فناوری اطلاعات و بودجه، ب) ارزیابی درجه انطباق کنونی سازمان با قانون حفاظت از دادهها و تعیین حوزههای بهبود نظیر استفاده از ابزارهای ارزیابی اثربخش حفاظت از دادهها یا الزام به انتصاب مدیر حفاظت از دادهها، پ) ارزیابی درجه انطباق شرکای تجاری یا اشخاص ثالث با قوانین و درک دقیق تعهدات ایشان جهت ایجاد سازوکارهای رعایت قوانین، ت) ارزیابی ریسک عدم موفقیت در حفاظت از دادهها و اقداماتی که باید در جهت مدیریت یا کاهش چنین ریسکهای نوظهوری انجام داد و ث) توجه به رعایت الزامات و مفاد این قانون هنگام تدوین برنامه سالانه حسابرسی به منظور همراستایی سازمان با آن.
• الزامات حسابرسی داخلی
برای موفقیت در دستیابی به اهداف مورد بحث در بالا، حسابرسان داخلی باید این موارد را در فعالیتهای خود بگنجانند؛ الف) کسب درک صحیح و عمیق از گستره قوانین جاری که سازمان در بستر آن فعالیت میکند (مانند قوانین حفاظت از حریم خصوصی محلی)، ب) کسب دانش عمیق درخصوص الزامات مهم و اثرگذار قانون حفاظت از دادههای اتحادیه اروپا بر سازمان، پ) جستوجو و بهینهکاوی برای یافتن بهترین رویههای عملی جهت پیادهسازی موثر استراتژیهای مندرج در قانون و کسب اطمینان از رعایت مفاد آن در بلندمدت، ت) کسب توانایی ارزیابی اثر این قانون بر شرکتهای زیرمجموعه، شرکای تجاری و همکاران سازمان در خارج از مرزهای اتحادیه اروپا.
ریسک شماره ۴: امنیت سایبری
• محرکها
در دنیای بهم متصل کنونی، امنیت سایبری یکی از نقاط کانونی و مرکز توجه سازمانها است. موضوع امنیت سایبری اغلب در دستورِ جلسات هیاتمدیره مطرح شده و در کنار شکستهای امنیتی و دسترسی غیرمجاز به دادهها، تقریبا هر هفته در صدر تیتر اخبار قرار دارد. عوامل محرک مختلفی در افزایش تمرکز بر این موضوع نقش دارند که از جمله آنها میتوان این موارد را برشمرد: الف) اجتناب از تحمل هزینههای ناشی از دسترسی غیرمجاز به دادهها (شکست امنیتی) مانند هزینه تحقیقات، جرائم حقوقی، بدهی به مشتریان بابت زیان آنها در نتیجه رویدادهای نامطلوب، هزینههای تلاش برای بازیابی اطلاعات و زیان بالقوه کسبوکار موجود یا یک کسبوکار نوپا؛ ب) پیشگیری از آسیبدیدن شهرت سازمان، بهخصوص در موضوع از دست رفتن دادههای مشتری، پ) اطمینان از امنیت سرمایه، مالکیت فکری و دیگر اطلاعاتی که سازمان درخصوص آنها نسبت به رقبا دارای مزیت و برتری است، ت) تکامل و رشد قابل ملاحظه ظرفیتها و فنورزیهای مورد استفاده هکرها در تواناییشان برای هدف قرار دادن اطلاعات مشخص یا اشخاص معین مانند باجافزار معروف پتیا (Petya).
هکرها اخیرا نه تنها سازمانها را مستقیما از طریق شبکهها، بلکه بهواسطه تامینکنندگان کلیدی و شرکای فناوریمحورشان مورد حمله قرار میدهند. عواقب ناشی از عدم موفقیت در حفظ امنیت سایبری میتواند برای سازمان فاجعهبار بوده و علاوه بر تاثیر قابلتوجه بر رقم سود یا زیان، منجر به سوءشهرت سازمان شود. در نتیجه تحقیقی که توسط موسسه «کیپیامجی» روی ۶۰ شرکت مستقر در سوئیس انجام شد، این نتایج به دست آمد:
الف) ۴۲درصد از پاسخدهندگان از حملات سایبری موفقیتآمیز دچار زیان مالی شدهاند (۴۲درصد اختلاف در فرآیند کسبو کار، ۳۳ درصد افشای اطلاعات محرمانه و ۲۵درصد سوءشهرت).
ب) برنامههای حفاظت از امنیت سایبری ۸۲درصد از پاسخدهندگان، حوادثی مانند مورد هدف قرارگیری تامینکنندگان یا شرکای تجاری را در بر نمیگرفت.
پ) ۲۸درصد از پاسخدهندگان دارای بیمه امنیت سایبری بودند.
ت) ۴۴درصد پاسخدهندگان گفتهاند که ابزاری جهت اعمال فشار برای اجرای چارچوب کنترلی خود روی فرآیندهای مرتبط تامینکنندگان نداشته است و ۳۴ درصد آنها از معیاری الزامی برای اندازهگیری امنیت سایبری در قراردادهای با شخص ثالث استفاده نکردهاند.
محمد غواصی کناری / شاهرخ شهرابی
- 19
- 2
