Internal auditfunctie versterkt cybersecurity

Een onderzoek van Protiviti toont aan dat cybersecurity steeds vaker aandacht krijgt binnen internal auditteams. Die ontwikkeling wordt door adviseurs toegejuicht, aangezien internal audit voor organisaties een belangrijke rol kan spelen in het versterken van cybersecurity. De mate van volwassenheid verschilt echter tussen de verschillende bedrijven. Organisaties met de best presterende internal auditteams profiteren van een solide cybersecuritycapaciteit, terwijl andere organisaties nog een lange weg te gaan hebben.

Cybersecurity is de afgelopen tijd een steeds belangrijker vraagstuk geworden voor organisaties. Cyberaanvallen lijken steeds frequenter voor te komen, en de negatieve gevolgen van een succesvolle aanval kunnen een organisatie op zijn grondvesten doen schudden. Zo kunnen aanvallen de bedrijfsvoering verstoren door het aantasten van databases of websites, of er via phishing voor zorgen dat per ongeluk miljoenen worden overgemaakt naar verkeerde bankrekeningen. Bovendien kan de potentiële diefstal van persoonlijke gegevens, of intellectueel eigendom, voor een organisatie vaak leiden tot aanzienlijke, soms zelfs structurele reputatieschade.

De afgelopen jaren zijn organisaties zich daarom steeds meer gaan inspannen om te reageren op deze nieuwe bedreiging. Bestuurders zijn meer betrokken bij het probleem, personeel wordt getraind om met de bedreigingen om te gaan, en cyberbeveiliging aan de voorkant van organisaties en op onderdelen die kwetsbaar zijn voor aanvallen worden opgevoerd. Ook wordt analytics steeds meer toegepast om de cybersecurity te verbeteren.

Het rapport Arriving at Internal Audit's Tipping Point Amis Business Transformation van Protiviti introduceert een andere, maar waardevolle benadering voor het verlagen van de risico’s die gepaard gaan met cyberactiviteiten. Op basis van een assessment onder meer dan 1.300 internal auditprofessionals, waaronder ruim 150 Chief Audit Executives (CAE’s), laat het consultancybureau zien dat er twee cruciale succesfactoren zijn bij de ontwikkeling en executie van een effectieve cybersecuritystrategie. De eerste factor omvat een hoge mate van betrokkenheid van het management bij informatiebeveiligingsrisico’s, vooral managers in hogere, leidinggevende posities. “De dreiging van cyberaanvallen is aanzienlijk en wordt steeds geraffineerder”, vertelt Brian Christensen, de Executive Vice President of Global Internal Audit bij Protiviti. “Uit ons onderzoek bleek dat wanneer het aankomt op cybersecurity in relatie tot auditprocessen, dat de best presterende organisaties beschikken over audit commissies en besturen die actief schakelen met de internal audit afdeling indien dergelijke risico’s ontdekt en beoordeeld worden.”

De tweede succesfactor draait om voldoende samenspel tussen risk management en internal audit. “De internal audit afdeling zou cybersecurity in zijn dagelijkse activiteiten moeten opnemen, evenals in zijn jaarlijkse audit plan”, stelt Christensen. Bedrijven die over tenminste een van deze succesfactoren beschikken hebben een “aanzienlijk betere kans” om cyberbedreigingen het hoofd te kunnen bieden. Zo beschikt 91% van de organisaties waar sprake is van een hoge mate van betrokkenheid vanuit het bestuur over een cybersecurity risicostrategie, ten opzichte van 77% bij overige organisaties. In diezelfde lijn, heeft 83% van de organisaties die cybersecurity hebben opgenomen in hun internal audit plannen een cybersecuritybeleid, tegenover 53% van de organisaties die in hun interne audits geen aandacht besteden aan cybersecurity.

Lees in het Nederlands verder over de bevindingen op de website van consultancy.nl

Download direct het rapport Arriving at Internal Audit's Tipping Point Amis Business Transformation van Protiviti

Bekijk alle informatie over de 2016 Internal Audit Capabilities and Needs Survey, inclusief Infographic en Podcast