Upplýsingaöryggi og áhættustýring
Á síðustu misserum hafa stjórnir og endurskoðunarnefndir félaga á markaði staðið frammi fyrir ýmsum áskorunum í störfum sínum. Í þessari grein verður farið stuttlega yfir það helsta sem þessir aðilar þurfa að hafa í huga hvað varðar upplýsingaöryggi og áhættustýringu.
Ör þróun í upplýsingatæknimálum hefur skapað ýmis tækifæri á markaði en þróunin hefur jafnframt leitt af sér ýmis flókin úrlausnarefni, til að mynda hvað varðar gagnaöryggi. Félög eru nú mun viðkvæmari en áður fyrir t.a.m. stuldi á trúnaðarupplýsingum um viðskiptavini, fjárhagsupplýsingum og upplýsingum um stefnumarkandi ákvarðanir. Stjórnir félaga hafa verið að virkja enn frekar eftirlit með tölvubrotum (cyper breach) tengdum gagnaskýjum, tækjanotkun (mobile technology) og samfélagsmiðlum svo eitthvað sé nefnt og það er áskorun að vega og meta áhættu á móti þeim ábata sem felst í notkuninni. Stjórnir þurfa að fullvissa sig um að innviðir félagsins séu traustir og móta stefnu þess með áherslu á fyrirbyggjandi og markvissar aðgerðir til að koma í veg fyrir misnotkun á upplýsingum sem valdið getur félaginu tjóni. Endurskoðunarnefndir ættu að ræða við endurskoðendur sína til að fá innsýn endurskoðandans á áhrifum af hugsanlegri notkun fyrirtækjanna á þessum þáttum til að vega og meta upplýsingatækniáhættu félagsins.
Til að halda í við tækniþróun í ört flóknara umhverfi þar sem gagnamagn getur verið mjög mikið og uppruni gagna margvíslegur eru endurskoðendur farnir að nýta tækni sem mun gjörbreyta þeim aðferðum sem áður hefur verið stuðst við í endurskoðun. Markmiðið er að geta með auðveldari hætti en áður skimað mikið gagnamagn með skipulögðum hætti til að koma auga á hugsanleg frávik. Við þessar vinnslur er mikil áhersla lögð á að sannreyna uppruna, áreiðanleika og heild gagna svo tryggt sé að gögnin sem unnið er með séu áreiðanleg. Endurskoðunarnefndir þurfa að hafa skilning á því hvernig félög þeirra nýta greiningartæki til eftirlits með áhættuþáttum, sem fylgni við lög og reglur og hvernig markmiðum innra eftirlits er náð. Það færi vel á því að endurskoðunarnefndir ættu samtal við endurskoðendur sína um umfang og notkun gagnagreiningartóla sem þeir nota í áhættumati og við framkvæmd endurskoðunar því vel getur verið að aðgerðir endurskoðandans séu virðisaukandi fyrir félagið sjálft. Einnig getur verið um það að ræða að endurskoðunarnefndir óski eftir því við endurskoðandann að nýta tæknina sem hann býr yfir til að kanna einhverja ákveðna þætti í gögnunum, þ.e. að skima eftir einhverju sérstöku sem endurskoðunarnefnd hefur áhuga á að greina.
Löggjafinn, eftirlitsaðilar og fjárfestar hafa miklar væntingar til þess að stjórnir fyrirtækja hafi yfirsýn yfir heildstæða áhættustýringu félagsins. Endurskoðunarnefndir gegna lykilhlutverki í því að leiða yfirsýn stjórnar á áhættustýringu fyrirtækisins, ganga úr skugga um að stjórnendur starfi eftir skýrum og afmörkuðum ferlum sem ætlað er að efla, meta og stýra áhættumenningu fyrirtækisins. Það eru tækifæri til að nýta betur innri endurskoðun til að vera stjórnum og endurskoðunarnefndum til ráðgjafar. Leiðandi fyrirtæki og stjórnir á alþjóðamarkaði eru að óska eftir því við innri endurskoðendur sína að þeir leggi ekki eingöngu áherslu á eftirlitsaðgerðir, fylgni við löggjöf og staðfestingarvinnu heldur veiti jafnframt virðisaukandi ráðgjöf. Þessi fyrirtæki leggja áherslu á að meta árangur sinn og að auka virði fyrir hluthafana. Þau eru byrjuð að nýta enn frekar þekkingu og sérhæfingu innri endurskoðunar til að fá frekari innsýn í reksturinn og byggja þannig undir verðmætasköpun í fyrirtækinu. Hjá EY er aðferðafræði við innri endurskoðun hönnuð þannig að áhersla er lögð á heildstætt kerfi innra eftirlits og áhættustýringar. Jafnframt að vera endurskoðunarnefndum og stjórnum til ráðgjafar um hvað betur megi fara í innra eftirlitskerfinu til stuðnings við framþróun í rekstri félaga.
