Interne audit komt niet toe aan cybersecurity

En dat die assurance node gemist wordt blijkt uit de haast dagelijkse nieuwsberichten over wéér een hack, diefstal van gegevens en/of identiteiten.

Uit nieuw onderzoek van het Institute of Internal Auditors (IIA) blijkt dat INternal Audit niet in staat is met dezelfde scherpte en professionaliteit naar cyber-security te kijken als naar de financiële verslaggeving en de compliance daarvan. Bij een deel van de ondervraagde (2245, uit 111 landen) organisaties besteedt IA er helemaal geen aandacht aan, en waar dit wel gebeurt is het meestal via outsourcing aan externe adviseurs.

Het rapport over het onderzoek, Global Perspectives and Insights: Emerging Trends, stelt dat bij een kwart van de deelnemers  er helemaal geen sprake is van enige bemoeienis van IA. 42% zegt dat er sprake is van co-sourcing met externe professionals, 16% outsourced de IA voor cyber-security geheel en al en slechts 16% durft te beweren dat de afdeling IA volledige assurance biedt op dit terrein.

65% zegt dat IA de kennis en competenties mist om op dit terrein haar verantwoordelijkheid te nemen, 55% zegt dat de afdeling ook de tools daartoe mist. !9% zegt dat ze geen opdracht heeft van het management om zich ook op dit terrein te manifesteren, 22% ontbreekt het so-wie-so aan ´tijd´.

Zeker in het licht van de aanstaande noodzaak tot compliant zijn aan de GDPR, zijn dit verontrustende resultaten.