چارچوب کنترل داخلی یکپارچه در عصر سایبری و حسابرسی ریسک سایبری

شکرخواه, جواد; موسوی بصیر, سیدحمید

doi:10.22034/jpar.2023.2010425.1211

چارچوب کنترل داخلی یکپارچه در عصر سایبری و حسابرسی ریسک سایبری

نویسندگان

¹ دانشیار،گروه حسابداری، دانشکده مدیریت و حسابداری، دانشگاه علامه طباطبائی، تهران، ایران

² کارشناسی ارشدحسابداری مدیریت، دانشگاه علامه طباطبایی، تهران، ایران.

10.22034/jpar.2023.2010425.1211

چکیده

هرچقدر سازمان‌ها اطلاعات بیشتری در مورد تهدیدات سایبری که به احتمال زیاد بر زیرساخت‌ها تأثیر می‌گذارند داشته باشند ، بهتر می‌توانند ریسک سایبری را کاهش دهند. هدف از این تحقیق بررسی این موضوع است که چگونه چارچوب کنترل داخلی یکپارچه (2013) به مدیریت ریسک وکنترل-های ریسک سایبری کمک می‌کند. و همچنین نقش حسابرسی داخلی در کنترل مدیریت ریسک سایبری، برای سازمان‌ها را نشان می‌دهد. با اتکا به روش پژوهش کتابخانه‌ی، تحقیقات پیشین مورد مطالعه و نتایج آنها مورد تجزیه و تحلیل و بررسی قرار گرفته است. نتایج حاصل از این پژوهش بیانگیر این مطلب می‌باشد که سازمان‌ها باید در زمینه مدیریت ریسک سایبری سرمایه‌گذاری کنند و بسته به جایگاه‌های که درآن قرار دارند کنترل ریسک سایبری را در اولویت، اهداف استراتژیک و برنامه‌های آتی قرار دهند. همانطور که محیط سایبری تکامل می یابد، مدیریت ریسک و حسابرسی داخلی باید سرعت خود را حفظ کنند و در مرحله برنامه ریزی برنامه حسابرسی، باید چشم انداز تهدید سایبری گسترده را در نظر بگیرد. درحقیقت، سازمان‌ها با تمرکز روی اجرای چارچوب 2013 ریسک‌های سایبری خود را شناسایی و در بهترین فرصت آمادگی عکس العمل مناسب جهت مقابله با خطرات ناشی از دنیای سایبری محور را، از خود نشان خواهد داد. در نهایت، ایجاد فرهنگی برمبنای امنیت سایبری، ارزیابی مستمر تمامی تکنولوژی‌هایی مورد استفاده ، ارزیابی مستمر‎ سیستم‌های آسیب‌پذیری، تحلیلی جامع در مورد نمونه حمله‌های سایبری انجام شده در سازمان‌ها ، انجام فعالیت‌های مدیریت ریسک سایبری بصورت مستمر و آموزش امنیت سایبری، مهمترین مواردی هستند که باید مد نظر سازمان‌ها قرار گیرند.

کلیدواژه‌ها

موضوعات

حسابرسی حرفه ای

عنوان مقاله [English]

COSO in the Cyber Age and Auditing cyber risks

نویسندگان [English]

Javad Shekarkhah ¹
seyed hamid mousavibasir ²

¹ Associate Professor. Department of Accounting, Faculty of Management and Accounting, Allameh Tabatabai University, Tehran, Iran.

² MSc of Management Accounting ,Allameh Tabatabai University, Tehran, Iran.

چکیده [English]

The more information organizations have about the cyber threats most likely to affect substruction, the better they can reduction cyber risk. The purpose of this research is to review how the COSO (2013) helps risk management and cyber risk controls. It also shows the role of Internal auditing in cyber risk management control for organizations. Based on the library research method, previous researches have been studied and their results have been analyzed and examined. The results of this study indicate that organizations should invest in cyber risk management and prioritize cyber risk control, strategic goals and future plans depending on their positions. As the cyber environment evolves, risk management and internal auditing will need to keep pace. . Indeed, By focusing on the implementation of the 2013 framework, companies will identify their cyber risks and at the best opportunity, they will show their readiness to react appropriately to face the risks caused by the cyber world. Finally, creating a culture based on cyber security, continuous evaluation of all technologies used, continuous evaluation of vulnerable systems, comprehensive analysis of examples of cyber attacks carried out in organizations, continuous cyber risk management activities and cyber security training, These are the most important things that organizations should consider.

کلیدواژه‌ها [English]

COSO and cyber risks
cyber security
cyber age
Auditing cyber risks

مراجع

برخوردار، کتایون؛ ناظمی و همکاران(1400)." بررسی عوامل مؤثر بر اثربخشی حسابرسی داخلی و ارزیابینقش حسابرسی داخلی در مدیریت ریسک و کنترلهای داخلی بانک کشاورزی" پژوهشهای حسابرسی حرفهای، شماره دوم، بهار 1400، صص8-35.

پرندین، کاوه؛ دوست جباریان و همکاران(1402)." موانع اجرای حسابرسی فناوری اطلاعات در ایران" پژوهشهای حسابرسی حرفهای، شماره دوازدهم، پاییز 1402 ، صص 88-105.

فلامرزی، حامد و مجیدی، ملیجه(1395)."حسابرسی فناوری و ریسک عملیاتی"،پژوهشهای نوین در مدیریت، اقتصاد و حسابداری،پنجمین کنفرانس بین المللی،مرداد 1395.

کتابچی، الناز و پور قهرمانی(1400) "چالشهای امنیت سایبری در کشورهای « آ سه آن»"، فصلنامه مطالعات بین المللی، صحفات 139-156- شماره 69 تابستان 1400.

هادیخامنه، اعظم و خدیجه ابوالمعالی(1400). " ارائه مدل مفهومی ساختارهای شناختی- ادراکی جرمزا در مجرمان سایبری براساس تحلیل روایت زندگی آنان" مجله طب انتظامی، دوره 10 ، شماره 3، تابستان 1400،ص 207-198.

یاری، فاطمه و مهر آذین و همکارن(1400)، "اشتهای ریسک، ریسک تداوم فعالیت، توانایی و پاسخگویی مدیریت" حسابداری و منافع اجتماعی،تابستان 1400 ص 20-1.

Andrew Morrison, cyber security landscape 2022, Deloitte, February 2022.

Albina Orlando, Cyber Risk Quantification: Investigating the Role of Cyber Value at Risk, Risks • October 2021.

Barkhordar, Katayoun, and Nazemi et al. " Investigating Factors Influencing the Internal Audit Effectiveness and Evaluating Internal Audit Role in Risk Management and Internal Controls of Keshavarzi Bank".Professional Auditing Research , Spring 2021, V.1, No2, pp 8-35.( In Persian).

B¨ohme, R., Laube, S., Riek, M., 2018. A fundamental approach to cyber risk analysis.Variance 12 (2), 161–185.

Biener, C., M. Eling, and J.H. Wirfs. 2015. Insurability of cyber risk: An empirical analysis. The Geneva Papers on Risk and Insurance—Issues and Practice 40 (1): 131–158. https:// doi. org/ 10. 1057/ gpp. 2014. 19.

Clarke, R. (June 15-18, 2008). A Risk Assessment Framework for Mobile Payments, 21st Bled eConference e Collaboration: Overcoming Boundaries through Multi-Channel Interaction Bled, Slovenia, April 29, 2011, Available from http://domino.fov.unimb.

Committee of Sponsoring Organizations of the TreadwayCommission(COSO) 2013. Internal Control:Integrated Framework. May 2013. Available at:www.coso.org.

David Canham, Cyber Risk Resources for Practitioners)،2014, Chapter 17: Auditing cyber risks.

Douglas Haveka, Jeffrey W. Merhout.(2013)."Internal information technology audit process quality:Theory development using structured group processes". International Journal of Accounting Information systems14(2013) 165-192.

Eling, M., and W. Schnell. 2016. What do we know about cyber risk and cyber risk insurance? Journal of Risk Finance 17 (5): 474–491. https:// doi. org/ 10. 1108/ jrf- 09- 2016- 0122.

Eling, M., Schnell, W., 2016. Ten key questions on cyber risk and cyber risk insurance.Technical Report 2016. The Geneva Association, Zurich.

European Council. 2021. Cybersecurity: how the EU tackles cyber threats. https:// www. consi lium. europa. eu/ en/ polic ies/ cyber secur ity/. Accessed 10 May 2021.

Falco, G. et al. 2019. Cyber risk research impeded by disciplinary barriers. Science (American Association for the Advancement of Science) 366 (6469): 1066–1069.

Flamarzi, Hamed and Majidi, Malijeh (2015). "Technology Audit and Operational Risk", Modern Researches in Management, Economics and Accounting, Fifth International Conference, August 2015. .( In Persian).

Gordon Archibald, Cyber security considerations 2022 Trust through security KPMG Australia , Janurary 2022.. KPMG.com.au.

Hallam-Baker, P. (February 21, 2008). Famous for Fifteen Minutes: A History of Hacking Culture, In: CSO Online-Security and Risk, September, 11 2011.

Hadi-Khameneh, Azam and Khadijah Abul-Maali (2021). "Presentation of the conceptual model of criminal cognitive-perceptual structures in cybercriminals based on the analysis of their life narratives" Journal of Law Enforcement Medicine, Volume 10, Number 3, 2021, pp. 198-207. .( In Persian).

Identity Theft Resource Center. (2011). Identity Theft Resource Center A Nonprofit Organization, March 21, 011, Available from http://www.idtheftcenter.org/artman2/publish/lib_survey/ITRC_2008_Breach_L ist.shtml.

Ioan Rus(2015). "Technologies And Methods For Auditing Databases" .Procedia Economice and Finance 26.2015.991-999.

Ketabchi, Elnaz and Pour Garhami (2021) "Challenges of cyber security in ASEAN countries", International Studies Quarterly, pages 139-156- number 69, 2021. .( In Persian).

Maleks Smith, Z., E. Lostri, and J.A. Lewis. 2020. The hidden costs of cybercrime. https:// www. mcafee. com/ enter prise/ en- us/ assets/ repor ts/ rp- hidden- costs- of- cyber crime. pdf. Accessed 16 May 2021.

Martin Mullins1 · Finbarr Murphy1 · Stefan Materne2 Cyber risk and cybersecurity: a systematic review of data Availability. Received: 15 June 2021 / Accepted: 20 January 2022 The Geneva Papers on Risk and Insurance - Issues and Practice

Mary E. Galligan and Kelly Rau ,(January 2015), COSO in the Cyber Age ، Deloitte .

Mohemed, mirghan & Michael stankosky and Arthur Murray(2006).konwledge management and information technology:can they work in perfect harmony? Journal of knowledge management.vol.10.no.30.

Maillart, T., Sornette, D. (2010). Heavy-tailed distribution of cyber-risks, European Physical Journal B, Vol. 75, No. 3 (June 2010), pp. 357–364, Available from http://www.springerlink.com/content/866j4814v275r582/fulltext.pdf

NAIC, 2018. Cybersecurity Risk Management, National Association of Insurance Commissioners (NAIC), National Association of Insurance Commissioners (NAIC). (accessed 21 October 2019).AIC (2018(.

Ohlhorst, F. (February 10, 2010). Three encryption apps to keep your data safe – data encryption - PC World Business, In: PC World Australia, April 12, 2011, Available from.

Patrick L. Brockett, Linda L. Golden and Whitley Wolman University of Texas at Austin USA, Enterprise Cyber Risk.

Parandin, Kaveh and Doustjabbarian et al ." Obstacles to the implementation of information technology audit in Iran". Professional Auditing Research, Fall 2023, V.3, No 12 pp 88-105.( In Persian).

Price J.(2001) " Auditing E-Business Applications". Internal Auditor.58(4).pp.21-23.

. Management, Chapter 14 (pages 319-340)in Risk Management for the Future – Theory and Cases, (2012),Jan Emblemsvag (Ed.)

Rhemann, M. (2011). “Cyber Trends” In: Trends Digest, September 11, 2011.

Sheehan, B., F. Murphy, M. Mullins, and C. Ryan. 2019. Connected and autonomous vehicles: A cyberrisk classification framework. Transportation Research Part a: Policy and Practice 124: 523–536. https:// doi. org/ 10. 1016/j. tra. 2018. 06. 033.

Siegel, C., Sagalow, T., & Serritella, P. (2002). Cyber-Risk Management: Technical and Insurance Controls for Enterprise-Level Security, CRC Press, (March 4, 2002), Available from http://www.eprivacy.com/lectures/cyber-risk.pdf.

Yari, Fatemeh and Mehr Azin et al., "Risk Appetite, Business Continuity Risk, Management Ability and Accountability", Accounting and Social Interests, 2021, pages 1-20. ( In Persian)