Управлението на киберриска и счетоводната професия
Автор: Михаил Мусов
Cyber Risk Management and Accounting Profession
Michael Musov
Резюме
В съвременния свят на информационни технологии (ИТ) и свързаност киберрискът е характерен за всяка една организация, а прогнозите сочат, че в бъдеще неговото ниво ще продължи да се увеличава. Това превръща ефективното управление на киберриска във въпрос от първостепенна важност. Целта на настоящата студия е на база преглед на съществуващата литература да предложи модел за управление на киберриска и да обоснове ролята на счетоводната професия в него. Разглеждайки киберриска като единство на три ключови елемента (опасност, ИТ уязвимост и неблагоприятни последици), студията предлага шест взаимосвързани стъпки за неговото ефективно управление: (1) идентифициране, приоритизиране и оценка; (2) въвеждане на система за контрол; (3) мониторинг; (4) управление на киберинциденти; (5) отчитане и независим одит и (6) неформално управление. В сравнение със съществуващите рамки за управление на киберриска, предложеният модел притежава две предимства: първо, има по-интегриран характер, и второ, създава предпоставки за по-уместна и по-надеждна оценка на киберриска, а с това и за неговото цялостно ефективно управление.
За практическото прилагане на предложения модел е необходимо специфично професионално знание, но превес имат базовите (личностните) компетенции. Предвид спецификата на счетоводната професия, нейните представители могат да имат ключова роля в управлението на киберриска. Адекватното използване на възможностите обаче налага промени във висшето образование по счетоводство.
Abstract
In today’s world of information technologies (IT) and digital connectivity cyber risk is considered inevitable for all organizations. Hence, understanding cyber risk and managing it effectively is crucial for all. This paper includes a literature review with the aim to suggest a model for cyber risk management as well as to justify the role of accountants in this model. This review leads to the conclusion that cyber risk is a unity of three elements (threat, IT vulnerability and negative impact) and suggests the following six integrated stages of its management: (1) identification, prioritization, and assessment; (2) control system design; (3) monitoring; (4) incident management; (5) reporting and assurance; (6) informal management. The incremental contribution of the proposed model with respect to the existing frameworks is in the following two differences: first, it is more integrative than the alternatives, and second, it quantifies cyber risk more relevantly and reliably than the alternatives.
To apply the suggested model cybersecurity professionals should have some technical knowledge, but the core attributes relate to their personal capabilities. Due to their specific expertise and competencies, accountants can have a key role in risk management. To benefit cybersecurity risk management, however, accounting needs to reform its higher education model.
JEL: M40, I23, G32