Bestyrelser uforberedt på DEN risiko, viser en undersøgelse

0
278

Forskning af PricewaterhouseCoopers viser, at DET er vigtigt, men de iboende risici, der ikke bliver vurderet korrekt.

Langt de fleste virksomheder ser DET som strategisk vigtigt for deres virksomhed, men de interne revisorer mener, at bestyrelser ikke fuldt ud forstår de risici, der følger med teknologi, en undersøgelse foretaget af PricewaterhouseCoopers, og Institut for Interne Revisorer har fundet.

Omkring 98% af de 250 øverste ledere i undersøgelsen sagde, at DET var nødvendigt for at sikre fremtidig succes, flytning af IT-relaterede risici til bestyrelsen dagsorden for tre fjerdedele af organisationer. Men 68% af de interne revisorer sagde, at bestyrelser ikke forstår DEN risiko, der fører 74 pct. af revisorerne til at sige, at de gerne vil indgå i tilvejebringe sikkerhed gennem anvendelse af strategisk teknologi.

“Vi har set, at der igen opstår i stor skala virksomhedernes investeringer i IT-systemer i løbet af de sidste to år, og det har fået mange bestyrelser til at lede efter en større grad af komfort end nogensinde før,” sagde Grant Vandfald, partner, risk assurance services, PricewaterhouseCoopers i en erklæring. “Vores undersøgelsesresultater tyder på, at bestyrelser og revisionsudvalg, som måske ikke har alle de færdigheder, de har brug for at forstå og beskæftige sig med DEN risiko, mens mekanismer til at kommunikere IT-risici til bestyrelsen kan heller ikke være effektiv nok.”

Omkring 40 pct. af topledere undersøgt for rapporten sagde, at intern revision afdelinger mangler evnen til at diskutere forretningsmæssige konsekvenser af DEN risiko. Men Gail Eastbrook, chief executive, fra foreningen af Interne Revisorer – det forenede KONGERIGE og Irland, var uenig. “Den interne revision er godt positioneret til at leve op til nogle af de udfordringer, der er fremhævet i undersøgelsen, og hjælpe med at give bestyrelser med et fuldstændigt billede af de risici, og et strategisk niveau af sikkerhed over dem, sagde hun. “Det kan spille en vigtig rolle ved at igangsætte og facilitere diskussioner mellem bestyrelsen og IT-funktion, i betragtning af at det allerede forstår risikoen og bruges til at kommunikere med bestyrelsen.”

Men hun advarede om, at intern revision afdelinger kan være nødvendigt at udvide deres færdigheder og bruge mere tid på DET. “I øjeblikket, som undersøgelsen påpeger, er to-tredjedele af intern revision afdelinger bruger mindre end 20% af deres tid på at gennemgå DET, risici,” Eastbrook tilføjet.

Den mere og mere hurtigt tempo af DET skift i virksomhederne betyder, bestyrelser og IT-fagfolk skal blive bedre til at kommunikere om risici, betænkningen sagde. “Vurdering af risiko er et hold spil, der samler IT-fagfolk, der forstår teknologien, men ikke nødvendigvis de forretningsmæssige konsekvenser, som skal håndteres, og virksomhedsledere, der mangler teknisk baggrund, men kunne trække ud af de potentielle forretningsmæssige konsekvenser,” sagde Vandfald. “Bestyrelser, især de fleste non-executive directors, simpelthen ikke har iboende praktisk erfaring af DEN risiko, som en af vores intern revision hoveder minder os om, og det betyder, at de er usandsynligt, at forstå det fulde omfang af de risici og muligheder, som teknologi gaver til deres virksomheder.”

Rapporten fandt, at de seks IT-relaterede risici, som virksomhederne er projektet fiaskoer, modstandsdygtighed og kontinuitet, styring forskydninger, sikkerhed og privatlivets fred, dårlig kontrol med ændringer, og problemer med datakvaliteten.