Theresa Grafenstine, Global Audit Leader für Cyber, Resiliency & Drittparteien bei Citibank
Bevor sie eine Position bei Citi als Managing Director/Chief Auditor für Cyber, InfoSec & Continuity of Business antrat, war Theresa einige Zeit als Managing Director bei Deloitte tätig. Davor war Theresa die erste weibliche Generalinspektorin des Repräsentantenhauses in Washington und war ausserdem Vorsitzende von ISACA, dem Berufsverband für IT-Audit, Risiko, Sicherheit und Governance. Ihre Ansichten zum Thema Cyber und Wirtschaftsprüfung sind sowohl scharfsinnig als auch auf breiter Erfahrung basierend, da die Herausforderungen des Cyber-Risikos gewachsen sind und sich die Auswirkungen auf die Wirtschaftsprüfung weiterentwickelt haben.
Im Laufe ihrer Karriere hat Theresa gesehen, wie sich die Rolle der Wirtschaftsprüfung mit dem Aufkommen von Cyberrisiken verändert hat. Sie sieht die Wirtschaftsprüfung als eine entscheidende Notwendigkeit, um diese Risiken zu bewältigen.
"In den Anfängen meiner Karriere dachte man bei der Wirtschaftsprüfung an etwas, das sich auf die Finanzen konzentriert. Dann gab es IT-Kontrollen und IT-Prüfer, aber als sich Cyber zu einem der grössten Risiken für die Gesellschaft entwickelte, wurde uns klar, dass die Wirtschaftsprüfung Teil der Massnahmen zur Bekämpfung dieses Problems sein muss.
Auditoren haben viele Fähigkeiten. Sie können Probleme von Anfang bis Ende, abteilungsübergreifend und in der gesamten Organisation betrachten und so die Probleme und Risiken bei Missbrauch oder Diebstahl von Informationen verstehen. Sie können Risiken aufzeigen und prüfen, ob Kontrollen vorhanden sind, um sie zu beseitigen."
"Es wird eine andere Art der Prüfung sein. Alte Prüfungskonzepte, wie die Trennung der Verantwortlichkeiten, sind immer noch relevant, aber wir müssen viel mehr tun. Wenn Sie die Komplexität in Systeme einbringen, bedeutet das, dass es mehr Möglichkeiten für Fehler gibt. Die Leute reden gerne von 'Big Data', aber um Big Data zu nutzen, müssen Sie alle Daten verstehen, die Sie haben, und zwar über alle Grenzen hinweg, und das nutzen, was Sie in all diesen Silo-Datenbanksystemen haben. Sie müssen die Daten offenlegen und aufschlüsseln und sehen, wie alles zusammenhängt. Das Problem ist, dass die Offenlegung von Daten, auch intern, zu Zugriffsproblemen führt und eine neue Art von Risiko schafft.
Die Rolle der Wirtschaftsprüfung wird zunehmen, aber sie wird sich auch verändern. Die Technologie wird den Prüfern die Notwendigkeit nehmen, sich mit Routine und Alltäglichem zu befassen, aber sie wird zu einer eher technischen und analytischen Aufgabe.
"Ich stimme zu, dass Wirtschaftsprüfer und Sicherheitsexperten als das 'Büro des Neins' und als Hindernis für den Fortschritt angesehen werden. Wir müssen also klar und deutlich kommunizieren, was unsere Rolle ist und warum wir zu Risiken beraten. Die Botschaft ist, dass wir darauf abzielen, die Systeme sicher zu machen, und dass Sie keine Fortschritte in der Wirtschaft machen können, wenn Sie nicht sicher sind, dass Ihr System sicher ist.
Kritisches Denken war schon immer wichtig - Dinge zu hinterfragen, intellektuell neugierig zu sein und sich nicht mit einer oberflächlichen Antwort zufrieden zu geben.
"Um einen Mehrwert zu bieten, müssen Auditoren verstehen, warum etwas funktioniert und die Regeln hinterfragen. Sind sie sinnvoll? Wir stellen nicht einfach nur sicher, dass die Regeln angewendet werden. KI (Künstliche Intelligenz) wird tun, was ihre Algorithmen ihr sagen, und wir müssen sicherstellen, dass die Regeln eingehalten werden, die uns angemessen erscheinen. Wir präsentieren die Probleme den Menschen, die in der Lage sind, die Dinge zu lösen."
"Früher haben wir uns auf die Sicherheit am Rande der Systeme konzentriert - Virenschutz, dann Firewalls und schließlich Intrusion Detection Systeme. Heutzutage sagen wir, dass unser System unweigerlich angegriffen wird, weil es so viele Möglichkeiten gibt, in ein Netzwerk einzudringen. Ransomware, Malware - es muss nur eine Person auf einen Link klicken. Für eine gute Sicherheit brauchen wir also Wachsamkeit. Wenn wir wissen, dass jemand in unser Netzwerk eindringen wird, verfügen wir dann über die Tools und die Fähigkeiten der Mitarbeiter, um zwischen bösartigen Aktivitäten und normalen Aktivitäten zu unterscheiden?
Wie schnell erkennen wir einen Systemverstoss und wie schnell können wir etwas dagegen unternehmen? Verfüge ich über ein Backup, so dass ich, wenn meine Daten gestohlen oder verändert wurden, schnell wiederhergestellt werden können, ohne dass mein Ruf ernsthaft Schaden nimmt? Jemand wird eindringen, aber es kommt darauf an, wie wir das handhaben. Das ist die Welt, in der wir leben."
Theresa wird oft nach den Hindernissen gefragt, die Frauen beim beruflichen Fortkommen im Wege stehen.
"Es gibt gläserne Decken, aber schränken Sie sich nicht ein. Überwinden Sie Ihre Ängste und seien Sie nicht Ihre eigene selbst auferlegte gläserne Decke. Wenn Sie in einer Besprechung keine Meinung äussern können, wie wollen Sie dann in Ihrer Karriere jemals eine Führungsrolle übernehmen?"
Ein zweiter Ratschlag ist, Zivilcourage zu zeigen.
"Die Vorstellung, dass ich Generalinspektor des Repräsentantenhauses werden könnte, war verblüffend. Aber Sie haben es mit Menschen zu tun, die Macht haben. Als Rechnungsprüfer brauchen Sie den moralischen Mut, der Macht die Wahrheit zu sagen. Wenn Sie nicht in der Lage sind, den Mächtigen die Stirn zu bieten, sollten Sie Ihr Amt nicht ausüben."
"Networking ist unglaublich wichtig. Sie sollten versuchen, Vorbilder und einen Mentor zu finden - es muss keine offizielle Beziehung sein - den Sie bewundern und der bereit ist, Ihnen ein paar Minuten Zeit zu schenken und Ihnen einen Rat zu geben. Das ist etwas, was ich selbst zu tun versuche: anderen mit Ihrer Erfahrung und Ihrem Know-how zu helfen. Es ist eine Art, etwas an die Arbeitswelt zurückzugeben, die mir so viel gegeben hat."