Audit committee involvement in cybersecurity governance: Evidence from corporate reporting - a multi-method approach

Thumbnail Image

Files

master_Kurtén_Julia_2025.pdf (1.32 MB)

URL

Journal Title

Journal ISSN

Volume Title

School of Business | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2025-10-26

Department

Major/Subject

Mcode

Degree programme

Master's Programme in Accounting

Language

en

Pages

103

Series

Abstract

This thesis explores the reported involvement of the audit committee in the cybersecurity reporting and governance of publicly listed companies in the U.S. This thesis seeks to answer the questions of how the audit committee involvement is described, and who the key players are reporting to as presented in the cybersecurity reports. Cybersecurity incidents have been on the rise, as large parts of day-to-day business has become digitalized, and companies have become reliant on these digital platforms. Furthermore, cybersecurity mitigation and reporting has become an important factor for companies’, their credibility and reliability, as the public has become more aware of the risks rising from badly managed cybersecurity. New cybersecurity reporting standards have become more common across the world, as the governance of cybersecurity plays a larger role in how cybersecurity is handled in companies. The reporting standards have put pressure on company boards to guide the cybersecurity risk management and governance in companies, and to determine who should be involved in the cybersecurity mitiga tion. As the audit committee have often been involved in risk management and reporting practices in companies, the responsibility of cybersecurity governance has become a new key obligation for the committee. The findings of this thesis suggest that the main topics and themes related to the audit committee involvement in cybersecurity governance have been their communication and reporting to executives in the company, integration of cybersecurity into the broader ERM, and overseeing the compliance to standards and reporting expectations. Furthermore, the findings suggest that the audit committee works as an intermediary between the board and the cybersecurity executives, and that they work as both the receivers of information and the informants.

Detta arbete utforskar revisionskommitténs roll och deltagande i styrning och riskhantering av cybersäkerhet i börsnoterade företag i USA. Syftet är att besvara frågorna som omfattar hur revisionskommitténs deltagande har beskrivits, och vilka nyckelgrupper som deltar i styrningen av cybersäkerhet, enligt cybersäkerhetsrapporterna. Cybersäkerhetsincidenter har ökat i och med att stora delar av det dagliga arbetet som utförs har digitaliserats, vilket har lett till att företag blivit mer beroende av digitala plattformar och nätet. Hantering och rapportering av företagets cybersäkerhet har blivit mer viktigt för att upprätthålla både trovärdigheten och tilliten i företagets styrning. Nya standarder för cybersäkerhetsrapportering har uppstått i nästan alla delar av världen, i och med att styrningen av cybersäkerhet fått en viktig roll i hur cybersäkerhet hanteras i företagen. Dessa rapporteringsstandarder har lagt press på styrelserna, för att vägleda och bestämma hur cybersäkerhet ska bedrivas i företaget. Styrelsen är också tvungen att bestämma vem som är ansvarig för riskhanteringen och styrningen av cybersäkerhet. Eftersom revisionskommittén länge haft ansvar för riskhantering och rapportering, har många företag bestämt att cybersäkerhetsstyrning är ett av deras nya ansvar. Avhandlingens resultat indikerar att de huvudsakliga teman som uppstår och har kopplats med revisionskommitténs roll i cybersäkerhetsstyrning är deras kommunikation och rapportering till företagsledning, deras involvering i att integrera cybersäkerhet i den bredare ERM-strukturen i företagen, samt kontrollera och övervaka att cybersäkerhetsrapporteringen uppfyller alla rapporteringskrav. Resultaten visar dessutom att revisionskommittén fungerar som en medlare mellan styrelsen och cybersäkerhetsexperterna, och att de både tar emot information och fungerar som informatörer.

Description

Supervisor

Sinha, Vikash

Keywords

cybersecurity reporting, audit committee, cybersecurity, corporate governance, topic modelling, LDA

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202511118724

Collections

[gradu] Kauppakorkeakoulu / BIZ