INTERNREVISJONENS REISE MOT 2020

Transkript

1 INTERNREVISJONENS REISE MOT 2020 IIA NORGES ÅRSKONFERANSE 2018 DOROTHEE SAUER HÅKON LØNMO 29. MAI 2018 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen tilhører BDO AS eller BDO Advokater AS, og skal ikke kopieres eller distribueres uten vårt skriftlige samtykke.

2 AGENDA Datakriminalitet og cybersecurity - Virksomheters behov - Internrevisjonens bidrag - Case: Agder Energi AS 3 ting å ta med seg Side 1

3 FORVENTNINGER TIL INTERNREVISJONEN I DIGITALISERINGENS TIDSALDER Digitalisering påvirker krav om kompetanse og oppdatert metodikk Digitalisering påvirker også kontrolltenkningen i våre virksomheter Kjenn forretningen også fra utsiden og inn, noe som krever et annet tankesett enn tidligere. Nye krav til kompetanse og mer entreprenørskap i form av endrede arbeidsprosesser og verktøy Begge punktene krever stor endringsvillighet. Ellen Brataas, CEO & Generalsekretær IIA Norge Frank Alvern, tidl. leder for internrevisjonen i Forsvarsdepartementet Tenke nøye gjennom: hvor står vi i dag, og hvilken retning skal vi gå? Bakover i retning bekreftelser; nedover mot stadige pålegg fra tilsynet om revisjon; fremover i retning strategi? Reidar Døli, Group Internal Auditor Oslo Børs Side 2

4 REISEN GJELDER FLERE OMRÅDER Formål Fokus Omfang Nye muligheter (metodikk) Internrevisjon som profesjon Side 3

5 «GJØR VI TINGENE RIKTIG?» «GJØR VI DE RIKTIGE TINGENE?» Hva er rotårsaken? Proaktiv rolle Betrodd rådgiver Bekreftelse Side 4

6 INTERNREVISJON SOM BETRODD RÅDGIVER Reservert tid for bistand av stakeholders både proaktivt og ved forespørsel Tydelig sammenheng mellom organisasjonens mål, risikoer og revisjonsprosjekter Sikre internrevisjonens bidrag til merverdi til virksomheten Side 5

7 INTERNREVISJONENS FOKUS ENDRER SEG Assurance i forhold til Strategi strategi og M&A Strategi Assurance i forhold til Virksomhetsstyring virksomhetsstyring og risikostyring og risikostyring Assurance i forhold til Virksomhetsstyring virksomhetsstyring og risikostyring og risikostyring Assurance i forhold til Prosjekter ifm. prosesser & prosesser & operasjonell styring operasjonell styring og kontroll og kontroll Assurance i forhold til Prosjekter prosesser & ifm. prosesser & operasjonell styring og kontroll Side 6 NÅ FREMTID

8 DIGITALISERING SKAPER OGSÅ NYE SÅRBARHETER Fokusområde: Datakriminalitet og Cybersecurity Side 7

9 Side 8

10 Side 9

11 TRADISJONELL KRIMINALITET GÅR STADIG NEDOVER DATAKRIMINALITET ØKER I OMFANG Side 10 Lovbrudd anmeldt per innbyggere (SSB) Rapporterte mistenkelige transaksjoner etter Hvitvaskingsloven 4 (Økokrim)

12 CYBERTRUSLER HØYERE AVKASTNING LAVERE RISIKO Trusselen består av motiverte mennesker med stor tilpasningsdyktighet Virksomheter kan bli frarøvet svært store verdier Hva skjer dersom viktige systemer blir satt ut av spill? Vanlige digitale trusler som treffer «alle» - Direktørsvindel (CEO fraud) - Nettfiske (Phishing) - Løsepengevirus (Ransomware) Side 11

13 DIREKTØRSVINDEL Falske meldinger fra daglig leder - E-post, SMS, telefon Kan også overta/hacke lederens e-postkonto Lurer økonomimedarbeider til å overføre penger Kilde: e24.no Side 12

14 NORGESHISTORIENS STØRSTE «BREKK» Kilde: vg.no Andre eksempler på vellykket direktørsvindel i Norge - Juni 2017 Festspillene i Nord-Norge kr - Mai 2018 Stavanger kommune kr Side 13

15 NETTFISKE ID-TYVERI Svindlerne er ute etter - Passord - Personopplysninger Side 14

16 NETTFISKE PASSORD TIL E-POST (WEBMAIL) Side 15

17 NETTFISKE NETTBANKSVINDEL Side 16

18 Kilde: dn.no Side 17

19 LØSEPENGEVIRUS VEDLEGG I E-POST Skadevaren krypterer filer - Lokal disk og fellesområder Krever løsepenger for å låse opp filene Side 18

20 LØSEPENGEVIRUS LENKE I E-POST Fra: Telenor Mobil [mailto:epost@telnor.no] Sendt: 7. februar :14 Til: Emne: Faktura Fra Telenor Norge AS, Mobil Side 19 Kilde: ba.no

21 WANNACRY LØSEPENGEVIRUS 12. MAI 2017 Side 20

22 DATAINNBRUDD KAN GI STORE TAP Uten IT i 10 dager Volumene i shippingvirksomheten falt 2,5 prosent Enhetskostnadene for faste bunkerpriser økte med 3,9 prosent Kilde: digi.no Side 21

23 GLOBALISERING GIR ØKT SÅRBARHET Metabo Norge AS - 10 ansatte - Driftsinntekter 44 millioner (2017) - Heleid av tyske Metabowerke Gmbh Kilde: digi.no Side 22

24 INTERNREVISJONENS BIDRAG

25 INTERNREVISJON CYBERSECURITY Gjennomgang av styringsdokumenter - Styringssystem for informasjonssikkerhet - Roller og ansvar - Policyer og rutiner - Risikovurderinger - Beredskapsplaner - Leverandørkontroll - Compliance: IKT-forskriften, Forvaltningsloven, Arkivloven, Sikkerhetsloven, Personvernforskriften, ++ Evaluering av sikkerhetskontroller for operasjonell sikkerhet - ISO/IEC 27002: Center for Internet Security (CIS) Top 20 Controls - NIST Cybersecurity Framework - Sikkerhetstesting Side 24

26 KUNDECASE AGDER ENERGI AS Sikkerhetsrevisjon driftskontrollsystemer Internrevisjon cybersecurity - Strategi - Implementerte sikringstiltak 1200 ansatte i konsernet Norges 4. største kraftprodusent Etablert konsernrevisjon Sikkerhetstesting - Teknologi: Innsidetest med fokus på driftskontrollsystemer og AMS - Mennesker: Phishing-øvelse (sosial manipulering) Side 25

27 KUNDECASE AGDER ENERGI AS Identifisere - Er systemer og data kartlagt, og kritikaliteten vurdert Beskytte - Har vi etablert tiltak for å redusere skade Oppdage - Finner vi de som evt. er kommet inn Reagere - Følger vi opp inntrengere og får vi dem ut Gjenopprette - Hvordan kommer vi tilbake i normal drift Kilde: N. Hanacek/NIST Side 26

28 KUNDECASE AGDER ENERGI AS Sikkerhetstesting Side 27

29 3 TING Å TA MED SEG Utfordring pga digitalisering: Cybersecurity Muligheter ved digitalisering: for eks. Business Analytics, Robotic Process Automation Forventninger til internrevisjon: Sikre og måle merverdi ved internrevisjon Side 28

30 KONTAKT INTERNREVISJON CYBERSECURITY Side 29