SIRK. Shady business. Forebygging avdekking håndtering. Risiko Kontroll. Nummer 1, sommer 2012, 20. årgang. Hvordan balansere prestasjon og risiko?

Transkript

1 SIRK Styring Internrevisjon Risiko Kontroll Nummer 1, sommer 2012, 20. årgang Shady business Forebygging avdekking håndtering Antikorrupsjon og internrevisor Tale fra tause tall - Benfords lov Varsling i Forsvaret Hvordan balansere prestasjon og risiko? Bankers testamente

2 REDAKTØRENS SPALTE Vi nærmer oss årets lyseste netter, men har i dette nummeret av SIRK valgt å fokusere på virksomhet av mer lyssky karakter. Korrupsjon, data - kriminalitet, innsidehandel, regnskapsog kursmanipulasjon; det begynner å bli mange eksempler på virksomheter som har frontet avissider eller hatt runder i retten til stor belastning for selskap og ansatte enten man er skyldig eller ikke. Ny teknologi skaper nye mulig heter og markeder - ikke bare for stueren virksomhet, men også for kriminelle aktører. Det neste store brekket ville skje elektronisk er en vanlig oppfatning i finansbransjen. Gitt at det stemmer, kan det allerede ha skjedd - eller være i ferd med å skje, men uten at virksom heten eller ofrene enda har merket det. Men fremveksten av hacking, phising, datatyveri, krav om løsepenger mot databeslag osv. betyr ikke at man kan neglisjere god gammeldags kontantbruk til ureglementerte betalinger, falske fakturaer, innsidehandel eller manipulerte anbudsrunder. Penetrering av nye markeder medfører gjerne både økning i eksisterende risikoer og eksponering for nye. For lovlydige virksomheter kan utfordringen i første omgang være å kjenne igjen og «diagnostisere» risiko for at ulovlig aktivitet kan forekomme. Man må vite om et fenomen for å kunne vurdere om det kan oppstå, og det krever stadig kompetansebygging, erfaringsutveksling og overvåking. Oppfinnsomheten har alltid vært sterk i menneskets jakt på økt levestandard - det gjelder ikke mindre for segmentet av befolkningen som praktiserer et tøyelig forhold til loven. Relasjonsbygging, veldedighet og samarbeid med andre selskaper kan påvirke korrupsjonsrisiko. Selskaper i Norge har i liten grad behøvd å sjekke hvem man faktisk gjør business med og risiko for korrupsjon, men dette forandrer seg med internasjonal eksponering. Samtidig møter IT-systemsiden stadige endringer i trusselbildet. Fra man identifiserer en risiko, handler det om å kunne gjøre noe med den. Internasjonalt ser vi en kraftig mobilisering fra myndighetshold mot korrupsjon, hvitvasking og cyberkriminalitet, inkludert økt ressursbruk på etterforskning og straffeforfølgelse, og skjerpede reaksjoner og straffetiltak. Dette betyr at det ikke bare gjelder å håndtere risikoen, men også å kunne dokumentere at man gjør det man kan. Hvordan er det med din virksomhet; hvor er cyber-risikoer plassert på risikokartet? Hvilke tiltak er implementert for bekjempelse av korrupsjon, gjennomføres due dill ved oppkjøp og vurderes risiko forbundet med nye samarbeids - partnere og leverandører? Hva fokuserer ledelsen på og hvordan kan risikostyring, compliance og internrevisjonen bistå virksomheten i håndteringen av slike risikoer? Har man den rette kompetansen? Vi håper artiklene i dette nummeret kan bidra til økt bevissthet og innsikt i noen av disse temaene. I tillegg til «shady business», presenteres aktuelt stoff om risikostyring og internkontroll, med fokus på kobling med virksomhetens strategi og måloppnåelse, og utvikling og praktisering av COSO-ERM. For noen virksomheter holder det ikke bare med risikostyring; «bankers testamente» skal sikre at bankers samfunnskritiske oppgaver kan videreføres dersom det virkelig går galt og banken kollapser. SIRK har dessuten gleden av å introdusere en spalte for bokanmeldelser, som vi håper etterhvert kan bli et fast innslag. Redaksjonen tar gjerne i mot tips om bøker som flere lesere vil kunne ha glede av. Til sist er det duket for utskifting; Anders Blix og Tor Solbjørg går ut av redaksjonen etter to års inspirerende samarbeid, mens Reidar Døli fra Oslo Børs/VPS, Kristoffer Igdun fra NAV og Esa Leporanta fra Forsvarsdepartementet kommer inn. Selv takker jeg for meg som redaktør og overlater rollen til Mari Vonen, som har bak seg ett år og flere solide bidrag som medlem i komiteen. Lykke til - både til ny redaksjonskomité og andre tillitsvalgte, og god sommer til alle! REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Janne Britt Saltkjel - leder Deloitte AS Postboks 347 Skøyen 0213 Oslo M: jsaltkjel@deloitte.no Anders Blix Evry Konsernrevisjonen Postboks 640 Skøyen 0214 Oslo M: anders.blix@evry.com Tor Solbjørg Helse Nord RHF 8038 Bodø M: tor.solbjorg@helse-nord.no Mari Vonen PricewaterhouseCoopers AS Postboks 748, Sentrum, 0106 Oslo, M: mari.vonen@no.pwc.com Randi Almås Norges Bank Postboks 1179 Sentrum 0107 Oslo M: randi.almas@norges-bank.no Se mer info på 2 SIRK nr

3 Innhold 2 Redaktørens spalte 4 Styrets leder har ordet Shady business forebygging, avdekking, håndtering 6 Tale fra tause tall 10 Cybersikkerhet angår alle 14 Anti-Corruption Compliance. Korrupsjonsbekjempelse og internrevisjonens rolle 18 Audrius Šapola sikkerhet og risikostyring i SEB Bank i Litauen 20 Varsling i forsvarssektoren 24 The Challenge Risikostyring 28 Hvordan lykkes med å balansere prestasjon og risiko i virksomhetsstyringen? 30 CFO-undersøkelse om risikostyring: Mye på plass, men fortsatt en vei å gå 34 Governance, risikostyring og internkontroll i statlige investeringsfond 38 Testamenter for banker 42 COSO Thought Papers nyttig lesing for alle med interesse for risikostyring 44 Bokanmeldelse: Sorte svaner er risikovurderinger risikoutsatt? 45 Bokanmeldelse: Hva er samfunnet uten tillit? Foreningsnytt 46 Nytt nettverk i NIRF Ledernettverk for Finans 50 Compliancefunksjonen i et forsikringsselskap 52 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere 54 NIRFs årskonferanse: Å flytte fjell 55 På tampen NORGES INTERNE REVISORERS FORENING President Martin W. Stevens Gjensidige Forsikring Postboks Lysaker M: martin.stevens@gjensidige.no Informasjons- og promoteringskomitéen Alf Martin Hanssen Statsbygg Postboks 8106 Dep 0032 Oslo J: M: amh@statsbygg.no Konferansekomitéen Siv Austad Hove If Skadeforsikring Postboks Lysaker J: M: siv.austad@if.no Programkomitéen Karl Ludvig Mauland PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 Oslo M: karl-ludvig.mauland@no.pwc.com Redaksjonskomitéen Janne Britt Saltkjel Deloitte AS Postboks 347 Skøyen 0213 Oslo M: jsaltkjel@deloitte.no Nominasjonskomitéen Solbjørg Lie NAV Internrevisjon Postboks 5 St. Olavs plass 0130 Oslo M: solbjorg.lie@nav.no Foreningsekretariat Ellen C. Brataas Generalsekretær M: ellen.brataas@iia.no Svein Stabekk Foreningssekretær M: svein.stabekk@iia.no Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@iia.no Besøksadresse: Munkedamsveien 3 B, 3. etg Oslo SIRK: Publikasjon fra Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Desember 2012 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr for en helside Kr for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: istockphoto

4 Styrets leder HAR ORDET Ord fra presidenten Blant de hyggelige oppgaver ved å være President i vår forening må regnes det å få invitasjon til å delta på årskonferansen til våre søster foreninger i Skandinavia. Uken før vår egen konferanse befant jeg meg derfor på et konferansested ute på landsbygden på Jylland sammen med ca. 140 kollegaer fra IIA i Danmark. Der kunne jeg, ikke overraskende, raskt konstatere at internrevisorer i Danmark opplever en lignende utfordring som oss med hensyn til behovet for å prioritere bruken av våre knappe ressurser på de om råder som virkelig betyr noe for våre virksomheter, der hvor risikoen er størst. Det var det siste foredraget som gjorde mest inntrykk på meg. Det er kanskje altfor lett å glemme når man sitter her i Norge at det er en finanskrise av dimensjoner ute i Europa. Dette har ført blant annet til at det er godt og vel 15 banker i Danmark som de siste fire år er kommet i betydelige vanskeligheter - av disse er 11 tatt under vingene av Finansiell Stabilitet et statlig bank - investeringsfond. Foredragsholderen hadde analysert informasjon som kom frem fra åtte offentliggjorte advokatgranskinger. I syv av åtte tilfeller var årsaken konstatert å være for høy risikoprofil eventuelt kombinert med manglende risikostyring. I det siste til fellet var forretningsmodellen i seg selv ansett som grunnlaget for det uføret man kom i. Om man ikke hadde innsett det fra før, fikk man igjen bekreftelse på viktigheten av faget risikostyring for virksomheters overlevelsesevne. Typisk også var det at kjennetegn på disse virksomheter var mangel på checks and balances med en enerådende sjef og organisasjoner som ikke turde sette spørsmålstegn med de super positive fremdriftstegn som senere viste seg å ikke være annet enn omrisset av et luftslott. Dette fikk meg til å reflektere igjen over viktigheten av profesjonalitet ikke bare hos internrevisjonen, men hos alle i risikostyrings- og kontrollfunksjoner. Et vesentlig kjennetegn på profesjonalitet er etter min mening vår faglige integritet. Det at vi tør å si klart og uhildet fra om våre begrunnede vurderinger av tilstanden i organisasjonen og konsekvenser ved en videre ut vikling uten noen kursendring. Dette til tross for at det er sterke krefter som mener at det er viktigere ting å gjøre der og da som for eksempel å tjene penger. Så i disse sommerdagene løfter jeg glasset mitt og hyller de som tør å ta fast standpunkt og bevare sin faglige integritet. Til profesjonsintegritet! God sommer! 4 SIRK nr

5 Hvordan sikre måloppnåelse? Deloitte Internrevisjon kobler vektlegger fremoverskuende Ta gjerne kontakt med en av våre eksperter for å finne ut hva vi kan gjøre for din bedrift. Kontakt: tlf: Karenslyst allé 0213 Oslo Tlf: Deloitte AS SIRK nr

6 Shady business fore bygging, avdekking, håndtering Tale fra tause tall - hvordan avsløre uregelmessigheter ved hjelp av regnskapstall Når misligheter og uregelmessigheter oppstår, utgjør regnskapet en viktig kilde for å spore hva som har skjedd. Men mange virksomheter har utallige transaksjoner gjennom året, og regnskapet utgjør derfor en uhorvelig mengde data. Uten noen konkrete indikatorer på forhånd, hvordan kan man vite hvor man skal lete og kan regnskapet i seg selv være en indikator? Frekvensen av hvor ofte 1, 2, eller 3 er første siffer i et sett med regnskapstall i mange tilfeller kan brukes til å identifisere uregelmessigheter. Intuitivt vil man anta at alle sifrene, fra 1 til 9, vil forekomme like ofte som første siffer, men faktisk er det mer enn 6 ganger så sann - synlig at 1 er første siffer (som i 15, 154, etc.) enn at 9 er det. Grunnen til dette er et fascinerende fenomen som har fått navnet Benfords lov. Annalena Baer jobber som Consultant for Deloitte Enterprise Risk Services. En av hennes hovedinteresser er kvantitativ analyse og anvendt matematikk i internrevisjonssammenheng. Basert på Benfords Lov kan man beregne forventet fordeling av ulike sifre i regnskapsmessig datagrunnlag. Loven kan anvendes for det første siffer, de første to eller tre sifrene eller de siste sifrene. Avvik fra forventet fordeling kan brukes til å spore opp uregelmessigheter. Hvorfor fungerer Benfords lov? Det er nærliggende å tenke at alle tall har like stor sannsynlighet for å være første siffer, dvs. 11 %. Dette er riktig for tilfeldige tall, men stemmer ikke for naturlig forekommende tall («naturally occurring numbers»). De fleste regnskapstall vil kunne anses som naturlig forekommende tall (Durtschi et.al, 2004). Andre eksempler er befolkningstall, antall Twitter-follower, filstørrelse i Linux, eller resultattall for store bedrifter. En god intuitiv forklaring på hvorfor loven fungerer får man ved å se på vekst i en tallmengde, for eksempel en kundereskontro. Antar man at saldoen for kontoen er NOK 100 l, så må saldoen vokse med ytterlige NOK 100 eller 100 % før første siffer skifter fra 1 til 2. Deretter må beløpet bare vokse med 50 % før 3 blir første siffer, osv. Ved rimelig jevn vekst vil 1 derfor ha størst sann synlighet for å være første siffer. Mulige bruksområder Benford-analyse er således godt egnet til å fange opp uregelmessigheter som følge av feilaktige transaksjoner, for eksempel en tilstrekkelig mengde fiktive utbetalinger, hyppige omgåelse av beløps - grenser etc. Dette gjør verktøyet verdifullt i granskingssammenheng. Forskning at underslag ofte begynner med små beløp og fortsetter over lengre tid og beløpet gradvis øker (Nigrini, 1999). Disse transaksjoner vil som oftest vises som avvik fra forventet fordeling. I sin grunnleggende studie om bruk av Benfords lov i revisjon og gransking bruker Nigrini et eksempel fra et kredittkortselskap: Analysen viste at siffer - kombinasjonen 48 og 49 forekom uvanlig ofte. Ved nærmere gjennomgang viste det seg at en ansatt hadde nedskrevet en stor mengde gjeldsposter akkurat under godkjenningsgrensen på USD fra kredittkort eid av vennene sine (Nigrini, 1999). Også for Enron viste Benfords lov avvik; resultattall fra 1997 til 2000 hadde en tendens til «runde» earnings per share, dvs. 0,10, 0,20 osv (Miller, 2008, Nigrini 2011). Dette er særlig interessant da fokus på en høy aksjekurs var den viktigste driveren i Enron-skandalen, og man i ettertid vet at Enron manipulerte tall for å nå sine kurs-mål. Mange avvik vil også ha en helt naturlig forklaring, og det leder til et annet mulig bruksområde av Benfords lov; loven kan brukes til å identifisere ineffisiens og mulige kontrollsvakheter. 6 SIRK nr

7 Shady business fore bygging, avdekking, håndtering Hvis f.eks. analyse av utbetalinger for et sykehus viser gjentatte innkjøp av kompresser til NOK 450 ved at det er uvanlig stor forekomst av dette beløpet i en stor datamengde, kan det være en mulighet å vurdere om det faktisk er nødvendig å kjøpe mange små mengder. Kan man eventuelt spare tid og penger ved å gjennomføre større, men færre innkjøp? Utstrakt bruk av databaserte rapporter og analyser medfører at det ofte finnes godt datagrunnlag og vil være veldig enkelt å gjennomføre en analyse basert på Benfords lov. Analysen er f. eks. del av ACL 1 s standardpakken, og kan også gjennomføres i Excel. For å dra full nytte av analysen er det likevel viktig å være bevisst på hvilke tall man analyserer og hvordan man tolker resultatene. Praktisk gjennomføring Generelt er det viktig å vurdere om populasjonen man ønsker å analysere med rimelighet kan forventes å følge Benfords lov. Tallmengder som ikke vil være egnet er tall som tildeles (kontonummer) tall med innebygd maksimum eller minimum (dato) beløp som velges av psykologiske grunner (pris), eller tall som beveger seg i trinnvise intervall (minibank). Konti som inneholder mange regel - messige transaksjoner av samme beløp (lønnstrekk for mobil, fagforenings - bidrag) vil heller ikke følge Benfords Lov. Om det likevel er interessant å undersøke transaksjonsmengden på en konto nærmere, kan det vurderes å ekskludere faste beløp før man kjører analysen. For en mest mulig målrettet analyse er det gunstig å vurdere hva man ser etter. Som regel vil det også være formåls - tjenlig å rette fokuset for analysen mot risikoområde man ønsker å dekke, og ikke analysere «alt» (for eksempel hele hovedboken). Samtidig er det ønskelig å ha en «stor nok» mengde observasjoner. Det finnes ulike anbefalinger i litteraturen. Cleary og Thibodeau anbefaler minst 100 og helst over 1000 observasjoner (Cleary og Thibodeau, 2005). Nigrini anbefaler minst 1000, og helst over 3000 observasjoner før man med rimelighet kan forvente at fordeling følger Benfords lov (Nigrini, 2011). Utvalg med færre observasjoner kan jf. Nigrini brukes, men man må da høyde for større for - ventede avvik. Analysen kan som nevnt gjennomføres for en eller for flere sifre, for eksempel de første to eller de aller siste sifrene i en tallmengde. Mistenker man at en beløpsgrense på NOK ble omgått kan det være lurt å teste de første to sifrene. Er beløpsgrensen på NOK , kan man vurdere bare å teste første siffer. Vil man teste om beløp ble rundet opp eller ned er det mulig å se på de siste sifrene. Særlig for store datamengder vil en analyse av bare den første siffer være for overordnet (Nigrini, 2011). Her kan det anbefales å se på de første to eller tre sifrene samlet. Jonassen (2002) anbefaler å bruke ana - lysen for å teste særlig innkjøpssyklus (inngående fakturaer, varelagerlister og leverandørreskontro) og salgssyklus (kundefordringer, salgsdata og refusjoner). Både salgssyklus og innkjøpssyklus vil ofte anses som områder med høy risiko, samt at det er store datamengder. Andre anbefalte områder er utbetalinger og salgstall (Durtschi et al, 2004). Nigrini (Nigrini, 2011) anbefaler også å analysere positive og negative tallmengder separat. Grunnen til dette er at mulige manipulasjoner vil ha ulik motiv og ta ulik form. En bedrift som går med tap vil ønske å få tapet til å se minst mulig ut, mens det omvendte inntreffer for gevinst. Dobša og Žgela (Dobša, J. og Žgela, 2011) viste for eksempel at absoluttverdiene av inntektstall for 500 europeiske bedrifter stemte meget bra med Benfords lov, mens betraktninger av bedrifter som gikk med tap viste tydelig avvik for siffer 9. Dobša og Žgela formoder at 9 fungerte som en psykologisk grense i denne sammenhengen da et tap av 980 millioner for eksempel høres mindre ut enn tap av over 1 milliard. Iphone-koder vil ikke følge Benfords lov, da disse velges av brukerne Kilde: 1 Audit Command Language SIRK nr

8 Shady business fore bygging, avdekking, håndtering derfor måtte foreta en avveining mellom ønsket om å dekke alt og realiteten av begrensede ressurser. For mange falske alarmer øker også risikoen for at reelle avvik drukner i støyet og blir uoppdaget. Fordeling av første siffer for resultat i absoluttverdier av 500 store bedrifter over 3 år (Gjengitt etter Dobša, og Žgela, 2011). Fordeling av første siffer for negativ resultat av 500 store bedrifter over 3 år (gjengitt etter Dobša, og Žgela, 2011) Hvordan vet jeg at avvik ikke er tilfeldig? For å finne ut om avvik skyldes tilfeldige variasjoner er statistiske tester egnet, for eksempel Kji-kvadrat-testen, z-testen eller MAD-test. For å kunne bruke Benfords Lov effektivt er det viktig å forstå implikasjonene av de ulike metodene. Kji-kvadrat-testen sammenlikner forventet med faktisk observert tallfordeling og returner en kji-kvadrat-verdi. Basert på denne kan man beregne sannsynligheten at variasjoner skyldes tilfeldigheter (Jonassen, 2002). Testen kan brukes for en generell vurdering av analysen, dvs. for å se hvordan fordeling for alle siffer samlet passer med forventet fordeling. Z-testen, som er standard i ACL, ser på avvik for hver kategori separat. Tester man fordeling av første siffer vil man kontrollere om antall 1 tilsvarer forventet antall, om antall 2 tilsvarer forventninger etc. Da man tester på mye mer detaljert nivå, er testen derfor mer sensitiv. I praksis betyr dette at en overordnet kjikvadrat-test gir et generelt inntrykk, men kan føre til at faktiske avvik ikke fanges opp (type II-feil). På den andre siden har Cleary og Thibodeau beregnet at sannsynligheten for falsk alarm (type I-feil) ved en test av hvert enkelt siffer kan ligge ved nesten 40 % (Cleary og Thibodeau, 2005). Å overse en feil eller mislighet kan være dyrt, men det er også kostbart å følge opp falske alarmer. I praksis vil man Både kji-kvadrat-testen og z-testen har den fordelen at de returnerer definitive sannsynligheter. Samtidig vil de raskere vise avvik når utvalgsmengden blir veldig stor, noe som ofte er tilfellet for regnskapsdata (se illustrasjonen nedenfor). Kji-kvadrat-testen vil ofte vise avvik allerede når antall observasjoner overskrider (Nigrini, 2011). Også z-testen vil slår ut for relativt små avvik når antall observasjoner blir stor. Se figur neste side. Alternativet er å teste for mean average deviation (MAD-test), som viser avvik fra forventet antall i prosent. Her kan det fastsettes en øvre eller nedre grense for avvik som aksepteres. MAD-testen er uavhengig av utvalgets størrelse, og anbefales for revisjonsformål (Cleary og Thibodeau, 2005). Samtidig kreves det skjønn og noe erfaring for å fastsette grensene, selv om det finnes noen retningslinjer basert på praktisk erfaring (Nigrini, 2011). Hvilken test som vil være mest egnet avhenger av analysens formål, men et utgangspunkt kan være å ta en overordnet Kji-kvadrat test først, og eventuelt grave dypere om det er indikasjoner på uregelmessigheter (Cleary og Thibodeau, 2005). Blir antall observasjoner stor anbefales det å bruke MADtesten. Tips til effektiv bruk Vurder om Benfords lov er det mest egnede verktøyet for analyseformål Fokuser analysen - se på det som er relevant, men ha samtidig stor nok populasjon å teste Vurder om tallmengden kan rimelig forventes å følge Benfords lov Finn ut hvilke relevante beløpsgrenser eksisterer og utform analysen tilsvarende Finn ut om det er regelmessige transaksjoner som inngår i tallmengden Velg egnet statistisk test Det vil ofte være tilstrekkelig å fokusere på siffer som forekommer oftere enn forventet (Singleton, 2011). At de andre sifrene forekommer mindre er bare en logisk konsekvens 8 SIRK nr

9 Shady business fore bygging, avdekking, håndtering Grafisk framstilling av fordeling i et sett med regnskapstall. Kjikvadrat-test og z-test viser signifikant avvik fra forventing, selv om avvikene er små. Forfatteren takker statsautorisert revisor Bjarte Jonassen, Jan Oddvar Lia, Kent Harald Unsgaard og Janne Britt Saltkjel for verdifulle innspill. Kilder: Cleary, R. og Thibodeau, J.C., Applying Digital Analysis Using Benford s Law to Detect Fraud: The Dangers of Type I Errors, Auditing: A Journal of Practice & Theory, utgave 24, No.1, s , 2005 Dobša, J. og Žgela, M., Analysis of Top 500 Central and East European Companies Net Income Using Benford s Law, Journal of Information and Organizational Sciences, utgave 35, No. 2 (2011), s , 2011 Durtschi, C., Hillison, W. og Pacini, C., The Effective Use of Benford s Law to Assist in Detecting Fraud in Accounting Data, Journal of Forensic Accounting, utgave /Vol V, s , 2004 Jonassen, B. Benfords lov matematikk mot økonomisk kriminalitet, Revisjon og Regnskap, utgave 1/2002, s , 2002 Miller, Steven J., Benford's Law and Fraud Detection, or: Why the IRS Should Care About Number Theory!, presentasjon v/ Bronfman Science Lunch, Nigrini, M. J. I've Got Your Number, Journal of Accountancy, side 79-84, utgave 187. Issue 5, Nigrini, M.J., Forensic Analytics: Methods and Techniques for Forensic Accounting Investigations, John Wiley & Sons, 2011 Singleton, T.W., Understanding and Applying Benford s Law, The ISACA Journal, utgave 3/2011, webutgave, Y o u h a v e t h e k n o w l e d g e. W e h a v e t h e t o o l s. With IDEA, you can lower your cost of analysis, add more quality to your work and meet the new professional requirements regarding fraud and IDEA to work for you. IDEA can infobv@caseware.com SIRK nr

10 Shady business fore bygging, avdekking, håndtering Cybersikkerhet angår alle Av manager Per Arthur Raastad og seniorkonsulent Bjørn Ingvar Kydland i Deloitte Cybersikkerhet er et område som de siste årene har fått mer og mer spalteplass i media. Men hva er egentlig cybersikkerhet, og hvordan bør man jobbe for å sikre seg mot de trusler som finnes i cyberspace? Dette er noe av det vi for søker å sette fokus på i denne artikkelen. Per Arthur Raastad Bjørn Ingvar Kydland Da det ikke eksisterer noe godt norsk begrep, har vi i denne artikkelen valgt å bruke cybersikkerhet. Bakgrunn I løpet av våren 2012 har vi i Norge sett flere eksempler på hvor sårbare vi har blitt for risikoer knyttet til cybersikkerhet. Et eksempel er distribuerte tjenestenektangrep, også kjent som DDoS (distributed denial-of-service) angrep, som har rammet en rekke norske virksomheter denne våren. Disse angrepene er i seg selv som oftest ikke mer ødeleggende enn at nettsidene til de rammede virksomhetene går ned som følge av at de bombarderes av forespørsler som de til slutt ikke klarer å håndtere. Distribuerte tjenestenektangrep kan være irriterende nok, men det finnes langt skumlere farer i cyberspace. Den siste tiden har vi sett flere tilfeller der et virus krypterer filer på datamaskiner, hvorpå bakmennene tilbyr seg å låse opp krypteringen mot «løsepenger». Dette er hendelser som treffer både privatpersoner og selskaper, og er man først infisert vil man selv infisere andre som besøker nettsiden din. Spesielt ubehagelig blir det når aktører man har tillit til er infisert. Flere norske virksomheter har på sine nettsider i løpet av våren 2012 uvitende infisert besøkende med denne type virus. Søker man etter «løsepengevirus» på Google kan man lese flere artikler om dette. Det finnes et utall andre eksempler på selskaper og nasjoner som har blitt offer for ulike former for cyberkriminalitet. Et velkjent angrep er Stuxnet 1 som angrep atomreaktorer i Iran tilbake i Den 23. april i år publiserte NTB en nyhet om at «Iran etterforsker et mulig hackerangrep mot landets viktigste oljeterminal og oljedepartementet i landet, ifølge industrikilder.» Så er det mulig vi ser en ny utgave av Stuxnet? selskap kan ha brukt år på å bygge opp. Slike angrep trenger ikke nødvendigvis å være veldig sofistikerte. Deloitte har laget en video som viser hvor lett det kan være å trenge inn i de innerste deler av et selskap, se Studier relatert til cybersikkerhet I en nylig sikkerhetsundersøkelse i regi av Deloitte sier 1/3 av de spurte virksomhetene at deres organisasjon ikke gjør noe for å sikre seg mot cyberkriminalitet, 2/3 av disse igjen vedgår at man bør gjøre noe, men at man ikke har kommet i gang. World Economic Forum har cyper attacks på listen over de fem globale risikoene som anses mest sannsynlig de neste ti årene. 1/3 av de spurte virksomhetene sier at de ikke gjør noe for å sikre seg mot cyberkriminalitet. Hva sier så dette? Først og fremst sier det at 2/3 av selskapene i undersøkelsen gjør et stykke arbeid for å kartlegge truslene de står ovenfor med tanke på cyberkriminalitet, enten ved at man har egne ansatte, eller benytter dedikerte selskaper for å kartlegge mulighetene og risikoene knyttet til cyberkriminalitet. Det er et mindretall på 13 % som ikke er bekymret eller ikke har tatt stilling til problemstillingen cyber kriminalitet. Det som er interessant er de 22 % av respondentene som svarer at de for tiden ikke gjør noe arbeid, men som innser at man bør gjøre grep med hensyn til cyberkriminalitet. Hva er årsaken til at man erkjenner at man bør handle uten å gjøre noe med det? En årsak kan være at de som har svart på undersøkelsen på vegne av selskapet innser at man må gjøre noe, men at man ikke får støtte i ledelsen i organisasjonen. En annen årsak kan være at dette er et område virksomheten ikke har prioritert fram til nå, men som man nå begynner å se viktigheten av. Også det at mediene stadig skriver om nye tilfeller av anslag mot både offentlige og private selskaper så vel som privatpersoner bidrar til å øke bevisstheten rundt temaet. Et annet eksempel er sikkerhetssertifikatutstederen DigiNotar fra Nederland som høsten 2011 ble rammet av et angrep der angriperne sendte ut falske sikkerhetssertifikater på vegne av DigiNotar. Under én måned etter angrepet ble DigiNotar begjært konkurs. Dette viser hvor mye tillit betyr i relasjoner mellom forretningspartnere, og hvor lett det er å miste den tilliten et World Economic forum har de siste årene vurdert sannsynlighet for at ulike typer hendelsesscenarier skal slå til. I rapporten fra april 2012 finner vi for første gang «cyber attacks» på listen over de fem globale risikoene som anses mest sannsynlig de neste ti årene. 1 Stuxnet er en type virus man kaller ormer som utnyttet sikkerhetshull i datasystemer og tok blant annet kontroll over styringssystemene til iransk atomindustri. 10 SIRK nr

11 Shady business fore bygging, avdekking, håndtering I dagens ustabile økonomiske verdenssituasjon er det interessant å se at det kun er tre altomfattende samfunnsøkonomiske om råder som regnes å ha større sannsynlighet for å inntreffe enn cyberangrep: - vesentlige forskjeller i lønninger - vedvarende skatteskjevheter - økning i utslipp av drivhusgasser En krise i drikkevannsforsyning kaprer den siste plassen på topp-5. Dette sier noe om at verdens ledende økonomer og ledere ser på cybersikkerhet som et prioritert område framover. Allerede i mai 2009 holdt president Obama en tale der han forklarte viktigheten av å sikre verdiene i cyberspace. Selv nå, tre år etter er talen vel verdt det drøye kvarteret den varer. Obama forteller om flere av de mest kjente globale cyber - angrepene, følgene disse kan få for verdensøkonomien og tiltakene som ble startet opp på det tidspunktet. ( Dette er med andre ord ikke noe nytt, men i høyeste grad en problemstilling man må ta på alvor fremover. Tiltak for å ta hånd om problemene Det mest problematiske ved cybersikkerhet er stadig utviklende sikkerhetsrisikoer. Den tradisjonelle tilnærmingen har vært å fokusere mest på de viktigste komponentene i systemet, og beskytte seg mot de store kjente truslene. Det førte gjerne til at systemkomponenter man anså som mindre viktige ble etterlatt forsvarsløse. En slik tilnærming er utilstrekkelig i dagens miljø. Rådgivende organisasjoner fremmer nå en mer proaktiv og adaptiv tilnærming. The National Institute of Standards and Technology (NIST), har eksempelvis nylig utgitt oppdaterte retningslinjer i sitt rammeverk for risikovurdering, hvor det anbefales en forskyvning mot kontinuerlig overvåking og sanntidsvurderinger. Hva skjer i Norge? I 2009 laget NSM (Nasjonal sikkerhetsmyndighet) et utkast til nasjonal strategi for cybersikkerhet, som var ute på høring første halvdel av Siden da har dette området blitt inkludert i arbeidet med å revidere de nasjonale retningslinjene for informasjonssikkerhet. Disse retningslinjene er ikke gitt ut når dette skrives (medio mai), men skal etter planen være ferdig før sommeren Vi skal ikke dvele for mye med hva som har vært, men heller se framover og poengtere hvor viktig dette arbeidet er i tiden som kommer. Også på det nasjonale plan, men vel så viktig er hva som bør gjøres ute i den enkelte virksomhet. Tiltak i den enkelte virksomhet Selv om vi har nasjonale retningslinjer for cyber- og informasjonssikkerhet, blir det viktigste arbeidet gjort ute i den enkelte virksomhet. Det er viktig å ha en tydelig sikkerhetspolitikk på tvers i organisasjonen, som gjør at alle drar samme vei. Ingen selskaper er sterkere enn sitt svakeste ledd, slik at både ledelsen og den enkelte medarbeider må engasjeres i arbeidet. Viktige momenter å tenke på når man planlegger arbeidet rundt cybersikkerhet er: - Forankring i ledelsen - Ledelsen må frigjøre nok ressurser i organisasjonen som er dedikert til å jobbe med dette - Modenhetsanalyser på sikkerhet hvordan bidrar de eksisterende sikkerhetsinnstillinger til sikkerhetsarbeidet i virksomheten? SIRK nr