Internrevisjon i en digital verden

Størrelse: px

Begynne med side:

Download "Internrevisjon i en digital verden"

Benedikte Frantzen
7 år siden
Visninger:

1 Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu mai 2017 Services 1

2 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2

3 Exponential organizations Disruption Artificial intelligence Robotics Virtual and augmented reality 3

4 De teknologiske gjennombruddene og trendene gir store muligheter - The data focused internal audit function - The data enabled internal audit function 4

5 The data focused internal audit function

6 The data focused internal audit function Data satt sammen til informasjon er grunnlaget for beslutninger, ikke prosesser. Å kunne gi styret trygghet for dataenes konfidensialiteten, integritet og tilgjengelighet er en av internrevisjonens viktigste oppgaver 6

7 The data focused internal audit function I en IT-revisjon verifiseres det at virksomheten har tilstrekkelige kontroller på plass for styring, anskaffelse, forvaltning og drift av IT systemene som dataene strømmer gjennom Hvem verifiserer at dataene legges inn, prosesseres og rapporteres riktig i IT-systemene? 7

8 IT-revisjon i tradisjonell forstand Drift og forvaltning IT Governance ITrevisjon Prosjekter Tradisjonelt svak kobling mellom IT-revisjon og resten av revisjonen Egne avsnitt i revisjonsplanen Egne IT-revisjoner IT-revisjonene har ikke direkte sammenheng med andre revisjoner Egne IT-revisorer Compliance-fokus (COBIT) Bare IT-revisorene som forstår det.. Fokus på generelle IT-kontroller IT sikkerhet 8

9 Generelle IT-kontroller vs Spesifikke IT-kontroller 9

10 Spesifikke IT-kontroller Identifiser virksomhetens crown jewels Penger Integritet Intellektuell kapital Nøkkelprosesser Konfidensialitet Tilgjengelighet Tett kobling mellom IT-revisjon og resten av revisjonen IT-revisjon = Revisjon Integrert i revisjonsplanen IT-revisjon som en del av alle revisjoner Revisjon av IT underbygger andre revisjoner i samme periode Egne digitale eksperter, men høyere digital kompetanse hos alle revisorer Rammeverk som COBIT settes i en større sammenheng Alle skal ha tilstrekkelig forståelse av hvordan teknologi påvirker virksomhetens måloppnåelse 10

11 Cyber security Internrevisjonens rolle: Fokusområder i internrevisjonen: 11

Cyber security - penetration testing En penetrasjonstest simulerer et cyber-angrep fra eksterne og/eller interne Målsettingen med testen er å se om det er mulig å komme seg inn, snoke rundt, finne

12 Cyber security - penetration testing En penetrasjonstest simulerer et cyber-angrep fra eksterne og/eller interne Målsettingen med testen er å se om det er mulig å komme seg inn, snoke rundt, finne crown jewels og ta med seg disse ut evt ødelegge dem En penetrasjonstest gir ofte lite innblikk i kvaliteten og hensiktsmessigheten på virksomhetens helhetlige styring og kontroll på informasjonssikkerhet En penetrasjonstest supplerer, men erstatter ikke, en revisjon av virksomhetens helhetlige styring og kontroll på informasjonssikkerhet 12

13 The data enabled internal audit function

14 Hva er dataanalyse Bearbeidelse av mangfoldet av data til informasjon som kan benyttes til ulike formål og beslutninger Dataanalyse er prosessen for å utforske og modellere data med målsetting om å Trekke ut formålstjenlig informasjon Identifisere avhengigheter Etablere koblinger Trekke konklusjoner Støtte beslutningsprosesser 14

15 Dataanalyseprosessen Identifisere analyser og data Trekke ut data Transformere og laste data Prosessere data Visualisere/ presentere Følge opp funn 15

16 Hva må til? Forstå ulike datakilder og datatyper slik at man er i stand til å utnytte de mest effektive og hensiktsmessige dataanalysemetodene i riktig kontekst. Det betyr Grundig forståelse av virksomheten/området/tema etc. Vite hvilke data man trenger Datanalyseverktøy må være tilgjengelig Dataanalysekompetanse må være tilgjengelig 16

17 Data er relevant i hele internrevisjonsprosessen 17

18 Effektiv bruk av dataanalyse avhenger av modenhetsnivå 18

Modenhetsvurdering Ikke alle revisjoner er klare for, eller relevante for, en databasert tilnærming Datamodenheten bør vurderes i alle revisjoner Start enkelt

19 Modenhetsvurdering Ikke alle revisjoner er klare for, eller relevante for, en databasert tilnærming Datamodenheten bør vurderes i alle revisjoner Start enkelt og lite - bruk piloter for å utvikle internrevisorenes og den revidertes tillit til tilnærmingen Det er enklere å komme til continuous auditing enn du tror! 19

20 Tilgjengelige verktøy er ikke utfordringen... Det finnes alltid et verktøy som passer til akkurat din revisjon, men har du tilstrekkelig kompetanse til å bruke det, og er kostnaden verdt nytten? 20

21 Dataanalysekompetanse Hvilke av stegene under er revisjon? Identifisere analyser og data Trekke ut data Transformere og laste data Prosessere data Visualisere/ presentere Følge opp funn 21

22 Dataanalysekompetanse Identifisere analyser og data Trekke ut data Transformere og laste data Prosessere data Visualisere/ presentere Følge opp funn Er dette Internrevisjonens kjernekompetanse? Bør det være Internrevisjonens kjernekompetanse? 22

23 Fra uttrekksbaserte analyser til continuous auditing - noen tanker Uttrekk, transformasjon og prosessering av data i egne systemer vil i løpet av kort tid forsvinne. Analysene vil lages i, eller baseres på, datavarehus og andre av virksomhetens 1. og 2. linjes tilgjengelige systemer. Internrevisjonen lager egne analyser som adopteres av 2. og 1. linje. Internrevisjonen verifiserer løpende løsningen på avvikene som 1. og 2. linje avdekker med sine kontinuerlige avviksanalyser (continuous monitoring) Eksempel: Et konsern med virksomhet i mange land og mange ulike IT-systemer. Utvalgte data fra ERP, innkjøpssystem, kvalitet, produksjon samles i et datavarehus. Selskapet har også et GRC-system og flere andre relevante systemer utenfor datavarehuset. Internrevisjonen jobber nå med å lage en koffert til revisjonsteamene med standardanalyser til bruk i risikovurdering, planlegging og gjennomføring av revisjoner. 23

24 Eksempel på verktøy - process mining Eksemplet er fra en claims-prosess hos et skadeforsikringsselskap Spiller av alle saker som har gått gjennom claims-prosessen Identifiserer og presenterer visuelt hvordan sakene har blitt behandlet VIDEO INN HER! Gir god oversikt og bevis på effektivitet i prosessen samt identifikasjon av saker som har blitt behandlet utenom definert prosess 24

25 Takk for oppmerksomheten! 2017 PwC. All rights reserved. In this context, PwC refers to PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS, PricewaterhouseCoopers Accounting AS and PricewaterhouseCoopers Skatterådgivere AS which are member firms of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. 25

Like dokumenter

Finans Norges bransjenormer. PwC 1

Finans Norges bransjenormer. PwC 1 Finans Norges bransjenormer PwC 1 Agenda 1 2 3 Bakgrunn og prosess Bransjenormens oppbygging Veien videre 2 Bakgrunn og prosess 3 Bakgrunn og prosess 4 Agenda 1 2 3 Bakgrunn og prosess Bransjenormens oppbygging