INTERNREVISJONENS REISE MOT 2020 IIA NORGES ÅRSKONFERANSE 2018 DOROTHEE SAUER HÅKON LØNMO 29. MAI 2018 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen tilhører BDO AS eller BDO Advokater AS, og skal ikke kopieres eller distribueres uten vårt skriftlige samtykke.
AGENDA Datakriminalitet og cybersecurity - Virksomheters behov - Internrevisjonens bidrag - Case: Agder Energi AS 3 ting å ta med seg Side 1
FORVENTNINGER TIL INTERNREVISJONEN I DIGITALISERINGENS TIDSALDER Digitalisering påvirker krav om kompetanse og oppdatert metodikk Digitalisering påvirker også kontrolltenkningen i våre virksomheter Kjenn forretningen også fra utsiden og inn, noe som krever et annet tankesett enn tidligere. Nye krav til kompetanse og mer entreprenørskap i form av endrede arbeidsprosesser og verktøy Begge punktene krever stor endringsvillighet. Ellen Brataas, CEO & Generalsekretær IIA Norge Frank Alvern, tidl. leder for internrevisjonen i Forsvarsdepartementet Tenke nøye gjennom: hvor står vi i dag, og hvilken retning skal vi gå? Bakover i retning bekreftelser; nedover mot stadige pålegg fra tilsynet om revisjon; fremover i retning strategi? Reidar Døli, Group Internal Auditor Oslo Børs Side 2
REISEN GJELDER FLERE OMRÅDER Formål Fokus Omfang Nye muligheter (metodikk) Internrevisjon som profesjon Side 3
«GJØR VI TINGENE RIKTIG?» «GJØR VI DE RIKTIGE TINGENE?» Hva er rotårsaken? Proaktiv rolle Betrodd rådgiver Bekreftelse Side 4
INTERNREVISJON SOM BETRODD RÅDGIVER Reservert tid for bistand av stakeholders både proaktivt og ved forespørsel Tydelig sammenheng mellom organisasjonens mål, risikoer og revisjonsprosjekter Sikre internrevisjonens bidrag til merverdi til virksomheten Side 5
INTERNREVISJONENS FOKUS ENDRER SEG Assurance i forhold til Strategi strategi og M&A Strategi Assurance i forhold til Virksomhetsstyring virksomhetsstyring og risikostyring og risikostyring Assurance i forhold til Virksomhetsstyring virksomhetsstyring og risikostyring og risikostyring Assurance i forhold til Prosjekter ifm. prosesser & prosesser & operasjonell styring operasjonell styring og kontroll og kontroll Assurance i forhold til Prosjekter prosesser & ifm. prosesser & operasjonell styring og kontroll Side 6 NÅ FREMTID
DIGITALISERING SKAPER OGSÅ NYE SÅRBARHETER Fokusområde: Datakriminalitet og Cybersecurity Side 7
Side 8
Side 9
TRADISJONELL KRIMINALITET GÅR STADIG NEDOVER DATAKRIMINALITET ØKER I OMFANG Side 10 Lovbrudd anmeldt per 1 000 innbyggere (SSB) Rapporterte mistenkelige transaksjoner etter Hvitvaskingsloven 4 (Økokrim)
CYBERTRUSLER HØYERE AVKASTNING LAVERE RISIKO Trusselen består av motiverte mennesker med stor tilpasningsdyktighet Virksomheter kan bli frarøvet svært store verdier Hva skjer dersom viktige systemer blir satt ut av spill? Vanlige digitale trusler som treffer «alle» - Direktørsvindel (CEO fraud) - Nettfiske (Phishing) - Løsepengevirus (Ransomware) Side 11
DIREKTØRSVINDEL Falske meldinger fra daglig leder - E-post, SMS, telefon Kan også overta/hacke lederens e-postkonto Lurer økonomimedarbeider til å overføre penger Kilde: e24.no 30.03.2018 Side 12
NORGESHISTORIENS STØRSTE «BREKK» Kilde: vg.no 18.04.2016 Andre eksempler på vellykket direktørsvindel i Norge - Juni 2017 Festspillene i Nord-Norge 770.000 kr - Mai 2018 Stavanger kommune 500.000 kr Side 13
NETTFISKE ID-TYVERI Svindlerne er ute etter - Passord - Personopplysninger Side 14
NETTFISKE PASSORD TIL E-POST (WEBMAIL) Side 15
NETTFISKE NETTBANKSVINDEL Side 16
Kilde: dn.no 19.10.2015 Side 17
LØSEPENGEVIRUS VEDLEGG I E-POST Skadevaren krypterer filer - Lokal disk og fellesområder Krever løsepenger for å låse opp filene Side 18
LØSEPENGEVIRUS LENKE I E-POST Fra: Telenor Mobil [mailto:epost@telnor.no] Sendt: 7. februar 2017 04:14 Til: Emne: Faktura Fra Telenor Norge AS, Mobil 4719078395896 Side 19 Kilde: ba.no 07.02.2017
WANNACRY LØSEPENGEVIRUS 12. MAI 2017 Side 20
DATAINNBRUDD KAN GI STORE TAP Uten IT i 10 dager Volumene i shippingvirksomheten falt 2,5 prosent Enhetskostnadene for faste bunkerpriser økte med 3,9 prosent Kilde: digi.no 07.11.2017 Side 21
GLOBALISERING GIR ØKT SÅRBARHET Metabo Norge AS - 10 ansatte - Driftsinntekter 44 millioner (2017) - Heleid av tyske Metabowerke Gmbh Kilde: digi.no 14.07.2017 Side 22
INTERNREVISJONENS BIDRAG
INTERNREVISJON CYBERSECURITY Gjennomgang av styringsdokumenter - Styringssystem for informasjonssikkerhet - Roller og ansvar - Policyer og rutiner - Risikovurderinger - Beredskapsplaner - Leverandørkontroll - Compliance: IKT-forskriften, Forvaltningsloven, Arkivloven, Sikkerhetsloven, Personvernforskriften, ++ Evaluering av sikkerhetskontroller for operasjonell sikkerhet - ISO/IEC 27002:2013 - Center for Internet Security (CIS) Top 20 Controls - NIST Cybersecurity Framework - Sikkerhetstesting Side 24
KUNDECASE AGDER ENERGI AS Sikkerhetsrevisjon driftskontrollsystemer Internrevisjon cybersecurity - Strategi - Implementerte sikringstiltak 1200 ansatte i konsernet Norges 4. største kraftprodusent Etablert konsernrevisjon Sikkerhetstesting - Teknologi: Innsidetest med fokus på driftskontrollsystemer og AMS - Mennesker: Phishing-øvelse (sosial manipulering) Side 25
KUNDECASE AGDER ENERGI AS Identifisere - Er systemer og data kartlagt, og kritikaliteten vurdert Beskytte - Har vi etablert tiltak for å redusere skade Oppdage - Finner vi de som evt. er kommet inn Reagere - Følger vi opp inntrengere og får vi dem ut Gjenopprette - Hvordan kommer vi tilbake i normal drift Kilde: N. Hanacek/NIST Side 26
KUNDECASE AGDER ENERGI AS Sikkerhetstesting Side 27
3 TING Å TA MED SEG Utfordring pga digitalisering: Cybersecurity Muligheter ved digitalisering: for eks. Business Analytics, Robotic Process Automation Forventninger til internrevisjon: Sikre og måle merverdi ved internrevisjon Side 28
KONTAKT INTERNREVISJON CYBERSECURITY +47 942 96 198 dorothee.sauer@bdo.no +47 902 58 910 hakon.lonmo@bdo.no Side 29