Advisory Integrering av IT i virksomhetens helhetlige risikostyring Tekna Risiko og sikkerhet i IKT-systemer Max Österlund (max.osterlund@no.ey.com, mobil: 995 05 610) Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til andre uten å på forhånd ha innhentet skriftlig tillatelse. 12.03.2008
Agenda Behov og utfordringer Fundamentet for god risikostyring Samordning av IT- og virksomhetsrisiko Verdien av god IT-risikostyring 2 Advisory
Hvorfor skal IT integreres i virksomhetens helhetlige risikostyring? Enhver IT-direktør/-sjef eller sikkerhetsansvarlig må sørge for at ITrisikostyringen understøtter virksomhetens helhetlige risikohåndtering Det er viktig å løfte IT-risikoer til et høyere nivå for å kunne se om IT utgjør et hinder for virksomhetens måloppnåelse Toppledelsen må gjøres bevisst på hvilke IT-risikoer som må adresseres, for å sikre nødvendig forankring og støtte for risikoreduserende tiltak - Mange forbedringstiltak er avhengig av støtte fra flere interessenter i organisasjonen, ikke bare IT 3 Advisory
Eksempel på opplevde utfordringer innen IT-risikostyring Risikovurderinger utføres på ulike nivåer (avdelinger, divisjoner etc.), ofte ukoordinert og uten at IT integreres Å samkjøre risikovurderinger som blir utført basert på ulike lover og regler som IK-forskriften, IKT-forskriften, POL osv. IT-risikovurderinger utføres ved hjelp av standarder som CobiT eller ISO 17799, og mister fokus fra virksomhetens strategiske målsettinger IT-risikovurderinger blir utført en gang i året eller sjeldnere, og utgjør ikke et strategisk virkemiddel for å nå virksomhetens målsettinger Styring og kontroll av IT-risiko hos 3. parts/outsourcing leverandører er ofte mangelfull 4 Advisory
Compliance Risk anses åvære den største utfordringen Figuren viser resultatet av en undersøkelse EY har utført i samarbeid med Oxford Analytica, hvor over 70 analytikere fra 20 ulike disipliner glomalt ble intervjuet. Fokus i intervjuet var åidentifisere nye trender og usikkerheter som vil drive fremgangen hos ledende globale virksomheter de neste 5 årene. Kommentarer Risikoen for at virksomheter ikke lykkes med å etterleve regulatoriske krav ble vurdert til å være den største strategiske utfordringen En viktig forutsetning for å kunne etterleve lover og regler på en effektiv måte, er gode risikostyringsprosesser 1 Strategic Business Risk, 2008 the Top 10 Risks for Business 5 Advisory
I en global undersøkelse 2 utført av EY i 2007 ble følgende forbedringsområder identifisert innen IT-risikostyring Overordnet styring og strategisk tilnærming til IT-risikohåndteringen Bevissthet og opplæring knyttet til risikostyring Felles begrepsapparat for alle risikohåndteringsfunksjoner Samordning mellom IT og øvrige risikostyringsfunksjoner Implementere verktøy for åkunne optimalisere etablerte prosesser Mer holistisk og robust risikorapportering til ledelsen Felles rammeverk/struktur for rapportering 2 Managing Information Technology Risk A Global Survey for the Financial Services Industry 6 Advisory
Agenda Behov og utfordringer Fundamentet for god risikostyring Samordning av IT- og virksomhetsrisiko Verdien av god IT-risikostyring 7 Advisory
Et rammeverk for helhetlig virksomhetsstyring gir struktur Mål og resultatstyring Virksom- hetsidé Visjon og målm Strategi Styringsprinsipper Målstyring angir retning og fart Konkretisering og formidling av målkrav Oppfølgning av måloppnåelse ift målkrav Organisering Rapportering Drift Måling Oppfølging Risikostyring og intern kontroll Gjennomføring Mål- og resultatkrav Styrende dokumenter er Mennesker Prosesser Planlegging P Program Portefølje Risikostyring og internkontroll Prosjekt Risikostyring skal forebygge og redusere konsekvensen av negative hendelser Identifisere og forebygge risiko Oppfølging mht. håndtering av risiko 8 Advisory
Et felles begrepsapparat gjør integrasjon av IT-risiko lettere Eksempel påkategorisering av risikoer Strategisk Operasjonell Finansiell Etterlevelse Planlegging og ressursallokering Større initiativer og investeringer Oppkjøp og fusjoner Markedsdynamikk Kommunikasjon og investorrelasjoner Salg og markedsføring Organisasjonens verdikjede og virksomhetsprosesser Medarbeidere IT og sikkerhet Fasiliteter Marked Likviditet og kreditt Regnskap og rapportering Skatt og avgift Kapitalstruktur Virksomhetsstyring Code of Conduct Regulatoriske forhold Internkontroll 9 Advisory
Agenda Behov og utfordringer Fundamentet for god risikostyring Samordning av IT- og virksomhetsrisiko Verdien av god IT-risikostyring 10 Advisory
Prosessbeskrivelse for IT-risikovurdering (eksempel) 1 Kartlegge virksomhetens og IT-funksjonens strategiske mål og initiativ Sikre en god forståelse av virksomhetens mål og strategi, da risikoene skal mappes opp mot disse. Det er også viktig å vite hvilke systemer som er de mest kritiske for virksomheten. 2 Identifisere og klassifisere IT-risikoer Samle riktige nøkkelpersoner for å identifisere IT-risikoer. Klassifiseringen bør fortrinnsvis følge en etablert struktur som alle er kjent med. 3 4 5 Vurdere IT-risiko Konsolidere IT-risiko og tildele risikoeier Identifisere og prioritere tiltak Definere på forhånd hvilke kriterier som skal benyttes, og hva som er akseptabelt risikonivå. Vurdere sannsynlighet og konsekvens for alle identifiserte risikoer. IT-risikoene aggregeres og samles med virksomhetens øvrige risikovurderinger. Dersom risikoen påvirker flere avdelinger, bør risikoeieren være en som har myndighet til å iverksette tiltak påtvers Identifiserte tiltak bør prioriteres og legges inn i virksomhetens årlige handlingsplaner 6 Oppfølging av tiltak Risikoeieren er ansvarlig for å følge opp at tiltakene blir iverksatt i henhold til plan. 11 Advisory
Koble risikoer til mål og virksomhetsprosesser Virksomhetens mål og strategier Øke inntekter og markedsandeler Bedre kundeservice Forbedre lønnsomheten i investeringer Redusere driftskostnader Utvide produktporteføljen Ekspandere til nye markeder Forbedre kundeservice Forbedre tjenestekvalitet Maksimere avkastningen på investert kapital Realisere gevinster fra investeringer i IT Optimalisere operasjonell effektivitet Bedre kvaliteten på virksomhetsprosesser Beholde dyktige medarbeidere Linke risikoene til virksomhetens mål Evaluere hvilken betydning risikoen har for måloppnåelsen Risikoområder Internasjonal ekspansjon Produktutvikling Valutaendringer Renteendringer Kontrakter Rekruttering Etterlevelse av lover og regler Pensjonskostnader Leverandøravhengigheter Outsourcing Katastrofeberedskap IT-infrastruktur IT-sikkerhet Finansielle rapportering Linke risikoer til virksomhetsprosesser Evaluere styring og kontroll 1 Kartlegge virksomhetens og IT-funksjonens strategiske mål og initiativ Innkjøp Produksjon Distribusjon Virksomhetsprosesser Produktutvikling Forretningsutvikling Kundeservice 12 Advisory
Klassifisering av systemer sikrer en omforent forståelse av hva som er kritisk for virksomheten 1 Kartlegge virksomhetens og IT-funksjonens strategiske mål og initiativ Høy (maks. 2 dager) Svært høy Kritisk Tilgjengelighet Middels høy (3-5 dager) Høy Svært høy Moderat (>5) Middels høy Høy Åpen/Intern Intern, begrenset konfidensiell, høy integritet Svært sensitiv, konfidensiell, svært høy integritet Konfidensialitet/integritet 13 Advisory
Hjernekart kan trigge risikoer En måte åidentifisere risikoer påer ålage hjernekart som gir oversikt over relevante områder som kan legges til grunn i risikovurderingen. Dette hjernekartet viser et eksempel pårelevante prosesser påit-området. 2 Identifisere og klassifisere IT-risikoer 14 Advisory
Identifisere og vurdere risiko sammen med forretningssiden 2 3 Identifisere og klassifisere IT-risikoer Vurdere IT-risiko Identifiserte risikoer dokumenteres, klassifiseres og vurderes opp mot hvilke mål som står i fare, dersom risikoen realiseres Identifiseringen av IT-risiko må samordnes med forretningssiden slik at konsekvensvurderingen blir riktig Sannsynlighetsvurderingen blir mest riktig når de som kjenner kontrollmiljøet best deltar Trussel (hva kan gå galt) Overskrift Beskrivelse Overskrift Beskrivelse KONSEKVENS 3 Årsak Hva er årsaken til at trusselen kan forekomme? Hva er årsaken til at trusselen kan forekomme? 6 4 2 Kategori og type Operasjonell ITinfrastruktur Operasjonell sikkerhet konfidensialitet 4 8 12 16 2 1 4 Risikomatrise 3 9 6 3 1 12 8 4 2 Mål som står i fare Bedre kundeservice Reduserte kostnader SANNSYNLIGHET 15 Advisory
4 Konsolidering av risikoer Konsolidere IT-risiko og tildele risikoeier Konsolidering av risikoene viser ledelsen de mest kritiske for hele virksomheten 4 Risikoer som er kritiske for en avdeling, trenger ikke å være kritiske for hele virksomheten 4 Et felles begrepsapparat og en felles struktur gjør det mye lettere å konsolidere 4 Konsolidering av risikoer gjør det mulig å identifisere tiltak på tvers av organisasjonen. Dette vil sikre en effektiv ressursallokering når tiltak iverksettes 4 Ved å konsolidere identifiserte risikoer, vil virksomheten få et helhetlig bilde av de viktigste risikoene, inkludert IT Divisjon/avdeling 1 Divisjon/avdeling 2 Divisjon/avdeling 3 IT Strategic Strategic Risk Risk Profile 16 Advisory 2008 Ernst & Young AS - all rights reserved
Agenda Behov og utfordringer Fundamentet for god risikostyring Samordning av IT- og virksomhetsrisiko Verdien av god IT-risikostyring 17 Advisory
Verdien av åha god IT-risikostyring som er integrert med virksomhetenes helhetlige risikostyring Bedre forståelse hos ledelsen mht. hvordan IT kan utgjøre en risiko for organisasjonens måloppnåelse Bedre planlegging og eliminering av dobbeltarbeid, da en får bedre oversikt over arbeidet som skal gjøres mht. risikostyring Mer hensiktsmessig ressursbruk på risikoreduserende tiltak Reduserte kostnader assosiert med etterlevelse av lover og regler Arbeidet med å redusere risiko oppleves som meningsfullt, da risikoene er tett knyttet opp mot avdelingens egne og virksomhetens overordnede mål God risikostyring øker tilliten og styrker renommeet i markedet 18 Advisory