SIRK. Shady business. Forebygging avdekking håndtering. Risiko Kontroll. Nummer 1, sommer 2012, 20. årgang. Hvordan balansere prestasjon og risiko?

Like dokumenter
April Kampen mot korrupsjon og misligheter Granskning og Forensic Services

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Internrevisjon i en digital verden

Nærings- og fiskeridepartementet

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

IKT-revisjon som del av internrevisjonen

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby

Hva kjennetegner god Risikostyring?

April Hvitvasking Hvor kommer pengene fra? Granskning og Forensic Services

Hvitvasking som operasjonell risiko Finans Norge, 10. Januar 2018

Kundetilfredshetsundersøkelse FHI/SMAP

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

NOMINASJONSKOMITÉENS INNSTILLING TILLITSVALGTE I NIRF

INTERNREVISJONENS REISE MOT 2020

Revisors rolle - Utfordringer og begrensninger. 5. Desember 2016, Aase Aamdal Lundgaard

Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway)

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Det kommunale og fylkeskommunale risikobildet - Sammendrag

Mislighetsrevisjon Sykehuset Innlandet HF

Never Waste a good crisis Compliance i en krisesituasjon

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Cyber Risk Mapping Kartlegging av cyberrisiko

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Finansiell revisjon revisjonsmandatet og misligheter

Sammenligning av ledelsesstandarder for risiko

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Følger sikkerhet med i digitaliseringen?

En praktisk anvendelse av ITIL rammeverket

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Samfunnsansvarleg næringsliv i Sogn og Fjordane

Endelig ikke-røyker for Kvinner! (Norwegian Edition)

NOMINASJONSKOMITÉENS INNSTILLING TILLITSVALGTE I NIRF

Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Lean markedsutvikling en raskere og tryggere vei til internasjonal vekst

Risikokultur grunnmuren i risikostyring

God virksomhetsstyring i praksis

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Revisors rolle knyttet til misligheter

ØKONOMISK KRIMINALITET ER VEL IRRELEVANT I HELSE OG OMSORGSSEKTOREN? INGE KROGSTAD, SAS INSTITUTE

Korrupsjon og misligheter i kommunal sektor revisors rolle

Digital Grid: Powering the future of utilities

Social Project Management. CIO Konferansen Prosjektstyring 09. juni 2016

Antikorrupsjonstiltak i leverandørkjeden. Råd og tiltak for å redusere korrupsjonsrisiko

UNDERSØKELSE AV KORRUPSJONSFOREBYGGENDE TILTAK I NORGES 25 STØRSTE BØRSNOTERTE SELSKAPER

Tradebroker. 5. juni "Forebygging, avdekking og håndtering av økonomisk kriminalitet" Gunnar Holm Ringen og Nicolai Skridshol.

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

GDPR krav til innhenting av samtykke

REVISJON AV COMPLIANCE-PROGRAMMER

Så hva er affiliate markedsføring?

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Mannen min heter Ingar. Han er også lege. Han er privatpraktiserende lege og har et kontor på Grünerløkka sammen med en kollega.

DOKUMENTASJON AV BALANSEN OG INTERNKONTROLL ADRA AS

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Slope-Intercept Formula

Samarbeidsbasert forskning er det mulig også i arbeidet med systematiske kunnskapsoversikter?

KROPPEN LEDER STRØM. Sett en finger på hvert av kontaktpunktene på modellen. Da får du et lydsignal.

Integritetsrisiko. Sikkerhetskonferansen september Intro. Knut Erik Friis knut.erik.friis@no.pwc.com

Digital Transformasjon

Seminar om betalingssystemer og IKT i finanssektoren,

// Translation // KLART SVAR «Free-Range Employees»

Endringer i ISO-standarder

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Han Ola of Han Per: A Norwegian-American Comic Strip/En Norsk-amerikansk tegneserie (Skrifter. Serie B, LXIX)

Familieeide selskaper - Kjennetegn - Styrker og utfordringer - Vekst og nyskapning i harmoni med tradisjoner

Kan cyber-risiko forsikres?

HMS og IKT-sikkerhet i integrerte operasjoner

Finansiell analyse og modellering for strategiske og finansielle beslutninger

... Annita Fjuk DESIGN THINKING

Hva gjør vi for å forhindre interne misligheter? NIRF Årskonferanse 2017, Oslo, 30. mai 2017 Svein Harald Skår, Statoil

PwCs evaluering av rådmannens arbeid med tiltaksplanen. Presentasjon av rapport for gruppeledermøte i Drammen kommune 5.

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Utvikling av skills for å møte fremtidens behov. Janicke Rasmussen, PhD Dean Master Tel

The regulation requires that everyone at NTNU shall have fire drills and fire prevention courses.

MANGFOLDSLEDELSE I BYGGENÆRINGEN UTVALGTE FUNN FRA FORSKNINGSRAPPORTEN «FLERKULTURELLE ARBEIDSPLASSER I BYGGENÆRINGEN»

Det digitale trusselbildet Sårbarheter og tiltak

Innhenting av konkurranseinformasjon

Erfaringer fra NIRF`s kvalitetskontroll

Identitetstyveri. NIRF Nettverk IT-revisjon / Nettverk Misligheter Nettverksmøte v/ seniorrådgiver Tommy Antero Kinnunen

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Norsk (English below): Guide til anbefalt måte å printe gjennom plotter (Akropolis)

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Konsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Verdier og organisasjonskultur - kan det måles?

Økokrim om forebygging og selvrapportering

FIRST LEGO League. Härnösand 2012

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Sikkerhetskultur. Fra måling til forbedring. Jens Chr. Rolfsen

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Den som gjør godt, er av Gud (Multilingual Edition)

Styring og intern kontroll.

Om 8 minutter kommer du til å smile som disse gjør! De neste 8 minuttene vil forandre ditt liv!

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Enkel og effektiv brukertesting. Ida Aalen LOAD september 2017

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Rapporterer norske selskaper integrert?

SAK NR OPPFØLGING AV ANTIKORRUPSJONSPROGRAM FRA HELSE SØR-ØST I SYKEHUSET INNLANDET VEDTAK:

Transkript:

SIRK Styring Internrevisjon Risiko Kontroll Nummer 1, sommer 2012, 20. årgang Shady business Forebygging avdekking håndtering Antikorrupsjon og internrevisor Tale fra tause tall - Benfords lov Varsling i Forsvaret Hvordan balansere prestasjon og risiko? Bankers testamente

REDAKTØRENS SPALTE Vi nærmer oss årets lyseste netter, men har i dette nummeret av SIRK valgt å fokusere på virksomhet av mer lyssky karakter. Korrupsjon, data - kriminalitet, innsidehandel, regnskapsog kursmanipulasjon; det begynner å bli mange eksempler på virksomheter som har frontet avissider eller hatt runder i retten til stor belastning for selskap og ansatte enten man er skyldig eller ikke. Ny teknologi skaper nye mulig heter og markeder - ikke bare for stueren virksomhet, men også for kriminelle aktører. Det neste store brekket ville skje elektronisk er en vanlig oppfatning i finansbransjen. Gitt at det stemmer, kan det allerede ha skjedd - eller være i ferd med å skje, men uten at virksom heten eller ofrene enda har merket det. Men fremveksten av hacking, phising, datatyveri, krav om løsepenger mot databeslag osv. betyr ikke at man kan neglisjere god gammeldags kontantbruk til ureglementerte betalinger, falske fakturaer, innsidehandel eller manipulerte anbudsrunder. Penetrering av nye markeder medfører gjerne både økning i eksisterende risikoer og eksponering for nye. For lovlydige virksomheter kan utfordringen i første omgang være å kjenne igjen og «diagnostisere» risiko for at ulovlig aktivitet kan forekomme. Man må vite om et fenomen for å kunne vurdere om det kan oppstå, og det krever stadig kompetansebygging, erfaringsutveksling og overvåking. Oppfinnsomheten har alltid vært sterk i menneskets jakt på økt levestandard - det gjelder ikke mindre for segmentet av befolkningen som praktiserer et tøyelig forhold til loven. Relasjonsbygging, veldedighet og samarbeid med andre selskaper kan påvirke korrupsjonsrisiko. Selskaper i Norge har i liten grad behøvd å sjekke hvem man faktisk gjør business med og risiko for korrupsjon, men dette forandrer seg med internasjonal eksponering. Samtidig møter IT-systemsiden stadige endringer i trusselbildet. Fra man identifiserer en risiko, handler det om å kunne gjøre noe med den. Internasjonalt ser vi en kraftig mobilisering fra myndighetshold mot korrupsjon, hvitvasking og cyberkriminalitet, inkludert økt ressursbruk på etterforskning og straffeforfølgelse, og skjerpede reaksjoner og straffetiltak. Dette betyr at det ikke bare gjelder å håndtere risikoen, men også å kunne dokumentere at man gjør det man kan. Hvordan er det med din virksomhet; hvor er cyber-risikoer plassert på risikokartet? Hvilke tiltak er implementert for bekjempelse av korrupsjon, gjennomføres due dill ved oppkjøp og vurderes risiko forbundet med nye samarbeids - partnere og leverandører? Hva fokuserer ledelsen på og hvordan kan risikostyring, compliance og internrevisjonen bistå virksomheten i håndteringen av slike risikoer? Har man den rette kompetansen? Vi håper artiklene i dette nummeret kan bidra til økt bevissthet og innsikt i noen av disse temaene. I tillegg til «shady business», presenteres aktuelt stoff om risikostyring og internkontroll, med fokus på kobling med virksomhetens strategi og måloppnåelse, og utvikling og praktisering av COSO-ERM. For noen virksomheter holder det ikke bare med risikostyring; «bankers testamente» skal sikre at bankers samfunnskritiske oppgaver kan videreføres dersom det virkelig går galt og banken kollapser. SIRK har dessuten gleden av å introdusere en spalte for bokanmeldelser, som vi håper etterhvert kan bli et fast innslag. Redaksjonen tar gjerne i mot tips om bøker som flere lesere vil kunne ha glede av. Til sist er det duket for utskifting; Anders Blix og Tor Solbjørg går ut av redaksjonen etter to års inspirerende samarbeid, mens Reidar Døli fra Oslo Børs/VPS, Kristoffer Igdun fra NAV og Esa Leporanta fra Forsvarsdepartementet kommer inn. Selv takker jeg for meg som redaktør og overlater rollen til Mari Vonen, som har bak seg ett år og flere solide bidrag som medlem i komiteen. Lykke til - både til ny redaksjonskomité og andre tillitsvalgte, og god sommer til alle! REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Janne Britt Saltkjel - leder Deloitte AS Postboks 347 Skøyen 0213 Oslo M: 99 12 01 95 jsaltkjel@deloitte.no Anders Blix Evry Konsernrevisjonen Postboks 640 Skøyen 0214 Oslo M: 48 30 03 87 anders.blix@evry.com Tor Solbjørg Helse Nord RHF 8038 Bodø M: 91 76 88 28 tor.solbjorg@helse-nord.no Mari Vonen PricewaterhouseCoopers AS Postboks 748, Sentrum, 0106 Oslo, M: 95 26 01 60 mari.vonen@no.pwc.com Randi Almås Norges Bank Postboks 1179 Sentrum 0107 Oslo M: 95 76 02 88 randi.almas@norges-bank.no Se mer info på www.iia.no 2 SIRK nr 1. 2012

Innhold 2 Redaktørens spalte 4 Styrets leder har ordet Shady business forebygging, avdekking, håndtering 6 Tale fra tause tall 10 Cybersikkerhet angår alle 14 Anti-Corruption Compliance. Korrupsjonsbekjempelse og internrevisjonens rolle 18 Audrius Šapola sikkerhet og risikostyring i SEB Bank i Litauen 20 Varsling i forsvarssektoren 24 The Challenge Risikostyring 28 Hvordan lykkes med å balansere prestasjon og risiko i virksomhetsstyringen? 30 CFO-undersøkelse om risikostyring: Mye på plass, men fortsatt en vei å gå 34 Governance, risikostyring og internkontroll i statlige investeringsfond 38 Testamenter for banker 42 COSO Thought Papers nyttig lesing for alle med interesse for risikostyring 44 Bokanmeldelse: Sorte svaner er risikovurderinger risikoutsatt? 45 Bokanmeldelse: Hva er samfunnet uten tillit? Foreningsnytt 46 Nytt nettverk i NIRF Ledernettverk for Finans 50 Compliancefunksjonen i et forsikringsselskap 52 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere 54 NIRFs årskonferanse: Å flytte fjell 55 På tampen NORGES INTERNE REVISORERS FORENING President Martin W. Stevens Gjensidige Forsikring Postboks 276 1326 Lysaker M: 95 75 01 92 martin.stevens@gjensidige.no Informasjons- og promoteringskomitéen Alf Martin Hanssen Statsbygg Postboks 8106 Dep 0032 Oslo J: 22 95 40 10 M: 92 21 44 66 amh@statsbygg.no Konferansekomitéen Siv Austad Hove If Skadeforsikring Postboks 240 1326 Lysaker J: 67 84 08 81 M: 92 22 17 45 siv.austad@if.no Programkomitéen Karl Ludvig Mauland PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 Oslo M: 95 26 07 63 karl-ludvig.mauland@no.pwc.com Redaksjonskomitéen Janne Britt Saltkjel Deloitte AS Postboks 347 Skøyen 0213 Oslo M: 99 12 01 95 jsaltkjel@deloitte.no Nominasjonskomitéen Solbjørg Lie NAV Internrevisjon Postboks 5 St. Olavs plass 0130 Oslo M: 90 87 64 35 solbjorg.lie@nav.no Foreningsekretariat Ellen C. Brataas Generalsekretær M: 97 62 05 65 ellen.brataas@iia.no Svein Stabekk Foreningssekretær M: 93 23 79 12 svein.stabekk@iia.no Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@iia.no Besøksadresse: Munkedamsveien 3 B, 3. etg. 0161 Oslo SIRK: Publikasjon fra Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: 1.300 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Desember 2012 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr. 5.000 for en helside Kr. 3.000 for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: istockphoto

Styrets leder HAR ORDET Ord fra presidenten Blant de hyggelige oppgaver ved å være President i vår forening må regnes det å få invitasjon til å delta på årskonferansen til våre søster foreninger i Skandinavia. Uken før vår egen konferanse befant jeg meg derfor på et konferansested ute på landsbygden på Jylland sammen med ca. 140 kollegaer fra IIA i Danmark. Der kunne jeg, ikke overraskende, raskt konstatere at internrevisorer i Danmark opplever en lignende utfordring som oss med hensyn til behovet for å prioritere bruken av våre knappe ressurser på de om råder som virkelig betyr noe for våre virksomheter, der hvor risikoen er størst. Det var det siste foredraget som gjorde mest inntrykk på meg. Det er kanskje altfor lett å glemme når man sitter her i Norge at det er en finanskrise av dimensjoner ute i Europa. Dette har ført blant annet til at det er godt og vel 15 banker i Danmark som de siste fire år er kommet i betydelige vanskeligheter - av disse er 11 tatt under vingene av Finansiell Stabilitet et statlig bank - investeringsfond. Foredragsholderen hadde analysert informasjon som kom frem fra åtte offentliggjorte advokatgranskinger. I syv av åtte tilfeller var årsaken konstatert å være for høy risikoprofil eventuelt kombinert med manglende risikostyring. I det siste til fellet var forretningsmodellen i seg selv ansett som grunnlaget for det uføret man kom i. Om man ikke hadde innsett det fra før, fikk man igjen bekreftelse på viktigheten av faget risikostyring for virksomheters overlevelsesevne. Typisk også var det at kjennetegn på disse virksomheter var mangel på checks and balances med en enerådende sjef og organisasjoner som ikke turde sette spørsmålstegn med de super positive fremdriftstegn som senere viste seg å ikke være annet enn omrisset av et luftslott. Dette fikk meg til å reflektere igjen over viktigheten av profesjonalitet ikke bare hos internrevisjonen, men hos alle i risikostyrings- og kontrollfunksjoner. Et vesentlig kjennetegn på profesjonalitet er etter min mening vår faglige integritet. Det at vi tør å si klart og uhildet fra om våre begrunnede vurderinger av tilstanden i organisasjonen og konsekvenser ved en videre ut vikling uten noen kursendring. Dette til tross for at det er sterke krefter som mener at det er viktigere ting å gjøre der og da som for eksempel å tjene penger. Så i disse sommerdagene løfter jeg glasset mitt og hyller de som tør å ta fast standpunkt og bevare sin faglige integritet. Til profesjonsintegritet! God sommer! 4 SIRK nr 1. 2012

Hvordan sikre måloppnåelse? Deloitte Internrevisjon kobler vektlegger fremoverskuende Ta gjerne kontakt med en av våre eksperter for å finne ut hva vi kan gjøre for din bedrift. Kontakt: tlf: 9 tlf: @deloitte.no @deloitte.no Karenslyst allé 0213 Oslo Tlf: 23 27 90 00 www.deloitte.no 201 Deloitte AS SIRK nr 1. 2012 5

Shady business fore bygging, avdekking, håndtering Tale fra tause tall - hvordan avsløre uregelmessigheter ved hjelp av regnskapstall Når misligheter og uregelmessigheter oppstår, utgjør regnskapet en viktig kilde for å spore hva som har skjedd. Men mange virksomheter har utallige transaksjoner gjennom året, og regnskapet utgjør derfor en uhorvelig mengde data. Uten noen konkrete indikatorer på forhånd, hvordan kan man vite hvor man skal lete og kan regnskapet i seg selv være en indikator? Frekvensen av hvor ofte 1, 2, eller 3 er første siffer i et sett med regnskapstall i mange tilfeller kan brukes til å identifisere uregelmessigheter. Intuitivt vil man anta at alle sifrene, fra 1 til 9, vil forekomme like ofte som første siffer, men faktisk er det mer enn 6 ganger så sann - synlig at 1 er første siffer (som i 15, 154, 154 600 etc.) enn at 9 er det. Grunnen til dette er et fascinerende fenomen som har fått navnet Benfords lov. Annalena Baer jobber som Consultant for Deloitte Enterprise Risk Services. En av hennes hovedinteresser er kvantitativ analyse og anvendt matematikk i internrevisjonssammenheng. Basert på Benfords Lov kan man beregne forventet fordeling av ulike sifre i regnskapsmessig datagrunnlag. Loven kan anvendes for det første siffer, de første to eller tre sifrene eller de siste sifrene. Avvik fra forventet fordeling kan brukes til å spore opp uregelmessigheter. Hvorfor fungerer Benfords lov? Det er nærliggende å tenke at alle tall har like stor sannsynlighet for å være første siffer, dvs. 11 %. Dette er riktig for tilfeldige tall, men stemmer ikke for naturlig forekommende tall («naturally occurring numbers»). De fleste regnskapstall vil kunne anses som naturlig forekommende tall (Durtschi et.al, 2004). Andre eksempler er befolkningstall, antall Twitter-follower, filstørrelse i Linux, eller resultattall for store bedrifter. En god intuitiv forklaring på hvorfor loven fungerer får man ved å se på vekst i en tallmengde, for eksempel en kundereskontro. Antar man at saldoen for kontoen er NOK 100 l, så må saldoen vokse med ytterlige NOK 100 eller 100 % før første siffer skifter fra 1 til 2. Deretter må beløpet bare vokse med 50 % før 3 blir første siffer, osv. Ved rimelig jevn vekst vil 1 derfor ha størst sann synlighet for å være første siffer. Mulige bruksområder Benford-analyse er således godt egnet til å fange opp uregelmessigheter som følge av feilaktige transaksjoner, for eksempel en tilstrekkelig mengde fiktive utbetalinger, hyppige omgåelse av beløps - grenser etc. Dette gjør verktøyet verdifullt i granskingssammenheng. Forskning at underslag ofte begynner med små beløp og fortsetter over lengre tid og beløpet gradvis øker (Nigrini, 1999). Disse transaksjoner vil som oftest vises som avvik fra forventet fordeling. I sin grunnleggende studie om bruk av Benfords lov i revisjon og gransking bruker Nigrini et eksempel fra et kredittkortselskap: Analysen viste at siffer - kombinasjonen 48 og 49 forekom uvanlig ofte. Ved nærmere gjennomgang viste det seg at en ansatt hadde nedskrevet en stor mengde gjeldsposter akkurat under godkjenningsgrensen på USD 5 000 fra kredittkort eid av vennene sine (Nigrini, 1999). Også for Enron viste Benfords lov avvik; resultattall fra 1997 til 2000 hadde en tendens til «runde» earnings per share, dvs. 0,10, 0,20 osv (Miller, 2008, Nigrini 2011). Dette er særlig interessant da fokus på en høy aksjekurs var den viktigste driveren i Enron-skandalen, og man i ettertid vet at Enron manipulerte tall for å nå sine kurs-mål. Mange avvik vil også ha en helt naturlig forklaring, og det leder til et annet mulig bruksområde av Benfords lov; loven kan brukes til å identifisere ineffisiens og mulige kontrollsvakheter. 6 SIRK nr 1. 2012

Shady business fore bygging, avdekking, håndtering Hvis f.eks. analyse av utbetalinger for et sykehus viser gjentatte innkjøp av kompresser til NOK 450 ved at det er uvanlig stor forekomst av dette beløpet i en stor datamengde, kan det være en mulighet å vurdere om det faktisk er nødvendig å kjøpe mange små mengder. Kan man eventuelt spare tid og penger ved å gjennomføre større, men færre innkjøp? Utstrakt bruk av databaserte rapporter og analyser medfører at det ofte finnes godt datagrunnlag og vil være veldig enkelt å gjennomføre en analyse basert på Benfords lov. Analysen er f. eks. del av ACL 1 s standardpakken, og kan også gjennomføres i Excel. For å dra full nytte av analysen er det likevel viktig å være bevisst på hvilke tall man analyserer og hvordan man tolker resultatene. Praktisk gjennomføring Generelt er det viktig å vurdere om populasjonen man ønsker å analysere med rimelighet kan forventes å følge Benfords lov. Tallmengder som ikke vil være egnet er tall som tildeles (kontonummer) tall med innebygd maksimum eller minimum (dato) beløp som velges av psykologiske grunner (pris), eller tall som beveger seg i trinnvise intervall (minibank). Konti som inneholder mange regel - messige transaksjoner av samme beløp (lønnstrekk for mobil, fagforenings - bidrag) vil heller ikke følge Benfords Lov. Om det likevel er interessant å undersøke transaksjonsmengden på en konto nærmere, kan det vurderes å ekskludere faste beløp før man kjører analysen. For en mest mulig målrettet analyse er det gunstig å vurdere hva man ser etter. Som regel vil det også være formåls - tjenlig å rette fokuset for analysen mot risikoområde man ønsker å dekke, og ikke analysere «alt» (for eksempel hele hovedboken). Samtidig er det ønskelig å ha en «stor nok» mengde observasjoner. Det finnes ulike anbefalinger i litteraturen. Cleary og Thibodeau anbefaler minst 100 og helst over 1000 observasjoner (Cleary og Thibodeau, 2005). Nigrini anbefaler minst 1000, og helst over 3000 observasjoner før man med rimelighet kan forvente at fordeling følger Benfords lov (Nigrini, 2011). Utvalg med færre observasjoner kan jf. Nigrini brukes, men man må da høyde for større for - ventede avvik. Analysen kan som nevnt gjennomføres for en eller for flere sifre, for eksempel de første to eller de aller siste sifrene i en tallmengde. Mistenker man at en beløpsgrense på NOK 25 000 ble omgått kan det være lurt å teste de første to sifrene. Er beløpsgrensen på NOK 50 000, kan man vurdere bare å teste første siffer. Vil man teste om beløp ble rundet opp eller ned er det mulig å se på de siste sifrene. Særlig for store datamengder vil en analyse av bare den første siffer være for overordnet (Nigrini, 2011). Her kan det anbefales å se på de første to eller tre sifrene samlet. Jonassen (2002) anbefaler å bruke ana - lysen for å teste særlig innkjøpssyklus (inngående fakturaer, varelagerlister og leverandørreskontro) og salgssyklus (kundefordringer, salgsdata og refusjoner). Både salgssyklus og innkjøpssyklus vil ofte anses som områder med høy risiko, samt at det er store datamengder. Andre anbefalte områder er utbetalinger og salgstall (Durtschi et al, 2004). Nigrini (Nigrini, 2011) anbefaler også å analysere positive og negative tallmengder separat. Grunnen til dette er at mulige manipulasjoner vil ha ulik motiv og ta ulik form. En bedrift som går med tap vil ønske å få tapet til å se minst mulig ut, mens det omvendte inntreffer for gevinst. Dobša og Žgela (Dobša, J. og Žgela, 2011) viste for eksempel at absoluttverdiene av inntektstall for 500 europeiske bedrifter stemte meget bra med Benfords lov, mens betraktninger av bedrifter som gikk med tap viste tydelig avvik for siffer 9. Dobša og Žgela formoder at 9 fungerte som en psykologisk grense i denne sammenhengen da et tap av 980 millioner for eksempel høres mindre ut enn tap av over 1 milliard. Iphone-koder vil ikke følge Benfords lov, da disse velges av brukerne Kilde: http://testingbenfordslaw.com/ 1 Audit Command Language SIRK nr 1. 2012 7

Shady business fore bygging, avdekking, håndtering derfor måtte foreta en avveining mellom ønsket om å dekke alt og realiteten av begrensede ressurser. For mange falske alarmer øker også risikoen for at reelle avvik drukner i støyet og blir uoppdaget. Fordeling av første siffer for resultat i absoluttverdier av 500 store bedrifter over 3 år (Gjengitt etter Dobša, og Žgela, 2011). Fordeling av første siffer for negativ resultat av 500 store bedrifter over 3 år (gjengitt etter Dobša, og Žgela, 2011) Hvordan vet jeg at avvik ikke er tilfeldig? For å finne ut om avvik skyldes tilfeldige variasjoner er statistiske tester egnet, for eksempel Kji-kvadrat-testen, z-testen eller MAD-test. For å kunne bruke Benfords Lov effektivt er det viktig å forstå implikasjonene av de ulike metodene. Kji-kvadrat-testen sammenlikner forventet med faktisk observert tallfordeling og returner en kji-kvadrat-verdi. Basert på denne kan man beregne sannsynligheten at variasjoner skyldes tilfeldigheter (Jonassen, 2002). Testen kan brukes for en generell vurdering av analysen, dvs. for å se hvordan fordeling for alle siffer samlet passer med forventet fordeling. Z-testen, som er standard i ACL, ser på avvik for hver kategori separat. Tester man fordeling av første siffer vil man kontrollere om antall 1 tilsvarer forventet antall, om antall 2 tilsvarer forventninger etc. Da man tester på mye mer detaljert nivå, er testen derfor mer sensitiv. I praksis betyr dette at en overordnet kjikvadrat-test gir et generelt inntrykk, men kan føre til at faktiske avvik ikke fanges opp (type II-feil). På den andre siden har Cleary og Thibodeau beregnet at sannsynligheten for falsk alarm (type I-feil) ved en test av hvert enkelt siffer kan ligge ved nesten 40 % (Cleary og Thibodeau, 2005). Å overse en feil eller mislighet kan være dyrt, men det er også kostbart å følge opp falske alarmer. I praksis vil man Både kji-kvadrat-testen og z-testen har den fordelen at de returnerer definitive sannsynligheter. Samtidig vil de raskere vise avvik når utvalgsmengden blir veldig stor, noe som ofte er tilfellet for regnskapsdata (se illustrasjonen nedenfor). Kji-kvadrat-testen vil ofte vise avvik allerede når antall observasjoner overskrider 5 000 (Nigrini, 2011). Også z-testen vil slår ut for relativt små avvik når antall observasjoner blir stor. Se figur neste side. Alternativet er å teste for mean average deviation (MAD-test), som viser avvik fra forventet antall i prosent. Her kan det fastsettes en øvre eller nedre grense for avvik som aksepteres. MAD-testen er uavhengig av utvalgets størrelse, og anbefales for revisjonsformål (Cleary og Thibodeau, 2005). Samtidig kreves det skjønn og noe erfaring for å fastsette grensene, selv om det finnes noen retningslinjer basert på praktisk erfaring (Nigrini, 2011). Hvilken test som vil være mest egnet avhenger av analysens formål, men et utgangspunkt kan være å ta en overordnet Kji-kvadrat test først, og eventuelt grave dypere om det er indikasjoner på uregelmessigheter (Cleary og Thibodeau, 2005). Blir antall observasjoner stor anbefales det å bruke MADtesten. Tips til effektiv bruk Vurder om Benfords lov er det mest egnede verktøyet for analyseformål Fokuser analysen - se på det som er relevant, men ha samtidig stor nok populasjon å teste Vurder om tallmengden kan rimelig forventes å følge Benfords lov Finn ut hvilke relevante beløpsgrenser eksisterer og utform analysen tilsvarende Finn ut om det er regelmessige transaksjoner som inngår i tallmengden Velg egnet statistisk test Det vil ofte være tilstrekkelig å fokusere på siffer som forekommer oftere enn forventet (Singleton, 2011). At de andre sifrene forekommer mindre er bare en logisk konsekvens 8 SIRK nr 1. 2012

Shady business fore bygging, avdekking, håndtering Grafisk framstilling av fordeling i et sett med regnskapstall. Kjikvadrat-test og z-test viser signifikant avvik fra forventing, selv om avvikene er små. Forfatteren takker statsautorisert revisor Bjarte Jonassen, Jan Oddvar Lia, Kent Harald Unsgaard og Janne Britt Saltkjel for verdifulle innspill. Kilder: Cleary, R. og Thibodeau, J.C., Applying Digital Analysis Using Benford s Law to Detect Fraud: The Dangers of Type I Errors, Auditing: A Journal of Practice & Theory, utgave 24, No.1, s. 77 81, 2005 Dobša, J. og Žgela, M., Analysis of Top 500 Central and East European Companies Net Income Using Benford s Law, Journal of Information and Organizational Sciences, utgave 35, No. 2 (2011), s. 215 228, 2011 Durtschi, C., Hillison, W. og Pacini, C., The Effective Use of Benford s Law to Assist in Detecting Fraud in Accounting Data, Journal of Forensic Accounting, utgave 1524-5586/Vol V, s. 17-34, 2004 Jonassen, B. Benfords lov matematikk mot økonomisk kriminalitet, Revisjon og Regnskap, utgave 1/2002, s. 62-64, 2002 Miller, Steven J., Benford's Law and Fraud Detection, or: Why the IRS Should Care About Number Theory!, presentasjon v/ Bronfman Science Lunch, 21.10.2008 Nigrini, M. J. I've Got Your Number, Journal of Accountancy, side 79-84, utgave 187. Issue 5, 1999. Nigrini, M.J., Forensic Analytics: Methods and Techniques for Forensic Accounting Investigations, John Wiley & Sons, 2011 Singleton, T.W., Understanding and Applying Benford s Law, The ISACA Journal, utgave 3/2011, webutgave, 2011. Y o u h a v e t h e k n o w l e d g e. W e h a v e t h e t o o l s. With IDEA, you can lower your cost of analysis, add more quality to your work and meet the new professional requirements regarding fraud and IDEA to work for you. IDEA can www.caseware-idea.no infobv@caseware.com SIRK nr 1. 2012 9

Shady business fore bygging, avdekking, håndtering Cybersikkerhet angår alle Av manager Per Arthur Raastad og seniorkonsulent Bjørn Ingvar Kydland i Deloitte Cybersikkerhet er et område som de siste årene har fått mer og mer spalteplass i media. Men hva er egentlig cybersikkerhet, og hvordan bør man jobbe for å sikre seg mot de trusler som finnes i cyberspace? Dette er noe av det vi for søker å sette fokus på i denne artikkelen. Per Arthur Raastad Bjørn Ingvar Kydland Da det ikke eksisterer noe godt norsk begrep, har vi i denne artikkelen valgt å bruke cybersikkerhet. Bakgrunn I løpet av våren 2012 har vi i Norge sett flere eksempler på hvor sårbare vi har blitt for risikoer knyttet til cybersikkerhet. Et eksempel er distribuerte tjenestenektangrep, også kjent som DDoS (distributed denial-of-service) angrep, som har rammet en rekke norske virksomheter denne våren. Disse angrepene er i seg selv som oftest ikke mer ødeleggende enn at nettsidene til de rammede virksomhetene går ned som følge av at de bombarderes av forespørsler som de til slutt ikke klarer å håndtere. Distribuerte tjenestenektangrep kan være irriterende nok, men det finnes langt skumlere farer i cyberspace. Den siste tiden har vi sett flere tilfeller der et virus krypterer filer på datamaskiner, hvorpå bakmennene tilbyr seg å låse opp krypteringen mot «løsepenger». Dette er hendelser som treffer både privatpersoner og selskaper, og er man først infisert vil man selv infisere andre som besøker nettsiden din. Spesielt ubehagelig blir det når aktører man har tillit til er infisert. Flere norske virksomheter har på sine nettsider i løpet av våren 2012 uvitende infisert besøkende med denne type virus. Søker man etter «løsepengevirus» på Google kan man lese flere artikler om dette. Det finnes et utall andre eksempler på selskaper og nasjoner som har blitt offer for ulike former for cyberkriminalitet. Et velkjent angrep er Stuxnet 1 som angrep atomreaktorer i Iran tilbake i 2009. Den 23. april i år publiserte NTB en nyhet om at «Iran etterforsker et mulig hackerangrep mot landets viktigste oljeterminal og oljedepartementet i landet, ifølge industrikilder.» Så er det mulig vi ser en ny utgave av Stuxnet? selskap kan ha brukt år på å bygge opp. Slike angrep trenger ikke nødvendigvis å være veldig sofistikerte. Deloitte har laget en video som viser hvor lett det kan være å trenge inn i de innerste deler av et selskap, se www.deloitte.com/cyber. Studier relatert til cybersikkerhet I en nylig sikkerhetsundersøkelse i regi av Deloitte http://www.deloitte.com/tmtsecuritystudy sier 1/3 av de spurte virksomhetene at deres organisasjon ikke gjør noe for å sikre seg mot cyberkriminalitet, 2/3 av disse igjen vedgår at man bør gjøre noe, men at man ikke har kommet i gang. World Economic Forum har cyper attacks på listen over de fem globale risikoene som anses mest sannsynlig de neste ti årene. 1/3 av de spurte virksomhetene sier at de ikke gjør noe for å sikre seg mot cyberkriminalitet. Hva sier så dette? Først og fremst sier det at 2/3 av selskapene i undersøkelsen gjør et stykke arbeid for å kartlegge truslene de står ovenfor med tanke på cyberkriminalitet, enten ved at man har egne ansatte, eller benytter dedikerte selskaper for å kartlegge mulighetene og risikoene knyttet til cyberkriminalitet. Det er et mindretall på 13 % som ikke er bekymret eller ikke har tatt stilling til problemstillingen cyber kriminalitet. Det som er interessant er de 22 % av respondentene som svarer at de for tiden ikke gjør noe arbeid, men som innser at man bør gjøre grep med hensyn til cyberkriminalitet. Hva er årsaken til at man erkjenner at man bør handle uten å gjøre noe med det? En årsak kan være at de som har svart på undersøkelsen på vegne av selskapet innser at man må gjøre noe, men at man ikke får støtte i ledelsen i organisasjonen. En annen årsak kan være at dette er et område virksomheten ikke har prioritert fram til nå, men som man nå begynner å se viktigheten av. Også det at mediene stadig skriver om nye tilfeller av anslag mot både offentlige og private selskaper så vel som privatpersoner bidrar til å øke bevisstheten rundt temaet. Et annet eksempel er sikkerhetssertifikatutstederen DigiNotar fra Nederland som høsten 2011 ble rammet av et angrep der angriperne sendte ut falske sikkerhetssertifikater på vegne av DigiNotar. Under én måned etter angrepet ble DigiNotar begjært konkurs. Dette viser hvor mye tillit betyr i relasjoner mellom forretningspartnere, og hvor lett det er å miste den tilliten et World Economic forum har de siste årene vurdert sannsynlighet for at ulike typer hendelsesscenarier skal slå til. I rapporten fra april 2012 finner vi for første gang «cyber attacks» på listen over de fem globale risikoene som anses mest sannsynlig de neste ti årene. 1 Stuxnet er en type virus man kaller ormer som utnyttet sikkerhetshull i datasystemer og tok blant annet kontroll over styringssystemene til iransk atomindustri. 10 SIRK nr 1. 2012

Shady business fore bygging, avdekking, håndtering I dagens ustabile økonomiske verdenssituasjon er det interessant å se at det kun er tre altomfattende samfunnsøkonomiske om råder som regnes å ha større sannsynlighet for å inntreffe enn cyberangrep: - vesentlige forskjeller i lønninger - vedvarende skatteskjevheter - økning i utslipp av drivhusgasser En krise i drikkevannsforsyning kaprer den siste plassen på topp-5. Dette sier noe om at verdens ledende økonomer og ledere ser på cybersikkerhet som et prioritert område framover. Allerede i mai 2009 holdt president Obama en tale der han forklarte viktigheten av å sikre verdiene i cyberspace. Selv nå, tre år etter er talen vel verdt det drøye kvarteret den varer. Obama forteller om flere av de mest kjente globale cyber - angrepene, følgene disse kan få for verdensøkonomien og tiltakene som ble startet opp på det tidspunktet. (http://www.whitehouse.gov/cybersecurity). Dette er med andre ord ikke noe nytt, men i høyeste grad en problemstilling man må ta på alvor fremover. Tiltak for å ta hånd om problemene Det mest problematiske ved cybersikkerhet er stadig utviklende sikkerhetsrisikoer. Den tradisjonelle tilnærmingen har vært å fokusere mest på de viktigste komponentene i systemet, og beskytte seg mot de store kjente truslene. Det førte gjerne til at systemkomponenter man anså som mindre viktige ble etterlatt forsvarsløse. En slik tilnærming er utilstrekkelig i dagens miljø. Rådgivende organisasjoner fremmer nå en mer proaktiv og adaptiv tilnærming. The National Institute of Standards and Technology (NIST), har eksempelvis nylig utgitt oppdaterte retningslinjer i sitt rammeverk for risikovurdering, hvor det anbefales en forskyvning mot kontinuerlig overvåking og sanntidsvurderinger. Hva skjer i Norge? I 2009 laget NSM (Nasjonal sikkerhetsmyndighet) et utkast til nasjonal strategi for cybersikkerhet, som var ute på høring første halvdel av 2010. Siden da har dette området blitt inkludert i arbeidet med å revidere de nasjonale retningslinjene for informasjonssikkerhet. Disse retningslinjene er ikke gitt ut når dette skrives (medio mai), men skal etter planen være ferdig før sommeren 2012. Vi skal ikke dvele for mye med hva som har vært, men heller se framover og poengtere hvor viktig dette arbeidet er i tiden som kommer. Også på det nasjonale plan, men vel så viktig er hva som bør gjøres ute i den enkelte virksomhet. Tiltak i den enkelte virksomhet Selv om vi har nasjonale retningslinjer for cyber- og informasjonssikkerhet, blir det viktigste arbeidet gjort ute i den enkelte virksomhet. Det er viktig å ha en tydelig sikkerhetspolitikk på tvers i organisasjonen, som gjør at alle drar samme vei. Ingen selskaper er sterkere enn sitt svakeste ledd, slik at både ledelsen og den enkelte medarbeider må engasjeres i arbeidet. Viktige momenter å tenke på når man planlegger arbeidet rundt cybersikkerhet er: - Forankring i ledelsen - Ledelsen må frigjøre nok ressurser i organisasjonen som er dedikert til å jobbe med dette - Modenhetsanalyser på sikkerhet hvordan bidrar de eksisterende sikkerhetsinnstillinger til sikkerhetsarbeidet i virksomheten? SIRK nr 1. 2012 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding