Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC
Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens etterlevelse av IKTforskriften Hvor trykker skoen 3. Kontrollmiljø og kompetanse i forhold til IT Forvaltning av utkontrakteringsavtalen(e) PricewaterhouseCoopers 2
1 Hvilken risiko IT innebærer for bankenes interne kontroll
Fra skranke og kontanter til iphone app. IT har forandret risikobildet for en bank dramatisk fra kontantbehandling og fysisk kundekontakt til abstrakte datatranser (bit & byte) PricewaterhouseCoopers 4
De konkrete IT risikomomenter med direkte effekt Uautorisert uttak (flytting) av penger som følge av: Interne ubevisste handlinger uvitenhet/ manglende kompetanse Interne bevisste handlinger økonomisk kriminalitet (mislighold og utroskap) Eksterne bevisste handlinger i form av hacking og bruk av tilgjenglige brukeridenter IT gjør det mulig å flytte store beløp. Endringer i kildekode og/ eller implementering av program snutter gjør det mulig å stjele ører (ved avrundinger etc.) fra et stort volum av kontoer og transaksjoner. PricewaterhouseCoopers 5
De konkrete IT risikomomenter med indirekte effekt Uautoriserte rente- og betingelsesendringer for enkeltpersoner og grupper, som følge av: Interne ubevisste handlinger uvitenhet/ manglende kompetanse Interne bevisste handlinger økonomisk kriminalitet (mislighold og utroskap) Eksterne bevisste handlinger i form av hacking og bruk av tilgjenglige brukeridenter Definisjon av kundegruppe tilhørighet, masterdata for betingelser (produkter) og rentesatser er kritiske dataregistre. Uautorisert endring i ett av disse kan være vanskelig å oppdage (avhengig av volum), men for den enkelte kan konsekvensene og potensiell vinning være stor. PricewaterhouseCoopers 6
De mer usynlige og ukvantifiserbare IT risikomomentene ICAAP Rapportering - Offentlig rapportering - Finansregnskapet - Kapitaldekning - Intern rapportering/ styringsinformasjon Så godt som alle former for rapportering tar utgangspunkt i ITbasert informasjon. Det er omfattende krav til internkontroll i en bank, og IT har en vesentlig betydning for internkontrollen. PricewaterhouseCoopers 7
Hvor god oversikt har banken på sine IT verdikjeder? Komplekse IT verdikjeder Mye foregår utenfor den lokale banken Usikkerhet, og variert intern forståelse, for betydningen av databehandlingen hvordan den påvirker de ulike rapportene PricewaterhouseCoopers 8
Særtrekk ved IKT-relaterte risikoanalyser Fra BAS 5 (Beskyttelse av samfunnet 5: Sårbarhet i kritiske IKT-systemer http://rapporter.ffi.no/rapporter/2007/01204.pdf: Tilsiktede handlinger spiller en sentral rolle når IKT-sikkerhet skal vurderes. Teknologien er kompleks. Det er vanskelig å få en god oversikt over IKT-systemer, og det mangler ofte en helhetlig beskrivelse av systemene som skal analyseres. Dette gir store ufordringer i forhold til å identifisere mulige hendelser, og ikke minst i forhold til det å få en god forståelse av sammenhenger og avhengigheter systemene imellom. Brukerne av IKT-systemene mangler ofte en detaljert systemforståelse. De har et forhold til informasjonen som IKT-systemet gir dem, men liten forståelse for teknologien som ligger bak. Det er få eller ingen som både har en god forståelse av både IKT-systemer og av fagområdet risikoanalyse. Teknologien endrer seg veldig raskt. Dette medfører at man ofte har en begrenset mengde erfaringsdata som kan brukes i analysene. PricewaterhouseCoopers 9
Informasjonssikkerhetsrådgivning Slide 10
Samhandlingen mellom IT og internkontroll Det å forstå hvordan IT-systemene supporterer de finansielle prosessene og videre den økonomiske rapporteringen skaper grunnlaget for en effektivisering, samt god styring og kontroll Det finnes en rekke automatiske og IT-avhengige kontroller i bankenes systemer, som bør systematiseres i en kontrollmatrise Manuelle Manuelle kontroller Automatiske IT-avhengige manuelle kontroller Automatiske kontroller Generelle IT kontroller (ITGC) PricewaterhouseCoopers 11
2 Bankens etterlevelse av IKT-forskriften
Hvor vi opplever at skoen trykker når det gjelder IKTforskriften 5 Sikkerhet herunder administrasjon og oppfølging av tilgangsrettigheter 9 Endringshåndtering forståelsen og dokumentasjon av endringen 10 og 11 Kontinuitet Katastrofeberedskap PricewaterhouseCoopers 13
Administrasjon og oppfølging av tilgangsrettigheter 5 i IKT-forskriften stiller krav til sikkerhetsprosedyrer som inkluderer retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKT-systemene. Gjennomføring av denne kontrollen oppfatter vi som mer sporadisk gjennomført, en fast periodisk kontroll av de kritiske tilgangsrettigheten er ofte et forbedringspunkt overfor bankene. Spesielt viktig er dette for kritiske dataregistre som inneholder: kundegruppe tilhørighet, masterdata for betingelser (produkter) og rentesatser. Som for eksempel: Servo, ACF2, KO, snekkeriet etc. Finanstilsynet skisserer en mnd. kontroll i kapittel 4 i Veiledning i etterlevelse av IKT-forskriften for mindre sparebanker. PricewaterhouseCoopers 14
Kjennskap og dokumentasjon av hva endringen innebærer 9 i IKT-forskriften stiller krav til prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Endring i IT-systemene skjer gjerne utenfor den lokale banken, og mye av dokumentasjon knyttet til endringer kommer servert utenfra. Men IKTforskriften er bankens eget ansvar, et sentral spørsmål er derfor: Hva innebærer endringen for IT verdikjeden i din egen bank? (ref. tidligere foiler) En tilfredsstillende dokumentasjon gjennom endringsloggen og betydningen for de usynlige og ukvantifiserbare IT risikomomentene er ofte et forbedringspunkt. PricewaterhouseCoopers 15
Kontinuitet og katastrofeberedskap 10 i IKT-forskriften stiller krav til en kontinuitetsplan med bakgrunn i risikoanalysen ( 3). Vi stiller ofte spørsmål til kvaliteten i kontinuitetsplanen og samhandlingen med risikoanalysen er det fulle risikobildet i IT-verdikjedene dekket? 11 i IKT-forskriften stiller krav til dokumentert katastrofeplan, samt at det minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Årlig dokumentert testing av katastrofeplanen er ofte et forbedringspunkt. PricewaterhouseCoopers 16
3 Kontrollmiljø og kompetanse i forhold til IT
Kontrollmiljø og kompetanse i forhold til IT BBS EDB/ SDC mm Gruppe/ allianse - sentral adm. Lokal banken IT-virksomheten i lokalbanken isolert sett er begrenset, mens ansvaret for at IKT-forskriften er ivaretatt i alle ledd ligger hos den lokale banken. Dette innebærer krav til lokal kompetanse og et kontrollmiljø for IT som: har forståelse for IT-verdikjedene og samhandling mellom virksomhet og IT sikrer at alle IT-leveranser er underlagt tilfredsstillende SLA-avtaler med krav til rapportering samt at de er i tråd med IKT-forskriften har forståelse av RS402 erklæringen (ISAE 3402) innebærer og evt. svakheter som adresseres PricewaterhouseCoopers 18
Organisasjon Forståelsen av totalbilde for hvordan IT påvirker banken Regnskap & rapportering betydningen for rapportering Forretnings prosesser B A C påvirker D E identifisér forretningsprosessene som støttes av applikasjonene (kjennskap til IT verdikjeden) påvirker Applikasjoner Kontroller Finansiell rapportering Operative systemer hvordan påvirkes de ulike applikasjonene til banken IT miljø Hardware Kommunik. Nettverk påvirker Betydningen av svakheter i de generelle IT-kontrollene (ref. RS402/ ISAE3402).. PricewaterhouseCoopers Slide 19
Vi bistår med å identifisere og beskytte virksomhetskritisk informasjon Takk for oppmerksomheten! 2009 PricewaterhouseCoopers. All rights reserved. PricewaterhouseCoopers refers to the network of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).