Input till IT-risker i internrevisorns

riskanalys

Daniel Gräntz

20 maj, GRC 2015

Agenda

• Tillvägagångssätt för att

identifiera IT-relaterade risker.

• Exempel på olika typer av IT-

relaterade granskningar.

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Om mig

• partner på Transcendent Group

• tjänsteområdesansvarig IT-

revision

• 14 års arbetslivserfarenhet som

IT-revisor och rådgivare

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Risker

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Informationsteknologi (IT)

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Synsätt

IT som affärsmöjliggörare

IT risker är affärsrisker

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Vad driver risk?

• Accelerande teknisk utveckling ökar kraven på tillgänglighet.

• Informationsteknologi används vid utveckling av produkter och

tjänster samt skapar förutsättningar för effektivisering och

kostnadsbesparingar.

• Företag integrerar i allt större utsträckning befintlig IT-

infrastruktur och informationsutbyte med kunder, leverantörer

och samarbetspartners.

• Ökad grad av regelefterlevnad och avtalade kundkrav.

• Informationsteknologi (IT) är en möjliggörare (business enabler)

för att utveckla företag och organisationer.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Teknikutveckling

• Molnbaserade tjänster och virtualisering

• Cyber Crime och Cyber Security (Internet)

• Penetrationstester och sårbarhetsanalyser (scenarion)

• BYOD – Bring Your Own Device (smarta mobiltelefoner)

• Big Data (stora datamängder vid insamling, hantering och lagring)

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Risk universe

• Styrning och ledning

• Organisation

• Processer

• Teknologi

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Input till att identifiera IT-risker

• Affärsmål och strategier

• IT-strategi

• IT-ledningsgrupp

• Incidenter

• Projekt

• Utförda riskanalyser

• Organisation

• Revisionsutskott

• Tidigare års observationer

(IR/ER)

• Lagar och förordningar

• Kundavtal

• Teknikutveckling

• Utvecklingsbudget och

förvaltningsplaner

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Skapa förståelse för IT

• Styrning och ledning av IT.

• Förstå organisation (inklusive roller och ansvar).

• Förstå drift/utveckling/ förvaltning.

• Teknik

• Verksamhetens beroende av IT

• Outsourcing

• Externa leverantörer

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Komplex IT-miljö

• Transaktionsintensitet (realtid vs. batchjobb)

• Antal applikationer

• IT-infrastruktur

• Standardsystem vs. egenutvecklade

• Antal användare

• Pågående och planerade projekt

• Incidenter

• Vilka processer stöder de

• Beroenden (input – output)

• Drift och förvaltning

• Kompetens

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

IT-riskområden

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

IT

Riskområden

IT-styrning

Informations-säkerhet

Incident-hantering

Regel efter-levnad

Datakvalitet

Infrastruktur

Outsourcing

Kontinuitets-planering

Utveckling av IT-system

Mobil säkerhet

Leverantörs-styrning

Drift och förvaltning

IT-säkerhet

Policies och riktlinjer

Projekt-hantering

Fysisk säkerhet

Licens

hantering

Säkerhet i molnet

BYOD

Cyber Security

Säkerhet i

applikationer

Social media

Informationssäkerhet

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Informations-

säkerhet

3. incidenter

4. styrning och uppföljning

5. strategi och inriktning

6. policy och riktlinjer

8. kontrakterade tredje parter

9. Styrning och administration av behörigheter

10. organisation (roller och ansvar)

11. utbildning

13. informations-klassificering

12. riskanalyser

2. krav enligt lagar och förordningar

7. budget

Riskområde: informationssäkerhet

• Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv.

Varför är detta område väsentligt?

• Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet.

• Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön.

• Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner.

Identifierade risker att beakta

• Granskning av behörighetsrutiner och styrning av åtkomst

• Granskning av en korrekt ansvarsfördelning (segregation of duties)

• Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd.

• Granskning av rutiner och kontroller för loggning av information.

Förslag till granskningsåtgärder

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Trender IT-risker för banksektorn

Digitalisering (webb och mobila kanaler)

Mobila betalningar

Regelefterlevnad (Basel 3, GDPR)

IT-infrastruktur

Cybersäkerhet

Big Data

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Riskområden

Prioriterade granskningar i 2015 års

revisionsplan

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Verksamhets-

område

Identifierade risker Risk Mapp Nr. Potentiell konsekvens /

effekt av risk

Granskningsåtgärd

xx • aa

• aa

• bb

• cc

1 • ss

• xx

• ss

• ss

• Zz

• Xx

• xx

• ss

• ss

yy • ww

• dd

• cc

• ss

2,3,4 • ee

• ss

• ss

• ss

• dd

• rr

• ww

zz • zz

• zz

• zz

5 • zz

• xx

• zz(

Konsoliderad risk karta – topp fem

operationella risk områden

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Förväntad

(4)

Trolig

(3)

Osannolikt

(1)

Potentiell

(2)

Hög

(3)

Kritiskt

(4)

Begränsad

(2)

Sannolikhet

Påverkan

1a xx

xx

1b

yy

zz

tt

3. Lagar och

förordningar

xx2. Informations-

säkerhet

cc

4. dd

ff

5. gg

kk

Väsentlig

(4)

Input till IT-risker

Identifierade risker och scenarion Förslag på granskningsåtgärder

Flertalet kritiska projekt levereras inte enligt våra

förväntningar (tid, kvalitet, kostnader)

• Granskning av specifika project.

• Pre- och post-implementations review av system.

• Granskning av faktiska nyttoeffekter med investeringar i IT.

Risk för att IT ej möter upprättade affärsmål och

strategier på kort och lång sikt

• Granskning av IT-strategi och styrningsmodell.

• Granskning av rutiner för incidenthantering.

Brister i styrning och uppföljnig av leverans från

kontrakterade tredjeparter (outsourcing)?

• Granskning av utkontrakterade tjänster hos tredje part.

• Avtalsgranskning

Risk för brister inom informationssäkerhet • Granskning av styrning och ledning av informationssäkerhet.

• Granskning efterlevnad av styrande dokument (exempelvis ISO 27001).

• Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A).

• Applikationsgranskningar.

Risk för obehörig åtkomst till kritisk information • Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst

• Segregation of Duties

• Granskning av rutiner för hantering av logginformation

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Identifierade risker Förslag på granskningsåtgärder

Risk för väsentliga avbrott i vår verksamhet • Granskning av kontinuitetshantering

• Granskning av katastrofplaner för IT (disaster recovery).

• Granskning av utkontrakterade tjänster till tredje part

Ökade IT-kostnader • Granskning av IT-kostnader.

• Granskning av licenshantering

Risk för externa intrång och åtkomst till kritisk

kunddata

• Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser.

• Genomförandet av penetretionstester.

Risk för bristande kvalitet i utvecklingsprocess • Granskning av rutiner och kontroller för systemutveckling ochförändringshantering.

Input till IT-risker

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Input till IT-risker

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Område Risker

IT-strategi • IT-strategi är ej formaliserad och implementerad i koncernen.

• Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten.

• Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering.

• Det saknas en tydlig koppling mot definierade affärsmål och strategier.

• IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp.

• IT är ej representerat i ledningsgruppen.

Styrning och ledning • Avsaknad av ett ramverk för IT styrning (IT governance framework).

• Styrande forum är ej effektiva i sin utformning och genomförande.

• Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin.

• Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker).

• Det finns ingen process för regelbunden kvalitetsuppföljning av IT-leveranser.

• Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.

Område Risker

Informationssäkerhet • Det finns inte en upprättad och implementerad strategi för informationssäkerhet.

• Otydlighet kring styrning och ledning av informationssäkerhet.

• Ökad grad av rapporterade incidenter kopplat till informationssäkerhet.

• Avsaknad av rutiner för genomförande av riskanalyser (inklusive hot-och sårbarhetsanalyser).

• Bristfällig kontroll över administratörsrättigheter.

• Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system.

• Brister i efterlevnad av regulatoriska krav.

Input till IT-risker

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

www.transcendentgroup.com