Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015
Agenda
• Tillvägagångssätt för att
identifiera IT-relaterade risker.
• Exempel på olika typer av IT-
relaterade granskningar.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Om mig
• partner på Transcendent Group
• tjänsteområdesansvarig IT-
revision
• 14 års arbetslivserfarenhet som
IT-revisor och rådgivare
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Synsätt
IT som affärsmöjliggörare
IT risker är affärsrisker
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
Vad driver risk?
• Accelerande teknisk utveckling ökar kraven på tillgänglighet.
• Informationsteknologi används vid utveckling av produkter och
tjänster samt skapar förutsättningar för effektivisering och
kostnadsbesparingar.
• Företag integrerar i allt större utsträckning befintlig IT-
infrastruktur och informationsutbyte med kunder, leverantörer
och samarbetspartners.
• Ökad grad av regelefterlevnad och avtalade kundkrav.
• Informationsteknologi (IT) är en möjliggörare (business enabler)
för att utveckla företag och organisationer.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Teknikutveckling
• Molnbaserade tjänster och virtualisering
• Cyber Crime och Cyber Security (Internet)
• Penetrationstester och sårbarhetsanalyser (scenarion)
• BYOD – Bring Your Own Device (smarta mobiltelefoner)
• Big Data (stora datamängder vid insamling, hantering och lagring)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Risk universe
• Styrning och ledning
• Organisation
• Processer
• Teknologi
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Input till att identifiera IT-risker
• Affärsmål och strategier
• IT-strategi
• IT-ledningsgrupp
• Incidenter
• Projekt
• Utförda riskanalyser
• Organisation
• Revisionsutskott
• Tidigare års observationer
(IR/ER)
• Lagar och förordningar
• Kundavtal
• Teknikutveckling
• Utvecklingsbudget och
förvaltningsplaner
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Skapa förståelse för IT
• Styrning och ledning av IT.
• Förstå organisation (inklusive roller och ansvar).
• Förstå drift/utveckling/ förvaltning.
• Teknik
• Verksamhetens beroende av IT
• Outsourcing
• Externa leverantörer
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Komplex IT-miljö
• Transaktionsintensitet (realtid vs. batchjobb)
• Antal applikationer
• IT-infrastruktur
• Standardsystem vs. egenutvecklade
• Antal användare
• Pågående och planerade projekt
• Incidenter
• Vilka processer stöder de
• Beroenden (input – output)
• Drift och förvaltning
• Kompetens
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
IT-riskområden
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
IT
Riskområden
IT-styrning
Informations-säkerhet
Incident-hantering
Regel efter-levnad
Datakvalitet
Infrastruktur
Outsourcing
Kontinuitets-planering
Utveckling av IT-system
Mobil säkerhet
Leverantörs-styrning
Drift och förvaltning
IT-säkerhet
Policies och riktlinjer
Projekt-hantering
Fysisk säkerhet
Licens
hantering
Säkerhet i molnet
BYOD
Cyber Security
Säkerhet i
applikationer
Social media
Informationssäkerhet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Informations-
säkerhet
3. incidenter
4. styrning och uppföljning
5. strategi och inriktning
6. policy och riktlinjer
8. kontrakterade tredje parter
9. Styrning och administration av behörigheter
10. organisation (roller och ansvar)
11. utbildning
13. informations-klassificering
12. riskanalyser
2. krav enligt lagar och förordningar
7. budget
Riskområde: informationssäkerhet
• Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv.
Varför är detta område väsentligt?
• Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet.
• Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön.
• Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner.
Identifierade risker att beakta
• Granskning av behörighetsrutiner och styrning av åtkomst
• Granskning av en korrekt ansvarsfördelning (segregation of duties)
• Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd.
• Granskning av rutiner och kontroller för loggning av information.
Förslag till granskningsåtgärder
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Trender IT-risker för banksektorn
Digitalisering (webb och mobila kanaler)
Mobila betalningar
Regelefterlevnad (Basel 3, GDPR)
IT-infrastruktur
Cybersäkerhet
Big Data
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
Riskområden
Prioriterade granskningar i 2015 års
revisionsplan
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Verksamhets-
område
Identifierade risker Risk Mapp Nr. Potentiell konsekvens /
effekt av risk
Granskningsåtgärd
xx • aa
• aa
• bb
• cc
1 • ss
• xx
• ss
• ss
• Zz
• Xx
• xx
• ss
• ss
yy • ww
• dd
• cc
• ss
2,3,4 • ee
• ss
• ss
• ss
• dd
• rr
• ww
zz • zz
• zz
• zz
5 • zz
• xx
• zz(
Konsoliderad risk karta – topp fem
operationella risk områden
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Förväntad
(4)
Trolig
(3)
Osannolikt
(1)
Potentiell
(2)
Hög
(3)
Kritiskt
(4)
Begränsad
(2)
Sannolikhet
Påverkan
1a xx
xx
1b
yy
zz
tt
3. Lagar och
förordningar
xx2. Informations-
säkerhet
cc
4. dd
ff
5. gg
kk
Väsentlig
(4)
Input till IT-risker
Identifierade risker och scenarion Förslag på granskningsåtgärder
Flertalet kritiska projekt levereras inte enligt våra
förväntningar (tid, kvalitet, kostnader)
• Granskning av specifika project.
• Pre- och post-implementations review av system.
• Granskning av faktiska nyttoeffekter med investeringar i IT.
Risk för att IT ej möter upprättade affärsmål och
strategier på kort och lång sikt
• Granskning av IT-strategi och styrningsmodell.
• Granskning av rutiner för incidenthantering.
Brister i styrning och uppföljnig av leverans från
kontrakterade tredjeparter (outsourcing)?
• Granskning av utkontrakterade tjänster hos tredje part.
• Avtalsgranskning
Risk för brister inom informationssäkerhet • Granskning av styrning och ledning av informationssäkerhet.
• Granskning efterlevnad av styrande dokument (exempelvis ISO 27001).
• Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A).
• Applikationsgranskningar.
Risk för obehörig åtkomst till kritisk information • Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst
• Segregation of Duties
• Granskning av rutiner för hantering av logginformation
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Identifierade risker Förslag på granskningsåtgärder
Risk för väsentliga avbrott i vår verksamhet • Granskning av kontinuitetshantering
• Granskning av katastrofplaner för IT (disaster recovery).
• Granskning av utkontrakterade tjänster till tredje part
Ökade IT-kostnader • Granskning av IT-kostnader.
• Granskning av licenshantering
Risk för externa intrång och åtkomst till kritisk
kunddata
• Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser.
• Genomförandet av penetretionstester.
Risk för bristande kvalitet i utvecklingsprocess • Granskning av rutiner och kontroller för systemutveckling ochförändringshantering.
Input till IT-risker
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Input till IT-risker
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Område Risker
IT-strategi • IT-strategi är ej formaliserad och implementerad i koncernen.
• Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten.
• Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering.
• Det saknas en tydlig koppling mot definierade affärsmål och strategier.
• IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp.
• IT är ej representerat i ledningsgruppen.
Styrning och ledning • Avsaknad av ett ramverk för IT styrning (IT governance framework).
• Styrande forum är ej effektiva i sin utformning och genomförande.
• Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin.
• Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker).
• Det finns ingen process för regelbunden kvalitetsuppföljning av IT-leveranser.
• Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.
Område Risker
Informationssäkerhet • Det finns inte en upprättad och implementerad strategi för informationssäkerhet.
• Otydlighet kring styrning och ledning av informationssäkerhet.
• Ökad grad av rapporterade incidenter kopplat till informationssäkerhet.
• Avsaknad av rutiner för genomförande av riskanalyser (inklusive hot-och sårbarhetsanalyser).
• Bristfällig kontroll över administratörsrättigheter.
• Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system.
• Brister i efterlevnad av regulatoriska krav.
Input till IT-risker
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015