News

6 centrala IT-risker i internrevisionsplanen för 2019

August 17, 2018

Den 22 maj höll jag och min kollega Jens Ryning en presentation på Transcendent Groups GRC-dag kring vilka IT-risker som vi anser bör beaktas i internrevisionsplanen för 2019. Detta baseras på ett flertal undersökningar från 2018 kring vilka områden som styrelser och internrevisionschefer ser som viktigast att beakta.

Vi vill utifrån detta lyfta fram följande sex centrala områden:

  • Tekniskt skydd av information och personuppgifter

Cybersäkerhet har varit ett populärt revisionsområde under flera år och under 2017–2018 har även GDPR funnits med i många revisionsplaner. För de kommande åren ser vi att dessa två områden flyter ihop till ett gemensamt riskområde när det gäller det tekniska skyddet av information, vare sig det är personuppgifter, affärsplaner eller annan typ av känslig information. Det vi också ser framåt är att fokus flyttas från att granska befintligt skydd, mot att också fokusera på processer och rutiner för att hantera intrången när de väl inträffar (för det kommer de tyvärr att göra).

  • Data Governance

GDPR ställer höga krav på att vi har kontroll över den data som hanteras. Det är även en stor utmaning generellt att hantera den enorma mängd data som numera behandlas i våra system, såväl strukturerat som ostrukturerat. De finns behov av att utvärdera verksamhetens rutiner och processer för databehandling och de verktyg och metoder som används för att generera tidsenlig och korrekt information till rätt intressenter. Bristande kontroller inom detta område ökar risken för att många beslut fattas på felaktiga grunder. För verksamheter där effektiv och bra hantering av data istället kan användas som en konkurrensfördel finns å andra sidan stora möjligheter.

  • Säkerhetsmedvetenhet

Detta är inget nytt område, men kommer fortsatt att vara kritiskt. Att komma över inloggnings-uppgifter är fortfarande det absolut vanligaste sättet för externa inkräktare att ta sig in i våra system. Phishing-mail och liknande attacker blir alltmer sofistikerade och det gäller för medarbetarna att vara uppmärksamma på och medvetna om vad man ska undvika och hur man ska agera. Även på IT-avdelningen behöver det finnas en hög medvetenhet där omvärlds­bevakning kring kända sårbarheter och kontinuerlig hantering av patchning och versionsuppdatering är nödvändigt.

  • Projektgranskning(ar) digitalisering

Det pågår nu (och kommer fortsätta att pågå) många projekt inom digitalisering och teknikutveckling. Här spelar internrevisionen en viktig roll och behöver vara delaktiga i implementeringen av nya tekniker och arbetssätt. Projektgranskningar behöver göras löpande och vår rekommendation är att hellre göra mindre granskningsinsatser vid flera tillfällen under projektens gång än att göra en stor granskning i efterhand.

  • Hantering av molntjänster

Vi ser att mer och mer tjänster läggs ut i molnet. Medan det tidigare främst var mindre viktiga delar är det nu fler och fler verksamheter som även lägger stora delar av sin kärnverksamhet hos molntjänsteleverantörer. Internrevisionen behöver utvärdera huruvida effektiva rutiner och processer finns för upphandling, utvärdering av business case och att verksamheten kontinuerligt utvärderar risker samt övervakar leveransen.

  • Agil utveckling

Agil utveckling är idag mer regel än undantag. Det uppstår dock svårigheter när man försöker anamma traditionella kontrollmetoder på nya arbetssätt. Gamla vattenfallsmetoder med tydliga faser och kontrollpunkter för utveckling, testning och produktionssättning går inte att applicera på exempelvis ett DevOps-team där dessa faser går in i varandra. Internrevisionen behöver utvärdera om alternativa kontroller har byggts in i utvecklingsmetodiken, exempelvis i form av kodgranskningar, tydlig spårbarhet och logguppföljning.

Presentationen under GRC 2018 ledde till bra diskussioner och vi konstaterade att IT och informationssäkerhet får och behöver få en allt större plats i revisionsplanerna framgent. Vi diskuterade även internrevisionens bemanning och roll i verksamheten samt gränsdragningar gentemot andra försvarslinjen. Vi noterade avslutningsvis att Internrevisionen utöver ovan sex områden även fortsättningsvis kommer att behöva genomföra granskningar inom mer klassiska IT-revisionsområden som Styrning av IT och informationssäkerhetHantering av utlagda IT-tjänster och Kontinuitet- och återställning.

Skriven av Magnus Thyllman

Related news