Så måste IT-revisonen anpassa sina kontroller efter digitaliseringens risker

Nya teknologier såsom ”Molnet”, ”Internet of Things” och ”Artificiell Intelligens” skapar nya affärs- och effektiviseringsmöjligheter för både privat och offentlig sektor. En stark drivkraft bakom den ökande takten av digitaliserade tjänster är att tillgodose kundernas förväntningar.

• Som kund förväntar jag mig att en tjänst är tillgänglig på nätet och åtkomlig från den ”device” (mobil, surfplatta eller dator) som jag som kund föredrar
• Som kund förväntar jag mig att en tjänst är tillgänglig 24/7 i real-tid och att jag har kontinuerlig åtkomst till tjänsteutbudet
• Som kund förväntar jag mig också ett direkt godkännande av de handlingar och transaktioner som jag utför

Som organisation är det därför extremt viktigt att anpassa sig efter detta nya läge för att vara konkurrenskraftigt och hålla företaget kvar på marknaden.

Nya typer av risker

De nya möjligheterna kommer dock inte utan ansträngningar och kostnader. Teknologierna som möjliggör digitaliseringen medför nya typer av risker, framförallt inom cybersäkerhetsområdet. Det är viktigt att komma ihåg och inte underskatta komplexiteten av digitalisering. Det som kanske “bara” uppfattas som en automatiserad process kanske i själva verket krävde en omvandling av hela verksamhetsområden. Digitaliseringen gör det också mer utmanande att kontrollera och övervaka hur väl fungerande dessa nya flöden är samt att upptäcka felaktigheter.

Nedan följer ett par exempel på händelser som har inträffat och sannolikt kommer hända igen.

• En webbshop, där kundrabatten av misstag blivit ändrad från 10% till 100%. Hur många kunder kommer ha köpt gratis prylar innan någon på webbshopen upptäcker misstaget och reagerar?
• En bank som erbjuder konsumtionskrediter via nätet, godkänner krediter med en av misstag ändrad kundränta från 5% till 0,5%. Hur många kunder kommer ha fått beviljade krediter med mycket bra ränta innan någon på banken upptäcker misstaget och reagerar?

Denna typ av tjänster och processer som innefattar automatiserade godkännanden kommer kräva smartare typer av upptäckande och även korrigerande kontroller. Den stora utmaningen är var kontrollerna ska implementeras i de digitaliserade flödena då de som regel spänner över flera verksamhetsområden och även bestå av olika teknologier samt tredjepartsleverantörer.

Hur kan IT-revisionen tackla digitaliseringens utmaningar?

För en IT-revisor är det viktigt att anpassa planeringen, inte bara till de nya teknologierna, utan även avseende digitaliseringen som sådan. På grund av den minskade mänskliga involveringen genom de automatiserade flödena innebär det också nya utmaningar att genomföra själva granskningarna. En god kontroll måste säkerställas inom en rad viktiga områden, till exempel upptäcka bedrägeriförsök, en väl fungerande incidenthantering, åtkomstskydd, loggning och spårbarhet av data inklusive kryptering, proaktiv hantering av sårbarheter i system och annan utrustning.

Det finns inget tydligt och rakt svar på hur vi ska tackla de utmaningar som digitaliseringen för med sig men några slutsatser är att:

• Digitalisering är tvärfunktionell genom hela affärsverksamheten och finns där 24/7 vilket ställer krav på kontinuerlig övervakning och försäkran
• Att snabbt upptäcka fel och bedrägeriförsök är kritiskt
• Implementering av ”smartare” kontroller är en nödvändighet
• Interna resurser inom risk/intern revision bör proaktivt vara involverade i faktiska digitaliseringsprojekt för att medverka till design och implementering av kontroller i förebyggande syfte

Skriven av Jonas Blomqvist