<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Cybersecurity-trusler krever ekstra fokus på internkontroll

GRA_Blogg_Banner_-_Generell.jpg ‹ Tilbake til artikler

GRA_Blogg_Banner_-_Generell.jpg

I fjor økte omfanget av såkalt “CEO-fraud” dramatisk i Norge. Dette er bedrageri der svindlere utgir seg for å være ledere i en virksomhet, og sender en mail som instruerer ansatte til å overføre penger til kontoer som tilhører svindlerne. Fjorårets største enkeltoverføring var på 400 millioner kroner, hvor en regnskapsmedarbeider utførte transaksjonen basert på instrukser vedkommende trodde kom fra virksomhetens øverste leder. 100 av disse millionene er fortsatt på avveie, noe som gjør dette til norgeshistoriens største “brekk” - større enn NOKAS-ranet i 2004!

Hvordan kunne dette skje og hvordan kunne det vært forhindret? Finnes det en magisk formel som enkelt beskytter virksomheten mot slik kriminalitet?

La oss ta et skritt tilbake:

Når vi snakker med norske virksomheter om digitalisering er det tre viktige bekymringer som ofte kommer opp:

  • Hvordan navigerer vi i det nye regulatoriske landskapet som kommer av digitalisering? (eksempler er ny personvernforordning, strengere krav vedrørende antihvitvask og nye krav rundt betalingstjenester (PSD2).
  • Hvordan håndterer vi nye risikoer som kommer av digitalisering (for eksempel “CEO-fraud”, som vi fortalte om innledningsvis, men også interne misligheter, hacking som resulterer i tap av intellektuelle verdier, utfordringer med IT-leverandøren osv.)?
  • Og hvordan klarer vi samtidig å holde høy nok fart i utviklingen av teknologi, organisasjon og mennesker?

Det er fristende å prøve å finne enkle og raske løsninger for å lette bekymringene, eksempelvis en teknologiboks som ifølge selgeren løser alt med et trylleslag, men som i realiteten gir liten eller ingen verdi. Sannheten er at å etterleve strengere eksterne krav og håndtere nye risikoer uten å tape fart, i all hovedsak er en problemstilling som krever et velkjent og velprøvd botemiddel, nemlig målrettet arbeid med virksomhetens internkontroll.

Risikobasert internkontroll - like relevant for cybersecurity-trusler som for operasjonelle og finansielle risikoer!

For å sitere Bjørn Erik Thon i Datatilsynet, som nylig uttalte: “To ting har vært sentrale, og vil fortsette å være sentrale: Risikovurderinger og internkontroll!” Etter vår mening har han helt rett i dette.

I våre øyne er det fem sentrale faser enhver virksomhet bør gjennomgå minst årlig. Disse vil være velkjent for mange som allerede har et velfungerende internkontrollrammeverk:

  1. Identifisere og vurdere hvilke nye eller endrede lovkrav og risikoer virksomheten lever under og må håndtere
  2. Gjennomgå og justere/etablere interne retningslinjer og rutiner som skal gjelde i virksomheten for å håndtere identifiserte lovkrav og risikoer
  3. Implementere endrede/nye retningslinjer og rutiner .. få det ut i “kapilærene”!
    1. Organisasjon: Avklare roller, ansvar og fullmakter - hvem gjør hva
    2. Operasjonelt: Sørge for opplæring, bevisstgjøring og holdningsskapende arbeid slik at medarbeiderne følger reglene
    3. Teknologisk: Bygge sikkerhet inn i systemer og løsninger slik at det blir lett/automatisk å følge reglene
  4. Kontrollere og følge opp etterlevelse - rutiner som er gode på papiret gir falsk trygghet om man ikke sørger for at de etterleves i det daglige!
  5. Drive løpende forbedringsarbeid, hvor læring fra fasene 1-4 fanges opp og brukes til å forbedre neste runde

Hvordan fungerer så dette i praksis?

Appliserer vi dette til vårt eksempel på “CEO-fraud”, kunne man bygget en effektiv beskyttelse mot hendelsen som følger:

  1. Vi identifiserer i vår årlige gjennomgang av virksomhetens risikoer at “CEO-fraud” utgjør en ny stor økonomisk risiko, som også kan utløse bøter og pålegg (eks. varslingsplikt) fra myndigheter som virksomheten er underlagt
  2. Vi gjennomgår våre eksisterende internkontrollrutiner og ser at det finnes svakheter som vil kunne medføre store økonomiske tap. Vi etablerer derfor noen regler om hvordan betalinger skal settes opp, med attestasjons- og godkjenningsfullmakter for ulike beløpsstørrelser og type utbetalinger og krav til dokumentasjon (f.eks. må være basert på intern eller ekstern faktura). Videre at godkjenning av bankbetalinger alltid skal gjøres av flere enn en person med rette fullmakter.
  3. Vi sørger for at reglene virker i praksis
    1. Organisasjon: Vi oppdaterer fullmaktsmatrise, stillingsbeskrivelser, rutinebeskrivelser og lignende
    2. Operasjonelt: Alle som behandler inngående faktura, har attestasjonsfullmakter og fullmakt til å godkjenne utbetalinger fra bank får opplæring i de nye reglene, herunder hvorfor! (Vær bevisst). Og selvsagt får alle ansatte i virksomheten løpende beskjed om denne og andre typer svindelforsøk de skal være på vakt for og melde fra om.
    3. Teknologisk: Vi oppdaterer fullmakter for godkjenning av inngående faktura i ERP-systemet og skrur på dobbel godkjenning i nettbanken/betalingssystemet
  4. Vi kontrollerer at de nye rutinene fungerer ved å gjøre noen tester. Vi snakker for eksempel med relevant personale, velger ut noen utbetalinger for kontroll og/eller gjør dataanalyser av alle utbetalinger fra en gitt periode for å se om disse er blitt behandlet riktig. Vi følger opp eventuelle feil eller svakheter vi finner, for eksempel ved å korrigere rutinene eller gi mer opplæring
  5. Vi setter opp i årshjulet at vi evaluerer hvordan fasene 1-4 fungerer om et halvt år, og foretar eventuelle justeringer

Sånn.. fiks ferdig og lett som bare det hvis man allerede har en internkontroll som er etablert og i drift! (Og har man ikke det, er det på høy tid å sette i gang tiltak).

Til slutt: Mange spør oss om ikke internkontrollen fort kan bli et byråkratisk monster som mater seg selv med krav til rapportering, dokumentasjon og påpeking av feil… Jo, det er alltid en risiko for dette - og vi har sett en rekke eksempler - om den ikke jevnlig gjennomgås for å sikre at den er målrettet, risikobasert og tilpasset virksomhetens virkelighet. I denne digitaliseringsalderen, er det i økende grad viktig at virksomheter evner å handle og snu seg raskt. Det er derfor helt avgjørende at internkontrollens omfang og prioriteringer styres ut fra hvordan den kan hjelpe virksomheten til å kjøre raskt, men trygt og med akkurat riktig risiko!

Aase Lindahl

Aase Lindahl

Jeg heter Aase Lindahl og er partner i PwC, hvor jeg har jobbet som konsulent i 20 år. Mine spesialområder er eierstyring og selskapsledelse, risikostyring og internkontroll. Jeg kaller meg selv noen ganger en internkontrollnerd, da jeg brenner veldig for temaet og liker å spre det gode budskap om hvor viktig og verdiskapende det er med god styring og kontroll i virksomheten. Jeg vil derfor blogge jevnlig om dette fremover, i tillegg til at jeg arrangerer kundenettverksmøter, er ansvarlig for internkontrollbenchmarken og avholder seminarer og kurs for kunder og andre som ønsker å lære mer om styring og kontroll. Hvis du har synspunkter, innspill, kommentarer eller spørsmål til noe du leser her på bloggen, eller ønsker å bli kontaktet for en prat, blir jeg glad for å høre fra deg.

Eldar Lillevik

Eldar Lillevik

Jeg heter Eldar og er med som direktør i PwCs satsning rundt Cybersecurity. De siste ti årene har jeg hatt lederstillinger i DNB, NSM NorCERT og Forsvaret med ulike aspekter av fagfeltet. Fra starten i 2013 til høsten 2016 var jeg også styreleder i FinansCERT. Etter flere år med fokus på Incident Response (IRT) og håndtering av bedragerier i digitale kanaler (eFraud) har jeg fått en stadig økende fascinasjon for sikkerhetsledelse og sikkerhetskommunikasjon. Sistnevnte er helt essensielt for å få sikkerhet ut i kapillærene av virksomheten. Hvis du har synspunkter, innspill, kommentarer eller spørsmål til noe du leser blir jeg glad for å høre fra deg!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Verden går fremover - følger virksomhetenes internkontroll med?

PwC er i gang med en ny benchmarkundersøkelse hvor vi kartlegger norske selskapers modenhet innenfor internkontroll over finansiell ...

Les artikkelen
Les artikkelen

Trøbbel i styrerommet? Styreboken 2018 er klar!

Det er snart høysesong for generalforsamlinger. En rekke styremedlemmer er på valg, og mange er på vei inn i styrearbeid for første gang. ...

Les artikkelen
Les artikkelen

Fifty shades of NEI - hvorfor kommunikasjon og cybersikkerhet hører sammen

Jeg har gjennom 25 år i forskjellige jobber innen IT- og informasjonssikkerhet, flere ganger vært overbevist om hva som er den ultimate ...

Les artikkelen