Cybersecurity-trusler krever ekstra fokus på internkontroll

I fjor økte omfanget av såkalt “CEO-fraud” dramatisk i Norge. Dette er bedrageri der svindlere utgir seg for å være ledere i en virksomhet, og sender en mail som instruerer ansatte til å overføre penger til kontoer som tilhører svindlerne. Fjorårets største enkeltoverføring var på 400 millioner kroner, hvor en regnskapsmedarbeider utførte transaksjonen basert på instrukser vedkommende trodde kom fra virksomhetens øverste leder. 100 av disse millionene er fortsatt på avveie, noe som gjør dette til norgeshistoriens største “brekk” - større enn NOKAS-ranet i 2004!

Hvordan kunne dette skje og hvordan kunne det vært forhindret? Finnes det en magisk formel som enkelt beskytter virksomheten mot slik kriminalitet?

La oss ta et skritt tilbake:

Når vi snakker med norske virksomheter om digitalisering er det tre viktige bekymringer som ofte kommer opp:

• Hvordan navigerer vi i det nye regulatoriske landskapet som kommer av digitalisering? (eksempler er ny personvernforordning, strengere krav vedrørende antihvitvask og nye krav rundt betalingstjenester (PSD2).
• Hvordan håndterer vi nye risikoer som kommer av digitalisering (for eksempel “CEO-fraud”, som vi fortalte om innledningsvis, men også interne misligheter, hacking som resulterer i tap av intellektuelle verdier, utfordringer med IT-leverandøren osv.)?
• Og hvordan klarer vi samtidig å holde høy nok fart i utviklingen av teknologi, organisasjon og mennesker?

Det er fristende å prøve å finne enkle og raske løsninger for å lette bekymringene, eksempelvis en teknologiboks som ifølge selgeren løser alt med et trylleslag, men som i realiteten gir liten eller ingen verdi. Sannheten er at å etterleve strengere eksterne krav og håndtere nye risikoer uten å tape fart, i all hovedsak er en problemstilling som krever et velkjent og velprøvd botemiddel, nemlig målrettet arbeid med virksomhetens internkontroll.

Risikobasert internkontroll - like relevant for cybersecurity-trusler som for operasjonelle og finansielle risikoer!

For å sitere Bjørn Erik Thon i Datatilsynet, som nylig uttalte: “To ting har vært sentrale, og vil fortsette å være sentrale: Risikovurderinger og internkontroll!” Etter vår mening har han helt rett i dette.

I våre øyne er det fem sentrale faser enhver virksomhet bør gjennomgå minst årlig. Disse vil være velkjent for mange som allerede har et velfungerende internkontrollrammeverk:

1. Identifisere og vurdere hvilke nye eller endrede lovkrav og risikoer virksomheten lever under og må håndtere
2. Gjennomgå og justere/etablere interne retningslinjer og rutiner som skal gjelde i virksomheten for å håndtere identifiserte lovkrav og risikoer
3. Implementere endrede/nye retningslinjer og rutiner .. få det ut i “kapilærene”!
   1. Organisasjon: Avklare roller, ansvar og fullmakter - hvem gjør hva
   2. Operasjonelt: Sørge for opplæring, bevisstgjøring og holdningsskapende arbeid slik at medarbeiderne følger reglene
   3. Teknologisk: Bygge sikkerhet inn i systemer og løsninger slik at det blir lett/automatisk å følge reglene
4. Kontrollere og følge opp etterlevelse - rutiner som er gode på papiret gir falsk trygghet om man ikke sørger for at de etterleves i det daglige!
5. Drive løpende forbedringsarbeid, hvor læring fra fasene 1-4 fanges opp og brukes til å forbedre neste runde

Hvordan fungerer så dette i praksis?

Appliserer vi dette til vårt eksempel på “CEO-fraud”, kunne man bygget en effektiv beskyttelse mot hendelsen som følger:

1. Vi identifiserer i vår årlige gjennomgang av virksomhetens risikoer at “CEO-fraud” utgjør en ny stor økonomisk risiko, som også kan utløse bøter og pålegg (eks. varslingsplikt) fra myndigheter som virksomheten er underlagt
2. Vi gjennomgår våre eksisterende internkontrollrutiner og ser at det finnes svakheter som vil kunne medføre store økonomiske tap. Vi etablerer derfor noen regler om hvordan betalinger skal settes opp, med attestasjons- og godkjenningsfullmakter for ulike beløpsstørrelser og type utbetalinger og krav til dokumentasjon (f.eks. må være basert på intern eller ekstern faktura). Videre at godkjenning av bankbetalinger alltid skal gjøres av flere enn en person med rette fullmakter.
3. Vi sørger for at reglene virker i praksis
   1. Organisasjon: Vi oppdaterer fullmaktsmatrise, stillingsbeskrivelser, rutinebeskrivelser og lignende
   2. Operasjonelt: Alle som behandler inngående faktura, har attestasjonsfullmakter og fullmakt til å godkjenne utbetalinger fra bank får opplæring i de nye reglene, herunder hvorfor! (Vær bevisst). Og selvsagt får alle ansatte i virksomheten løpende beskjed om denne og andre typer svindelforsøk de skal være på vakt for og melde fra om.
   3. Teknologisk: Vi oppdaterer fullmakter for godkjenning av inngående faktura i ERP-systemet og skrur på dobbel godkjenning i nettbanken/betalingssystemet
4. Vi kontrollerer at de nye rutinene fungerer ved å gjøre noen tester. Vi snakker for eksempel med relevant personale, velger ut noen utbetalinger for kontroll og/eller gjør dataanalyser av alle utbetalinger fra en gitt periode for å se om disse er blitt behandlet riktig. Vi følger opp eventuelle feil eller svakheter vi finner, for eksempel ved å korrigere rutinene eller gi mer opplæring
5. Vi setter opp i årshjulet at vi evaluerer hvordan fasene 1-4 fungerer om et halvt år, og foretar eventuelle justeringer

Sånn.. fiks ferdig og lett som bare det hvis man allerede har en internkontroll som er etablert og i drift! (Og har man ikke det, er det på høy tid å sette i gang tiltak).

Til slutt: Mange spør oss om ikke internkontrollen fort kan bli et byråkratisk monster som mater seg selv med krav til rapportering, dokumentasjon og påpeking av feil… Jo, det er alltid en risiko for dette - og vi har sett en rekke eksempler - om den ikke jevnlig gjennomgås for å sikre at den er målrettet, risikobasert og tilpasset virksomhetens virkelighet. I denne digitaliseringsalderen, er det i økende grad viktig at virksomheter evner å handle og snu seg raskt. Det er derfor helt avgjørende at internkontrollens omfang og prioriteringer styres ut fra hvordan den kan hjelpe virksomheten til å kjøre raskt, men trygt og med akkurat riktig risiko!