VEM TAR IT-RISKEN Lars Gunnerholm CISA CISM
Min presentation, innehåll Vem är Lars Gunnerholm IT- områdets utveckling IT- risker och utvecklingen Revisorns uppgift/roll Riskområden Vem tar risken? Hur förändras risken? 2
Min presentation, innehåll Vad bör revisorn göra? Back-up hanteringen Reservrutiner Hur hantera Outsourcing? 3
Vem är Lars Gunnerholm? 15 år inom IT-området, konsult och anställd Programmering, projektledning, utredningar Marknadsföring programvaror Ansvarig för supportverksamhet Privat och offentlig sektor 25 år informations- och IT-säkerhet, konsult och anställd Utredningar, projektledning, revision Införande av informations- och IT-säkerhet t.ex ISO 27001/2 Riskanalyser Kontinuitetsplanering Internationellt, privat och offentlig sektor Deltager aktivt I SIS arbetet med olika standards inom området 4
IT-områdets utveckling 70-talet Ekonomisystem, löner, fakturering, reskontror, lager Huvudsaklingen batchorienterade system Stora företag o myndigheter, banker och försäkringsbolag Endast datorer och terminaler, alltid kablar Inget Internet IDAG Nästan all verksamhet Många direktkopplingar kund företag leverantör Dessutom i många prylar, bilar, TV, maskiner mm. Datorer, PC, plattor, telefoner, ofta trådlöst Internet och GPS 5
IT-risker, utveckling över tid 70-talet Inga fakturor i tid, orsak: programfel/datorfel Konsekvenser: försenade intäkter, minskat kundförtroende Databackup fanns alltid, allt under egen kontroll, stabila datormiljöer Personal som kan kontakta berörda finns ofta Totalt sett begränsade risker IDAG Inga order kan tas emot, orsak: programfel/datorfel/kommunikationsfel Inget kan levereras, orsak: programfel/datorfel/kommunikationsfel Bilen/lagertrucken/maskinen går inte, orsak: programfel/datorfel Konsekvenser: allvarliga avbrott i verksamheten, förlorade kunder, minskat kundförtroende, förlorade intäkter Databackup? Inget under egen kontroll, komplexa datormiljöer Personal som kan kontakta berörda saknas 6
IT-risker, utveckling över tid IDAG Hela verksamheter står och faller med IT WEB butiker Bokningsföretag, biljetter, hotell mm. Många verksamheter saknar lager och förutsätter leverans med hjälp av ITsystem, apotek, industriföretag, livsmedelsbutiker mm. Personliga system, mobiltelefoner, mail. Totalt sett många stora risker med IT anknytning 7
Vad är revisorns uppgift? Förvaltningsrevision,utdrag RN:s text Som ett led i denna granskning ska revisorn bedöma om styrelsen eller den verkställande direktören utsatt bolaget för risker som kan vålla bolaget skada utan att ge motsvarande fördelar. 8
Nyligen inträffat Aftonbladet den 22 sept Försäkringskassans system nere (1 dygn blev facit) Stockholm. Försäkringskassans datorsystem ligger nere sedan i morse. Det är både den externa webben och handläggningssystemen som ligger nere. Enligt presschefen Helena Esscher pågår ett intensivt arbete med att hitta felet. Exakt vad som har hänt vet vi inte i nuläget, men enligt prognosen nu ska felet vara avhjälpt till kvällen, säger hon. Det går fortfarande att ringa försäkringskassan och få svar på generella frågor. Många har ringt och undrat om det här påverkar utbetalningarna på något vis, men just nu ser det inte ut som om den delen kommer att påverkas, säger Esscher. Skola i Segeltorp gick inte att öppna 22 sept 9
Fler störningar, exempel Evry 2013, SJ, SL, Posten driftstopp 10
Riskområden i många organisationer Mail, viktiga ärenden (avtal, priser mm.) WEB, order, info till marknad Logistik o lagerhantering Kundreskontra Leverantörsreskontra 11
Vem tar risken? VD/Styrelse alltid ytterst ansvarig IT, kanske och bevis på detta Risk manager, kanske Är ej beslutat/oklart läge, vanligt 12
Hur förändras risken? Försäljning via WEB ökar Eget lager ersätts av lager på hjul Verksamhet koncentreras till ett lager IT flyttas ut till extern leverantör Detta sker ofta utan riskbedömning 13
Vad bör revisorn göra? Bedöm verksamhetens beroende av IT Hitta IT-beroende processer, fråga runt? Vad blir konsekvenserna av avbrott? När blir det resultatpåverkande? Hur stor blir påverkan? 14
Vad bör revisorn göra? Fråga IT-ansvarig om back-up Finns det en back-up Hur aktuell är den (hur mycket kan förloras?) När testades en återstart från back-up (bör ske minst en gång per år) 15
Vad bör revisorn göra? Fråga IT-ansvarig om back-up Finns det ett tydligt krav från ledningen? Finns det dokumenterade och aktuella processer för back-up hanteringen? 16
Vad bör revisorn göra? Fråga om reservrutiner Kan man leverera utan IT-stöd? Kan man ta order utan IT-stöd? Kan man tillverka utan IT-stöd? Finns det någon förberedd krisgrupp? 17
Hur hantera outsourcing Samma frågor som nämnts Svaren måste finnas i avtal Nya problemområden Vad händer vid konkurs Vad händer vid nya ägarförhållanden? Vad händer vid avtalets upphörande, hur flytta till ny leverantör? 18
Frågor o synpunkter Frågor kan även senare besvaras av: lars.gunnerholm@telia.com Mobil 070-671 66 89 19
Tack för uppmärksamheten 20