logoRevisjon og regnskap

Logg på for å laste ned PDF
Digitalisering

Siviløkonom

Aase Lindahl

Partner i PwC

Hun leder et team som gir råd til virksomheter om etablering og for­bedring av corporate governance, risikostyring, internkontroll.

Direktør

Eldar Lillevik

Tjenesteleder for Cybersecurity i PwC Norge

Cybersecurity-trusler krever god internkontroll

I en virkelighet preget av digitalisering og stadig flere ukjente og komplekse risikoer, kreves tverrfaglig innsats og samarbeid mellom de som har innsikt i sikkerhet, compliance og internkontroll. Det er nødvendig for å være i forkant for å løse utfordringene effektivt.

I fjor økte omfanget av såkalt «CEO-fraud» dramatisk i Norge. Dette er bedrageri der svindlere utgir seg for å være ledere i en virksomhet for så å instruere ansatte, via e-post, om å overføre penger til svindlernes kontoer. Fjorårets største enkeltbedrageri var på 400 millioner kroner. En regnskapsmedarbeider utførte transaksjonene basert på instrukser vedkommende trodde kom fra virksomhetens øverste leder. 100 av disse millionene er fortsatt på avveie, noe som gjør dette til norgeshistoriens hittil største «brekk» – større enn NOKAS-ranet i 2004.

Nye sikkerhetsutfordringer krever tverrfaglig innsats og samarbeid mellom de som har innsikt i sikkerhet, compliance og internkontroll.

Hvordan kunne dette skje? Kunne det vært forhindret? Finnes det en magisk formel som enkelt beskytter virksomheten mot slik kriminalitet?

Fem steg til en risikobasert internkontroll for cybersecurity-trusler

Bjørn Erik Thon i Datatilsynet har tidligere uttalt: «To ting har vært sentrale, og vil fortsette å være sentrale: Risikovurderinger og internkontroll!» Det har han helt rett i.

Hvordan kan man se for seg at et fungerende internkontrollsystem kunne for­hindret at svindlerne i eksemplet vårt om CEO-svindel stakk av med 100 millioner NOK? Med fem steg kunne man bygget en effektiv beskyttelse:

  1. Risikovurdering: I den årlige gjennomgangen av virksomhetens risikoer blir det oppdaget at «CEO-fraud» utgjør en ny stor økonomisk risiko, som også kan utløse bøter og pålegg (eks. varslingsplikt) fra myndigheter som virksomheten er underlagt.

  2. Oppdatering av kontroller: Deretter blir eksisterende internkontrollrutiner gjennomgått og svakheter avdekket. Det blir derfor etablert nye regler om hvordan betalinger skal settes opp, med attestasjons- og godkjenningsfullmakter for ulike beløpsstørrelser og type utbetalinger og krav til dokumentasjon. Dokumentasjon kan være krav om intern eller ekstern faktura. Godkjenning av bankbetalinger blir også endret ved at dette alltid skal gjøres av flere enn én person med rette fullmakter.

  3. Implementering av kontroller: En systematisk implementering av de nye kravene og rutinene skal gi trygghet for at reglene virker i praksis.

    1. Organisasjon: Fullmaktsmatrise, stillingsbeskrivelser, rutinebeskrivelser og lignende oppdateres.

    2. Operasjonelt: Alle som behandler inngående faktura, har attestasjonsfullmakter og fullmakt til å godkjenne utbetalinger fra bank, får opplæring i nye regler. Opplæringen må også forklare hvorfor disse innføres, da det å være bevisst og jobbe med god sikkerhetskultur er avgjørende for god sikkerhet. Alle ansatte i virksomheten får også løpende beskjed om dette og andre typer svindelforsøk da de skal lære å være på vakt og alltid melde fra om mistenkelig forhold.

    3. Teknologisk: Virksomheten oppdaterer fullmakter for godkjenning av inngående faktura i ERP-systemet og skrur på dobbel godkjenning i nettbanken og/eller betalingssystemet.

  4. Overvåking av kontrollene: Det blir gjennomført kontroller av at nye rutiner fungerer ved å gjennomføre testing. Dette kan gjøres gjennom dialog med relevante ansatte, utvalg av utbetalinger for kontroll og/eller gjennom dataanalyser av alle utbetalinger fra en gitt periode for å kontrollere behandling i tråd med ny rutine. Eventuelle feil og avdekkede svakheter må følges opp, korrigeres og igjen kontrolleres.

  5. Jevnlig evaluering: Vi setter opp i årshjulet at vi evaluerer hvordan fasene 1–4 fungerer om et halvt år, og foretar eventuelle justeringer.