SlideShare a Scribd company logo

Input till it risker i internrevisorns riskanalys

Transcendent Group
Transcendent Group

Presentation från GRC 2015 den 20 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2015/

Leadership & Management
1 of 23
Download to read offline
Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015
Agenda • Tillvägagångssätt för att identifiera IT-relaterade risker. • Exempel på olika typer av IT- relaterade granskningar. ©TranscendentGroupSverigeAB2015
Om mig • partner på Transcendent Group • tjänsteområdesansvarig IT- revision • 14 års arbetslivserfarenhet som IT-revisor och rådgivare ©TranscendentGroupSverigeAB2015
Risker ©TranscendentGroupSverigeAB2015
Informationsteknologi (IT) ©TranscendentGroupSverigeAB2015
Synsätt IT som affärsmöjliggörare IT risker är affärsrisker ©TranscendentGroupSverigeAB2014
Vad driver risk? • Accelerande teknisk utveckling ökar kraven på tillgänglighet. • Informationsteknologi används vid utveckling av produkter och tjänster samt skapar förutsättningar för effektivisering och kostnadsbesparingar. • Företag integrerar i allt större utsträckning befintlig IT- infrastruktur och informationsutbyte med kunder, leverantörer och samarbetspartners. • Ökad grad av regelefterlevnad och avtalade kundkrav. • Informationsteknologi (IT) är en möjliggörare (business enabler) för att utveckla företag och organisationer. ©TranscendentGroupSverigeAB2015
Teknikutveckling • Molnbaserade tjänster och virtualisering • Cyber Crime och Cyber Security (Internet) • Penetrationstester och sårbarhetsanalyser (scenarion) • BYOD – Bring Your Own Device (smarta mobiltelefoner) • Big Data (stora datamängder vid insamling, hantering och lagring) ©TranscendentGroupSverigeAB2015
Risk universe • Styrning och ledning • Organisation • Processer • Teknologi ©TranscendentGroupSverigeAB2015
Input till att identifiera IT-risker • Affärsmål och strategier • IT-strategi • IT-ledningsgrupp • Incidenter • Projekt • Utförda riskanalyser • Organisation • Revisionsutskott • Tidigare års observationer (IR/ER) • Lagar och förordningar • Kundavtal • Teknikutveckling • Utvecklingsbudget och förvaltningsplaner ©TranscendentGroupSverigeAB2015
Skapa förståelse för IT • Styrning och ledning av IT. • Förstå organisation (inklusive roller och ansvar). • Förstå drift/utveckling/ förvaltning. • Teknik • Verksamhetens beroende av IT • Outsourcing • Externa leverantörer ©TranscendentGroupSverigeAB2015
Komplex IT-miljö • Transaktionsintensitet (realtid vs. batchjobb) • Antal applikationer • IT-infrastruktur • Standardsystem vs. egenutvecklade • Antal användare • Pågående och planerade projekt • Incidenter • Vilka processer stöder de • Beroenden (input – output) • Drift och förvaltning • Kompetens ©TranscendentGroupSverigeAB2015
IT-riskområden ©TranscendentGroupSverigeAB2015 IT Riskområden IT-styrning Informations- säkerhet Incident- hantering Regel efter- levnad Datakvalitet Infrastruktur Outsourcing Kontinuitets- planering Utveckling av IT-system Mobil säkerhet Leverantörs- styrning Drift och förvaltning IT-säkerhet Policies och riktlinjer Projekt- hantering Fysisk säkerhet Licens hantering Säkerhet i molnet BYOD Cyber Security Säkerhet i applikationer Social media
Informationssäkerhet ©TranscendentGroupSverigeAB2015 Informations- säkerhet 3. incidenter 4. styrning och uppföljning 5. strategi och inriktning 6. policy och riktlinjer 8. kontrakterade tredje parter 9. Styrning och administration av behörigheter 10. organisation (roller och ansvar) 11. utbildning 13. informations- klassificering 12. riskanalyser 2. krav enligt lagar och förordningar 7. budget
Riskområde: informationssäkerhet • Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv. Varför är detta område väsentligt? • Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet. • Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön. • Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner. Identifierade risker att beakta • Granskning av behörighetsrutiner och styrning av åtkomst • Granskning av en korrekt ansvarsfördelning (segregation of duties) • Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd. • Granskning av rutiner och kontroller för loggning av information. Förslag till granskningsåtgärder ©TranscendentGroupSverigeAB2015
Trender IT-risker för banksektorn Digitalisering (webb och mobila kanaler) Mobila betalningar Regelefterlevnad (Basel 3, GDPR) IT-infrastruktur Cybersäkerhet Big Data ©TranscendentGroupSverigeAB2014 Riskområden
Prioriterade granskningar i 2015 års revisionsplan ©TranscendentGroupSverigeAB2015 Verksamhets- område Identifierade risker Risk Mapp Nr. Potentiell konsekvens / effekt av risk Granskningsåtgärd xx • aa • aa • bb • cc 1 • ss • xx • ss • ss • Zz • Xx • xx • ss • ss yy • ww • dd • cc • ss 2,3,4 • ee • ss • ss • ss • dd • rr • ww zz • zz • zz • zz 5 • zz • xx • zz(
Konsoliderad risk karta – topp fem operationella risk områden ©TranscendentGroupSverigeAB2015 Förväntad (4) Trolig (3) Osannolikt (1) Potentiell (2) Hög (3) Kritiskt (4) Begränsad (2) Sannolikhet Påverkan 1a xx xx 1b yy zz tt 3. Lagar och förordningar xx 2. Informations- säkerhet cc 4. dd ff 5. gg kk Väsentlig (4)
Input till IT-risker Identifierade risker och scenarion Förslag på granskningsåtgärder Flertalet kritiska projekt levereras inte enligt våra förväntningar (tid, kvalitet, kostnader) • Granskning av specifika project. • Pre- och post-implementations review av system. • Granskning av faktiska nyttoeffekter med investeringar i IT. Risk för att IT ej möter upprättade affärsmål och strategier på kort och lång sikt • Granskning av IT-strategi och styrningsmodell. • Granskning av rutiner för incidenthantering. Brister i styrning och uppföljnig av leverans från kontrakterade tredjeparter (outsourcing)? • Granskning av utkontrakterade tjänster hos tredje part. • Avtalsgranskning Risk för brister inom informationssäkerhet • Granskning av styrning och ledning av informationssäkerhet. • Granskning efterlevnad av styrande dokument (exempelvis ISO 27001). • Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A). • Applikationsgranskningar. Risk för obehörig åtkomst till kritisk information • Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst • Segregation of Duties • Granskning av rutiner för hantering av logginformation ©TranscendentGroupSverigeAB2015
Identifierade risker Förslag på granskningsåtgärder Risk för väsentliga avbrott i vår verksamhet • Granskning av kontinuitetshantering • Granskning av katastrofplaner för IT (disaster recovery). • Granskning av utkontrakterade tjänster till tredje part Ökade IT-kostnader • Granskning av IT-kostnader. • Granskning av licenshantering Risk för externa intrång och åtkomst till kritisk kunddata • Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser. • Genomförandet av penetretionstester. Risk för bristande kvalitet i utvecklingsprocess • Granskning av rutiner och kontroller för systemutveckling och förändringshantering. Input till IT-risker ©TranscendentGroupSverigeAB2015
Input till IT-risker ©TranscendentGroupSverigeAB2015 Område Risker IT-strategi • IT-strategi är ej formaliserad och implementerad i koncernen. • Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten. • Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering. • Det saknas en tydlig koppling mot definierade affärsmål och strategier. • IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp. • IT är ej representerat i ledningsgruppen. Styrning och ledning • Avsaknad av ett ramverk för IT styrning (IT governance framework). • Styrande forum är ej effektiva i sin utformning och genomförande. • Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin. • Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker). • Det finns ingen process för regelbunden kvalitetsuppföljning av IT- leveranser. • Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.
Område Risker Informationssäkerhet • Det finns inte en upprättad och implementerad strategi för informationssäkerhet. • Otydlighet kring styrning och ledning av informationssäkerhet. • Ökad grad av rapporterade incidenter kopplat till informationssäkerhet. • Avsaknad av rutiner för genomförande av riskanalyser (inklusive hot- och sårbarhetsanalyser). • Bristfällig kontroll över administratörsrättigheter. • Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system. • Brister i efterlevnad av regulatoriska krav. Input till IT-risker ©TranscendentGroupSverigeAB2015
www.transcendentgroup.com

Recommended

IT Strategic Planning Guide
IT Strategic Planning GuideIT Strategic Planning Guide
IT Strategic Planning GuideMary Patry
 
Operating Model
Operating ModelOperating Model
Operating Modelrmuse70
 
Agile Requirements—From Breadth to Depth
Agile Requirements—From Breadth to DepthAgile Requirements—From Breadth to Depth
Agile Requirements—From Breadth to DepthTechWell
 
IT strategy presentation by global leading CIO, Creagh Warren
IT strategy presentation by global leading CIO, Creagh WarrenIT strategy presentation by global leading CIO, Creagh Warren
IT strategy presentation by global leading CIO, Creagh Warrenbob panic
 
International Target Operating Model Design
International Target Operating Model DesignInternational Target Operating Model Design
International Target Operating Model DesignChris Oddy
 
Outline of ISO 22301:2019 Documentation and Training kit
Outline of ISO 22301:2019 Documentation and Training kitOutline of ISO 22301:2019 Documentation and Training kit
Outline of ISO 22301:2019 Documentation and Training kitGlobal Manager Group
 
Business Impact Analysis
Business Impact AnalysisBusiness Impact Analysis
Business Impact Analysisdlfrench
 
GRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewGRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewDenise Robinson
 

Recommended

IT Strategic Planning Guide
IT Strategic Planning GuideIT Strategic Planning Guide
IT Strategic Planning GuideMary Patry
 
Operating Model
Operating ModelOperating Model
Operating Modelrmuse70
 
Agile Requirements—From Breadth to Depth
Agile Requirements—From Breadth to DepthAgile Requirements—From Breadth to Depth
Agile Requirements—From Breadth to DepthTechWell
 
IT strategy presentation by global leading CIO, Creagh Warren
IT strategy presentation by global leading CIO, Creagh WarrenIT strategy presentation by global leading CIO, Creagh Warren
IT strategy presentation by global leading CIO, Creagh Warrenbob panic
 
International Target Operating Model Design
International Target Operating Model DesignInternational Target Operating Model Design
International Target Operating Model DesignChris Oddy
 
Outline of ISO 22301:2019 Documentation and Training kit
Outline of ISO 22301:2019 Documentation and Training kitOutline of ISO 22301:2019 Documentation and Training kit
Outline of ISO 22301:2019 Documentation and Training kitGlobal Manager Group
 
Business Impact Analysis
Business Impact AnalysisBusiness Impact Analysis
Business Impact Analysisdlfrench
 
GRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewGRI ERM Roadmap - Program Overview
GRI ERM Roadmap - Program OverviewDenise Robinson
 
ITIL and CMMI for service
ITIL and CMMI for serviceITIL and CMMI for service
ITIL and CMMI for serviceBoonNam Goh
 
Powerful-Youth-Leadership-101.pdf
Powerful-Youth-Leadership-101.pdfPowerful-Youth-Leadership-101.pdf
Powerful-Youth-Leadership-101.pdfFestusDaniel3
 
Target operating model definition
Target operating model definitionTarget operating model definition
Target operating model definitionStuart Robb
 
We Need To Talk About IT Architecture
We Need To Talk About IT ArchitectureWe Need To Talk About IT Architecture
We Need To Talk About IT ArchitectureAlan McSweeney
 
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"Frontit
 
Portfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
Portfólio de Análise de Negócio: Consultoria, Treinamento e MentoriaPortfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
Portfólio de Análise de Negócio: Consultoria, Treinamento e MentoriaRildo (@rildosan) Santos
 
Perceptor model
Perceptor modelPerceptor model
Perceptor modelSunny Bose
 
Business Architecture and Enterprise Planning
Business Architecture and Enterprise PlanningBusiness Architecture and Enterprise Planning
Business Architecture and Enterprise Planningi3 Technologies, Inc
 
Information Risk Management - Cyber Risk Management - IT Risks
Information Risk Management - Cyber Risk Management - IT RisksInformation Risk Management - Cyber Risk Management - IT Risks
Information Risk Management - Cyber Risk Management - IT RisksHernan Huwyler, MBA CPA
 
Target Operating Model Definition
Target Operating Model DefinitionTarget Operating Model Definition
Target Operating Model Definitionstuart1403
 
Risk Management and Security in Strategic Planning
Risk Management and Security in Strategic PlanningRisk Management and Security in Strategic Planning
Risk Management and Security in Strategic PlanningKeyaan Williams
 
Business analysts and sdlc
Business analysts and sdlcBusiness analysts and sdlc
Business analysts and sdlcAniket Sharma
 
Chapter 12 - Operational risk management
Chapter 12 - Operational risk managementChapter 12 - Operational risk management
Chapter 12 - Operational risk managementQuan Risk
 
Six Sigma Complete Guide
Six Sigma Complete GuideSix Sigma Complete Guide
Six Sigma Complete GuideNitish Nagar
 
Lunch and Learn Initiative
Lunch and Learn InitiativeLunch and Learn Initiative
Lunch and Learn InitiativeWilliam Burkey, MBA
 
Business analysis compass mapping to the iiba babok v2
Business analysis compass mapping to the iiba babok v2Business analysis compass mapping to the iiba babok v2
Business analysis compass mapping to the iiba babok v2Pragmatic Cohesion Consulting, LLC
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIwendcosta
 
BCM Presentation - March 2015
BCM Presentation - March 2015BCM Presentation - March 2015
BCM Presentation - March 2015Paul Marsden MCQI CQP, Dip. Mgmt
 
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...Iver Band
 
The New World of Enterprise Architecture
The New World of Enterprise ArchitectureThe New World of Enterprise Architecture
The New World of Enterprise ArchitectureMike Walker
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 

More Related Content

What's hot

ITIL and CMMI for service
ITIL and CMMI for serviceITIL and CMMI for service
ITIL and CMMI for serviceBoonNam Goh
 
Powerful-Youth-Leadership-101.pdf
Powerful-Youth-Leadership-101.pdfPowerful-Youth-Leadership-101.pdf
Powerful-Youth-Leadership-101.pdfFestusDaniel3
 
Target operating model definition
Target operating model definitionTarget operating model definition
Target operating model definitionStuart Robb
 
We Need To Talk About IT Architecture
We Need To Talk About IT ArchitectureWe Need To Talk About IT Architecture
We Need To Talk About IT ArchitectureAlan McSweeney
 
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"Frontit
 
Portfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
Portfólio de Análise de Negócio: Consultoria, Treinamento e MentoriaPortfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
Portfólio de Análise de Negócio: Consultoria, Treinamento e MentoriaRildo (@rildosan) Santos
 
Perceptor model
Perceptor modelPerceptor model
Perceptor modelSunny Bose
 
Business Architecture and Enterprise Planning
Business Architecture and Enterprise PlanningBusiness Architecture and Enterprise Planning
Business Architecture and Enterprise Planningi3 Technologies, Inc
 
Information Risk Management - Cyber Risk Management - IT Risks
Information Risk Management - Cyber Risk Management - IT RisksInformation Risk Management - Cyber Risk Management - IT Risks
Information Risk Management - Cyber Risk Management - IT RisksHernan Huwyler, MBA CPA
 
Target Operating Model Definition
Target Operating Model DefinitionTarget Operating Model Definition
Target Operating Model Definitionstuart1403
 
Risk Management and Security in Strategic Planning
Risk Management and Security in Strategic PlanningRisk Management and Security in Strategic Planning
Risk Management and Security in Strategic PlanningKeyaan Williams
 
Business analysts and sdlc
Business analysts and sdlcBusiness analysts and sdlc
Business analysts and sdlcAniket Sharma
 
Chapter 12 - Operational risk management
Chapter 12 - Operational risk managementChapter 12 - Operational risk management
Chapter 12 - Operational risk managementQuan Risk
 
Six Sigma Complete Guide
Six Sigma Complete GuideSix Sigma Complete Guide
Six Sigma Complete GuideNitish Nagar
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIwendcosta
 
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...Iver Band
 
The New World of Enterprise Architecture
The New World of Enterprise ArchitectureThe New World of Enterprise Architecture
The New World of Enterprise ArchitectureMike Walker
 

What's hot (20)

ITIL and CMMI for service
ITIL and CMMI for serviceITIL and CMMI for service
ITIL and CMMI for service
 
Powerful-Youth-Leadership-101.pdf
Powerful-Youth-Leadership-101.pdfPowerful-Youth-Leadership-101.pdf
Powerful-Youth-Leadership-101.pdf
 
Target operating model definition
Target operating model definitionTarget operating model definition
Target operating model definition
 
We Need To Talk About IT Architecture
We Need To Talk About IT ArchitectureWe Need To Talk About IT Architecture
We Need To Talk About IT Architecture
 
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
Frontit seminarium: "Nyttostyrd verksamhetsutveckling med agila metoder"
 
Portfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
Portfólio de Análise de Negócio: Consultoria, Treinamento e MentoriaPortfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
Portfólio de Análise de Negócio: Consultoria, Treinamento e Mentoria
 
Perceptor model
Perceptor modelPerceptor model
Perceptor model
 
Business Architecture and Enterprise Planning
Business Architecture and Enterprise PlanningBusiness Architecture and Enterprise Planning
Business Architecture and Enterprise Planning
 
Information Risk Management - Cyber Risk Management - IT Risks
Information Risk Management - Cyber Risk Management - IT RisksInformation Risk Management - Cyber Risk Management - IT Risks
Information Risk Management - Cyber Risk Management - IT Risks
 
Target Operating Model Definition
Target Operating Model DefinitionTarget Operating Model Definition
Target Operating Model Definition
 
Risk Management and Security in Strategic Planning
Risk Management and Security in Strategic PlanningRisk Management and Security in Strategic Planning
Risk Management and Security in Strategic Planning
 
Business analysts and sdlc
Business analysts and sdlcBusiness analysts and sdlc
Business analysts and sdlc
 
Chapter 12 - Operational risk management
Chapter 12 - Operational risk managementChapter 12 - Operational risk management
Chapter 12 - Operational risk management
 
Six Sigma Complete Guide
Six Sigma Complete GuideSix Sigma Complete Guide
Six Sigma Complete Guide
 
Lunch and Learn Initiative
Lunch and Learn InitiativeLunch and Learn Initiative
Lunch and Learn Initiative
 
Business analysis compass mapping to the iiba babok v2
Business analysis compass mapping to the iiba babok v2Business analysis compass mapping to the iiba babok v2
Business analysis compass mapping to the iiba babok v2
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
BCM Presentation - March 2015
BCM Presentation - March 2015BCM Presentation - March 2015
BCM Presentation - March 2015
 
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
From Capability-Based Planning to Competitive Advantage: Assembling Your Bus...
 
The New World of Enterprise Architecture
The New World of Enterprise ArchitectureThe New World of Enterprise Architecture
The New World of Enterprise Architecture
 

Viewers also liked

Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Erik Ullberg
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)Maria Duni
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljöTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Transcendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarTranscendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 

Viewers also liked (20)

Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
 
Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0Wistrand broschyr Personuppgifter 2.0
Wistrand broschyr Personuppgifter 2.0
 
Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)Rykande färsk GDPR (PuL)
Rykande färsk GDPR (PuL)
 
CRO:n mitt i GRC
CRO:n mitt i GRCCRO:n mitt i GRC
CRO:n mitt i GRC
 
General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)General Data Protection Regulation (GDPR)
General Data Protection Regulation (GDPR)
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?Vad är kvalitet i internrevision?
Vad är kvalitet i internrevision?
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 

Similar to Input till it risker i internrevisorns riskanalys

Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningIT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningThomas Norlin
 
Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Leif Andersson
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledningPontus Wadström
 
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit
 
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxAdvania
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & LönsamhetRolf Häsänen
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringE-delegationen
 
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM Sverige
 

Similar to Input till it risker i internrevisorns riskanalys (20)

Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjare
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
 
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningIT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
 
Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning
 
Nätverksmöte080925
Nätverksmöte080925Nätverksmöte080925
Nätverksmöte080925
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
 
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
 
MSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptxMSB 2020_7_grundläggande förutsättningar och drift.pptx
MSB 2020_7_grundläggande förutsättningar och drift.pptx
 
Säkerhet & Lönsamhet
Säkerhet & LönsamhetSäkerhet & Lönsamhet
Säkerhet & Lönsamhet
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
 
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!
 

More from Transcendent Group

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activityTranscendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetTranscendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 

More from Transcendent Group (17)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 

Input till it risker i internrevisorns riskanalys

  • 1. Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015
  • 2. Agenda • Tillvägagångssätt för att identifiera IT-relaterade risker. • Exempel på olika typer av IT- relaterade granskningar. ©TranscendentGroupSverigeAB2015
  • 3. Om mig • partner på Transcendent Group • tjänsteområdesansvarig IT- revision • 14 års arbetslivserfarenhet som IT-revisor och rådgivare ©TranscendentGroupSverigeAB2015
  • 6. Synsätt IT som affärsmöjliggörare IT risker är affärsrisker ©TranscendentGroupSverigeAB2014
  • 7. Vad driver risk? • Accelerande teknisk utveckling ökar kraven på tillgänglighet. • Informationsteknologi används vid utveckling av produkter och tjänster samt skapar förutsättningar för effektivisering och kostnadsbesparingar. • Företag integrerar i allt större utsträckning befintlig IT- infrastruktur och informationsutbyte med kunder, leverantörer och samarbetspartners. • Ökad grad av regelefterlevnad och avtalade kundkrav. • Informationsteknologi (IT) är en möjliggörare (business enabler) för att utveckla företag och organisationer. ©TranscendentGroupSverigeAB2015
  • 8. Teknikutveckling • Molnbaserade tjänster och virtualisering • Cyber Crime och Cyber Security (Internet) • Penetrationstester och sårbarhetsanalyser (scenarion) • BYOD – Bring Your Own Device (smarta mobiltelefoner) • Big Data (stora datamängder vid insamling, hantering och lagring) ©TranscendentGroupSverigeAB2015
  • 9. Risk universe • Styrning och ledning • Organisation • Processer • Teknologi ©TranscendentGroupSverigeAB2015
  • 10. Input till att identifiera IT-risker • Affärsmål och strategier • IT-strategi • IT-ledningsgrupp • Incidenter • Projekt • Utförda riskanalyser • Organisation • Revisionsutskott • Tidigare års observationer (IR/ER) • Lagar och förordningar • Kundavtal • Teknikutveckling • Utvecklingsbudget och förvaltningsplaner ©TranscendentGroupSverigeAB2015
  • 11. Skapa förståelse för IT • Styrning och ledning av IT. • Förstå organisation (inklusive roller och ansvar). • Förstå drift/utveckling/ förvaltning. • Teknik • Verksamhetens beroende av IT • Outsourcing • Externa leverantörer ©TranscendentGroupSverigeAB2015
  • 12. Komplex IT-miljö • Transaktionsintensitet (realtid vs. batchjobb) • Antal applikationer • IT-infrastruktur • Standardsystem vs. egenutvecklade • Antal användare • Pågående och planerade projekt • Incidenter • Vilka processer stöder de • Beroenden (input – output) • Drift och förvaltning • Kompetens ©TranscendentGroupSverigeAB2015
  • 13. IT-riskområden ©TranscendentGroupSverigeAB2015 IT Riskområden IT-styrning Informations- säkerhet Incident- hantering Regel efter- levnad Datakvalitet Infrastruktur Outsourcing Kontinuitets- planering Utveckling av IT-system Mobil säkerhet Leverantörs- styrning Drift och förvaltning IT-säkerhet Policies och riktlinjer Projekt- hantering Fysisk säkerhet Licens hantering Säkerhet i molnet BYOD Cyber Security Säkerhet i applikationer Social media
  • 14. Informationssäkerhet ©TranscendentGroupSverigeAB2015 Informations- säkerhet 3. incidenter 4. styrning och uppföljning 5. strategi och inriktning 6. policy och riktlinjer 8. kontrakterade tredje parter 9. Styrning och administration av behörigheter 10. organisation (roller och ansvar) 11. utbildning 13. informations- klassificering 12. riskanalyser 2. krav enligt lagar och förordningar 7. budget
  • 15. Riskområde: informationssäkerhet • Information är en kritiska tillgångar i bolaget och regulatoriska krav och specifika kundavtal ställer krav på att vi har ett effektivt och ändamålsenligt säkerhetsskydd avseende konfidentialitet, tillgänglighet och integritet. Brister i hantering av informationssäkerhet och efterlevnad av regulatoriska- och kundspecifika avtal kan få en påverkan ur ett legalt-, finansiellt-, och marknadsmässigt perspektiv. Varför är detta område väsentligt? • Obehörig åtkomst till kritiska informationstillgångar som påverkar informationens integritet och konfidentialitet. • Väsentlig information är ej tillgänglig i händelse av ett avbrott i IT-miljön. • Regulatoriska och kundspecifika krav efterlevs ej vilket kan leda till sanktioner. Identifierade risker att beakta • Granskning av behörighetsrutiner och styrning av åtkomst • Granskning av en korrekt ansvarsfördelning (segregation of duties) • Granskning av modell för informationsklassificering och tillämpbart säkerhetsskydd. • Granskning av rutiner och kontroller för loggning av information. Förslag till granskningsåtgärder ©TranscendentGroupSverigeAB2015
  • 16. Trender IT-risker för banksektorn Digitalisering (webb och mobila kanaler) Mobila betalningar Regelefterlevnad (Basel 3, GDPR) IT-infrastruktur Cybersäkerhet Big Data ©TranscendentGroupSverigeAB2014 Riskområden
  • 17. Prioriterade granskningar i 2015 års revisionsplan ©TranscendentGroupSverigeAB2015 Verksamhets- område Identifierade risker Risk Mapp Nr. Potentiell konsekvens / effekt av risk Granskningsåtgärd xx • aa • aa • bb • cc 1 • ss • xx • ss • ss • Zz • Xx • xx • ss • ss yy • ww • dd • cc • ss 2,3,4 • ee • ss • ss • ss • dd • rr • ww zz • zz • zz • zz 5 • zz • xx • zz(
  • 18. Konsoliderad risk karta – topp fem operationella risk områden ©TranscendentGroupSverigeAB2015 Förväntad (4) Trolig (3) Osannolikt (1) Potentiell (2) Hög (3) Kritiskt (4) Begränsad (2) Sannolikhet Påverkan 1a xx xx 1b yy zz tt 3. Lagar och förordningar xx 2. Informations- säkerhet cc 4. dd ff 5. gg kk Väsentlig (4)
  • 19. Input till IT-risker Identifierade risker och scenarion Förslag på granskningsåtgärder Flertalet kritiska projekt levereras inte enligt våra förväntningar (tid, kvalitet, kostnader) • Granskning av specifika project. • Pre- och post-implementations review av system. • Granskning av faktiska nyttoeffekter med investeringar i IT. Risk för att IT ej möter upprättade affärsmål och strategier på kort och lång sikt • Granskning av IT-strategi och styrningsmodell. • Granskning av rutiner för incidenthantering. Brister i styrning och uppföljnig av leverans från kontrakterade tredjeparter (outsourcing)? • Granskning av utkontrakterade tjänster hos tredje part. • Avtalsgranskning Risk för brister inom informationssäkerhet • Granskning av styrning och ledning av informationssäkerhet. • Granskning efterlevnad av styrande dokument (exempelvis ISO 27001). • Granskning av identifierade och klassificerade informationstillgångar med tillämpbart skydd (C, I, A). • Applikationsgranskningar. Risk för obehörig åtkomst till kritisk information • Granskning av rutiner och kontroller för behörighetsadministration och styrning av åtkomst • Segregation of Duties • Granskning av rutiner för hantering av logginformation ©TranscendentGroupSverigeAB2015
  • 20. Identifierade risker Förslag på granskningsåtgärder Risk för väsentliga avbrott i vår verksamhet • Granskning av kontinuitetshantering • Granskning av katastrofplaner för IT (disaster recovery). • Granskning av utkontrakterade tjänster till tredje part Ökade IT-kostnader • Granskning av IT-kostnader. • Granskning av licenshantering Risk för externa intrång och åtkomst till kritisk kunddata • Granskning av processer för säkerhetsanalyser och sårbarhetsanalyser. • Genomförandet av penetretionstester. Risk för bristande kvalitet i utvecklingsprocess • Granskning av rutiner och kontroller för systemutveckling och förändringshantering. Input till IT-risker ©TranscendentGroupSverigeAB2015
  • 21. Input till IT-risker ©TranscendentGroupSverigeAB2015 Område Risker IT-strategi • IT-strategi är ej formaliserad och implementerad i koncernen. • Investeringar i IT ses som en kostnad då det ej är tydligt hur IT levererar ett värde för verksamheten. • Avsaknad av planer och fastställda mätetal för att verifiera grad av implementering. • Det saknas en tydlig koppling mot definierade affärsmål och strategier. • IT-strategin revideras ej kontinuerligt och beslutas ej av ledningsgrupp. • IT är ej representerat i ledningsgruppen. Styrning och ledning • Avsaknad av ett ramverk för IT styrning (IT governance framework). • Styrande forum är ej effektiva i sin utformning och genomförande. • Avsaknad av formaliserad policy och riktlinjer som skall stödja definierade mål i IT-strategin. • Avsaknad av metod för genomförandet av IT-riskanalyser (exempelvis strategiska risker, projektrisker, operationella risker och säkerhetsrisker). • Det finns ingen process för regelbunden kvalitetsuppföljning av IT- leveranser. • Ofullständig helhetssyn kring vilka lagar-, regulatoriska-, och kundspecifika krav som skall efterlevas.
  • 22. Område Risker Informationssäkerhet • Det finns inte en upprättad och implementerad strategi för informationssäkerhet. • Otydlighet kring styrning och ledning av informationssäkerhet. • Ökad grad av rapporterade incidenter kopplat till informationssäkerhet. • Avsaknad av rutiner för genomförande av riskanalyser (inklusive hot- och sårbarhetsanalyser). • Bristfällig kontroll över administratörsrättigheter. • Ofullständiga rutiner för loggning och övervakning av kritiska aktiviteter i IT-system. • Brister i efterlevnad av regulatoriska krav. Input till IT-risker ©TranscendentGroupSverigeAB2015