Skal internrevisjonen beholde sin posisjon som en strategisk aktør, må funksjonen i tillegg til å revidere være en rådgiver for håndtering av fremtidige risikoer.
De siste årene har digitalisering og kunstig intelligens preget agendaen i både næringslivet og politikken. Vi kan forvente store og raske endringer i forretningsmodeller og måten vi jobber på. Hvor står internrevisjonen oppi det hele? Internrevisjonen må holde tritt med utviklingen, for å beholde relevans og innflytelse i organisasjonen. Hvilke aktiviteter og relaterte risikoer representerer muligheter for internrevisjonsfunksjonen til å kunne påvirke positivt og beholde sin posisjon?
Internrevisjonen må se fremover, identifisere og vurdere styring og kontroll av aktiviteter som kan representere nye og ukjente risikoer. Denne artikkelen presenterer hovedpunkter fra undersøkelsen Deloitte Internal Audit Insights 2018. Rapporten identifiserte 13 områder som internrevisjonen må vektlegge for å følge med i den digitale utviklingen. Vi trekker frem de viktigste teknologiene og verktøyene for å kunne identifisere risikoen som oppstår som følge av økt digitalisering av virksomhetens prosesser.
RPA og kognitiv intelligens
Robotisering og prosessautomatisering, eller «robotic process automation» (RPA), er bruken av algoritmer for å utføre regelbaserte oppgaver i et virtuelt miljø, ved å etterlikne brukerhandlinger for å oppnå de samme – eller enda bedre – resultater. RPA griper ofte inn i flere IT-systemer. Disse «digitale medarbeiderne» utfører generelt repetitive og manuelle oppgaver mye bedre enn mennesker.
Når ulike funksjoner i virksomheten innfører «digitale medarbeidere», kognitiv intelligens (KI) og liknende teknologier, bør internrevisjonsfunksjonen bistå med å identifisere og vurdere risikoer som oppstår som følge av disse teknologiene. Internrevisjonens planer må adressere effekten av RPA og KI på ledelse, organisasjon og prosesser.
Internrevisjonsfunksjonen bør gjennomgå dokumentasjon av testprosedyrer, og eventuell tidligere gjennomførte tester, gjennom å ta stikkprøver av dokumenterte tester, resultater og loggførte hendelser. Andre muligheter inkluderer å gi råd om risikoreduserende tiltak og automatiseringsstrategier. Internrevisjonsfunksjonen bør også vurdere å bruke RPA selv til å automatisere repetitive kontrolltester, interne rapporteringsoppgaver og oppfølging av funn.
Cyber-sikkerhet
I de senere årene har revisjon av cyber-sikkerhet ofte dreid seg om etterlevelse av regelverk. Det gjelder områder som personvern (GDPR), IT-sikkerhet og krise-, beredskaps- og kontinuitetsplanlegging, samt ISO 27001. Virksomheter som har vært involvert i høyprofilerte cyber-hendelser i senere tid, har ofte vært i samsvar med gjeldende regelverk og standarder. Den største risikoen ligger som regel ikke her. Den ligger ofte i bruken av skybaserte løsninger, tredjeparts risiko knyttet til arbeid utført av eksterne utviklere, og bruk av applikasjoner som ligger utenfor eget IT miljø. Mye av denne aktiviteten får imidlertid verken CIO’ens, CISO’ens eller internrevisjonens oppmerksomhet selv om den som regel utgjør en vesentlig risiko. Utfordringen ligger i å identifisere et bredere spekter av cyber-risikoer før de oppstår. Internrevisjonen som er vant til å levere revisjoner som skal sikre samsvar med forskrifter og standarder, trenger nye metoder og må tenke nytt – og stort;
Vær proaktiv i planleggingen av revisjoner, se utover eksisterende revisjonsplaner for å identifisere nye produkter, markeder og eksterne parter. Utfordre ledelsens arbeid med å identifisere risikoer, overvåke og styre disse. Ledelsen bør være bevisst på hvordan beslutninger og atferd kan øke eller redusere cyber-risiko. Oppfordre til bruk av simuleringer for å teste virkningen av cyber-hendelser på drift, infrastruktur, data, økonomi og omdømme, og for å kunne måle respons og robusthet – og gjør dette regelmessig.
Personvern og GDPR
EUs generelle databeskyttelsesforordning (GDPR) berører alle virksomheter i Europa som samler inn eller behandler data om enkeltpersoner, samt foretak utenfor Europa med virksomhet i EU. GDPR utvider i stor grad enkeltpersoners mulighet til å bestemme hvilke personlige data som samles inn og hvordan disse dataene behandles. Mens de aller fleste berørte virksomheter har jobbet for å oppfylle disse kravene, er det fremdeles flere som ligger etter på enkelt områder.
Internrevisjonen kan bistå virksomheten med å håndtere den økte risikoen som følge av de nye forskriftene, og med å realisere potensialet for en bedre forståelse og bruk av disse dataene. Virksomheter må etablere tydelige ansvarsområder for data. I tillegg til å utpeke en databehandler, trenger man ansvarlige for å håndtere spesifikke krav, som for eksempel innsynsbegjæringer, respons på brudd, og datalagring. Ansvar og relaterte prosesser må dokumenteres i et rammeverk som beskriver utførelsen av informasjonsforespørsler, lagring av data og andre prosedyrer.
Gitt mandatet til å beholde data bare så lenge som nødvendig, bør man fokusere på dataenes livssyklus og på lagrings- og slettingspolicyer. Ta en risikobasert tilnærming når du planlegger hvordan virksomheten håndterer forespørsler og krav. Forsikre deg om at det gjennomføres en vurdering av personvernkonsekvenser «Data Privacy Impact Assessment» (DPIA) for ethvert nytt initiativ som involverer data om individer. Vær spesielt oppmerksom på dataoverføringer til tredjeparter.
Krise- og beredskapshåndtering
Fagområdet krise og beredskap omhandler styring, struktur, ledelse, beslutningstaking og kommunikasjon for å støtte organisasjonen i å håndtere en krisesituasjon. Det innebærer å kunne fortsette daglig drift, respondere på sikkerhetshendelser, og å komme tilbake etter en katastrofe.
De fleste store virksomheter har grunnleggende krise- og beredskapsplaner på plass, spesielt for IT og verdi- og forsyningskjeden. Vanligvis vil internrevisjonen gå gjennom disse planene med jevne mellomrom, forsikre at de blir etterlevd samt gjennomføre evalueringer etter en hendelse. Arbeidet med å opprettholde daglig drift under en hendelse har imidlertid utvidet seg til også å inkludere eventuelle hendelser som kan gjøre uopprettelig skade på økonomi, drift, cyber-funksjoner, omdømme eller andre viktige eiendeler. Ansvaret for krisehåndtering ligger hos toppledelsen i virksomheten. En krisehåndteringsplan gir rammer for lederne dersom krisen oppstår. En organisasjon trenger et krisehåndteringsprogram som omfatter styring, prosesser og risiko.
Krisehåndteringsrammeverket organiserer eierskap og roller og ansvar for sikkerhet, jus, IT, internrevisjon og andre funksjoner.
Prosesser er nødvendige for kriserespons, beslutningstaking, kommunikasjon og beredskapsplaner. Risikoer må identifiseres for å kunne planlegge og respondere på ulike scenarier, samt å trene på og simulere disse scenariene. Sett mål om å bidra med rådgivning innenfor alle disse områdene, prøv å forutse hendelser og beskriv beste praksis. Sørg for at ledelsen trenes jevnlig for å teste og videreutvikle planer og tiltak.
Verktøy og metoder
Den kontinuerlige digitaliseringen av virksomhetene genererer enorme mengder data som dataanalyse kan gjøre om til verdifull informasjon og innsikt. Verktøyene for å analysere og visualisere data er nå mindre kompliserte, rimeligere, mer tilgjengelige og enklere å bruke enn noensinne. I tillegg er virksomhetens interessenters behov for høyere grad av bekreftelse på etterlevelse, innsikt og risikoforventning aldri vært høyere.
På tross av dette har internrevisjonsfunksjonens utvikling knyttet til dataanalyse vært relativt ujevn og langsom. Dataanalyse bør sees på som en integrert del av all planlegging, gjennomføring og rapportering i internrevisjonsfunksjonen, og bør også bli reflektert i metoder og verktøy.
I stedet for å sette faste mål – bruk data under scoping for å kunne fange opp uvanlige mønstre, uventede forhold og endringer i forretningsforhold. Bevis verdien av dataanalyse ved å ta initiativ til pilotprosjekter på områder der data allerede er lett tilgjengelig, hvor suksess er mer eller mindre garantert, og hvor resultatene vil drive verdi – som for eksempel ved å redusere svindel, svinn eller andre retningslinjebrudd.
Konklusjon – bekreft, rådgi og forutse
Å bekrefte vil fremdeles utgjøre kjernevirksomheten til internrevisjonen, men å forutse vesentlige endringer i virksomhetens risikobilde vil kunne bety at internrevisoren kan bli en bedre rådgiver. Bruk data som grunnlag for råd om fremtidige aktiviteter som kan representere nye og ukjente risiko. Det krever nye rammeverk, nye metoder, og interaksjon med nye interessenter.
Tenk nytt og tenk stort for å møte behovet din organisasjon har for fremtidens revisor.
Artikkelen har tatt utgangspunkt i Deloittes rapport Internal Audit Insights 2018, og ble publisert i SIRK 2, 2018
