I takt med digitaliseringen av virksomheters produksjons- og støtteapparater har IT-risikoene fått en stadig bredere plass på private selskaps - og offentlige virksomheters risikoagenda.
IIA Norge arrangerte tidligere i år kurset «Hvordan ta grep på IT-revisjoner». Thomas Hager fra Equinor presenterte hvilke IT-risikoer og trender som internrevisorer og andre kontrollmiljøer bør følge opp.
I takt med digitaliseringen av virksomheters produksjons- og støtteapparater har IT-risikoene fått en stadig bredere plass på private selskaps – og offentlige virksomheters risikoagenda. Størst medieoppmerksomhet har hackerangrep fått hvor virksomheter som Østre Toten kommune, Stortinget, Amedia og Nortura er angrepet.
En undersøkelse, Risk in Focus utført av IIA 2022, viser at teknologiske risikoer rangerer høyest hos internrevisjonsledere og at dette risikobildet vil bestå de nærmeste årene. På risikotoppen troner «Cyber Security and Data Security», og “Digital disruption, new technology og AL” ble rangert som den 3. viktigste virksomhetsrisiko. Undersøkelsen understøtter hvor sentralt det er for virksomheter å identifisere og håndtere IT-risikoer.
Undersøkelsen Risk in Focus viste også at det er et betydelig gap mellom hvor alvorlig risikoen «Digital disruption, new technology and AI» vurderes og den tid og ressurser som internrevisjonsavdelinger benytter for å hjelpe sine virksomheter med risikohåndtering.
Man kan ikke sikre seg 100 % mot å unngå at IT-risikoer blir en realitet, men det er viktig at internrevisorer og andre kontrollaktører gjør det som er rimelig. Et første steg i en prosess er å sikre en god kvalitet av risikovurderinger og at disse gjøres tilstrekkelig ofte, samt påse at virksomheten har definert og iverksatt relevante tiltak og at disse virker som forutsatt.
Heldigvis finnes det en rekke kilder som kan understøtte gode risikovurderinger som for eksempel rammeverkene i ISO 27000-serien, NIST-rammeverkene, COBIT og Nasjonal Sikkerhetsmyndighet sine prinsipper for IKT Sikkerhet. Avhengig av den enkelte virksomhets modenhet og ressurser til å håndtere IT-risikoer, kan det også være hensiktsmessig å vurdere bistand fra eksterne kompetansemiljøer.