Intern Revision – Nye krav til revision af cybersikkerhed
Intern Revision – Nye krav til revision af cybersikkerhed
Den globale forening af interne revisorer, som definerer best practice for interne revisorer, har netop sendt udkast i høring til krav til intern revision af cybersikkerhed. En god intern revisor skal følge disse krav ved revision af cybersikkerhed, når kravene er endelige. Det betyder specielt noget i forhold til dokumentation af den interne revisors arbejde.
Den globale forening af interne revisorer the Institute of Internal Auditors (IIA) har de seneste år arbejdet med forbedring, forenkling og fornyelse af de internationale interne revisionsstandarder. Formålet har været at højne den generelle kvalitet af intern revision og skabe ensartethed på tværs af grænserne.
Dette arbejde har udmundet sig i nye generelle interne revisionsstandarder – Global Internal Audit Standards, som bredt dækker interne revisionsafdelinger og den interne revisionsproces og dermed også alle de revisioner, som den interne revision udfører. I supplement til de generelle standarder, har IIA introduceret emnespecifikke standarder – såkaldte ”Topical Requirements”. Disse standarder skal den gode interne revisor følge ved revision af det pågældende specifikke område. Formålet med de emnespecifikke standarder er at sikre, at alle interne revisionsafdelinger – store som små – har en ensartet metode for vurdering af governance, risikostyring og interne kontroller for det pågældende specifikke område. De skal blandt andet give virksomhedernes ledelse sikkerhed for, at kritiske elementer er behandlet ved revision af de pågældende områder.
Standarderne er som udgangspunkt obligatoriske for medlemmer af IIA og er udtryk for best practice inden for intern revision. Har man derfor som intern revisor et ønske om at leve op til best practice, skal man følge standarderne.
De emnespecifikke standarder får følgende ensartet struktur:
IIA har netop sendt det første udkast til en sådan emnespecifik standard i høring. Den vedrører revision af cybersikkerhed. Høringsfristen er 3. juli 2024. Standarden forventes at udgives i endelig udgave i 3. kvartal 2024.
Cybersikkerhed defineres ikke nærmere i standarden, men når man læser standardens indhold, kan man konkludere, at cybersikkerhed er anvendt som et synonym til IT- eller Informationssikkerhed. Der er således tale om, hvad vi traditionelt i Danmark kalder IT revision, hvorfor den nye standard bliver gældende for den interne revisors IT revisioner.
I overensstemmelse med normal kutyme i Danmark foreskriver den nye standard, at den interne revisor skal vurdere tilstrækkeligheden af de interne kontroller for systemudvikling, hardware-styring, patching, adgangsadministration, driftsovervågning, firewalls, netværkssegmentering, change management, datacentre, beredskabsplanlægning mv.
Sammenlignet med normal dansk praksis lægger standarden stor vægt på, at den interne revisor skal vurdere, om den enkelte virksomhed har vurderet og afsat tilstrækkelige ressourcer til håndtering af cyber risiciene, udførelse af relaterede interne kontroller og opfølgning på udviklingen og nye teknologier inden for områder, herunder at bestyrelsen er informeret om det nødvendige ressourceforbrug.
Standarden lægger tillige vægt på, at den interne revisor skal vurdere, om virksomheden har vurderet, hvorledes cyber risiciene påvirker virksomhedens mulighed for at opnå sine mål.
Det må derfor siges, at selv om den nye standard ikke indeholder epokegørende forandringer, er der en tendens til, at der lægges mere vægt på governance og risikostyringsprocesser end der traditionelt kendes fra Danmark, hvorfor det må forventes, at de interne revisorer justerer deres revisionshandlinger for cybersikkerhed en smule i fremtiden.
I BDO Internal Audit Services har vi valgt at integrere kravene i vores revisioner af cybersikkerhed allerede nu, selv om kravene er i høring frem til 3. juli 2024 og først forventes udgivet endeligt i løbet af 3. kvartal 2024. Dette har vi valgt, på baggrund af det stigende trusselsbillede fra cyberrisici og fordi vi gennem længere tid har hjulpet virksomheder med intern revision af cybersikkerhed holdt op med rammeværk som f.eks. ISO27001. Vi synes, at den emnespecifikke standard for cybersikkerhed giver en god og systematisk indgangsvinkel til revision af cybersikkerhed. Endelig synes vi, at de nye lidt blødere områder vedrørende governance og risikostyring er med til at skabe endnu mere værdi til de reviderede virksomheder.
Dette arbejde har udmundet sig i nye generelle interne revisionsstandarder – Global Internal Audit Standards, som bredt dækker interne revisionsafdelinger og den interne revisionsproces og dermed også alle de revisioner, som den interne revision udfører. I supplement til de generelle standarder, har IIA introduceret emnespecifikke standarder – såkaldte ”Topical Requirements”. Disse standarder skal den gode interne revisor følge ved revision af det pågældende specifikke område. Formålet med de emnespecifikke standarder er at sikre, at alle interne revisionsafdelinger – store som små – har en ensartet metode for vurdering af governance, risikostyring og interne kontroller for det pågældende specifikke område. De skal blandt andet give virksomhedernes ledelse sikkerhed for, at kritiske elementer er behandlet ved revision af de pågældende områder.
Standarderne er som udgangspunkt obligatoriske for medlemmer af IIA og er udtryk for best practice inden for intern revision. Har man derfor som intern revisor et ønske om at leve op til best practice, skal man følge standarderne.
De emnespecifikke standarder får følgende ensartet struktur:
- Indledning.
- Obligatoriske revisionshandlinger, som opdeles i revisionshandlinger vedrørende governance, risikostyring og interne kontroller for det pågældende område.
- Referencer til relaterede interne revisionsstandarder og Global Technology Audit Guides (sidstnævnte er den globale forening af interne revisorers eksisterende vejledninger for IT relaterede emner. I daglig tale kaldet ”GTAG”).
- Bilag som indeholder en uddybning af de obligatoriske revisionshandlinger. For hver obligatorisk revisionshandling oplistes nogle spørgsmål. Disse er vejledende og ikke obligatoriske.
- Bilag indeholdende et tjekskema, som kan anvendes til dokumentation for overholdelse af standardens krav. Helt basalt set er det et skema, som oplister de obligatoriske revisionshandlinger i kolonne 1, og hvor der i kolonne to og tre er plads til at dokumentere resultatet af revisionshandlingerne.
IIA har netop sendt det første udkast til en sådan emnespecifik standard i høring. Den vedrører revision af cybersikkerhed. Høringsfristen er 3. juli 2024. Standarden forventes at udgives i endelig udgave i 3. kvartal 2024.
Cybersikkerhed defineres ikke nærmere i standarden, men når man læser standardens indhold, kan man konkludere, at cybersikkerhed er anvendt som et synonym til IT- eller Informationssikkerhed. Der er således tale om, hvad vi traditionelt i Danmark kalder IT revision, hvorfor den nye standard bliver gældende for den interne revisors IT revisioner.
Hvad indeholder den nye standard?
Grundlæggende er de obligatoriske revisionshandlinger, som en intern revisor fremover som minimum skal dækker, når vedkommende udfører en revision af cybersikkerhed, ikke epokegørende. Basalt set skal den interne revisor vurdere tilstrækkeligheden af virksomhedens politikker, forretningsgange, ansvarsfordeling, ledelsesrapportering og interne kontroller vedrørende cybersikkerhed.I overensstemmelse med normal kutyme i Danmark foreskriver den nye standard, at den interne revisor skal vurdere tilstrækkeligheden af de interne kontroller for systemudvikling, hardware-styring, patching, adgangsadministration, driftsovervågning, firewalls, netværkssegmentering, change management, datacentre, beredskabsplanlægning mv.
Sammenlignet med normal dansk praksis lægger standarden stor vægt på, at den interne revisor skal vurdere, om den enkelte virksomhed har vurderet og afsat tilstrækkelige ressourcer til håndtering af cyber risiciene, udførelse af relaterede interne kontroller og opfølgning på udviklingen og nye teknologier inden for områder, herunder at bestyrelsen er informeret om det nødvendige ressourceforbrug.
Standarden lægger tillige vægt på, at den interne revisor skal vurdere, om virksomheden har vurderet, hvorledes cyber risiciene påvirker virksomhedens mulighed for at opnå sine mål.
Det må derfor siges, at selv om den nye standard ikke indeholder epokegørende forandringer, er der en tendens til, at der lægges mere vægt på governance og risikostyringsprocesser end der traditionelt kendes fra Danmark, hvorfor det må forventes, at de interne revisorer justerer deres revisionshandlinger for cybersikkerhed en smule i fremtiden.
Hvad betyder det for de interne revisorer?
Som nævnt ovenfor er den nye standard, når den bliver endeligt udgivet et krav, hvis den interne revisor (eller ledelsen i virksomheden, hvor den interne revisor er ansat) ønsker, at den interne revisor skal følge best practice. Det betyder tillige, at den interne revisor skal kunne dokumentere, at den interne revisor overholder standardens krav. Til dette kan den interne revisor passende anvende bilaget i standarden.I BDO Internal Audit Services har vi valgt at integrere kravene i vores revisioner af cybersikkerhed allerede nu, selv om kravene er i høring frem til 3. juli 2024 og først forventes udgivet endeligt i løbet af 3. kvartal 2024. Dette har vi valgt, på baggrund af det stigende trusselsbillede fra cyberrisici og fordi vi gennem længere tid har hjulpet virksomheder med intern revision af cybersikkerhed holdt op med rammeværk som f.eks. ISO27001. Vi synes, at den emnespecifikke standard for cybersikkerhed giver en god og systematisk indgangsvinkel til revision af cybersikkerhed. Endelig synes vi, at de nye lidt blødere områder vedrørende governance og risikostyring er med til at skabe endnu mere værdi til de reviderede virksomheder.