Rickard Faleij. IT-revisor på Mazars. Med en bakgrund som militär och säkerhetsansvarig inom bankvärlden har han en bred erfarenhet av riskhantering. Med teknikutvecklingen följer nya risker, en IT-revisor är expert på att förutse dem.
Vad gör en IT-revisor?
– Precis som andra revisorer arbetar vi med både rådgivning och revision. Just nu ser vi hur efterfrågan på extern IT-revision ökar, men vi kan även erbjuda internrevision på konsultbasis. Som andra revisorer håller vi koll på gränsdragningen mellan revision och rådgivning. Det finns oberoendeklausuler i de regelverk som styr många av våra uppdrag. Vi granskar heller aldrig våra egna råd.
Hur nytt är IT-revision?
– Inte alls nytt faktiskt, den internationella branschorganisationen för IT-revisorer (ISACA) grundades redan 1969, men området är fortfarande inte så stort i Sverige. För utbildning och förkovran får vi söka oss till London eller längre bort. ISACA har 140.000 medlemmar i 180 länder, men på den årliga Sverigeträffen brukar vi kanske vara ett fyrtiotal IT-revisorer. Vi verkar inom en ganska smal nisch, och det är inte vilka företag som helst som skaffar IT-revisor.
Nu växer IT-revision, vad driver utvecklingen?
– I juni förra året kom nya bindande föreskrifter från Finansinspektionen med stränga krav på banker och kreditinstitut när det gäller riskhantering i förhållande till IT. Regelverk är definitivt en faktor som driver utvecklingen, men den finansiella sektorn hade kommit långt redan före de tvingande reglerna. Den allmänna teknikutvecklingen driver naturligtvis också utvecklingen. I nuläget skulle jag säga att det råder brist på IT-revisorer.
Hur har Finansinspektionens nya föreskrifter påverkat ditt arbete?
– Utöver att jag har fått mer att göra, skulle jag säga att mitt arbete har blivit argumentationsmässigt lättare. Med ett tydligare regelverk blir det lättare att relatera våra insatser och åtgärder till någonting. Tidigare kunde jag hänvisa till de facto-standard, men ett regelverk kan man inte ducka för.
Så du tycker att regelverket är bra?
– Ja absolut, i stora drag. Ofta pratar man om regelverk som pålagor, men de har ju kommit till för att skapa trygghet och stabilitet. De positiva aspekterna borde lyftas fram mer, i slutändan handlar det om kundnytta. Jag skulle vilja säga att det finns en kundnytta med ordning och reda. Risker betyder kostnader och på en kommersiell marknad finns det inga andra pengar än kundernas pengar.
Hur har riskerna förändrats över tid?
– Banksektorn, som främst berörs av de nya reglerna, har under lång tid byggt upp ett starkt skalskydd, så starkt att det inte går att ta sig igenom. Men det leder enbart till att brottslingarna går på nästa svaga länk – människorna på insidan. Hoten tar den lättaste vägen och människan är fortfarande den svagaste länken. De kan utsättas för utpressning. Det finns också risk att två personer som skulle kontrollera varandra i stället går i maskopi. En annan risk som är stor i dag är olika typer av virushot, som ligger och tickar dygnet runt.
Vilken ny teknik driver risker i dagsläget?
– Just nu sker en maktförskjutning där alltmer av teknikutvecklingen drivs av konsumenterna. Kraven på företagen att finnas på de plattformar som konsumenterna föredrar ökar och därmed riskerna. Det är lättare att hålla en homogen miljö säker än en heterogen miljö. Teknisk spretighet innebär högre risk. Dessutom kommer säkerhetstänket ofta i efterhand och ofta efter att en incident redan har skett.
Kan okunskap också vara en risk?
– Ja, ett klassiskt exempel är när Handelsbanken skulle släppa en kvartalsrapport och gjorde i ordning webbsidan i förväg. Planen var att allt skulle vara klart så att det bara var att släppa adressen till webbsidan på det klockslag då rapporten skulle offentliggöras. Det vara bara det att för personer som läst tidigare kvartalsrapporter på Handelsbankens webbplats var det lätt att räkna ut vilken adress den nya skulle ha. Exemplet är en ren blunder men misstag är också vanligare än brott.
Hur kan man minimera risker?
– Ju större system, desto större risker. Det är lätt att skaffa sig ett system, men betydligt svårare att förvalta det. Därför är det en utmaning för banker och andra företag att ha så små system som möjligt. Det bör aldrig finnas fler behöriga än nödvändigt, och när någon slutar är det viktigt att personen inte behåller sin behörighet. Med hjälp av en logg kan man knyta personer till en händelse, men också fria dem. Detta är sanitetsåtgärder som de flesta finansiella företag och även andra gör utan tvingande regelverk.
Vilka företag behöver IT-revision?
– Typiskt sett är det kunder av en viss storlek och komplexitet, men det kan även vara mindre företag. Ungefär hälften av min tid lägger jag på egna kunder, och hälften på kunder som kommit via externrevisorn. Nästan alltid är det ett samarbete mellan kunden, externrevisorn och mig. Det handlar ofta om att förstå det system som kundföretaget har byggt och sedan, utifrån revisorns roll, testa att det fungerar.
Hur påverkas ditt arbete av den pågående automatiseringen?
– IT-revisionen kommer att få en viktig uppgift i automatiseringen när det gäller att testa leveransen i systemet. Vi kan komma in som kontrollanter i efterhand, men också vara med och utveckla system. Det är viktigt att ha med sig riskperspektivet när man arbetar med de här frågorna. Många mindre företag kan vara benägna att outsourca sådant som de är skyldiga att ha kunskap om. Jag har jobbat mycket med kunders strategival huruvida de ska outsourca eller inte. Även om man outsourcar har man fortfarande ansvaret, så det går inte att outsourca bort en risk.
Rakel Lennartsson
FAKTA:
ISACA
ISACA är den globala organisationen för cirka 140.000 IT-revisorer från 180 länder i hela världen. ISACA grundades 1969. Sedan 1978 finns CISA, som är en certifiering för IT-revisorer, kontroll- och säkerhetsarbetare.