IT-risiko

Vi vurderer og tilbyr følgende tjenester:

• Hvordan IT understøtter virksomhetens mål og strategier  
• Om IT er underlagt god styring og kontroll  
• Om organiseringen av IT er hensiktsmessig og sikker 
• Om dere følger lover og regler knyttet til IT  
• Utvikling av tekniske løsninger for å etterleve IT-compliance krav  
• Analyser av datagrunnlag tilpasset kundebehov   
• Process Mining for å undersøke prosessoptimalisering  
• Datakvalitet, integritet og effektivitet i prosesser og systemer  
• IT-risikovurderinger   
• Kvalitetssikring ved implementering av nye IT-løsninger 

Digitale krav og IT-compliance

Med et stadig økende omfang av digitale krav til næringslivet, vil IT-compliance ta en mer sentral plass i virksomheters daglige virke. Kravene til IT-compliance er ikke bare tiltak for å standardisere utveksling av data mellom næringsdrivende og ulike aktører, som eksempelvis offentlige myndigheter. Det bidrar også i stor grad til å forenkle gjennomgang av internkontroller, dataanalyser og minimalisering av feil.  

En fremoverlent tilnærming mot de nye digitale endringene kan bidra til å etterleve de ulike kravene, og dermed gi et fortrinn. For din virksomhet vil dette kreve god forståelse av krysningspunktet mellom forretningsavhengige prosesser og IT-compliance. I en tid hvor det digitale kompetansegapet blir større kan BDO hjelpe din virksomhet med å etterleve disse digitale kravene. 

Hvilke krav stilles til IT-compliance?  

BDO kan bistå med vurdering og etterlevelse av tekniske krav, herunder compliance-krav for ulike regnskaps- og kassasystemer. Eksempler på compliance-krav er SAF-T, digital MVA-melding og salgs- og kjøpsmelding. Dette er krav som standardiserer rapportering av data, og har som formål å effektivisere rapportering og kontroll av informasjon som utveksles. Disse kravene er blant annet basert på bokføringsloven og bokføringsforskriften, samt kassasystemloven og kassasystemforskriften. 

Hvordan kan BDO bistå? 

Våre rådgivere har lang erfaring med rådgivning på tvers av ulike IT-compliance krav, og bistår til daglig flere kunder med IT-compliance. Det er også flere systemer som ikke er kompatible med de stadig nye kravene som stilles til IT-systemer, så BDO kan også bistå med utvikling av tekniske løsninger for å etterleve disse. Videre benytter vi oss av digitale verktøy for å analysere store og komplekse datasett. Våre dataanalyse-modeller inneholder kontroller for å undersøke fullstendighet og nøyaktighet, og BDO har god erfaring med ulike analyser og disse kan tilpasses til kunders behov. Datamodellene visualiserer i tillegg store datamengder på en intuitiv måte og gir enkelt innsyn i mulige feil og mangler i datagrunnlagene, og det gjør det derfor enkelt for kunder å rette opp i potensielle avvik.  

Tredjepartsuttalelser

Virksomheter som leverer tjenester, møter økende krav til innsyn og revisjon av internkontroll knyttet til tjenestene de leverer. Kunder av slike virksomheter etterspør ofte en tredjepartsuttalelse. En tredjepartsuttalelse er en uavhengig bekreftelse på kvaliteten av system, rutiner og kontroller. Det er med på å gi trygghet for at produkter og tjenester blir utviklet og forvaltet forsvarlig, samt at compliance-krav overholdes.  

Attestasjonsstandarder - et kvalitetsstempel til ulik bruk  

Det eksisterer flere ulike sertifiseringer og standarder i markedet som benyttes for å fremvise kvalitet i tjenestene. Våre rådgivere har lang erfaring med tredjepartsuttalelser for internkontroll. I tillegg til kunnskap om de aktuelle standardene (ISAE 3402/3000, SOC2) har vi kunnskap om rammeverk som bør benyttes for å definere gode prosesser, kontrollformål og kontroller hos en organisasjon.  

Rapporten distribueres til selskaper som har behov for å bekrefte kvaliteten på internkontrollen hos sine leverandører. En ISAE 3402/3000-rapport omfatter beskrivelse og testing av de prosesser, kontrollmål og kontrollaktiviteter som serviceorganisasjonen ivaretar overfor kunden. Rapporten har fokus på serviceorganisasjonens interne prosesser og systemer, en såkalt internkontrollbeskrivelse. Dette er typisk internkontroller knyttet til prosessering og håndtering av finansiell informasjon på vegne av kunden, i tillegg til utvikling, forvaltning og drift av IT-miljøer. Sentrale prosesser for IT-miljøet er informasjonssikkerhet og tilgangsstyring, programendringshåndtering, IT drift, hendelseshåndtering, backup og recovery og katastrofe og beredskap. For å dekke krav knyttet til databehandleravtaler, bør også et eget kapittel om personvern inkluderes. 

Tredjepartsuttalelser kan også utstedes for å bekrefte serviceorganisasjonens etterlevelse av andre krav, eksempelvis regulatoriske, kontraktuelle eller bestemte standarder eller rammeverk. Eksempler på dette er krav knyttet til EU-regulativer (GDPR, DORA, NIS2), sikkerhetskrav stilt til leverandører i forbindelse med utkontraktering, ISO/IEC 27001, NSMs grunnprinsipper for IKT-sikkerhet, CIS v8 eller lignende.  

Hvilke gevinster gir tredjepartsuttalelser?   

• En tredjepartsuttalelse gir fordeler både for serviceorganisasjonen og brukerorganisasjoner:  
• Brukerorganisasjoner får trygghet for at tjenester og data som er utkontraktert blir håndtert på en forsvarlig måte.  
• Serviceorganisasjonen blir oppmerksom på svakheter og kan forbedre og effektivisere interne rutiner for å oppnå helhetlig risikostyring i virksomheten.  
• Uttalelsen kan gi konkurransefortrinn i markedet ved å fremvise fordeler hos serviceorganisasjonen.   

Process Mining

Hva er Process Mining? 

Flere virksomheter har i dag komplekse prosesser og informasjonsflyt, og det er nødvendig med en god oversikt over de ulike aktivitetene som er involvert i virksomhetens operasjonelle rutiner. Process Mining gir deg objektiv innsikt i faktisk utførte prosesser, og kan brukes som et styringsverktøy for å identifisere avvik, samt for å identifisere flaskehalser og ineffektive prosesser. Dette er verdifull informasjon for å kunne effektivisere nåværende drift.

Hvilke fordeler gir det deg? 

Process Mining gir deg som kunde et automatisert prosesskartleggingsverktøy med fullstendig oversikt over transaksjonene som er behandlet i et spesifikt prosessløp. Formålet med en slik kartlegging er å vurdere om internkontrollen er ivaretatt, samt om det er rom for automatisering og effektivisering i IT-systemene.  

Slik kommer du i gang 

BDO kan bistå med å komme i gang med Process Mining. Vi tilbyr Process Mining som en tjeneste bestående av tre steg: 

Identifisere prosesser

• Identifisere sentrale prosesser hos kunde, hvor aktiviteter er sporbare.                                        

Prosesskartlegging

• Bygge modeller som tar utgangspunkt i faktiske aktiviteter i stedet for tiltenkt design.                         

Prosessoptimalisering

• Analysere prosesser for å oppdage ineffektiviteter eller omgåelse av internkontroll for å iverksette rettede tiltak.