Mangelfullt IKT-rammeverk og ukontrollert utkontraktering

Foretaket mangler dokumenterte retningslinjer for IT-sikkerhet, har for vide brukertilganger i fagsystemer, og håndterer ikke IKT-risiko ved utkontraktering i tråd med revisorloven § 5b-1 og ISQC 1.

Tegn på problem

Ingen skriftlig IT-sikkerhetspolicy eller definert metodikk for penetrasjonstester
Brukertilganger i revisjons- eller regnskapsverktøy er ikke rollebaserte eller jevnlig reviderte
Tidligere påpekte tilgangsavvik er ikke lukket ved neste tilsynsrunde
Utkontrakteringsavtaler mangler IKT-risikovurdering eller krav til underleverandørens sikkerhetsnivå
Ingen løpende risikovurdering som eksplisitt inkluderer IKT ved bruk av tredjepart

Forebyggende tiltak

Utarbeid og vedta en skriftlig IT-sikkerhetspolicy med rammeverk for penetrasjonstester og revisjonssyklus
Gjennomfør halvårlig gjennomgang av brukertilganger i alle fagsystemer og fjern unødvendige rettigheter
Innfør rollebasert tilgangskontroll (RBAC) med prinsippet om minste privilegium
Inkluder IKT-risikovurdering som obligatorisk del av alle utkontrakteingsavtaler og leverandøroppfølging
Dokumenter IKT-risiko som eget punkt i foretakets løpende risikovurderinger og styrerapportering

Relevante tilsynsrapporter

Ernst & Young AS

04.10.2021

Revisortilsyn

ingen

Original-PDF hos Finanstilsynet Landingsside hos Finanstilsynet

BDO AS

13.05.2020

Revisortilsyn

paalegg

Original-PDF hos Finanstilsynet Landingsside hos Finanstilsynet

Hjemler

Ingen normaliserte hjemler er koblet til funnene ennå.