Tilsynsrapport - Revisorkonsult AS
Finanstilsynet gjennomførte stedlig tilsyn i Revisorkonsult AS 15. februar 2022 med fokus på IT-virksomheten og bruken av utkontraktert skyplattform (Visma Descartes). Det ble avdekket åtte svakhetsområder innen IT-styring og -kontroll: organisering, kvalitetsstyring, risikovurdering, endringsledelse, leverandørstyring (to merknader), kriseplanlegging, konsekvensanalyse og systemsikkerhet. Foretaket iverksatte korrigerende tiltak og Finanstilsynet tok dette til etterretning uten formelle sanksjoner.
Det fantes ingen definerte måleindikatorer for å verifisere at IT-aktivitetene leverte i tråd med fastsatte mål, verken i drifts- eller utviklingsmiljøene.
Finanstilsynet pekte i foreløpig rapport på viktigheten av at Foretaket har definert og bruker måleindikatorer for å kontrollere at resultatene av aktivitetene i både drifts- og utviklingsmiljøene er i tråd med fastsatte mål.
Foretaket manglet rutiner for regelmessig gjennomgang av bemanningsbehov på IT-siden, noe som kan medføre at kritisk IT-kompetanse ikke er tilgjengelig ved behov.
Finanstilsynet pekte i foreløpig rapport på viktigheten av å ha regelmessig gjennomgang av bemanningsbehov innenfor IT-området for å sikre tilgang til et tilstrekkelig antall kompetente ressurser.
IT-utkontrakteringsavtalene oppfylte ikke minstekravene i FoRI § 5, som stiller konkrete krav til innhold i slike avtaler (tilgjengelighet, sikkerhet, revisjonsmuligheter og exit-klausuler).
Finanstilsynet pekte i foreløpig rapport på viktigheten av at alle IT-utkontrakteringsavtaler Foretaket har med IT-tjenesteleverandører må oppfylle kravene i Forskrift om risikostyring og internkontroll (FoRI) § 5.
Foretaket manglet en dokumentert kriseplan for situasjoner der IT-driften faller bort, og var ikke tilstrekkelig involvert i IT-tjenesteleverandørens testplanlegging, i strid med FoRI § 3.
Finanstilsynet pekte i foreløpig rapport på at Foretaket må ha en dokumentert kriseplan som skal iverksettes dersom blant annet IT-driften ikke kan opprettholdes som følge av en krise. Videre pekte Finanstilsynet på at Foretaket må ha en sentral rolle i IT-tjenesteleverandører sin testplanlegging for å oppfylle FoRI § 3.
Rutinen for risikostyring hadde et uklart formål og mangelfulle krav til selve risikoanalysen for IT-virksomheten.
Finanstilsynet pekte i foreløpig rapport på viktigheten av å ha et klart formål med den fastsatte rutinen for risikostyring og kontroll i forhold til gjennomføring av risikoanalyse for IT-virksomheten.
Foretaket manglet egne interne prosedyrer for oppfølging av utkontrakterte IT-tjenester, herunder leverandørene som leverte Visma Descartes-plattformen.
Finanstilsynet pekte i foreløpig rapport på at Foretaket må ha egne prosedyrer for oppfølging av utkontrakterte IT-tjenester.
Foretaket manglet standardiserte og formelle prosedyrer for å håndtere endringsanmodninger i produksjonssystemene, noe som utgjør en alvorlig operasjonell risiko.
Finanstilsynet pekte i foreløpig rapport på at Foretaket må ha etablert rutiner som sikrer at alle anmodninger om endringer i IT-virksomhetens produksjonssystemer blir standardisert og underlagt formelle endringsprosedyrer.
Oppfølgingen av brukerrettigheter – særlig administrasjonsrettigheter – hos eksterne IT-leverandører var utilstrekkelig, noe som medfører risiko for uautorisert tilgang til systemer og data.
Finanstilsynet pekte i foreløpig rapport på viktigheten av at brukerrettigheter holdt av eksterne IT-tjenesteleverandører følges opp, og at det legges særlig vekt på omfang og frekvens av oppfølging av brukeridentiteter med administrasjonsrettigheter.
Det var ikke utarbeidet forretningsmessige konsekvensanalyser for å kartlegge hvilke IT-systemer som er forretningskritiske, og resultatene ble ikke formidlet til relevante leverandører.
Finanstilsynet pekte i foreløpig rapport på viktigheten av å utarbeide forretningsmessige konsekvensanalyser for å identifisere IT-systemer som er kritiske for Foretakets forretningsprosesser, og at resultatene av analysen formidles til relevante leverandører.
Det fantes ingen definerte måleindikatorer for å verifisere at IT-aktivitetene leverte i tråd med fastsatte mål, verken i drifts- eller utviklingsmiljøene.
Finanstilsynet pekte i foreløpig rapport på viktigheten av at Foretaket har definert og bruker måleindikatorer for å kontrollere at resultatene av aktivitetene i både drifts- og utviklingsmiljøene er i tråd med fastsatte mål.
Foretaket manglet rutiner for regelmessig gjennomgang av bemanningsbehov på IT-siden, noe som kan medføre at kritisk IT-kompetanse ikke er tilgjengelig ved behov.
Finanstilsynet pekte i foreløpig rapport på viktigheten av å ha regelmessig gjennomgang av bemanningsbehov innenfor IT-området for å sikre tilgang til et tilstrekkelig antall kompetente ressurser.
IT-utkontrakteringsavtalene oppfylte ikke minstekravene i FoRI § 5, som stiller konkrete krav til innhold i slike avtaler (tilgjengelighet, sikkerhet, revisjonsmuligheter og exit-klausuler).
Finanstilsynet pekte i foreløpig rapport på viktigheten av at alle IT-utkontrakteringsavtaler Foretaket har med IT-tjenesteleverandører må oppfylle kravene i Forskrift om risikostyring og internkontroll (FoRI) § 5.
Foretaket manglet en dokumentert kriseplan for situasjoner der IT-driften faller bort, og var ikke tilstrekkelig involvert i IT-tjenesteleverandørens testplanlegging, i strid med FoRI § 3.
Finanstilsynet pekte i foreløpig rapport på at Foretaket må ha en dokumentert kriseplan som skal iverksettes dersom blant annet IT-driften ikke kan opprettholdes som følge av en krise. Videre pekte Finanstilsynet på at Foretaket må ha en sentral rolle i IT-tjenesteleverandører sin testplanlegging for å oppfylle FoRI § 3.
Rutinen for risikostyring hadde et uklart formål og mangelfulle krav til selve risikoanalysen for IT-virksomheten.
Finanstilsynet pekte i foreløpig rapport på viktigheten av å ha et klart formål med den fastsatte rutinen for risikostyring og kontroll i forhold til gjennomføring av risikoanalyse for IT-virksomheten.
Foretaket manglet egne interne prosedyrer for oppfølging av utkontrakterte IT-tjenester, herunder leverandørene som leverte Visma Descartes-plattformen.
Finanstilsynet pekte i foreløpig rapport på at Foretaket må ha egne prosedyrer for oppfølging av utkontrakterte IT-tjenester.
Foretaket manglet standardiserte og formelle prosedyrer for å håndtere endringsanmodninger i produksjonssystemene, noe som utgjør en alvorlig operasjonell risiko.
Finanstilsynet pekte i foreløpig rapport på at Foretaket må ha etablert rutiner som sikrer at alle anmodninger om endringer i IT-virksomhetens produksjonssystemer blir standardisert og underlagt formelle endringsprosedyrer.
Oppfølgingen av brukerrettigheter – særlig administrasjonsrettigheter – hos eksterne IT-leverandører var utilstrekkelig, noe som medfører risiko for uautorisert tilgang til systemer og data.
Finanstilsynet pekte i foreløpig rapport på viktigheten av at brukerrettigheter holdt av eksterne IT-tjenesteleverandører følges opp, og at det legges særlig vekt på omfang og frekvens av oppfølging av brukeridentiteter med administrasjonsrettigheter.
Det var ikke utarbeidet forretningsmessige konsekvensanalyser for å kartlegge hvilke IT-systemer som er forretningskritiske, og resultatene ble ikke formidlet til relevante leverandører.
Finanstilsynet pekte i foreløpig rapport på viktigheten av å utarbeide forretningsmessige konsekvensanalyser for å identifisere IT-systemer som er kritiske for Foretakets forretningsprosesser, og at resultatene av analysen formidles til relevante leverandører.
Det fantes ingen definerte måleindikatorer for å verifisere at IT-aktivitetene leverte i tråd med fastsatte mål, verken i drifts- eller utviklingsmiljøene.
Finanstilsynet pekte i foreløpig rapport på viktigheten av at Foretaket har definert og bruker måleindikatorer for å kontrollere at resultatene av aktivitetene i både drifts- og utviklingsmiljøene er i tråd med fastsatte mål.