Revisorloven kalder det “selvrevision”. Det er forbudt.
Når din IT-leverandør tilbyder at auditere sit eget setup, hedder det bare “et godt tilbud”.
Hvorfor selvrevision er forbudt
Din revisor må ikke revidere sit eget arbejde. Det står i loven. Erhvervsstyrelsen definerer det som en “egenkontroltrussel”, fordi det er vanskeligt at fastholde objektiviteten ved undersøgelsen af egne ydelser.
Logikken er simpel: Den, der har udført arbejdet, har en interesse i at finde det tilfredsstillende.
Det er ikke en kompliceret tanke. Det er sund fornuft. Og det er grunden til, at vi har regler om det i revisorverdenen.
Alligevel sker det konstant i IT-verdenen
Alligevel modtager mange virksomheder tilbud fra deres IT-leverandør om en “sikkerhedsgennemgang”. Til en favorabel pris, selvfølgelig.
Og her kommer indvendingen: “En ekstern auditør koster jo også penge. Vi kan gøre det billigere, fordi vi kender jeres setup.”
Præcis. De kender jeres setup. De har sat det op. De ved, hvor ligene ligger begravet.
Og de har en klar interesse i, at ingen andre finder dem.
Hvad får du for pengene?
En rapport fra den virksomhed, der har sat systemet op. Som har en kommerciel interesse i at beholde jer som kunde. Og ingen tilskyndelse til at finde egne fejl.
Forestil dig, at rapporten finder alvorlige mangler. Så har leverandøren netop dokumenteret, at de har gjort et dårligt stykke arbejde. Det fører til svære samtaler, potentielt tab af kunden og måske erstatningskrav.
Forestil dig, at rapporten finder alt i orden. Så er kunden tilfreds, kontrakten fortsætter, og alle er glade.
Hvilken rapport tror du er mest sandsynlig?
“Hvem validerer den eksterne auditørs arbejde?”
Det er et fair spørgsmål. Og svaret er: Ingen validerer jeres revisors arbejde heller.
Men I stoler på revisoren, fordi vedkommende ikke har udført det arbejde, der skal vurderes.
Uafhængighed er ikke en garanti for kvalitet. Men afhængighed er en garanti for interessekonflikt.
Det er forskellen. Ikke at den eksterne altid har ret. Men at den interne altid har en interesse.
Tallene taler deres eget sprog
73% af danske SMV’er bruger eksterne leverandører til IT-sikkerhed. 22% har udelukkende eksterne leverandører til denne opgave.
Og 40% har ifølge Styrelsen for Samfundssikkerhed (SAMSIK) et sikkerhedsniveau, der ikke matcher deres risikoprofil.
Måske hænger de tal sammen?
Når leverandøren både sætter systemet op og vurderer det, er der ingen, der fanger hullerne. Ingen second opinion. Ingen friske øjne, der ser det, leverandøren har overset eller nedprioriteret.
Revisorer har tilsyn. IT-leverandører har ikke.
En revisor har tilsyn fra Erhvervsstyrelsen. Kvalitetskontrol mindst hvert sjette år. Et nævn, der kan fratage dem retten til at praktisere.
De risikerer deres levebrød, hvis de ikke er uafhængige.
IT-leverandører har ingen af delene. Ingen tilsyn. Ingen kvalitetskontrol. Ingen konsekvenser, hvis deres “audit” overser noget.
Det betyder ikke, at alle IT-leverandører er uærlige. De fleste er kompetente og velmenende. Men de opererer i et system uden de checks and balances, vi tager for givet i andre brancher.
Hvorfor en uafhængig audit koster mere
Ja, en uafhængig sikkerhedsaudit koster penge. Men den koster penge, fordi den faktisk kræver arbejde.
Fordi auditøren skal gennemgå jeres setup uden at kende det i forvejen. Fordi de ikke kan trække på eksisterende dokumentation. Fordi de leder efter fejl i stedet for at bekræfte, at alt er godt.
Det er ikke en udgift. Det er en investering i professionel omhu.
Og grunden til, at I ikke lader jeres revisor revidere sit eget regnskab.
Tre ting I kan gøre nu
Stil spørgsmålet direkte. “Hvem har sat systemet op, og hvem skal vurdere det?” Hvis svaret er det samme begge gange, har I ikke en audit. I har en selvevaluering.
Forstå prisforskellen. Leverandørens tilbud er billigt, fordi det ikke kræver det samme arbejde. De kender systemet. De har dokumentationen. De skal bare skrive en rapport. Spørgsmålet er, om I betaler for falsk tryghed eller for reel sikkerhed.
Acceptér præmissen. Ingen kan garantere, at en ekstern auditør finder alt. Men I kan garantere, at jeres egen leverandør har en interesse i ikke at finde noget. Det er matematikken i interessekonflikter.
Det handler om uafhængighed, ikke mistillid
At bede om en uafhængig audit er ikke et udtryk for mistillid til jeres leverandør. Det er et udtryk for sund forretningspraksis.
Jeres revisor tager det ikke personligt, at I ikke lader dem revidere deres eget arbejde. Jeres IT-leverandør bør heller ikke.
En teknisk sikkerhedsgennemgang fra en uafhængig part giver jer et ærligt billede af, hvor I står. Ikke fordi den eksterne er klogere. Men fordi de ikke har noget at tabe ved at finde fejl.
Hvornår fik I sidst jeres IT-setup vurderet af nogen, der ikke selv har sat det op?
Har du brug for en uvildig vurdering af jeres IT-sikkerhed? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
