1. Møte i DEFOs Beredskapsutvalg
18.11.2015
Erling Grimstad, Dagfinn Buset og Arthur Gjengstø
Nettsted: www.bdo.no
2. Risikostyring, sikkerhet for verdier og beredskap
- Hovedutfordringer og forslag til grep
1. Kort om revisjons- og rådgivingsselskapet BDO
2. Arbeidslivskriminalitet, økonomisk kriminalitet
3. Fysisk sikkerhet
4. IKT-sikkerhet
5. Beredskapsøvelser
3. BDO – norsk aksjeselskap, lokal forankring og internasjonalt nettverk
BDO Norge BDO International
60 000
60 000 ansatte globalt
1 300+
Over 1 300 kontorer
152
Tilstede i 152 land
1 350
1 350 ansatte
70
70 kontorer over
hele landet
1,4
1,4 milliard NOK i
omsetning
4. Kompetansehuset BDO
• Regnskap og årsoppgjør
• Lønn
• Budsjett og likviditetsstyring
• Drift og effektivisering av
økonomifunksjonen
• Selskapsetableringer,
fusjoner/fisjoner og
kapitalendringer
• Styrearbeide
• Management for hire
• Selskaps og konsernbeskatning
• Selskapsrett
• Merverdiavgift
• Transaksjonssrådgivning
• Internprising og annen
grenseoverskridende
transaksjoner
• Prosedyre
• Virksomhetsstyring
• Sikkerhets- og
beredskapstjenester
• Compliance og gransking
• IT-revisjon
• Transaksjonsrådgivning
• Revisjon
• Andre attestasjonstjenester
• Risikostyring og internkontroll
• IT Revisjon
• IFRS/Børs
REVISJON RÅDGIVNING
REGNSKAPSKATT & AVGIFT
7. Indikasjoner på økonomisk kriminalitet
ved anskaffelser
• Åpenbare brudd på grunnleggende krav etter anskaffelsesregelverket
• Inhabilitet – som er ukjent for ledere/kollegaer når beslutningen tas
• Illojalitet – hvor det tas avgjørelse basert på utenforliggende økonomiske
interesser
• Oppdrag gitt til leverandør som innkjøper har direkte/indirekte
økonomiske interesser i
• Vedlikeholdsoppgaver gitt til samme leverandør over lang tid
• Privat bruk av samme entreprenør som arbeidsgiver benytter
• Leveranser privat (tjenester/gaver) fra - leverandør til arbeidsgiver, fra
tilskuddsmottaker eller næringsinteresser som har egeninteresser i
beslutningen
• Misbruk av fortrolig informasjon om anskaffelsen
• Urettmessig/privat bruk av verktøy/utstyr tilhørende arbeidsgiver
• Fremsatt tilbud om bestikkelse til innkjøper, ledende ansatte eller
folkevalgte
• Påstander - om at leverandør blir avkrevd ”kick back” i forbindelse med
anskaffelser
8. Hovedutfordringer - arbeidslivskriminalitet
•Arbeidslivskriminalitet = organisert kriminalitet:
Systematisk brudd på arbeidslivets spilleregler og sosial dumping
Risiko for befatning med menneskehandel
Stor sikkerhetsrisiko fordi arbeidstakernes reelle identitet ikke er kjent
Omdømmetap for byggherrer og entreprenører som er involvert
•Utro tjenere og illojalitet
Økonomisk utroskap/korrupsjonsrisiko
Risiko for tyveri fra arbeidsplass/anlegg
Varetrygghet (forfalskninger etc.) har direkte konsekvens for leveringssikkerhet –
samfunnssikkerhet - omdømmetap
9. Slik kan du bekjempe arbeidslivskriminalitet i egen organisasjon
1. Sørg for at strategien er forankret hos ledelsen. Beslutningen om
beskyttelsestiltak må komme fra styret
2. Kunnskap om risiko må ut i organisasjonen – særlig hos prosjektledere som oftest
er mest eksponert for arbeidslivskriminalitet.
3. Kjenn dine underleverandører:
— Gjennomfør undersøkelser (due dilligence) av nye kontraktspartnere, men også revisjon av
eksisterende
— Sørg for tydelige kontrakter. Husk at kontrakten blant annet er et verktøy for å kunne utføre kontroll
av underleverandører.
— Vær spesielt oppmerksom på forserings- og tilleggsarbeider. Erfaringsmessig er det her det oppstår høy
risiko for lovbrudd som er vanskelig å kontrollere.
— Vær oppmerksom på faren for underleverandører som tilbyr «kick backs» – bestikkelse/korrupsjon til
ansatte i din egen organisasjon.
4. Legge til rette for varsling av uregelmessigheter
5. Følge opp varslinger/mistanker om misligheter eller andre lovbrudd. Sørg for at
du effektivt kan avvikle kontrakter med useriøse underleverandører.
10.
11. BDO compliance og gransking
Norges mest komplementære granskingsmiljø
sammensatt av spesialister med variert kompetanse
og erfaring, blant annet fra;
• Etterforskning
• Analyse
• Revisjon
• Politiet/påtalemyndigheten (Økokrim/Kripos)
• Sikring og analyse av elektroniske spor
• Internkontroll
• Internasjonalt arbeid
• Forebygging av økonomisk kriminalitet
BDOs granskingsenhet består av 16 spesialister som
totalt sett besitter all relevant kompetanse og
erfaring og alle verktøy som er nødvendige i en
granskingsprosess, og i arbeidet med å forebygge
økonomisk kriminalitet/arbeidslivskriminalitet.
11
Erling Grimstad er partner, advokat og leder av BDO compliance
og gransking. Med lang fartstid fra både politi og
påtalemyndighet og som privat gransker, er han en av landets
mest erfarne rådgivere på området.
Kristian Thaysen er partner i BDO compliance og gransking. Han
har bakgrunn som revisor, og svært variert og omfattende
granskingserfaring . Han har særlig kompetanse innenfor
forebygging og avdekking av økonomisk kriminalitet, og har
jobbet som rådgiver på området siden 2007.
Mads Blomfeldt er partner i BDO compliance og gransking. Han
har mer enn 15 års erfaring fra etterforskning og gransking.
Siden 2007 har han jobbet med gransking, forebygging og
avdekking av økonomisk kriminalitet, og er ‘trusted advisor’ for
noen av Norges største virksomheter.
Våre partnere
13. BDOs team innen sikkerhets- og beredskapstjenester består av
erfarne medarbeidere med bred og sammensatt kompetanse
Bakgrunn:
• Offentlige og private virksomheter
• NVE
• Nasjonal sikkerhetsmyndighet
• DSB
• Forsvar og politi
• Strategisk og operativ erfaring
13
Spesialkompetanse innen bl.a.:
• Kritisk infrastruktur
• Energiforsyning
• Vann- og avløp
• Telekom
• Beredskapsforskriften
• Sikkerhetsloven
• IKT-sikkerhet
• Sikkerhet i driftskontrollsystemer
• Vant til å behandle sensitiv informasjon
14. Setter sammen team på tvers
14
• Bred og lang erfaring med sikkerhet og beredskap innen kraftbransjen og annen kritisk
infrastruktur
• Tett samarbeid på tvers av fagenhetene i Rådgivingsavdelingen
Sikkerhet og beredskap
Forebygging og gransking av økonomisk kriminalitet
Personvern
IT-revisjoner
Utredninger
Risikostyring, virksomhetsstyring
Reguleringskompetanse
Transaksjoner, omstilinger, verdivurderinger mv
• Bransjen skal etterleve omfattende krav fra myndighetene og står overfor store
endringsprosesser på mange plan. Vi har kunnskap og kompetanse til å hjelpe
virksomheten med å etablere tiltak og løsninger som er nyttig for virksomheten, øker
kompetansen internt, og gjør at krav etterleves.
15. Hvorfor er sikkerhet og beredskap så viktig?
15
Kraftforsyningen er landets mest kritiske infrastruktur.
Bransjen kjennetegnes av soliditet, tillit og
høy fag- og lederkompetanse.
Det er viktig å opprettholde og videreutvikle dette framover.
16. Helhetlig tilnærming til sikkerhet og beredskap
16
3
Virksomhetsstyring
Hvem er vi?
Vårt fagmiljø består av rådgivere med erfaring fra Nasjonal sikkerhetsmyndighet (NSM), Politiets
sikkerhetstjeneste (PST), Forsvaret, Etterretningstjenesten, Politiet, Direktorater for samfunnssikkerhet
og beredskap (DSB), Norges vassdrags- og energidirektorat (NVE) og private virksomheter
17. Vi tilbyr et bredt sett med tjenester og tilpasser det alltid til
kundens behov
17
• Beredskap og øvelser
• Beredskapsplanverk
• Planlegging og gjennomføring av øvelser
• Kurs, opplæring og bevisstgjøring
• Sikkerhetstester
• Krise- og hendelseshåndtering
• Bistand til oppbygning av hendelseshåndteringskapasitet
• Bistand ved hendelse
• Rådgiving
• Myndighetskontakt
• Medieovervåkning/kontakt
• Sikkerhetsstyring
• Etablering av styringssystem for sikkerhet
• Risikovurderinger (verdi, trussel, sårbarhet)
• Revisjoner av sikkerhets- og beredskapsarbeid
• Landvurdering
• Risikoreduserende tiltak
• Informasjonssikkerhet
• Fysisk sikkerhet
• Personellsikkerhet
19. Typiske behov vi møter
- Helhetlig tilnærming til sikkerhet
- Fysisk sikkerhet må sees i sammenheng med IT-sikkerhet
- Sikring ved barrierer, deteksjon, verifikasjon og reaktive tiltak
- Styring og ledelse
- Risikoerkjennelse
- Strategi, virksomhetsmål, policy
- Regelverkskompetanse
- Risikovurderinger
- Prosess og metode
- Bestillerkompetanse
- Vekterselskaper, alarmsystemer og adgangskontroll
19
20. Erfaringspunkter
Kompleks infrastruktur
• Mange og delvis utilgjengelige barrierer
• Tegnet og bygget i «en annen tid»
• Felles fremføringsveier
Helhetlig sikring
• Fysisk
• Logisk
• Menneskene
Rutiner og øvelser
• Nøkler og vakthold
Side 20
21. Våre erfaringer
21
Våre erfaringer innen security
• Overvurderer effekten av alarmer og adgangskontroll
• Overvurderer effekten av deteksjon og reaktiv kamerabruk
• Liten grad av verifikasjonsmekanismer
• Overvurderer vekterselskapene
• Overvurderer politiets kapasitet
• Varierende kunnskap om grunnleggende prinsipper (f.eks. dybdesikring)
22. Hvordan vi tenker og arbeider i prosjekt med våre kunder
Barrierer
• Hvor lang tid bruker en aktør på å bryte seg inn?
• Gjennomgang av samtlige barrierer
• Vurdering av kvalitet
• Antall barrierer for å nå en verdi/funksjon ved objektet
Sensorer (deteksjon og verifikasjon)
• I hvilken grad blir innbruddet oppdaget?
• Gjennomgang av samtlige deteksjons- og verifikasjonstiltak
• Knyttes til barrierene
Reaksjon
• I hvilken grad etablere en hensiktsmessig reaksjon?
• Vurdering av reaksjonstiltak
Vi kan bistå med praktiske råd ved valg og gjennomføring av tiltak for å finne frem til god nok sikkerhet.
Side 22
24. Kraftforsyningen
24
• Bransjen står overfor et fortsatt teknologiskifte.
• Mer IKT i alle ledd i forsynings- og måleverdikjeden skaper sårbarhet
for både drift og personvern.
• Dette må bransjen ha et solid grep på.
• Vi har kompetanse til å bistå bransjen i dette.
25. «Helhetlig IKT-risikobilde 2015» (NSM)
- Betydelig risiko for spionasje, sabotasje og terrorisme
25
«Både store og små virksomheter i
offentlig og privat sektor er utsatt. Den
grunnleggende sikkerheten er ikke på
plass, sier direktør Kjetil Nilsen i Nasjonal
sikkerhetsmyndighet (NSM).»
«NSMs overordnede vurdering er at det
generelt er betydelig risiko for spionasje,
sabotasje og terror, og det er stor risiko
forbundet med bruk av IKT. Trusselen er
høy og økende, og det er betydelige
sårbarheter i norske IKT-systemer.»
«Norge er et av verdens mest digitaliserte
land. Vi må lære oss å tilpasse oss denne
utviklingen fortløpende.»
Kilde: E24, 2015-10-01
26. Over hele verden jobber mennesker med planlegging og
gjennomføring av offensive nettverksangrep
• Industrispionasje er svært utbredt og øker i
omfang hvert år
• Det er helt nødvendig at virksomheter tar
risikoen inn over seg
• Først når man forstår risikoen, kan man forstå
hvorfor man bruker ressursene på sikkerhet og
beredskap
• Teknologien og mulighetene finnes
26
«Kinesiske nettverksbaserte
etterretningsoperasjoner har vært rettet
mot høyteknologiske mål som
rombasert virksomhet, energi og
maritim sektor.»
Fokus 2015
27. Ikke alt er hva det utgjør seg for å være
27
«Kinesiske nettverksbaserte
etterretningsoperasjoner har vært rettet
mot høyteknologiske mål som
rombasert virksomhet, energi og
maritim sektor.»
Fokus 2015
28. Aktørene
15-åring pågrepet for dataangrep i
Storbritannia
London (NTB-AFP): Britisk politi har
pågrepet en 15 år gammel gutt for det
omfattende dataangrepet mot telefon- og
nettselskapet TalkTalk. Det fryktes at han
kan ha skaffet sensitiv informasjon om
millioner av briter.
(Adresseavisen Utenriks - TOPPSAK
27.10.2015 kl. 01:52) Les saken >>
28
«Kinesiske nettverksbaserte
etterretningsoperasjoner har vært rettet
mot høyteknologiske mål som
rombasert virksomhet, energi og
maritim sektor.»
Fokus 2015
29. Tankegang ved IT-sikkerhetsarbeidet
• Lagdelt sikkerhet – bygging av
motstandsdyktighet
• Scenariobasert trening
• Markant forbedring av motstands- og
deteksjonsevne
29
Ofte uten behov for flere
systemer eller infrastruktur
30. IKT-sikkerhet og beredskap
30
• Innovasjonskraft - med sikkerhet og beredskap
– Sikkerhet i driftskontrollsystemer
– Skjerming av sensitiv informasjon i de administrative systemene
– AMS og markedssystemene
• BDO bistår gjerne flere i bransjen med å møte pålagte krav og strekke seg mot beste praksis
– Første hånds kunnskap om beredskapsforskriftens regler til IKT-sikkerhet (gjennomganger, anbefalinger)
– Inngående kompetanse på sikkerhetsloven og trusselbildet
– Stort nettverk knyttet til operative miljøer for analyse og håndtering av sikkerhetstruende IKT-hendelser
• BDO utvikler operative IKT-sikkerhetstjenester
32. Øvelser
• Scenariobasert og tilpasset virksomheten
• Praktiske øvelser skreddersydd for
ledergruppen
• Effektiv planleggingsprosess
32
33. Hva tenker vi før, under og etter en hendelse?
- Det kommer aldri til
å skje!
- La oss ikke bli
paranoide!
- Det skjer i alle fall
ikke her!
- Det skjer ikke meg!
- Det er ikke mitt
ansvar.
- Sikkerhet er noe IT-
avdelingen driver
med.
- Manglene er ikke
mitt problem.
- Vi har ingenting av
verdi.
33
Før Under Etter
- Hvordan var det mulig
at dette kunne skje?
- Hvorfor var vi ikke
forberedt på at dette
kunne skje?
- Hvem har ansvaret for
dette?
- Det trodde jeg var
ivaretatt.
- Hva er unnskyldningen
min?
- Noen burde ha skjønt
at dette kunne skje.
- Noen skulle ha gjort
mer!
HENDELSE
34. Smarte øvelser
34
• Vi har lang erfaring og bred kompetanse med å planlegge og gjennomføre alle typer
beredskapsøvelser for ledelsen i selskapet. Vi kan tilby fast- eller timepris på øvelser.
• Øvelsene skreddersys gjerne for å øve selskapet på hendelser man kan bli utsatt for og
som man ikke har øvd på tidligere.
• Vi kan bistå med å kartlegge selskapets evne, kapasitet og kompetanse til å håndtere
ulike hendelser. Vi kan også bistå selskapet med å evaluere håndteringen etter reelle
hendelser.
Smarte øvelser er et effektivt tiltak for å styrke kompetansen i selskapene på å
håndtere ulike ekstraordinære hendelser
35. BDO kan også bistå med
35
- Utredninger og analyse
- Undersøkelser av tilstand og forbedringsmuligheter
- Vurderinger og sikkerhets- og beredskapsmessige råd til ledelsen ved regulatoriske,
markedsmessig, teknologiske eller organisatoriske endringer
- Kurs, opplæring og samlinger innen sikkerhet og beredskap for ledelse, styre,
selskap
- Utvikling av veiledningsmateriell, informasjonsmateriell o.l.
- Annen form for bistand
36. Mer informasjon
36
- Vår hjemmeside: www.bdo.no
- Vår bransjeside for kraftforsyningen: http://www.bdo.no/kraftforsyning/
- Vår inngangsside for sikkerhet og beredskap:
http://www.bdo.no/sikkerhetogberedskap/
- Vår inngangsside for gransking og compliance: http://www.bdo.no/forensic/
- Vår nettside om BDOs varslingstjeneste:
http://www.bdo.no/forensic/varslingstjeneste/
- Deltakerne fra BDO på møtet med DEFO, kan gjerne kontaktes:
- Arthur Gjengstø, arthur.gjengsto@bdo.no, mobil 48127498
- For eksempel knyttet til beredskapsforskriften, beredskap, IKT-sikkerhet, krisehåndtering, øvelser
- Dagfinn Buset, dagfinn.buset@bdo.no
- Sikkerhetsstyring, objektsikkerhet
- Erling Grimstad, erling.grimstad@bdo.no
- Forebygging og gransking av arbeidslivskriminalitet og økonomisk kriminalitet