...
Tillitskedjan ur ett revisionsperspektiv
Revision utifrån organisationstyp
Beroende på om vilken organisationstyp som anslutit sig till federationen kan lagkrav och möjlighet till revision variera.
Revision
Att genomföra revision inom Federationen, i nationell skala, har utmaningar. Många kommer att behöva revision men resurserna är få. Erfarenheten har visat att revision på plats hos reviderad part ger den bästa effekten och därmed högre efterlevnad mot regelverket. Antalet anslutna organisationer kommer att öka, och bör öka, över tid. Detta påverkar kapaciteten ytterligare och måste beaktas redan från början. Efterlevandekontroll måste ha fokus på kvalitet, likabehandling och genomförbarhet. Tillitsmodellen driver behov av kunskap på samhällsnivå. Behovet av stöd ute i anslutna organisation behöver mötas för att efterlevnaden skall få så stort genomslag som möjligt. Revision i sig driver lärande men behöver kompletteras med kompetensforum, utbildningar och stöd. Den här knuten behöver analyseras och en revisionsfunktion som kan möta behovet behöver utvecklas. Här kan ett AI-stöd vara det som blir avgörande för vilken nytta revision kan skapa inom Ena. För att lyckas med utmaningen rekommenderas här följande:
- Sätt upp en central revisionsfunktion med helhetsansvar
- Ta fram ett tydligt revisionsprogram omfattande alla parter, kravnivåer och kriterier
- Utveckla ett AI-stöd för att effektivisera processerna (inlåst och säker språkmodell)
- Genomför systematisk skrivbordsrevision med stöd av AI
- Prioritera de organisationer med störst riskbild för revision på plats
- Analysera behovet av utbildning och stöd som kan komplettera revisionerna
Central revisionsfunktion
En central revisionsfunktion bör sättas upp inom Federationen och revisionsarbetet bör styras därifrån. Metoderna för att hantera och genomföra revision inom Ena bör vara enhetliga och uppföljningsbara på alla nivåer. Eventuellt behöver specialistkompetens upphandlas för delar av själva revisionsgenomförandet. Detta hanteras och styrs då från revisionsfunktionen.
Revisionsprogram
Revisionsprogrammet beskriver i vilken omfattning och i vilken frekvens revisioner skall genomföras. Kravnivåer mappade mot revisionskriterier och hur detta täcks under en 3-årsperiod behöver framgå i programmet. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Även bedömningen av avvikelser och mognadsgrad är beroende av definierade kravnivåer.
Revisionskriterier
Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt tekniska krav. Regelverket omfattar bland annat följande revisionskriterier:
- Ledningssystem för informationssäkerhet (LIS)
- Riskhantering, internrevision och kontinuitetsplanering
- Behörighetsstyrning och spårbarhet
- Incident- och sårbarhetshantering
- Kryptering, loggning och tekniska skyddsåtgärder
AI-stöd
Genom att integrera AI i hela processen kan revisionen effektiviseras och revisorerna användas där riskerna är som störst. En AI-stödd revisionsfunktion frigör tid för mer värdeskapande uppgifter som dialog, uppföljning, strategi och förbättringsarbete. Eftersom betydligt fler organisationer kan granskas med samma resurser medför detta att tilliten ökar i hela ekosystemet. Genom att kombinera mänsklig revisorskompetens med AI:s analyskraft kan fler revisioner genomföras snabbare och totalt ge högre kvalitet, vilket leder till stärkt informationssäkerhet, effektivare resursanvändning och ökad tillit i det digitala ekosystemet.
...
Eftersom revisionerna hanterar känslig information krävs att AI används i en säker och inlåst miljö. Det innebär att ingen data lämnar organisationens skyddade IT-miljö, ingen information används för träning av externa AI-modeller, all åtkomst loggas och styrs med behörigheter och all kommunikation är krypterad. En inlåst språkmodell (privat moln eller on-prem) möjliggör full användning av AI utan att kompromissa med konfidentialitet, integritet eller regelefterlevnad.
Processer med stöd av AI
Nedan beskrivs hur revisionsfunktionens processer kan användas med stöd av AI.
Analys- och planeringsprocessen med stöd av AI
Utifrån tillitsdeklarationen sammanställer AI dokument, genomför riskanalys och prioriterar vilka organisationer som behöver revision på plats och vilka som skall revideras maskinellt. Revisionsprogrammet aktualiseras och omfattningen av aktuell revisionsomgång fastställs. Härefter genereras revisionsplaner för respektive revisionstillfälle. Revisor finns med under hela analys- och planeringsfasen för att säkra kvaliteten och för att ta beslut.
Revisionsprocessen med stöd av AI
Som tidigare beskrivits är revision där revisor och reviderad part kan mötas på plats eller digitalt det bästa sättet att nå lärande och efterlevnad. Då detta inte är möjligt när många organisationer behöver revideras föreslås här en kombination av skrivbordsgranskning med AI-stöd i kombination med att revisorer gör revision på plats hos dom organisationer med störst riskbild. Detta kräver att alla organisationer som ingår i programmet genomför en tillitsdeklaration med relevanta bevis på att regelverket efterlevs. Detta kan till exempel vara rapporter från genomförda internrevisioner, genomförd riskanalys, kontinuitetsplan, översikt över LIS eller rutiner för tekniska säkerhetskontroller. AI-stöd föreslås här även användas för att följa upp rotorsaksanalyser och åtgärdsplaner samt för att sammanställa revisionsrapporter och göra mognadsbedömningen.
...
Beroende på antalet organisationer i revisionsprogrammet, antalet revisorer samt komplexiteten i bevisen avgörs hur många organisationer som kan revideras årligen.
Rapporterings- och förbättringsprocessen med stöd av AI
När en revisionsomgång har avslutats analyseras resultatet efter genomförda revisioner. Avvikelser och mognadsmätningar sammanställs och grupperas i en rapport som kommuniceras och återkopplas. Förbättringar av processen genomförs med tyngdpunkt på kvalitet, effektivitet, säkerhet och nytta för reviderade organisationer.
...