Technology Risk

Informationsteknikens (IT) roll i verksamheter blir allt viktigare. I samma takt förändras också riskbilden – med nya hot, ökade krav och förändrade regelverk. För att möta utvecklingen krävs god insikt i hur tekniken används och en förmåga att hantera de medföljande riskerna.

Vi hjälper företag och organisationer att förstå sina risker för att bygga en strukturerad och effektiv riskhantering inom IT. Med specialistkompetens inom risk och IT och bred erfarenhet från olika sektorer, genomför vi granskningar som identifierar relevanta risker och leder till oberoende bedömningar och konkreta rekommendationer.

Som en länk mellan verksamhet och IT säkerställer vi att riskhanteringen fungerar i hela verksamheten – såväl tekniskt som organisatoriskt. Våra tjänster omfattar bland annat IT-revision och oberoende intygsgranskning, och därtill kopplade tjänster inom cybersäkerhet och regelefterlevnad för organisationer både i Sverige och internationellt.

Vårt mål är att stärka tryggheten och förtroendet i IT-riskhantering. Genom att skapa tydligt underlag och transparent kommunikation hjälper vi organisationer att fatta välgrundade beslut och underlättar dialogen med kunder, investerare, ledning, tillsynsmyndigheter och andra viktiga intressenter.

Vårt erbjudande

IT-revision handlar om att skapa trygghet och förtroende. Genom att granska hur organisationer styr, använder och skyddar sina IT-system lägger vi grunden för tillförlitlig finansiell rapportering och stärkt förtroende på kapitalmarknaden.

Våra IT-revisioner ger en systematisk bedömning av organisationers IT-miljö. Vi identifierar verksamhetens mest kritiska IT-system och utvärderar deras funktion, tillförlitlighet och påverkan på den finansiella rapporteringen. Syftet är att säkerställa att IT-kontroller är effektivt utformade och följer relevanta regelverk, för att ge en oberoende bedömning av hur väl IT-risker hanteras i praktiken.

Vårt team inom Technology Risk bidrar med specialistkompetens inom IT och risk. Vår bredd av erfarenheter gör att vi kan hantera komplexa IT- och riskfrågor på ett affärsnära sätt. Vi arbetar enligt internationella revisionsstandarder och använder beprövade metoder och modern teknik för att leverera hög och enhetlig kvalitet.

Våra IT-revisionstjänster inkluderar:

Lagstadgad revision – som del av den finansiella revisionen
Revision av finansiella rapporter
Utvärdering av IT-kontroller
Skapa risk- och kontrollmatriser (RACM)
Gapanalys och mognadsanalys
Identifiering och testning av generella IT-kontroller och automatiserade kontroller
SOX-efterlevnad (för mer information, se avsnitt nedan)

För mer information kontakta Linda Vestman
Våra tjänster inom SOX och IT-revision hjälper organisationer att skapa en robust och tillförlitlig intern kontrollmiljö för den finansiella rapporteringen, specifikt för börsnoterade företag med verksamhet i USA. I takt med att IT-miljöer och automatiserade processer blir alltmer centrala hjälper vi organisationer att identifiera sina kritiska IT-system, säkerställa att de stödjer verksamhetens processer och behov, samt testa och stärka de IT-kontroller som påverkar de finansiella flödena.

Vi erbjuder granskning och testning av både generella IT-kontroller och av automatiserade kontroller för att hantera IT-relaterade risker och säkerställa att systemen fungerar som avsett.

För organisationer som omfattas av SOX erbjuder vi PCAOB-anpassningar, mognadsbedömningar och gapanalyser. Våra rekommendationer är konkreta och inriktade på att stärka den interna kontrollmiljön och skapa trygghet i hur risker bör hanteras.

Med specialiserad IT-kompentens, ett internationellt team och god kännedom om globala revisionsstandarder hjälper vi organisationer att navigera ett snabbt föränderligt IT‑ och regellandskap.

Våra tjänster inkluderar:

SOX-efterlevnad
Anpassning till PCAOB-standarder
Kartläggning av affärsprocesser och dataflöden
Skapa risk- och kontrollmatriser (RACM)
Gapanalys och mognadsanalys
Identifiering och testning av manuella och automatiserade IT-kontroller

För mer information kontakta Vishal Barkakati
Våra tjänster inom IT-säkerhet, informationssäkerhet och cybersäkerhet hjälper verksamheter att identifiera, bedöma och hantera de risker och hot som följer med dagens komplexa IT-landskap. Det handlar inte bara om tekniska lösningar – utan lika mycket om tydlig styrning, robusta processer och en organisation som är rustad för framtiden.

Vi stöttar verksamheter i att skapa en trygg och välfungerande IT-miljö som både stödjer verksamhetens behov och säkerställer att information är tillgänglig, tillförlitlig och skyddad mot hot.

Med erfarenhet från kommuner, regioner och statliga myndigheter över hela Sverige har vi byggt en djup och specialiserad kompetens inom cyber- och informationssäkerhet för offentlig sektor.

Inom den privata sektorn har vi omfattande erfarenhet av att jobba med både små privatägda företag och stora börsnoterade koncerner, såväl i Sverige som utomlands. Varje organisation har sina krav och specifika förutsättningar – var och en med behov av skräddarsydda lösningar.

Genom samarbete och expertis inom risk och regelefterlevnad utgår vi ifrån en helhetsbild av verksamhetens risker, för att kunna erbjuda välgrundade och konkreta rekommendationer.

Vi erbjuder granskning och rådgivning inom bland annat:

IT- och cybersäkerhet
Regelefterlevnad (t.ex. NIS2, Cybersäkerhetslagen, CER, DORA, Dataskyddsförordningen GDPR och AI-förordningen)
Dataskydd
IT-säkerhet hos leverantörer
Kartläggning och bedömning av IT-risk

Exempel på andra tjänster som vi erbjuder via samarbete med andra delar av vår organisation:

Teknisk säkerhetstestning (t.ex. penetrationstestning)
Simulering av attacker (t.ex. phising/nätfiske)

För mer information kontakta Magnus Andersson
Våra tjänster inom internkontroll och regelefterlevnad inom IT hjälper organisationer att förstå och hantera de krav som följer av digitalisering och nya regelverk. Våra fokusområden är IT- och informationssäkerhet, bland annat inför en börsnotering (IPO) där vi även samarbetar med EY Capital Markets-avdelning för ett heltäckande tjänsteerbjudande.

Vi identifierar vilka lagar, förordningar och standarder som är applicerbara – inklusive branschspecifika krav för exempelvis myndigheter, hälso‑ och sjukvård och finansiella tjänster – och stöttar i att utforma ändamålsenliga ledningssystem och styrdokument.

På så vis hjälper vi verksamheter att skapa strukturer och processer som gör det möjligt att arbeta tryggt och effektivt. Det kan handla om att säkerställa att risker hanteras på rätt nivå, att policys och ramverk är väl anpassade eller att kontrollmiljön fungerar i praktiken.

Genom att kombinera branschkunskap med expertis inom IT-risk, revision och regelefterlevnad gör vi kraven begripliga och hjälper organisationer att utveckla styrningsmodeller som håller för både dagens och framtidens krav.

Vi erbjuder stöd och rådgivning inom bland annat:

Internkontroll inom IT, exempelvis genom granskning och rådgivning avseende policydokument och riktlinjer (t.ex. IT-policy, informationssäkerhetspolicy, kontinuitetshanteringspolicy och AI-policy).
Rådgivning avseende ramverk för generella IT-kontroller.
Bedömning av relevanta regelkrav och efterlevnad (t.ex. NIS2, cybersäkerhetslagen, CER, DORA, Dataskyddsförordningen GDPR och AI-förordningen).
IPO readiness-bedömning – där vi tillsammans med EY Capital Markets-avdelning säkerställer att IT-relaterade krav uppfylls inför en börsnotering. Genom hela IPO-processen stöttar vi med rådgivning, vägledning och sakkunskap.

För mer information kontakta Sara Bergenheim.
SOC-rapportering ger ett oberoende intyg på hur väl verksamheten hanterar risker och interna kontroller inom områden såsom finansiell rapportering, cybersäkerhet, dataskydd och leveranskedjor. I en tid av ökad digitalisering och skärpta regelverk blir SOC-rapporter ett centralt verktyg för transparent och strukturerad riskkommunikation och stärker förtroendet hos kunder, investerare, externa revisorer och tillsynsmyndigheter.

En SOC-rapport är också ett effektivt sätt att minska behovet av flera separata revisioner, eftersom en och samma rapport kan delas med flera intressenter – och därmed spara både tid och resurser för verksamheten.

Vi stöttar organisationer genom hela processen – från scoping och readiness, till testning av kontroller och slutlig rapportering. Våra tjänster omfattar hela bredden av SOC-ramverk:

SOC 1 (ISAE 3402) – som fokuserar på kontroller som påverkar kunders finansiella rapportering och ger en trygghet i att processer och system fungerar som avsett.
SOC 2 och SOC 3 – som omfattar kontroller kring säkerhet, konfidentlitet, sekretess, tillgänglighet och processintegritet.
SOC för cyber – som utvärderar organisationers förmåga att upptäcka, hantera och övervaka cybersäkerhetsrisker i enlighet med gällande regelverk såsom cybersäkerhetslagen (NIS2) och DORA.
SOC för leverantörskedjor (Supply Chain) – som ger en helhetsbild av risker och kontroller genom leveranskedjan för organisationer som producerar eller distribuerar varor.
SOC-rapportering kan även vara relevant inom områden såsom AI, dataskydd (GDPR) och hållbarhetsrapportering.

Utöver SOC-rapportering erbjuder vi:

Flexibla AUP-tjänster (Agreed Upon Procedures) av specifika områden som kunden och tredje part enats om.
Vi utför också granskning enligt ISAE 3000, exempelvis för kontroller över icke-finansiell information, från kontrolltestning och bestyrkanderapporter till utbildning och praktiskt stöd vid implementering av rutiner.
Vid behov genomför vi även nulägesbedömningar (pre-assessment), inför framtida SOC- eller ISAE-granskningar.

För mer information kontakta Liz Peter och Megha Srivastav

Varför cyberriskhantering är viktigt för finansiell motståndskraft

Genom att integrera hanteringen av cyberrisker i den finansiella planeringen kan CFO:er förbättra organisationens motståndskraft mot cyberhot.

Läs mer (via EY.com US)

Utforska Assurance

Assurance tjänar allmänintresset genom att främja förtroendet för företag och kapitalmarknader.

Futuristic pedestrian tunnel photograph

Läs mer (4)

Skip

west

Assurance

Featured: Att anlita en extern oberoende utredare

Consulting

Featured: Hur kan osäkerhet vara en drivkraft för innovation och tillväxt?

Hållbarhet

Featured: EU:s nya grönmålningsdirektiv

Transactions and Corporate Finance av EY-Parthenon

Featured: Transaction Trends Q4 2024

east

Karriär på EY

På EY får du chansen att bygga en karriär som är lika unik som du. Vi erbjuder personligt stöd, en inkluderande kultur och den teknik du behöver för att bli den bästa versionen av dig själv.

Vårt team

David Asplund

Ansvarig för Technology Risk, Partner, EY Sverige

Arbetar sedan över 15 år med att hjälpa organisationer att förstå och hantera sina risker inom informationsteknologi och cyber. Hängiven skidåkare med passion för svenska fjällen.

Stockholm, Sweden

Linda Vestman

Director, Technology Risk, EY Sverige

Driver trygg digital utveckling, med fokus på IT-revision och internkontroll.

EY Göteborg, Sweden

Liz Peter

Manager, Technology Risk, EY Sverige

Skapar tydlighet och transparens i interna IT-kontroller genom öppen och rak kommunikation.

EY Göteborg, Sweden

Vishal Barkakati

Senior Manager, Technology Risk | EY - Sverige

Bygger robusta IT-miljöer med specialisering inom SOX-internkontroll och med samarbete i fokus.

Stockholm, Sweden

Magnus Andersson

Senior Manager, Technology Risk, EY Sverige

Utvecklar IT-styrning. Granskar IT-miljöer. Förbättrar cybersäkerhet.

Stockholm, Sweden

Sara Bergenheim

Senior Manager, Technology Risk | EY - Sverige

Driver utveckling. Bygger team. Stärker informationssäkerhet och regelefterlevnad.

EY Göteborg, Sweden

Megha Srivastav

Senior Manager, Technology Risk, EY Sverige

Stärker organisationers IT-säkerhet, informationssäkerhet och internkontroll, genom att proaktivt identifiera och hantera IT-relaterade risker.

Stockholm, Sweden

EY syftar på den globala organisationen och kan referera till ett eller flera av medlemsföretagen till Ernst & Young Global Limited som vart och ett är en separat juridisk enhet. Ernst & Young Global Limited, ett bolag registrerat i Storbritannien, tillhandahåller inte tjänster till kunder.