It-revision?

Flere af de virksomheder, vi er ude hos, har aldrig tidligere hørt om it-revision. Det er faktisk lidt synd, for det er ikke raketvidenskab, og der er ofte et værdifuldt udbytte af en it-revision for både den finansielle revisor og ikke mindst dennes kunde.

It-revision i forbindelse med den finansielle revision

It-revision dækker over flere forhold. It-revision indgår tit og ofte som en integreret del af den finansielle revision, dvs. når den finansielle revisor er på besøg hos virksomheden for at påse om ’bøgerne’ stemmer. Her er det relevant for den finansielle revisor at vurdere it-systemet, for det er ofte it-systemerne, der danner baggrund for, om ’bøgerne’ stemmer.

Den finansielle revisor skal herudover vurdere, hvorvidt virksomheden har nogle såkaldt betryggende kontroller indbygget i sine arbejdsgange. Revisorens opgave går nemlig også på at sikre, at virksomheden har styr på, om dens forretningsgange er fornuftigt opbygget, så man ikke lider unødvendige tab i forbindelse med den måde, virksomheden drives på.

It-revision i forbindelse med den finansielle revision handler derfor typisk om en overordnet gennemgang af virksomhedens it-forhold. Vi kalder det gennemgang af generelle it-kontroller – bl.a. fordi det er det, det kaldes i Revisionsstandard (ISA) 315. It-revisionsarbejde omkring det, vi kalder applikationskontroller, er også noget vi tager fat på, hvis det er relevant i den enkelte virksomhed. Applikationskontrol, som det benævnes i Revisionstandard ISA 330, kan f.eks. handle om, hvordan adgangskontrollen i et økonomisystem er sammensat.

Et par af de kunder, vi har været ude hos, har kaldt den efterfølgende rapport, vi leverer, for et sundhedstjek af deres it-system. Det er faktisk en god betegnelse, for vi kommer hele vejen rundt, og idet vi jo som revisorer er uvildige, kan en it-revision i forbindelse med den finansielle revision godt kaldes et ’it-sundhedstjek’.

It-revision med afgivelse af revisorerklæring

It-revision dækker desuden over en helt selvstændig disciplin, hvor det handler om at afgive en konkret erklæring baseret på et stykke it-revisionsarbejde. Det kan tit hænge sammen med f.eks. it-virksomheders håndtering af hostede it-systemer, virksomheders håndtering af persondata, sundhedsvirksomheders overholdelse af relevant sundhedslovgivning, osv.

Omdrejningspunktet er, at erklæringsmodtager – det kan være offentlige myndigheder, revisorer eller andre med interesse heri – kan se, om en specifik virksomhed også gør, hvad den lover. Det kan også være it-virksomheden, som ønsker at få revisors attestering af, at de rent faktisk også tager backup og har nødstrømsgeneratorer, når nu virksomheden reklamerer med, at de har det.

Mange virksomheder, der efterspørger ydelser af en vis betydning fra andre virksomheder, efterspørger efterhånden mange af disse erklæringstyper. Oftest afgives disse revisorerklæringer efter ISAE 3402 type I eller type II. Denne erklæring er erstatningen for den udgåede danske RS 3411. Sagen er den samme; at revisor påser, at virksomhedens kontroller i forbindelse med finansielle eller forretningsmæssige forhold er betryggende.

Det kan også være, at revisorerklæringen er afgivet efter en anden revisionsstandard (f.eks. RS 3000 eller RS 4400), men det er ikke det vigtigste. Det vigtigste er, at omverdenen kan få indblik i, hvordan en servicevirksomhed har tilrettelagt sine forretningsgange og ydelser – og det kan den, når en uafhængig revisor har sat sin underskrift på, at virksomheden gør, hvad den siger.

Som regel – afhængigt af opgavens karakter – arbejder vi efter nogle underliggende standarder, når det drejer sig om revision af f.eks. it-systemer. Der eksisterer forskellige standarder inden for it-drift, udvikling, håndtering af persondata osv. (DS 484, ISO 27001 osv.), som kan være relevante at bruge. Vi benytter således standarderne som retningsgiver for vores revision. Det er ikke kun noget, vi gør – de fleste andre revisorer arbejder også på denne måde.

Lovmæssige krav

Vi synes jo, at it-revision er sund fornuft – for det er jo en god ide at få en uvildig gennemgang af it-systemerne, som både it-afdelingen og ledelsen kan få et udbytte af! Men der er også visse brancher, hvor det er et krav med it-revision i en eller anden form.

Finansielle virksomheder er en af de brancher, hvor det er et lovkrav (lov om finansiel virksomhed), at ledelsen tager hånd om it-anvendelsen, og at der er en revisor, der påser dette. Forsyningsvirksomheder, sundhedsvirksomheder og offentlige myndigheder samt børsnoterede virksomheder skal herudover også en tur gennem it-revisionen i større eller mindre grad – for her gælder der ofte specielle regler.