It-revision

Generelle it-kontroller
Når vi foretager en it-revisionsgennemgang, er det i samarbejde med virksomheden. Vores arbejde er altid tilpasset den pågældende virksomheds forhold og virkelighed, men dog stadig med udgangspunkt i nationale og internationale standarder. 

En gennemgang af de generelle it-kontroller – dvs. it-revision, omfatter:

• Drift af datacentre (serverrum) og netværk
• Anskaffelse, ændring og vedligeholdelse af systemsoftware
• Adgangssikkerhed
• Anskaffelse, udvikling og vedligeholdelse af applikationssystemer
• Fysiske kontroller
• Funktionsadskillelse

Udgangspunktet for gennemgangen kan desuden være en eksisterende it-sikkerhedspolitik, en sikkerhedsstandard eller en række kontraktuelle forhold, som virksomheden ønsker at leve op til (Gap-analyse).

Virksomheden får et overblik over væsentlige og relevante risici, samt prioritering heraf. Finansiel revisor har ofte brug for denne type rapport i deres finansielle revision, og så assisterer vi, men vi oplever også, at slutkunden ønsker en uvildig gennemgang af it-systemerne, og så kalder vi opgaven it-sundhedstjek (visse it-leverandører leverer også denne ydelser, men den helt store forskel er her, at REVI-IT ved lov er uafhængig, hvilket ofte ikke er tilfældet for it-leverandører).

Tidligere var der inden for revisorkredse noget man omtalte som Revisionsvejledning 14, og ovennævnte er netop en RV14 gennemgang. Det var dengang FSR (Foreningen af Statsautoriserede Revisorer) havde udarbejdet en særskilt revisionsvejledning til revision af generelle edb-kontroller (det hed det dengang). I dag benytter vi Revisionsstandard 315, og arbejdet er nogenlunde det samme.

Applikationsgennemgang

 Ved en forretningsmæssig gennemgang af en konkret applikation eller et systemkompleks ses på de relevante kontroller, som er indbygget i systemet (programmerede processer) og omkring systemet (manuelle processer).

Vi foretager en gennemgang af applikationen og vurderer, hvorvidt der er implementeret hensigtsmæssige forretningsgange og kontroller i – samt ved brugen af applikationen.

Typisk foretager vi denne gennemgang hvis enten kunde eller revisor ønsker en bekræftelse af, at de implementerede kontroller og systemer i applikationen, er hensigtsmæssige og betryggende; eller sagt på anden vis: Hvis 1000 kr. bogføres på en konto, vil de 1000 kr. også medtages i resultatopgørelse osv. Eller sagt på tredje vis; regner applikationen rigtigt – gør applikationen som den skal.

Udgangspunktet kan eventuelt være revisionsmæssige krav, lovgivningsmæssige krav eller virksomhedens it-sikkerhedspolitik.

På samme måde som FSR havde Revisionsvejledning 14 (RV14) omkring gernerelle edb-kontroller, havde FSR også en revisionsvejledning til applikationskontroller. Den hed Revisionsvejledning 17. I dag er den, ligesom Revisionsvejledning 14 også skiftet ud og moderniseret, og groft sagt, hedder afløseren Revisionsstandard 330 (RS 330).

Kvalitet i vores arbejde

Fælles for alt vores arbejde er, at vi benytter os af nationale og internationale standarder for hvordan revisor skal agere, samt tilgå en opgave. For gennemgange af generelle it-kontroller samt applikationskontroller, benytter vi de danske revisionsstandarder RS 315 og RS 330 (RS315 og RS330), som begge er bundet op på internationale revisionsstandarder (International Standard on Auditing - ISA).

Som referenceramme for disse standarder benytter vi tillige Dansk Standard 484 samt ISO 27001.