IT-REVISION

Generelle it-kontroller

Når vi foretager en it-revisionsgennemgang i form af gennemgang af generelle it-kontroller eller applikationskontroller, er det i samarbejde med virksomheden. Vores arbejde er altid tilpasset den pågældende virksomheds forhold og virkelighed, og tager udgangspunkt i nationale og internationale standarder.

En gennemgang af de generelle it-kontroller omfatter typisk:

  • Drift af datacentre (serverrum) og netværk
  • Anskaffelse, ændring og vedligeholdelse af systemsoftware
  • Adgangssikkerhed
  • Anskaffelse, udvikling og vedligeholdelse af applikationssystemer
  • Fysiske kontroller
  • Funktionsadskillelse.

Udgangspunktet for gennemgangen kan desuden være en eksisterende it-sikkerhedspolitik, en sikkerhedsstandard eller en række kontraktuelle forhold, som virksomheden ønsker at leve op til (gap-analyse).

Virksomheden får et overblik over væsentlige og relevante risici, samt en prioritering heraf. Finansiel revisor har ofte brug for denne type rapport i deres finansielle revision, og så assisterer vi. Men vi oplever også, at slutkunden ønsker en uvildig gennemgang af it-systemerne, og så kalder vi opgaven et it-sundhedstjek. Visse it-leverandører leverer også denne ydelser, men forskellen er, at REVI-IT ved lov er uafhængig, hvilket ofte ikke er tilfældet for it-leverandører.

Tidligere var der inden for revisorkredse noget, man omtalte som Revisionsvejledning 14, og ovennævnte er netop en RV14 gennemgang. Det var dengang FSR (Foreningen af Statsautoriserede Revisorer) havde udarbejdet en særskilt revisionsvejledning til revision af generelle edb-kontroller (det hed det dengang). I dag benytter vi ISA315 (tidligere Revisionsstandard 315), og arbejdet er nogenlunde det samme.

Applikationsgennemgang

Ved en forretningsmæssig gennemgang af en konkret applikation eller et systemkompleks ses på de relevante kontroller, som er indbygget i systemet (programmerede processer) og omkring systemet (manuelle processer).

Vi foretager en gennemgang af applikationen og vurderer, hvorvidt der er implementeret hensigtsmæssige forretningsgange og kontroller i og ved brugen af applikationen.

Typisk foretager vi denne gennemgang, hvis enten kunde eller revisor ønsker en bekræftelse af, at de implementerede kontroller og systemer i applikationen er hensigtsmæssige og betryggende; eller sagt på anden vis: Hvis 1.000 kr. bogføres på en konto, vil de 1.000 kr. også medtages i resultatopgørelse osv. Eller sagt på tredje vis; regner applikationen rigtigt – gør applikationen som den skal?

Udgangspunktet kan eventuelt være revisionsmæssige krav, lovgivningsmæssige krav eller virksomhedens it-sikkerhedspolitik.

På samme måde som FSR havde Revisionsvejledning 14 (RV14) omkring generelle edb-kontroller, havde FSR også en revisionsvejledning til applikationskontroller. Den hed Revisionsvejledning 17. I dag er den, ligesom Revisionsvejledning 14, også skiftet ud og moderniseret, og groft sagt hedder afløseren ISA330 (tidligere RS 330).

Kvalitet i vores arbejde

Fælles for alt vores arbejde er, at vi benytter os af nationale og internationale standarder for, hvordan revisor skal agere og tilgå en opgave. For gennemgange af generelle it-kontroller og applikationskontroller benytter vi de internationale revisionsstandarder ISA 315 og ISA 330 (tidligere RS315 og RS330).

Som referenceramme for disse standarder benytter vi tillige Dansk Standard 484 samt ISO 27001.

Produktblade

Du kan læse mere om gennemgang af generelle it-kontroller (GIK) i vores produktblade om emnet: 

Du kan også downloade pdf’er fra ovenstående links.