Artikkel

Hva innebærer en IT-revisjon – og hvorfor er det viktig for din bedrift?

IT-systemer har blitt en naturlig og helt essensiell del av virksomheten – så da skulle det vel kanskje bare mangle at dette ble gjennomgått like systematisk og nøyaktig som andre områder?

Finansiell revisjon har som formål å bekrefte at regnskapet ikke inneholder vesentlig feilinformasjon.

IT-revisjon, som en del av finansiell revisjon, er betegnelsen på metoder og revisjonshandlinger der revisor vurderer hvordan IT-systemene påvirker, og støtter opp om informasjonen i regnskapet.

– Eksempler på dette er automatisk overføring av data fra et logistikksystem til et regnskapssystemet blir prosessert riktig, at innlagte godkjenningsmatriser for fakturaflyt ikke blir uautorisert endret eller forbigått, at avskrivningstider blir beregnet riktig, sier Morten Østigård som er senior manager i Audit & Assurance.

Revisjonsbransjen er i stadig utvikling som følge av ny tilgjengelig teknologi. Regnskapsbrukere tar i bruk bedre og mer sofistikerte verktøy for kontroll og rapportering. Som revisorer nå har vi tilgang på mer data enn tidligere, og bilagstesting komplementeres ofte av komplette data-uttrekk der dataanalyser muliggjør tester av komplette populasjoner, og ikke bare stikkprøver slik som tidligere. Brukernes IT-systemer har ofte innebygde automatiske funksjoner eller kontroller for å effektivisere regnskapsavleggelsen, som for eksempel automatisk fakturering ved en gitt status (f.eks. at varen er levert) i lagersystemet.

Dette innebærer at både revisjonskundene og revisor er avhengige av at IT-systemene som prosesserer de finansielle dataene fungerer optimalt gjennom hele regnskapsperioden.

Revisjon av kundenes IT-systemer har blitt viktigere

Ved å utføre revisjonshandlinger knyttet til IT-systemene vil man oppnå en bedre sikkerhet for alle transaksjoner som går gjennom det relevante systemet, og revisor kan fokuserer mer av sin innsats på andre problemstillinger som ofte oppleves mer relevant av revisjonskundene.

På bakgrunn av dette har det de siste årene vært økt fokus på revisjon av kundenes IT-systemer.

Utgangspunktet for IT-revisjon kan oppsummeres med to generelle spørsmål:

  • Hvordan vet man at de data som IT-systemene genererer i form av rapporter, eksempelvis lagerlister, er fullstendige og nøyaktige?
  • Hvordan vet man at innebygde automatiske kontroller har fungert hensiktsmessig og konsekvent gjennom hele regnskapsperioden?

For å besvare disse spørsmålene fokuserer IT-revisor i første omgang på generelle IT kontroller (GITC). Betydningen ligger i navnet da de er generelle og uavhengig av kundens IT system. GITC er kontroller som er med på å sikre at IT-systemet har forutsetninger for å operere på en måte som sikrer at informasjonen det produserer er pålitelig, fullstendig og nøyaktig. Kontrollene deles ofte inn i noen hovedområder:

  • Tilgangskontroller
  • Endringskontroller
  • Datasenter- og nettverksdrift

De overnevnte kontrollene vil for mange selskaper være en integrert del av selskapets interne kontroll. Revisor kan dermed i de tilfeller vurdere å teste designet, implementeringen og effektiviteten av disse. Gjennom testingen vil revisor og revisjonskunden få en økt sikkerhet på f.eks. hvorvidt: Kun relevant personell har tilgang til selskapets data; ansatte ikke har tilganger som overskrider deres ansvarsområde; det er etablert privilegerte tilganger, for eksempelvis, endring av masterdata og om endringer blir hensiktsmessig testes før de settes i produksjon.

Avslutningsvis kan det sies at utviklingen med stadig mer avanserte regnskapssystemer har kommet for å bli. Dette medfører muligheter for regnskapsbrukeren ved at stadig mer kan prosesseres automatisk. Men det skaper også nye utfordringer hvor man må være sikker på at de kontroller og innstillinger man har lagt i systemet fungerer effektivt gjennom hele perioden samt nye risikoer knyttet til IT sikkerhet. Her kan vi som IT-revisorer bidra med å skape sikkerhet for dette.  

 
Var denne siden nyttig?