IT-revisjon

Publisert dato: 09.08.2011 - Endret dato: 09.08.2011

Forståelsen av virksomhetens IT-systemer, og hvordan IT-systemene understøtter virksomheten, er sentralt for å kunne se hele risikobildet i revisjonsoppdrag, både finansiell revisjon og internrevisjon.

Finansiell IT-revisjon
En vellykket integrasjon av IT-revisjon skal gjennom økt kvalitet og/eller effektivitet medvirke til tilfredsstillende finansiell revisjon og pålitelig finansiell rapportering. IT-revisjonsteamet er derfor en naturlig del av revisjonsteamet og deltar i planleggingen fra starten. IT-revisor må også sørge for en jevnlig kommunikasjon med øvrige medlemmer av revisjonsteamet, og må evne å formidle hvilke konsekvenser funn fra IT-revisjonen kan ha for valg av revisjonsstrategi og planlagte revisjonshandlinger.

Bruk av IT-revisjon tilpasses beste kost/nytte for revisjonsoppdraget, men vil også gi merverdi til virksomheten gjennom rapportering av observasjoner og forslag til tiltak for å ytterligere forbedre styring og kontroll med IT-miljøet.

Operasjonell IT-revisjon
Formålet med operasjonell IT-revisjon, ofte også kalt IT-internrevisjon, er å tilføre nødvendig IT-kompetanse til risikovurderinger, planlegging, gjennomføring og oppfølging av internkontroll.

IT-løsningene blir en stadig større og mer integrert del av forretningsprosessene, og all lagring og behandling av data skjer i IT-systemene. En samlet forståelse av både IT-miljøet og linjeaktiviteter er en forutsetning for en effektiv og målrettet overvåkning av det interne kontrollmiljøet.

Viktigheten av IT-kompetanse i internrevisjonsfunksjoner understrekes også av IIA Professional Practices Framework, som i den norske oversettelsen ”Etiske retningslinjer og standarder 2011”, Implementeringsstandard 1210.A3 sier:

”Internrevisorer må ha tilstrekkelig kunnskap om de viktigste risikoer og kontrolltiltak innenfor informasjonsteknologi og tilgjengelig teknologibaserte revisjonsteknikker for å kunne utføre sine tildelte arbeidsoppgaver. Det forventes imidlertid ikke at alle internrevisorer skal ha samme ekspertise som en internrevisor som har IT-revisjon som sitt primære ansvarsområde.”

CobiT er benyttet som utgangspunkt for BDOs rammeverk for revisjon av generelle IT-kontroller. COSO og COSO ERM er også sentrale rammeverk knyttet til operasjonell IT-revisjon. BDO har utarbeidet metodikk og sjekklister for relevante standarder og prosesser innen IT-revisjon, og vil vanligvis ta utgangspunkt i disse for å effektivt utarbeide revisjonsprogram tilpasset den enkelte virksomhet, risiko og revisjonsområde.

Utskriftsvennlig side